Компания ИнтерТраст - InterTrust Company
Центр обучения и тестирования
http://www.intertrust.ru/education - учебные курсы
http://www.intertrust.ru/certification - сертификация
http://www.intertrust.ru/literature - литература
mailto: etc@intertrust.ru - обобщенный адрес центра
mailto:Abukina@intertrust.ru - менеджер центра Антонина Букина
InterTrust Co.  Центр обучения 
 и тестирования 
Воскресенье 10/22/2017 08:18 PM  
 
Новости центра
|
О Центре
|
Курсы
|
Литература
Новости центра
Информация о Центре
Статус Центра
Контакты и схема проезда
Предлагаемые услуги
Учебные курсы
Все курсы по направлениям
Специализированные курсы
Курсы по нашим продуктам
Расписание ближайших курсов
Порядок зачисления на курсы
Книги, брошюры и другое
Предлагаемая литература
Прочие ресурсы Domino/Notes
Порядок оформления заказа
     

Печатное издание

Безопасность IBM Lotus Notes/Domino R7
Е.Киселев

Зависимость стоимости от количества приобретаемых экземпляров

Количество экземпляров
1
>= 5
>= 10
>= 15
>= 20
Стоимость (за 1 экземпляр)
1600
1550
1500
1450
1350
Дополнительная информация



    Формат книги А4
    Объем - 364 страницы
      Из предисловия автора

      В книге рассматриваются вопросы безопасности систем, построенных на базе IBM Lotus Notes/Domino R7. Подробно освещаются процедуры аутентификации и авторизации, шифрование и электронная подпись, сертификаты Notes и X.509, SSL , S/MIME, настройка мониторинга и другие аспекты обеспечения безопасности Notes/Domino. Отдельное внимание уделяется исследованию потенциальных уязвимостей, приводятся рекомендации по их ликвидации.

      Книга ориентирована на специалистов по компьютерным сетям, в функции которых входит планирование, настройка и эксплуатация систем на платформе Notes/Domino, а также на менеджеров, отвечающих за корпоративную безопасность компании.

      С уважением,
      Евгений Киселев

      Отрывок из книги: Система безопасности IBM Lotus Notes Domino 7.pdfСистема безопасности IBM Lotus Notes Domino 7.pdf

          ОГЛАВЛЕНИЕ

      Предисловие
      1 Введение. Модель безопасности Notes/Domino
      1.1 Компоненты модели безопасности Notes/Domino
      1.2 Физическая безопасность
      1.3 Логическая безопасность
      1.3.1 Сетевая безопасность
      1.3.1.1 Межсетевые экраны
      1.3.1.2 Демилитаризованная зона (DMZ)
      1.3.1.3 Обеспечение сетевой безопасности портов
      1.3.2 Безопасность Notes
      1.3.2.1 Сертификация
      1.3.2.2 Шифрование
      1.3.2.3 Электронная цифровая подпись
      1.3.2.4 Контроль доступа
      1.3.2.5 Контроль исполнения
      1.3.2.6 Локальная безопасность

      2 Сеть и операционная система
      2.1 Взаимодействие сервера Domino и операционной системы
      2.1.1 Вызов внешних приложений из сервера Domino
      2.1.2 Полномочия сервера Domino в операционной системе
      2.1.3 Защита консоли сервера
      2.2 Сетевая безопасность
      2.2.1 Порты и протоколы
      2.2.2 Сетевая топология
      2.2.2.1 Демилитаризованная зона
      2.2.2.2 Использование сервера Passthru для доступа к внутренней сети
      2.2.3 Способы удаленного доступа к консоли сервера
      2.2.3.1 Административный клиент
      2.2.3.2 Web-администратор (база Webadmin.nsf)
      2.2.3.3 Server Controller и Java Console

      3 Аутентификация
      3.1 Структурное деление Notes: домены и организации
      3.2 Иерархическое дерево. Сертификаты и сертификаторы
      3.3 Механизм аутентификации
      3.3.1 Несимметричное шифрование. Приватные и публичные ключи
      3.3.2 Комбинированная схема шифрования
      3.3.3 Хеширование и электронная подпись
      3.3.4 Подлинность публичных ключей
      3.4 ID-файлы
      3.4.1 Последовательность создания и структура ID-файлов
      3.4.2 Альтернативное имя
      3.4.3 Защита приватного ключа паролем, алгоритм расчета качества пароля
      3.4.4 Назначение ID-файлу нескольких паролей
      3.4.5 Восстановление ID-файла (ID Recovery)
      3.4.5.1 Принцип действия ID Recovery
      3.4.5.2 Включение и применение ID Recovery
      3.5 Процедура аутентификации
      3.5.1 Проверка подлинности ключей (validation)
      3.5.2 Проверка подлинности пользователя (authentication)
      3.5.2.1 Загадка аутентификации Notes
      3.6 Взаимодействие между разными организациями. Кросс-сертификаты
      3.6.1 Принцип действия кросс-сертификатов
      3.6.2 Способы кросс-сертификации
      3.6.2.1 Кросс-сертификация ID-файла
      3.6.2.2 Кросс-сертификация «безопасной копии» ID-файла
      3.6.2.3 Кросс-сертификация по почте
      3.6.2.4 Кросс-сертификация «на лету» (on demand)
      3.6.2.5 Кросс-сертификация с помощью электронной подписи
      3.6.2.6 Кросс-сертификация по телефону
      3.6.3 Проблемы при настройке взаимодействия разных организаций и доменов
      3.6.3.1 На сервере включена проверка публичных ключей при аутентификации
      3.6.3.2 Настройки в секции “Security Settings” документа “Server”
      3.6.3.3 Несоответствие публичного ключа сервера в адресной книге и ID-файле
      3.7 Настройки сервера, связанные с процессом аутентификации
      3.7.1 Allow Anonymous Notes connections: Enable/Disable
      3.7.2 Compare public keys: Enable/Disable
      3.7.3 Проверка пароля пользователя Notes на сервере

      4 Управление доступом к серверу
      4.1 Секция Server Access
      4.1.1 Поля Access server / Not access server
      4.1.2 Кому разрешается создавать на сервере базы, шаблоны и реплики?
      4.1.3 Поля “Allowed to use monitors” / “Not allowed to use monitors”
      4.1.4 Поле “Trusted servers”
      4.2 Права на выполнение агентов на сервере. Секция Programmability Restriction
      4.2.1 Поля “Run restricted / unrestricted methods and operations”
      4.2.2 Поля “Run restricted / unrestricted Java/JavaScript/COM”
      4.2.3 Поле “Run Simple and Formula agents”
      4.2.4 Поля “Sign agent to run on behalf…”
      4.3 Секция Internet Access
      4.4 Сервера - посредники (они же сервера - ретрансляторы). Секция Passthru use
      4.5 Распределение прав администраторов
      4.6 Линки на внешние директории
      4.7 Список доступа к директории (Directory ACL)

      5 Контроль доступа к базам данных. Access Control List
      5.1 Для кого назначаются права в ACL
      5.2 Базовые уровни доступа и дополнительные привилегии в ACL
      5.3 Алгоритм вычисления эффективных прав доступа
      5.4 Роли в ACL
      5.4.1 Механизм действия ролей
      5.4.2 Роли в Domino Directory (names.nsf)
      5.5 ACL Log
      5.6 Дополнительные настройки ACL (ACL – Advanced)
      5.7 Типы пользователей в ACL
      5.8 Максимальный уровень доступа при обращении к базе по Internet-протоколам
      5.9 Enforce a consistent Access Control List across all replicas – разберемся подробно
      5.10 Права администраторов для совершения различных операций
      5.11 Влияние ACL серверов на процесс репликации
      5.12 Можно ли считать ACL надежным инструментом защиты данных?

      6 Управление доступом к отдельным документам, формам и представлениям
      6.1 Управление видимостью документов с помощью полей типа “Readers”
      6.2 Влияние полей “Readers” на процесс репликации
      6.3 Управление правами на редактирование документа с помощью полей “Authors”
      6.4 Управление правами доступа к формам и видам

      7 Extended ACL. Тонкая настройка доступа к базам Names.nsf и Admin4.nsf
      7.1 Включение xACL
      7.2 Управление доступом к контейнерам и документам в xACL
      7.2.1 Взаимодействие запрещающих и разрешающих флагов в xACL
      7.3 Управление доступом к отдельным формам
      7.4 Управление доступом к отдельным полям документов
      7.5 Расчет эффективных прав доступа
      7.6 Журнал изменений xACL (xACL Log)
      7.7 Назначение административного уровня доступа для организационной единицы
      7.8 Надежность механизмов защиты с помощью xACL

      8 Система шифрования
      8.1 Симметричное шифрование данных
      8.1.1 Создание симметричных ключей
      8.1.2 Шифрование документов в базе по симметричной схеме
      8.1.3 Передача симметричных ключей
      8.1.4 Шифрование несколькими симметричными ключами
      8.2 Шифрование трафика
      8.3 Несимметричное шифрование
      8.3.1 Несимметричное шифрование документов в базе
      8.3.2 Шифрование почты
      8.3.3 Шифрование базы данных целиком
      8.3.4 Защита серверного ID-файла паролем
      8.4 Электронная подпись
      8.4.1 Механизм работы ЭЦП
      8.4.2 Обход и подделка электронной подписи

      9 Управление настройками безопасности при помощи политик
      9.1 Принцип работы политик
      9.2 Настройки безопасности (Security Settings)
      9.2.1 Управление паролями пользователей
      9.2.1.1 История паролей в ID-файле пользователя
      9.2.2 Административный ECL
      9.2.3 Настройки политики смены публичных ключей
      9.2.3.1 Секция User Public Key Requirements
      9.2.3.2 Секция Certificate Expiration Settings
      9.2.3.3 Блокировка рабочей станции
      9.2.3.4 Пара нюансов

      10 Безопасность почтовой системы
      10.1 Безопасность внутренней почты (NRPC)
      10.1.1 Принцип работы почтовой системы Notes/Domino
      10.1.2 Права доступа к почтовой базе пользователя
      10.1.3 Подсистема Mail Tracking. Отслеживание пользовательской почты
      10.1.4 Настройки ограничений в почтовой системе
      10.1.5 Обработка писем с высоким приоритетом
      10.1.6 Квоты на почтовые базы пользователей
      10.1.7 Почтовые правила на сервере
      10.1.8 Перехват пользовательской почты (Mail Journaling)
      10.1.9 Как не допустить перехвата своей почты (обход Mail Journaling)
      10.2 Безопасность внешней почты
      10.2.1 Принцип работы Internet-почты Domino
      10.2.2 Настройки контроля входящей SMTP-почты
      10.2.2.1 Секция Inbound Relay Controls
      10.2.2.2 Секция Inbound Relay Enforcement
      10.2.2.3 Поддержка «черных» и «белых» списков на сервере
      10.2.2.4 Секция Inbound Connection Controls
      10.2.2.5 Секция Inbound Sender Controls
      10.2.2.6 Секция Inbound Intended Recipient Controls
      10.2.3 Настройки контроля исходящей SMTP-почты
      10.2.3.1 Секция Outbound Sender Controls
      10.2.3.2 Секция Outbound Recipient Controls
      10.3 Доступ к почтовой базе по Internet-протоколам (POP3, IMAP, HTTP)

      11 Уязвимость LDAP-сервера Domino и борьба с ней 181

      12 Server-based Certification Authority. Миграция сертификаторов. Задача CA
      12.1 Преимущества Server-based Certification Authority
      12.2 Миграция сертификатора
      12.3 Регистрация пользователя через Web-интерфейс с использованием CA
      12.4 Управление работой CA с консоли, активация и разблокировка сертификатора
      12.5 Взаимодействие компонентов Server-Based CA при регистрации пользователя

      13 X.509 сертификаты. Организация поддержки SSL и S/MIME
      13.1 Сравнение реализаций несимметричной криптографии в Domino и X.509
      13.2 Включение поддержки SSL на сервере Domino
      13.2.1 SSL. Общие принципы
      13.2.2 База данных Server Certificate Admin
      13.2.3 Создание файла keyfile.kyr (Server Key Ring)
      13.2.4 Получение серверного сертификата от коммерческой CA
      13.2.5 Перемещение файла Key Ring на сервер Domino и включение порта SSL
      13.2.5.1 Секция SSL Settings
      13.2.5.2 Секция SSL Security
      13.2.6 Проверка порта и настройка браузера
      13.3 Конфигурирование центра сертификации Domino
      13.3.1 Регистрация Internet-сертификатора
      13.3.1.1 Создание Internet-сертификатора, основные параметры
      13.3.1.2 Параметры выпускаемых сертификатов
      13.3.1.3 Создание Internet-сертификатора, дополнительные параметры
      13.3.2 Создание базы Certificate Requests и ее настройка
      13.4 Выдача серверного сертификата центром сертификации Domino
      13.4.1 Быстрый способ создания Server Key Ring
      13.5 Выдача клиентского сертификата центром сертификации Domino
      13.6 Настройка аутентификации по Internet-сертификату
      13.7 S/MIME. Электронная подпись. Шифрование Internet-почты
      13.7.1 Шифрование почты от пользователя Notes для внешнего респондента
      13.7.2 Шифрование почты от внешнего респондента для пользователя Notes
      13.7.2.1 Заказ нового Internet-сертификата из клиента Notes
      13.7.2.2 Импорт Internet-сертификата в User.id
      13.7.2.3 Получение Internet-сертификата для публичного ключа Notes
      13.8 Централизованное создание административных Internet кросс-сертификатов
      13.8.1 Создание документа “Internet Certifier” в Domino Directory
      13.8.2 Создание Internet кросс-сертификата для данной CA в Domino Directory
      13.8.2.1 Кросс-сертификация с помощью документа Internet Certificate
      13.8.2.2 Кросс-сертификация «на лету» (при установлении SSL-соединения)
      13.8.3 Получение Internet кросс-сертификатов в персональную адресную книгу
      13.8.4 Использование двух и более клиентских сертификатов
      13.9 Использование SSL в протоколах LDAP, SMTP, POP3, IMAP
      13.9.1 LDAP с поддержкой SSL. Еще одна дыра в настройках по умолчанию
      13.9.2 Работа по протоколам POP3, SMTP, IMAP с поддержкой LDAP
      13.10 Отзыв сертификата, Certificate Revocation List

      14 Безопасность Web-сервера Domino
      14.1 Принцип работы Web-сервера Domino
      14.2 Web-аутентификация пользователей
      14.2.1 Анонимный доступ
      14.2.2 Простая аутентификация по имени и паролю
      14.2.2.1 Принцип работы
      14.2.2.2 Допустимые варианты имени при аутентификации по имени и паролю
      14.2.2.3 Internet-аутентификация с использованием Directory Assistance
      14.2.3 Аутентификация по имени и паролю с использованием Cookies
      14.2.3.1 Принцип работы и включение сессионной аутентификации
      14.2.3.2 Multi-server session-based authentication (SSO)
      14.2.4 Аутентификация по клиентскому сертификату X.509
      14.2.5 Прочие аспекты Internet-аутентификации
      14.2.5.1 DSAPI
      14.2.5.2 Смена Internet-пароля пользователя
      14.3 Ограничение доступа к серверу через Web-интерфейс
      14.4 Ограничения доступа к базам данных через Web-интерфейс
      14.5 Ограничение доступа к документам и элементам дизайна через Web-интерфейс
      14.6 Ограничение доступа к файловым системам для Web-пользователей
      14.7 Безопасность работы с почтой через Web-интерфейс. Domino Web Access
      14.7.1 Настройки кэша браузера
      14.7.2 Импорт ID-файла и шифрование почты
      14.8 Безопасность различных топологических схем

      15 Настройка мониторинга событий, связанных с безопасностью
      15.1 Получение сводных данных об обнаруженных уязвимостях системы
      15.1.1 База данных Domain Catalog
      15.1.2 Domino Domain Monitoring
      15.1.2.1 Security Best Practices
      15.1.2.2 Пробник Security – Configuration
      15.1.2.3 Пробник Security-Review
      15.1.2.4 Пробник Security -- Database ACL
      15.1.2.5 Пробник “Security – Database Review”
      15.2 Мониторинг текущих событий, связанных с безопасностью
      15.2.1 Общие принципы работы системы мониторинга Domino
      15.2.2 Пример: мониторинг ACL
      15.2.2.1 Создание документа “Database Event Generator”
      15.2.2.2 Создание документа “Event Handler”
      15.2.2.3 Выбор баз и способа оповещения для мониторинга ACL
      15.2.3 Другие параметры безопасности, заслуживающие мониторинга
      15.3 Расследование инцидентов, связанных с нарушениями безопасности
      15.3.1 База Log.nsf. Настройка системного журнала
      15.3.2 Log Analisis – поиск информации в системном журнале.
      15.3.3 Детальность ведения журнала (Log Level)
      15.3.3.1 Ведение текстового журнала консоли
      15.3.4 Анализ активности и регистрация подозрительной деятельности пользователей
      15.3.5 Анализ действий пользователя в отдельно взятой базе
      15.3.5.1 Информация в базе Log.nsf
      15.3.5.2 Диалоговое окно User Activity
      15.3.5.3 Инструмент Database Analysis
      15.3.5.4 Кем был изменен документ (поле $Updated By)

      16 Обсуждение некоторых уязвимостей Domino
      16.1 Проблемы аутентификации
      16.1.1 Слабые места Internet-аутентификации
      16.1.1.1 Уязвимость Internet-пароля, простота подбора «несоленого» хеша
      16.1.1.2 Защита от атаки на хеш Internet-пароля
      16.1.1.3 Аутентификация по чужому Internet-сертификату
      16.1.2 Уязвимости, связанные с Notes-аутентификацией
      16.1.2.1 Перехват ID-файла недавно зарегистрированного пользователя
      16.1.2.2 Roaming Users. Уязвимость этой конфигурации
      16.1.2.3 Устойчивость ID-файла к взлому
      16.1.2.4 Фальсификация User.id. Опасность утери сертификатора
      16.2 Угрозы, связанные с процессом репликации
      16.2.1 Репликация шаблонов
      16.2.2 Предоставление прав на создание реплик и последствия такого шага
      16.2.3 Недооценка опасности некоторых документов
      16.3 Проверка подписи агентов. Поддельные пользователи
      16.4 Внутренняя безопасность, работа с персоналом
      16.4.1 Полномочия региональных администраторов
      16.4.2 Политика секретных ключей
      16.4.3 Политика паролей
      16.4.4 Увольнение сотрудников

      Литература и ссылки
      Оглавление