3.1 Härtungsverfahren vor der Installation

Vor der Installation von LiveCycle können Sie Sicherheitslösungen auf die Netzwerkschicht und das Betriebssystem anwenden. In diesem Abschnitt finden Sie Beschreibungen zu einigen Sicherheitslücken sowie Empfehlungen dazu, wie Sie die Lücken in diesen Bereichen schließen können.

Installation und Konfiguration unter UNIX und Linux

Sie sollten LiveCycle nicht unter Verwendung einer Root Shell installieren oder konfigurieren. Standardmäßig werden alle Dateien im Ordner „/opt“ installiert. Der Benutzer, der die Installation durchführt, benötigt daher sämtliche Dateiberechtigungen für den Ordner „/opt“. Alternativ kann die Installation auch im Ordner „/user“ eines Einzelbenutzers durchgeführt werden, für das der Benutzer bereits über sämtliche Dateiberechtigungen verfügt.

Installation und Konfiguration unter Windows

Sie müssen die Installation unter Windows als Administrator durchführen, wenn Sie LiveCycle unter JBoss mit der Turnkey-Methode oder PDF Generator installieren. Wenn Sie PDF Generator unter Windows mit der Unterstützung nativer Anwendungen installieren, müssen Sie die Installation außerdem als der Windows-Benutzer durchführen, der Microsoft Office installiert hat. Weitere Informationen zu Installationsberechtigungen finden Sie im Dokument Installieren und Bereitstellen von LiveCycle für Ihren Anwendungsserver.

    3.1.1 Sicherheit der Netzwerkschicht

    Sicherheitslücken der Netzwerkschicht gehören zu den Hauptbedrohungen für Internet- oder Intranet-orientierte Anwendungsserver. In diesem Abschnitt wird der Prozess zum Absichern von Hostrechnern im Netzwerk gegen diese Schwachstellen beschrieben. Zu den behandelten Themen gehören die Netzwerksegmentierung, das Absichern des TCP/IP-Stacks (Transmission Control Protocol/Internet Protocol) und die Verwendung von Firewalls für den Hostschutz.

    In der folgenden Tabelle werden gängige Prozesse beschrieben, die Schwachstellen der Netzwerksicherheit reduzieren.

    Thema

    Beschreibung

    Demilitarisierte Zonen (DMZs)

    Stellen Sie LiveCycle-Server innerhalb einer demilitarisierten Zone (DMZ) bereit. Die Segmentierung sollte in mindestens zwei Schichten bestehen, wobei sich der Anwendungsserver, auf dem LiveCycle ausgeführt wird, hinter der inneren Firewall befindet. Schirmen Sie das externe Netzwerk von der DMZ ab, die die Webserver enthält, und schirmen Sie die DMZ wiederum vom internen Netzwerk ab. Verwenden Sie Firewalls für die Implementierung der Abschirmungsebenen. Kategorisieren und Überwachen Sie den Netzwerkverkehr innerhalb der einzelnen Netzwerkschichten, um sicherzustellen, dass nur das absolute Minimum an erforderlichen Daten zulässig ist.

    Private IP-Adressen

    Verwenden Sie durch NAT (Network Address Translation) geschützte private IP-Adressen gemäß RFC 1918 auf LiveCycle-Anwendungsservern. Weisen Sie private IP-Adressen (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16) zu, um es einem Angreifer zu erschweren, Netzwerkverkehr über das Internet zu und von einem internen Host mit NAT zu leiten.

    Firewalls

    Nutzen Sie die folgenden Kriterien für die Auswahl einer Firewall-Lösung:

    • Implementieren Sie Firewalls, die Proxy-Server und/oder die statusbehaftete Inspektion anstelle einfacher Paketfilterlösungen unterstützen.

    • Verwenden Sie eine Firewall, die grundsätzlich jeden Netzwerkverkehr verbietet und nur die explizit zugelassenen Verbindungen erlaubt.

    • Implementieren Sie eine Dual-Homed- oder Multi-Homed-Firewall-Lösung. Diese Architektur bietet das größte Maß an Sicherheit und trägt dazu bei, ein Umgehen des Firewall-Schutzes durch nicht berechtigte Benutzer zu verhindern.

    Datenbankanschlüsse

    Verwenden Sie keine standardmäßigen Listening-Anschlüsse für Datenbanken (MySQL - 3306, Oracle - 1521, MS SQL - 1433). Informationen zum Ändern von Datenbankanschlüssen finden Sie in der Datenbankdokumentation.

    Die Verwendung eines anderen Datenbankanschlusses wirkt sich auf die gesamte LiveCycle-Konfiguration aus. Wenn Sie die Standardanschlüsse ändern, müssen Sie auch in anderen Bereichen der Konfiguration entsprechende Änderungen durchführen, z. B. bei den Datenquellen für LiveCycle.

    Informationen zum Konfigurieren von Datenquellen in LiveCycle finden Sie in Installieren undBereitstellen von LiveCycle oder Aktualisieren auf LiveCycle für Ihren Anwendungsserver in der Dokumentation zu LiveCycle.

    3.1.2 Betriebssystemsicherheit

    In der folgenden Tabelle werden mögliche Ansätze zum Verringern von Sicherheitslücken im Betriebssystem beschrieben.

    Thema

    Beschreibung

    Sicherheits-Patches

    Wenn vom Hersteller bereitgestellte Sicherheits-Patches und -Aktualisierungen nicht zeitnah installiert werden, besteht ein erhöhtes Risiko, dass nicht autorisierte Benutzer Zugriff auf den Anwendungsserver erlangen. Testen Sie Sicherheits-Patches, bevor Sie sie auf Produktionsserver anwenden.

    Erstellen Sie zudem Richtlinien und Prozeduren, damit Patches regelmäßig gesucht und installiert werden.

    Virenschutzsoftware

    Virenscanner können infizierte Dateien erkennen, indem sie nach einer Signatur suchen oder ungewöhnliches Verhalten ermitteln. Virenscanner speichern die Virussignaturen in einer Datei, die in der Regel auf der lokalen Festplatte abgelegt wird. Da häufig neue Viren entdeckt werden, sollten Sie diese Datei häufig aktualisieren, damit der Virenscanner alle aktuellen Viren erkennt.

    NTP (Network Time Protocol)

    Für die forensische Analyse ist erforderlich, dass die Uhrzeit auf LiveCycle-Servern exakt ist. Verwenden Sie NTP, um die Uhrzeit auf allen Systemen zu synchronisieren, die direkt mit dem Internet verbunden sind.

    Weitere Informationen zur Sicherheit für Ihr Betriebssystem finden Sie unter 2.1.1 Informationen zur Betriebssystemsicherheit.