Ports für Replizierung

[Stefan Bechtold]

Hallo Leute,

da ich weiß, dass ihr alle mehr wisst, als ich, frage ich lieber euch als meinen Verstand ;-) Und zwar geht es um folgendes...

Ich bin auf der Suche nach den Ports, die Notes für die Replizierung verwendet. Sind das festgelegte Ports oder werde die immer frei gewählt und falls sie frei gewählt werden, liegen sie evtl in einer Portspanne?

Ich habe folgendes vor: Unser Server ist durch eine Firewall vom Internet getrennt. Nun möchten wir aber, dass man zum Beispiel wenn man auf Reisen ist, sich mit einem Notebook einwählen kann und seine Datenbanken Replizieren kann, sodass man aus dem Ausland alle nötigen Infos zur Verfügung hat. Damit dies aber von statten gehen kann, muss ich ja über das Internet eine Verbindung zum Server aufbauen können. Dafür könnte ich eine Port-Weiterleitung auf den Server aktivieren. Jetzt ist nur die Frage, für welche Ports ich das mache und ob dies überhaupt mit einer Firewall zwischen Internet und Domino möglich ist (sollte ja eigentlich möglich sein).

Ich bin für jede Hilfe und auch für jeden kleinen Spaß dankbar *zwinker*

Danke im Voraus,


Gruß Stefan

[Hansenchr]

Hi Stefan,

du benötigt für Notes RPC Port 1352.
Ist kein Problem das in der Firefall zu schalten.
Wir haben einen Dominoserver in der DMZ, auf dem kann per Port 1352 zugegriffen werden, dazu habe ich den Zugriff mit einer Gruppe im Serverdokument beschränkt (Zugriff über 1352).
Auf diesen Server habe dann die Datenbanken der User Repliziert, und da der Server eine eigene Domäne hat und ein eigenes Adressbuch, habe ich für die Anmeldung eine eigene Names per Verzeichnisverwaltung eigerichtet.

Die Replikation der Maildatenbanken erfolgt nur vom Intranet in die DMZ und nicht aus der DMZ raus (Firewallregel), So ist die Sache recht sicher.

Hoffe ich konnte dir ein wenig Helfen

Nette Grüße

Christian

[g202e]

Was bitte ist "DMZ"?  

[Hansenchr]

DMZ=DMZ demilitarized zone.

Die DMZ liegt zwischen dem Intranet und dem Extranet.
Also von Aussen nach innen:

Internet
Firewall
DMZ
Firewall
Intranet

Alles Klar ?


Christian

[Fis]

Das würde mir aber Angst machen wenn ihr euren Server ausserhalb der Firewall stehen und nichts von einer DMZ gehört habt?? Wie schützt ihr euren Server? Habt ihr da auch Webapplikationen laufen oder fungiert er sogar als Mailserver?

[eknori]

wie war noch gleich die Adresse des Servers ?  

[Stefan Bechtold]

Ja, also in der DMZ wollte ich den Server nciht legen, Spaß beiseite, aber kann ich ihn auch direkt ans netz klemmen ;-)

Ich werde es mal mit dem Port versuchen, sofern der richtig ist sollte es ja damit alleine schon klappen. Über die Sicherheit werde ich mir schon noch so meine Gedanken machen. Hat jemand vielleicht noch andere Vorschläge zum Thema Sicherheit im Bezug auf Internet-Replizierung ?


Danke schonmal für deinen Tipp @ Hansenchr

Gruß Stefan

[Fis]

Wenn du deine Infrastruktur hier posten würdest, dann könnte man schon mal ein paar Tipps geben.

Gruß Rodan

[Stefan Bechtold]

Internet
Firewall
Domino / Clients (eine Ebene)

sprich die clients gehen nicht über server nach draußen, sondern direct über den Firewall Rechner. Die Ports sind bisher alle zu... sicher ist sicher, lediglich für Mailing wurden die Ports auf den Domino weitergeschaltet.

Ich dachte nun eben, dass wenn ich den Port für die Replizierung ebenso auf den Domino freischalte, mir dann dies sozusagen weltweit zur Verfügung steht.

Thema Sicherheit: Kann man den zugriff für die Replizierung speziell für gewisse User freischalten? Sowas wie ein Flaq im Userdokument im Server erstellen?

Gruß Stefan

[Fis]

Klar anomymous muß du auf No Access stellen und Default auf No Access und dann die einzelnen User in die ACL die Rechte zuweisen. Und scchon ist deine DB sicher

[MOD]

@ FIS
Unter sicher verstehe ich etwas anderes. Sorry.
Sicherheit über anonymous und default zu regeln ist zu wenig.

  MOD

[Fis]

Doch und zwar lediglich die DB´s falls der Server eine öffentliche IP besitzt und somit offen im I-Net ist. Das noch weitere zahlreiche Einstellungen nötig sind steht ausser Frage, dafür sind aber die Information immer noch ein wenig schwammig.
Aber er fragte ja ob es möglich ist, das für ein gewissen Kreis von Usern, die Replizierung zu ermöglichen

[Stefan Bechtold]

der Server ist von außen soweit nicht zugänglich.
Er sitzt wie gesagt hinter der Firewall.
Die Incoming Mails werden bei unserem Provider zwischengespeichert und dann abgeholt, sprich da ist auch keine direkte verbindung von user -> Server und bei abgehenden mails nutzen wir einen Relay-Server, also auch da nicht.

Alles in allem wäre dann nur der Port für die Replizierung aus dem internet direkt ansprechbar, also wie sicher ist das dann wenn ich Anonymous und Default verbiete und nur dem Chef, der das als einzigster braucht, freischalte?

(gehen wir davon aus, dass sein passwort sehr sicher ist: 20 Zeichen, alphanummerisch + sonderzeichen *g*)


Gruß Stefan

[Fis]

Das reicht dann vollkommen  

[Tyler]

das reicht meiner meinung nach nicht. denn immerhin ist der 1352 port für das ganze internet erreichbar.
es würde nur dann "reichen", wenn auf diesem server keine vertrauenswürdigen daten liegen, aber ein mailfile gehört definitiv in diese kategorie.
sicher wäre es, wenn du diesen server nicht in die dmz, sondern in das interne netz stellen würdest und dann den zugriff von aussen per vpn und secID steuern würdest. dazu bräcuhte dann aber jeder nutzer ein hardwaretoken um sich zu authetifizieren.
und solche secID server kosten auch bischen was, aber sicherheit hat nun mal seinen preis.