Domino 9 und frühere Versionen > ND6: Administration & Userprobleme

Domino-Server für Webzugriffe absichern

(1/4) > >>

Axel:
Hi,

wir wollen unseren "Ausländern" (Kollegen die längere Zeit im Ausland tätig sind ) den Zugriff auf ihre Mails ermöglichen. Dazu haben wir einen Domino-Server in eine DMZ gestellt und wollen dort Repliken der entsprechenden Mail-DBs halten.

Meine Frage ist nun, was muss ich denn bei der Konfiguration des Servers beachten, um ihn einigermaßen wasserdicht zu bekommen?

Wie gesagt er steht in einer DMZ und von außen sind nur HTTP -Zugriffe erlaubt. Nach innen sind nur DNS und Notes-Zugriffe zu bestimmten Servern erlaubt. In den ACL habe ich nirgends den Anonymous drin und die Datenbanksuche mit HTTP-Clients habe ich deaktiviert.


Axel

MartinG:
Bastian hat hier schon einiges dazu geschrieben:
http://www.dominoforum.de/modules/newbb/viewtopic.php?viewmode=flat&topic_id=6921&forum=11

Axel:
Hi Martin,

danke erstmal für den Link. Den werde ich mir mal zu Gemüte führen.


Axel

datenbanken24:
Das ist kein Spass,
der Domino-Server im Web sollte wirklich von einem Profi eingerichtet werden.

Es sind die Kleinigkeiten und die richtigen Haken an der richtigen Stelle, die ihn sicher oder unsicher machen.

Es gibt bereits genug "nette Menschen" und "Hack"-Programme da draussen, die genau wissen, was die Domino Admins gerne vergessen oder übersehen.
Dass der Domino noch einen "Schutz" hat, weil er nicht so weit verbreitet ist, die Zeiten sind vorbei.

Wir haben auf unseren datenbanken24 Servern manchmal bis zu 10 HTTP-"Domino-Intensiv-Hacks" pro Nacht, abgesetzt IP-Adressen von New-York bis Nowosibirsk.
Und damit meine ich jeweils das komplette Standard-200-Programm,
vom catalog über die names bis zur help.nsf, von ../cgi bis zum 256x"0",
von ?openX bis ?readY, usw.

Da hier oft die gleichen Commands mit den gleichen Parametern in der gleichen Reihenfolge kommen, sind da mehr oder weniger bekannte Programme im Spiel. Man hat also im Zweifelsfall einen Domino mit fehlerhafter oder unvollständiger Si-Konfig in wenigen Minuten erkannt.

Wenn man alles beachtet, z.B. auch, was Banxx dort schreibt,
und unbedingt Linux als OS hat,
kann man als Admin aber dann doch die eine oder andere Nacht ruhig schlafen.

Und dann macht es richtig Spass, zu sehen, wie die ganzen
Exchange-, IIS-, CGI-, PHP- und Appachen-Angiffe
(die täglich in zehnfacher Menge einschlagen)
so schön wirkunsglos und berührungslos am Domino verpuffen.

KoshNaranek:
Ich würde da die VPN-Tunnel-Variante in Betracht ziehen.
Cisco's Global Remote Access oder CheckPoint's Firewall 1.
Wenn es pur Web sein soll wabert mir da noch "Netasq" durch den Kopf...

Dann kommen die Leute über eine sichere Verbindung direkt ins Netz und können direkt mit Ihrem Notes arbeiten (wenn die Bandbreite stimmt) oder auch darüber Web-Access machen.

Ok... ist was teurer und wohl auch eher was für einen Netzwerker als einen Notes-Admin... sollte man aber bei dieser Aufgabenstellung evtl. mal drüber nachdenken.

Sollte sowas VPN-mäßiges schon vorhanden sein --> auf jeden Fall benutzen.
Ist auf jeden Fall einfacher, als einen weiteren Notes-Server in einer DMZ zu pflegen.

Navigation

[0] Themen-Index

[#] Nächste Seite