Autor Thema: Domino-Server für Webzugriffe absichern  (Gelesen 3885 mal)

Offline Axel

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.658
  • Geschlecht: Männlich
  • It's not a bug, it's Notes
Domino-Server für Webzugriffe absichern
« am: 04.02.05 - 19:12:32 »
Hi,

wir wollen unseren "Ausländern" (Kollegen die längere Zeit im Ausland tätig sind ) den Zugriff auf ihre Mails ermöglichen. Dazu haben wir einen Domino-Server in eine DMZ gestellt und wollen dort Repliken der entsprechenden Mail-DBs halten.

Meine Frage ist nun, was muss ich denn bei der Konfiguration des Servers beachten, um ihn einigermaßen wasserdicht zu bekommen?

Wie gesagt er steht in einer DMZ und von außen sind nur HTTP -Zugriffe erlaubt. Nach innen sind nur DNS und Notes-Zugriffe zu bestimmten Servern erlaubt. In den ACL habe ich nirgends den Anonymous drin und die Datenbanksuche mit HTTP-Clients habe ich deaktiviert.


Axel
Ohne Computer wären wir noch lange nicht hinterm Mond!

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Domino-Server für Webzugriffe absichern
« Antwort #1 am: 04.02.05 - 19:53:30 »
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Axel

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.658
  • Geschlecht: Männlich
  • It's not a bug, it's Notes
Re: Domino-Server für Webzugriffe absichern
« Antwort #2 am: 04.02.05 - 20:56:39 »
Hi Martin,

danke erstmal für den Link. Den werde ich mir mal zu Gemüte führen.


Axel
Ohne Computer wären wir noch lange nicht hinterm Mond!

Offline datenbanken24

  • Senior Mitglied
  • ****
  • Beiträge: 390
  • Geschlecht: Männlich
  • Stammgast
    • datenbanken24
Re: Domino-Server für Webzugriffe absichern
« Antwort #3 am: 05.02.05 - 00:41:18 »
Das ist kein Spass,
der Domino-Server im Web sollte wirklich von einem Profi eingerichtet werden.

Es sind die Kleinigkeiten und die richtigen Haken an der richtigen Stelle, die ihn sicher oder unsicher machen.

Es gibt bereits genug "nette Menschen" und "Hack"-Programme da draussen, die genau wissen, was die Domino Admins gerne vergessen oder übersehen.
Dass der Domino noch einen "Schutz" hat, weil er nicht so weit verbreitet ist, die Zeiten sind vorbei.

Wir haben auf unseren datenbanken24 Servern manchmal bis zu 10 HTTP-"Domino-Intensiv-Hacks" pro Nacht, abgesetzt IP-Adressen von New-York bis Nowosibirsk.
Und damit meine ich jeweils das komplette Standard-200-Programm,
vom catalog über die names bis zur help.nsf, von ../cgi bis zum 256x"0",
von ?openX bis ?readY, usw.

Da hier oft die gleichen Commands mit den gleichen Parametern in der gleichen Reihenfolge kommen, sind da mehr oder weniger bekannte Programme im Spiel. Man hat also im Zweifelsfall einen Domino mit fehlerhafter oder unvollständiger Si-Konfig in wenigen Minuten erkannt.

Wenn man alles beachtet, z.B. auch, was Banxx dort schreibt,
und unbedingt Linux als OS hat,
kann man als Admin aber dann doch die eine oder andere Nacht ruhig schlafen.

Und dann macht es richtig Spass, zu sehen, wie die ganzen
Exchange-, IIS-, CGI-, PHP- und Appachen-Angiffe
(die täglich in zehnfacher Menge einschlagen)
so schön wirkunsglos und berührungslos am Domino verpuffen.


Offline KoshNaranek

  • Senior Mitglied
  • ****
  • Beiträge: 292
  • Geschlecht: Männlich
  • wer Tippfehler findet, darf sie behalten
Re: Domino-Server für Webzugriffe absichern
« Antwort #4 am: 05.02.05 - 01:36:18 »
Ich würde da die VPN-Tunnel-Variante in Betracht ziehen.
Cisco's Global Remote Access oder CheckPoint's Firewall 1.
Wenn es pur Web sein soll wabert mir da noch "Netasq" durch den Kopf...

Dann kommen die Leute über eine sichere Verbindung direkt ins Netz und können direkt mit Ihrem Notes arbeiten (wenn die Bandbreite stimmt) oder auch darüber Web-Access machen.

Ok... ist was teurer und wohl auch eher was für einen Netzwerker als einen Notes-Admin... sollte man aber bei dieser Aufgabenstellung evtl. mal drüber nachdenken.

Sollte sowas VPN-mäßiges schon vorhanden sein --> auf jeden Fall benutzen.
Ist auf jeden Fall einfacher, als einen weiteren Notes-Server in einer DMZ zu pflegen.
« Letzte Änderung: 05.02.05 - 02:06:55 von KoshNaranek »
..:: Guido ::..
3 Jahre R4.6 - Client-Support / 3 Jahre Pause von Notes / 6 Jahre Domino/Notes 6.5 und fast glücklich
aktuell R8.5.2FP3 Server mit 540 Usern

Der Schwung eines Pinsels erschafft noch kein geniales Gemälde.

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Domino-Server für Webzugriffe absichern
« Antwort #5 am: 05.02.05 - 03:30:52 »
VPN ist hier sicher angebracht für die Leute, die längere Zeit und mit ihrem eigenen "Arbeitsplatz" unterwegs sind, ist aber keine Lösung fürs Internet-Café
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline KoshNaranek

  • Senior Mitglied
  • ****
  • Beiträge: 292
  • Geschlecht: Männlich
  • wer Tippfehler findet, darf sie behalten
Re: Domino-Server für Webzugriffe absichern
« Antwort #6 am: 05.02.05 - 04:02:31 »
Doch doch... Die Netasq-Lösung kann das. Die baut irgendwie über die Firewall und den Browser eine gesicherte Verbindung mit Zertifikaten und https & Co.

Man ruft erst die Site der Firewall auf, gibt Name und Passwort ein und kann dann in dieser Sitzung "sicher" ins Firmennetz. Frag mich nicht, wie das geht. Ich bin kein Netzwerker :-) Habe es aber schon "live" gesehen, wenn unsere franz. Kollegen bei uns ihre Mails via iNotes geschaut haben. Da wir keine Leitung zu denen haben, gehen die einfach über unseren Proxy raus.

Ich glaube, Cisco hat auch so was... Checkpoint braucht nen Client...
« Letzte Änderung: 05.02.05 - 04:08:26 von KoshNaranek »
..:: Guido ::..
3 Jahre R4.6 - Client-Support / 3 Jahre Pause von Notes / 6 Jahre Domino/Notes 6.5 und fast glücklich
aktuell R8.5.2FP3 Server mit 540 Usern

Der Schwung eines Pinsels erschafft noch kein geniales Gemälde.

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Domino-Server für Webzugriffe absichern
« Antwort #7 am: 05.02.05 - 04:12:56 »
Ok, das ist vom Typ Proxylösung, das geht natürlich, fragt sich allerdings, ob das Sinn macht, denn, zwischen dem Inetcafé und dem Proxy existiert eine SSL-Verbindung, mehr gibt eine Standardlösung nicht her. Dann stellt sich die sehr berechtige Frage, warum man dann nicht gleich mit einer SSL in den Domino reingeht, denn diese Möglichkeit gibt es ja auch. Ein Layer weniger in der Komplexität bei gleicher Sicherheit.
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline KoshNaranek

  • Senior Mitglied
  • ****
  • Beiträge: 292
  • Geschlecht: Männlich
  • wer Tippfehler findet, darf sie behalten
Re: Domino-Server für Webzugriffe absichern
« Antwort #8 am: 05.02.05 - 04:43:25 »
Wir gehen halt über einen Proxy ins Internet. Anders kommen wir nicht raus. Diese "Zertifikat"-Lösung klappt aber scheinbar ganz gut. Da noch einen Hardware-Token-Lösung dabei und sollte eigentlich "sicher genug" sein, wenn man den Weg "Domino->Firewall" noch entsprechend dicht macht... Wo sind die Netzwerker, wenn man sie braucht???  ;D

..:: Guido ::..
3 Jahre R4.6 - Client-Support / 3 Jahre Pause von Notes / 6 Jahre Domino/Notes 6.5 und fast glücklich
aktuell R8.5.2FP3 Server mit 540 Usern

Der Schwung eines Pinsels erschafft noch kein geniales Gemälde.

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Domino-Server für Webzugriffe absichern
« Antwort #9 am: 05.02.05 - 11:13:08 »
Zitat
VPN ist hier sicher angebracht für die Leute, die längere Zeit und mit ihrem eigenen "Arbeitsplatz" unterwegs sind, ist aber keine Lösung fürs Internet-Café 

SSL-VPN ist wirklich schwer im kommen, ich höre ständig nur gutes davon, allerdings hauptsächlich von Vertrieblern. Wir machen hier nur Checkpointgeschichten und dort muss das SSL-VPN extra und vor allem teuer lizenzert werden. Ich denke aber schon das dies die Zukunft sein könnte. Ich persönlich versuche solche Geschichten aber so lange wie möglich zu blocken.

Aber die Diskussion haben wir hier ja schon mal geführt - ich tendiere lieber zur klassischen Replikationslösung über VPN (mit Zertifikat + Passwort!)  per Notebook (Modem, ISDN bzw. immer mehr über GPRS/UMTS)...
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Axel

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.658
  • Geschlecht: Männlich
  • It's not a bug, it's Notes
Re: Domino-Server für Webzugriffe absichern
« Antwort #10 am: 07.02.05 - 10:12:52 »
VPN ist hier sicher angebracht für die Leute, die längere Zeit und mit ihrem eigenen "Arbeitsplatz" unterwegs sind, ist aber keine Lösung fürs Internet-Café

Dem kann ich nur zustimmen. Wir haben auch VPN - Zugänge, aber in einem Internet-Cafe bist du damit aufgeschmissen, da hier ja noch ein Stück Software installiert werden muss. Teilweise sind unsere Kollegen auch in "kritischen" Ländern unterwegs, wo der Internet-Zugang sogar staatlich kontrolliert nur über einen bestimmten Proxy funktioniert. Da ist dann erst recht nix mit VPN.

Deshalb haben wir uns für den WebAccess-Weg entschieden. Das ist, im Moment, die flexibelste Alternative.


Axel
Ohne Computer wären wir noch lange nicht hinterm Mond!

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Domino-Server für Webzugriffe absichern
« Antwort #11 am: 07.02.05 - 10:49:53 »
Nicht mit SSL-VPN, da brauchst Du keinen Clientinstallation o.ä. mehr. Du gehst immer noch vom Standard-VPN Client aus...
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Axel

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.658
  • Geschlecht: Männlich
  • It's not a bug, it's Notes
Re: Domino-Server für Webzugriffe absichern
« Antwort #12 am: 07.02.05 - 12:57:52 »
Hi,

hört sich interessant an. Was braucht man denn dazu alles und was kostet denn der Spaß (das ist immer die erste Frage der Häuptlinge  ;D). Kannst du mir ein paar nähere Infos dazu geben?


Axel
 
Ohne Computer wären wir noch lange nicht hinterm Mond!

Glombi

  • Gast

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Domino-Server für Webzugriffe absichern
« Antwort #14 am: 12.02.05 - 20:29:14 »
Hallo Axel,

sorry - hab Deine Frage irgendwie überlesen...

Anbieten tut das auf jeden Fall Checkpoint, wenn Ihr eine Checkpoint FW habt dann zwingt sich das quasi auf. Zu Kosten etc kann ich leider nichts sagen, ist auf jeden Fall aber nicht billig.

NIIT Tech vertreibt m.W. auch so eine Lösung.
http://www.adsolutions.de

Wie schon erwähnt, praktische Erfahrungen etc habe ich keinerlei, nur schon einiges positive davon gehört...
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Axel

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.658
  • Geschlecht: Männlich
  • It's not a bug, it's Notes
Re: Domino-Server für Webzugriffe absichern
« Antwort #15 am: 14.02.05 - 08:44:44 »
sorry - hab Deine Frage irgendwie überlesen...


Hi Martin,


kein Problem.  Danke für die Hinweise.


Axel
Ohne Computer wären wir noch lange nicht hinterm Mond!

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz