Domino 9 und frühere Versionen > ND6: Administration & Userprobleme
Notes Port vs. VPN Zugang
dh-paule:
Hallo zusammen,
ich habe hier 2 Experten und 3 Meinungen ;-)
Es geht um einen "externen" NotesServer der im Internet stehen wird.
Auf diesem Server werden sich kritische Daten befinden (Patientendaten, Software für Medizinprodukte)
Die User mit Lotus Notes Client gehen ins Internet und wollen den Server im Internet erreichen.
Ist eine verschlüsselte Verbindung über die Arbeitsumgebung "Internet" vergleichbar sicher wie ein VPN Client der zusätzlich auf dem Rechner des Users und dem Server laufen müsste ?
Uns geht es hauptsächlich darum das die Daten auf dem Weg vom und zum Server manipulationssicher übertragen werden.
Vielen Dank schon einmal für eure Tipps
flaite:
--- Zitat von: dh-paule am 28.11.07 - 13:28:03 ---Uns geht es hauptsächlich darum das die Daten auf dem Weg vom und zum Server manipulationssicher übertragen werden.
--- Ende Zitat ---
Dafür gibts auf http Ebene eigentlich ssl.
Ich frag mich jetzt ernsthaft, obs sowas für das von Notes verwendete Protokoll überhaupt gibt ???
VPN tunelt ja imho andere Protokolle in https Verbindungen ???
Vielleicht ist es zumindest für die Kunden einfacher, dass sie einen Browser benutzen. Dann geht nämlich ssl ???
Thomas Schulte:
@Axel ich glaub du hast da was übersehen.
Die wollen nicht mit dem Browser auf die Datenbanken auf dem Server zugreifen, sondern mit dem Notes Client und überlegen sich gerade ob sie dafür eine VPN Verbindung aufbauen wollen oder ob der Domino Port alleine von der Sicherheit her langt.
@paule
Ich sag jetzt mal das hängt davon ab wie paranoid ihr sein wollt. Bei einem echten Man in the Middle Attack habt ihr mit beiden Konzepten verloren.
Wenn ihr die Datenbank(en) auf den Server entsprechend verschlüsselt und die ACL's sauber eingestellt sind darf eigentlich auch mit der Domino Port Variante nichts passieren.
Dumm wird es nur dann, wenn jemand über den offenen Port 80 auf die Administration des Servers zugreifen kann. Oder auf File System Ebene.
Ergänzung: Ich habe noch nie gehört das jemand einen Domino Server der über das Internet über den Port 1352 und nur über diesen erreichbar ist gehackt hat. Das heist nicht das es unmöglich wäre. Aber ich habe noch keinen Beweis dafür geliefert bekommen das es schon mal jemand geschafft hat.
Noch ne Ergänzung: Von wegen Paranoia. VPN von außen über einen Client und nur auf den Port 1352 des Servers und alles andere dicht machen. Das ist dann mit Sicherheit ..... sicher.
WernerMo:
Hallo,
--- Zitat von: dh-paule am 28.11.07 - 13:28:03 ---Die User mit Lotus Notes Client gehen ins Internet und wollen den Server im Internet erreichen.
--- Ende Zitat ---
soll doch heißen, die User greifen mit NotesClients auf den Server zu, sind aber nicht im LAN des Servers, sondern "irgendwo" und nutzen das Internet.
In dem Fall steht kein ssl zur Verfügung (wäre z.B. bei webmail oder webapplikation). Wenn es Notesclient sein soll/muss, wirst Du um (Open)VPN nicht rumkommen.
Gruß Werner
PS und dann kannst Du/Ihr auch wieder ein gutes Gefühl haben.
Grüße nach Jena (?DNUG?)
m3:
Axel: Ja, "SSL" gibts auch schon für native Notes-Verbindungen schon länger.
--- Zitat ---Network port encryption allows unencrypted data to be encrypted at the port
level for safe transport through the network. Network port encryption can be
enabled for a user's workstation or at a server by selecting File →
Preferences → Ports to modify the port definition to encrypt network data.
It is important to point out that in the case of port encryption, unlike for the
previously shown examples, RC4 is used instead of RC2. This is done because
RC4 is a specialized cipher for the encryption of streaming data, whereas RC2 is
more specialized for block encryption of data.
--- Ende Zitat ---
@Werner: Je nachdem, wie "sicher" der Server konfiguriert ist und in welchem Umfeld er beheimatet ist (DMZ, IDS, Reverse Proxy mit Filtern, etc.) "braucht" man daher bei Domino > 6.x IMHO keine VPN-Verbindung, wenn es NUR ums Thema "verschlüsselte Datenübertragung" geht.
Notes 8:
--- Zitat ---The Lotus Notes proprietary protocols support the use of 630-bit, 1024-bit, and 2048-bit keys for key exchange, signing, and authenticating user identity, and use 64- and 128-bit keys for bulk data encryption. The Lotus Notes proprietary protocols also support 2048-bit user keys, and can still use old keys (512-bit, 380-bit) that were created with earlier versions of Lotus Domino.
--- Ende Zitat ---
Notes 6:
--- Zitat ---The Notes proprietary protocols use a 630-bit key for key exchange, and a 64-bit symmetric key.
--- Ende Zitat ---
Help Protect Yourself with New Security Features in IBM Lotus Domino 8 (PDF):
--- Zitat ---6.0
Can use 1024 bit RSA keys, but will not generate them
Can use 128-bit RC4 keys, but cannot use 128 bit RC2 keys
6.0.4/6.5.1
Can use 1024 bit RSA keys, but will not generate them
Can use 128 bit RC2 keys, but will not generate them
7.0
Can generate and use 1024 bit RSA keys
Can generate and use 128 bit RC2 keys
Adds underlying support for 2048 bit RSA keys
8.0
Can generate and use 2048 bit RSA keys for users and servers
Can generate and use 4096 bit RSA keys for certifiers
Adds underlying support for 4096 bit RSA keys for users and servers
Adds underlying support for 8192 bit RSA keys for certifiers
--- Ende Zitat ---
"Sicher" müsste aber derzeit selbst noch die RC4-Verschlüsselung mit dem 630 Bit Key sein:
--- Zitat --- 64 bit keys (RC2, RC4)
+) Distributed.Net cracked a 64-bit RC5 key in 2002
- 331,252 people working together for 1,757 days
- Equivalent to 790 days at an artificial peak rate equivalent to 46k 2GHz Athlon CPUs
- RC5-72 crack started in 2002, and still in progress
+) 128 bit keys (RC2, RC4, AES)
- A machine that could crack a 56-bit key in 1 second would take approximately 149
thousand billion years to crack a 128-bit key.
--- Ende Zitat ---
Paule, ihr wollt euch das Lotus Security Handbook ansehen, sowie in Betracht ziehen, zumindest Notes/Domino 7 einzusetzten, da hier die Schlüssellängen gegenüber 6.x deutlich erhöht wurden.
Wenn Ihr aber wirklich paranoid seid, kommt ihr um
a) Dokumentverschlüsselung mit Notes-Methoden
b) NRPC-Verschlüsselung
c) VPN mit Mehrfach-Faktor Authentifizierung (RSA SecurID Token, udgl.)
sowieso nicht herum (verschlüsseln der lokalen Repliken (mit hoher Sicherheit) und Festplatten bitte nicht vergessen, siehe das Datenschutz-Desaster in UK).
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln