Autor Thema: Notes Port & Sicherheit  (Gelesen 4453 mal)

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Notes Port & Sicherheit
« am: 10.01.08 - 13:48:47 »
Hi,

mal eine Frage bezüglich der Sicherheit im Domino Server.
Wenn ich den Notes Port (1532) freigebe über das Portforwarding in der Firewall, so das man den Domino Server von aussen erreicht, wie sicher oder unsicher ist das?

Zugriff kann eigentlich nur über Notes mit ID erfolgen, anonymous ist nicht gestattet.

MFG Michael

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Re: Notes Port & Sicherheit
« Antwort #1 am: 10.01.08 - 13:54:19 »
Tja, wie sicher ist das?
Sobald man durch Portanfragen einen Speicherüberlauf produzieren kann ist es unsicher.
Und wenn du sowieso anonymous nicht zulassen willst könntest du die FW eigentlich auch gleich für unbekannte IP-Adressen sperren.
Oder sollen sich User mit wechselnden IP-Adressen am Domino-Server anmelden?



Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: Notes Port & Sicherheit
« Antwort #2 am: 10.01.08 - 13:57:46 »
Oder sollen sich User mit wechselnden IP-Adressen am Domino-Server anmelden?
^^ ja auch. Es handelt sich um dabei um den Zugang für Home oder Mobile User. Also von aussen auf den Domino.

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Re: Notes Port & Sicherheit
« Antwort #3 am: 10.01.08 - 14:52:01 »
Das ist immer ein Loch irgendwo.
Dann stelle einen Dominoserver mit den notwendigen Repliken in eine DMZ. Dann hast du wenigstens keinen Netzzugriff für unbekannte IP-Adresen in dein internes Netz.

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: Notes Port & Sicherheit
« Antwort #4 am: 10.01.08 - 15:01:58 »
Das man mit genug krimineller Energie irgendwo rein kommt ist klar...
Wollte nur mal wissen wie das so eingeschätzt wird.

MFG Michael

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Re: Notes Port & Sicherheit
« Antwort #5 am: 10.01.08 - 15:22:22 »
Ich würde es nicht machen. auch nicht dass mit der DMZ. Wenn Domino Zugriff von aussen, dann nur mittels VPN. Wie willst du gewährleisten, dass alle Daten nur verschlüsselt übertragen werden, da dies ja auch eine Einstellung ist, die am Client eingestellt werden muß. Geht eventuell über Policys, aber das wäre mir auch zu unsicher.

Grüße

Ralf
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

Offline heini_schwammerl

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 697
  • Geschlecht: Männlich
Re: Notes Port & Sicherheit
« Antwort #6 am: 11.01.08 - 13:16:51 »
Wenn Du
a) Die Portverschlüsselung aktivierst
b) Sicherstellen kannst das Mitarbeiter die ausscheiden zuverlässig aus dem System verschwinden
c) Du Deine Systeme unter Wartung hast und Updates auch zeitnah vornehmen kannst
d) Du idealweise einen PassThruServer einrichten kannst der den Zugriff zusätzlich über Gruppen steuert.
halte ich das Risiko für kalkulierbar. Das Hauptproblem sehe ich nicht in irgendwelchen obskuren Portangriffen sondern das ehemalige Mitarbeiter, oft weitgehend unkontrolliert, Zugriff auf die Umgebung erhalten können.
Diese Problematik stellt sich auch mit manchem VPN Konzept.
Meine persönliche Meinung ist: Ich finde es schade, dass man die Vorteile der Dominoumgebung hier so selten nutzt. Dafür ist die ansonsten recht lästige NotesID ja da.
Ich gebe zu mein etwas pragmatischer Ansatz ist in vielen Firmen wie ein rotes Tuch.

Offline mundm

  • Frischling
  • *
  • Beiträge: 6
Re: Notes Port & Sicherheit
« Antwort #7 am: 12.01.08 - 16:00:18 »
Neben der Portverschlüsselung, die der Server erzwingen sollte,
solltest Du darauf achten das in der notes.ini
BLOCK_LOOKUPID=1 oder BLOCK_LOOKUPID=2 gesetzt ist und sich keine ID's im Directory befinden.
siehe dazu http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21248026

Ohne DMZ würde ich den öffentlichen Port in einen höheren Bereich legen.
Sprich das Portforwarding vom Router anpassen also z.B 33333 => 1352
In den Arbeitsdokumenten der Clients gibst Du dann als Adresse, die Adresse gefolgt von einem notes.deinedomain.de:33333 an. Funktioniert tadellos.

Liebe Grüße
Tim








Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: Notes Port & Sicherheit
« Antwort #8 am: 14.01.08 - 14:44:43 »
Vielen dank für das Feedback. Werde mir das mal durch den Kopf gehen lassen. Wohl doch eher SecureVPN.

MFG Michael

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz