Autor Thema: Traveler Server in DMZ oder über Reverse Proxy?  (Gelesen 6381 mal)

Offline Fitz

  • Senior Mitglied
  • ****
  • Beiträge: 274
  • Geschlecht: Männlich
Traveler Server in DMZ oder über Reverse Proxy?
« am: 20.01.12 - 09:35:46 »
Hallo Traveler Administrator,

die bestehenden Postings hier in Atnotes haben mich "Gefühlsmäßig" leider noch nicht weiter gebracht. Ich möchte einen Traveler Server aufsetzen und bin mir nicht sicher wie ich es machen soll.

Daher meine Fragen an Euch:
Wo habt IHR den Traveler Service am laufen? Angebunden über einen Reverse Proxy oder direkt in der DMZ?

Welchen "gewaltigen" Vorteil hat denn ein Reverse Proxy? Wieviel Mehraufwand ist erforderlich? Gibt es evtl. Einschränkungen?
Ist ein Notes Server in einer DMZ der per nur https erreichbar ist "grundsätzlich" ein NoGo????

Diese Fragen kamen mir auf als ich das (tolle!) Best Practice PDF von Paul Mooney & Gabriella Davis durchlass
http://www.pmooney.net/2012/01/lotus-traveler-level-up-download-here/

Hier ein Auszug daraus:

Direct connection - Traveler Server in DMZ

• Traveler server placed in DMZ
-Mail files are not on the Traveler server
• Accessed directly
-Via http(s)
-Port 80/443
• Access mail servers
-Port 1352
• Replication
-Port 1352 (bi directional)

• Pros
-Relatively simple setup
-Only a DMZ required
-No other appliance/software/hardware cost required
• Cons
-Ability to be least secure
-Is your OS hardened
-Is Domino hardened
-Your Domino server will be available on the internet
-What do you do when you see a .nsf site on the internet?
-Be honest....

--------------

Reverse proxy connection - reverse Proxy in DMZ

• Traveler configured on LAN
• Reverse proxy deployed in DMZ
• Devices authenticate through reverse proxy
-Reverse proxy must support 1.2 times the amount of devices
-Long running sessions
-“constantly” active
-Reverse proxy must respond with standard HTTP response codes
-e.g. 401 for authentication failure as opposed to custom form
-Devices will not understand custom form
• Modify the server document for the Traveler server to point to the reverse proxy

• Pros
-More secure
-Domino server not available on the internet directly
-Relatively easy to setup
-Requires more configuration work on the Traveler side
-Multi functional
-If you setup a reverse proxy, you ca use it for many things
• Cons
-More cost
-Reverse proxy software/hardware
-Keep in mind many standard reverse proxies will work
-IBM Mobile connect, Edge server for example
-More configuration work

Danke für Eure Infos!!!

Gruß
Bernd
9x Domino Server 11.0.1
BlackBerry UEM12 Server
IBM Content Manager, ICC4Mail, eDiscovery Manager
Sametime 11.5

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Traveler Server in DMZ oder über Reverse Proxy?
« Antwort #1 am: 20.01.12 - 10:43:46 »
Kommt ganz auf den Laden an wo du arbeitest und wie sicher es sein soll.
Da du ja iphone und android syncen willst, kanns mit der Sicherheit nicht so hoch her sein. :-)

Wenn du dich für die DMZ entscheiden solltest, würde ich dir empfehlen den Server in einer extra Domain zu installieren. Somit hast du zwei Vorteile auf der Hand, du bist erstens nicht auf deine Domain angewiesen wenn du Updates fahren willst für Traveler und nicht gleichzeitig die komplette Domino Domain anheben willst und zweitens steht nicht direkt dein komplettes names.nsf etc. in der DMZ. Anbindung könnte man dann über dircat machen.

Ich persönlich betreibe den Traveler bei uns in der Domain und ebenfalls nicht in der DMZ. Habe MobileIron zur Verwaltung und Absicherung davor. Ist zwar alles nicht so toll wie BlackBerry, aber wenns die Golfspieler haben wollen, muss mans wohl machen, dann aber wenigstens annähernd so sicher wie BlackBerry.
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline Fitz

  • Senior Mitglied
  • ****
  • Beiträge: 274
  • Geschlecht: Männlich
Re: Traveler Server in DMZ oder über Reverse Proxy?
« Antwort #2 am: 23.01.12 - 15:27:45 »
Hallo Matthias,

Danke für Deine Infos. Ich habe mich für folgende Implementation entschieden:

Reverse Proxy in der DMZ - Traveler Server im LAN - Domino in einer extra Domain (Adressbuch Abindung mittels dircat / da.nsf)

Das ist zwar der "höchste" Aufwand aber dann ist hoffentlich der Sicherheit genüge getan  ;D

Danke und Gruß
Bernd

9x Domino Server 11.0.1
BlackBerry UEM12 Server
IBM Content Manager, ICC4Mail, eDiscovery Manager
Sametime 11.5

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Traveler Server in DMZ oder über Reverse Proxy?
« Antwort #3 am: 24.01.12 - 07:52:35 »
Zitat
aber dann ist hoffentlich der Sicherheit genüge getan

hängt ganz vom reverse Proxy ab. Wenn ihr da bereits ne WAF oder sowas in der Art habt, dann wunderbar. Wenn du erst anfängst mit nem Apache rumzubauen, dann weiss ich nicht ob das andere nicht doch sinnvoller wäre.
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline Fitz

  • Senior Mitglied
  • ****
  • Beiträge: 274
  • Geschlecht: Männlich
Re: Traveler Server in DMZ oder über Reverse Proxy?
« Antwort #4 am: 24.01.12 - 16:26:24 »
Hallo Matthias,

den Reverse Proxy wollte ich im zweiten Schritt installieren, nachdem der Traveler Server "intern" sauber läuft.
Wir haben keinen Reverse Proxy im Einsatz und ich muß zugeben dass ich keine Erfahrung damit habe. Geplant hatte ich den NGINX.org Proxy zu nehmen. Ist denn eine sichere Proxy Konfiguration extrem schwierig hinzubekommen? Parallel werde ich mal nach einem Partner Ausschau halten.

Danke und Gruß
Bernd
9x Domino Server 11.0.1
BlackBerry UEM12 Server
IBM Content Manager, ICC4Mail, eDiscovery Manager
Sametime 11.5

Offline Joga

  • Frischling
  • *
  • Beiträge: 39
Re: Traveler Server in DMZ oder über Reverse Proxy?
« Antwort #5 am: 26.01.12 - 19:51:05 »
unser Traveler steht in der DMZ, von aussen nur https, in Richtung LAN lediglich Port 1352 auf den Durchgangsserver, bis auf das NAB und die administrativen DB, ist er leer und die ACL's "dicht"
Domino 8.5 (W2K3 auf VMWare ESX im "repliziertem" FC SAN)
Notes Clients V7
Traveler 8.5.1 für WM Geräte

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz