Domino-Server für Webzugriffe absichern

[Axel]

Hi,

wir wollen unseren "Ausländern" (Kollegen die längere Zeit im Ausland tätig sind ) den Zugriff auf ihre Mails ermöglichen. Dazu haben wir einen Domino-Server in eine DMZ gestellt und wollen dort Repliken der entsprechenden Mail-DBs halten.

Meine Frage ist nun, was muss ich denn bei der Konfiguration des Servers beachten, um ihn einigermaßen wasserdicht zu bekommen?

Wie gesagt er steht in einer DMZ und von außen sind nur HTTP -Zugriffe erlaubt. Nach innen sind nur DNS und Notes-Zugriffe zu bestimmten Servern erlaubt. In den ACL habe ich nirgends den Anonymous drin und die Datenbanksuche mit HTTP-Clients habe ich deaktiviert.


Axel

[MartinG]

Bastian hat hier schon einiges dazu geschrieben:
http://www.dominoforum.de/modules/newbb/viewtopic.php?viewmode=flat&topic_id=6921&forum=11

[Axel]

Hi Martin,

danke erstmal für den Link. Den werde ich mir mal zu Gemüte führen.


Axel

[datenbanken24]

Das ist kein Spass,
der Domino-Server im Web sollte wirklich von einem Profi eingerichtet werden.

Es sind die Kleinigkeiten und die richtigen Haken an der richtigen Stelle, die ihn sicher oder unsicher machen.

Es gibt bereits genug "nette Menschen" und "Hack"-Programme da draussen, die genau wissen, was die Domino Admins gerne vergessen oder übersehen.
Dass der Domino noch einen "Schutz" hat, weil er nicht so weit verbreitet ist, die Zeiten sind vorbei.

Wir haben auf unseren datenbanken24 Servern manchmal bis zu 10 HTTP-"Domino-Intensiv-Hacks" pro Nacht, abgesetzt IP-Adressen von New-York bis Nowosibirsk.
Und damit meine ich jeweils das komplette Standard-200-Programm,
vom catalog über die names bis zur help.nsf, von ../cgi bis zum 256x"0",
von ?openX bis ?readY, usw.

Da hier oft die gleichen Commands mit den gleichen Parametern in der gleichen Reihenfolge kommen, sind da mehr oder weniger bekannte Programme im Spiel. Man hat also im Zweifelsfall einen Domino mit fehlerhafter oder unvollständiger Si-Konfig in wenigen Minuten erkannt.

Wenn man alles beachtet, z.B. auch, was Banxx dort schreibt,
und unbedingt Linux als OS hat,
kann man als Admin aber dann doch die eine oder andere Nacht ruhig schlafen.

Und dann macht es richtig Spass, zu sehen, wie die ganzen
Exchange-, IIS-, CGI-, PHP- und Appachen-Angiffe
(die täglich in zehnfacher Menge einschlagen)
so schön wirkunsglos und berührungslos am Domino verpuffen.

[KoshNaranek]

Ich würde da die VPN-Tunnel-Variante in Betracht ziehen.
Cisco's Global Remote Access oder CheckPoint's Firewall 1.
Wenn es pur Web sein soll wabert mir da noch "Netasq" durch den Kopf...

Dann kommen die Leute über eine sichere Verbindung direkt ins Netz und können direkt mit Ihrem Notes arbeiten (wenn die Bandbreite stimmt) oder auch darüber Web-Access machen.

Ok... ist was teurer und wohl auch eher was für einen Netzwerker als einen Notes-Admin... sollte man aber bei dieser Aufgabenstellung evtl. mal drüber nachdenken.

Sollte sowas VPN-mäßiges schon vorhanden sein --> auf jeden Fall benutzen.
Ist auf jeden Fall einfacher, als einen weiteren Notes-Server in einer DMZ zu pflegen.

[Semeaphoros]

VPN ist hier sicher angebracht für die Leute, die längere Zeit und mit ihrem eigenen "Arbeitsplatz" unterwegs sind, ist aber keine Lösung fürs Internet-Café

[KoshNaranek]

Doch doch... Die Netasq-Lösung kann das. Die baut irgendwie über die Firewall und den Browser eine gesicherte Verbindung mit Zertifikaten und https & Co.

Man ruft erst die Site der Firewall auf, gibt Name und Passwort ein und kann dann in dieser Sitzung "sicher" ins Firmennetz. Frag mich nicht, wie das geht. Ich bin kein Netzwerker :-) Habe es aber schon "live" gesehen, wenn unsere franz. Kollegen bei uns ihre Mails via iNotes geschaut haben. Da wir keine Leitung zu denen haben, gehen die einfach über unseren Proxy raus.

Ich glaube, Cisco hat auch so was... Checkpoint braucht nen Client...

[Semeaphoros]

Ok, das ist vom Typ Proxylösung, das geht natürlich, fragt sich allerdings, ob das Sinn macht, denn, zwischen dem Inetcafé und dem Proxy existiert eine SSL-Verbindung, mehr gibt eine Standardlösung nicht her. Dann stellt sich die sehr berechtige Frage, warum man dann nicht gleich mit einer SSL in den Domino reingeht, denn diese Möglichkeit gibt es ja auch. Ein Layer weniger in der Komplexität bei gleicher Sicherheit.

[KoshNaranek]

Wir gehen halt über einen Proxy ins Internet. Anders kommen wir nicht raus. Diese "Zertifikat"-Lösung klappt aber scheinbar ganz gut. Da noch einen Hardware-Token-Lösung dabei und sollte eigentlich "sicher genug" sein, wenn man den Weg "Domino->Firewall" noch entsprechend dicht macht... Wo sind die Netzwerker, wenn man sie braucht??? 

[MartinG]

VPN ist hier sicher angebracht für die Leute, die längere Zeit und mit ihrem eigenen "Arbeitsplatz" unterwegs sind, ist aber keine Lösung fürs Internet-Café 

SSL-VPN ist wirklich schwer im kommen, ich höre ständig nur gutes davon, allerdings hauptsächlich von Vertrieblern. Wir machen hier nur Checkpointgeschichten und dort muss das SSL-VPN extra und vor allem teuer lizenzert werden. Ich denke aber schon das dies die Zukunft sein könnte. Ich persönlich versuche solche Geschichten aber so lange wie möglich zu blocken.

Aber die Diskussion haben wir hier ja schon mal geführt - ich tendiere lieber zur klassischen Replikationslösung über VPN (mit Zertifikat + Passwort!)  per Notebook (Modem, ISDN bzw. immer mehr über GPRS/UMTS)...

[Axel]

VPN ist hier sicher angebracht für die Leute, die längere Zeit und mit ihrem eigenen "Arbeitsplatz" unterwegs sind, ist aber keine Lösung fürs Internet-Café

Dem kann ich nur zustimmen. Wir haben auch VPN - Zugänge, aber in einem Internet-Cafe bist du damit aufgeschmissen, da hier ja noch ein Stück Software installiert werden muss. Teilweise sind unsere Kollegen auch in "kritischen" Ländern unterwegs, wo der Internet-Zugang sogar staatlich kontrolliert nur über einen bestimmten Proxy funktioniert. Da ist dann erst recht nix mit VPN.

Deshalb haben wir uns für den WebAccess-Weg entschieden. Das ist, im Moment, die flexibelste Alternative.


Axel

[MartinG]

Nicht mit SSL-VPN, da brauchst Du keinen Clientinstallation o.ä. mehr. Du gehst immer noch vom Standard-VPN Client aus...

[Axel]

Hi,

hört sich interessant an. Was braucht man denn dazu alles und was kostet denn der Spaß (das ist immer die erste Frage der Häuptlinge  ). Kannst du mir ein paar nähere Infos dazu geben?


Axel
 

[Glombi]

Hier noch ein Link zu IT-Audit
http://www.it-audit.de/html/ian_sp_ln_sp.html#oben

Insbesondere
http://www.it-audit.de/assets/artikel/com/Hackerziel_Domino.pdf

Andreas

[MartinG]

Hallo Axel,

sorry - hab Deine Frage irgendwie überlesen...

Anbieten tut das auf jeden Fall Checkpoint, wenn Ihr eine Checkpoint FW habt dann zwingt sich das quasi auf. Zu Kosten etc kann ich leider nichts sagen, ist auf jeden Fall aber nicht billig.

NIIT Tech vertreibt m.W. auch so eine Lösung.
http://www.adsolutions.de

Wie schon erwähnt, praktische Erfahrungen etc habe ich keinerlei, nur schon einiges positive davon gehört...

[Axel]

sorry - hab Deine Frage irgendwie überlesen...

Hi Martin,


kein Problem.  Danke für die Hinweise.


Axel