Autor Thema: Notes Port & Sicherheit (Gelesen 4359 mal)

michael-r · « **am:** 10.01.08 - 13:48:47 »

Hi,

mal eine Frage bezüglich der Sicherheit im Domino Server.
Wenn ich den Notes Port (1532) freigebe über das Portforwarding in der Firewall, so das man den Domino Server von aussen erreicht, wie sicher oder unsicher ist das?

Zugriff kann eigentlich nur über Notes mit ID erfolgen, anonymous ist nicht gestattet.

MFG Michael

Peter S. · « **Antwort #1 am:** 10.01.08 - 13:54:19 »

Tja, wie sicher ist das?
Sobald man durch Portanfragen einen Speicherüberlauf produzieren kann ist es unsicher.
Und wenn du sowieso anonymous nicht zulassen willst könntest du die FW eigentlich auch gleich für unbekannte IP-Adressen sperren.
Oder sollen sich User mit wechselnden IP-Adressen am Domino-Server anmelden?

michael-r · « **Antwort #2 am:** 10.01.08 - 13:57:46 »

Oder sollen sich User mit wechselnden IP-Adressen am Domino-Server anmelden?
^^ ja auch. Es handelt sich um dabei um den Zugang für Home oder Mobile User. Also von aussen auf den Domino.

Peter S. · « **Antwort #3 am:** 10.01.08 - 14:52:01 »

Das ist immer ein Loch irgendwo.
Dann stelle einen Dominoserver mit den notwendigen Repliken in eine DMZ. Dann hast du wenigstens keinen Netzzugriff für unbekannte IP-Adresen in dein internes Netz.

michael-r · « **Antwort #4 am:** 10.01.08 - 15:01:58 »

Das man mit genug krimineller Energie irgendwo rein kommt ist klar...
Wollte nur mal wissen wie das so eingeschätzt wird.

MFG Michael

Ralf_M_Petter · « **Antwort #5 am:** 10.01.08 - 15:22:22 »

Ich würde es nicht machen. auch nicht dass mit der DMZ. Wenn Domino Zugriff von aussen, dann nur mittels VPN. Wie willst du gewährleisten, dass alle Daten nur verschlüsselt übertragen werden, da dies ja auch eine Einstellung ist, die am Client eingestellt werden muß. Geht eventuell über Policys, aber das wäre mir auch zu unsicher.

Grüße

Ralf

heini_schwammerl · « **Antwort #6 am:** 11.01.08 - 13:16:51 »

Wenn Du
a) Die Portverschlüsselung aktivierst
b) Sicherstellen kannst das Mitarbeiter die ausscheiden zuverlässig aus dem System verschwinden
c) Du Deine Systeme unter Wartung hast und Updates auch zeitnah vornehmen kannst
d) Du idealweise einen PassThruServer einrichten kannst der den Zugriff zusätzlich über Gruppen steuert.
halte ich das Risiko für kalkulierbar. Das Hauptproblem sehe ich nicht in irgendwelchen obskuren Portangriffen sondern das ehemalige Mitarbeiter, oft weitgehend unkontrolliert, Zugriff auf die Umgebung erhalten können.
Diese Problematik stellt sich auch mit manchem VPN Konzept.
Meine persönliche Meinung ist: Ich finde es schade, dass man die Vorteile der Dominoumgebung hier so selten nutzt. Dafür ist die ansonsten recht lästige NotesID ja da.
Ich gebe zu mein etwas pragmatischer Ansatz ist in vielen Firmen wie ein rotes Tuch.

mundm · « **Antwort #7 am:** 12.01.08 - 16:00:18 »

Neben der Portverschlüsselung, die der Server erzwingen sollte,
solltest Du darauf achten das in der notes.ini
BLOCK_LOOKUPID=1 oder BLOCK_LOOKUPID=2 gesetzt ist und sich keine ID's im Directory befinden.
siehe dazu http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21248026

Ohne DMZ würde ich den öffentlichen Port in einen höheren Bereich legen.
Sprich das Portforwarding vom Router anpassen also z.B 33333 => 1352
In den Arbeitsdokumenten der Clients gibst Du dann als Adresse, die Adresse gefolgt von einem notes.deinedomain.de:33333 an. Funktioniert tadellos.

Liebe Grüße
Tim

michael-r · « **Antwort #8 am:** 14.01.08 - 14:44:43 »

Vielen dank für das Feedback. Werde mir das mal durch den Kopf gehen lassen. Wohl doch eher SecureVPN.

MFG Michael

Autor Thema: Notes Port & Sicherheit (Gelesen 4359 mal)

michael-r

Notes Port & Sicherheit

Peter S.

Re: Notes Port & Sicherheit

michael-r

Re: Notes Port & Sicherheit

Peter S.

Re: Notes Port & Sicherheit

michael-r

Re: Notes Port & Sicherheit

Ralf_M_Petter

Re: Notes Port & Sicherheit

heini_schwammerl

Re: Notes Port & Sicherheit

mundm

Re: Notes Port & Sicherheit

michael-r

Re: Notes Port & Sicherheit