• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Lotus Domino С Дмз Зоной Для Web

  • Автор темы KhNarg
  • Дата начала
K

KhNarg

Утро доброе!
Кто-то может поделится опытом построения систем на Lotus Domino с ДМЗ зоной (Демилитаризованная зона) для работы через web (iNotes)? (цель: безопасная работа с почтой, календарь, задачи)

Насколько я понял с редбуков, LD всегда нужно прикрывать чем либо.
Нарисовали ДМЗ из двух пиксов.

Так же обязательно необходимо наличие SSL и шифрование всей почты.

Возможно что-то еще о чем собственно и вопросы.
1. Сервер LD должен быть в домене серверов LD? Или это должен быть Single?
2. Если LD в домене серверов то должен быть SSO?
3. Порты для сервера LD между ДМЗ и внутренним сервером LD: 22, 80, 443, 1352 (возможно еще какие-то) а учитывая, что сервер в ДМЗ стоит на портах 80+ для двух знаков и 8+ для трех, я так понимаю, что внутренний нужно перебрасывать тоже на эти порты?

Возможно есть какое-то другое решение для LD с повышенной безопасностью для web?
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
шифрование всей почты
Нажмите, чтобы раскрыть...
где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
 
K

KhNarg

lmike сказал(а):
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
Нажмите, чтобы раскрыть...
Это я понимаю, для этого ДМЗ и делали.

lmike сказал(а):
где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
Нажмите, чтобы раскрыть...
Шифрование идет на основе ключа пользователя.
Шифрованную почту пользователя админ читать не может даже под full access.
А под iNotes, ID пользователя для шифрования - обязателен.
Ну и наличие SSL обязательно, как кто-то тонко подметил на этом форуме.. веб без SSL - это ловля на живца :)

Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
и собственно их настройка. Для меня взлом - очень критичен...
Сейчас упорно читаю RedBooks - iNotes Web Access Deployment and Administration
думаю там я найду ответы, но хотелось бы понять какие есть еще варианты решения
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
Нажмите, чтобы раскрыть...
тогда непонятно - что непонятно :)
 
R

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
Вот помню во времена 4.х рисовали "жутко" защищенную сеть с DMZ. там фишка была в том, что один порт c TCP торчал наружу, а другой через IPX соединялся с другим domino сервером, а тот уже торчал через IP с локалкой :))
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
KhNarg сказал(а):
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?
Нажмите, чтобы раскрыть...
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
 
K

KhNarg

lmike сказал(а):
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
Нажмите, чтобы раскрыть...

Я понимаю что он не связан, но на этом уровне формируются доверия серверов.
Возможно я параноик но мне кажется что в этом что-то есть, но я не уверен и могу ошибаться.
Отсюда и вырос мой вопрос...
в домене домино сервера должны быть или нет...?
или это не важно и плясать можно и так и так...?
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 940
609
BIT
210
доверия формируются на уровне сертификата организации и т.д.
если сертификат "утерян" - прегенеряем все ИД с новым, переэнкрипичваем БД
утрата контроля над сервера - это всегда плохо, придется сверять БД на предмет изменений...
если в ДМЗ не располагать домину, а только фронтэнды для "интернет" протоколов - никакого шаманства не нужно тогда
А ваще все аппсервера и БД помещают в LAN, токмо в отдельны сегмент

Добавлено: по "хорошему" - клиентские компы - это наименее ценная часть (в большинстве применений, где нет уровня секретности)
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
131
Проще все.
Сервер в дмз, как вам и сказали присутствует в вашей организации.
Разница будет только в том, что ни одна сетевая этого сервера не подключена в вашу локальную сеть. Только к роутеру.
Весь трафик регулируется роутером, на который (по желанию) вы вешаете фильтрацию, и все что придумаете.
А так, все (настройки домино) делается как обычно.
 
aameno2

aameno2

Lotus Team
27.01.2009
732
137
BIT
131
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
 
K

KhNarg

ameno2 сказал(а):
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
Нажмите, чтобы раскрыть...

аппетит будет приходить во время еды... :)
потому как уже смотрят в сторону толстых клиентов.
а дальше и мобильные терминалы подтянуться...
 
G

Gray

Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен
Нажмите, чтобы раскрыть...

здесь нет жесткого правила. Можно поступить как в дальнейшем будет удобнее. Если на сервере отсутствуют ключи, злоумышленник никаким образом не сможет получить административный доступ по 1352 ни к этому ни к любому другому серверу.
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
 
K

KhNarg

Gray сказал(а):
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
Нажмите, чтобы раскрыть...
Спасибо за варианты решений.
Но для меня это пока что очень сложно, я еще перебираю варианты реализаций и пробую их и не все так радужно пока получается.
Скорее всего придется обращаться к более грамотным людям.
Ибо в моем случае можно ждать второго пришествия и не дождаться :(
Но я все равно рано или поздно добью эту хрень
 
K

KhNarg

Для тех кому интересно.
Отдельные статьи, которые подробно расписывают различные сценарии маршрутизации почты через DMZ:
Первая часть -
Ссылка скрыта от гостей

Вторая часть -
Ссылка скрыта от гостей
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ