Lotus Domino С Дмз Зоной Для Web

KhNarg

Well-known member
16.10.2014
78
1
#1
Утро доброе!
Кто-то может поделится опытом построения систем на Lotus Domino с ДМЗ зоной (Демилитаризованная зона) для работы через web (iNotes)? (цель: безопасная работа с почтой, календарь, задачи)

Насколько я понял с редбуков, LD всегда нужно прикрывать чем либо.
Нарисовали ДМЗ из двух пиксов.

Так же обязательно необходимо наличие SSL и шифрование всей почты.

Возможно что-то еще о чем собственно и вопросы.
1. Сервер LD должен быть в домене серверов LD? Или это должен быть Single?
2. Если LD в домене серверов то должен быть SSO?
3. Порты для сервера LD между ДМЗ и внутренним сервером LD: 22, 80, 443, 1352 (возможно еще какие-то) а учитывая, что сервер в ДМЗ стоит на портах 80+ для двух знаков и 8+ для трех, я так понимаю, что внутренний нужно перебрасывать тоже на эти порты?

Возможно есть какое-то другое решение для LD с повышенной безопасностью для web?
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 567
263
#2
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
шифрование всей почты
где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
 

KhNarg

Well-known member
16.10.2014
78
1
#3
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
Это я понимаю, для этого ДМЗ и делали.

где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
Шифрование идет на основе ключа пользователя.
Шифрованную почту пользователя админ читать не может даже под full access.
А под iNotes, ID пользователя для шифрования - обязателен.
Ну и наличие SSL обязательно, как кто-то тонко подметил на этом форуме.. веб без SSL - это ловля на живца :)

Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
и собственно их настройка. Для меня взлом - очень критичен...
Сейчас упорно читаю RedBooks - iNotes Web Access Deployment and Administration
думаю там я найду ответы, но хотелось бы понять какие есть еще варианты решения
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 567
263
#4
Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
тогда непонятно - что непонятно :)
 

rinsk

Lotus team
12.11.2009
900
44
#6
Вот помню во времена 4.х рисовали "жутко" защищенную сеть с DMZ. там фишка была в том, что один порт c TCP торчал наружу, а другой через IPX соединялся с другим domino сервером, а тот уже торчал через IP с локалкой :))
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 567
263
#7
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
 

KhNarg

Well-known member
16.10.2014
78
1
#8
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
Я понимаю что он не связан, но на этом уровне формируются доверия серверов.
Возможно я параноик но мне кажется что в этом что-то есть, но я не уверен и могу ошибаться.
Отсюда и вырос мой вопрос...
в домене домино сервера должны быть или нет...?
или это не важно и плясать можно и так и так...?
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 567
263
#9
доверия формируются на уровне сертификата организации и т.д.
если сертификат "утерян" - прегенеряем все ИД с новым, переэнкрипичваем БД
утрата контроля над сервера - это всегда плохо, придется сверять БД на предмет изменений...
если в ДМЗ не располагать домину, а только фронтэнды для "интернет" протоколов - никакого шаманства не нужно тогда
А ваще все аппсервера и БД помещают в LAN, токмо в отдельны сегмент

Добавлено: по "хорошему" - клиентские компы - это наименее ценная часть (в большинстве применений, где нет уровня секретности)
 

aameno2

Well-known member
27.01.2009
514
12
#10
Проще все.
Сервер в дмз, как вам и сказали присутствует в вашей организации.
Разница будет только в том, что ни одна сетевая этого сервера не подключена в вашу локальную сеть. Только к роутеру.
Весь трафик регулируется роутером, на который (по желанию) вы вешаете фильтрацию, и все что придумаете.
А так, все (настройки домино) делается как обычно.
 

aameno2

Well-known member
27.01.2009
514
12
#12
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
 

KhNarg

Well-known member
16.10.2014
78
1
#13
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
аппетит будет приходить во время еды... :)
потому как уже смотрят в сторону толстых клиентов.
а дальше и мобильные терминалы подтянуться...
 

Gray

Lotus team
10.05.2005
94
0
#14
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен
здесь нет жесткого правила. Можно поступить как в дальнейшем будет удобнее. Если на сервере отсутствуют ключи, злоумышленник никаким образом не сможет получить административный доступ по 1352 ни к этому ни к любому другому серверу.
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
 

KhNarg

Well-known member
16.10.2014
78
1
#15
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
Спасибо за варианты решений.
Но для меня это пока что очень сложно, я еще перебираю варианты реализаций и пробую их и не все так радужно пока получается.
Скорее всего придется обращаться к более грамотным людям.
Ибо в моем случае можно ждать второго пришествия и не дождаться :(
Но я все равно рано или поздно добью эту хрень