Lotus Domino С Дмз Зоной Для Web

Тема в разделе "Lotus - Администрирование", создана пользователем KhNarg, 21 ноя 2014.

  1. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Утро доброе!
    Кто-то может поделится опытом построения систем на Lotus Domino с ДМЗ зоной (Демилитаризованная зона) для работы через web (iNotes)? (цель: безопасная работа с почтой, календарь, задачи)

    Насколько я понял с редбуков, LD всегда нужно прикрывать чем либо.
    Нарисовали ДМЗ из двух пиксов.

    Так же обязательно необходимо наличие SSL и шифрование всей почты.

    Возможно что-то еще о чем собственно и вопросы.
    1. Сервер LD должен быть в домене серверов LD? Или это должен быть Single?
    2. Если LD в домене серверов то должен быть SSO?
    3. Порты для сервера LD между ДМЗ и внутренним сервером LD: 22, 80, 443, 1352 (возможно еще какие-то) а учитывая, что сервер в ДМЗ стоит на портах 80+ для двух знаков и 8+ для трех, я так понимаю, что внутренний нужно перебрасывать тоже на эти порты?

    Возможно есть какое-то другое решение для LD с повышенной безопасностью для web?
     
  2. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
    т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
    где, на сервере?
    если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
     
  3. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Это я понимаю, для этого ДМЗ и делали.

    Шифрование идет на основе ключа пользователя.
    Шифрованную почту пользователя админ читать не может даже под full access.
    А под iNotes, ID пользователя для шифрования - обязателен.
    Ну и наличие SSL обязательно, как кто-то тонко подметил на этом форуме.. веб без SSL - это ловля на живца :)

    Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
    и собственно их настройка. Для меня взлом - очень критичен...
    Сейчас упорно читаю RedBooks - iNotes Web Access Deployment and Administration
    думаю там я найду ответы, но хотелось бы понять какие есть еще варианты решения
     
  4. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    тогда непонятно - что непонятно :)
     
  5. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?
     
  6. rinsk

    rinsk Lotus team
    Lotus team

    Регистрация:
    12 ноя 2009
    Сообщения:
    799
    Симпатии:
    78
    Вот помню во времена 4.х рисовали "жутко" защищенную сеть с DMZ. там фишка была в том, что один порт c TCP торчал наружу, а другой через IPX соединялся с другим domino сервером, а тот уже торчал через IP с локалкой :))
     
  7. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    домен доминошный это уровень архитектуры не связанный с ДМЗ
    репликации будут только со стороны LAN инициироваться...
     
  8. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Я понимаю что он не связан, но на этом уровне формируются доверия серверов.
    Возможно я параноик но мне кажется что в этом что-то есть, но я не уверен и могу ошибаться.
    Отсюда и вырос мой вопрос...
    в домене домино сервера должны быть или нет...?
    или это не важно и плясать можно и так и так...?
     
  9. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    доверия формируются на уровне сертификата организации и т.д.
    если сертификат "утерян" - прегенеряем все ИД с новым, переэнкрипичваем БД
    утрата контроля над сервера - это всегда плохо, придется сверять БД на предмет изменений...
    если в ДМЗ не располагать домину, а только фронтэнды для "интернет" протоколов - никакого шаманства не нужно тогда
    А ваще все аппсервера и БД помещают в LAN, токмо в отдельны сегмент

    Добавлено: по "хорошему" - клиентские компы - это наименее ценная часть (в большинстве применений, где нет уровня секретности)
     
  10. aameno2

    aameno2 Well-Known Member

    Регистрация:
    27 янв 2009
    Сообщения:
    484
    Симпатии:
    12
    Проще все.
    Сервер в дмз, как вам и сказали присутствует в вашей организации.
    Разница будет только в том, что ни одна сетевая этого сервера не подключена в вашу локальную сеть. Только к роутеру.
    Весь трафик регулируется роутером, на который (по желанию) вы вешаете фильтрацию, и все что придумаете.
    А так, все (настройки домино) делается как обычно.
     
  11. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Спасибо :) буду думать
     
  12. aameno2

    aameno2 Well-Known Member

    Регистрация:
    27 янв 2009
    Сообщения:
    484
    Симпатии:
    12
    ))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
    Ставьте nginx и все. Без домино. Imike описал все подробно.
     
  13. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    аппетит будет приходить во время еды... :)
    потому как уже смотрят в сторону толстых клиентов.
    а дальше и мобильные терминалы подтянуться...
     
  14. Gray

    Gray Lotus team
    Lotus team

    Регистрация:
    10 май 2005
    Сообщения:
    94
    Симпатии:
    0
    здесь нет жесткого правила. Можно поступить как в дальнейшем будет удобнее. Если на сервере отсутствуют ключи, злоумышленник никаким образом не сможет получить административный доступ по 1352 ни к этому ни к любому другому серверу.
    Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
     
  15. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
    Спасибо за варианты решений.
    Но для меня это пока что очень сложно, я еще перебираю варианты реализаций и пробую их и не все так радужно пока получается.
    Скорее всего придется обращаться к более грамотным людям.
    Ибо в моем случае можно ждать второго пришествия и не дождаться :(
    Но я все равно рано или поздно добью эту хрень
     
  16. KhNarg

    KhNarg Well-Known Member

    Регистрация:
    16 окт 2014
    Сообщения:
    71
    Симпатии:
    2
Загрузка...

Поделиться этой страницей