Lotus Domino С Дмз Зоной Для Web

  • Автор темы Автор темы KhNarg
  • Дата начала Дата начала
K

KhNarg

Утро доброе!
Кто-то может поделится опытом построения систем на Lotus Domino с ДМЗ зоной (Демилитаризованная зона) для работы через web (iNotes)? (цель: безопасная работа с почтой, календарь, задачи)

Насколько я понял с редбуков, LD всегда нужно прикрывать чем либо.
Нарисовали ДМЗ из двух пиксов.

Так же обязательно необходимо наличие SSL и шифрование всей почты.

Возможно что-то еще о чем собственно и вопросы.
1. Сервер LD должен быть в домене серверов LD? Или это должен быть Single?
2. Если LD в домене серверов то должен быть SSO?
3. Порты для сервера LD между ДМЗ и внутренним сервером LD: 22, 80, 443, 1352 (возможно еще какие-то) а учитывая, что сервер в ДМЗ стоит на портах 80+ для двух знаков и 8+ для трех, я так понимаю, что внутренний нужно перебрасывать тоже на эти порты?

Возможно есть какое-то другое решение для LD с повышенной безопасностью для web?
 
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
шифрование всей почты
Нажмите, чтобы раскрыть...
где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
 
lmike сказал(а):
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
Нажмите, чтобы раскрыть...
Это я понимаю, для этого ДМЗ и делали.

lmike сказал(а):
где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
Нажмите, чтобы раскрыть...
Шифрование идет на основе ключа пользователя.
Шифрованную почту пользователя админ читать не может даже под full access.
А под iNotes, ID пользователя для шифрования - обязателен.
Ну и наличие SSL обязательно, как кто-то тонко подметил на этом форуме.. веб без SSL - это ловля на живца :)

Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
и собственно их настройка. Для меня взлом - очень критичен...
Сейчас упорно читаю RedBooks - iNotes Web Access Deployment and Administration
думаю там я найду ответы, но хотелось бы понять какие есть еще варианты решения
 
Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
Нажмите, чтобы раскрыть...
тогда непонятно - что непонятно :)
 
Вот помню во времена 4.х рисовали "жутко" защищенную сеть с DMZ. там фишка была в том, что один порт c TCP торчал наружу, а другой через IPX соединялся с другим domino сервером, а тот уже торчал через IP с локалкой :))
 
KhNarg сказал(а):
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?
Нажмите, чтобы раскрыть...
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
 
lmike сказал(а):
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
Нажмите, чтобы раскрыть...

Я понимаю что он не связан, но на этом уровне формируются доверия серверов.
Возможно я параноик но мне кажется что в этом что-то есть, но я не уверен и могу ошибаться.
Отсюда и вырос мой вопрос...
в домене домино сервера должны быть или нет...?
или это не важно и плясать можно и так и так...?
 
доверия формируются на уровне сертификата организации и т.д.
если сертификат "утерян" - прегенеряем все ИД с новым, переэнкрипичваем БД
утрата контроля над сервера - это всегда плохо, придется сверять БД на предмет изменений...
если в ДМЗ не располагать домину, а только фронтэнды для "интернет" протоколов - никакого шаманства не нужно тогда
А ваще все аппсервера и БД помещают в LAN, токмо в отдельны сегмент

Добавлено: по "хорошему" - клиентские компы - это наименее ценная часть (в большинстве применений, где нет уровня секретности)
 
Проще все.
Сервер в дмз, как вам и сказали присутствует в вашей организации.
Разница будет только в том, что ни одна сетевая этого сервера не подключена в вашу локальную сеть. Только к роутеру.
Весь трафик регулируется роутером, на который (по желанию) вы вешаете фильтрацию, и все что придумаете.
А так, все (настройки домино) делается как обычно.
 
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
 
ameno2 сказал(а):
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
Нажмите, чтобы раскрыть...

аппетит будет приходить во время еды... :)
потому как уже смотрят в сторону толстых клиентов.
а дальше и мобильные терминалы подтянуться...
 
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен
Нажмите, чтобы раскрыть...

здесь нет жесткого правила. Можно поступить как в дальнейшем будет удобнее. Если на сервере отсутствуют ключи, злоумышленник никаким образом не сможет получить административный доступ по 1352 ни к этому ни к любому другому серверу.
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
 
Gray сказал(а):
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
Нажмите, чтобы раскрыть...
Спасибо за варианты решений.
Но для меня это пока что очень сложно, я еще перебираю варианты реализаций и пробую их и не все так радужно пока получается.
Скорее всего придется обращаться к более грамотным людям.
Ибо в моем случае можно ждать второго пришествия и не дождаться :(
Но я все равно рано или поздно добью эту хрень
 
Для тех кому интересно.
Отдельные статьи, которые подробно расписывают различные сценарии маршрутизации почты через DMZ:
Первая часть -
Ссылка скрыта от гостей

Вторая часть -
Ссылка скрыта от гостей
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ