Lotus Domino С Дмз Зоной Для Web

@Khmork · Регистрация: 01.11.2014

Утро доброе!
Кто-то может поделится опытом построения систем на Lotus Domino с ДМЗ зоной (Демилитаризованная зона) для работы через web (iNotes)? (цель: безопасная работа с почтой, календарь, задачи)

Насколько я понял с редбуков, LD всегда нужно прикрывать чем либо.
Нарисовали ДМЗ из двух пиксов.

Так же обязательно необходимо наличие SSL и шифрование всей почты.

Возможно что-то еще о чем собственно и вопросы.
1. Сервер LD должен быть в домене серверов LD? Или это должен быть Single?
2. Если LD в домене серверов то должен быть SSO?
3. Порты для сервера LD между ДМЗ и внутренним сервером LD: 22, 80, 443, 1352 (возможно еще какие-то) а учитывая, что сервер в ДМЗ стоит на портах 80+ для двух знаков и 8+ для трех, я так понимаю, что внутренний нужно перебрасывать тоже на эти порты?

Возможно есть какое-то другое решение для LD с повышенной безопасностью для web?

@tmyky · 20.11.2014, 19:28

ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)

шифрование всей почты

где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего

@Khmork · 23.11.2014, 10:08

Сообщение от lmike

ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)

Это я понимаю, для этого ДМЗ и делали.

Сообщение от lmike

где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего

Шифрование идет на основе ключа пользователя.
Шифрованную почту пользователя админ читать не может даже под full access.
А под iNotes, ID пользователя для шифрования - обязателен.
Ну и наличие SSL обязательно, как кто-то тонко подметил на этом форуме.. веб без SSL - это ловля на живца

Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
и собственно их настройка. Для меня взлом - очень критичен...
Сейчас упорно читаю RedBooks - iNotes Web Access Deployment and Administration
думаю там я найду ответы, но хотелось бы понять какие есть еще варианты решения

@tmyky · 23.11.2014, 13:34

Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной

тогда непонятно - что непонятно

@Khmork · 23.11.2014, 13:43

Сообщение от lmike

тогда непонятно - что непонятно

Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?

@rymsk · 23.11.2014, 14:01

Вот помню во времена 4.х рисовали "жутко" защищенную сеть с DMZ. там фишка была в том, что один порт c TCP торчал наружу, а другой через IPX соединялся с другим domino сервером, а тот уже торчал через IP с локалкой )

@tmyky · 23.11.2014, 14:36

Сообщение от KhNarg

Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?

домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...

@Khmork · 23.11.2014, 17:24

Сообщение от lmike

домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...

Я понимаю что он не связан, но на этом уровне формируются доверия серверов.
Возможно я параноик но мне кажется что в этом что-то есть, но я не уверен и могу ошибаться.
Отсюда и вырос мой вопрос...
в домене домино сервера должны быть или нет...?
или это не важно и плясать можно и так и так...?

@tmyky · 23.11.2014, 17:57

доверия формируются на уровне сертификата организации и т.д.
если сертификат "утерян" - прегенеряем все ИД с новым, переэнкрипичваем БД
утрата контроля над сервера - это всегда плохо, придется сверять БД на предмет изменений...
если в ДМЗ не располагать домину, а только фронтэнды для "интернет" протоколов - никакого шаманства не нужно тогда
А ваще все аппсервера и БД помещают в LAN, токмо в отдельны сегмент

Добавлено: по "хорошему" - клиентские компы - это наименее ценная часть (в большинстве применений, где нет уровня секретности)

@oomymo2 · 24.11.2014, 11:26

Проще все.
Сервер в дмз, как вам и сказали присутствует в вашей организации.
Разница будет только в том, что ни одна сетевая этого сервера не подключена в вашу локальную сеть. Только к роутеру.
Весь трафик регулируется роутером, на который (по желанию) вы вешаете фильтрацию, и все что придумаете.
А так, все (настройки домино) делается как обычно.

@Khmork · 24.11.2014, 18:18

Спасибо буду думать

@oomymo2 · 25.11.2014, 08:32

))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.

@Khmork · 25.11.2014, 17:15

Сообщение от ameno2

))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.

аппетит будет приходить во время еды...
потому как уже смотрят в сторону толстых клиентов.
а дальше и мобильные терминалы подтянуться...

@kroy · 06.12.2014, 23:05

Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен

здесь нет жесткого правила. Можно поступить как в дальнейшем будет удобнее. Если на сервере отсутствуют ключи, злоумышленник никаким образом не сможет получить административный доступ по 1352 ни к этому ни к любому другому серверу.
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.

@Khmork · 07.12.2014, 10:24

Сообщение от Gray

Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.

Спасибо за варианты решений.
Но для меня это пока что очень сложно, я еще перебираю варианты реализаций и пробую их и не все так радужно пока получается.
Скорее всего придется обращаться к более грамотным людям.
Ибо в моем случае можно ждать второго пришествия и не дождаться :(
Но я все равно рано или поздно добью эту хрень

@Khmork · 20.01.2015, 09:34

Для тех кому интересно.
Отдельные статьи, которые подробно расписывают различные сценарии маршрутизации почты через DMZ:
Первая часть - http://www.ibm.com/developerworks/lotus/library/smtp-dmz1/
Вторая часть - http://www.ibm.com/developerworks/lotus/library/smtp-dmz2/

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
	20.01.2015, 09:34	16
	Для тех кому интересно. Отдельные статьи, которые подробно расписывают различные сценарии маршрутизации почты через DMZ: Первая часть - http://www.ibm.com/developerworks/lotus/library/smtp-dmz1/ Вторая часть - http://www.ibm.com/developerworks/lotus/library/smtp-dmz2/ 0

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
		1
	Lotus Domino С Дмз Зоной Для Web 20.11.2014, 11:43. Показов 10098. Ответов 15 Метки нет (Все метки) Утро доброе! Кто-то может поделится опытом построения систем на Lotus Domino с ДМЗ зоной (Демилитаризованная зона) для работы через web (iNotes)? (цель: безопасная работа с почтой, календарь, задачи) Насколько я понял с редбуков, LD всегда нужно прикрывать чем либо. Нарисовали ДМЗ из двух пиксов. Так же обязательно необходимо наличие SSL и шифрование всей почты. Возможно что-то еще о чем собственно и вопросы. 1. Сервер LD должен быть в домене серверов LD? Или это должен быть Single? 2. Если LD в домене серверов то должен быть SSO? 3. Порты для сервера LD между ДМЗ и внутренним сервером LD: 22, 80, 443, 1352 (возможно еще какие-то) а учитывая, что сервер в ДМЗ стоит на портах 80+ для двух знаков и 8+ для трех, я так понимаю, что внутренний нужно перебрасывать тоже на эти порты? Возможно есть какое-то другое решение для LD с повышенной безопасностью для web? 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	20.11.2014, 19:28	2
	ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться) шифрование всей почты где, на сервере? если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего 0

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
	23.11.2014, 10:08	3
	Сообщение от lmike ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться) Это я понимаю, для этого ДМЗ и делали. Сообщение от lmike где, на сервере? если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего Шифрование идет на основе ключа пользователя. Шифрованную почту пользователя админ читать не может даже под full access. А под iNotes, ID пользователя для шифрования - обязателен. Ну и наличие SSL обязательно, как кто-то тонко подметил на этом форуме.. веб без SSL - это ловля на живца Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной и собственно их настройка. Для меня взлом - очень критичен... Сейчас упорно читаю RedBooks - iNotes Web Access Deployment and Administration думаю там я найду ответы, но хотелось бы понять какие есть еще варианты решения 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	23.11.2014, 13:34	4
	Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной тогда непонятно - что непонятно 0

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
	23.11.2014, 13:43	5
	Сообщение от lmike тогда непонятно - что непонятно Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен? 0

@rymsk 0 / 0 / 0 Регистрация: 12.11.2009 Сообщений: 882
	23.11.2014, 14:01	6
	Вот помню во времена 4.х рисовали "жутко" защищенную сеть с DMZ. там фишка была в том, что один порт c TCP торчал наружу, а другой через IPX соединялся с другим domino сервером, а тот уже торчал через IP с локалкой ) 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	23.11.2014, 14:36	7
	Сообщение от KhNarg Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен? домен доминошный это уровень архитектуры не связанный с ДМЗ репликации будут только со стороны LAN инициироваться... 0

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
	23.11.2014, 17:24	8
	Сообщение от lmike домен доминошный это уровень архитектуры не связанный с ДМЗ репликации будут только со стороны LAN инициироваться... Я понимаю что он не связан, но на этом уровне формируются доверия серверов. Возможно я параноик но мне кажется что в этом что-то есть, но я не уверен и могу ошибаться. Отсюда и вырос мой вопрос... в домене домино сервера должны быть или нет...? или это не важно и плясать можно и так и так...? 0

@tmyky 0 / 0 / 0 Регистрация: 23.08.2008 Сообщений: 6,252
	23.11.2014, 17:57	9
	доверия формируются на уровне сертификата организации и т.д. если сертификат "утерян" - прегенеряем все ИД с новым, переэнкрипичваем БД утрата контроля над сервера - это всегда плохо, придется сверять БД на предмет изменений... если в ДМЗ не располагать домину, а только фронтэнды для "интернет" протоколов - никакого шаманства не нужно тогда А ваще все аппсервера и БД помещают в LAN, токмо в отдельны сегмент Добавлено: по "хорошему" - клиентские компы - это наименее ценная часть (в большинстве применений, где нет уровня секретности) 0

@oomymo2 0 / 0 / 0 Регистрация: 07.02.2106 Сообщений: 491
	24.11.2014, 11:26	10
	Проще все. Сервер в дмз, как вам и сказали присутствует в вашей организации. Разница будет только в том, что ни одна сетевая этого сервера не подключена в вашу локальную сеть. Только к роутеру. Весь трафик регулируется роутером, на который (по желанию) вы вешаете фильтрацию, и все что придумаете. А так, все (настройки домино) делается как обычно. 0

Опции темы

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
	24.11.2014, 18:18	11
	Спасибо буду думать 0

@oomymo2 0 / 0 / 0 Регистрация: 07.02.2106 Сообщений: 491
	25.11.2014, 08:32	12
	))) Только если вам нужен дмз только для web, то имхо не стоит городить огород. Ставьте nginx и все. Без домино. Imike описал все подробно. 0

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
	25.11.2014, 17:15	13
	Сообщение от ameno2 ))) Только если вам нужен дмз только для web, то имхо не стоит городить огород. Ставьте nginx и все. Без домино. Imike описал все подробно. аппетит будет приходить во время еды... потому как уже смотрят в сторону толстых клиентов. а дальше и мобильные терминалы подтянуться... 0

@kroy 0 / 0 / 0 Регистрация: 18.04.2005 Сообщений: 101
	06.12.2014, 23:05	14
	Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен здесь нет жесткого правила. Можно поступить как в дальнейшем будет удобнее. Если на сервере отсутствуют ключи, злоумышленник никаким образом не сможет получить административный доступ по 1352 ни к этому ни к любому другому серверу. Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером. 0

@Khmork 0 / 0 / 0 Регистрация: 01.11.2014 Сообщений: 73
	07.12.2014, 10:24	15
	Сообщение от Gray Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером. Спасибо за варианты решений. Но для меня это пока что очень сложно, я еще перебираю варианты реализаций и пробую их и не все так радужно пока получается. Скорее всего придется обращаться к более грамотным людям. Ибо в моем случае можно ждать второго пришествия и не дождаться :( Но я все равно рано или поздно добью эту хрень 0