0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
1

Lotus Domino С Дмз Зоной Для Web

20.11.2014, 11:43. Показов 10170. Ответов 15
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Утро доброе!
Кто-то может поделится опытом построения систем на Lotus Domino с ДМЗ зоной (Демилитаризованная зона) для работы через web (iNotes)? (цель: безопасная работа с почтой, календарь, задачи)

Насколько я понял с редбуков, LD всегда нужно прикрывать чем либо.
Нарисовали ДМЗ из двух пиксов.

Так же обязательно необходимо наличие SSL и шифрование всей почты.

Возможно что-то еще о чем собственно и вопросы.
1. Сервер LD должен быть в домене серверов LD? Или это должен быть Single?
2. Если LD в домене серверов то должен быть SSO?
3. Порты для сервера LD между ДМЗ и внутренним сервером LD: 22, 80, 443, 1352 (возможно еще какие-то) а учитывая, что сервер в ДМЗ стоит на портах 80+ для двух знаков и 8+ для трех, я так понимаю, что внутренний нужно перебрасывать тоже на эти порты?

Возможно есть какое-то другое решение для LD с повышенной безопасностью для web?
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
20.11.2014, 11:43
Ответы с готовыми решениями:

Lotus domino web server
Добрый день, Имеется два Domino server 8.5 у каждого сервера настроена Web server, сейчас веб...

Lotus Domino Web Access 8
Сервер Domino 8 еще не ставил, но хотелось бы увидеть внешний вид почтового ящика по шаблону iNotes...

Dr.Web для Lotus Domino с поддержкой 64-bit
Компания «Доктор Веб» выпустила обновленный плагин Dr.Web для Lotus Domino 5.00.2 для Windows. В...

Отправить Web Страницу По E-mail Средствами Lotus Notes И Почты Domino
Всем привет! дизайнер нарисовал веб страницу для рассылки(там есть текст, картинки, ссылки ввиде...

15
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
20.11.2014, 19:28 2
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)


шифрование всей почты
где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
0
0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
23.11.2014, 10:08 3
Цитата Сообщение от lmike
ДМЗ организуется с одной целью - не допустить проникновение в LAN после взлома сервера
т.е. сервер из ДМЗ не может попасть в LAN (к нему могут подсоединяться)
Это я понимаю, для этого ДМЗ и делали.



Цитата Сообщение от lmike
где, на сервере?
если у сервера есть ключ кот. он расшифровывает, то при взломе сервера ключ попадает в руки взломавшего
Шифрование идет на основе ключа пользователя.
Шифрованную почту пользователя админ читать не может даже под full access.
А под iNotes, ID пользователя для шифрования - обязателен.
Ну и наличие SSL обязательно, как кто-то тонко подметил на этом форуме.. веб без SSL - это ловля на живца

Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
и собственно их настройка. Для меня взлом - очень критичен...
Сейчас упорно читаю RedBooks - iNotes Web Access Deployment and Administration
думаю там я найду ответы, но хотелось бы понять какие есть еще варианты решения
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
23.11.2014, 13:34 4
Меня сейчас больше волнует организация связи двух серверов между внутренней сетью и ДМЗ зоной
тогда непонятно - что непонятно
0
0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
23.11.2014, 13:43 5
Цитата Сообщение от lmike
тогда непонятно - что непонятно
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?
0
0 / 0 / 0
Регистрация: 12.11.2009
Сообщений: 882
23.11.2014, 14:01 6
Вот помню во времена 4.х рисовали "жутко" защищенную сеть с DMZ. там фишка была в том, что один порт c TCP торчал наружу, а другой через IPX соединялся с другим domino сервером, а тот уже торчал через IP с локалкой )
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
23.11.2014, 14:36 7
Цитата Сообщение от KhNarg
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен?
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
0
0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
23.11.2014, 17:24 8
Цитата Сообщение от lmike
домен доминошный это уровень архитектуры не связанный с ДМЗ
репликации будут только со стороны LAN инициироваться...
Я понимаю что он не связан, но на этом уровне формируются доверия серверов.
Возможно я параноик но мне кажется что в этом что-то есть, но я не уверен и могу ошибаться.
Отсюда и вырос мой вопрос...
в домене домино сервера должны быть или нет...?
или это не важно и плясать можно и так и так...?
0
0 / 0 / 0
Регистрация: 23.08.2008
Сообщений: 6,252
23.11.2014, 17:57 9
доверия формируются на уровне сертификата организации и т.д.
если сертификат "утерян" - прегенеряем все ИД с новым, переэнкрипичваем БД
утрата контроля над сервера - это всегда плохо, придется сверять БД на предмет изменений...
если в ДМЗ не располагать домину, а только фронтэнды для "интернет" протоколов - никакого шаманства не нужно тогда
А ваще все аппсервера и БД помещают в LAN, токмо в отдельны сегмент

Добавлено: по "хорошему" - клиентские компы - это наименее ценная часть (в большинстве применений, где нет уровня секретности)
0
0 / 0 / 0
Регистрация: 06.12.2016
Сообщений: 491
24.11.2014, 11:26 10
Проще все.
Сервер в дмз, как вам и сказали присутствует в вашей организации.
Разница будет только в том, что ни одна сетевая этого сервера не подключена в вашу локальную сеть. Только к роутеру.
Весь трафик регулируется роутером, на который (по желанию) вы вешаете фильтрацию, и все что придумаете.
А так, все (настройки домино) делается как обычно.
0
0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
24.11.2014, 18:18 11
Спасибо буду думать
0
0 / 0 / 0
Регистрация: 06.12.2016
Сообщений: 491
25.11.2014, 08:32 12
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
0
0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
25.11.2014, 17:15 13
Цитата Сообщение от ameno2
))) Только если вам нужен дмз только для web, то имхо не стоит городить огород.
Ставьте nginx и все. Без домино. Imike описал все подробно.
аппетит будет приходить во время еды...
потому как уже смотрят в сторону толстых клиентов.
а дальше и мобильные терминалы подтянуться...
0
0 / 0 / 0
Регистрация: 18.04.2005
Сообщений: 101
06.12.2014, 23:05 14
Сервер LD в ДМЗ должен быть в домене серверов LD которые во внутренней сети? Или это должен быть отдельный домен
здесь нет жесткого правила. Можно поступить как в дальнейшем будет удобнее. Если на сервере отсутствуют ключи, злоумышленник никаким образом не сможет получить административный доступ по 1352 ни к этому ни к любому другому серверу.
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
0
0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
07.12.2014, 10:24 15
Цитата Сообщение от Gray
Хотя если паранойя не оставляет - могу предложить вариант с установкой даже не отдельного сервера в отдельном домене, а дополнительного сервера. Он даже пользователей не хранит, а берет с основного, который может находится за вторым фаером.
Спасибо за варианты решений.
Но для меня это пока что очень сложно, я еще перебираю варианты реализаций и пробую их и не все так радужно пока получается.
Скорее всего придется обращаться к более грамотным людям.
Ибо в моем случае можно ждать второго пришествия и не дождаться :(
Но я все равно рано или поздно добью эту хрень
0
0 / 0 / 0
Регистрация: 01.11.2014
Сообщений: 73
20.01.2015, 09:34 16
Для тех кому интересно.
Отдельные статьи, которые подробно расписывают различные сценарии маршрутизации почты через DMZ:
Первая часть - http://www.ibm.com/developerworks/lotus/library/smtp-dmz1/
Вторая часть - http://www.ibm.com/developerworks/lotus/library/smtp-dmz2/
0
20.01.2015, 09:34
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
20.01.2015, 09:34
Помогаю со студенческими работами здесь

Ibm Lotus Quickr 8.0.0.2 Services For Lotus Domino Windows
Вот нашел в сети. Может кому надо. IBM Lotus Quickr 8.0.0.2 services for Lotus Domino Windows

Использование Lotus Domino Для Ipad
Всем доброго времени суток. Извините за несколько философский вопрос - но по-другому спросить не...

Какой Linux выбрать для Lotus Domino 7.2 или 7.3
Встала задача выбора Linux для сервера сервера Lotus Domino 7.2 или 7.3. Подскажите, какие Linux...

Разработка Модуля Для Сэд Company Media На Lotus Notes/domino
Ребята, ищется программист или команда программистов, знающих ПО документооборота Company Media...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru