Manfred hat auf dem Administrationsforum in der Notes/Domino-Gruppe auf xing.com folgende Frage gestellt:
"Ich bin gerade dabei mir den Mailzugriff
via Internet auf den Dominoserver näher anzusehen und es würde mich freuen,
wenn ihr mir eure Lösungen kurz darstellen könntet.
Die Variante eines direkten Zugriffs
über die Firewall auf den Produktivserver stelle ich mir in punkto Security
etwas zu gewagt vor.
Ich denke an eine Variante mit einem
Domino Server als "Proxy" in der DMZ welcher als Durchgangsserver
konfiguriert ist.
Wie sind eure Meinungen und Erfahrungen
dazu?"
Quelle: https://www.xing.com/app/forum?op=showarticles;id=9607106
Da meine Antwort etwas länger
geworden ist, habe ich ihr einen eigenen Blog-Eintrag gewidmet:
Man könnte auf Netzwerkebene den Port 80
(HTTP) und/oder 443 (HTTPS) durch die Firewall auf den Produktivserver
weiterleiten (Port-Forwarding): Auch wenn einige Netzwerker und Sicherheitsbeauftragte
wahrscheinlich anderer Meinung sind, halte ich das Risiko dadurch für relativ
gering. Man sollte dann aber den Server (Domino, Betriebssystem) natürlich
immer so schnell wie möglich aktualisieren, wenn eine sicherheitsrelevante
Lücke geschlossen wurde. Zum Beispiel bei der 7.0.3-Version sind wenige
Tage nach Erscheinen der englischen Variante Sicherheitslücken veröffentlicht
und dokumentiert worden, die durch die neue Version geschlossen wurden.
Eigentlich in Ordnung - wenn nicht alle nicht-englischen Versionen mehrere
Monate später erschienen wären
Port-Forwarding von 1352 (NRPC): die
gleiche (Un-)Bedenklichkeit wie HTTP/HTTPS. Allein die Anzahl der automatisierten
Angriffe und Angriffswerkzeuge dürfte wesentlich geringer sein. Auch erinnere
ich mich jetzt an keine einzige bekannt gewordene Sicherheitslücke in NRPC.
Weiterer Domino-Server in DMZ: Je nach
bisheriger Client-Lizensierung kommen da zusätzliche Lizenzkosten dazu
- oder eben nicht (CEO oder Expresslizenzen). Da ja die Mailboxen eigentlich
auf einen anderen Server liegen, wäre vielleicht auch der Domino Utility
(Express)-Server eine kostengünstige Variante. Dann könnte man auch gleich
noch Web-Anwendungen auf den Server legen. Wer möchte nicht seine Kunden,
Lieferanten und/oder Partner besser in seine Prozesse einbinden?
Wenn man per Web-Mail (also DWA) auf
die E-Mails zugreifen möchte, muss man dann Repliken von den Maildatenbanken
auf den Domino-Server in der DMZ legen. Das bedeutet, wenn der Server geknackt
wird - z. B. auf OS-Ebene - sind auch die Datenbanken zugreifbar.
Man könnte die Repliken verschlüsselt
auf den Server legen. Gegenüber Domino-Anfängern könnte das schon reichen.
Leider sollte man bei Sicherheitsthemen immer mit dem Schlimmsten rechnen,
hier also den gezielten Angriff von Spezialisten (Industriespionage!),
die die Server-ID einfach mit kopieren und setzen sich zuhause den Server
neu auf. Um sich dagegen zu schützen, könnte man die Server-ID mit einem
Passwort versehen. Dann läuft der Server aber nicht mehr von alleine an
- sollte er wirklich mal crashen hilft dann auch die Automatic Fault Recovery
nicht. Die übliche Entscheidung steht an: höhere Sicherheit oder Bequemlichkeit?
Grundsätzlich wäre für den Domino-Server
in der DMZ ein möglichst sicheres Betriebssystem vorziehen, dass nach dem
eventuellen Auftauchen von Sicherheitslücken innerhalb der nächsten Stunden
oder Tage automatisch aktualisiert werden kann. Auch sollte man sich überlegen,
die Domino-Server-Prozess unter einem niedrig priviligierten Benutzer laufen
zu lassen...
Wenn man voraussetzen könnte, dass nicht
per DWA auf die E-Mails zugegriffen werden müsste, sondern immer ein Notes-Client
vorläge, z. B. weil der Zugriff nur von Notebooks möglich sein soll,
dann könnte man die Mail-Datenbanken auf dem Produktivserver liegen lassen
und den Domino-Server in der DMZ nur als Durchleitungsserver nutzen. Wäre
schon noch ein kleines bißchen sicherer.
Die Kombination macht auch sehr viel
Sinn: für die DWA-Nutzer die Mail-Repliken erstellen, für die anderen Durchleitungsserver
konfigurieren. Sie können dann natürlich auch auf alle anderen Datenbanken
zugreifen!
Weitere Ideen:
- Den DMZ-Server könnte man in eine getrennte eigene Domäne legen. Das erhöht zwar minimal den administrativen Aufwand, erhöht aber gleichzeitig noch ein wenig mehr die Sicherheit.
- Die Replizierung sollte wenn möglich von innen nach außen erfolgen.
- Die Gegenzertifizierung des DMZ-Servers sollte so minimal wie möglich gemacht werden - also nur der DMZ-Server selbst und nur von den Servern, auf die er zugreifen muss.
- Der DMZ-Server sollte nur auf die Datenbanken Zugriff haben, die er replizieren muss.
- Zumindest auf den nach außen gerichteten TCP/IP-Port des DMZ-Servers könnte (sollte?!) man nicht nur die Komprimierung, sondern auch die Verschlüsselung aktivieren. Alle Zugriffe - auch die per Durchleitung - werden dann automatisch kryptographisch geschützt.