Hallo,
ich habe unter Lotus Notes eine Frage zur Sicherheit bezüglich offenen Port 1352 gestellt. (siehe link)
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…
Ich denke aber das eventuelle hier der eine oder andere evnetuell auch eine idee hat.
Vielen Danke
Jens
ich habe unter Lotus Notes eine Frage zur Sicherheit
bezüglich offenen Port 1352 gestellt. (siehe link)
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…Ich denke aber das eventuelle hier der eine oder andere
evnetuell auch eine idee hat.
Du schreibst nicht, welcher Teil deines Vorschlags unfreundliche Aufnahme gefunden hat: ‚Zugang nur per VPN‘ oder ‚Server gehört in DMZ‘ oder beides?
Wenn tatsächlich geplant ist, den internen Produktivserver ungeschützt von aussen erreichbar zu machen, ist das keine Frage der Sicherheit von Notes, sondern der grundsätzlichen Sicherheitsarchitektur und -bedürfnisse des Unternehmens. Die aber lässt sich im Rahmen dieses Forums kaum konkret diskutieren.
Gruss
Schorsch
Hallo,
ich stimme Schorsch zu, hier geht es im Prinzip um die generelle Sicherheitsstrategie.
Bei uns gibt es auch immer wieder Diskussionen darüber, weil immer mehr „externe“ Nutzer auf interne Verfahren zugreifen wollen/sollen.
Bisher lassen wir dies auch nur über VPN zu, auch wenn es etwas aufwendiger zu konfigurieren ist. Unser Netzwerkadmin hat erzählt, dass ständig sämtliche Ports aus dem Internet gescannt werden, und wo mal ein Loch gefunden werden würde, ist es nie völlig ausgeschlossen, dass es dann auch benutzt werden könnte.
Beatrix
Beatrix, Schorsch,
vielen Dank für Eure Antwort.
Zur Antwort von Schorsch noch folgendes. Bei uns steht der anzusprechende Server in der DMZ. In einem anderem Standort aber im internen Netzwerk. Der Vorschlag der keine Begeisterung auslöste, war die Nutzung von einem VPN Client um auf die Server zuzugreifen. Somit könnten die Ports von der Firewall geblockt werden und alle User von unterwegs direkt mit dem Server sprechen.
Das die Nutzung von einem VPN Client einen zusätzlichen Administrationsaufwand erzeugt, ist klar. Ich denke aber, dass sich dieser Aufwand innerhalb der IT rechtfertigt, wenn dieser und eventuelle noch viele andere Ports nicht auf der Firewall geöffnet werden müssen. Für den Endanwender sollte die Nutzung keine große Änderung sein. Entweder wird der VPN Client so installieren und konfigurieren, das er transparent arbeitet, oder aber ganz gezielt gestartet wird. Damit hätte er zwei Schritte durchzuführen. 1. einwählen ins Internet 2. einwählen ins Firmennetzwerk (über VPN).
Das es sich bei dem Thema um einen ganzheitlichen Ansatz handelt, und nicht so einfach diskutiert werden kann, sehe ich ein. Das schlimme für mich ist im Moment folgendes. Die lieben Mitarbeiter aus den anderen Standorten (US und Asien) sehen ein, dass eine Firewall sinn macht. Sie sagen aber das es „keine Angriffe“ auf Notes gegeben hat (bzw. bekannt geworden sind) und denken somit das es kein Problem ist diesen Port aufzumachen. Wie schon gesagt gab es aber in 2001 und 2003 aber eine ganze Reihe von Problem innerhalb von Notes.
Aus meiner sicht machen sie aber einen Denkfehler, denn das Risiko ist theoretisch vorhanden. Es kann im nächsten Monat einen ausgenutzten Bug in Notes geben, der über 1352 genutzt werden kann. Ich bin halt auf der Suche nach Argumenten um diesen Leuten (US und Asien) klar zu machen, das die VPN Lösung die theoretisch sicherere Lösung ist.
Es kann natürlich auch sein, das ich da falsch liege, wenn ja bitte reichlich antworten.
Danke noch mal
Jens
Sie sagen aber das es
„keine Angriffe“ auf Notes gegeben hat (bzw. bekannt geworden
sind) und denken somit das es kein Problem ist diesen Port
aufzumachen. Wie schon gesagt gab es aber in 2001 und 2003
aber eine ganze Reihe von Problem innerhalb von Notes.
Ich sehe ein anderes Problem, kenne aber Notes nicht hinreichend, um seine Brisanz beurteilen zu können: Den Angriff nicht gegen Notes, sondern direkt gegen die Kommunikation Anwender - Server gerichtet. Laut http://de.wikipedia.org/wiki/Lotus_Notes ist hier aber eine bilaterale Authentifizierung erforderlich, und wenn zudem sichergestellt ist, dass sämtliche Daten verschlüsselt übertragen werden, sehe ich im zusätzlichen Vorschalten einer VPN-Verbindung keinen signifikanten Vorteil in der Sicherheitsarchitektur. Eine mangelhafte Implementierung kann genauso gut beim VPN-Server gefunden werden.
Ich würde zunächst fragen, welche Notwendigkeit es überhaupt gibt, Notes-Dienste in einem öffentlichen Netz anzubieten und ob es hier nicht Alternativen gibt, die das gleiche Ziel auf andere Weise erreicht. Wenn es aber keine Alternative gibt, gehört der Notes-Server zwar ganz klar in eine DMZ, VPN aber halte ich für nicht zwingend erforderlich.
Gruss
Schorsch