Zugriff von aussen über 1352 unsicher?

    Hallo,


    ich bin neu hier im Forum und auch was die Administration von Domino betrifft. Klopft mir ruhig auf die Finger, wenn ich allzugroßen Mist von mir lasse.


    Im Moment müssen Anwender, wenn sie unterwegs sind, sich mittels VPN in die Firma einwählen, um mit Lotus Notes arbeiten zu können.
    Zudem haben sie aber auch die Möglichkeit auf ihre Mails über iNotes zuzugreifen.
    Jetzt hat mich ein Anwender (relativ IT affin) angesprochen, ob man nicht Port 1352 auch in der Firewall freischalten könnte, dann müsste man sich nicht immer erst mit VPN verbinden, um Lotus Notes nutzen zu können. Das wäre ja auch nicht unsicherer als der Zugriff über iNotes.


    Beim Webaccess kann ich ja noch zuviele fehlerhafte Anmeldeversuche sperren und auch nachvollziehen. Für den Notes-Zugriff braucht es aber auch die lokale ID damit der Zugriff funktioniert.


    Wie seht ihr das? Mir fallen da nicht so recht Argumente ein, warum was sicherer bzw. unsicherer ist.

    Grundsätzlich ist es zunächst einmal ziemlich egal, welcher Port von draußen erreichbar ist. Sobald erkennbar ist welches System dahintersteckt, kann ein potentieller Angreifer einen dediziert darauf abgestimmten Angriff fahren. Also muss in jedem Fall auf Applikationseben dafür gesorgt sein, dass die aktuellen Sicherheitsmechanismen greifen. Dazu gehören natürlich die aktuellsten Fixes, eine saubere Konfiguration und -im Falle vom Domino- dann korrekte ACLs, Schlüsselabgleich und sauber gepflegte Serverzugriffs- und Blacklistgruppen, um mal einige wenige Beispiele zu nennen.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Welches System dahinter hängt, sieht man ja auch ziemlich schnell bei einem Zugriff auf Port 80 für iNotes.
    Mal vorausgesetzt, dass aktuelle Patches etc. installiert sind und auch mal BufferOverflow-Geschichten, die ja prinzipiell mit jedem Port funktionieren können, was spricht gegen ein Freischalten von Port 1352?


    Meinen Gedanken nach liegt das größte Risiko bei einem Diebstahl einer ID. Abgesehen davon, dass das ja auch unbemerkt passieren kann, wie kann man dann die ID für ungültig erklären und dem User eine neue ID verpassen?

    Wie gesagt: Schlüsselabgleich einstellen.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Schau mal nach was ein "passthur" Server ist (IBM Admin Hilfe).


    Damit kannst du dann regeln wer von extern auf den internen server zugreifen kann. Du kannst da eine Gruppe für Pflegen. Das hat dann den Vorteil das nicht jeder Mitarbeiter passthru verwenden darf. Manche Firmen machen es so, das sie ihren Mailexchanger der ja sowieso in der DMZ steht als passthru verwenden.

    Wir haben einen Traveler Server im Einsatz, der ebenfalls über Port 1352 zu erreichen ist. Auf dem Port ist die Verschlüsselung aktiviert. (Server, Configuration,Server,Setup Ports, Encrypt Network Data).


    Die Laptop User nutzen diesen dann als Passthru Server um zu ihrem Homemailserver zu gelangen.


    Die Verbindungsdokumente auf den Laptops sehen dann so aus


    1:
    Server: DominoNamedesServers/Certifier
    Port : TCPIP
    VIA : IP (oder DNS Name wie replication.firma.com)



    2:
    Server : *
    Via : DominoNamedesServer/Certifier


    Heißt im Endeffekt, dass der Passthru Server über eine bestimmte IP zu erreichen ist und im zweiten Dokument das alle Server(*) über diesen zu erreichen sind.





    Wenn du dann expliziten Gruppen/Usern die Verbindung zum Server gestattest ist das auch nicht unsicherer als ein beliebiger Dienst der aus dem Internet zu erreichen ist.