Lotus Notes Server und SuSe linux Firewall

[carsten]

hi,

hi hab eine kleine frage weisst jemand welsche ports benutz lotus notes ich muss ein firewall aufbauen und weis nicht wenn notes auf internet will oder email oder replikationen macht wie er das macht über welschen port weisst das jemand.

carsten

[Christian]

Hallo,

also ich würde das mit einem Mail-Relay in einer DMZ verwirlichen.
Die beiden Maschinen (Domino Server - Mail-Relay) unterhalten sich dann über SMTP (Port 25).

Christian

[carsten]

hi
danke für dein antwort
wie meinst du das genau meinst du das mann auf dem firewall ein mailserver einrichtet und der lotus notes schik die emals da und dann weiter

carsten

[Christian]

Hi,

das was Du ansprichst ist natürlich eine Möglichkeit aber die ist nicht so toll da Du dann auf Deiner Firewall einen offenen externen Port 25 hast.

Nein,
- ich würde dem Firewall Rechner eine weitere Netzwerkkarte spendieren.

- diese Netzwerkkarte mit einem kleinen IP Netz ausstatten (255.255.255.240 oder noch kleiner je nach dem
wie die Planung für evtl. weitere "öffentliche Rechner" aussieht (evtl. Webserver o.ä.)

- dann würde ich einen alten, ausgedienten Rechner nehmen eine Kombination von Linux mit Sendmail oder
einem entspechenden Mailprogramm (Postfix, Qmail) draufschnallen und diesen IP-technisch in das kleine
IP Netz hängen

- die Mailkonfiguration auf diesem Teil würde dann so aussehen dass diesem das/die Mail-Relay/s Deines
bekannt ist/sind und dieser über die Firewall mit SMTP kommunizieren darf

- den Notes Server kannst Du so konfigurieren das dieser extern abgehende Mails eben an Dein MailRelay
schickt (über SMTP) auf der Firewall heißt das der Notes Server darf mit dem Mail Relay über SMTP
kommunizieren

- für Mailempfang von extern muß Dein Mail-Relay mit einer öffentlichen IP Adresse erreichbar sein, ist
es das läßt es sich ganz einfach konfigurieren dass dieses Teil die Mails an Lotus Notes weiterleitet

- auf Deiner Firewall benötigst Du für diese Kommunikation folgende Regeln:

der Notes Server darf über SMTP mit dem Mail-Relay in der DMZ kommunizieren ( 2 Regeln / senden -
empfangen)

das Mail Relay darf über SMTP mit externen Mail Servern kommunizieren (2 Regeln / senden -
empfangen)

Dieser Konstrukt hat, in meinen Augen, die Vorteile:
- die Firewall hat keine offenen, externen Ports
- Du musst Dir keine Gedanken über die Ports bei Lotus Notes machen
- Du hast einen abgetrennten IP Bereich für den externen Mailverkehr und die volle Kontrolle über
diesen IP Bereich
- niemand kommt von extern direkt an Deinen Notes Server und kann diesen ... nun sagen wir mal
beschädigen
- niemand kommt von extern direkt in Dein LAN

Für weitere Infos stehe ich gerne zur Verfügung

Bis dann

Christian

[ronny]

den ausführungen von christian kann ich nur zustimmen

als mailserver würde ich aber courier benutzen, der hat gegenüber qmail den vorteil, dass er nicht für jede nachricht zum domino server eine einzelne verbindung aufbaut
<a href="http://www.courier-mta.org" target="_blank"><!--auto-->http://www.courier-mta.org</a><!--auto-->
die konfiguration ist ähnlich zu qmail

bei qmail sieht die konfig so aus

/var/qmail/control/rcpthosts
deine.domino.domain
deine.domino.domain2

/etc/tcpcontrol/smtp.rules (oder wo immer die konfiguration für tcpserver liegt)
ip.des.domino.servers:allow,RELAYCLIENT
:allow

das müsste schon reichen

bei courier müsste es so gehen

/etc/courier/esmtpacceptmailfor.dir/domino
deine.domino.domain
deine.domino.domain2

/etc/courier/smtpaccess/domino
ip.des.domino.servers<tab>allow,RELAYCLIENT
*<tab>allow

das müsste auch hier reichen
natürlich immer die datenbanken neu erstellen (siehe die entsprechenden manpages)

[cartsen]

danke für den schnellen antwort ich werde es versuchen werde mich vielleicht nochmal melden!
was sagst du eigentlich zu dem suse firewall live cd kostet ca 1200 mark aber die idee ist gut kann man so was mit eigene firewall machen das heisst ich mache das komplette firewall auf eine festplatte und dann muss ich so eine live cd machen wie geht das hast du schon so was gemacht?
NOCHMAL DANKE

carsten

[Christian]

Hi,

ich war gerade mal bei S.u.S.E. und habe mir die Texte zu deren Produkt durchgelesen.

Im Prinzip ist der Vorteil ganz klar darin zu sehen, dass auf der CD nichts verändert werden kann.
Aus meiner Erfahrung (gerade bei Unternehemen) ist aber eine Firewall ein sehr lebendiges System, d.h. hiermit sollte ständig gearbeitet werden, in Form von Logfile Auswertungen entsprechenden Änderungen am Regelwerk durch geänderte Anforderungen oder auftredenden Alerts im Logfile usw.
Der Knackpunkt bei einem System, dieser Art ist meiner Meinung nach also darin zu suchen wie schnell, bzw. komfortabel diese Änderungen vollzogen werden können.
Das ist bei der S.u.S.E. Lösung die Frage und hier muß man mal abwarten bis das Produkt erhältlich ist.

Ich habe mal ein wenig mit dem LIDS herumexperimentiert dieses IDS System bietet dir an Verzeichnissebenen auf Kernelebene schreibzuschützen u.ä..
Soweit so gut aber wenn Du wie gesagt Änderungen vornehmen willst ist der Aufwand relativ hoch.

Für mich macht eine gute Firewall Lösung nicht nur Sinn wenn diese so sicher wie möglich ist.
Sie muß auch sowohl für den Benutzter nutzbar sein (die Produktivität sollte nicht leiden u.ä.) aber sie muß für den Admin auch handlebar sein.
Es bringt meiner Meinung nach garnichts wenn die HighEnd Firewall im Rechenzentrum steht und niemand weiß wie mit diesem Teil umgegangen werden kann, bzw. der Aufwand das Teil zu adminsitrieren ewig hoch ist das keiner Zeit hat sich darum zu kümmern.

Also so richtig begeistern kann ich mich für diese Lösung nicht wirklich aber wie mein Vater schon sagte "Ohrfeigen und Geschmäcker sind verschieden".

So long

Christian

[carsten]

ich hab etwas vergessen und zwar der lotus notes server hat ein echtes ip adresse unter dem er im internet ereichbar ist kann ich trozdem deine lösung verwenden weill da ist di e rede von localle adressen.
NOCHMAL DANKE

carsten

[carsten]

noch was bevor der lotus notes server ins internet geht steht ein router vom cisco und dann geht mann ins internet.

cartsen

[Christian]

Guten Morgen,

das mit der "echten" IP-Adresse sollte kein Problem sein.

Ich gehe davon aus das der NotesServer als offizieller Mail Server Deiner Firma DNS-technisch im Internet steht.
Das soll heißen es gibt eine Adresse im Internet "mail.deinefirma.de" an diese ist der NotesServer geoppelt.

Du mußt halt die IP Adresse des Notes-Servers auf das Mail-Relay übertragen und den Notes-Server nur noch mit einer IP-Adresse aus Deinem privaten IP Bereich ansprechen.

Nach dieser Veränderung ist das Mail-Relay der Rechner der Deinen offiziellen Mailserver "mail.deinefirma.de" darstellt.

Damit ist auch gleich Dein internes Netz bereinigt, den eines muß Dir klar sein Du fährst im Moment eine offizielle IP-Adresse in einem internen Netzwerk, d.h. im schlimmsten Fall komme ich über die offizielle IP-Adresse auf Deinen NotesServer und kann mich dann mit IP-Forwarding auf das interne Interface des NotesServers und kann mich von diesem aus durch Dein LAN hangeln.

Das wäre aus meiner Sicht ein durchaus ernst zu nehemendes Sicherheitsproblem.

Christian

[Schoepp@uni-bremen.d]

Dann lass den 1. MX auf den Domino zeigen und den 2. auf den Mailserver in der DMZ.
Als relay auf dem Lotus Mailer den Mailer in der DMZ eintragen.

Bis dann
Sven

[carsten]

hi
das ist jetz klar mit dem mail aber was ist mit proxy und direktes zugriff ins internet momentan fungiert der lotus notes auch als proxy und eineige clients haben auch direktes zugriff über den router weill die das baruchen soll ich es genau so machen wie mit dem mail als dmz oder gibt es bessere möglichkeiten.

carten

[carsten]

sorry hab was vergessen der lotus notes server macht auch terminverweltung und workgroup weltweit er repliziert das ganze auf die andere standorte übers internet wie kann ich das sicherer machen was muss ich bei dem firewall beachten.

cartsen

[ronny]

mal bitte mal ein bild wie der aufbau aussieht, langsam wirds unübersichtlich

prinzipiell sollte man möglichst alle funktionen auf getrennte rechner verteilen und die netze mindestens nach dem standardschema aufteilen (firewall, dmz mit server die von außen erreichbar sein müssen, lan)

[Christian]

Hallo,

wie Ronny schon sagte so langsam wird es richtig komplex, da stellt sich für mich die Frage ob das innerhalb dieses Forums gelöst werden kann ... ?
Für das Thema Proxy kann ich mich ebenfalls nur Ronny anschleißen, so ein Teil gehört in eine DMZ.
Ich kenne das Thema Replizierung über das Internet, bzw. gesicherte Kommunikation über das Internet in Verbindung mit dem Thema VPN.

Ist vielleicht doof aber ich schick mal ne Mailadresse mit (leider funktioniert das bei mir mit dem login für dieses Forum nicht), da kannst Du ja wenn Du Lust hast ne Visio Zeichnung o.Ä. hinschicken Lösungsvorschläge oder Ansätze würde ich aber auf jeen Fall hier weiter diskutieren.

christian.marx@systematics.de

So long

Christian