Groupwise и DMZ

Обсуждение технических вопросов по продуктам Novell

Groupwise и DMZ

Сообщение rahim » 29 июн 2010, 11:02

Добрый день!
Есть сервер NW 6.5 SP8, на котором крутится GroupWise 7.0.2. Новые требования корпоративной безопасности требуют, чтоб почтовый сервер находился в демилитаризованной зоне. Как это можно сделать с "минимальными потерями", есть ли какое-то элегантное решение данного вопроса? Как вариант перенести Агент Интернет на сервер в DMZ, а сам сервер не трогать, но я не знаю, как это реализовать и будет ли это работать.

По теме нашел только это: Setting up GWIA in a DMZ
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=10070077&sliceId=&docTypeID=DT_TID_1_1&dialogID=152038184&stateId=0%200%20152034540

Ваши соображения, коллеги?
rahim
 
Сообщения: 103
Зарегистрирован: 06 май 2010, 14:17
Откуда: Махачкала

Re: Groupwise и DMZ

Сообщение Ковалев Артем » 29 июн 2010, 12:54

rahim писал(а):Добрый день!
Есть сервер NW 6.5 SP8, на котором крутится GroupWise 7.0.2. Новые требования корпоративной безопасности требуют, чтоб почтовый сервер находился в демилитаризованной зоне. Как это можно сделать с "минимальными потерями", есть ли какое-то элегантное решение данного вопроса? Как вариант перенести Агент Интернет на сервер в DMZ, а сам сервер не трогать, но я не знаю, как это реализовать и будет ли это работать.

По теме нашел только это: Setting up GWIA in a DMZ
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=10070077&sliceId=&docTypeID=DT_TID_1_1&dialogID=152038184&stateId=0%200%20152034540

Ваши соображения, коллеги?

Ну во-первых, прохачить NW65 никому не удасться. Максимум, что можно получить при очень грамотной атаке - DoS. ДМЗ от этого не спасёт.
Во-вторых, после выноса gwia на другой сервак у меня начались некие траблы с его падением. Нечасто и бессистемно, но. gw 7.0.4. Пришлось вернуть взад.
В-третьих, если прикидывать вынос всего сервера - то к нему должны логиниься юзеры, он должен видеть дерево - в общем, дыр в fw придётся много рисовать.

Может быть, исходя из первого пункта, поговорить с безопасниками?
берем картину мироздания и тупо смотрим - что к чему...
Аватара пользователя
Ковалев Артем
 
Сообщения: 901
Зарегистрирован: 29 мар 2004, 11:44
Откуда: Москва

Re: Groupwise и DMZ

Сообщение rahim » 29 июн 2010, 13:59

Артем, мы лишь дочернее подразделение. Что голова скажет, то и делаем. :) Так что этот вариант можно рассматривать только если нет других альтернатив, но мне кажется, что альтернативы-то есть.

На одном из англоязычных форумов в инете предлагалось создать вторичный домен в DMZ, поставить там GWIA, причем оба домена в целях безопасности должны быть в разных деревьях. Взаимодействие между доменами организовать посредством MTA.

Реально ли это? Может кто-нибудь поделится своим опытом в этой части?
rahim
 
Сообщения: 103
Зарегистрирован: 06 май 2010, 14:17
Откуда: Махачкала

Re: Groupwise и DMZ

Сообщение skoltogyan » 29 июн 2010, 14:27

1. распологаете некий сервер, например с NW65SP8 или c OES2SP2 в ДМЗ
2. создаете на этом сервер Secondary GroupWise Domain, например: DOM2
3. создаете в этот SecondaryDomains агенрта GWIA (он будет исметь доступ к почтовым офисам только TCP) и настраиваете окружение (фаерволы) что-бы этот агент GWIA мог оттуда отправлять и получать почту по SMTP
4. настраиваете маршрутизацию между доменами groupwise( это если надо)

все
skoltogyan
 
Сообщения: 1882
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: Groupwise и DMZ

Сообщение rahim » 30 июн 2010, 10:19

Спасибо за ответ . Но нельзя ли обойтись установкой Агента Интернет на серваке в ДМЗ?
rahim
 
Сообщения: 103
Зарегистрирован: 06 май 2010, 14:17
Откуда: Махачкала

Re: Groupwise и DMZ

Сообщение Владимир Горяев » 30 июн 2010, 11:46

А если тупо пробросить 25 и 110 порты на адрес в ДМЗ?
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Re: Groupwise и DMZ

Сообщение Павел Гарбар » 30 июн 2010, 12:46

GWIA в DMZ поставить можно.
Павел Гарбар
 
Сообщения: 682
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Groupwise и DMZ

Сообщение skoltogyan » 30 июн 2010, 15:46

> Но нельзя ли обойтись установкой Агента Интернет на серваке в ДМЗ?
Технически - да.

Практически - не рекомендую (IMHO).

Вынесите GWIA в отдельный secondary домен - это никак не напряжно.
Расположите этот домен в ДМЗ.
И работайте.
skoltogyan
 
Сообщения: 1882
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: Yahoo [Bot] и гости: 2

cron