proNovell

Добрый день!
Есть сервер NW 6.5 SP8, на котором крутится GroupWise 7.0.2. Новые требования корпоративной безопасности требуют, чтоб почтовый сервер находился в демилитаризованной зоне. Как это можно сделать с "минимальными потерями", есть ли какое-то элегантное решение данного вопроса? Как вариант перенести Агент Интернет на сервер в DMZ, а сам сервер не трогать, но я не знаю, как это реализовать и будет ли это работать.

По теме нашел только это: Setting up GWIA in a DMZ
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=10070077&sliceId=&docTypeID=DT_TID_1_1&dialogID=152038184&stateId=0%200%20152034540

Ваши соображения, коллеги?

rahim писал(а):Добрый день!
Есть сервер NW 6.5 SP8, на котором крутится GroupWise 7.0.2. Новые требования корпоративной безопасности требуют, чтоб почтовый сервер находился в демилитаризованной зоне. Как это можно сделать с "минимальными потерями", есть ли какое-то элегантное решение данного вопроса? Как вариант перенести Агент Интернет на сервер в DMZ, а сам сервер не трогать, но я не знаю, как это реализовать и будет ли это работать.

По теме нашел только это: Setting up GWIA in a DMZ
http://www.novell.com/support/php/search.do?cmd=displayKC&docType=kc&externalId=10070077&sliceId=&docTypeID=DT_TID_1_1&dialogID=152038184&stateId=0%200%20152034540

Ваши соображения, коллеги?

Ну во-первых, прохачить NW65 никому не удасться. Максимум, что можно получить при очень грамотной атаке - DoS. ДМЗ от этого не спасёт.
Во-вторых, после выноса gwia на другой сервак у меня начались некие траблы с его падением. Нечасто и бессистемно, но. gw 7.0.4. Пришлось вернуть взад.
В-третьих, если прикидывать вынос всего сервера - то к нему должны логиниься юзеры, он должен видеть дерево - в общем, дыр в fw придётся много рисовать.

Может быть, исходя из первого пункта, поговорить с безопасниками?

Артем, мы лишь дочернее подразделение. Что голова скажет, то и делаем. Так что этот вариант можно рассматривать только если нет других альтернатив, но мне кажется, что альтернативы-то есть.

На одном из англоязычных форумов в инете предлагалось создать вторичный домен в DMZ, поставить там GWIA, причем оба домена в целях безопасности должны быть в разных деревьях. Взаимодействие между доменами организовать посредством MTA.

Реально ли это? Может кто-нибудь поделится своим опытом в этой части?

1. распологаете некий сервер, например с NW65SP8 или c OES2SP2 в ДМЗ
2. создаете на этом сервер Secondary GroupWise Domain, например: DOM2
3. создаете в этот SecondaryDomains агенрта GWIA (он будет исметь доступ к почтовым офисам только TCP) и настраиваете окружение (фаерволы) что-бы этот агент GWIA мог оттуда отправлять и получать почту по SMTP
4. настраиваете маршрутизацию между доменами groupwise( это если надо)

все

Спасибо за ответ . Но нельзя ли обойтись установкой Агента Интернет на серваке в ДМЗ?

А если тупо пробросить 25 и 110 порты на адрес в ДМЗ?

GWIA в DMZ поставить можно.

> Но нельзя ли обойтись установкой Агента Интернет на серваке в ДМЗ?
Технически - да.

Практически - не рекомендую (IMHO).

Вынесите GWIA в отдельный secondary домен - это никак не напряжно.
Расположите этот домен в ДМЗ.
И работайте.