[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Agosto 2003 ml@sikurezza.org Soggetto: Re: CRITICITA' PORTE 80 e PORTA NOTES SU SERVER LOTUS DOMINO Mittente: Andrea Consadori Data: 22 Aug 2003 17:58:36 -0000
----- Original Message ----- From: "draschitelli - hotmail" <draschitelli@xxxxxxxxxxx> To: <ml@xxxxxxxxxxxxx> Sent: Wednesday, August 13, 2003 4:10 PM Subject: CRITICITA' PORTE 80 e PORTA NOTES SU SERVER LOTUS DOMINO > Sto cercando di documentarmi sulla criticità o meno del discorso, visto che > Domino è noto essere più sicuro di altri sistemi (vedi Microsoft IIS), come > WEB server, però.... non si sa mai! > > L'importante è tenere il tutto aggiornato (sp e hotfix). > > Aprirei la porta 80, per far accedere Domino come WEB Server dagli utenti > Internet. > > Per questo servizio, devo per forza aprire a chiunque, in quanto si tratta > di servizi "al pubblico". > se hai paura di eventuali attacchi con stinge malformate doversti pensare a filtri di terze parti come webmashal che fa un match sugli http_get esterni bloccando stringe malformate note. > Inoltre aprirei la "classica" porta Lotus Notes (1352), accedibile > dall'esterno tramite autenticazione solo dagli utenti mobili Notes, che > avendolo installato sul proprio PC portatile, devono collegarsi in azienda > ai propri Databases. Il collegamento avviene tramite controllo del > certificato Notes e controllo successivo di password. > > Per questo servizio, eventualmente potrei risolvere mettendo in sicurezza > tramite VPN/protocollo IPSEC 3DES, o Cisco (tramite il PIX), oppure tramite > soluzioni di terze parti. > > bhe gia che ci sei mi pare che cisco abbia gia rilasciato il AES tanto la mole di dati da criptare è poca, unica pecca il costo delle licenze cisco client per vpn poichè i client winzozz in vpn mi pare supportino solo pptp > > Non ho idea se il servizio WEB di Domino ha delle criticità sulla porta 80, > e pure se esistono problemi di sicurezza relativi alla porta Notes, anche se > viene dichiarato dalla Lotus come sistema di connessione sicuro. > IIS aveva il problema dei CGI e con il lockdown si metteva un po a posto, domino non saprei dato che fin ora non l'ho mai visto utilizzare come web server se ti serve cmq... http://www.nextgenss.com/papers/hpldws.pdf è un documento sulle migliorie a domino e su esempi di vecchi attacchi al web server di domino > > Saluti Andrea Consadori ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005