admincamp 2012 track 2, session 1: lotus protector - weil sicher …file/... · seite 5 lotus...
TRANSCRIPT
Innovative Software-Lösungen.
www.assono.de
AdminCamp 2012Track 2, Session 1:
Lotus Protector - weil sicher sicher sicher ist
Gelsenkirchen, 18. Juni 2012
Seite 2www.assono.de
Thomas Bahn
Diplom-Mathematiker, Universität Hannover
seit 1997 entwickle ich mit Java und relationalen Datenbanken
seit 1999 mit Notes/Domino zu tun: Entwicklung, Administration, Beratung und Schulungen
regelmäßiger Sprecher auf nationalen und internationalen Fachkonferenzen zu IBM Lotus Notes/Domino und Autor für THE VIEW
[email protected]://www.assono.de/blog04307/900-401
Seite 3www.assono.de
Agenda
- Lotus Protector – ein Name, zwei Produkte
- Lotus Protector for Mail Security- Theorie- Praxis
- Lotus Protector for Mail Encryption- Theorie- Praxis
Seite 4www.assono.de
Lotus Protector – ein Name, zwei Produkte
Seite 5www.assono.de
Lotus Protector
- Einkäufe von IBM- LPMS: Proventia (Unternehmen)- LPME: PGP Universal Server (Produkt)
- Appliances
- Bedienung über Web-Oberfläche
- auf Linux-Basis- LPMS: SuSE Linux Enterprise Server (SLES) 10.2- LPME: Red Hat
Seite 6www.assono.de
Lotus Protector for Mail Security
Theorie
Seite 7www.assono.de
Lotus Protector for Mail Security (LPMS)
- Schutz vor:- Spams, Phishing, „unerwünschte Sprache“, …- Viren, Trojaner, … - „Datenabfluss“ (Data Leakage Protection, DLP)
- Steuerung über Richtlinien (Policies) und Regeln (Rules)
Seite 8www.assono.de
Lotus Protector for Mail Security (LPMS)
- mehrere (>20) Verfahren kombinierbar, u.a.- Dynamic Host Reputation- Bayessche Filter- Fuzzy Fingerprints- Flow Control- Struktur-Analysen- Antivirus-Erkennung nach Signaturen und
Verhalten- URL- und Spam-/Phishing-Datenbanken- Whitelists/Blacklists
- Zero Layer Analysis (ZLA): effiziente Vorprüfung des eingehenden Bitstroms mit reduzierter Filtermenge
Seite 9www.assono.de
Lotus Protector for Mail Security (LPMS)
- Virenscanner per Web-Service via ICAP für - jetzt: IBM Connections, Lotus Quickr(J), Squid- später: Lotus Quickr(D), IBM Sametime
- Selbstschutz z.B. vor Denial-of-Service-Angriffen mit Intrusion Prevention System (IPS)
- Integration in den Notes-Client „out-of-the-box“ (seit Notes 8.5.1-Mail-Schablone)
- vordefinierte Berichte
Seite 10www.assono.de
Lotus Protector for Mail Security
Praxis
Seite 11www.assono.de
MX-Einträge (DNS)
- MX-Einträge im DNS steuern, an welche Server E-Mails für eine Domäne zugestellt werden
- mehrere MX-Einträge für eine Domäne möglich
- Reihenfolge über MX Preference (~ Kosten):- Server mit niedrigeren Werten zuerst- Server mit gleichen Werten „zufällig“
- Nach der Installation müssen MX-Einträge aller Domänen auf LPMS-Server umgestellt werden
Seite 12www.assono.de
Eingehende E-Mails
Quelle: IBM Lotus Protector for Mail Security Getting Started Guide Version 2.8 (SC27-3830-00)
Seite 13www.assono.de
Ausgehende E-Mails: direkt oder via Relay
Quelle: IBM Lotus Protector for Mail Security Getting Started Guide Version 2.8 (SC27-3830-00)
Seite 14www.assono.de
LDAP
- LDAP einrichten und testen
- Softerra LDAP Browser, Apache Directory Studio oder LDAPSearch (im Notes-Client-Programmverzeichnis)
- Beispiel:ldapsearch -h ldap.tbahn.local -p 389 -D "cn=LDAP-Bind" -w ****** "maildomain=TBahn" cn
Seite 15www.assono.de
Firewall
- ausgehend ins Internet:- HTTPS tcp/443- SMTP tcp/25- DNS udp/53 und optional tcp/53
- eingehend aus dem Internet:- SMTP tcp/25
- in Richtung internes Netzwerk- SMTP tcp/25 ein- und ausgehend- LDAP tcp/389 (oder AD)- NTP udp/123
Seite 16www.assono.de
Firewall
- aus dem Management-Netzwerk:- HTTPS tcp/443- SSH tcp/22- SNMP udp/161- Datenbank-Zugriff tcp/5432- Cluster-Kommunikation tcp/4990
- aus dem Benutzer-Netzwerk oder HTTPS-Proxy- Endbenutzer-Zugriff tcp/4443
Seite 17www.assono.de
Hardware oder VMware
- LPMS läuft als Appliance auf dedizierter Hardware oder in der VMware-VM
- Anforderungen siehe Dokumentation
- Installations-ISO-Datei brennen bzw. einhängen
Seite 18www.assono.de
Installation
Seite 19www.assono.de
Installation
Seite 20www.assono.de
Installation
Seite 21www.assono.de
Installation
Seite 22www.assono.de
Installation
Seite 23www.assono.de
Installation
Seite 24www.assono.de
Netzwerk-Einstellungen des Clients anpassen
Seite 25www.assono.de
Weiter geht’s im Browser
Seite 26www.assono.de
Weiter geht’s im Browser
Seite 27www.assono.de
Erstkonfiguration
Seite 28www.assono.de
Erstkonfiguration
Seite 29www.assono.de
Erstkonfiguration
Seite 30www.assono.de
Erstkonfiguration
Seite 31www.assono.de
Erstkonfiguration
Seite 32www.assono.de
Erstkonfiguration
Seite 33www.assono.de
Erstkonfiguration
Seite 34www.assono.de
Erstkonfiguration
Seite 35www.assono.de
Erstkonfiguration
Seite 36www.assono.de
Erstkonfiguration
Seite 37www.assono.de
Erstkonfiguration
Seite 38www.assono.de
Erstkonfiguration
Seite 39www.assono.de
Erstkonfiguration
Seite 40www.assono.de
Erstkonfiguration
Seite 41www.assono.de
Erstkonfiguration
Seite 42www.assono.de
Erstkonfiguration
Seite 43www.assono.de
Noch einmal im Browser
Seite 44www.assono.de
Noch einmal im Browser
Seite 45www.assono.de
Abschluss der Erstkonfiguration
Seite 46www.assono.de
Benutzeroberfläche verwendet Java
Seite 47www.assono.de
Benutzeroberfläche verwendet Java
Seite 48www.assono.de
Alles im grünen Bereich…
Seite 49www.assono.de
Netzwerkkonfiguration
Seite 50www.assono.de
Netzwerkkonfiguration
Seite 51www.assono.de
Netzwerkkonfiguration
Seite 52www.assono.de
Netzwerkkonfiguration
Seite 53www.assono.de
Netzwerkkonfiguration
Seite 54www.assono.de
Änderungen über Konsole oder SSH
- Nur-Lesen unproblematisch
- Änderungen bewirken Garantieverlust, außer wenn- autorisiert vom IBM Support- durchgeführt von IBM Partner, Reseller oder
internen Mitarbeiter- dokumentiert in Textdatei
/root/lib/customization
- Bei Problemen kann IBM fordern, die Änderungen rückgängig zu machen
Seite 55www.assono.de
Netzwerk-Einstellungen des Clients wiederherstellen
Seite 56www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 57www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 58www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 59www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 60www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 61www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 62www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 63www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 64www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 65www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 66www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 67www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 68www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 69www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 70www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 71www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 72www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 73www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 74www.assono.de
Automatische Aktualisierungen konfigurieren
Seite 75www.assono.de
Aktualisierungsstatus und Mail Security-Datenbank
Seite 76www.assono.de
SMTP-Konfiguration
Seite 77www.assono.de
SMTP-Konfiguration
Seite 78www.assono.de
SMTP-Konfiguration
Seite 79www.assono.de
Domino-LDAP einstellen
Seite 80www.assono.de
Domino-LDAP einstellen
Seite 81www.assono.de
Domino-LDAP einstellen
Seite 82www.assono.de
Domino-LDAP einstellen
Seite 83www.assono.de
Endbenutzer-Schnittstelle
Seite 84www.assono.de
Endbenutzer-Schnittstelle
Seite 85www.assono.de
Endbenutzer-Schnittstelle
Seite 86www.assono.de
Endbenutzer-Schnittstelle
Seite 87www.assono.de
Endbenutzer-Schnittstelle
Seite 88www.assono.de
Endbenutzer-Schnittstelle
Seite 89www.assono.de
Konfiguration des Domino-Servers
Seite 90www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 91www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 92www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 93www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 94www.assono.de
LPMS aus Benutzersicht im Notes-Client
Seite 95www.assono.de
LPMS aus Benutzersicht im Notes-Client
Seite 96www.assono.de
LPMS aus Benutzersicht im Notes-Client
Seite 97www.assono.de
Testen mit Telnet
Seite 98www.assono.de
Testergebnis
Seite 99www.assono.de
Lotus Protector for Mail Encryption
Theorie
Seite 100www.assono.de
Lotus Protector for Mail Encryption (LPME)
- E-Mail-Verschlüsselung
- unterstützt 2 Standardverfahren- PGP- S/MIME
- automatische Schlüsselverwaltung
- verschlüsselt regel-basiert (Policies auf dem Server) und/oder benutzergesteuert (via Notes-Add-In)
Seite 101www.assono.de
Lotus Protector for Mail Encryption (LPME)
- Focus auf einfache Benutzbarkeit- regelbasiert: ohne Benutzerinteraktion- benutzergesteuert: genauso wie Verschlüsselung
innerhalb von Lotus Notes und Domino
- bei neuen, noch unbekannten Empfängern- nicht zustellbar zurück- unverschlüsselter Versand- Web-Oberfläche- PDFs- Smart Trailer
Seite 102www.assono.de
Einsatzszenarien
- Server:- Platzierung als Gateway (Das willst du!)- interne Platzierung
- interne Platzierung - für E-Mail-Clients (POP, IMAP) und Outlook (MAPI)- LPME-Server zwischen Client und Mail-Server
- Client (Add-On)- extra Lizenzierung (und Kosten)- Client kommuniziert mit LPME-Server direkt- Client ver-/entschlüsselt und signiert selbst
Seite 103www.assono.de
Lotus Protector for Mail Encryption
Praxis
Seite 104www.assono.de
MX-Einträge (DNS)
- MX-Einträge im DNS steuern, an welche Server E-Mails für eine Domäne zugestellt werden
- mehrere MX-Einträge für eine Domäne möglich
- Reihenfolge über MX Preference (~ Kosten):- Server mit niedrigeren Werten zuerst- Server mit gleichen Werten „zufällig“
- Nach der Installation müssen MX-Einträge aller Domänen auf LPME-Server umgestellt werden
Seite 105www.assono.de
Installation
Seite 106www.assono.de
Installation
Seite 107www.assono.de
Installation
Seite 108www.assono.de
Installation
Seite 109www.assono.de
Installation
Seite 110www.assono.de
Installation
Seite 111www.assono.de
Installation
Seite 112www.assono.de
Installation
Seite 113www.assono.de
Installation
Seite 114www.assono.de
Installation
Seite 115www.assono.de
Installation
Seite 116www.assono.de
Installation
Seite 117www.assono.de
Installation
Seite 118www.assono.de
Erstkonfiguration
Seite 119www.assono.de
Erstkonfiguration
Seite 120www.assono.de
Erstkonfiguration
Seite 121www.assono.de
Erstkonfiguration
Seite 122www.assono.de
Erstkonfiguration
Seite 123www.assono.de
Erstkonfiguration
Seite 124www.assono.de
Erstkonfiguration
Seite 125www.assono.de
Erstkonfiguration
Seite 126www.assono.de
Erstkonfiguration
Seite 127www.assono.de
Erstkonfiguration
Seite 128www.assono.de
Erstkonfiguration
Seite 129www.assono.de
Erstkonfiguration
Seite 130www.assono.de
Erstkonfiguration
Seite 131www.assono.de
Erstkonfiguration
Seite 132www.assono.de
Erstkonfiguration
Seite 133www.assono.de
Erstkonfiguration
Seite 134www.assono.de
Erster Start (Neuanmeldung im Browser)
Seite 135www.assono.de
Seite 136www.assono.de
Seite 137www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 138www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 139www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 140www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 141www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 142www.assono.de
Warnung wegen des SSL-Zertifikats
Seite 143www.assono.de
SSH-Zugriff (Public Key)
Seite 144www.assono.de
SSH-Zugriff (Public Key)
Seite 145www.assono.de
SSH-Zugriff (Public Key)
Seite 146www.assono.de
SSH-Zugriff (Public Key)
Seite 147www.assono.de
SSH-Zugriff (Public Key)
Seite 148www.assono.de
SSH-Zugriff (Public Key)
Seite 149www.assono.de
SSH-Zugriff (Public Key)
Seite 150www.assono.de
SSH-Zugriff (Public Key)
Seite 151www.assono.de
SSH-Zugriff (Public Key)
Seite 152www.assono.de
SSH-Zugriff (Public Key)
Seite 153www.assono.de
SSH-Zugriff (Public Key)
Seite 154www.assono.de
SSH-Zugriff (Public Key)
Seite 155www.assono.de
SSH-Zugriff (Public Key)
Seite 156www.assono.de
SSH-Zugriff (Public Key)
Seite 157www.assono.de
SSH-Zugriff (Public Key)
Seite 158www.assono.de
SSH-Zugriff (Public Key)
Seite 159www.assono.de
SSH-Zugriff (Public Key)
Seite 160www.assono.de
Nach jedem Neustart...
Seite 161www.assono.de
Nach jedem Neustart...
Seite 162www.assono.de
Domino-Domäne hinzufügen
Seite 163www.assono.de
Domino-Domäne hinzufügen
Seite 164www.assono.de
Domino-Benutzer (LDAP) hinzufügen
Seite 165www.assono.de
Domino-Benutzer (LDAP) hinzufügen
Seite 166www.assono.de
Domino-Benutzer (LDAP) hinzufügen
Seite 167www.assono.de
Domino-Benutzer (LDAP) hinzufügen
Seite 168www.assono.de
Konfiguration des Domino-Servers
Seite 169www.assono.de
Konfiguration des Domino-Servers
Seite 170www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 171www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 172www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 173www.assono.de
Konfiguration des Notes-Clients (via Richtlinie)
Seite 174www.assono.de
Installation des LPME-Clients
Seite 175www.assono.de
Installation des LPME-Clients
Seite 176www.assono.de
Installation des LPME-Clients
Seite 177www.assono.de
Installation des LPME-Clients
Seite 178www.assono.de
Installation des LPME-Clients
Seite 179www.assono.de
Installation des LPME-Clients
Seite 180www.assono.de
Benutzung des LPME-Clients
Seite 181www.assono.de
LPME „scharf“ schalten
Seite 182www.assono.de
Ausgangsregel auf Smart Trailer stellen
Seite 183www.assono.de
Ausgangsregel auf Smart Trailer stellen
Seite 184www.assono.de
Ausgangsregel auf Smart Trailer stellen
Seite 185www.assono.de
Ausgangsregel auf Smart Trailer stellen
Seite 186www.assono.de
Ausgangsregel auf Smart Trailer stellen
Seite 187www.assono.de
Ausgangsregel auf Smart Trailer stellen
Seite 188www.assono.de
Ausgangsregel auf Smart Trailer stellen
Seite 189www.assono.de
Fragen?
jetzt stellen – oder später:
[email protected]://www.assono.de/blog 04307/900-401
Folien unter:www.assono.de/blog/d6plinks/AC12-Lotus-Protector