DMZ e server di posta

Naviga le tue risposte
4

Ho visto alcune domande correlate a DMZ qui in passato, ma volevo chiederne una direttamente correlata all'email. Ho fatto qualche ricerca su questo, ma volevo chiedere l'opinione del forum.

So che è meglio non avere nulla che colpisca esternamente la tua LAN, ma ho visto implementazioni in cui la posta hosted esterna viene inviata direttamente alla LAN verso i server di posta interni. Il mio istinto mi stava dicendo che era sbagliato, ma come si può aggiungere un sistema di bilanciamento del carico esterno o un server proxy inverso per aggiungere ulteriore sicurezza? È perché sta tagliando la connessione e ricomincia da dentro questo sistema nella DMZ? Stavo avendo problemi a capire perché questo sarebbe più sicuro, anche se mi sento più a mio agio nel farlo. Dovrebbe esserci un filtro delle richieste che si verificano qui?

Inoltre, so che DMZ e LAN non dovrebbero mai parlare (in teoria), ma come si suppone che le risorse interne accedano alla posta esterna? Ho letto che è più sicuro se c'è una DMZ separata per la posta e che gli utenti della LAN dovrebbero avere accesso solo alla DMZ, non alla DMZ nella LAN.

    
posta Contego 01.07.2015 - 15:45
fonte

2 risposte

2

La teoria è che il traffico verso la DMZ deve essere in entrata . In tal caso, se si verifica qualcosa di brutto nell'host DMZ, l'attacco è contenuto nella DMZ.

Ciò significa che le connessioni dalla tua LAN devono essere avviate nella LAN, il che di solito significa un tipo di operazione push (verso la DMZ) o pull (dalla DMZ). Questo è fattibile per la posta ma a volte impraticabile per altri servizi.

In questo caso la DMZ è spesso vista come un "thin layer" che in teoria è più robusto (perché è più leggero) e quindi potenzialmente meno soggetto a vulnerabilità (e hack).

Questo è particolarmente vero quando si ottengono i dati effettivi da un servizio mastodontico a cui non si dovrebbe accedere direttamente. Questo ulteriore livello ti consente anche di " interrompere il protocollo "(come hai detto), il che significa che un attacco che avrebbe avuto successo sull'host di destinazione non sarà fattibile su quello esposto (a causa del cambiamento architettonico che interrompe il carico utile sul primo strato (che non è vulnerabile a quell'attacco)).

    
risposta data 01.07.2015 - 17:38
fonte
0

Ci sono due aspetti della sicurezza della posta elettronica w.r.t. la DMZ:

  1. Trasporto SMTP (in entrata)
  2. Connettività client

Il trasporto SMTP richiede la scansione AV e spesso richiede ricerche DNS, sandboxing dei virus, ecc. Se l'elaborazione SMTP viene esternalizzata a Google, Microsoft, Proofpoint, non vedo alcun problema nel consentire che venga inoltrata direttamente, poiché la terza parte è la DMZ esternalizzata.

Per la connettività client, la maggior parte dei load balancer che ho visto richiedono che POP3, IMAP, HTTP, RPC / HTTPS di destinazione risiedano nella stessa subnet dell'interfaccia di bilanciamento del carico. Inoltre, l'analisi può essere influenzata a seconda che il bilanciamento del carico sia il gateway / router per ciascun server (il server vedrà il GatewayIP invece dell'IP del client).

Posso solo parlare con le implementazioni di Microsoft, poiché questa è la mia esperienza. Microsoft non supporta l'installazione di un firewall tra i server Front End e Back End. Erano soliti nel 2003 e prima, ma non è più così.

Il mio suggerimento è di installare Microsoft Office Server nella DMZ per il web-rendering dei dati e-mail e disattivare WebReady elaborazione sul server di Exchange nella LAN.

I documenti Web Ready sono l'unico rischio che posso dire esiste sulla piattaforma Microsoft

    
risposta data 06.07.2015 - 17:09
fonte

Leggi altre domande sui tag

Come posso confermare che sono vulnerabile a OS X "rootpipe" (CVE-2015-1130)? / dev / random nel cloud EC2