DNS in DMZ o no e architettura del server di posta

0

Mi chiedo quale server ho inserito nella zona DMZ. So che la zona DMZ è per tutti i server o servizi a cui è necessario accedere da Internet, come server Web, server di posta e talvolta server DNS.

Ma mi chiedo due domande, per il server di posta: la migliore pratica sicura è avere due server, come front-end (server webmail che invia comandi a server back-end) e server back-end che hanno tutte le e-mail nel suo disco? Perché, se ho un solo server di posta ed è in zone DMZ con dati sensibili (mail, rubrica, informazioni utente) non è una buona idea, vero?

E la mia seconda domanda, perché il mio server DNS deve essere accessibile da internet? Se voglio reindirizzare un nome di dominio sul mio server, compro un nome di dominio da un servizio di hosting e lo reindirizzo sul mio router e nella configurazione del mio router reindirizzo il traffico al server nella mia zona DMZ, nelle mie idee.

    
posta Ilies 16.01.2016 - 18:59
fonte

3 risposte

1

Bind ha disposizioni per il DNS interno ed esterno. Nel caso in cui desideri avere solo nomi di dominio interni. In questo modo puoi servire entrambe le domande di fronte. Dispone inoltre di impostazioni che consentono solo agli utenti fidati di accedervi.

    
risposta data 14.08.2016 - 06:36
fonte
0

Per favore perdonami se ho frainteso, ma qui è la mia risposta da ciò che raccolgo mi stai chiedendo:

Se si desidera configurare un server dietro la connessione Internet, eviterei di utilizzare DMZ e utilizzare il port forwarding. Mettere un server su DMZ senza una grande quantità di esperienza è una cosa pericolosa da fare.

Elenca i tuoi servizi specifici e imposta le regole di inoltro, ad esempio la porta 53, per reindirizzare il server web di tua scelta. Non metterei mai qualcosa in DMZ se posso evitarlo.

Per rispondere alla tua seconda domanda, puoi impostare il tuo server come un server DNS ma il problema qui è che le persone dovrebbero quindi usarti come server DNS. Se sei offline, imposta il tuo server DNS e reindirizza il tuo interno traffico tutto ciò che vuoi. I server DNS esistono su Internet in modo che altre persone possano essere indirizzate alla stessa posizione in tutto il mondo.

    
risposta data 16.01.2016 - 21:44
fonte
0

Per la posta, le migliori pratiche raccomandano che i server di posta che sono (sono) utilizzati dall'utente interno non debbano essere nella DMZ e nemmeno direttamente accessibili dall'esterno. Ma poiché vuoi essere in grado di consentire la posta in arrivo da internet, generalmente metti un server ausiliario nella DMZ che riceve le e-mail in arrivo e le inoltra al server interno principale. In questo modo se il relay è vittima di attacchi dos, i server interni non dovrebbero essere interessati.

Per il DNS, può avere senso avere un server DNS dedicato nella DMZ se ci sono diversi server lì. Invece di configurare un DNS su ciascun server, ne configuri uno solo, mirato all'ambiente DMZ e tutti gli altri server DMZ lo utilizzano. Ciò consente di ridurre la comunicazione consentita tra la DMZ e la rete interna.

    
risposta data 13.10.2016 - 10:03
fonte

Leggi altre domande sui tag