DMZ y servidores de correo

4

He visto algunas preguntas relacionadas con DMZ aquí en el pasado, pero quería hacer una directamente relacionada con el correo electrónico. He investigado un poco sobre esto, pero quería preguntarle a los foros.

Sé que es una buena práctica no tener nada externo directamente en la LAN, pero he visto implementaciones en las que se envía un correo externo alojado directamente a la LAN hacia los servidores de correo internos. Mi instinto me dijo que esto estaba mal, pero ¿cómo agregar seguridad adicional al poner un equilibrador de carga externo o un servidor proxy inverso? ¿Es porque está cortando la conexión y volviéndola a iniciar desde este sistema en la DMZ? Estaba teniendo problemas para entender por qué esto sería más seguro, a pesar de que me siento más cómodo con que suceda. ¿Debería haber un filtrado de las solicitudes que se producen aquí?

También, sé que DMZ y LAN nunca deben hablar (en teoría), pero ¿cómo se supone que los recursos internos acceden al correo externo? He leído que es más seguro si hay una DMZ separada para el correo y que los usuarios de la LAN solo deberían tener acceso a la DMZ, no la DMZ a la LAN.

    
pregunta Contego 01.07.2015 - 15:45
fuente

2 respuestas

2

La teoría es que el tráfico a la DMZ debe ser entrante . En ese caso, si algo malo le sucediera al host de DMZ, el ataque está contenido dentro de la DMZ.

Esto significa que las conexiones desde su LAN deben iniciarse en la LAN, lo que generalmente significa algún tipo de operaciones push (a la DMZ) o pull (de la DMZ). Esto es factible para el correo, pero a veces es impracticable para otros servicios.

En ese caso, la DMZ se ve a menudo como una "capa delgada" que, en teoría, es más robusta (porque es más liviana) y, por lo tanto, potencialmente menos propensa a las vulnerabilidades (y piratea).

Esto es particularmente cierto cuando obtiene los datos reales de un servicio gigantesco al que no se debe acceder directamente. Esta capa adicional también le permite " romper el protocolo "(como mencionó), lo que significa que un ataque que habría tenido éxito en el host objetivo no será factible en el expuesto (debido al cambio arquitectónico que detiene la carga útil en la primera capa (que no es vulnerable a ese ataque)).

    
respondido por el WoJ 01.07.2015 - 17:38
fuente
0

Hay dos aspectos de la seguridad del correo electrónico w.r.t. la DMZ:

  1. Transporte SMTP (entrante)
  2. conectividad del cliente

El transporte SMTP requiere exploración AV y, a menudo, requiere búsquedas de DNS, protección de virus, etc. Si el procesamiento SMTP se subcontrata a Google, Microsoft, Proofpoint, no veo ningún problema para permitir que se transmita directamente, como lo está el tercero. el DMZ subcontratado.

Para la conectividad del cliente, la mayoría de los balanceadores de carga que he visto requieren que POP3, IMAP, HTTP, RPC / HTTPS de destino residan en la misma subred que la interfaz del balanceador de carga. Además, los análisis pueden verse afectados dependiendo de si el equilibrador de carga es la puerta de enlace / enrutador para cada servidor (el servidor verá el GatewayIP en lugar de la IP del cliente).

Solo puedo hablar con las implementaciones de Microsoft, ya que esa es mi experiencia. Microsoft no admite la colocación de un firewall entre los servidores front-end y back-end. Solían hacerlo en 2003 y antes, pero este ya no es el caso.

Mi sugerencia es instalar Microsoft Office Server en la DMZ para la representación web de datos de correo electrónico y desactivar WebReady procesamiento en el servidor de Exchange en la LAN.

Los documentos listos para la Web son el único riesgo que puedo decir que existe en la plataforma de Microsoft

    
respondido por el random65537 06.07.2015 - 17:09
fuente

Lea otras preguntas en las etiquetas