plaatsing Domino mailserver - Serversoftware en clouddiensten

woensdag 13 februari 2008 11:04

Acties:

Topicstarter

Beste Tweakers,

Onlangs heeft een bedrijf bij ons een netwerkscan gedaan. Daaruit kwam o.m. naar voren dat de beveiliging van ons netwerk niet in orde is.

We hebben internet via een kabelmodem met daarachter een Fortigate 60B firewall. Deze heeft 2 wan aansluitingen (1 voor het kabelmodem en de 2e wordt gebuikt voor een 2e adsl internetverbinding), een dmz en 4 internal connecties. In de dmz staat een Barracuda spam firewall, de Lotus Domino mailserver staat in het interne netwerk, achter de internal connectie.
Het mail verkeer gaat dus (na te zijn gescand) via een portforwarding naar de dmz, door de Barracuda en dan via de Fortigate naar de mail server die in het interne netwerk staat. Via een policy is het zo ingesteld dat er alleen dns, smtp en icmp van de Barracuda alleen naar de mailserver kan.

Nu zegt dit bedrijf dat dit niet veilig is en dat de mailserver ook in de dmz moet staan. Ze zeggen dat je geen mailverkeer over je interne netwerk wilt hebben.
Dat vinden we een beetje vreemd, temeer omdat het mail verkeer al door 2 scanners gaat. Dus is dit verkeer in principe schoon. En je moet toch een keer naar je mail client in het interne netwerk, dus loopt er toch mailverkeer over je interne kantoornetwerk. Bovendien is de dmz maar een 100Mb/s connectie, en als alle clients naar de dmz moeten krijgt die veel te verwerken (met 100 clients).

Nu is mijn vraag: wat vinden jullie hier van? Hebben ze gelijk, of vinden jullie dit net als wij onzin?
Graag jullie reactie.

Hoeiendag!

woensdag 13 februari 2008 11:36

Acties:

paulhekje

beveiliging is altijd een kosten/risico afweging. je kunt inderdaad een iets hoger niveau krijgen door een smtp-relay in je dmz te zetten, maar vaak genoeg wordt dat als overbodig gezien (afhankelijk van bedrijfsgrootte). je hebt bijna altijd de "echte mailserver" in je lan. enige uitzondering is een groot aantal webclients.

laat je de barracuda alleen realtime filteren of is wordt hij gebruikt als relay? in dat geval heb je nu een prima constructie en is het grote onzin wat ze adviseren.

je wilt juist wel een interne mailserver, want daar zitten je gebruikers!

[ Voor 7% gewijzigd door paulhekje op 13-02-2008 11:37 ]

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

woensdag 13 februari 2008 11:47

Acties:

Croga

The Unreasonable Man

tvtech schreef op woensdag 13 februari 2008 @ 11:04:
Nu zegt dit bedrijf dat dit niet veilig is en dat de mailserver ook in de dmz moet staan. Ze zeggen dat je geen mailverkeer over je interne netwerk wilt hebben.

Ik weet niet wat voor bedrijf dat is maar volgens mij wil je je mailverkeer altijd over je interne netwerk hebben. Het wordt anders vrij lastig voor je medewerkers om de mail te lezen

Het zou anders zijn als je de Domino webmail functionaliteit wilt gebruiken. De webmail server wil je in je DMZ hebben uiteraard. Maar dat zou eventueel te regelen zijn door twee aparte Domino servers neer te zetten.

Ik zou dat gewoon zo laten als het nu is. Ik kan me geen enkele reden bedenken om je mail server naar de DMZ te zetten en een hele stapel redenen om het niet te doen.

woensdag 13 februari 2008 11:51

Acties:

Qwerty-273

Meukposter

***** ***

Zo te horen heb je al 1 punt waar de mail binnenkomt in je dmz (de baracuda). Maar hoe gaat het met de uitgaande mail? Gaat deze direct van je interne mailserver naar de externe mailserver van de geaddresseerde of gebruik je een mailrelay in je dmz?

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

woensdag 13 februari 2008 12:19

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

tvtech schreef op woensdag 13 februari 2008 @ 11:04:
Beste Tweakers,

Onlangs heeft een bedrijf bij ons een netwerkscan gedaan. Daaruit kwam o.m. naar voren dat de beveiliging van ons netwerk niet in orde is.
...

Nu is mijn vraag: wat vinden jullie hier van? Hebben ze gelijk, of vinden jullie dit net als wij onzin?
Graag jullie reactie.

Als bedrijf dat ook Security Scans uitvoert heb ik daar natuurlijk wel een mening over.
Zo'n security scan gaat uit van een ideale situatie: de mailserver hoort in de DMZ. Al het verkeer dat van buitenaf komt hoort getermineerd te worden in de DMZ. Daarnaast horen DMZ servers geen verkeer naar je interne netwerk te kunnen sturen. Op deze manier isoleer je een eventuele inbraak in je DMZ.

Als je vervolgens een regel maakt die Domino-client verkeer naar je mailserver in de DMZ toestaat dan zorg je ervoor dat mail lezen geinitieerd wordt vanuit het trusted netwerk.

Croga schreef op woensdag 13 februari 2008 @ 11:47:
[...]

Ik weet niet wat voor bedrijf dat is maar volgens mij wil je je mailverkeer altijd over je interne netwerk hebben. Het wordt anders vrij lastig voor je medewerkers om de mail te lezen

Het zou anders zijn als je de Domino webmail functionaliteit wilt gebruiken. De webmail server wil je in je DMZ hebben uiteraard. Maar dat zou eventueel te regelen zijn door twee aparte Domino servers neer te zetten.

Ik zou dat gewoon zo laten als het nu is. Ik kan me geen enkele reden bedenken om je mail server naar de DMZ te zetten en een hele stapel redenen om het niet te doen.

Het gaat erom dat verkeer wat vanaf buiten toegestaan wordt (SMTP, evt. IMAP oid) een beveiligingsrisico vormt. Als er een exploit voor de SMTP implementatie op je mailserver komt dan heeft men zich toegang verschaft tot je trusted netwerk. Het is ook prima mogelijk om client mailverkeer naar een server in de DMZ te wijzen.

Mailverkeer op je interne netwerk is misschien iets te simpel uitgedrukt, de kern van de zaak is dat je geen direct inkomend verkeer vanaf het untrusted (internet) netwerk naar je trusted (interne) netwerk wil hebben.

[ Voor 55% gewijzigd door DGTL_Magician op 13-02-2008 12:21 ]

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

woensdag 13 februari 2008 13:37

Acties:

Jiriki

Je zou de mail vanaf de Barracuda op kunnen laten halen door de Domino server. Beter is nog een extra Domino server in de DMZ die de mail opvangt, en op laat halen door de interne Domino server.

Wat ik nooit zou willen, is een Domino server met ALLE mail in de DMZ. Het zou betekenen dat als deze server gecompromitteerd wordt, al je mail op straat ligt...

"Yes," said the skull. "Quit while you're a head, that's what I say." -- (Terry Pratchett, Soul Music)

woensdag 13 februari 2008 13:51

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Jiriki schreef op woensdag 13 februari 2008 @ 13:37:
Je zou de mail vanaf de Barracuda op kunnen laten halen door de Domino server. Beter is nog een extra Domino server in de DMZ die de mail opvangt, en op laat halen door de interne Domino server.

Wat ik nooit zou willen, is een Domino server met ALLE mail in de DMZ. Het zou betekenen dat als deze server gecompromitteerd wordt, al je mail op straat ligt...

Meest gangbaar is dan ook een satelliet systeem. Ligt een beetje aan wat voor mailsysteem je gebruikt uiteraard. Ik heb in het verleden veel met Novell Groupwise gewerkt. Daar plaatsten we dan een Domein in de DMZ en Secondary Postoffices op alle lokaties.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

woensdag 13 februari 2008 13:58

Acties:

tvtech

Topicstarter

Qwerty-273 schreef op woensdag 13 februari 2008 @ 11:51:
Zo te horen heb je al 1 punt waar de mail binnenkomt in je dmz (de baracuda). Maar hoe gaat het met de uitgaande mail? Gaat deze direct van je interne mailserver naar de externe mailserver van de geaddresseerde of gebruik je een mailrelay in je dmz?

De uitgaande mail gaat direct vanaf de mailserver door de Fortigate naar een mail relay bij onze provider.

>Het zou anders zijn als je de Domino webmail functionaliteit wilt gebruiken. De webmail server wil je in je DMZ hebben uiteraard. Maar dat zou eventueel te regelen zijn door twee aparte Domino servers neer te zetten.<

Dat doen we inderdaad, de webmail komt direct van die Domino mail server. We hebben geen apart webmailserver.

>laat je de barracuda alleen realtime filteren of is wordt hij gebruikt als relay? in dat geval heb je nu een prima constructie en is het grote onzin wat ze adviseren.<

De Barracuda stuurt de mail door naar de mailserver, in de webinterface staat bij bestemmingsmailserver het adres van de mailserver. Dan filtert hij toch realtime?

Hoeiendag!

woensdag 13 februari 2008 14:05

Acties:

Croga

The Unreasonable Man

tvtech schreef op woensdag 13 februari 2008 @ 13:58:
Dat doen we inderdaad, de webmail komt direct van die Domino mail server. We hebben geen apart webmailserver.

Dat betekend dus automatisch dat de domino server zonder enige tussenkomst aan het internet hangt. Hoewel Domino nogsteeds de meest veilige mail/web server is die er te vinden is, zou ik er niet op rekenen dat hij volledig waterdicht is. Je interne netwerk via 1 server rechtstreeks naar het Internet open stellen is dan ook big no-no.

Wat wij in het verleden deden is een Domino server in de DMZ en die via een protocol wat verder niet gebruikt wordt laten repliceren naar een domino server in je interne netwerk. Op die manier heb je webmail vanuit je DMZ en intern mail over je interne netwerk zonder dat je je zorgen hoeft te maken over internet-vulnerabilities.

woensdag 13 februari 2008 14:17

Acties:

Verwijderd

Croga schreef op woensdag 13 februari 2008 @ 14:05:
[...]

Dat betekend dus automatisch dat de domino server zonder enige tussenkomst aan het internet hangt. Hoewel Domino nogsteeds de meest veilige mail/web server is die er te vinden is, zou ik er niet op rekenen dat hij volledig waterdicht is. Je interne netwerk via 1 server rechtstreeks naar het Internet open stellen is dan ook big no-no.

Wat wij in het verleden deden is een Domino server in de DMZ en die via een protocol wat verder niet gebruikt wordt laten repliceren naar een domino server in je interne netwerk. Op die manier heb je webmail vanuit je DMZ en intern mail over je interne netwerk zonder dat je je zorgen hoeft te maken over internet-vulnerabilities.

elke willekeurige reverse proxy in je dmz neerzetten zou ook moeten werken. Alhoewel ik geen idee heb of domino nog "rare" trucs uithaalt, waardoor de reverse proxy functionaliteit van bijv. een isa server niet zou werken.

En zoals hierboven ook al aangegeven. Security blijft een risico afweging. Is de investering het waard tegenover de risico's dat er daadwerkelijk misbruik van wordt gemaakt. onderkenning van het risico en zorgen voor een goede patch en disaster recovery strategie kan misschien al voldoende zijn.

[ Voor 12% gewijzigd door Verwijderd op 13-02-2008 14:29 ]

woensdag 13 februari 2008 14:51

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Wat nog steeds openlaat dat verkeer op poort 25 direct getermineerd wordt in je interne netwerk. Iets wat vanuit security oogpunt echt not-done is.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage

woensdag 13 februari 2008 23:56

Acties:

Brahiewahiewa

boelkloedig

DGTL_Magician schreef op woensdag 13 februari 2008 @ 14:51:
Wat nog steeds openlaat dat verkeer op poort 25 direct getermineerd wordt in je interne netwerk. Iets wat vanuit security oogpunt echt not-done is.

Flauwekul. Je begrijpt het store & forward principe van een MTA niet.
Als er een vulnerability gevonden wordt in de SMTP stack van je Domino server en dat ding staat in je DMZ, dan ligt meteen je complete mail database op straat. Terwijl alsie in je LAN staat, er niks aan de hand is want de enig machine die er mee verbinding maakt is de relay server in de DMZ. Een vulnerability in de SMTP stack van je Domino server wordt pas een probleem als er tegelijkertijd een vulnerability bestaat voor je relay server, die het mogelijk maakt om de vulnerability in de Domino server te exploiteren.

Een beveiligingsbedrijf wat dit soort eenvoudige principes niet begrijpt, moet je er uit kicken, ASAP

QnJhaGlld2FoaWV3YQ==

donderdag 14 februari 2008 07:42

Acties:

jvanhambelgium

Persoonlijk laat ik niets inbound zomaar binnenstromen.

1e halte is in de DMZ, waarin een MTA/AV actief is. Na screening worden de mails richting interne productieserver gestuurd.
Outbound zal altijd over deze DMZ-combo gaan. Nooit een rechtsteekse "flow" tussen een interne produktie LAN server en een internet-host, zelfs niet achter een NAT/hide (omdat anno 2008 al lang niet meer de beveiligsproblemen op netwerkniveau, maar wel op sessie/applicatie-niveau zitten -> NAT is een vals veiligheidsgevoel)

"trusted" end-user connecties (van binnenuit) horen ook niet thuis in een DMZ....

donderdag 14 februari 2008 07:49

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Het is natuurlijk zo dat je op je interne netwerk zou kunnen sniffen en dat willen we niet. Maar als je voor de mailflow van DMZ naar intern SSL gebruikt dan ben je er toch ook?

Exchange en Office 365 specialist. Mijn blog.

donderdag 14 februari 2008 08:21

Acties:

jvanhambelgium

Dit staat los van het probleem.
Als jij tussen de DMZ-relay en de interne productie-host SSL (of iets soortgelijks) wil gebruik hou ik je niet tegen.
Maakt het voor een eventueel aanwezige IDP/IPS in de DMZ wel iets lastiger ;-)

donderdag 14 februari 2008 11:41

Acties:

Rolfie

Jazzy schreef op donderdag 14 februari 2008 @ 07:49:
Het is natuurlijk zo dat je op je interne netwerk zou kunnen sniffen en dat willen we niet. Maar als je voor de mailflow van DMZ naar intern SSL gebruikt dan ben je er toch ook?

Klopt, kan zeker. Maar zoals al eerder wordt geroepen, je heb dan ook geen idee meer wat er precies voor data over gaat. Meestal wordt SSL in de DMZ afgehandeld, en daarna wordt unencrypted verkeer richting het interne netwerk verzonden.

donderdag 14 februari 2008 12:15

Acties:

tvtech

Topicstarter

Allemaal hartelijk dank voor jullie reacties. Ik ben benieuwd met wat voor oplossing ze komen. In ieder geval ben ik weer wat wijzer en staan er een aantal goede oplossingen tussen.

Overigens is het zo dat deze contructie al zeker anderhalf jaar draait zonder enige storing. Daarvoor hadden we geen aparte mailserver, alleen 2 Domino servers met mail en webmail op 1 server (Win2000!), en een Cisco PIX. Heeft jarenlang ook zonder storing of hacks gedraaid, en dan was de webmail niet eens https.

Dus dat is de andere kant van het verhaal. Of we hebben altijd veel geluk gehad, of het is nog niet eens zo slecht....

Hoeiendag!

donderdag 14 februari 2008 12:41

Acties:

DGTL_Magician

Kijkt regelmatig vooruit

Brahiewahiewa schreef op woensdag 13 februari 2008 @ 23:56:
[...]
Flauwekul. Je begrijpt het store & forward principe van een MTA niet.
Als er een vulnerability gevonden wordt in de SMTP stack van je Domino server en dat ding staat in je DMZ, dan ligt meteen je complete mail database op straat. Terwijl alsie in je LAN staat, er niks aan de hand is want de enig machine die er mee verbinding maakt is de relay server in de DMZ. Een vulnerability in de SMTP stack van je Domino server wordt pas een probleem als er tegelijkertijd een vulnerability bestaat voor je relay server, die het mogelijk maakt om de vulnerability in de Domino server te exploiteren.

Een beveiligingsbedrijf wat dit soort eenvoudige principes niet begrijpt, moet je er uit kicken, ASAP

Mailsystemen als Novell Groupwise werken met Primary en Secondary Post Offices. Je gebruikt de Primary als ontvangende mailserver die het vervolgens doorstuurt naar je secondaries. Je mail ligt dus niet op straat.

Voor mail ontvangen kun je ditzelfde principe bereiken met een relay.

Blog | aaZoo - (Wireless) Networking, Security, DDoS Mitigatie, Virtualisatie en Storage