Toon posts:

Netwerkbeveiliging mailserver

Pagina: 1
Acties:

maandag 10 maart 2003 22:33

Acties:

Verwijderd

Topicstarter
Ik heb een vraag mbt de netwerkconfiguratie van onze mail server (Exchange)
De mailafhandeling verloopt via een SDSL verbinding, waarop uiteraard de firewall opzit met een DMZ poort


Nou vraag ik me af wat de beste beveiligingsoptie voor een mailserver is :

1. Public IP-adres van de firewall gebruiken en alleen poort 25 van dat IP-adres laten forwarden naar de interne mail server.

2. Een tweede netwerkkaart in de mailserver doen en deze aansluiten op de DMZ
poort van de firewall. En één van de ip-adressen bestemd voor de DMZ zone
toekennen aan de netwerkkaart (gekoppelt aan DMZ). Op de firewall ook
configureren dat deze alleen verkeer voor poort 25 doorlaat.
(Er is dus geen routering tussen het externe en de interne NIC ! )

3. De laatste optie is om een SMTP server in z'n geheel te plaatsen in DMZ en
deze SMTP server het verkeer door laten sturen naar de mail-server op het
interne lan.


Naar mijn inziens, is de laatste optie het veiligst.
Echter deze optie is op dit moment nog niet mogelijk,ivm investeringen in
hardware/software. Waarschijnlijk zal dit over enkele maanden wel een optie
worden.

Dus wie kan aangeven welke optie (1 of 2) het meest gebruikelijk is en wat het
veiligst is ?

maandag 10 maart 2003 22:35

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

zelf ben ik een voorstander van optie 1,

optie 1 en 2 zijn natuurlijk praktisch hetzelfde, alleen heb je bij optie 1 maar 1 nic en geen 2...

let er gelijk even op dat je niet staat te relayen... ;)

[ Voor 18% gewijzigd door Zwelgje op 10-03-2003 22:36 ]

A wise man's life is based around fuck you

maandag 10 maart 2003 23:25

Acties:

Verwijderd

Topicstarter
zwelgje schreef op 10 maart 2003 @ 22:35:
zelf ben ik een voorstander van optie 1,

optie 1 en 2 zijn natuurlijk praktisch hetzelfde, alleen heb je bij optie 1 maar 1 nic en geen 2...
Maakt optie 2 niet veel uit t.o.v beveiliging van optie 1.
Zit er geen extra voordeel aan dus ?
let er gelijk even op dat je niet staat te relayen... ;)
Daar heb ik al maatregelen voorgenomen :)

dinsdag 11 maart 2003 00:37

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 17-04 13:12

Guru Evi

De eerste is de goedkoopste en je hebt geen downtime van je interne mailserver terwijl je de 2de kunt implementeren ook met 1 netwerkkaart. Geef gewoon je NIC nog een ip-adres, configureer de firewall van je SMTP server zodanig dat die IP enkel 25 ontvangt van buiten en niet van binnen en configureer de andere IP dat ie enkel van binnen en niet van buiten ontvangt. Je moet waarschijnlijk van buiten af dezelfde mail kunnen ontvangen dan van binnen, zoniet draai je een 2de deamon of een virtual server die enkel de mail verzorgt voor de externe en de andere voor de interne. Zorg vooral dat je van het externe net niet zomaar het interne net kunt bereiken.

Pandora FMS - Open Source Monitoring - pandorafms.org

dinsdag 11 maart 2003 11:49

Acties:

Verwijderd

Topicstarter
Guru Evi schreef op 11 maart 2003 @ 00:37:
De eerste is de goedkoopste en je hebt geen downtime van je interne mailserver
Boeit niet, hij moet toch offline. :)
terwijl je de 2de kunt implementeren ook met 1 netwerkkaart. Geef gewoon je NIC nog een ip-adres, configureer de firewall van je SMTP server zodanig dat die IP enkel 25 ontvangt van buiten en niet van binnen en configureer de andere IP dat ie enkel van binnen en niet van buiten ontvangt. Je moet waarschijnlijk van buiten af dezelfde mail kunnen ontvangen dan van binnen, zoniet draai je een 2de deamon of een virtual server die enkel de mail verzorgt voor de externe en de andere voor de interne. Zorg vooral dat je van het externe net niet zomaar het interne net kunt bereiken.
Je kan toch niet een IP-adres van de DMZ toekennen aan de LAN-NIC :?
DMZ zone en LAN zijn twee aparte zones !!

dinsdag 11 maart 2003 19:59

Acties:
  • Xandrios
  • Registratie: Februari 2001
  • Laatst online: 22:11

Xandrios

IT > PNS :)

dinsdag 11 maart 2003 21:02

Acties:
  • LeNNy
  • Registratie: Maart 2000
  • Laatst online: 26-04 13:41

LeNNy

Als ik het goed lees heb je nu dus een firewall? Ik neem aan met alleen 1 Public en 1 private DMZ nic? Of heb je 1 public, 1 dmz en 1 internal nic?

In het eerst geval zou ik zeker 2 nic's in je mail server zetten. Op de dmz alleen mail configgen en alle restrende services unbinden van die kaart. Eventueel er nog een personal firewall op draaien. Op de interne nic kun je dan je oulook clients hangen. Op deze manier zou je ook nog outlook webaccess kunnen configgen. Poort 80 / 443 forwarden naar de mail box en daar via internet mooi naar connecten.

De 2e mogelijkheid is veel mooier. Dan plaats je een linux mail server in de dmz, die alleen mail doorstuurt (proxy mail server) deze laat je dan via de fw naar je interne lan connecten. Webaccess kun je dan realiseren door alleen een webserver in de dmz te plaatsen.

dinsdag 11 maart 2003 21:55

Acties:
  • Guru Evi
  • Registratie: Januari 2003
  • Laatst online: 17-04 13:12

Guru Evi

Je kunt zonder probleem 2 verschillende IP's van verschillende ranges aan 1 netwerkkaart hangen. Ik bedoel niet op de DMZ interface aan je router (als die er is) maar aan de DMZ range binnen je netwerk. Je moet in principe geen aparte DMZ interface hebben om een DMZ zone te hebben.

Pandora FMS - Open Source Monitoring - pandorafms.org

woensdag 12 maart 2003 01:12

Acties:
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Guru Evi schreef op 11 maart 2003 @ 21:55:
.... Je moet in principe geen aparte DMZ interface hebben om een DMZ zone te hebben.
Dan wordt het wel tijd om DMZ tussen aanhalingstekens te zetten: "DMZ" dus

QnJhaGlld2FoaWV3YQ==

woensdag 12 maart 2003 20:49

Acties:

Verwijderd

ISA Server nemen en deze als DMZ installeren en port forwarden naar je mailserver.

donderdag 13 maart 2003 22:51

Acties:
  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025

raymonvdm

Dat met die SMTP server in de DMZ is wel mogelijk. Met bijvoorbeeld WebShield SMTP van mcafee.

IS een SMTP server om virussen te scannen. (kan op werkstation draaien)


En een 2e kaart is in je mail server is niet slim. Want als er dan iemand toevallig RIP aanzet heb je een security hole


Ik zou dus je mail server gewoon in de DMZ prakken.

vrijdag 14 maart 2003 17:44

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Optie 1 gebruik ik het meest (alleen dan in situaties zonder DMZ), Optie 3 is het veiligst. Webshield of Trend Viruswall kunnen mooi in de dmz hangen om de mail binnen te halen en weg te sturen.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

Pagina: 1
Reageer