Expondo o servidor IMAP à Internet: DMZ ou Port Forwarding?

6

Atualmente, temos todos os nossos e-mails armazenados em um servidor Dovecot IMAP em nossa rede interna. As máquinas clientes na rede são capazes de se conectar e acessar seus e-mails.

Agora, queremos permitir que determinados usuários possam se conectar e visualizar seus e-mails externos usando o IMAP. Atualmente, temos um firewall / roteador com uma porta DMZ dedicada (não utilizada). Do jeito que eu vejo, nós temos duas opções:

  1. Configure o encaminhamento de porta no roteador para encaminhar quaisquer solicitações de IMAP nas portas 585 ou 993 para o servidor; o servidor pode validar o usuário.
  2. Anexe um servidor IMAP de proxy reverso à DMZ do roteador; isso, por sua vez, pode encaminhar as solicitações IMAP para o servidor na rede interna (com a opção possível de validar o nome do usuário antes de fazer isso).

Alguém tem alguma sugestão / comentário sobre os méritos de qualquer abordagem?

Acho difícil pensar em qualquer vantagem de leitura para ter um proxy reverso extra na DMZ de um firewall de três pernas, já que é praticamente correto fazer o encaminhamento de porta. ... Ou estou faltando alguma coisa?

    
por FixMaker 26.10.2011 / 15:50

2 respostas

4

O encaminhamento de porta do IMAP da Internet para a LAN significa a adição de uma regra de encaminhamento bastante seletiva. Você não tem coisas feias como atribuição de porta dinâmica acontecendo no lado do servidor (como você faria com protocolos como FTP ou MSRPC). A exposição à LAN é mínima, na minha opinião. Você está confiando na pilha IP em seu servidor IMAP para não fazer nada estúpido (já que você está dando acesso IP não solicitado ao servidor) e está confiando no próprio software do servidor IMAP para não fazer nada estúpido.

Com o cenário da DMZ, você descreve que está limitando a conectividade IP direta para o servidor IMAP à Internet e está limitando o grau de estupidez do servidor IMAP, o que pode expor você a riscos. Você está negociando o risco de conectividade IP direta com o servidor IMAP com conectividade IP direta com o servidor proxy IMAP, e está confiando no software do servidor proxy IMAP para não fazer nada estúpido. Ainda existe a possibilidade, nesse cenário, de que uma vulnerabilidade no servidor IMAP possa ser explorada por meio do proxy IMAP, dependendo de como o proxy IMAP é "stateful" e da quantidade de "verificação de sanidade" que ele faz.

A meu ver, a abordagem da DMZ está adicionando partes móveis e complexidade sem acrescentar muita segurança real. Acho que você seria mais bem encaminhado pela porta para a LAN e usando o esforço que teria gasto com a abordagem do proxy DMZ / IMAP, certificando-se de ter um bom registro para o servidor IMAP, políticas de senha / bloqueio que resistir à quebra de senha de força bruta e um mecanismo de alerta que permite saber se você está vendo um tráfego inesperado para o servidor IMAP (análise "nunca antes vista").

    
por 26.10.2011 / 16:22
-1

Eu estava enfrentando um problema semelhante e resolvi adicionando uma coluna "allow_remote_login" ao meu banco de dados de autenticação e, em seguida, alterei o comando sql para autenticar os usuários:

SELECT email as user, password FROM users WHERE email='%u' AND (allow_remote OR %a != 144);

No dovecot.conf, mudei a linha de escuta para listar ambas as portas 143 e 144; onde 144 é aquele que o encaminhamento de porta externa direciona para:

listen = *:143 [::]:143 *:144 [::]:144
    
por 03.01.2012 / 17:00