Um firewall pode manipular pacotes enviados por uma rede TAP?

1

Temos a intenção de examinar as mensagens recebidas por motivos de segurança. Para fazer isso, descobrimos que a solução incluirá:

Rede TAP - Para copiar todo o tráfego SMTP para o firewall

Firewall - O firewall, por sua vez, obterá o tráfego do TAP e o encaminhará ao servidor do Exchange

Servidor Exchange - O servidor Exchange (também atua como um DC para o domínio para o qual todos os e-mails são enviados) obterá o tráfego do firewall e armazenará os e-mails para nossa análise.

Depois de configurar essa infraestrutura, notamos que há um problema básico: O firewall só vê o tráfego ao executar o 'tcpdump' (porque a interface se transforma em modo promíscuo). O que fizemos foi atribuir ao firewall os endereços IP públicos aos quais o registro MX do nosso domínio se refere. Isso também não funcionou e o firewall não considerou o tráfego SMTP como se fosse enviado a ele e nada realmente aconteceu.

Concluí que o problema é que, para que isso funcione, tem que haver um handshake TCP de 3 vias e uma sessão REAL para que tudo funcione. Com o TAP obviamente isso não é conseguido.

Para as perguntas: 1. As suposições estão corretas? 2. Existe alguma maneira de alcançar a tarefa?

    
por tripst0r 12.02.2015 / 08:48

0 respostas