---

Hej,

Jeg er kommet til at spekulere på hvorvidt (hvornår?) det kan betale
sig at placere sin offentligt tilgængelige mailserver i DMZ, og lade
den være relay for en do. på LAN. Er der en reel sikkerhedsgevinst ved
sådan et setup, set i forhold til den ekstra tid der går med at
vedligeholde ikke bare en, men hele to mailserver?

De fordele og ulemper jeg ser ved de forskellige løsningsmodeller er:

Mail i DMZ og LAN:

+ Intet hul fra WAN til LAN.
+ Mulighed for let egress filtrering af mail.

- Dobbelt administration af mailservere, især hvis det er to
forskellige (Omend det giver noget ekstra dybde).

Mail kun på LAN:

+ Mindre administration.

- Direkte forbindelse fra WAN, der er brugbart ved næste exploit.
- Sværere at egress filtrere.


Jeg har givetvis overset noget, så jeg vil gerne indbyde til en debat
om emnet.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/index.html>

---

Den 22 Jan 2003 20:30:14 +0100 skrev Anders Wegge Jakobsen:
>Hej,
>
>
> Mail i DMZ og LAN:
>
> Mail kun på LAN:
>
> Jeg har givetvis overset noget, så jeg vil gerne indbyde til en debat
>om emnet.

Ja, du har overset den mulighed der hedder "mail kun i DMZ".

Nok den løsning jeg ville vælge, hvis der kun skulle være en mailserver.

Mvh
Kent
--
At køre i en stor Mercedes eller BMW viser ikke at man har mange penge.
Det viser blot at man er tysker.

---

Anders Wegge Jakobsen <wegge@bakkelygaard.dk> wrote:
> Jeg er kommet til at spekulere på hvorvidt (hvornår?) det kan betale
> sig at placere sin offentligt tilgængelige mailserver i DMZ, og lade
> den være relay for en do. på LAN. Er der en reel sikkerhedsgevinst ved
> sådan et setup, set i forhold til den ekstra tid der går med at
> vedligeholde ikke bare en, men hele to mailserver?

Det kommer naturligvis an paa om prisen for at drive to maskiner er
stoerre eller mindre end det mulige tab som ondskabsfuld manipulering af
mailserveren kan forsage.

Eet interessant punkt i denne forbindelse er, at det i mange miljoer er
muligt at bringe prisen for drift af redundante maskiner ned til naesten
kr. 0. Dette goeres ved at benytte versionsstyring og en slags policy
engine til at generere og distribuere config filer til de rette
maskiner. Som f.eks. pil.dk har gjort det med PEPSI:

http://www.pil.dk/nyhedsbreve/2002november.php#3

En saadan opgave vil hurtigt gaa hen og blive en investering fremfor en
udgift, naar man kan foretage en opgradering af en service paa samtlige
relevante maskiner med ganske faa kommandoer.

> De fordele og ulemper jeg ser ved de forskellige løsningsmodeller er:
>
> Mail i DMZ og LAN:
>
> + Intet hul fra WAN til LAN.
> + Mulighed for let egress filtrering af mail.
>
> - Dobbelt administration af mailservere, især hvis det er to
> forskellige (Omend det giver noget ekstra dybde).

Det er ikke en umulig opgave at have et faelles saet oplysninger som man
kan bygge passende config filer ud af til to forskellige produkter. I
mange tilfaelde ville man maaske noejes med paa ydersiden en simpel SMTP
forwarder der checker og fjerner uhensigtsmaessige aspekter af modtaget
email.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst <a@mongers.org> wrote:

>Eet interessant punkt i denne forbindelse er, at det i mange miljoer er
>muligt at bringe prisen for drift af redundante maskiner ned til naesten
>kr. 0. Dette goeres ved at benytte versionsstyring og en slags policy
>engine til at generere og distribuere config filer til de rette
>maskiner.

Hvis man vil have en maskine paa DMZ til at relaye til en maskine
paa LAN, er man vel interesseret i, at de to maskiner er saa
forskellige som muligt, saa man mindsker sandsynligheden for, at
de aldrig saarbare for samme exploit. Ellers er det begraenset,
hvad man har opnaaet.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen <aolesen@post3.tele.dk> wrote:
> Hvis man vil have en maskine paa DMZ til at relaye til en maskine
> paa LAN, er man vel interesseret i, at de to maskiner er saa
> forskellige som muligt, saa man mindsker sandsynligheden for, at
> de aldrig saarbare for samme exploit. Ellers er det begraenset,
> hvad man har opnaaet.

Jeg naevnte dette kort sidst i mit indlaeg, men maaske jeg ikke var tydelig
nok. Der skal nogle overvejelser til foer man beslutter sig om man skal
have to forskellige produkter eller to identiske.

Der er en stor fordel i at kunne benytte en stor og komplex MTA hvis
virksomheden har brug for den slags, f.eks. Exchange eller Lotus Notes,
med en lille og sikker MTA forwarder foran.

Isaer nu hvor forskellige gratis OS giver mulighed for hhv. opdeling af
resourcer gennem mandatory access control (FreeBSD) og features som
non-exec heap og stack, propolice og systrace (OpenBSD), bliver det
*meget* tiltraekkende at inkludere en front-end maskine af en slags i
sit netvaerk setup.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

In <3e2f539c$0$71636$edfadb0f@dread11.news.tele.dk> Allan Olesen wrote:
> Alex Holst <a@mongers.org> wrote:
>
>>Eet interessant punkt i denne forbindelse er, at det i mange miljoer
>>er muligt at bringe prisen for drift af redundante maskiner ned til
>>naesten kr. 0. Dette goeres ved at benytte versionsstyring og en slags
>>policy engine til at generere og distribuere config filer til de rette
>>maskiner.
>
> Hvis man vil have en maskine paa DMZ til at relaye til en maskine
> paa LAN, er man vel interesseret i, at de to maskiner er saa
> forskellige som muligt, saa man mindsker sandsynligheden for, at
> de aldrig saarbare for samme exploit. Ellers er det begraenset,
> hvad man har opnaaet.
>
>
Nu siger du godt nok relaye, men man kan også sagtens forestille
sig at mailserver i DMZ modtager på SMTP port 25, og at den
interne mailserver henter post på DMZ-mailserver med POP3 (over
SSL) eller lignende

ellers er jeg enig i at en lille-bitte mailserver/relay med
minimum af funktionalitet vil være godt at bruge til DMZ delen
- færre muligheder for fejl

Tilsyneladende glemmer I vist også at man skal sikre at
mailsystemet er tilgængeligt - hvis mail kun kommer ind i DMZ
men aldrig videre til den interne server har man ligeledes et
problem - så husk denne del.

Mvh

Henrik

---

Henrik Lund Kramshoej <hlk@kramse.dk> wrote:

>Nu siger du godt nok relaye, men man kan også sagtens forestille
>sig at mailserver i DMZ modtager på SMTP port 25, og at den
>interne mailserver henter post på DMZ-mailserver med POP3 (over
>SSL) eller lignende

Det er skam ogsaa min foretrukne, men mange gaar op, at deres
Outlook giver besked i samme oejeblik, en mail modtages af
firmaets mailserver. Saa kan man sidde i telefonen og foere
samtaler som "Kan jeg ikke faa en kopi af den tegning", "Jeg
sender den lige i en mail", "Ja soerme, der er den jo."

>Tilsyneladende glemmer I vist også at man skal sikre at
>mailsystemet er tilgængeligt - hvis mail kun kommer ind i DMZ
>men aldrig videre til den interne server har man ligeledes et
>problem - så husk denne del.

Jeg forstaar ikke lige, hvor vi har glemt det. Kan du uddybe,
eller har du opstillet tilfaeldige forudsaetninger for dit svar?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.