Рейтинг:0

Как скрыть исходный IP-адрес SMTP-сервера путем туннелирования/проксирования входящего трафика через порт 25 на настоящий почтовый сервер

флаг nl

У нас есть большая часть нашего материала за Cloudflare.

Однако некоторые службы, такие как почта (например, запись MX mail.mydomain.com), не могут быть переданы через cloudflare, и они раскрывают IP-адрес нашего почтового сервера, что позволяет легко обнаружить, где находится наша инфраструктура, поскольку все они используют один и тот же блок и организацию. имя (согласно whois ARIN).

Поскольку наши почтовые серверы и виртуальные машины находятся на одном и том же объекте, знание IP-адреса почтового сервера раскрывает блокировку IP-адресов и увеличивает нашу поверхность атаки. Мы размещаем наш собственный почтовый сервер с помощью postfix/dovecot, и нецелесообразно перемещать его на общедоступный почтовый провайдер, такой как Gmail.

Итак, что я хотел бы сделать, это настроить какой-то тип прокси, вроде того, что Cloudflare делает с веб-портами 80/443, в экземпляре общедоступного облака, например: AWS, и наша запись MX указывала на это, а затем принимать входящие почтовые соединения на порт 25 и ретранслировать/проксировать/туннелировать все, что проходит через этот порт, на настоящий исходный сервер.

Я уверен, что нечто подобное должно существовать. И если нет, то есть ли у кого-нибудь какие-нибудь подсказки, как настроить простой безопасный туннель или прокси-сервер?

Спасибо!

Appleoddity avatar
флаг ng
«Простой безопасный туннель или прокси» — это VPN. Подойдет простое VPN-подключение для туннелирования трафика электронной почты на удаленный сайт со статическим IP-адресом.Я думаю, что ваша оценка риска здесь может быть немного завышена. Подавляющее большинство открытий делается простым сканированием IP-адресов. Если ваш сервер находится в сети и доступен из Интернета, он будет сканироваться несколько раз в день. Cloudflare — это сервис для защиты ваших веб-серверов от DDoS и повышения производительности с помощью CDN. Ничто в сервисе не предназначено для того, чтобы «скрыть», кто вы или какие у вас IP-адреса.
user3630380 avatar
флаг nl
Спасибо. Имеет смысл... Тем не менее, я хотел бы отметить, что очень большая часть предложений Cloudflares — это возможность скрыть исходный IP-адрес, чтобы уменьшить поверхность атаки. Какой смысл использовать cloudflare, если злоумышленник знает реальный IP вашего веб-сервера или дата-центра и может его взломать. Идея заключается в том, что cloudflare принимает входящий трафик, фильтрует его, очищает с использованием заданных пользователем правил и перенаправляет на исходный сервер, не раскрывая информацию о своей сети.
Appleoddity avatar
флаг ng
То, что вы говорите, в основном верно. Но вы также не включили тот факт, что вы должны блокировать весь остальной трафик на ваш сервер с помощью брандмауэра. Если вы оставите порт 80/443 открытым для Интернета, не имеет значения, есть ли у вас облачная вспышка. Вы должны разрешить только трафик с прокси-серверов Cloudflare. Открытые порты будут обнаружены в течение нескольких минут или часов. Следовательно, если сервер подключен к сети, его можно обнаружить, и он будет обнаружен. Вы не скрываете свой IP-адрес, вы смягчаете определенный вектор атаки. Безопасность через неясность вовсе не безопасность.
Appleoddity avatar
флаг ng
Я пытаюсь подчеркнуть, что ваши IP-адреса общеизвестны. У вас уже должны быть другие средства защиты. Попытка скрыть свой IP имеет значение только в случае целенаправленной атаки на вашу организацию, когда кто-то может иметь преимущество, конкретно связывая ваш бизнес с вашим IP-адресом. Всем остальным хакерам в мире наплевать. Они просто сканируют Интернет на наличие серверов с открытыми портами, включая ваш. Общедоступный IP-адрес подобен домашнему адресу. Любой, кто проезжает мимо, может увидеть его, даже если не знает, кто живет внутри.
user3630380 avatar
флаг nl
Ты прав. Записи о праве собственности на ИС являются общедоступными. Но это не значит, что за ними должна стоять служба. Существует много практических причин, по которым имеет смысл попытаться предотвратить обнаружение ИС происхождения.
Paul avatar
флаг cn
@Appleoddity Неважно, что IP-адреса являются «общеизвестными», потому что попытка угадать, на каком IP-адресе размещен домен, защищенный Cloudflare, невозможна. DDoS-атаки являются целевыми и представляют собой отдельную проблему, связанную с поиском уязвимостей по сценарию ботов.
Appleoddity avatar
флаг ng
@ Пол, да, я понимаю. Вы оба не совсем понимаете, что я говорю. Да, cloudflare защищает сервер, проксируя трафик. Защита НЕ потому, что никто не будет знать настоящий IP-адрес.Хакеры не пытаются угадать IP-адрес сервиса, стоящего за cloudflare. Они просто сканируют Интернет на наличие хостов с открытыми портами. Если базовый сервер подключен к Интернету, не имеет значения, что предоставляет Cloudflare в отношении «секретных» IP-адресов. А если сервер не выставляется, через открытые порты и т.п. то знание IP не имеет значения. Два разных вектора атаки.
Paul avatar
флаг cn
@ user3630380 Cloudflare предлагает услугу, в настоящее время находящуюся в стадии бета-тестирования, на которую вы можете подать заявку, которая похожа на то, что вы ищете, но имейте в виду, что вместо проксирования она больше похожа на перенаправление. Я подозреваю, что лучшим решением будет разместить почтовый сервер на другом блоке IP-адресов. Эффективному почтовому серверу требуется доступ к множеству других записей DNS, и умный злоумышленник просто настроит свой собственный авторитетный сервер имен для захвата запрашиваемых IP-адресов. Вероятно, использование кэширующего распознавателя плюс VPN требует больше усилий, чем просто использование другого блока IP-адресов.
Paul avatar
флаг cn
@Appleoddity Вы отвечаете комментариями на *какой-то другой вопрос*, потому что этот вопрос касается защиты от DDoS. Для службы Cloudflare требуются серверы в глобально доступном пространстве IP-адресов. Другие проблемы безопасности, связанные с администрированием сервера в глобально доступном пространстве IP-адресов, не являются частью этого вопроса.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.