Регистрация Войти
Рейтинг:0
user3630380 avatar Server

Как скрыть исходный IP-адрес SMTP-сервера путем туннелирования/проксирования входящего трафика через порт 25 на настоящий почтовый сервер

флаг nl
user3630380

У нас есть большая часть нашего материала за Cloudflare.

Однако некоторые службы, такие как почта (например, запись MX mail.mydomain.com), не могут быть переданы через cloudflare, и они раскрывают IP-адрес нашего почтового сервера, что позволяет легко обнаружить, где находится наша инфраструктура, поскольку все они используют один и тот же блок и организацию. имя (согласно whois ARIN).

Поскольку наши почтовые серверы и виртуальные машины находятся на одном и том же объекте, знание IP-адреса почтового сервера раскрывает блокировку IP-адресов и увеличивает нашу поверхность атаки. Мы размещаем наш собственный почтовый сервер с помощью postfix/dovecot, и нецелесообразно перемещать его на общедоступный почтовый провайдер, такой как Gmail.

Итак, что я хотел бы сделать, это настроить какой-то тип прокси, вроде того, что Cloudflare делает с веб-портами 80/443, в экземпляре общедоступного облака, например: AWS, и наша запись MX указывала на это, а затем принимать входящие почтовые соединения на порт 25 и ретранслировать/проксировать/туннелировать все, что проходит через этот порт, на настоящий исходный сервер.

Я уверен, что нечто подобное должно существовать. И если нет, то есть ли у кого-нибудь какие-нибудь подсказки, как настроить простой безопасный туннель или прокси-сервер?

Спасибо!

156
0 + 0
Appleoddity avatar
флаг ng
Appleoddity
«Простой безопасный туннель или прокси» — это VPN. Подойдет простое VPN-подключение для туннелирования трафика электронной почты на удаленный сайт со статическим IP-адресом.Я думаю, что ваша оценка риска здесь может быть немного завышена. Подавляющее большинство открытий делается простым сканированием IP-адресов. Если ваш сервер находится в сети и доступен из Интернета, он будет сканироваться несколько раз в день. Cloudflare — это сервис для защиты ваших веб-серверов от DDoS и повышения производительности с помощью CDN. Ничто в сервисе не предназначено для того, чтобы «скрыть», кто вы или какие у вас IP-адреса.
0
Ответить
user3630380 avatar
флаг nl
user3630380
Спасибо. Имеет смысл... Тем не менее, я хотел бы отметить, что очень большая часть предложений Cloudflares — это возможность скрыть исходный IP-адрес, чтобы уменьшить поверхность атаки. Какой смысл использовать cloudflare, если злоумышленник знает реальный IP вашего веб-сервера или дата-центра и может его взломать. Идея заключается в том, что cloudflare принимает входящий трафик, фильтрует его, очищает с использованием заданных пользователем правил и перенаправляет на исходный сервер, не раскрывая информацию о своей сети.
1
Ответить
Appleoddity avatar
флаг ng
Appleoddity
То, что вы говорите, в основном верно. Но вы также не включили тот факт, что вы должны блокировать весь остальной трафик на ваш сервер с помощью брандмауэра. Если вы оставите порт 80/443 открытым для Интернета, не имеет значения, есть ли у вас облачная вспышка. Вы должны разрешить только трафик с прокси-серверов Cloudflare. Открытые порты будут обнаружены в течение нескольких минут или часов. Следовательно, если сервер подключен к сети, его можно обнаружить, и он будет обнаружен. Вы не скрываете свой IP-адрес, вы смягчаете определенный вектор атаки. Безопасность через неясность вовсе не безопасность.
0
Ответить
Appleoddity avatar
флаг ng
Appleoddity
Я пытаюсь подчеркнуть, что ваши IP-адреса общеизвестны. У вас уже должны быть другие средства защиты. Попытка скрыть свой IP имеет значение только в случае целенаправленной атаки на вашу организацию, когда кто-то может иметь преимущество, конкретно связывая ваш бизнес с вашим IP-адресом. Всем остальным хакерам в мире наплевать. Они просто сканируют Интернет на наличие серверов с открытыми портами, включая ваш. Общедоступный IP-адрес подобен домашнему адресу. Любой, кто проезжает мимо, может увидеть его, даже если не знает, кто живет внутри.
0
Ответить
user3630380 avatar
флаг nl
user3630380
Ты прав. Записи о праве собственности на ИС являются общедоступными. Но это не значит, что за ними должна стоять служба. Существует много практических причин, по которым имеет смысл попытаться предотвратить обнаружение ИС происхождения.
0
Ответить
Paul avatar
флаг cn
Paul
@Appleoddity Неважно, что IP-адреса являются «общеизвестными», потому что попытка угадать, на каком IP-адресе размещен домен, защищенный Cloudflare, невозможна. DDoS-атаки являются целевыми и представляют собой отдельную проблему, связанную с поиском уязвимостей по сценарию ботов.
0
Ответить
Appleoddity avatar
флаг ng
Appleoddity
@ Пол, да, я понимаю. Вы оба не совсем понимаете, что я говорю. Да, cloudflare защищает сервер, проксируя трафик. Защита НЕ потому, что никто не будет знать настоящий IP-адрес.Хакеры не пытаются угадать IP-адрес сервиса, стоящего за cloudflare. Они просто сканируют Интернет на наличие хостов с открытыми портами. Если базовый сервер подключен к Интернету, не имеет значения, что предоставляет Cloudflare в отношении «секретных» IP-адресов. А если сервер не выставляется, через открытые порты и т.п. то знание IP не имеет значения. Два разных вектора атаки.
0
Ответить
Paul avatar
флаг cn
Paul
@ user3630380 Cloudflare предлагает услугу, в настоящее время находящуюся в стадии бета-тестирования, на которую вы можете подать заявку, которая похожа на то, что вы ищете, но имейте в виду, что вместо проксирования она больше похожа на перенаправление. Я подозреваю, что лучшим решением будет разместить почтовый сервер на другом блоке IP-адресов. Эффективному почтовому серверу требуется доступ к множеству других записей DNS, и умный злоумышленник просто настроит свой собственный авторитетный сервер имен для захвата запрашиваемых IP-адресов. Вероятно, использование кэширующего распознавателя плюс VPN требует больше усилий, чем просто использование другого блока IP-адресов.
0
Ответить
Paul avatar
флаг cn
Paul
@Appleoddity Вы отвечаете комментариями на *какой-то другой вопрос*, потому что этот вопрос касается защиты от DDoS. Для службы Cloudflare требуются серверы в глобально доступном пространстве IP-адресов. Другие проблемы безопасности, связанные с администрированием сервера в глобально доступном пространстве IP-адресов, не являются частью этого вопроса.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.