web-dev-qa-db-ja.com

IMAPサーバーをインターネットに公開する:DMZまたはポートフォワーディング?

現在、すべてのメールは内部ネットワークのDovecotIMAPサーバーに保存されています。ネットワーク上のクライアントマシンは、電子メールに接続してアクセスできます。

ここで、特定のユーザーがIMAPを使用して外部から接続し、電子メールを表示できるようにします。現在、専用の(未使用の)DMZポートを備えたファイアウォール/ルーターがあります。私が見る限り、2つのオプションがあります。

  1. ポート585または993のIMAP要求をサーバーに転送するように、ルーターにポート転送を設定します。その後、サーバーはユーザーを検証できます。
  2. リバースプロキシIMAPサーバーをルーターのDMZに接続します。これにより、IMAP要求を内部ネットワーク上のサーバーに転送できます(実行する前にユーザー名を検証するオプションがあります)。そう)。

どちらのアプローチのメリットについても、誰か提案やコメントはありますか?

3本足のファイアウォールのDMZ)に追加のリバースプロキシを設定することの読み取り上の利点を考えるのは難しいと思います。これは、ポートフォワーディングを効果的に実行するだけだからです。とにかく....または私は何かが足りないのですか?

reverse-proxyport-forwardingimapdmz
6
FixMaker

IMAPをインターネットからLANにポート転送するということは、かなり選択的な転送ルールを追加することを意味します。サーバー側で動的ポート割り当てが発生するような醜いことはありません(FTPやMSRPCなどのプロトコルの場合のように)。私の考えでは、LANへの露出は最小限です。 IMAPサーバーのIPスタックに依存して、愚かなことは何もしません(サーバーへの一方的な受信IPアクセスを許可しているため)。また、IMAPサーバーソフトウェア自体に依存して、愚かなことは何もしません。

DMZシナリオでは、IMAPサーバーのインターネットへの直接IP接続を制限し、IMAPサーバーが愚かなことを行うとリスクにさらされる可能性がある範囲を制限すると説明します。 。IMAPサーバーへの直接IP接続のリスクとIMAPプロキシサーバーへの直接IP接続のリスクを交換しており、IMAPプロキシサーバーソフトウェアに依存して愚かなことを何もしていません。このシナリオでは、次のような可能性があります。 IMAPプロキシの「ステートフル」度と「健全性チェック」の程度によっては、IMAPサーバーの脆弱性がIMAPプロキシ経由で悪用される可能性があります。

私の考えでは、DMZアプローチは、実際のセキュリティをあまり追加せずに、可動部分と複雑さを追加することです。LANへのポート転送と、費やした労力を使用したほうがよいと思います。 DMZ/IMAPプロキシアプローチで、IMAPサーバーの適切なログ記録、ブルートフォースパスワードクラッキングに抵抗するパスワード/ロックアウトポリシー、および通知メカニズムを使用してIMAPサーバーへの予期しないトラフィックが発生している場合(「これまでに見たことのない」分析)。

4
Evan Anderson