Absicherung von Mailserver und DNS in DMZ
Hallo zusammen,
zunächst: es gab mal eine gruselige Diskussion, die ich nicht wieder aufwärmen will : Sinnhaftigkeit von Desktopfirewalls im LAN hinter zentraler firewall
Dennoch habe ich eine ähnliche Frage:
Ich habe eine DMZ hinter meinem Internet-NAT-Router mit 2 Debian-hosts: DNS-Server und Mailserver. Die Firewall macht eine NTA/Portweiterleitung auf DNS (bind9), SMTP (postfix) und IMAP (dovecot). Alles läuft (bis jetzt, einschließlich RSPAMD, SSL/TSL SPF, DKIM, DMARC). Mir geht es jetzt um die Absicherung der Debian-hosts.
Wenn ich einfach mal davon ausgehe, das ich das sauber konfiguriert habe und immer schön Updates mache, was fehlt dann noch?
- brauche ich eine lokale Firewall (iptables/nftables) auf den DMS-hosts?
- brauche ich so was wie fail2ban?
Oder kann ich mir das sparen, weil ja ausser den 2 Hosts nix im DMZ ist und sowieso nur ein paar Ports hinter dem NAT/Firewall-dings "offen" sind?
Grüße
lcer
zunächst: es gab mal eine gruselige Diskussion, die ich nicht wieder aufwärmen will : Sinnhaftigkeit von Desktopfirewalls im LAN hinter zentraler firewall
Dennoch habe ich eine ähnliche Frage:
Ich habe eine DMZ hinter meinem Internet-NAT-Router mit 2 Debian-hosts: DNS-Server und Mailserver. Die Firewall macht eine NTA/Portweiterleitung auf DNS (bind9), SMTP (postfix) und IMAP (dovecot). Alles läuft (bis jetzt, einschließlich RSPAMD, SSL/TSL SPF, DKIM, DMARC). Mir geht es jetzt um die Absicherung der Debian-hosts.
Wenn ich einfach mal davon ausgehe, das ich das sauber konfiguriert habe und immer schön Updates mache, was fehlt dann noch?
- brauche ich eine lokale Firewall (iptables/nftables) auf den DMS-hosts?
- brauche ich so was wie fail2ban?
Oder kann ich mir das sparen, weil ja ausser den 2 Hosts nix im DMZ ist und sowieso nur ein paar Ports hinter dem NAT/Firewall-dings "offen" sind?
Grüße
lcer
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 541180
Url: https://administrator.de/forum/absicherung-von-mailserver-und-dns-in-dmz-541180.html
Ausgedruckt am: 29.04.2025 um 12:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
ein Reverse Proxy und Web Application Firewall inkl. Content Filter fallen mir spontan ein. Eine Lokale Software-Firewall auf den Hosts macht es eher komplizierter, als es sein muss.
Ansonsten kannst du noch über die Aufteilung der DMZ in Intern/Extern nachdenken, wobei das wahrscheinlich overpowered wäre.
ein Reverse Proxy und Web Application Firewall inkl. Content Filter fallen mir spontan ein. Eine Lokale Software-Firewall auf den Hosts macht es eher komplizierter, als es sein muss.
Ansonsten kannst du noch über die Aufteilung der DMZ in Intern/Extern nachdenken, wobei das wahrscheinlich overpowered wäre.
Moin, würde ich so nicht stehen lassen.
Sollte der Mail / Webserverprozess gehacked werden, so kann die Firewall die weiteren Zugriffe verhindern.
Sollte der Mail / Webserverprozess gehacked werden, so kann die Firewall die weiteren Zugriffe verhindern.
Hi,
das ist kein gutes Design. In der DMZ sollte ein Emailproxy stehen und der Server mit Benutzerdaten und Emaildatenbank im internen Netz.
Grüße
das ist kein gutes Design. In der DMZ sollte ein Emailproxy stehen und der Server mit Benutzerdaten und Emaildatenbank im internen Netz.
Grüße
Hallo,
wenn die Dienste von aussen via Portforwarding erreichbar sind macht fail2ban durchaus Sinn!
Gruß,
Jörg
wenn die Dienste von aussen via Portforwarding erreichbar sind macht fail2ban durchaus Sinn!
Gruß,
Jörg
Fail2Ban macht überall da Sinn, wo unerlaubte Zugriffsversuche stattfinden können. Übliche Kandidaten sind IMAP/POP3, SSH, usw. Musst du selbst wissen, was alles "empfangsbereit" ist. Außerdem würde ich allen eingehen und ausgehenden Traffic verbieten, wenn es nicht zwingend notwendig ist. Zugriff auf die Repos für Updates über einen Proxy bringen und auch da nur erlauben, was wirklich nötig ist. Und natürlich alles runter von den Kisten, was nicht wirklich gebraucht wird. Ein Angreifer findet es sicherlich sehr angenehm, wenn ihm gleich ein "build-essential" zur Verfügung steht. So sauber und leer wie irgendwie möglich.
Natürlich das übliche Hardening durchziehen. BSI bietet dafür massig Bausteine, wenn man selbst keine Idee hat.
Nachtrag: Bedenke, dass auch das interne Netzwerk keine sichere Zone mehr ist. Die meisten erfolgreichen Angriffe kommen von innen.
Natürlich das übliche Hardening durchziehen. BSI bietet dafür massig Bausteine, wenn man selbst keine Idee hat.
Nachtrag: Bedenke, dass auch das interne Netzwerk keine sichere Zone mehr ist. Die meisten erfolgreichen Angriffe kommen von innen.
Moin,
Gruß,
Dani
- brauche ich eine lokale Firewall (iptables/nftables) auf den DMS-hosts?
selbstverständlich. Auch den Hosts untereinander wird nicht getraut! - brauche ich so was wie fail2ban?
Bietet sich doch an. Bei der Anzahl von "Anklopfern" heutzusage, lohnt es sich meistens. Wenn ich einfach mal davon ausgehe, das ich das sauber konfiguriert habe und immer schön Updates mache, was fehlt dann noch?
Nur sichere SSL Protokolle und Cipher Suites für deine Anwendungen verwenden. Das ist nämlich standardmäßig eher für hohe Kompatibilität ausgelegt.Gruß,
Dani
