MTA zur Benachrichtigung des Admin auf DMZ-Host
Hallo zusammen,
Ich habe einen DNS-Server (Debian) im DMZ stehen. Auf diesem läuft nichts außer bind9.
ich würde mir von diesem Server gerne Emails zur Benachrichtigung bei bestimmten Ereignissen schicken lassen.
Die Frage ist jetzt, ob das überhaupt empfehlenswert ist. Zwar habe ich den bind9 und den Server entsprechend gesichert, aber er steht ja gerade deshalb in der DMZ weil ich ihm nicht vertrauen will. Erhöht der ein MTA hier die Angriffsfläche relevant und sollte ich das lieber lassen? Wie überwacht ihr DMZ-Hosts?
Grüße
lcer
Ich habe einen DNS-Server (Debian) im DMZ stehen. Auf diesem läuft nichts außer bind9.
ich würde mir von diesem Server gerne Emails zur Benachrichtigung bei bestimmten Ereignissen schicken lassen.
Die Frage ist jetzt, ob das überhaupt empfehlenswert ist. Zwar habe ich den bind9 und den Server entsprechend gesichert, aber er steht ja gerade deshalb in der DMZ weil ich ihm nicht vertrauen will. Erhöht der ein MTA hier die Angriffsfläche relevant und sollte ich das lieber lassen? Wie überwacht ihr DMZ-Hosts?
Grüße
lcer
Please also mark the comments that contributed to the solution of the article
Content-Key: 636081
Url: https://administrator.de/contentid/636081
Printed on: April 25, 2024 at 11:04 o'clock
3 Comments
Latest comment
Mahlzeit.
Wenn die relevanten Ports von außen nicht erreichbar sind, hast du eigentlich kein Problem (entsprechende Systempflege und -konfiguration vorausgesetzt). Und wer sagt, dass du die Mails direkt nach intern senden musst? Wenn du die Möglichkeit hast, vom DMZ-System nur "nach außen" zu senden, bohrst du dir auch kein Loch in dein Sicherheitskonzept.
Beim Monitoring kommt es darauf an, ob du agentless überwachen willst oder nicht. Ohne Agent musst du halt von irgendwo und irgendwie an die Kiste rankommen. Wenn hingegen ein Agent auf der Kiste läuft, der von sich aus nach außen kommuniziert, muss auch hier kein Loch gebohrt werden. Eine Pauschalaussage will ich hier nicht treffen, die einzig richtige Antwort hier (wie so oft): It depends.
Cheers,
jsysde
Wenn die relevanten Ports von außen nicht erreichbar sind, hast du eigentlich kein Problem (entsprechende Systempflege und -konfiguration vorausgesetzt). Und wer sagt, dass du die Mails direkt nach intern senden musst? Wenn du die Möglichkeit hast, vom DMZ-System nur "nach außen" zu senden, bohrst du dir auch kein Loch in dein Sicherheitskonzept.
Beim Monitoring kommt es darauf an, ob du agentless überwachen willst oder nicht. Ohne Agent musst du halt von irgendwo und irgendwie an die Kiste rankommen. Wenn hingegen ein Agent auf der Kiste läuft, der von sich aus nach außen kommuniziert, muss auch hier kein Loch gebohrt werden. Eine Pauschalaussage will ich hier nicht treffen, die einzig richtige Antwort hier (wie so oft): It depends.
Cheers,
jsysde
Moin,
kannst du nicht die Werte/Ereignisse mit einem bestehenden Monitoring System via SNMP abfragen?! Somit hättest du auch gleich eine Gegenprobe, wenn die Abfrage nicht mehr möglich ist. Wenn eine E-Mail nicht ankommt, obowohl das Ereignis eingetreten ist, bekommst du es nicht unmittelbar mit. Außer es sind zyklische Meldungen, die einem Schema entsprechen.
Gruß,
Dani
kannst du nicht die Werte/Ereignisse mit einem bestehenden Monitoring System via SNMP abfragen?! Somit hättest du auch gleich eine Gegenprobe, wenn die Abfrage nicht mehr möglich ist. Wenn eine E-Mail nicht ankommt, obowohl das Ereignis eingetreten ist, bekommst du es nicht unmittelbar mit. Außer es sind zyklische Meldungen, die einem Schema entsprechen.
Gruß,
Dani