Acceso a LAN vía http
Tenemos configurada una red con un Firewall, conexión a internet, DMZ y LAN. Tenemos un servidor web en la DMZ y un servidor de correo con funcionalidades y acceso al correo vía http en la LAN. ¿Es un peligro de inseguridad el acceso vía http al servidor de correo que está dentro de la LAN desde internet? ¿Se debería modificar la configuración de la red y cómo para poder acceder al correo vía web desde internet? Restringiendo el acceso al servidor de correo de manera que sólo se acceda con el protocolo http por el puerto 80 ¿sería suficiente medida de seguridad?.
1 Respuesta
Respuesta de kuerti
1
Realmente, vos te respondiste a vos mismo. Tener una página en una DMZ es INCOMPATIBLE con poder burlarla accediendo (por puerto 80) a correo. Tenés que restringir el correo para que (todo correo free) se acceda por puerto 80.
Ahora, a tus preguntas, estas respuestas.
¿Es un peligro de inseguridad el acceso vía http al servidor de correo que está dentro de la LAN desde internet?
R.: SI, seguro que lo es. Ya que tenés una dmz (y para esto, tuviste que ponerte comprando por lo menos dos servidores) se consecuente con los pricpios de control interno y mandalo todo a la DMZ.
Las siguientes, son derivados de esta, menos
¿Sería suficiente medida de seguridad?.
R.: ni, manolo. Ya que estas y tienes que reconfigurar, te recomiendo:
a) Poné un servidor de datos dedicado.
b) Pone un servidor de correo (smtp) dedicado. Para esto, solamente tené cuidado en calcular el tamaño de todos los usuarios. El único problema que tendrás es ese.
c) Poné un servidor de aplicaciones dedicado
Y d), ponelos A TODOS fuera de la DMZ o sea dentro de lo que llamás la LAN.
Ahora, a tus preguntas, estas respuestas.
¿Es un peligro de inseguridad el acceso vía http al servidor de correo que está dentro de la LAN desde internet?
R.: SI, seguro que lo es. Ya que tenés una dmz (y para esto, tuviste que ponerte comprando por lo menos dos servidores) se consecuente con los pricpios de control interno y mandalo todo a la DMZ.
Las siguientes, son derivados de esta, menos
¿Sería suficiente medida de seguridad?.
R.: ni, manolo. Ya que estas y tienes que reconfigurar, te recomiendo:
a) Poné un servidor de datos dedicado.
b) Pone un servidor de correo (smtp) dedicado. Para esto, solamente tené cuidado en calcular el tamaño de todos los usuarios. El único problema que tendrás es ese.
c) Poné un servidor de aplicaciones dedicado
Y d), ponelos A TODOS fuera de la DMZ o sea dentro de lo que llamás la LAN.
Te agradezco enormemente tu respuesta. Pero quería aclararte que el servidor web que tengo en la DMZ no tiene nada que ver con el servidor de correo de la LAN. Mi pregunta va dirigida a saber si permitiendo el acceso vía http por el puerto 80 al servidor de correo (en la LAN) puedo sufrir algún ataque en el propio servidor de correo (colapso de la máquina, intrusión en la misma, etc.) por parte de algún usuario intruso que intente acceder al mismo por internet.
Me recomiendas al final que ponga un servidor de correo dedicado en la LAN. ¿Entiendo con esto que crees que no existe peligro en esta configuración: Servidor de correo en la LAN - acceso de los usuarios registrados al mismo desde internet - no peligro de intrusión de algún hacker? Muchas gracias.
Me recomiendas al final que ponga un servidor de correo dedicado en la LAN. ¿Entiendo con esto que crees que no existe peligro en esta configuración: Servidor de correo en la LAN - acceso de los usuarios registrados al mismo desde internet - no peligro de intrusión de algún hacker? Muchas gracias.
Manolo; puntualizando en tus preguntas, te contesto:
"Mi pregunta va dirigida a saber si permitiendo el acceso vía http por el puerto 80 al servidor de correo (en la LAN) puedo sufrir algún ataque en el propio servidor de correo (colapso de la máquina, intrusión en la misma, etc.) por parte de algún usuario intruso que intente acceder al mismo por internet."
R.: Yo me refería a tener una servidor de correo que acceda vía puerto 25 (entrante) y 110 (saliente), no por puerto 80 (tradicionalmente, http). Por supuesto, si mezclas la hacienda permitiendo el acceso por puerto 80 ADEMAS de los puertos 25 y 110, seguramente estarás expuesto a problemas.
¿Entiendo con esto que crees que no existe peligro en esta configuración: Servidor de correo en la LAN - acceso de los usuarios registrados al mismo desde internet - no peligro de intrusión de algún hacker?
R.: Tendrás MENOS problemas si hacés esto porque supongo que tenés configurado tu firewall de manera correcta...
Sin embargo, la existencia de troyanos y virus en la red que se cuelan a través de los correos de los clientes de la LAN, hace vulnerable esta alternativa. NO existe el RIESGO CERO, en computación. Solamente, mitigarlo un poco.
"Mi pregunta va dirigida a saber si permitiendo el acceso vía http por el puerto 80 al servidor de correo (en la LAN) puedo sufrir algún ataque en el propio servidor de correo (colapso de la máquina, intrusión en la misma, etc.) por parte de algún usuario intruso que intente acceder al mismo por internet."
R.: Yo me refería a tener una servidor de correo que acceda vía puerto 25 (entrante) y 110 (saliente), no por puerto 80 (tradicionalmente, http). Por supuesto, si mezclas la hacienda permitiendo el acceso por puerto 80 ADEMAS de los puertos 25 y 110, seguramente estarás expuesto a problemas.
¿Entiendo con esto que crees que no existe peligro en esta configuración: Servidor de correo en la LAN - acceso de los usuarios registrados al mismo desde internet - no peligro de intrusión de algún hacker?
R.: Tendrás MENOS problemas si hacés esto porque supongo que tenés configurado tu firewall de manera correcta...
Sin embargo, la existencia de troyanos y virus en la red que se cuelan a través de los correos de los clientes de la LAN, hace vulnerable esta alternativa. NO existe el RIESGO CERO, en computación. Solamente, mitigarlo un poco.
