Điểm:0

Server

Cách ẩn IP gốc của máy chủ SMTP bằng cách tạo đường hầm/ủy quyền lưu lượng truy cập cổng 25 đến máy chủ thư thực

user3630380

03:22, 11/06/2023

Chúng tôi có hầu hết mọi thứ đằng sau Cloudflare.

Tuy nhiên, một số dịch vụ như thư (ví dụ: mail.mydomain.com bản ghi MX) không thể được đẩy qua cloudflare và chúng làm lộ IP của máy chủ thư của chúng tôi, điều này giúp dễ dàng khám phá vị trí cơ sở hạ tầng của chúng tôi vì tất cả chúng đều chia sẻ cùng một khối và tổ chức tên (theo ARIN whois).

Vì các máy chủ thư và máy ảo của chúng tôi ở cùng một cơ sở colo, nên việc biết IP của máy chủ thư sẽ làm lộ khối IP và tăng bề mặt tấn công của chúng tôi. Chúng tôi lưu trữ máy chủ thư của riêng mình bằng cách sử dụng postfix/dovecot và việc chuyển nó sang nhà cung cấp dịch vụ thư công cộng như Gmail là không thực tế.

Vì vậy, những gì tôi muốn làm là thiết lập một số loại proxy, giống như những gì Cloudflare làm với các cổng web 80/443, trên phiên bản đám mây công cộng, ví dụ: AWS và để bản ghi MX của chúng tôi chỉ ra điều đó, sau đó chấp nhận các kết nối thư đến trên cổng 25 và chuyển tiếp/proxy/đường hầm bất kỳ thứ gì đi qua cổng đó đến máy chủ gốc thực.

Tôi chắc chắn một cái gì đó như thế này phải tồn tại. Và nếu không, có ai có bất kỳ manh mối nào về cách thiết lập một đường hầm hoặc proxy an toàn đơn giản như thế này không?

Cảm ơn!

156

0 + 0

đám mây

đường hầm

smtp

Appleoddity

03:30, 11/06/2023

"Một đường hầm hoặc proxy bảo mật đơn giản" là một VPN. Một kết nối VPN đơn giản để tạo đường dẫn lưu lượng e-mail của bạn đến một trang web từ xa có địa chỉ IP tĩnh là đủ.Tôi nghĩ rằng đánh giá của bạn về rủi ro ở đây có thể được đánh giá cao một chút. Phần lớn các khám phá được thực hiện bằng cách quét địa chỉ IP. Nếu máy chủ của bạn trực tuyến và có thể truy cập được từ internet, nó sẽ được quét nhiều lần trong ngày. Cloudflare là dịch vụ bảo vệ máy chủ web của bạn khỏi DDoS và cải thiện hiệu suất thông qua CDN. Không có gì về dịch vụ được thiết kế để "che giấu" bạn là ai hoặc bạn có địa chỉ IP nào.

Hồi đáp

user3630380

03:37, 11/06/2023

Cảm ơn. Có ý nghĩa... Tuy nhiên, tôi muốn chỉ ra rằng một phần rất quan trọng của việc cung cấp Cloudflares là khả năng ẩn IP gốc để giảm bề mặt tấn công. Điểm sử dụng cloudflare là gì nếu kẻ tấn công biết IP hoặc trung tâm dữ liệu thực của máy chủ web của bạn và có thể tấn công nó. Ý tưởng là cloudflare chấp nhận lưu lượng truy cập đến, lọc nó, làm sạch nó bằng cách sử dụng các quy tắc do người dùng chỉ định và chuyển tiếp nó đến máy chủ gốc mà không tiết lộ thông tin mạng của nó.

Hồi đáp

Appleoddity

03:40, 11/06/2023

Những gì bạn đang nói là chủ yếu là chính xác. Nhưng bạn cũng không bao gồm thực tế là bạn phải chặn tất cả lưu lượng truy cập khác đến máy chủ của mình bằng tường lửa. Nếu bạn để cổng 80/443 mở cho Internet, thì việc bạn có bị mây lóa cũng không thành vấn đề. Bạn phải chỉ cho phép lưu lượng truy cập từ proxy của Cloudflare. Các cổng mở sẽ được phát hiện trong vài phút hoặc vài giờ. Do đó, nếu máy chủ đang trực tuyến, nó có thể được phát hiện và sẽ được phát hiện. Bạn không ẩn IP của mình mà bạn đang giảm thiểu một vectơ tấn công cụ thể. Bảo mật bằng cách che khuất hoàn toàn không phải là bảo mật.

Hồi đáp

Appleoddity

03:47, 11/06/2023

Điểm tôi đang cố gắng thực hiện là địa chỉ IP của bạn là kiến thức công khai. Bạn phải có sẵn các biện pháp bảo vệ khác. Chỉ trong trường hợp tổ chức của bạn bị tấn công có chủ đích, trong đó ai đó có thể có lợi thế liên kết cụ thể doanh nghiệp của bạn với địa chỉ IP của bạn, thì việc bạn cố gắng ẩn IP của mình mới có vấn đề. Tất cả các tin tặc khác trên thế giới không quan tâm. Họ chỉ đơn giản là quét internet để tìm các máy chủ có cổng mở bao gồm cả máy chủ của bạn. Địa chỉ IP công cộng giống như địa chỉ nhà. Bất kỳ ai lái xe ngang qua đều có thể nhìn thấy nó, ngay cả khi họ không biết ai sống bên trong.

Hồi đáp

user3630380

04:28, 11/06/2023

Bạn đúng. Hồ sơ quyền sở hữu IP là kiến thức công khai. Nhưng điều đó không có nghĩa là dịch vụ đằng sau chúng nên như vậy. Có nhiều lý do thực tế tại sao việc cố gắng ngăn chặn việc phát hiện ra IP gốc là điều hợp lý.

Hồi đáp

Paul

13:27, 11/06/2023

@Appleoddity Việc địa chỉ IP là "kiến thức công cộng" không thành vấn đề, bởi vì việc cố gắng đoán địa chỉ IP nào đang lưu trữ miền được bảo vệ bởi Cloudflare là không khả thi. Các cuộc tấn công DDoS được nhắm mục tiêu và là một vấn đề riêng biệt với việc thăm dò lỗ hổng bot theo kịch bản.

Hồi đáp

Appleoddity

13:35, 11/06/2023

@Paul vâng, tôi hiểu. Cả hai bạn đều không thực sự hiểu những gì tôi đang nói. Có, cloudflare bảo vệ máy chủ bằng cách ủy quyền lưu lượng truy cập. Việc bảo vệ là KHÔNG vì sẽ không ai biết địa chỉ IP thực.Tin tặc không cố gắng đoán IP dịch vụ đằng sau cloudflare. Họ chỉ đơn giản là quét internet để tìm các máy chủ có cổng mở. Nếu máy chủ cơ bản được tiếp xúc với internet, thì những gì cloudflare cung cấp liên quan đến IP “bí mật” là không liên quan. Và nếu máy chủ không bị lộ, thông qua các cổng mở, v.v. thì việc biết IP không thành vấn đề. Hai vectơ tấn công khác nhau.

Hồi đáp

Paul

13:47, 11/06/2023

@ user3630380 Cloudflare hiện đang cung cấp một dịch vụ ở bản Beta mà bạn có thể đăng ký, dịch vụ này tương tự như những gì bạn đang tìm kiếm, nhưng hãy nhớ rằng thay vì ủy quyền, dịch vụ này hoạt động giống chuyển hướng hơn. Tôi nghi ngờ giải pháp tốt nhất là lưu trữ máy chủ thư trên một khối địa chỉ IP khác. Một máy chủ thư hiệu quả cần truy cập vô số bản ghi DNS khác và kẻ tấn công thông minh sẽ chỉ cần định cấu hình máy chủ tên có thẩm quyền của riêng chúng để nắm bắt các địa chỉ IP đang truy vấn. Có thể sẽ hiệu quả hơn khi sử dụng bộ giải quyết bộ nhớ đệm cộng với VPN hơn là chỉ sử dụng một khối địa chỉ IP khác.

Hồi đáp

Paul

13:50, 11/06/2023

@Appleoddity Bạn đang trả lời các nhận xét cho *một số câu hỏi khác*, bởi vì câu hỏi này liên quan đến bảo vệ DDoS. Dịch vụ Cloudflare yêu cầu các máy chủ trong không gian địa chỉ IP có thể truy cập toàn cầu. Các vấn đề bảo mật khác liên quan đến quản trị máy chủ trên không gian địa chỉ IP có thể truy cập toàn cầu không phải là một phần của câu hỏi này.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: How to hide origin IP of SMTP server by tunneling/proxying incoming port 25 traffic to real mail server

TH: วิธีซ่อน IP ต้นทางของเซิร์ฟเวอร์ SMTP โดยการทำช่องสัญญาณ/พร็อกซีการรับส่งข้อมูลพอร์ต 25 ขาเข้าไปยังเซิร์ฟเวอร์อีเมลจริง

RO: Cum să ascundeți IP-ul de origine al serverului SMTP prin tunelul/proxy traficul portului 25 de intrare către serverul de e-mail real

RU: Как скрыть исходный IP-адрес SMTP-сервера путем туннелирования/проксирования входящего трафика через порт 25 на настоящий почтовый сервер

VI: Cách ẩn IP gốc của máy chủ SMTP bằng cách tạo đường hầm/ủy quyền lưu lượng truy cập cổng 25 đến máy chủ thư thực

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.