R: R: [ml] postfix ed exchange

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2005 ml@sikurezza.org
Soggetto: R: R: [ml] postfix ed exchange
Mittente: m.brogioni
Data: Tue,  1 Feb 2005 18:24:41 +0100 (CET)

Tutto va preso "cum grano salis".

Visto che parli di DMZ, LAN ed internet presumo che tu usi un firewall
"vero", cioe' che ti permetta di far aprire solo un certo tipo di
connessione identificata dai classici tre parametri:

- Ip Address sorgente
- Ip Address destinazione
- Porta di destinazione

Se la cosa e' cosi' (e lo spero vivamente), una connessione dal postfix
all'exchange si risolverebbe in una riga di policy cosi' fatta:

- From	: postfix
- To		: exchange
- Servizio	: smtp (tcp porta 259

Questa riga, che spesso viene realizzata implicitamente quando sul
firewall, per far uscire il postfix verso internet, si crea la seguente
regola:

- From	: postfix
- To		: any
- Servizio	: smtp (tcp porta 25)

Permetterebbe (teoricamente) di essere sfruttata per passare dalla DMZ
alla LAN solo in presenza di queste condizioni:

- postfix in mano all'attaccante (o perlomeno l'attaccante e' in grado
di lanciare comandi arbitrari)

- exchange con servizio SMTP inattivo o crashato, ipotesi piuttosto
rara, visibile come se fosse illuminata da un 	riflettore da cinema
visto che tutta la mail si fermerebbe (e comunque da monitorare
strettamente)

- exchange gia' in mano all'attaccante, che e' riuscito a lanciare un
demone che sta in ascolto sulla porta tcp 25 

Onestamente, secondo me e' molto piu' semplice arrivare sulla LAN
interna "convincendo" qualcuno a scaricarsi qualche porcata via web
(cosa che gli utenti normali sono bravissimi a fare da soli).

Non nomino le robacce che poi si scaricano a casa sui portatili
connettendosi all'ADSL casalinga o via dial-out.

A parer mio la sicurezza e' anche valutare le cose per il peso reale che
hanno, applicando i principi "sacri" alla realta'.

Saluti a tutti

-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto
di Daniele Palumbo
Inviato: domenica 30 gennaio 2005 14.45
A: ml@xxxxxxxxxxxxx
Oggetto: Re: R: [ml] postfix ed exchange

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Wednesday 26 January 2005 14:19, m.brogioni@xxxxxxxxxxxxx wrote:
> Perdonami, ma non comprendo i motivi che tu definisci "ovvi" per non 
> far consegnare la mail da postfix a exchange.

semplice:
postfix è in dmz, exchange in lan.

non è il male del prodotto...
è che una connessione che va dalla dmz alla lan, non mi sembra una gran 
furbata.

bye
d.
- -- 
PGP Key-ID: 0xF482D454
- --
to boldly go where no man has gone before.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFB/OTM8Tj5mfSC1FQRAi/zAKCBuiafWrZ2bbDjcYDHFwz3anoJTACfcWkk
SPrfZY4jFZ9AVVQdO9Nw4lk=
=qUxg
-----END PGP SIGNATURE-----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- [ml] Re: postfix ed exchange, Igor Falcomata'

Data:
- precedente: R: [ml] postfix ed exchange, m.brogioni
- successivo: Re: [ml] Cambiare i Security-ID di windows 2003, Fabio Panigatti
- indice

Argomento:
- precedente: Re: [ml] postfix ed exchange, Marco d'Itri
- successivo: [ml] Re: postfix ed exchange, Igor Falcomata'
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005