Score:0

วิธีซ่อน IP ต้นทางของเซิร์ฟเวอร์ SMTP โดยการทำช่องสัญญาณ/พร็อกซีการรับส่งข้อมูลพอร์ต 25 ขาเข้าไปยังเซิร์ฟเวอร์อีเมลจริง

ธง nl

เรามีข้อมูลส่วนใหญ่อยู่เบื้องหลัง Cloudflare

อย่างไรก็ตาม บริการบางอย่าง เช่น เมล (เช่น mail.mydomain.com MX record) ไม่สามารถพุชผ่าน cloudflare ได้ และจะเปิดเผย IP ของเซิร์ฟเวอร์อีเมลของเรา ซึ่งทำให้ง่ายต่อการค้นหาว่าโครงสร้างพื้นฐานของเราตั้งอยู่ที่ใด เนื่องจากทั้งหมดใช้บล็อกและองค์กรเดียวกัน ชื่อ (ต่อ ARIN whois)

เนื่องจากเซิร์ฟเวอร์อีเมลและ VM ของเราอยู่ในสถานที่เดียวกัน การรู้ IP ของเซิร์ฟเวอร์อีเมลจึงเปิดเผยการบล็อก IP และเพิ่มพื้นผิวการโจมตีของเรา เราโฮสต์เซิร์ฟเวอร์อีเมลของเราเองโดยใช้ postfix/dovecot และการย้ายเซิร์ฟเวอร์ไปยังผู้ให้บริการอีเมลสาธารณะอย่าง Gmail นั้นไม่ใช่เรื่องจริง

สิ่งที่ฉันต้องการทำคือตั้งค่าพร็อกซีบางประเภท เช่น สิ่งที่ Cloudflare ทำกับเว็บพอร์ต 80/443 บนอินสแตนซ์คลาวด์สาธารณะ เช่น AWS และให้ระเบียน MX ของเราชี้ไปที่สิ่งนั้น จากนั้น ยอมรับการเชื่อมต่อเมลขาเข้าที่พอร์ต 25 และรีเลย์/พร็อกซี/อุโมงค์ใดๆ ที่ผ่านพอร์ตนั้นไปยังเซิร์ฟเวอร์ต้นทางจริง

ฉันแน่ใจว่าสิ่งนี้ต้องมีอยู่ และถ้าไม่ ใครบ้างมีเงื่อนงำเกี่ยวกับวิธีตั้งค่าอุโมงค์หรือพร็อกซีที่ปลอดภัยอย่างง่ายเช่นนี้?

ขอบคุณ!

Appleoddity avatar
ng flag
"อุโมงค์หรือพร็อกซีที่ปลอดภัยอย่างง่าย" คือ VPN การเชื่อมต่อ VPN อย่างง่ายเพื่ออุโมงค์การรับส่งข้อมูลอีเมลของคุณไปยังไซต์ระยะไกลด้วยที่อยู่ IP แบบคงที่จะทำได้ฉันคิดว่าการประเมินความเสี่ยงของคุณที่นี่อาจประเมินค่าสูงเกินไปเล็กน้อย การค้นพบส่วนใหญ่ทำได้โดยการสแกนที่อยู่ IP หากเซิร์ฟเวอร์ของคุณออนไลน์และเข้าถึงได้จากอินเทอร์เน็ต เซิร์ฟเวอร์จะถูกสแกนหลายครั้งต่อวัน Cloudflare เป็นบริการปกป้องเว็บเซิร์ฟเวอร์ของคุณจาก DDoS และปรับปรุงประสิทธิภาพผ่าน CDN ไม่มีบริการใดที่ออกแบบมาเพื่อ "ซ่อน" ว่าคุณเป็นใครหรือมีที่อยู่ IP ใด
user3630380 avatar
nl flag
ขอบคุณ. สมเหตุสมผล... อย่างไรก็ตาม ฉันอยากจะชี้ให้เห็นว่าส่วนใหญ่ของข้อเสนอของ Cloudflares คือความสามารถในการซ่อน IP ต้นทางเพื่อลดพื้นผิวการโจมตี การใช้ cloudflare จะมีประโยชน์อะไรหากผู้โจมตีทราบ IP หรือดาต้าเซ็นเตอร์จริงของเว็บเซิร์ฟเวอร์ของคุณและสามารถทุบตีมันได้ แนวคิดคือ cloudflare ยอมรับทราฟฟิกที่เข้ามา กรอง ทำความสะอาดโดยใช้กฎที่ผู้ใช้กำหนด และส่งต่อไปยังเซิร์ฟเวอร์ต้นทางโดยไม่เปิดเผยข้อมูลเครือข่าย
Appleoddity avatar
ng flag
สิ่งที่คุณพูดนั้นถูกต้องเป็นส่วนใหญ่ แต่คุณไม่ได้รวมความจริงที่ว่าคุณต้องบล็อกทราฟฟิกอื่น ๆ ทั้งหมดไปยังเซิร์ฟเวอร์ของคุณด้วยไฟร์วอลล์ หากคุณเปิดพอร์ต 80/443 ไว้บนอินเทอร์เน็ต ไม่สำคัญว่าจะมี Cloud Flare หรือไม่ คุณต้องอนุญาตการรับส่งข้อมูลจากพร็อกซีของ Cloudflare เท่านั้น พอร์ตที่เปิดอยู่จะถูกค้นพบภายในไม่กี่นาทีหรือหลายชั่วโมง ดังนั้น หากเซิร์ฟเวอร์ออนไลน์อยู่ ก็จะสามารถค้นพบได้และจะถูกค้นพบ คุณไม่ได้ซ่อน IP ของคุณ คุณกำลังลดการโจมตีแบบเจาะจง การรักษาความปลอดภัยโดยปิดบังนั้นไม่ปลอดภัยเลย
Appleoddity avatar
ng flag
ประเด็นที่ฉันพยายามพูดคือที่อยู่ IP ของคุณเป็นความรู้สาธารณะ คุณต้องมีการป้องกันอื่น ๆ อยู่แล้ว เฉพาะในกรณีของการโจมตีแบบกำหนดเป้าหมายในองค์กรของคุณ ซึ่งอาจมีบางคนได้เปรียบในการเชื่อมโยงธุรกิจของคุณเข้ากับที่อยู่ IP ของคุณโดยเฉพาะ ไม่สำคัญว่าคุณจะพยายามซ่อน IP ของคุณหรือไม่ แฮ็กเกอร์คนอื่นๆ ในโลกไม่สนใจ พวกเขาเพียงแค่สแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ที่มีพอร์ตเปิดรวมถึงของคุณ ที่อยู่ IP สาธารณะเปรียบเสมือนที่อยู่บ้าน ใครก็ตามที่ขับรถผ่านไปมาสามารถเห็นได้ แม้ว่าพวกเขาจะไม่รู้ว่าใครอยู่ข้างในก็ตาม
user3630380 avatar
nl flag
คุณถูก. บันทึกความเป็นเจ้าของ IP เป็นความรู้สาธารณะ แต่ก็ไม่ได้หมายความว่าบริการที่อยู่เบื้องหลังควรจะเป็น มีเหตุผลเชิงปฏิบัติมากมายว่าทำไมจึงควรพยายามป้องกันไม่ให้ค้นพบ IP ต้นทาง
Paul avatar
cn flag
@Appleoddity ไม่สำคัญว่าที่อยู่ IP จะเป็น "ความรู้สาธารณะ" เนื่องจากการพยายามเดาว่าที่อยู่ IP ใดโฮสต์ซึ่งโดเมนที่ป้องกันด้วย Cloudflare นั้นเป็นไปไม่ได้ การโจมตี DDoS มีเป้าหมายและปัญหาแยกต่างหากจากการตรวจสอบช่องโหว่ของบอทสคริปต์
Appleoddity avatar
ng flag
@Paul ใช่ฉันเข้าใจ คุณทั้งคู่ไม่เข้าใจสิ่งที่ฉันพูดจริงๆ ใช่ cloudflare ปกป้องเซิร์ฟเวอร์โดยการพร็อกซีทราฟฟิก การป้องกันไม่ใช่เพราะไม่มีใครรู้ที่อยู่ IP ที่แท้จริงแฮ็กเกอร์ไม่ได้พยายามคาดเดา IP ของบริการที่อยู่เบื้องหลัง cloudflare พวกเขาเพียงแค่สแกนอินเทอร์เน็ตเพื่อหาโฮสต์ที่มีพอร์ตเปิดอยู่ หากเซิร์ฟเวอร์พื้นฐานถูกเปิดเผยต่ออินเทอร์เน็ต ก็ไม่เกี่ยวข้องกับสิ่งที่ cloudflare มอบให้เกี่ยวกับ “ความลับ” IPs และหากเซิร์ฟเวอร์ไม่ถูกเปิดเผย ผ่านพอร์ตที่เปิดอยู่ ฯลฯ การรู้ว่า IP นั้นไม่สำคัญ เวกเตอร์การโจมตีที่แตกต่างกันสองแบบ
Paul avatar
cn flag
@user3630380 Cloudflare ให้บริการในรุ่นเบต้าซึ่งคุณสามารถสมัครได้ ซึ่งคล้ายกับสิ่งที่คุณกำลังมองหา แต่โปรดจำไว้ว่าแทนที่จะใช้พร็อกซี มันจะทำงานเหมือนการเปลี่ยนเส้นทางมากกว่า ฉันสงสัยว่าทางออกที่ดีที่สุดคือการโฮสต์เซิร์ฟเวอร์อีเมลบนบล็อกที่อยู่ IP อื่น เซิร์ฟเวอร์อีเมลที่มีประสิทธิภาพจำเป็นต้องเข้าถึงระเบียน DNS อื่นๆ จำนวนมาก และผู้โจมตีที่ชาญฉลาดก็จะกำหนดค่าเซิร์ฟเวอร์ชื่อที่เชื่อถือได้ของตนเองเพื่อดักจับที่อยู่ IP ที่สอบถาม มีแนวโน้มว่าการใช้ตัวแก้ไขแคชร่วมกับ VPN จะทำงานมากกว่าการใช้บล็อกที่อยู่ IP อื่น
Paul avatar
cn flag
@Appleoddity คุณกำลังตอบกลับพร้อมความคิดเห็นต่อ *คำถามอื่นๆ* เนื่องจากคำถามนี้เกี่ยวข้องกับการป้องกัน DDoS บริการ Cloudflare ต้องการเซิร์ฟเวอร์ในพื้นที่ที่อยู่ IP ที่สามารถเข้าถึงได้ทั่วโลก ข้อกังวลด้านความปลอดภัยอื่นๆ ที่เกี่ยวข้องกับการดูแลระบบเซิร์ฟเวอร์ในพื้นที่ที่อยู่ IP ที่เข้าถึงได้ทั่วโลกไม่ใช่ส่วนหนึ่งของคำถามนี้

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา