Wie sichere ich mit dem Apachen meinen MailServer?
Hallo, ich muss externen Mitarbeitern den Zugang zu unserem int. Mailserver erlauben ( Webmail ), hat jemand schon mal sowas gemacht? Ich stell mir das so vor: Benutzer kommt auf Firmenwebsite, geht auf link, muss sich mit mod_auth_digest anmelden, wird nach internen Apachen umgeleitet, Webmail Das ganze soll ueber SSL laufen, zumindest bis zum ersten Apachen, Infos: Gateway: Apache 2.0 SDSL 2.3Mbit Standl. Ein VirtualHost: www.cemag.de Mailserver: SuSE Linux Email Server 3.1 Apache 1.3 Name: mail.server.firma -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
On 31 Jul 2002, Marcel Schmedes wrote:
~snip~ was spricht dagegen, dass SSL-Zeugs auf dem int. Server zu konfigurieren und dann auf dem Gateway einen Squid als Reverse-Proxy laufen zu lassen? cu. peter -- | LEISTRITZ Aktiengesellschaft Tel.: +49 (0) 911 4306 559 | Peter Woelfel, EDV-Abteilung Fax: +49 (0) 911 4306 478 | Markgrafenstrasse 29-39 eMail: pwoelfel@leistritz.de | D-90459 Nuernberg Web: http://www.leistritz.de
On Thu, 2002-08-01 at 11:39, Peter Woelfel wrote:
Nunja, 1. Die User-kuerzel und passwd sind doch eher gut zu merken als komplex. Sie bieten keinen ausreichenden schutz! Deswegen erst mod_auth_digest dann Weiterleitung nach intern. 2. Es muss eigentlich machbar sein! 3. Wir ueberlegen fuer den ext. Server ein Verisign-Zertifikat zu kaufen Intern haben wir nur ein self-sign-Zertifikat Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten? Ist das nicht ein Sicherheitsrisiko? Kann man dort sowas wie eine Vor-Anmeldung machen? Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen? -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
Am Donnerstag, 1. August 2002 16:10 schrieb Marcel Schmedes:
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten? Ist das nicht ein Sicherheitsrisiko?
Läuft da auch eine Filter-Firewall? IMHO brauchst du dann nicht mal den squid. müsste doch via FORWARD-Filter klappen - oder?
Kann man dort sowas wie eine Vor-Anmeldung machen?
Können tut man so ziehmlich alles. ;-) Ist halt dann mit Arbeit verbunden.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
Ist das nicht Squid? -- Andreas Scherer, LinguaSoftworks andreas.scherer@lingua.at http://www.lingua.at ICQ# 166088305 Registered Linux User: #157823 - http://counter.li.org/
On Fri, 2002-08-02 at 02:31, Andreas Scherer wrote:
Nicht nur eine, allerdings _will_ ich nichts ins interne Netz forwarden, ausserdem faellt dann die von mir gewuenschte Voranmeldung weg.
Arbeit ist erstmal zweitrangig, es lebe die Paranoia! :)
Ja das ist Squid, ich will ja auch nur wissen ob man diesen _gleichzeitig_ als int->inet und inet->mailserver benutzen kann. -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
On 1 Aug 2002, Marcel Schmedes wrote:
deswegen SSL-verschluesseln. Damit keiner mitlesen kann... Oder reden wir hier aneinander vorbei...?
Wenn da nur die eigenen Mitarbeiter drauf sollen, sollte ein self-sign-Zertifikat ausreichend sein. Ausser ihr vertraut euerem Arbeitgeber nicht ;-)
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten?
http://squid-docs.sourceforge.net/latest/html/c2521.htm
Ist das nicht ein Sicherheitsrisiko?
es bringt eher mehr Sicherheit, vorrausgesetzt dass der Squid nicht angreifbar ist (also auf Security Announcements achten...) Du hast ja auch die Moeglichkeit ACLs zu benutzen, damit lassen sich z.B. unuebliche HTTP-Requests vom eigentlichen Webserver fernhalten. Ausserdem bringt es Performance, da der Squid wesentlich schneller mit statischen Elementen umgehen kann als Apache.
Kann man dort sowas wie eine Vor-Anmeldung machen?
Sollte ueber proxy_auth gehen, aber ist dann nicht SSL-verschluesselt. Ich weiss jetzt nicht, ob es da fuer den Squid ein Modul gibt, womit die Authentifizierung verschluesselt werden kann.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
sollte eigentlich funzen. Natuerlich koennte man auch 2 Proxies laufen lassen (im Notfall in chroot-Umgebungen einsperren), wobei der eine dann auf Port 80 des ext. Interfaces horcht und der andere am internen. Falls der Host nicht Dual-Homed ist, koennte man das auch mit virt. IP-Addressen machen. cu. peter -- | LEISTRITZ Aktiengesellschaft Tel.: +49 (0) 911 4306 559 | Peter Woelfel, EDV-Abteilung Fax: +49 (0) 911 4306 478 | Markgrafenstrasse 29-39 eMail: pwoelfel@leistritz.de | D-90459 Nuernberg Web: http://www.leistritz.de
On Fri, 2002-08-02 at 12:22, Peter Woelfel wrote:
On 1 Aug 2002, Marcel Schmedes wrote:
Es geht nicht um das sniffen von Passwoertern, sondern vielmehr darum das die Usernames/Passwoerter VIEL zu einfach zu erraten sind. Ich kann meinen Usern aber nicht Passwoerter wie: /&$%92bakf"§$2 antun.
Naja gut...
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten?
Danke
Gut das leuchtet ein, allerdings loest es mein Vor-Anmeldungs-Problem nicht.
Die Performance ist bei den paar Aussenmitarbeitern mit Mailzugang unrelevant, wir wollen irgendwann die Aussenstellen in Theran, Iran, Kuba & Co an unseren Mailserver anbinden, dann werden wir wohl diesen Weg gehen. PS.: Weiss jemand ob ich in diesen Laendern mit Problemen im Bezug auf SSL ( 128Bit ) rechnen muss?
Habe mit gerade den Apachen2 mit mod_proxy usw. gebaut, das mod_proxy kann jetzt auch http1.1 und SSL, ich werd das mal in Verbindung mit mod_auth_digest ( morgen abend :( ) probieren.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
Ist Triple-Homed :), allerdings will ich erstmal das mit dem Apachen probieren. Danke fuer die Ideen! -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
On 2 Aug 2002, Marcel Schmedes wrote:
OK, das klingt einleuchtend.
hmmm... das waere dann evtl. ueber einen vorgeschalteten WebServer doch besser zu realisieren. Proxy-Auth waere zwar schon brauchbar, aber wie geschrieben, ich weiss nicht wie man das SSL-maessig abdichten kann...
meinst Du nicht, dass VPNs da besser waeren? Dann haettest Du gleich das ganze LAN mit dran...
PS.: Weiss jemand ob ich in diesen Laendern mit Problemen im Bezug auf SSL ( 128Bit ) rechnen muss?
ufff... keine Ahnung.
OK, mod_proxy sollte etwa das gleiche tun wie der Squid, aber IMHO etwas komplizierter... zumindest war das frueher so...
kein problem ;-) cu. peter -- | LEISTRITZ Aktiengesellschaft Tel.: +49 (0) 911 4306 559 | Peter Woelfel, EDV-Abteilung Fax: +49 (0) 911 4306 478 | Markgrafenstrasse 29-39 eMail: pwoelfel@leistritz.de | D-90459 Nuernberg Web: http://www.leistritz.de
On Fri, 2002-08-02 at 14:46, Peter Woelfel wrote:
IMHO ist die Proxy-Auth nur Cleartext ohne irgendwas dolles, ist glaube ich besser dazu gedacht die einzelen Mitarbeiter im int. Netz zu Accounten. [...]
Naja, wir wollen ja nicht gleich uebertreiben...
Hallo! Ist hier jemand der ueber sowas bescheid weiss? Ich habe naemlich auch keine Ahnung von sowas. [...]
Das neue mod_proxy von apache2 ist ziemlich cool, allerdings habe ich momentan ziemliche Probleme das mod_php4 mit dem Indianer anzufreunden, wenn ich das dann mal hin bekomme probier ich's gleich aus. [...] -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
* Marcel Schmedes schrieb am 02.Aug.2002:
Muß Du aber. Wenn es normale Wörter sind, ist es viel zu einfach zu erraten. Auch wenn sie doppelt so lang sind. Bernd -- Was ist quoten? Quoten ist das Zitieren aus einer mail, der man antwortet. Und wie macht man es richtig? Zitate werden mit "> " gekennzeichnet. Nicht mehr als nötig zitieren. Vor den Abschnitten das Zitat, auf das man sich bezieht, mit einer Zeile Abstand oben und unten. |Zufallssignatur 12
On Fri, 2002-08-02 at 17:03, Bernd Brodesser wrote:
_Deswegen_ will ich ja auch eine Vor-Autorisierung! Die Benutzerkuerzel und Benutzerkennwoerter koennen schoen einfach bleiben, aber wenn jemand extern zugriff nehmen will, muss er, um auf die Anmeldemaske zu kommen, eine komplexe Benutzername/Password - Kombination angeben. Ich experimentiere gerade mit apache/mod_proxy/mod_auth_digest/mod_rewrite, wenn du bescheid weisst wie man sowas aufbaut, HILFE! Ist garnicht so einfach, zumal der Mailserver ein SLEMS3.1 ist, der die Login-Adresse auch durch ein Rewrite aendert. -- Registered Linux User #258839 Visit me: at http://counter.li.org http://www.kleinreich.de
On 31 Jul 2002, Marcel Schmedes wrote:
~snip~ was spricht dagegen, dass SSL-Zeugs auf dem int. Server zu konfigurieren und dann auf dem Gateway einen Squid als Reverse-Proxy laufen zu lassen? cu. peter -- | LEISTRITZ Aktiengesellschaft Tel.: +49 (0) 911 4306 559 | Peter Woelfel, EDV-Abteilung Fax: +49 (0) 911 4306 478 | Markgrafenstrasse 29-39 eMail: pwoelfel@leistritz.de | D-90459 Nuernberg Web: http://www.leistritz.de
On Thu, 2002-08-01 at 11:39, Peter Woelfel wrote:
Nunja, 1. Die User-kuerzel und passwd sind doch eher gut zu merken als komplex. Sie bieten keinen ausreichenden schutz! Deswegen erst mod_auth_digest dann Weiterleitung nach intern. 2. Es muss eigentlich machbar sein! 3. Wir ueberlegen fuer den ext. Server ein Verisign-Zertifikat zu kaufen Intern haben wir nur ein self-sign-Zertifikat Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten? Ist das nicht ein Sicherheitsrisiko? Kann man dort sowas wie eine Vor-Anmeldung machen? Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen? -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
Am Donnerstag, 1. August 2002 16:10 schrieb Marcel Schmedes:
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten? Ist das nicht ein Sicherheitsrisiko?
Läuft da auch eine Filter-Firewall? IMHO brauchst du dann nicht mal den squid. müsste doch via FORWARD-Filter klappen - oder?
Kann man dort sowas wie eine Vor-Anmeldung machen?
Können tut man so ziehmlich alles. ;-) Ist halt dann mit Arbeit verbunden.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
Ist das nicht Squid? -- Andreas Scherer, LinguaSoftworks andreas.scherer@lingua.at http://www.lingua.at ICQ# 166088305 Registered Linux User: #157823 - http://counter.li.org/
On Fri, 2002-08-02 at 02:31, Andreas Scherer wrote:
Nicht nur eine, allerdings _will_ ich nichts ins interne Netz forwarden, ausserdem faellt dann die von mir gewuenschte Voranmeldung weg.
Arbeit ist erstmal zweitrangig, es lebe die Paranoia! :)
Ja das ist Squid, ich will ja auch nur wissen ob man diesen _gleichzeitig_ als int->inet und inet->mailserver benutzen kann. -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
On 1 Aug 2002, Marcel Schmedes wrote:
deswegen SSL-verschluesseln. Damit keiner mitlesen kann... Oder reden wir hier aneinander vorbei...?
Wenn da nur die eigenen Mitarbeiter drauf sollen, sollte ein self-sign-Zertifikat ausreichend sein. Ausser ihr vertraut euerem Arbeitgeber nicht ;-)
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten?
http://squid-docs.sourceforge.net/latest/html/c2521.htm
Ist das nicht ein Sicherheitsrisiko?
es bringt eher mehr Sicherheit, vorrausgesetzt dass der Squid nicht angreifbar ist (also auf Security Announcements achten...) Du hast ja auch die Moeglichkeit ACLs zu benutzen, damit lassen sich z.B. unuebliche HTTP-Requests vom eigentlichen Webserver fernhalten. Ausserdem bringt es Performance, da der Squid wesentlich schneller mit statischen Elementen umgehen kann als Apache.
Kann man dort sowas wie eine Vor-Anmeldung machen?
Sollte ueber proxy_auth gehen, aber ist dann nicht SSL-verschluesselt. Ich weiss jetzt nicht, ob es da fuer den Squid ein Modul gibt, womit die Authentifizierung verschluesselt werden kann.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
sollte eigentlich funzen. Natuerlich koennte man auch 2 Proxies laufen lassen (im Notfall in chroot-Umgebungen einsperren), wobei der eine dann auf Port 80 des ext. Interfaces horcht und der andere am internen. Falls der Host nicht Dual-Homed ist, koennte man das auch mit virt. IP-Addressen machen. cu. peter -- | LEISTRITZ Aktiengesellschaft Tel.: +49 (0) 911 4306 559 | Peter Woelfel, EDV-Abteilung Fax: +49 (0) 911 4306 478 | Markgrafenstrasse 29-39 eMail: pwoelfel@leistritz.de | D-90459 Nuernberg Web: http://www.leistritz.de
On Fri, 2002-08-02 at 12:22, Peter Woelfel wrote:
On 1 Aug 2002, Marcel Schmedes wrote:
Es geht nicht um das sniffen von Passwoertern, sondern vielmehr darum das die Usernames/Passwoerter VIEL zu einfach zu erraten sind. Ich kann meinen Usern aber nicht Passwoerter wie: /&$%92bakf"§$2 antun.
Naja gut...
Aber, wie macht man das, einen Proxy ( Squid ) so einzurichten?
Danke
Gut das leuchtet ein, allerdings loest es mein Vor-Anmeldungs-Problem nicht.
Die Performance ist bei den paar Aussenmitarbeitern mit Mailzugang unrelevant, wir wollen irgendwann die Aussenstellen in Theran, Iran, Kuba & Co an unseren Mailserver anbinden, dann werden wir wohl diesen Weg gehen. PS.: Weiss jemand ob ich in diesen Laendern mit Problemen im Bezug auf SSL ( 128Bit ) rechnen muss?
Habe mit gerade den Apachen2 mit mod_proxy usw. gebaut, das mod_proxy kann jetzt auch http1.1 und SSL, ich werd das mal in Verbindung mit mod_auth_digest ( morgen abend :( ) probieren.
Kann man den normalen Inet-Zugangs-Proxy _zusaetzlich_ dazu nutzen?
Ist Triple-Homed :), allerdings will ich erstmal das mit dem Apachen probieren. Danke fuer die Ideen! -- Mit freundlichen Grüßen ______________________ InnoSoft GmbH Marcel Schmedes E-Mail : sm@cemag.de Tel.: ++49-5151-989977 ______________________
participants (5)
-
Andreas Scherer -
B.Brodesser@t-online.de -
Marcel Schmedes -
Marcel Schmedes -
Peter Woelfel