Administrace komentářů

Mala firma o sesti lidech ma svuj server "brana.firma.cz" s verejnou pevnou IP adresou, je zaroven i router, www server (apache, v DNS u Webglobe je pro stejnou IP adresu nastaveno i "www.firma.cz" a "firma.cz"), mail server (smtp pres exim, pop3/imap pres dovecot) a openvpn server. Pro lokalni sit funguje i jako dns+dhcp server. Rekneme, ze v lokalni siti ma ip adresu 192.168.1.1 a bind/named v lokalni siti hlasi, ze "brana.firma.cz" je 192.168.1.1.

Lidi maji na svych pocitacich ve firme v Thundebirdu nastaveno, ze postu maji stahovat z "brana.firma.cz", port 110, starttls, jmeno/heslo. Analogicky pro odesialni "brana.firma.cz", port 25, starttls, overeni jmenem/heslem. Port 110 je v iptables povolen jen v LAN, port 25 je logicky otevren i do sveta.

V ramci let's-encryptoveho nadseni, kdy se mi podarilo na apachi rozchodit https s let's-encryptovym certifikatem pro domenu "www.firma.cz", jsem dostal napad, ze let's encrypt vygeneruje i certifikat pro "brana.firma.cz", tenhle certifikat jsem symlinkama nastavill v dovecotu i v eximu a svet je ruzovy. (Doted tam byl od byvaleho kolegy nejaky roky propadly self-signed certifikat. Lidi v Thunderbirdu schvalili vyjimku, ja nemel ve svem Thunderbirdu starttls zapnute vubec. Ucim se.)

Problem nastane, kdyz se lidi pripoji z domu pres (open)vpn. Thunderbird hleda "brana.firma.cz", z verejneho DNS se dozvi venkovni pevnou ip adresu. Odesilani funguje, protoze smtp port 25 je povolen i zvenci. Ale prijem ne, protoze pop3 port 110 mame radsi zvenku zavreny. Takze uzivatel si doma prenastavi Thunderbirda na 192.168.1.1, vyskoci na nej schvaleni vyjimky, ze server je "192.168.1.1" ale certifikat je na "brana.firma.cz", on to schvali a jsme tam, kde jsme byli.

Ma to nejake rozumne reseni?

Zatim nemam odvahu povolovat pop3 i zvenku (ty lidi tam maji nastaveny fakt trapny hesla). Na druhou stranu smtp je otevrene do sveta a taky zijeme.

Premyslel jsem, ze bych v openvpn nastavil, ze by po otevreni tunelu uzivateli nahlasilo, ze na "brana.firma.cz" se musi tunelem, to by bylo nejlepsi. Ale moc nevim jak, navic "brana.firma.cz" je vlastni openvpn server a tim padem nejspis neni spravne menit cestu pod rukama. (?)

Takze dalsi napad: zavest nazev "mail.firma.cz", ten nastavit v Thunderbirdu a nejak zonglovat s dns. V lokalni siti by lokalni dns server vracel lokalni adresu, v internetu by vebglobe vracel verejnou adresu (aby let's encrypt videl) a po otevrei tunelu by u uzivatele nejak vyhralo to lokalni dns a na "mail.firma.cz" by se slo vnitrkem.

A ma to vubec smysl? V ramci lokalni site ve firme asi neni sifrovani potreba. A pri pripojovani z domu, vzhledem k tomu, z kdokoliv schvali jakoukoliv vyjimku, tak to stejne prijde vnivec.