SMTP Proxy/relay on ASG

Hi, Andy - Welcome!

If you're concerned about the total number of bits arriving, then it makes no difference if the "relay" is inside the Astaro or behind it.  If you're concernd about overloading the processing power of the Astaro with the number of SMTP connections, a look at the 'Advanced settings' section near the bottom of the 'Advanced' tab should allay the fears of your friend.

Cheers - Bob

I´m working on an ASG installation where we have a need for enabling SMTP communication outwards and inwards to our LAN. Ideally we should use the SMTP proxy on the ASG but one of my friends is a bit concerned about this solution. Normally we place a smtp relay server in the DMZ that all inbound and outbound traffic is relayd through, and this relay is the only server that has contact with the internal smtp and exchange server.
Our concern is that if we have the smtp directly on the ASG we will be vulnerable if someone say are flooding our smtp server with false connections. This could potentially take the entire firewall down. 
Any thoughts abou this?

Yes, you're right.
It's not likely that someone will DDOS or take out one of the services on the ASG, but if he succeeds, the firewall is down. It's putting all of your eggs in one basket.
Of course you don't have to let the ASG handle everything, you can just as well do a SMTP server in a DMZ if you use ASG as firewall.

But: ASG has proven itself to be quite reliable, and in my mind it's more targeted towards the networks that aren't really huge, where the cost savings of having an all-in-one security gateway outweigh the added reliability and security of the traditional multiple servers needed for this (firewall to internet - DMZ with smtp and web proxy, web servers etc - second firewall to internal network).
So, if you have a smallish to medium network with, say, up to 200 users, ASG, maybe with clustering if you need more performance, does the job reliably and cheaply.
If you do the network security stuff for a large one like Lufthansa, or IBM, or a big bank, you may be better off with something larger.

Yes, you're right.
It's not likely that someone will DDOS or take out one of the services on the ASG, but if he succeeds, the firewall is down. It's putting all of your eggs in one basket.
Of course you don't have to let the ASG handle everything, you can just as well do a SMTP server in a DMZ if you use ASG as firewall.

When you say the firewall is down, does this mean that my internal network is exposed to the internet at large, or will the firewall block all traffic toward the LAN in these kinds of situations?

/Andy

This is when the pipe is so full that nothing else can get through, but it's unikely that your pipe is big enough to overpower the Astaro's processing power.  In any case, the failure mode of a firewall, essentially, is to block everything.  Unless I'm incorrect, Barkas is talking about a different Internet connection for an SMTP server in a DMZ; if you have only one pipe, the target of the traffic will still be the one External interface.

Still, Barkas, I'm wondering if we disagree about the SMTP traffic and whether the Astaro could be overwhelmed by SMTP connections.  The default for 'Max connections' is 30 - doesn't that limited number protect the Astaro from being locked up by SMTP processing?

Cheers - Bob

@balfson: no I'm not necessarily talking about a second external interface, though if you think about doing the one service one box thing in your DMZ you should have more than one uplink, it doesn't make much sense to eliminate one single point of failure and leave another big one open.

@andy.l: I don't know how any smtp software responds to any kind of potentially unknown vulnerability.
You never know what can be done. For example the current v8 beta smtp can be permanently crashed by some emails. It's not impossible that v7 is also vulnerable in some way - software is never perfect.

Point is, with so much going on on one box, every one of those services is potentially vulnerable in some way, either by DOS so the firewall can't service clients any more, or by cracking it open to compromise your network security.
That's the reasons why traditionally firewalls do run alone on one box with no services exposed except routing traffic, so whatever happens, maybe even someone cracking open one of the boxes in the DMZ, they will still be limited by what the firewall lets through.
Now if you have services running on your firewall, you risk the firewall being compromised by the vulnerabilites of those services.

Astaro tries to minimize that risk by compartmentalizing services by chroots and such, but the risk remains.

So, what I'm saying, ASG is about tradeoffs: it's one box doing everything, providing easy administration and low costs, but not providing the ultimate in security, at least if you do all your stuff on one of them. Thus, it's best suited to small and medium size networks, but if you want to secure a big network in the best possible way and cost and space are not as important, it may not be your best option.

Additionally astaro is pushing virtualization, which is even more problematic, because you add the vulnerabilities of the hypervisor to your own, and if the box is compromised and the hypervisor is not secure, then the whole server with all clients running on it is lost.
To my mind, virtualizing firewalls is a big step in the wrong direction, but it seems to be the big hype at the moment. IMO it's only interesting for home use and testing, I wouldn't use a virtualized firewall even for a small company.

Don't get me wrong here, it's a great product, but you always need to think about what fits you best.

By the way, all that is the reason why there is a partner network, an astaro partner should be able to find the right solution for you. Just because it looks all colorful and friendly and stuff doesn't mean it's easy to setup right.