Zimbra Collaboration Suite Open-Source Edition informasiya təhlükəsizliyini təmin etmək üçün bir neçə güclü alətə malikdir. Onların arasında - poçt serverini botnetlərin hücumlarından qorumaq üçün həll, ClamAV - zərərli proqramlarla yoluxma üçün daxil olan faylları və məktubları skan edə bilən antivirus, həmçinin - bu gün ən yaxşı spam filtrlərindən biridir. Bununla belə, bu alətlər Zimbra OSE-ni kobud güc hücumlarından qoruya bilmir. Xüsusi bir lüğətdən istifadə edərək ən zərif, lakin hələ də olduqca təsirli, kobud zorlayan parollar yalnız bütün sonrakı nəticələrlə uğurlu hakerlik ehtimalı ilə deyil, həm də bütün məlumatları emal edən serverdə əhəmiyyətli bir yükün yaradılması ilə doludur. Zimbra OSE ilə serveri sındırmaq üçün uğursuz cəhdlər.
Prinsipcə, standart Zimbra OSE alətlərindən istifadə edərək özünüzü kobud gücdən qoruya bilərsiniz. Parol təhlükəsizliyi siyasəti parametrləri uğursuz parol daxiletmə cəhdlərinin sayını təyin etməyə imkan verir, bundan sonra potensial hücuma məruz qalan hesab bloklanır. Bu yanaşmanın əsas problemi ondan ibarətdir ki, bir və ya bir neçə işçinin hesablarının heç bir əlaqəsi olmayan kobud güc hücumuna görə bloklana biləcəyi vəziyyətlər yaranır və bunun nəticəsində işçilərin işində fasilələr böyük itkilərə səbəb ola bilər. şirkət. Buna görə kobud gücdən qorunmanın bu variantından istifadə etməmək daha yaxşıdır.
Kobud qüvvədən qorunmaq üçün Zimbra OSE-də quraşdırılmış və HTTP vasitəsilə Zimbra OSE ilə əlaqəni avtomatik dayandıra bilən DoSFilter adlı xüsusi alət daha uyğundur. Başqa sözlə, DoSFilter-in iş prinsipi PostScreen-in iş prinsipinə bənzəyir, yalnız başqa protokol üçün istifadə olunur. Əvvəlcə bir istifadəçinin yerinə yetirə biləcəyi hərəkətlərin sayını məhdudlaşdırmaq üçün nəzərdə tutulmuş DoSFilter həmçinin kobud gücdən qorunma təmin edə bilər. Onun Zimbra-da quraşdırılmış alətdən əsas fərqi ondan ibarətdir ki, müəyyən sayda uğursuz cəhddən sonra o, istifadəçinin özünü blok etmir, müəyyən hesaba daxil olmaq üçün çoxsaylı cəhdlərin edildiyi IP ünvanını bloklayır. Bunun sayəsində sistem inzibatçısı nəinki kobud gücdən qoruya, həm də sadəcə olaraq öz şirkətinin daxili şəbəkəsini etibarlı IP ünvanları və alt şəbəkələr siyahısına əlavə etməklə şirkət işçilərini bloklamaqdan qaça bilər.
DoSFilter-in böyük üstünlüyü ondan ibarətdir ki, müəyyən bir hesaba daxil olmaq üçün çoxsaylı cəhdlərə əlavə olaraq, bu alətdən istifadə etməklə siz işçinin autentifikasiya məlumatlarını ələ keçirən, sonra onun hesabına uğurla daxil olan və yüzlərlə sorğu göndərməyə başlayan təcavüzkarları avtomatik bloklaya bilərsiniz. serverə.
Aşağıdakı konsol əmrlərindən istifadə edərək DoSFilter-i konfiqurasiya edə bilərsiniz:
- zimbraHttpDosFilterMaxRequestsPerSec — Bu əmrdən istifadə edərək, bir istifadəçi üçün icazə verilən maksimum əlaqə sayını təyin edə bilərsiniz. Varsayılan olaraq bu dəyər 30 əlaqədir.
- zimbraHttpDosFilterDelayMillis - Bu əmrdən istifadə edərək, əvvəlki komanda ilə müəyyən edilmiş limiti keçəcək əlaqə üçün millisaniyələrlə gecikmə təyin edə bilərsiniz. Tam ədədlərin qiymətlərinə əlavə olaraq, administrator 0-ı təyin edə bilər ki, heç bir gecikmə olmasın və -1, müəyyən edilmiş limiti aşan bütün əlaqələr sadəcə olaraq kəsilir. Varsayılan dəyər -1-dir.
- zimbraHttpThrottleSafeIPs — Bu əmrdən istifadə edərək, administrator yuxarıda sadalanan məhdudiyyətlərə tabe olmayacaq etibarlı IP ünvanları və alt şəbəkələri təyin edə bilər. Nəzərə alın ki, bu əmrin sintaksisi istənilən nəticədən asılı olaraq dəyişə bilər. Beləliklə, məsələn, əmri daxil etməklə zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, siz bütün siyahını tamamilə üzərinə yazacaqsınız və orada yalnız bir IP ünvanı buraxacaqsınız. Əgər əmri daxil etsəniz zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, daxil etdiyiniz IP ünvanı ağ siyahıya əlavə olunacaq. Eynilə, çıxma işarəsindən istifadə edərək, icazə verilən siyahıdan istənilən IP-ni silə bilərsiniz.
Nəzərə alın ki, DoSFilter Zextras Suite Pro genişləndirmələrindən istifadə edərkən bir sıra problemlər yarada bilər. Onların qarşısını almaq üçün əmrdən istifadə edərək eyni vaxtda qoşulmaların sayını 30-dan 100-ə qədər artırmağı məsləhət görürük. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Bundan əlavə, müəssisənin daxili şəbəkəsini icazə verilənlər siyahısına əlavə etməyi məsləhət görürük. Bu əmrdən istifadə etməklə edilə bilər zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter-də hər hansı dəyişiklik etdikdən sonra əmrdən istifadə edərək poçt serverinizi yenidən işə saldığınızdan əmin olun zmmailboxdctl yenidən başladın.
DoSFilter-in əsas çatışmazlığı ondan ibarətdir ki, o, proqram səviyyəsində işləyir və buna görə də şimala qoşulma imkanını məhdudlaşdırmadan təcavüzkarların serverdə müxtəlif hərəkətləri yerinə yetirmək imkanlarını yalnız məhdudlaşdıra bilir. Bu səbəbdən, serverə autentifikasiya və ya məktubların göndərilməsi üçün göndərilən sorğular, açıq şəkildə uğursuz olsalar da, hələ də belə yüksək səviyyədə dayandırıla bilməyən yaxşı köhnə DoS hücumunu təmsil edəcəklər.
Zimbra OSE ilə korporativ serverinizi tam şəkildə qorumaq üçün siz Fail2ban kimi bir həlldən istifadə edə bilərsiniz, bu, təkrarlanan hərəkətlər üçün məlumat sistemi qeydlərinə daim nəzarət edə bilən və təhlükəsizlik duvarı parametrlərini dəyişdirərək təcavüzkarın qarşısını ala bilən bir çərçivədir. Belə aşağı səviyyədə bloklama, serverə IP qoşulma mərhələsində təcavüzkarları söndürməyə imkan verir. Beləliklə, Fail2Ban DoSFilter istifadə edərək qurulmuş qorumanı mükəmməl şəkildə tamamlaya bilər. Fail2Ban-ı Zimbra OSE ilə necə birləşdirə biləcəyinizi və bununla da müəssisənizin İT infrastrukturunun təhlükəsizliyini necə artıra biləcəyinizi öyrənək.
Hər hansı digər korporativ səviyyəli proqramlar kimi, Zimbra Collaboration Suite Open-Source Edition da işinin təfərrüatlı qeydlərini saxlayır. Onların əksəriyyəti qovluqda saxlanılır /opt/zimbra/log/ fayllar şəklində. Onlardan yalnız bir neçəsini təqdim edirik:
- mailbox.log — İskele poçt xidməti qeydləri
- audit.log - autentifikasiya qeydləri
- clamd.log — antivirus əməliyyat qeydləri
- freshclam.log - antivirus yeniləmə qeydləri
- convertd.log — qoşma çevirici jurnalları
- zimbrastats.csv - server performans qeydləri
Zimbra qeydləri də faylda tapıla bilər /var/log/zimbra.log, burada Postfix və Zimbra-nın qeydləri saxlanılır.
Sistemimizi kobud gücdən qorumaq üçün biz nəzarət edəcəyik mailbox.log, audit.log и zimbra.log.
Hər şeyin işləməsi üçün Zimbra OSE ilə serverinizdə Fail2Ban və iptables quraşdırılmalıdır. Ubuntu istifadə edirsinizsə, bunu əmrlərdən istifadə edərək edə bilərsiniz dpkg -s fail2ban, CentOS istifadə edirsinizsə, bunu əmrlərdən istifadə edərək yoxlaya bilərsiniz yum siyahısı quraşdırılmış fail2ban. Əgər sizdə Fail2Ban quraşdırılmayıbsa, onu quraşdırmaq problem olmayacaq, çünki bu paket demək olar ki, bütün standart depolarda mövcuddur.
Bütün lazımi proqram təminatı quraşdırıldıqdan sonra siz Fail2Ban-ı qurmağa başlaya bilərsiniz. Bunu etmək üçün bir konfiqurasiya faylı yaratmalısınız /etc/fail2ban/filter.d/zimbra.conf, burada səhv giriş cəhdlərinə uyğun gələn və Fail2Ban mexanizmlərini işə salan Zimbra OSE qeydləri üçün müntəzəm ifadələr yazacağıq. Budur autentifikasiya cəhdi uğursuz olduqda Zimbra OSE-nin buraxdığı müxtəlif xətalara uyğun gələn müntəzəm ifadələr dəsti ilə zimbra.conf məzmununun nümunəsi:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Zimbra OSE üçün müntəzəm ifadələr tərtib edildikdən sonra, Fail2ban-ın özünün konfiqurasiyasını redaktə etməyə başlamağın vaxtı gəldi. Bu yardım proqramının parametrləri faylda yerləşir /etc/fail2ban/jail.conf. Hər halda, əmrdən istifadə edərək onun ehtiyat nüsxəsini çıxaraq cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Bundan sonra bu faylı təxminən aşağıdakı formaya endirərik:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Bu nümunə olduqca ümumi olsa da, Fail2Ban-ı özünüz qurarkən dəyişdirmək istədiyiniz bəzi parametrləri izah etməyə dəyər:
- Məhəl qoyma — bu parametrdən istifadə edərək siz Fail2Ban-ın ünvanları yoxlamaması lazım olan xüsusi ip və ya alt şəbəkə təyin edə bilərsiniz. Bir qayda olaraq, müəssisənin daxili şəbəkəsi və digər etibarlı ünvanlar nəzərə alınmayanlar siyahısına əlavə edilir.
- Bantime — Cinayətkarın qadağan olunacağı vaxt. Saniyələrlə ölçülür. -1 dəyəri daimi qadağa deməkdir.
- Maxretry — Bir IP ünvanının serverə daxil olmağa cəhd edə biləcəyi maksimum sayı.
- Göndər — Fail2Ban işə salındıqda avtomatik olaraq e-poçt bildirişləri göndərməyə imkan verən parametr.
- Tapma vaxtı — Maksimum uğursuz cəhdlər bitdikdən sonra IP ünvanının serverə yenidən daxil olmağa cəhd edə biləcəyi vaxt intervalını təyin etməyə imkan verən parametr (maxretry parametri)
Faylı Fail2Ban parametrləri ilə saxladıqdan sonra qalan şey əmrdən istifadə edərək bu yardım proqramını yenidən başlatmaqdır. xidmət fail2ban yenidən başladın. Yenidən başladıqdan sonra əsas Zimbra qeydləri müntəzəm ifadələrə uyğunluq üçün daim izlənməyə başlayacaq. Bunun sayəsində administrator təcavüzkarın nəinki Zimbra Collaboration Suite Open-Source Edition poçt qutularına nüfuz etməsi ehtimalını faktiki olaraq aradan qaldıra, həm də Zimbra OSE daxilində işləyən bütün xidmətləri qoruya, həmçinin icazəsiz giriş əldə etmək cəhdlərindən xəbərdar ola biləcək. .
Zextras Suite ilə bağlı bütün suallar üçün siz Zextras nümayəndəsi Ekaterina Triandafilidi ilə e-poçt vasitəsilə əlaqə saxlaya bilərsiniz. [e-poçt qorunur]
Mənbə: www.habr.com