🥇Защита на Zimbra OSE от груба сила и DoS атаки

Zimbra Collaboration Suite Open-Source Edition има няколко мощни инструмента за информационна сигурност в своя арсенал. Между тях Postscreen - решение за защита на пощенския сървър от атаки от ботнет мрежи, ClamAV - антивирус, който може да сканира входящите файлове и писма за заразяване със зловреден софтуер, както и SpamAssassin един от най-добрите спам филтри днес. Тези инструменти обаче не са в състояние да защитят Zimbra OSE от този тип атака, като груба сила. Не най-елегантната, но все пак доста ефективна груба сила на паролата, използваща специален речник, е изпълнена не само с вероятността за успешен хак с всички произтичащи от това последствия, но и със създаването на значително натоварване на сървъра, който обработва всички неуспешни опити да хакнете сървъра със Zimbra OSE.

По принцип можете да се предпазите от груба сила, като използвате стандартните инструменти на Zimbra OSE. Настройките на политиката за защита на паролата ви позволяват да зададете броя на неуспешните опити за въвеждане на парола, след които потенциално атакуваният акаунт се блокира. Основният проблем с този подход е, че има ситуации, в които акаунтите на един или повече служители могат да бъдат блокирани поради brute-force атака, към която те нямат нищо общо, и произтичащият от това престой в работата на служителите може да донесе големи загуби за компанията. Ето защо е най-добре да не използвате тази опция за защита срещу груба сила.

За защита срещу груба сила специален инструмент, наречен DoSFilter, е много по-подходящ, който е вграден в Zimbra OSE и може автоматично да прекрати връзката към Zimbra OSE чрез HTTP. С други думи, принципът на DoSFilter е подобен на принципа на PostScreen, само че се използва за различен протокол. Първоначално проектиран да ограничи броя на действията, които един потребител може да предприеме, DoSFilter може също да осигури защита срещу груба сила. Основната му разлика от вградения в Zimbra инструмент е, че след определен брой неуспешни опити блокира не самия потребител, а IP адреса, от който се правят многократни опити за влизане в един или друг акаунт. Благодарение на това системният администратор може не само да се защити от груба сила, но и да избегне блокирането на служители на предприятието, като просто добави вътрешната мрежа на своето предприятие към списъка с надеждни IP адреси и подмрежи.

Голямото предимство на DoSFilter е, че в допълнение към многобройните опити за влизане в един или друг акаунт, с помощта на този инструмент можете автоматично да блокирате тези нарушители, които са завладяли данните за удостоверяване на служителя, след което успешно са влезли в неговия акаунт и са започнали да изпращат стотици на заявки към сървъра.

Можете да конфигурирате DoSFilter, като използвате следните конзолни команди:

zimbraHttpDosFilterMaxRequestsPerSec - С тази команда можете да зададете максималния брой връзки, позволени на потребител. По подразбиране тази стойност е 30 връзки.
zimbraHttpDosFilterDelayMillis - С тази команда можете да зададете забавяне в милисекунди за връзки, които ще надхвърлят ограничението, определено от предишната команда. В допълнение към целочислените стойности, администраторът може да посочи 0, за да няма никакво забавяне, както и -1, за да прекрати всички връзки, които надвишават определеното ограничение. По подразбиране тази стойност е -1.
zimbraHttpThrottleSafeIPs - Използвайки тази команда, администраторът може да посочи надеждни IP адреси и подмрежи, които няма да бъдат засегнати от ограниченията, изброени по-горе. Имайте предвид, че синтаксисът на тази команда може да варира в зависимост от желания резултат. Така например, като въведете командата zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, вие напълно ще презапишете целия списък и ще оставите само един IP адрес в него. Ако въведете командата zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, въведеният от вас IP адрес ще бъде добавен към белия списък. По същия начин, като използвате знака за изваждане, можете да премахнете всеки IP от списъка с разрешени.

Обърнете внимание, че DoSFilter може да създаде редица проблеми при използване на разширения Zextras Suite Pro. За да ги избегнете, препоръчваме да увеличите броя на едновременните връзки от 30 на 100 с помощта на командата zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Освен това ви препоръчваме да добавите вътрешната мрежа на компанията към списъка с разрешени. Можете да направите това с командата zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. След като направите промени в DoSFilter, не забравяйте да рестартирате пощенския сървър с командата zmmailboxdctl рестартирайте.

Основният недостатък на DoSFilter е, че работи на ниво приложение и следователно може само да ограничи възможността на атакуващите да извършват различни действия на сървъра, без да ограничава възможността за свързване със сървъра. Поради това заявките, изпратени до сървъра за удостоверяване или изпращане на писма, въпреки че очевидно ще се провалят, все още ще бъдат добра стара DoS атака, която не може да бъде спряна на толкова високо ниво.

За да защитите напълно вашия корпоративен сървър със Zimbra OSE, можете да използвате решение като Fail2ban, което е рамка, която може постоянно да следи регистрационните файлове на информационната система за повтарящи се действия и да блокира нарушителя чрез промяна на настройките на защитната стена. Блокирането на такова ниско ниво ви позволява да деактивирате нарушителите точно на етапа на IP връзката към сървъра. Така Fail2Ban може идеално да допълни защитата, изградена с DoSFilter. Нека разберем как можете да се сприятелите с Fail2Ban Zimbra OSE и по този начин да увеличите сигурността на ИТ инфраструктурата на вашето предприятие.

Като всяко друго приложение от корпоративен клас, Zimbra Collaboration Suite Open-Source Edition поддържа подробни регистрационни файлове за своята работа. Повечето от тях се съхраняват в папката /opt/zimbra/log/ под формата на файлове. Ето само няколко от тях:

mailbox.log - регистрационни файлове на Jetty пощенска услуга
audit.log - логове за удостоверяване
clamd.log - регистрационни файлове за антивирусна работа
freshclam.log - регистрационни файлове за актуализиране на антивирусна програма
convertd.log - логове на конвертор на прикачени файлове
zimbrastats.csv - логове за производителност на сървъра

Също така регистрационните файлове на Zimbra могат да бъдат намерени във файла /var/log/zimbra.log, където се съхраняват логовете на Postfix и самата Zimbra.

За да защитим нашата система от груба сила, ние ще наблюдаваме mailbox.log, audit.log и zimbra.log.

За да работи всичко, трябва да имате Fail2Ban и iptables инсталирани на вашия Zimbra OSE сървър. В случай, че използвате Ubuntu, можете да направите това с помощта на командите dpkg -s fail2ban, ако използвате CentOS, тогава можете да проверите това с помощта на командите yum списък инсталиран fail2ban. В случай, че нямате инсталиран Fail2Ban, тогава инсталирането му няма да бъде проблем, тъй като този пакет е в почти всички стандартни хранилища.

След като бъде инсталиран целият необходим софтуер, можете да започнете да конфигурирате Fail2Ban. За да направите това, трябва да създадете конфигурационен файл /etc/fail2ban/filter.d/zimbra.conf, в който пишем регулярни изрази за журналите на Zimbra OSE, които ще съответстват на невалидни опити за влизане и ще задействат механизмите Fail2Ban. Ето пример за съдържанието на zimbra.conf с набор от регулярни изрази, съответстващи на различни грешки, издавани в Zimbra OSE, когато опитът за удостоверяване е неуспешен:

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

След като регулярните изрази за Zimbra OSE са компилирани, е време да започнете да редактирате конфигурацията на самата Fail2ban. Настройките за тази помощна програма се намират във файла /etc/fail2ban/jail.conf. За всеки случай ще направим резервно копие на него с помощта на командата cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. След това ще преведем този файл в следната форма:

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

Въпреки че този пример е доста общ, струва си да обясните някои от настройките, които може да искате да промените, когато сами конфигурирате Fail2Ban:

Игнорирай ip - като използвате този параметър, можете да посочите конкретен ip или подмрежа, адреси, от които Fail2Ban не трябва да проверява. По правило вътрешната мрежа на предприятието и други надеждни адреси се добавят към списъка с игнорирани.
Bantime - Времето, за което на нарушителя ще бъде наложена забрана. Измерено в секунди. Стойност -1 означава забрана за неопределено време.
maxretry - Максималният брой пъти, които един ip-адрес може да опита за достъп до сървъра.
Изпрати писмо - Настройка, която ви позволява автоматично да изпращате имейл известия за работата на Fail2Ban.
Findtime - Настройка, която ви позволява да зададете интервала от време, след който ip-адресът може отново да опита достъп до сървъра след изчерпване на максималния брой неуспешни опити (параметър maxretry)

След като запазите файла с настройките на Fail2Ban, остава само да рестартирате тази помощна програма с помощта на командата рестартиране на услугата fail2ban. След рестартиране основните журнали на Zimbra ще бъдат постоянно наблюдавани за регулярни изрази. Благодарение на това администраторът ще може на практика да елиминира всякаква възможност на нападател да проникне не само в пощенските кутии на Zimbra Collaboration Suite Open-Source Edition, но също така ще защити всички услуги, работещи в Zimbra OSE, и ще бъде наясно с всички опити за получаване на неоторизиран достъп.

За всички въпроси, свързани със Zextras Suite, можете да се свържете с представителя на Zextras Екатерина Триандафилиди по имейл [имейл защитен]

Източник: www.habr.com

Защита на Zimbra OSE от груба сила и DoS атаки

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар