জিমব্রা ওএসইকে নৃশংস বল এবং ডিওএস আক্রমণ থেকে রক্ষা করুন

জিমব্রা কোলাবরেশন স্যুট ওপেন-সোর্স সংস্করণে তথ্য নিরাপত্তা নিশ্চিত করার জন্য বেশ কিছু শক্তিশালী টুল রয়েছে। তাদের মধ্যে পোস্টস্ক্রিন - বটনেটের আক্রমণ থেকে একটি মেল সার্ভারকে রক্ষা করার একটি সমাধান, ক্ল্যামএভি - একটি অ্যান্টিভাইরাস যা দূষিত প্রোগ্রামগুলির সংক্রমণের জন্য ইনকামিং ফাইল এবং চিঠিগুলি স্ক্যান করতে পারে, পাশাপাশি SpamAssassin - আজকের সেরা স্প্যাম ফিল্টারগুলির মধ্যে একটি। যাইহোক, এই সরঞ্জামগুলি জিমব্রা ওএসইকে নৃশংস শক্তির আক্রমণ থেকে রক্ষা করতে অক্ষম। সবচেয়ে মার্জিত নয়, কিন্তু এখনও বেশ কার্যকর, একটি বিশেষ অভিধান ব্যবহার করে পাশবিক-জোর করে পাসওয়ার্ডগুলি শুধুমাত্র পরবর্তী সমস্ত ফলাফলের সাথে সফল হ্যাকিংয়ের সম্ভাবনাই নয়, সার্ভারে একটি উল্লেখযোগ্য লোড তৈরি করে, যা সমস্ত প্রক্রিয়াকরণ করে। Zimbra OSE এর সাথে একটি সার্ভার হ্যাক করার ব্যর্থ প্রচেষ্টা।

নীতিগতভাবে, আপনি স্ট্যান্ডার্ড জিমব্রা ওএসই সরঞ্জাম ব্যবহার করে নৃশংস শক্তি থেকে নিজেকে রক্ষা করতে পারেন। পাসওয়ার্ড নিরাপত্তা নীতি সেটিংস আপনাকে অসফল পাসওয়ার্ড এন্ট্রি প্রচেষ্টার সংখ্যা সেট করার অনুমতি দেয়, যার পরে সম্ভাব্য আক্রমণ করা অ্যাকাউন্টটি ব্লক করা হয়। এই পদ্ধতির প্রধান সমস্যা হল যে পরিস্থিতির উদ্ভব হয় যেখানে এক বা একাধিক কর্মচারীর অ্যাকাউন্টগুলি একটি নৃশংস শক্তি আক্রমণের কারণে ব্লক হয়ে যেতে পারে যার সাথে তাদের কিছুই করার নেই এবং কর্মচারীদের কাজের ফলে ডাউনটাইম বড় ক্ষতির কারণ হতে পারে। কোম্পানি. সেজন্য পাশবিক শক্তির বিরুদ্ধে সুরক্ষার এই বিকল্পটি ব্যবহার না করাই ভাল।

ব্রুট ফোর্স থেকে রক্ষা করার জন্য, DoSFilter নামে একটি বিশেষ টুল অনেক বেশি উপযুক্ত, যা জিমব্রা ওএসই-তে তৈরি করা হয়েছে এবং স্বয়ংক্রিয়ভাবে HTTP-এর মাধ্যমে জিমব্রা ওএসই-এর সাথে সংযোগ বন্ধ করতে পারে। অন্য কথায়, DoSFilter-এর অপারেটিং নীতি পোস্টস্ক্রিনের অপারেটিং নীতির অনুরূপ, শুধুমাত্র এটি একটি ভিন্ন প্রোটোকলের জন্য ব্যবহৃত হয়। মূলত একজন একক ব্যবহারকারী যে ক্রিয়াকলাপ সম্পাদন করতে পারে তার সংখ্যা সীমিত করার জন্য ডিজাইন করা হয়েছে, DoSFilter এছাড়াও ব্রুট ফোর্স সুরক্ষা প্রদান করতে পারে। জিমব্রায় তৈরি টুল থেকে এর মূল পার্থক্য হল যে একটি নির্দিষ্ট সংখ্যক অসফল প্রচেষ্টার পরে, এটি ব্যবহারকারীকে নিজেই ব্লক করে না, কিন্তু আইপি ঠিকানা যেখান থেকে একটি নির্দিষ্ট অ্যাকাউন্টে লগ ইন করার একাধিক প্রচেষ্টা করা হয়। এর জন্য ধন্যবাদ, একজন সিস্টেম অ্যাডমিনিস্ট্রেটর শুধুমাত্র নৃশংস শক্তির বিরুদ্ধে রক্ষা করতে পারে না, বরং বিশ্বস্ত আইপি ঠিকানা এবং সাবনেটের তালিকায় তার কোম্পানির অভ্যন্তরীণ নেটওয়ার্ক যোগ করে কোম্পানির কর্মীদের ব্লক করা এড়াতে পারে।

DoSFilter-এর বড় সুবিধা হল যে একটি নির্দিষ্ট অ্যাকাউন্টে লগ ইন করার অসংখ্য প্রচেষ্টা ছাড়াও, এই টুলটি ব্যবহার করে আপনি স্বয়ংক্রিয়ভাবে সেই আক্রমণকারীদের ব্লক করতে পারেন যারা একজন কর্মচারীর প্রমাণীকরণ ডেটা দখল করেছে, এবং তারপর সফলভাবে তার অ্যাকাউন্টে লগ ইন করেছে এবং শত শত অনুরোধ পাঠাতে শুরু করেছে। সার্ভারে

আপনি নিম্নলিখিত কনসোল কমান্ড ব্যবহার করে DoSFilter কনফিগার করতে পারেন:

• zimbraHttpDosFilterMaxRequestsPerSec — এই কমান্ড ব্যবহার করে, আপনি একজন ব্যবহারকারীর জন্য অনুমোদিত সংযোগের সর্বোচ্চ সংখ্যা সেট করতে পারেন। ডিফল্টরূপে এই মান 30 সংযোগ.
• zimbraHttpDosFilterDelayMillis - এই কমান্ডটি ব্যবহার করে, আপনি সংযোগের জন্য মিলিসেকেন্ডে একটি বিলম্ব সেট করতে পারেন যা পূর্ববর্তী কমান্ড দ্বারা নির্দিষ্ট করা সীমা অতিক্রম করবে। পূর্ণসংখ্যা মান ছাড়াও, অ্যাডমিনিস্ট্রেটর 0 নির্দিষ্ট করতে পারেন, যাতে কোনও বিলম্ব না হয় এবং -1, যাতে নির্দিষ্ট সীমা অতিক্রম করে এমন সমস্ত সংযোগগুলি কেবল বাধাগ্রস্ত হয়। ডিফল্ট মান হল -1।
• zimbraHttpThrottleSafeIPs — এই কমান্ড ব্যবহার করে, অ্যাডমিনিস্ট্রেটর বিশ্বস্ত IP ঠিকানা এবং সাবনেটগুলি নির্দিষ্ট করতে পারেন যা উপরে তালিকাভুক্ত বিধিনিষেধের অধীন হবে না। মনে রাখবেন যে এই কমান্ডের সিনট্যাক্স পছন্দসই ফলাফলের উপর নির্ভর করে পরিবর্তিত হতে পারে। সুতরাং, উদাহরণস্বরূপ, কমান্ড প্রবেশ করে zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, আপনি সম্পূর্ণ তালিকাটি সম্পূর্ণরূপে ওভাররাইট করবেন এবং এতে শুধুমাত্র একটি আইপি ঠিকানা রেখে যাবেন। যদি আপনি কমান্ড লিখুন zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, আপনার প্রবেশ করা IP ঠিকানা সাদা তালিকায় যোগ করা হবে। একইভাবে, বিয়োগ চিহ্ন ব্যবহার করে, আপনি অনুমোদিত তালিকা থেকে যেকোনো আইপি মুছে ফেলতে পারেন।

অনুগ্রহ করে মনে রাখবেন যে জেক্সট্রাস স্যুট প্রো এক্সটেনশনগুলি ব্যবহার করার সময় DoSFilter অনেকগুলি সমস্যা তৈরি করতে পারে৷ এগুলি এড়ানোর জন্য, আমরা কমান্ডটি ব্যবহার করে একযোগে সংযোগের সংখ্যা 30 থেকে 100 পর্যন্ত বাড়ানোর পরামর্শ দিই। zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. উপরন্তু, আমরা অনুমোদিত তালিকায় এন্টারপ্রাইজ অভ্যন্তরীণ নেটওয়ার্ক যোগ করার পরামর্শ দিই। এটি কমান্ড ব্যবহার করে করা যেতে পারে zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter এ কোনো পরিবর্তন করার পর, কমান্ডটি ব্যবহার করে আপনার মেল সার্ভার পুনরায় চালু করতে ভুলবেন না zmmailboxdctl পুনরায় চালু করুন.

DoSFilter এর প্রধান অসুবিধা হল যে এটি অ্যাপ্লিকেশন স্তরে কাজ করে এবং তাই উত্তরে সংযোগ করার ক্ষমতা সীমিত না করে শুধুমাত্র আক্রমণকারীদের সার্ভারে বিভিন্ন ক্রিয়া সম্পাদন করার ক্ষমতা সীমিত করতে পারে। এই কারণে, প্রমাণীকরণ বা চিঠি পাঠানোর জন্য সার্ভারে পাঠানো অনুরোধগুলি, যদিও তারা স্পষ্টতই ব্যর্থ হবে, তবুও একটি ভাল পুরানো DoS আক্রমণের প্রতিনিধিত্ব করবে, যা এত উচ্চ স্তরে থামানো যাবে না।

জিমব্রা ওএসই-এর সাথে আপনার কর্পোরেট সার্ভারকে সম্পূর্ণরূপে সুরক্ষিত করার জন্য, আপনি Fail2ban-এর মতো একটি সমাধান ব্যবহার করতে পারেন, যা একটি কাঠামো যা বারবার ক্রিয়াকলাপের জন্য তথ্য সিস্টেম লগগুলিকে ক্রমাগত নিরীক্ষণ করতে পারে এবং ফায়ারওয়াল সেটিংস পরিবর্তন করে অনুপ্রবেশকারীকে ব্লক করতে পারে৷ এই ধরনের নিম্ন স্তরে ব্লক করা আপনাকে সার্ভারে আইপি সংযোগের পর্যায়ে আক্রমণকারীদের অক্ষম করতে দেয়। এইভাবে, Fail2Ban পুরোপুরি DoSFilter ব্যবহার করে নির্মিত সুরক্ষা পরিপূরক করতে পারে। আসুন জেনে নেওয়া যাক কিভাবে আপনি Fail2Ban-কে Zimbra OSE-এর সাথে সংযুক্ত করতে পারেন এবং এর ফলে আপনার এন্টারপ্রাইজের IT পরিকাঠামোর নিরাপত্তা বাড়াতে পারেন।

অন্য যেকোনো এন্টারপ্রাইজ-শ্রেণির অ্যাপ্লিকেশনের মতো, জিমব্রা কোলাবরেশন স্যুট ওপেন-সোর্স সংস্করণ তার কাজের বিস্তারিত লগ রাখে। তাদের বেশিরভাগই ফোল্ডারে সংরক্ষণ করা হয় /opt/zimbra/log/ ফাইল আকারে। এখানে তাদের মাত্র কয়েকটি রয়েছে:

• mailbox.log — জেটি মেইল ​​সার্ভিস লগ
• audit.log - প্রমাণীকরণ লগ
• clamd.log — অ্যান্টিভাইরাস অপারেশন লগ
• freshclam.log - অ্যান্টিভাইরাস আপডেট লগ
• convertd.log — সংযুক্তি রূপান্তরকারী লগ
• zimbrastats.csv - সার্ভার কর্মক্ষমতা লগ

জিমব্রা লগগুলিও ফাইলটিতে পাওয়া যাবে /var/log/zimbra.log, যেখানে পোস্টফিক্স এবং জিমব্রার লগ রাখা হয়।

আমাদের সিস্টেমকে পাশবিক শক্তি থেকে রক্ষা করার জন্য, আমরা পর্যবেক্ষণ করব mailbox.log, নিরীক্ষা তথ্য и zimbra.log.

সবকিছু কাজ করার জন্য, আপনার সার্ভারে Zimbra OSE এর সাথে Fail2Ban এবং iptables ইনস্টল করা আবশ্যক। আপনি যদি উবুন্টু ব্যবহার করেন তবে আপনি কমান্ড ব্যবহার করে এটি করতে পারেন dpkg -s fail2ban, আপনি যদি CentOS ব্যবহার করেন, আপনি কমান্ড ব্যবহার করে এটি পরীক্ষা করতে পারেন yum তালিকা fail2ban ইনস্টল করা হয়েছে. আপনার যদি Fail2Ban ইনস্টল না থাকে, তাহলে এটি ইনস্টল করা কোন সমস্যা হবে না, যেহেতু এই প্যাকেজটি প্রায় সব স্ট্যান্ডার্ড রিপোজিটরিতে পাওয়া যায়।

সমস্ত প্রয়োজনীয় সফ্টওয়্যার ইনস্টল হয়ে গেলে, আপনি Fail2Ban সেট আপ করা শুরু করতে পারেন। এটি করার জন্য আপনাকে একটি কনফিগারেশন ফাইল তৈরি করতে হবে /etc/fail2ban/filter.d/zimbra.conf, যেটিতে আমরা জিমব্রা OSE লগের জন্য রেগুলার এক্সপ্রেশন লিখব যা ভুল লগইন প্রচেষ্টার সাথে মেলে এবং Fail2Ban মেকানিজম ট্রিগার করবে। এখানে zimbra.conf-এর বিষয়বস্তুর একটি উদাহরণ দেওয়া হল রেগুলার এক্সপ্রেশনের সেট সহ বিভিন্ন ত্রুটির সাথে সম্পর্কিত যেগুলি Zimbra OSE নিক্ষেপ করে যখন একটি প্রমাণীকরণ প্রচেষ্টা ব্যর্থ হয়:

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

একবার জিমব্রা OSE-এর জন্য রেগুলার এক্সপ্রেশনগুলি কম্পাইল করা হয়ে গেলে, এটি নিজেই Fail2ban কনফিগারেশন সম্পাদনা শুরু করার সময়। এই ইউটিলিটির সেটিংস ফাইলটিতে অবস্থিত /etc/fail2ban/jail.conf. শুধু ক্ষেত্রে, কমান্ড ব্যবহার করে এটির একটি ব্যাকআপ কপি তৈরি করা যাক cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. এর পরে, আমরা এই ফাইলটিকে প্রায় নিম্নলিখিত ফর্মে কমিয়ে দেব:

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=admin@company.ru, sender=fail2ban@company.ru]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, dest=support@company.ru]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, dest=support@company.ru ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, dest=support@company.ru]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

যদিও এই উদাহরণটি বেশ জেনেরিক, তবুও Fail2Ban সেট আপ করার সময় আপনি পরিবর্তন করতে চাইতে পারেন এমন কিছু প্যারামিটার ব্যাখ্যা করা মূল্যবান:

• উপেক্ষা করুন — এই পরামিতি ব্যবহার করে আপনি একটি নির্দিষ্ট ip বা সাবনেট নির্দিষ্ট করতে পারেন যেখান থেকে Fail2Ban ঠিকানা চেক করা উচিত নয়। একটি নিয়ম হিসাবে, এন্টারপ্রাইজের অভ্যন্তরীণ নেটওয়ার্ক এবং অন্যান্য বিশ্বস্ত ঠিকানাগুলি উপেক্ষা করা তালিকায় যুক্ত করা হয়।
• ব্যানটাইম - অপরাধীকে যে সময়ের জন্য নিষিদ্ধ করা হবে। সেকেন্ডে পরিমাপ করা হয়। -1 এর মান মানে স্থায়ী নিষেধাজ্ঞা।
• ম্যাক্সরেট্রি — সর্বোচ্চ কতবার একটি IP ঠিকানা সার্ভার অ্যাক্সেস করার চেষ্টা করতে পারে৷
• মেইল পাঠাও — একটি সেটিং যা আপনাকে Fail2Ban ট্রিগার করা হলে স্বয়ংক্রিয়ভাবে ইমেল বিজ্ঞপ্তি পাঠাতে দেয়।
• সময় খুঁজে — এমন একটি সেটিং যা আপনাকে সময়ের ব্যবধান সেট করতে দেয় যার পরে সর্বোচ্চ সংখ্যক অসফল প্রচেষ্টা নিঃশেষ হয়ে যাওয়ার পরে IP ঠিকানাটি আবার সার্ভারে অ্যাক্সেস করার চেষ্টা করতে পারে (maxretry প্যারামিটার)

Fail2Ban সেটিংস সহ ফাইলটি সংরক্ষণ করার পরে, কমান্ডটি ব্যবহার করে এই ইউটিলিটিটি পুনরায় চালু করা বাকি থাকে। পরিষেবা fail2ban পুনরায় চালু করুন. পুনঃসূচনা করার পরে, প্রধান জিমব্রা লগগুলি নিয়মিত অভিব্যক্তিগুলির সাথে সম্মতির জন্য ক্রমাগত নিরীক্ষণ করা শুরু হবে। এর জন্য ধন্যবাদ, অ্যাডমিনিস্ট্রেটর শুধুমাত্র জিমব্রা কোলাবরেশন স্যুট ওপেন-সোর্স সংস্করণের মেলবক্সেই আক্রমণকারীর অনুপ্রবেশের যে কোনও সম্ভাবনাকে কার্যত দূর করতে সক্ষম হবেন, তবে জিমব্রা ওএসই-এর মধ্যে চলমান সমস্ত পরিষেবাগুলিকেও সুরক্ষিত রাখতে পারবেন এবং অননুমোদিত অ্যাক্সেস পাওয়ার যে কোনও প্রচেষ্টা সম্পর্কেও সচেতন থাকবেন। .

Zextras Suite সম্পর্কিত সকল প্রশ্নের জন্য, আপনি Zextras প্রতিনিধি Ekaterina Triandafilidi-এর সাথে katerina@zextras.com ইমেলের মাধ্যমে যোগাযোগ করতে পারেন।

উত্স: www.habr.com