Dobrodošli! Danas ćemo vam reći kako napraviti početna podešavanja mail gatewaya – Fortinet sigurnosna rješenja e-pošte. Tokom članka ćemo pogledati izgled s kojim ćemo raditi i izvršiti konfiguraciju , neophodan za prijem i provjeru pisama, a mi ćemo također testirati njegovu izvedbu. Na osnovu našeg iskustva, možemo sa sigurnošću reći da je proces vrlo jednostavan, a čak i nakon minimalne konfiguracije možete vidjeti rezultate.
Počnimo sa trenutnim izgledom. To je prikazano na donjoj slici.
Sa desne strane vidimo računar eksternog korisnika sa kojeg ćemo slati poštu korisniku na internoj mreži. Interna mreža sadrži računar korisnika, kontroler domena na kojem radi DNS server i mail server. Na rubu mreže nalazi se firewall - FortiGate, čija je glavna karakteristika konfiguracija SMTP i DNS prosljeđivanja prometa.
Obratimo posebnu pažnju na DNS.
Postoje dva DNS zapisa koji se koriste za usmjeravanje e-pošte na Internet — A zapis i MX zapis. Obično su ovi DNS zapisi konfigurisani na javnom DNS serveru, ali zbog ograničenja rasporeda, mi jednostavno prosleđujemo DNS kroz zaštitni zid (to jest, spoljni korisnik ima adresu 10.10.30.210 registrovanu kao DNS server).
MX zapis je zapis koji sadrži ime mail servera koji opslužuje domen, kao i prioritet ovog mail servera. U našem slučaju to izgleda ovako: test.local -> mail.test.local 10.
Zapis je zapis koji konvertuje ime domena u IP adresu, za nas je to: mail.test.local -> 10.10.30.210.
Kada naš vanjski korisnik pokuša poslati e-mail na [email zaštićen], upitaće svoj DNS MX server za zapis domene test.local. Naš DNS server će odgovoriti imenom mail servera - mail.test.local. Sada korisnik treba da dobije IP adresu ovog servera, pa ponovo pristupa DNS-u za A zapis i dobija IP adresu 10.10.30.210 (da, opet njegovu :) ). Možete poslati pismo. Stoga pokušava uspostaviti vezu s primljenom IP adresom na portu 25. Koristeći pravila na zaštitnom zidu, ova veza se prosljeđuje na mail server.
Provjerimo funkcionalnost pošte u trenutnom stanju izgleda. Da bismo to učinili, koristit ćemo uslužni program swaks na računaru vanjskog korisnika. Uz njegovu pomoć možete testirati performanse SMTP-a tako što ćete primatelju poslati pismo sa skupom različitih parametara. Prethodno je korisnik sa poštanskim sandučićem već kreiran na serveru pošte [email zaštićen]. Hajde da pokušamo da mu pošaljemo pismo:
Sada idemo na mašinu internog korisnika i uvjerimo se da je pismo stiglo:
Pismo je zaista stiglo (na listi je istaknuto). To znači da raspored radi ispravno. Sada je vrijeme da pređete na FortiMail. Dodajmo našem izgledu:
FortiMail se može implementirati u tri načina:
- Gateway - djeluje kao punopravni MTA: preuzima svu poštu, provjerava je, a zatim je prosljeđuje na server za poštu;
- Transparentan - ili drugim riječima, transparentan način rada. Instalira se ispred servera i provjerava dolaznu i odlaznu poštu. Nakon toga ga prenosi na server. Ne zahtijeva promjene u mrežnoj konfiguraciji.
- Server - u ovom slučaju, FortiMail je punopravni mail server sa mogućnošću kreiranja poštanskih sandučića, primanja i slanja pošte, kao i drugih funkcionalnosti.
FortiMail ćemo postaviti u Gateway modu. Idemo na postavke virtuelne mašine. Prijava je admin, lozinka nije navedena. Kada se prvi put prijavite, morate postaviti novu lozinku.
Sada hajde da konfigurišemo virtuelnu mašinu za pristup veb interfejsu. Takođe je neophodno da mašina ima pristup Internetu. Postavimo interfejs. Treba nam samo port1. Uz njegovu pomoć spojit ćemo se na web interfejs, a koristit će se i za pristup internetu. Pristup internetu je potreban za ažuriranje usluga (antivirusni potpisi, itd.). Za konfiguraciju unesite naredbe:
konfiguracijski sistemski interfejs
uredi port 1
set ip 192.168.1.40 255.255.255.0
postavi dopusti pristup https http ssh ping
Kraj
Sada da konfigurišemo rutiranje. Da biste to uradili potrebno je da unesete sledeće komande:
ruta konfiguracije sistema
uredi 1
postaviti gateway 192.168.1.1
podesite port interfejsa1
Kraj
Kada unosite komande, možete koristiti tabulatore da ih ne kucate u potpunosti. Također, ako zaboravite koja bi naredba trebala biti sljedeća, možete koristiti tipku “?”.
Sada provjerimo vašu internetsku vezu. Da to uradimo, pingirajmo Google DNS:
Kao što vidite, sada imamo internet. Početne postavke tipične za sve Fortinet uređaje su završene i sada možete nastaviti sa konfiguracijom putem web sučelja. Da biste to učinili, otvorite stranicu za upravljanje:
Imajte na umu da morate pratiti link u formatu /admin. U suprotnom nećete moći pristupiti stranici za upravljanje. Podrazumevano, stranica je u standardnom konfiguracijskom modu. Za podešavanja nam je potreban napredni način rada. Idemo na meni admin->View i prebacimo mod na napredni:
Sada moramo preuzeti probnu licencu. Ovo se može uraditi u meniju Informacije o licenci → VM → Ažuriranje:
Ako nemate probnu licencu, možete je zatražiti kontaktiranjem .
Nakon unosa licence, uređaj bi se trebao ponovo pokrenuti. U budućnosti će početi da preuzima ažuriranja svojih baza podataka sa servera. Ako se to ne dogodi automatski, možete otići u meni Sistem → FortiGuard i na kartici Antivirus, Antispam kliknite na dugme Ažuriraj odmah.
Ako ovo ne pomogne, možete promijeniti portove koji se koriste za ažuriranja. Obično se nakon ovoga pojavljuju sve licence. Na kraju bi to trebalo izgledati ovako:
Postavimo ispravnu vremensku zonu, ovo će biti korisno prilikom pregleda dnevnika. Da biste to uradili, idite na meni Sistem → Konfiguracija:
Takođe ćemo konfigurisati DNS. Interni DNS server ćemo konfigurisati kao glavni DNS server, a DNS server koji obezbeđuje Fortinet ostavićemo kao rezervni.
Sada pređimo na zabavni dio. Kao što ste možda primijetili, uređaj je po defaultu postavljen na Gateway način rada. Dakle, ne trebamo ga mijenjati. Idemo na polje Domena i korisnik → Domena. Kreirajmo novu domenu koju treba zaštititi. Ovdje samo trebamo navesti ime domene i adresu mail servera (možete navesti i ime njegovog domena, u našem slučaju mail.test.local):
Sada moramo dati ime za naš mail gateway. Ovo će se koristiti u MX i A zapisima, koje ćemo kasnije morati promijeniti:
Od tačaka imena hosta i imena lokalnog domena kompajlira se FQDN, koji se koristi u DNS zapisima. U našem slučaju, FQDN = fortimail.test.local.
Sada postavimo pravilo prijema. Potrebni su nam svi emailovi koji dolaze izvana i koji su dodijeljeni korisniku u domeni da budu proslijeđeni na mail server. Da biste to uradili, idite na meni Politika → Kontrola pristupa. Primjer podešavanja je prikazan ispod:
Pogledajmo karticu Politika primatelja. Ovdje možete postaviti određena pravila za provjeru pisama: ako pošta dolazi sa domene example1.com, morate je provjeriti mehanizmima konfiguriranim posebno za ovu domenu. Već postoji standardno pravilo za svu poštu i za sada nam to odgovara. Ovo pravilo možete vidjeti na slici ispod:
U ovom trenutku, podešavanje na FortiMailu se može smatrati završenim. Zapravo, postoji mnogo više mogućih parametara, ali ako ih sve počnemo razmatrati, mogli bismo napisati knjigu :) A cilj nam je pokrenuti FortiMail u test modu uz minimalan napor.
Ostale su dvije stvari - promijeniti MX i A zapise, a također i promijeniti pravila prosljeđivanja portova na firewall-u.
MX zapis test.local -> mail.test.local 10 mora se promijeniti u test.local -> fortimail.test.local 10. Ali obično se tokom pilotiranja dodaje drugi MX zapis sa višim prioritetom. Na primjer:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Dozvolite mi da vas podsjetim da što je niži redni broj preferencije mail servera u MX zapisu, to je njegov prioritet veći.
I unos se ne može promijeniti, pa ćemo samo kreirati novi: fortimail.test.local -> 10.10.30.210. Eksterni korisnik će kontaktirati adresu 10.10.30.210 na portu 25, a zaštitni zid će proslediti vezu na FortiMail.
Da biste promijenili pravilo prosljeđivanja na FortiGate-u, morate promijeniti adresu u odgovarajućem Virtual IP objektu:
Sve je spremno. Hajde da proverimo. Ponovo pošaljemo pismo sa računara eksternog korisnika. Sada idemo na FortiMail u meniju Monitor → Dnevnici. U polju Istorija možete videti zapis da je pismo prihvaćeno. Za više informacija, možete kliknuti desnom tipkom miša na unos i odabrati Detalji:
Da bismo upotpunili sliku, provjerimo može li FortiMail u svojoj trenutnoj konfiguraciji blokirati e-poštu koja sadrži neželjenu poštu i viruse. Da bismo to učinili, poslat ćemo eicar test virus i testno pismo koje se nalazi u jednoj od baza podataka neželjene pošte (http://untroubled.org/spam/). Nakon ovoga, vratimo se na meni za pregled dnevnika:
Kao što vidimo, i neželjena pošta i pismo sa virusom su uspešno identifikovani.
Ova konfiguracija je dovoljna za pružanje osnovne zaštite od virusa i neželjene pošte. Ali funkcionalnost FortiMaila nije ograničena na ovo. Za efikasniju zaštitu, morate proučiti dostupne mehanizme i prilagoditi ih svojim potrebama. U budućnosti planiramo da istaknemo i druge, naprednije karakteristike ovog mail gatewaya.
Ako imate bilo kakvih poteškoća ili pitanja u vezi sa rješenjem, napišite ih u komentarima, mi ćemo pokušati odgovoriti na njih u najkraćem mogućem roku.
Možete podnijeti zahtjev za probnu licencu da biste testirali rješenje .
Autor: Aleksej Nikulin. Inženjer za sigurnost informacija Fortiservice.
izvor: www.habr.com