Ang Zimbra Collaboration Suite Open-Source Edition adunay ubay-ubay nga gamhanan nga mga himan sa seguridad sa impormasyon sa arsenal niini. Taliwala kanila - usa ka solusyon aron mapanalipdan ang mail server gikan sa mga pag-atake sa mga botnet, ClamAV - usa ka antivirus nga maka-scan sa umaabot nga mga file ug mga sulat alang sa impeksyon sa malware, ingon man usa sa labing kaayo nga mga filter sa spam karon. Bisan pa, kini nga mga himan dili makapanalipod sa Zimbra OSE gikan sa kini nga matang sa pag-atake, sama sa brute force. Dili ang labing elegante, apan sa gihapon epektibo nga password brute force gamit ang usa ka espesyal nga diksyonaryo puno dili lamang sa posibilidad sa usa ka malampuson nga pag-hack sa tanan nga mga sangputanan, apan usab sa paghimo sa usa ka hinungdanon nga pagkarga sa server nga nagproseso sa tanan nga dili malampuson nga pagsulay. aron ma-hack ang server gamit ang Zimbra OSE.
Sa prinsipyo, mapanalipdan nimo ang imong kaugalingon gikan sa brute force gamit ang standard nga mga himan sa Zimbra OSE. Gitugotan ka sa mga setting sa polisiya sa seguridad sa password nga itakda ang gidaghanon sa wala molampos nga pagsulay sa pagsulod sa password, pagkahuman gibabagan ang posibleng giatake nga account. Ang nag-unang problema sa kini nga pamaagi mao nga adunay mga sitwasyon diin ang mga account sa usa o daghan pa nga mga empleyado mahimong ma-block tungod sa usa ka brute-force nga pag-atake diin wala sila'y mahimo, ug ang resulta nga downtime sa trabaho sa mga empleyado mahimong magdala og dako. pagkawala sa kompanya. Mao nga labing maayo nga dili gamiton kini nga kapilian sa pagpanalipod batok sa brute force.
Aron mapanalipdan batok sa brute force, ang usa ka espesyal nga himan nga gitawag DoSFilter mas haum, nga gitukod sa Zimbra OSE ug mahimong awtomatik nga tapuson ang koneksyon sa Zimbra OSE pinaagi sa HTTP. Sa laing pagkasulti, ang prinsipyo sa DoSFilter susama sa prinsipyo sa PostScreen, gigamit lamang kini alang sa laing protocol. Gidisenyo sa orihinal aron limitahan ang gidaghanon sa mga aksyon nga mahimo sa usa ka user, ang DoSFilter makahatag usab og proteksyon batok sa brute force. Ang yawe nga kalainan niini gikan sa himan nga gitukod sa Zimbra mao nga pagkahuman sa usa ka piho nga gidaghanon sa dili malampuson nga mga pagsulay, gibabagan niini dili ang tiggamit mismo, apan ang IP address diin daghang mga pagsulay ang gihimo sa pag-log in sa usa o lain nga account. Salamat niini, ang tagdumala sa sistema dili lamang makapanalipod sa iyang kaugalingon gikan sa brute force, apan makalikay usab sa pagbabag sa mga empleyado sa negosyo pinaagi lamang sa pagdugang sa internal nga network sa iyang negosyo sa listahan sa mga kasaligang IP address ug subnets.
Ang dako nga bentaha sa DoSFilter mao nga dugang pa sa daghang mga pagsulay sa pag-log in sa usa o lain nga account, gamit ang kini nga himan, mahimo nimong awtomatiko nga babagan ang mga nanghilabot nga nagkuha sa datos sa pag-authenticate sa empleyado, ug dayon malampuson nga naka-log in sa iyang account ug nagsugod sa pagpadala sa gatusan. sa mga hangyo sa server.
Mahimo nimong i-configure ang DoSFilter gamit ang mosunod nga console commands:
- zimbraHttpDosFilterMaxRequestsPerSec - Sa kini nga mando, mahimo nimong itakda ang labing kadaghan nga mga koneksyon nga gitugotan matag tiggamit. Sa kasagaran, kini nga kantidad mao ang 30 ka koneksyon.
- zimbraHttpDosFilterDelayMillis - Uban niini nga sugo, mahimo nimong itakda ang usa ka paglangan sa milliseconds alang sa mga koneksyon nga molapas sa limitasyon nga gitakda sa miaging sugo. Dugang pa sa integer nga mga kantidad, ang tagdumala mahimo nga magtino sa 0 nga walaβy paglangan, ingon man -1 aron lang tapuson ang tanan nga koneksyon nga molapas sa gitakda nga limitasyon. Sa kasagaran, kini nga bili kay -1.
- zimbraHttpThrottleSafeIPs - Gamit kini nga sugo, ang tagdumala mahimong magpiho sa kasaligang mga adres sa IP ug mga subnet nga dili maapektuhan sa mga pagdili nga gilista sa ibabaw. Timan-i nga ang syntax niini nga sugo mahimong magkalahi depende sa gusto nga resulta. Busa, pananglitan, pinaagi sa pagsulod sa sugo zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, bug-os nimong i-overwrite ang tibuok listahan ug magbilin lang ug usa ka IP address niini. Kung mosulod ka sa mando zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, ang IP address nga imong gisulod idugang sa puti nga listahan. Sa susama, gamit ang subtraction sign, mahimo nimong tangtangon ang bisan unsang IP gikan sa gitugotan nga lista.
Timan-i nga ang DoSFilter makahimo og daghang mga problema sa paggamit sa mga extension sa Zextras Suite Pro. Aron malikayan kini, among girekomendar ang pagdugang sa gidaghanon sa dungan nga mga koneksyon gikan sa 30 ngadto sa 100 gamit ang command zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Dugang pa, girekomenda namon nga idugang nimo ang internal nga network sa negosyo sa lista sa mga gitugotan. Mahimo nimo kini gamit ang mando zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Human sa paghimo sa bisan unsa nga mga pagbag-o sa DoSFilter, siguroha nga i-restart ang mail server gamit ang command zmmailboxdctl i-restart.
Ang nag-unang disbentaha sa DoSFilter mao nga kini nagtrabaho sa lebel sa aplikasyon ug busa mahimo lamang nga limitahan ang abilidad sa mga tig-atake sa paghimo sa lainlaing mga aksyon sa server, nga wala gilimitahan ang abilidad sa pagkonektar sa server. Tungod niini, ang mga hangyo nga gipadala sa server alang sa pag-authenticate o pagpadala sa mga sulat, bisan kung kini klaro nga mapakyas, mahimo gihapon nga usa ka maayo nga daan nga pag-atake sa DoS, nga dili mapugngan sa ingon ka taas nga lebel.
Aron hingpit nga ma-secure ang imong corporate server sa Zimbra OSE, mahimo nimong gamiton ang usa ka solusyon sama sa Fail2ban, nga usa ka balangkas nga kanunay nga makamonitor sa mga log sa sistema sa impormasyon alang sa balik-balik nga mga aksyon ug babagan ang nanghilabot pinaagi sa pagbag-o sa mga setting sa firewall. Ang pag-block sa ingon ka ubos nga lebel nagtugot kanimo sa pag-disable sa mga intruder sa yugto sa koneksyon sa IP sa server. Sa ingon, ang Fail2Ban hingpit nga makadugang sa proteksyon nga gitukod sa DoSFilter. Atong hibal-an kung giunsa nimo paghimo mga higala sa Fail2Ban Zimbra OSE ug sa ingon madugangan ang seguridad sa imprastraktura sa IT sa imong negosyo.
Sama sa bisan unsang ubang aplikasyon sa klase sa negosyo, ang Zimbra Collaboration Suite Open-Source Edition nagtipig ug detalyado nga mga log sa trabaho niini. Kadaghanan kanila gitipigan sa folder /opt/zimbra/log/ sa porma sa mga file. Ania ang pipila lamang kanila:
- mailbox.log - Mga log sa serbisyo sa Jetty mail
- audit.log - mga log sa panghimatuud
- clamd.log - mga log sa operasyon sa antivirus
- freshclam.log - antivirus update logs
- convertd.log - attachment converter logs
- zimbrastats.csv - mga log sa performance sa server
Usab ang Zimbra logs makita sa file /var/log/zimbra.log, diin ang mga troso sa Postfix ug Zimbra mismo gitipigan.
Aron mapanalipdan ang among sistema gikan sa brute force, among bantayan mailbox.log, audit.log ΠΈ zimbra.log.
Aron molihok ang tanan, kinahanglan nimo nga adunay Fail2Ban ug mga iptable nga na-install sa imong Zimbra OSE server. Sa panghitabo nga ikaw naggamit sa Ubuntu, mahimo nimo kini gamit ang mga sugo dpkg -s fail2ban, kon ikaw naggamit sa CentOS, nan mahimo nimong susihon kini gamit ang mga sugo yum list nga na-install fail2ban. Kung wala nimo na-install ang Fail2Ban, nan ang pag-install niini dili usa ka problema, tungod kay kini nga pakete naa sa hapit tanan nga mga standard nga repositoryo.
Human ma-install ang tanan nga gikinahanglan nga software, mahimo ka magsugod sa pag-configure sa Fail2Ban. Aron mahimo kini, kinahanglan nimo nga maghimo usa ka file sa pag-configure /etc/fail2ban/filter.d/zimbra.conf, diin among gisulat ang mga regular nga ekspresyon alang sa mga log sa Zimbra OSE, nga motakdo sa dili balido nga mga pagsulay sa pag-login ug mag-trigger sa mga mekanismo sa Fail2Ban. Ania ang usa ka pananglitan sa mga sulud sa zimbra.conf nga adunay usa ka hugpong sa mga regular nga ekspresyon nga katumbas sa lainlaing mga sayup nga gi-isyu sa Zimbra OSE kung napakyas ang pagsulay sa pag-authenticate:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Human matipon ang mga regular nga ekspresyon para sa Zimbra OSE, panahon na nga magsugod sa pag-edit sa configuration sa Fail2ban mismo. Ang mga setting alang niini nga utility nahimutang sa file /etc/fail2ban/jail.conf. Sa kaso lang, maghimo kami usa ka backup nga kopya niini gamit ang mando cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Human niana, among dad-on kini nga file sa mosunod nga porma:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Samtang kini nga pananglitan medyo generic, angay nga ipasabut ang pipila sa mga setting nga mahimo nimong usbon kung gi-configure ang Fail2Ban sa imong kaugalingon:
- Ignoreip - gamit kini nga parameter, mahimo nimong ipiho ang usa ka piho nga ip o subnet, mga adres nga dili kinahanglan susihon sa Fail2Ban. Ingon sa usa ka lagda, ang internal nga network sa negosyo ug uban pang kasaligan nga mga adres gidugang sa lista sa mga wala tagda.
- Bantime - Ang panahon diin ang nakasala idili. Gisukod sa mga segundo. Ang kantidad nga -1 nagpasabot ug walay tino nga pagdili.
- maxretry - Ang maximum nga gidaghanon sa mga higayon nga ang usa ka ip-address makasulay sa pag-access sa server.
- sendmail - Usa ka setting nga nagtugot kanimo nga awtomatiko nga magpadala mga pahibalo sa email bahin sa operasyon sa Fail2Ban.
- Panahon sa pagpangita - Usa ka setting nga nagtugot kanimo sa pagtakda sa agwat sa oras nga pagkahuman ang ip-address mahimo usab nga mosulay sa pag-access sa server pagkahuman nahurot ang labing kadaghan nga dili malampuson nga pagsulay (maxretry parameter)
Human ma-save ang file gamit ang mga setting sa Fail2Ban, nagpabilin lamang nga i-restart kini nga utility gamit ang command pag-restart sa serbisyo fail2ban. Pagkahuman sa pagsugod, ang panguna nga mga log sa Zimbra kanunay nga bantayan alang sa mga regular nga ekspresyon. Salamat niini, ang administrador makahimo sa halos pagwagtang sa bisan unsang posibilidad sa usa ka tig-atake nga makasulod dili lamang sa Zimbra Collaboration Suite Open-Source Edition nga mga mailbox, apan mapanalipdan usab ang tanan nga mga serbisyo nga nagdagan sulod sa Zimbra OSE, ug mahibal-an ang bisan unsang pagsulay nga makakuha og dili awtorisado nga pag-access.
Para sa tanang pangutana nga may kalabotan sa Zextras Suite, mahimo nimong kontakon ang Representante sa Zextras Ekaterina Triandafilidi pinaagi sa e-mail [protektado sa email]
Source: www.habr.com