Zimbra Collaboration Suite Open-Source Edition informazioaren segurtasun-tresna indartsu ugari ditu bere armategian. Haien artean - posta-zerbitzaria botneten erasoetatik babesteko irtenbide bat, ClamAV - sarrerako fitxategiak eta gutunak eskaneatu ditzakeen malware infekzioa bilatzeko, baita gaur egungo spam iragazki onenetako bat. Hala ere, tresna hauek ezin dira babestu Zimbra OSE mota honetako erasoetatik, hala nola indar gordinatik. Hiztegi berezi bat erabiliz pasahitz indar gordina ez dotoreena, baina oraindik nahiko eraginkorrena, hack arrakastatsu bat izateko probabilitateaz gain, ondorio guztiekin, baina baita arrakastarik gabeko saiakera guztiak prozesatzen dituen zerbitzarian karga esanguratsu bat sortzeaz gain. zerbitzaria hackeatzeko Zimbra OSErekin.
Printzipioz, indar gordinatik babes dezakezu Zimbra OSE tresna estandarrak erabiliz. Pasahitzaren segurtasun-politiken ezarpenei esker, arrakastarik gabeko pasahitza sartzeko saiakera kopurua ezar dezakezu eta, ondoren, erasoa izan daitekeen kontua blokeatzen da. Ikuspegi honen arazo nagusia zera da: langile baten edo gehiagoren kontuak blokeatu daitezkeela zerikusirik ez duten indar gordineko eraso baten ondorioz, eta langileen lanaren ondoriozko geldialdi-denborak handia ekar dezakeela. enpresarentzat galerak. Horregatik, hobe da indar gordinaren aurka babesteko aukera hau ez erabiltzea.
Indar gordinaren aurka babesteko, DoSFilter izeneko tresna berezi bat askoz hobeto egokitzen da, Zimbra OSE-n integratuta dagoena eta HTTP bidez Zimbra OSE-rako konexioa automatikoki amai dezakeena. Beste era batera esanda, DoSFilterren printzipioa PostScreen printzipioaren antzekoa da, soilik protokolo desberdin baterako erabiltzen da. Hasiera batean erabiltzaile bakar batek egin ditzakeen ekintza kopurua mugatzeko diseinatua, DoSFilter-ek indar gordinaren aurkako babesa ere eman dezake. Zimbran integratutako tresnarekin duen gako-aldea da arrakastarik gabeko saiakera kopuru jakin baten ondoren, ez duela erabiltzailea bera blokeatzen, baizik eta kontu batean edo bestean saioa hasteko hainbat saiakera egiten dituen IP helbidea. Horri esker, sistema-administratzaileak indar gordinatik babestu ez ezik, enpresako langileak blokeatzea saihestu dezake bere enpresaren barne-sarea fidagarrien IP helbide eta azpisareen zerrendan gehituz.
DoSFilter-en abantaila handia da kontu batean edo bestean saioa hasteko saiakera ugariez gain, tresna hau erabiliz, automatikoki blokeatu ditzakezula langilearen autentifikazio-datuak jabetu ziren intrusoak, eta gero bere kontuan saioa hasi eta ehunka bidaltzen hasi ziren. zerbitzariari egindako eskaerak.
DoSFilter konfigura dezakezu kontsolaren komando hauek erabiliz:
- zimbraHttpDosFilterMaxRequestsPerSec - Komando honekin, erabiltzaile bakoitzeko baimendutako gehienezko konexio-kopurua ezar dezakezu. Lehenespenez, balio hau 30 konexio da.
- zimbraHttpDosFilterDelayMillis - Komando honekin, milisegundotan atzerapena ezar dezakezu aurreko komandoak zehaztutako muga gaindituko duten konexioetarako. Balio osoez gain, administratzaileak 0 zehaztu dezake inolako atzerapenik ez izateko, baita -1 ere zehaztutako muga gainditzen duten konexio guztiak amaitzeko. Lehenespenez, balio hau -1 da.
- zimbraHttpThrottleSafeIPs - Komando hau erabiliz, administratzaileak goian zerrendatutako murrizketek eragingo ez duten IP helbide eta azpisare fidagarriak zehaztu ditzake. Kontuan izan komando honen sintaxia alda daitekeela nahi den emaitzaren arabera. Beraz, adibidez, komandoa sartuz zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, zerrenda osoa gainidatziko duzu eta bertan IP helbide bakarra utziko duzu. Komandoa sartzen baduzu zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, sartu duzun IP helbidea zerrenda zurira gehituko da. Era berean, kenketa ikurra erabiliz, baimendutako zerrendatik edozein IP ken dezakezu.
Kontuan izan DoSFilter-ek arazo ugari sor ditzakeela Zextras Suite Pro luzapenak erabiltzean. Horiek saihesteko, komandoa erabiliz aldi bereko konexioen kopurua 30etik 100era handitzea gomendatzen dugu. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Horrez gain, enpresaren barne-sarea baimendutako zerrendara gehitzea gomendatzen dugu. Hau komandoarekin egin dezakezu zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter-en edozein aldaketa egin ondoren, ziurtatu posta zerbitzaria komandoarekin berrabiarazi duzula zmmailboxdctl berrabiarazi.
DoSFilter-en desabantaila nagusia da aplikazio mailan funtzionatzen duela eta, beraz, erasotzaileek zerbitzarian hainbat ekintza egiteko gaitasuna mugatu dezaketela, zerbitzariarekin konektatzeko gaitasuna mugatu gabe. Horregatik, zerbitzariari autentifikaziorako edo gutunak bidaltzeko bidaltzen diren eskaerak, jakina huts egingo duten arren, DoS eraso zahar ona izango da, hain maila altuan gelditu ezin dena.
Zure zerbitzari korporatiboa Zimbra OSErekin guztiz ziurtatzeko, Fail2ban bezalako irtenbide bat erabil dezakezu, hau da, informazio-sistemaren erregistroak etengabe kontrola ditzaketen ekintza errepikakorrak egiteko eta intrusioa blokeatu, suebakiaren ezarpenak aldatuz. Hain maila baxuan blokeatzeari esker, intrusioak desgaitu ditzakezu zerbitzarirako IP konexioaren fasean. Horrela, Fail2Ban-ek ezin hobeto osatu dezake DoSFilter-ekin eraikitako babesa. Ikus dezagun nola lagun egin dezakezun Fail2Ban Zimbra OSErekin eta, horrela, zure enpresaren IT azpiegituraren segurtasuna areagotu.
Enpresa mailako beste edozein aplikazio bezala, Zimbra Collaboration Suite Open-Source Edition bere lanaren erregistro zehatzak gordetzen ditu. Gehienak karpetan gordetzen dira /opt/zimbra/log/ fitxategi moduan. Hona hemen horietako batzuk:
- mailbox.log - Jetty posta zerbitzuaren erregistroak
- audit.log - autentifikazio-erregistroak
- clamd.log - birusen aurkako eragiketen erregistroak
- freshclam.log - birusen aurkako eguneratzeen erregistroak
- convertd.log - eranskinen bihurgailuen erregistroak
- zimbrastats.csv - zerbitzariaren errendimenduaren erregistroak
Zimbra erregistroak ere aurki daitezke fitxategian /var/log/zimbra.log, non Postfix eta Zimbra beraren erregistroak gordetzen diren.
Gure sistema indar gordinatik babesteko, kontrolatuko dugu postontzi.registro, auditoretza.erregistroa ΠΈ zimbra.log.
Dena funtziona dezan, Fail2Ban eta iptables zure Zimbra OSE zerbitzarian instalatuta eduki behar dituzu. Ubuntu erabiltzen ari bazara, komandoak erabiliz egin dezakezu dpkg -s fail2ban, CentOS erabiltzen ari bazara, hori egiaztatu dezakezu komandoak erabiliz yum zerrenda instalatuta fail2ban. Fail2Ban instalatuta ez baduzu, orduan instalatzea ez da arazorik izango, pakete hau ia biltegi estandar guztietan baitago.
Beharrezko software guztia instalatu ondoren, Fail2Ban konfiguratzen has zaitezke. Horretarako, konfigurazio fitxategi bat sortu behar duzu /etc/fail2ban/filter.d/zimbra.conf, eta bertan Zimbra OSE erregistroetarako adierazpen erregularrak idazten ditugu, baliogabeko saioa hasteko saiakerekin bat egingo dutenak eta Fail2Ban mekanismoak abiaraziko dituztenak. Hona hemen zimbra.conf-en edukiaren adibide bat Zimbra OSE-n emandako hainbat erroreri dagozkion adierazpen erregular multzo batekin autentifikazio-saiakerak huts egiten duenean:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Zimbra OSEren adierazpen erregularrak konpilatu ondoren, Fail2ban-en beraren konfigurazioa editatzen hasteko garaia da. Utilitate honen ezarpenak fitxategian daude /etc/fail2ban/jail.conf. Badaezpada, haren babeskopia bat egingo dugu komandoa erabiliz cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Horren ostean, fitxategi hau formulario honetara eramango dugu:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Adibide hau nahiko generikoa bada ere, merezi du Fail2Ban zuk zeuk konfiguratzean aldatu nahi dituzun ezarpen batzuk azaltzea:
- Ez ikusi egin - Parametro hau erabiliz, IP edo azpisare zehatz bat zehaztu dezakezu, Fail2Ban-ek egiaztatu behar ez dituen helbideak. Orokorrean, enpresaren barne-sarea eta beste helbide fidagarriak baztertuen zerrendara gehitzen dira.
- Bantime - Arau-hauslea debekatuko den denbora. Segundotan neurtuta. -1 balioak mugagabeko debekua esan nahi du.
- maxretry - IP-helbide batek zerbitzarian sartzen saia daitekeen gehienezko kopurua.
- Sendmail - Fail2Ban-en funtzionamenduari buruzko mezu elektronikoen jakinarazpenak automatikoki bidaltzeko aukera ematen duen ezarpena.
- Aurkitu ordua - Ip helbidea zerbitzarian berriro sartzen saiatuko den denbora-tartea ezartzeko aukera ematen duen ezarpena, arrakastarik gabeko saiakera gehien agortu ondoren (maxretry parametroa)
Fitxategia Fail2Ban ezarpenekin gorde ondoren, erabilgarritasun hau komandoa erabiliz berrabiarazi besterik ez dago geratzen. zerbitzua fail2ban berrabiarazi. Berrabiarazi ondoren, Zimbra erregistro nagusiak etengabe kontrolatuko dira adierazpen erregularrak ikusteko. Horri esker, administratzaileak ia ezabatu ahal izango du erasotzaile batek Zimbra Collaboration Suite Open-Source Edition postontzietan sartzeko aukerarik ez ezik, Zimbra OSE barruan exekutatzen diren zerbitzu guztiak babestu eta baimenik gabeko sarbidea lortzeko saiakeren berri izan.
Zextras Suite-rekin lotutako galdera guztietarako, Zextras Ekaterina Triandafilidi-ko ordezkariarekin harremanetan jar zaitezke posta elektronikoz [posta elektroniko bidez babestua]
Iturria: www.habr.com