ઝિમ્બ્રા OSE ને જડ બળ અને DoS હુમલાઓથી સુરક્ષિત કરો

ઝિમ્બ્રા કોલાબોરેશન સ્યુટ ઓપન-સોર્સ એડિશનમાં માહિતી સુરક્ષા સુનિશ્ચિત કરવા માટે ઘણા શક્તિશાળી સાધનો છે. તેમની વચ્ચે પોસ્ટસ્ક્રીન - બોટનેટના હુમલાઓથી મેઇલ સર્વરને બચાવવા માટેનો ઉકેલ, ક્લેમએવી - એક એન્ટીવાયરસ જે આવનારી ફાઇલો અને પત્રોને દૂષિત પ્રોગ્રામ્સ સાથેના ચેપ માટે સ્કેન કરી શકે છે, તેમજ સ્પામ એસેસિન - આજના શ્રેષ્ઠ સ્પામ ફિલ્ટર્સમાંથી એક. જો કે, આ સાધનો ઝિમ્બ્રા OSE ને જડ બળના હુમલાઓથી સુરક્ષિત કરવામાં અસમર્થ છે. સૌથી ભવ્ય નથી, પરંતુ હજી પણ એકદમ અસરકારક, ખાસ શબ્દકોશનો ઉપયોગ કરીને બ્રુટ-ફોર્સિંગ પાસવર્ડ્સ માત્ર આગામી તમામ પરિણામો સાથે સફળ હેકિંગની સંભાવનાથી જ નહીં, પણ સર્વર પર નોંધપાત્ર લોડની રચનાથી પણ ભરપૂર છે, જે બધી પ્રક્રિયાઓ કરે છે. Zimbra OSE સાથે સર્વરને હેક કરવાનો અસફળ પ્રયાસો.

સૈદ્ધાંતિક રીતે, તમે પ્રમાણભૂત ઝિમ્બ્રા OSE ટૂલ્સનો ઉપયોગ કરીને તમારી જાતને જડ બળથી બચાવી શકો છો. પાસવર્ડ સુરક્ષા નીતિ સેટિંગ્સ તમને અસફળ પાસવર્ડ એન્ટ્રી પ્રયાસોની સંખ્યા સેટ કરવાની મંજૂરી આપે છે, જેના પછી સંભવિત હુમલો થયેલ એકાઉન્ટને અવરોધિત કરવામાં આવે છે. આ અભિગમ સાથેની મુખ્ય સમસ્યા એ છે કે એવી પરિસ્થિતિઓ ઊભી થાય છે કે જેમાં એક અથવા વધુ કર્મચારીઓના ખાતાઓ બ્રુટ ફોર્સ એટેકને કારણે બ્લૉક થઈ શકે છે જેમાં તેમને કોઈ લેવાદેવા નથી, અને કર્મચારીઓના કામમાં પરિણામી ડાઉનટાઇમ મોટા પ્રમાણમાં નુકસાન લાવી શકે છે. કુંપની. તેથી જ જડ બળ સામે રક્ષણના આ વિકલ્પનો ઉપયોગ ન કરવો શ્રેષ્ઠ છે.

બ્રુટ ફોર્સ સામે રક્ષણ આપવા માટે, DoSFilter નામનું વિશેષ સાધન વધુ યોગ્ય છે, જે Zimbra OSE માં બનેલ છે અને HTTP દ્વારા Zimbra OSE સાથેના જોડાણને આપમેળે સમાપ્ત કરી શકે છે. બીજા શબ્દોમાં કહીએ તો, DoSFilterનો ઓપરેટિંગ સિદ્ધાંત પોસ્ટસ્ક્રીનના ઓપરેટિંગ સિદ્ધાંત જેવો જ છે, માત્ર તેનો ઉપયોગ અલગ પ્રોટોકોલ માટે થાય છે. મૂળરૂપે એક વપરાશકર્તા કરી શકે તેવી ક્રિયાઓની સંખ્યાને મર્યાદિત કરવા માટે રચાયેલ છે, DoSFilter બ્રુટ ફોર્સ પ્રોટેક્શન પણ પ્રદાન કરી શકે છે. ઝિમ્બ્રામાં બનેલા ટૂલથી તેનો મુખ્ય તફાવત એ છે કે ચોક્કસ સંખ્યામાં અસફળ પ્રયાસો પછી, તે વપરાશકર્તાને પોતે જ અવરોધિત કરતું નથી, પરંતુ તે IP સરનામું કે જેનાથી ચોક્કસ એકાઉન્ટમાં લોગ ઇન કરવા માટે બહુવિધ પ્રયાસો કરવામાં આવે છે. આના માટે આભાર, સિસ્ટમ એડમિનિસ્ટ્રેટર માત્ર બ્રુટ ફોર્સ સામે રક્ષણ આપી શકતા નથી, પરંતુ તેની કંપનીના આંતરિક નેટવર્કને વિશ્વસનીય IP એડ્રેસ અને સબનેટ્સની સૂચિમાં ઉમેરીને કંપનીના કર્મચારીઓને અવરોધિત કરવાનું પણ ટાળી શકે છે.

DoSFilter નો મોટો ફાયદો એ છે કે ચોક્કસ એકાઉન્ટમાં લોગ ઇન કરવાના અસંખ્ય પ્રયાસો ઉપરાંત, આ ટૂલનો ઉપયોગ કરીને તમે તે હુમલાખોરોને આપમેળે બ્લોક કરી શકો છો જેમણે કર્મચારીના પ્રમાણીકરણ ડેટાનો કબજો લીધો હતો, અને પછી સફળતાપૂર્વક તેના એકાઉન્ટમાં લોગ ઇન કર્યું હતું અને સેંકડો વિનંતીઓ મોકલવાનું શરૂ કર્યું હતું. સર્વર પર.

તમે નીચેના કન્સોલ આદેશોનો ઉપયોગ કરીને DoSFilter ને ગોઠવી શકો છો:

• zimbraHttpDosFilterMaxRequestsPerSec — આ આદેશનો ઉપયોગ કરીને, તમે એક વપરાશકર્તા માટે મંજૂર જોડાણોની મહત્તમ સંખ્યા સેટ કરી શકો છો. મૂળભૂત રીતે આ મૂલ્ય 30 જોડાણો છે.
• zimbraHttpDosFilterDelayMillis - આ આદેશનો ઉપયોગ કરીને, તમે કનેક્શન્સ માટે મિલિસેકન્ડમાં વિલંબ સેટ કરી શકો છો જે અગાઉના આદેશ દ્વારા ઉલ્લેખિત મર્યાદા કરતાં વધી જશે. પૂર્ણાંક મૂલ્યો ઉપરાંત, એડમિનિસ્ટ્રેટર 0 નો ઉલ્લેખ કરી શકે છે, જેથી કોઈ વિલંબ ન થાય, અને -1, જેથી બધા જોડાણો કે જે નિર્દિષ્ટ મર્યાદાને ઓળંગે છે તે ફક્ત વિક્ષેપિત થાય છે. ડિફૉલ્ટ મૂલ્ય -1 છે.
• zimbraHttpThrottleSafeIPs — આ આદેશનો ઉપયોગ કરીને, એડમિનિસ્ટ્રેટર વિશ્વસનીય IP સરનામાઓ અને સબનેટ્સનો ઉલ્લેખ કરી શકે છે જે ઉપર સૂચિબદ્ધ પ્રતિબંધોને આધીન રહેશે નહીં. નોંધ કરો કે આ આદેશનું વાક્યરચના ઇચ્છિત પરિણામના આધારે બદલાઈ શકે છે. તેથી, ઉદાહરણ તરીકે, આદેશ દાખલ કરીને zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, તમે આખી યાદીને સંપૂર્ણપણે ઓવરરાઈટ કરશો અને તેમાં માત્ર એક IP સરનામું છોડશો. જો તમે આદેશ દાખલ કરો zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, તમે દાખલ કરેલ IP સરનામું સફેદ સૂચિમાં ઉમેરવામાં આવશે. એ જ રીતે, બાદબાકી ચિહ્નનો ઉપયોગ કરીને, તમે માન્ય સૂચિમાંથી કોઈપણ IP દૂર કરી શકો છો.

મહેરબાની કરીને નોંધ કરો કે DoSFilter Zextras Suite Pro એક્સ્ટેન્શન્સનો ઉપયોગ કરતી વખતે ઘણી સમસ્યાઓ ઊભી કરી શકે છે. તેમને ટાળવા માટે, અમે આદેશનો ઉપયોગ કરીને એક સાથે જોડાણોની સંખ્યા 30 થી 100 સુધી વધારવાની ભલામણ કરીએ છીએ. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. વધુમાં, અમે એન્ટરપ્રાઇઝ આંતરિક નેટવર્કને મંજૂર લોકોની સૂચિમાં ઉમેરવાની ભલામણ કરીએ છીએ. આ આદેશનો ઉપયોગ કરીને કરી શકાય છે zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter માં કોઈપણ ફેરફારો કર્યા પછી, આદેશનો ઉપયોગ કરીને તમારા મેઇલ સર્વરને પુનઃપ્રારંભ કરવાની ખાતરી કરો zmmailboxdctl પુનઃપ્રારંભ કરો.

DoSFilterનો મુખ્ય ગેરલાભ એ છે કે તે એપ્લિકેશન સ્તરે કામ કરે છે અને તેથી ઉત્તરથી કનેક્ટ થવાની ક્ષમતાને મર્યાદિત કર્યા વિના, સર્વર પર વિવિધ ક્રિયાઓ કરવા માટે હુમલાખોરોની ક્ષમતાને મર્યાદિત કરી શકે છે. આને કારણે, સર્વરને પ્રમાણીકરણ અથવા પત્રો મોકલવા માટે મોકલવામાં આવેલી વિનંતીઓ, જો કે તે દેખીતી રીતે નિષ્ફળ જશે, તેમ છતાં તે એક સારા જૂના DoS હુમલાનું પ્રતિનિધિત્વ કરશે, જેને આટલા ઊંચા સ્તરે રોકી શકાય નહીં.

Zimbra OSE સાથે તમારા કોર્પોરેટ સર્વરને સંપૂર્ણપણે સુરક્ષિત કરવા માટે, તમે Fail2ban જેવા સોલ્યુશનનો ઉપયોગ કરી શકો છો, જે એક ફ્રેમવર્ક છે જે પુનરાવર્તિત ક્રિયાઓ માટે માહિતી સિસ્ટમ લોગનું સતત નિરીક્ષણ કરી શકે છે અને ફાયરવોલ સેટિંગ્સ બદલીને ઘુસણખોરને અવરોધિત કરી શકે છે. આવા નીચા સ્તરે અવરોધિત કરવાથી તમે સર્વર સાથેના IP કનેક્શનના તબક્કે હુમલાખોરોને અક્ષમ કરી શકો છો. આમ, Fail2Ban DoSFilter નો ઉપયોગ કરીને બનેલ સુરક્ષાને સંપૂર્ણ રીતે પૂરક બનાવી શકે છે. ચાલો જાણીએ કે તમે Fail2Ban ને Zimbra OSE સાથે કેવી રીતે કનેક્ટ કરી શકો છો અને તે રીતે તમારા એન્ટરપ્રાઇઝના IT ઇન્ફ્રાસ્ટ્રક્ચરની સુરક્ષામાં વધારો કરી શકો છો.

કોઈપણ અન્ય એન્ટરપ્રાઈઝ-ક્લાસ એપ્લિકેશનની જેમ, ઝિમ્બ્રા કોલાબોરેશન સ્યુટ ઓપન-સોર્સ એડિશન તેના કામના વિગતવાર લૉગ્સ રાખે છે. તેમાંના મોટા ભાગના ફોલ્ડરમાં સંગ્રહિત છે /opt/zimbra/log/ ફાઇલોના સ્વરૂપમાં. અહીં તેમાંથી થોડાક છે:

• mailbox.log — જેટ્ટી મેલ સર્વિસ લોગ્સ
• audit.log - પ્રમાણીકરણ લોગ
• clamd.log — એન્ટીવાયરસ ઓપરેશન લોગ
• freshclam.log - એન્ટીવાયરસ અપડેટ લોગ
• convertd.log — જોડાણ કન્વર્ટર લોગ
• zimbrastats.csv - સર્વર પ્રદર્શન લોગ

ઝિમ્બ્રા લોગ પણ ફાઇલમાં મળી શકે છે /var/log/zimbra.log, જ્યાં પોસ્ટફિક્સ અને ઝિમ્બ્રાના જ લોગ રાખવામાં આવે છે.

અમારી સિસ્ટમને જડ બળથી બચાવવા માટે, અમે દેખરેખ રાખીશું mailbox.log, audit.log и zimbra.log.

બધું કામ કરવા માટે, તે જરૂરી છે કે Fail2Ban અને iptables તમારા સર્વર પર Zimbra OSE સાથે ઇન્સ્ટોલ કરેલ હોય. જો તમે ઉબુન્ટુનો ઉપયોગ કરી રહ્યાં છો, તો તમે આદેશોનો ઉપયોગ કરીને આ કરી શકો છો dpkg -s fail2ban, જો તમે CentOS નો ઉપયોગ કરો છો, તો તમે આદેશોનો ઉપયોગ કરીને આને ચકાસી શકો છો yum યાદી fail2ban સ્થાપિત થયેલ છે. જો તમારી પાસે Fail2Ban ઇન્સ્ટોલ કરેલ નથી, તો તેને ઇન્સ્ટોલ કરવામાં કોઈ સમસ્યા રહેશે નહીં, કારણ કે આ પેકેજ લગભગ તમામ પ્રમાણભૂત રીપોઝીટરીઝમાં ઉપલબ્ધ છે.

એકવાર બધા જરૂરી સોફ્ટવેર ઇન્સ્ટોલ થઈ જાય, પછી તમે Fail2Ban સેટ કરવાનું શરૂ કરી શકો છો. આ કરવા માટે તમારે રૂપરેખાંકન ફાઇલ બનાવવાની જરૂર છે /etc/fail2ban/filter.d/zimbra.conf, જેમાં અમે Zimbra OSE લૉગ્સ માટે રેગ્યુલર એક્સપ્રેશન્સ લખીશું જે ખોટા લૉગિન પ્રયાસો સાથે મેળ ખાશે અને Fail2Ban મિકેનિઝમ્સને ટ્રિગર કરશે. પ્રમાણીકરણ પ્રયાસ નિષ્ફળ જાય ત્યારે Zimbra OSE દ્વારા ફેંકવામાં આવતી વિવિધ ભૂલોને અનુરૂપ નિયમિત અભિવ્યક્તિઓના સમૂહ સાથે zimbra.conf ની સામગ્રીનું ઉદાહરણ અહીં છે:

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

એકવાર ઝિમ્બ્રા OSE માટે રેગ્યુલર એક્સપ્રેશન્સ કમ્પાઈલ થઈ ગયા પછી, તે Fail2ban ના કન્ફિગરેશનમાં ફેરફાર કરવાનું શરૂ કરવાનો સમય છે. આ ઉપયોગિતાની સેટિંગ્સ ફાઇલમાં સ્થિત છે /etc/fail2ban/jail.conf. માત્ર કિસ્સામાં, ચાલો આદેશનો ઉપયોગ કરીને તેની બેકઅપ નકલ બનાવીએ cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. તે પછી, અમે આ ફાઇલને લગભગ નીચેના ફોર્મમાં ઘટાડીશું:

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

જો કે આ ઉદાહરણ તદ્દન સામાન્ય છે, તેમ છતાં તે કેટલાક પરિમાણોને સમજાવવા યોગ્ય છે કે જેને તમે Fail2Ban જાતે સેટ કરતી વખતે બદલવા માંગો છો:

• અવગણો — આ પરિમાણનો ઉપયોગ કરીને તમે ચોક્કસ ip અથવા સબનેટને સ્પષ્ટ કરી શકો છો કે જેમાંથી Fail2Ban એ સરનામાંઓ તપાસવા જોઈએ નહીં. એક નિયમ તરીકે, એન્ટરપ્રાઇઝનું આંતરિક નેટવર્ક અને અન્ય વિશ્વસનીય સરનામાં અવગણવામાં આવેલી સૂચિમાં ઉમેરવામાં આવે છે.
• બેન્ટાઈમ - જે સમય માટે ગુનેગાર પર પ્રતિબંધ મૂકવામાં આવશે. સેકન્ડમાં માપવામાં આવે છે. -1 નું મૂલ્ય એટલે કાયમી પ્રતિબંધ.
• મેક્સ્રેટ્રી - એક IP સરનામું સર્વરને ઍક્સેસ કરવાનો પ્રયાસ કરી શકે તેટલી મહત્તમ સંખ્યા.
• સંદેશો મોકલો — એક સેટિંગ જે તમને Fail2Ban ટ્રિગર થવા પર આપમેળે ઇમેઇલ સૂચનાઓ મોકલવાની મંજૂરી આપે છે.
• શોધ સમય — એક સેટિંગ કે જે તમને સમય અંતરાલ સેટ કરવાની પરવાનગી આપે છે કે જેના પછી IP સરનામું મહત્તમ સંખ્યામાં અસફળ પ્રયાસો ખતમ થઈ ગયા પછી સર્વરને ફરીથી ઍક્સેસ કરવાનો પ્રયાસ કરી શકે છે (maxretry પરિમાણ)

Fail2Ban સેટિંગ્સ સાથે ફાઇલને સાચવ્યા પછી, આદેશનો ઉપયોગ કરીને આ ઉપયોગિતાને પુનઃપ્રારંભ કરવાનું બાકી રહે છે. સેવા fail2ban પુનઃપ્રારંભ કરો. પુનઃપ્રારંભ કર્યા પછી, મુખ્ય ઝિમ્બ્રા લોગ્સ નિયમિત અભિવ્યક્તિઓના પાલન માટે સતત દેખરેખ રાખવાનું શરૂ કરશે. આનો આભાર, એડમિનિસ્ટ્રેટર માત્ર ઝિમ્બ્રા કોલાબોરેશન સ્યુટ ઓપન-સોર્સ એડિશન મેઈલબોક્સમાં ઘૂસી જવાની હુમલાખોરની કોઈપણ શક્યતાને વર્ચ્યુઅલ રીતે દૂર કરવામાં સક્ષમ હશે, પરંતુ ઝિમ્બ્રા OSE ની અંદર ચાલતી તમામ સેવાઓનું રક્ષણ પણ કરી શકશે અને અનધિકૃત ઍક્સેસ મેળવવાના કોઈપણ પ્રયાસોથી પણ સજાગ રહેશે. .

Zextras Suite થી સંબંધિત તમામ પ્રશ્નો માટે, તમે ઈ-મેલ દ્વારા Zextras Ekaterina Triandafilidi ના પ્રતિનિધિનો સંપર્ક કરી શકો છો [ઇમેઇલ સુરક્ષિત]

સોર્સ: www.habr.com