Zimbra Collaboration Suite Open-Source Edition gen plizyè zouti pwisan pou asire sekirite enfòmasyon. Pami yo - yon solisyon pou pwoteje yon sèvè lapòs kont atak soti nan botne, ClamAV - yon antivirus ki ka eskane fichye k ap rantre ak lèt pou enfeksyon ak pwogram move, osi byen ke - youn nan pi bon filtè spam jodi a. Sepandan, zouti sa yo pa kapab pwoteje Zimbra OSE kont atak fòs brital. Se pa modpas ki pi elegant, men ki toujou byen efikas, ki fòse brital lè l sèvi avèk yon diksyonè espesyal, se pa sèlman chans pou yo pirataj siksè ak tout konsekans ki vin apre yo, men tou ak kreyasyon an yon chaj enpòtan sou sèvè a, ki trete tout. tantativ san siksè yo Hack yon sèvè ak Zimbra OSE.
Nan prensip, ou ka pwoteje tèt ou kont fòs brital lè l sèvi avèk zouti estanda Zimbra OSE. Anviwònman politik sekirite modpas yo pèmèt ou fikse kantite tantativ antre modpas ki pa gen siksè, apre yo fin bloke kont ki kapab atake a. Pwoblèm prensipal ki genyen ak apwòch sa a se sitiyasyon kote youn oswa plizyè anplwaye yo ka bloke akòz yon atak fòs brital yo pa gen anyen pou yo fè, ak tan an ki kapab lakòz nan travay anplwaye yo ka pote gwo pèt pou yo. konpayi a. Se poutèt sa li pi bon pou pa sèvi ak opsyon sa a nan pwoteksyon kont fòs brital.
Pou pwoteje kont fòs brital, yon zouti espesyal ki rele DoSFilter pi byen adapte, ki bati nan Zimbra OSE epi li ka otomatikman mete fen nan koneksyon an nan Zimbra OSE atravè HTTP. Nan lòt mo, prensip fonksyònman DoSFilter sanble ak prensip fonksyònman PostScreen, sèlman li itilize pou yon pwotokòl diferan. Orijinèlman fèt pou limite kantite aksyon yon sèl itilizatè ka fè, DoSFilter kapab tou bay pwoteksyon fòs brital. Diferans kle li yo soti nan zouti ki te bati nan Zimbra se ke apre yon sèten kantite tantativ san siksè, li pa bloke itilizatè a tèt li, men adrès IP ki soti nan ki tantativ miltip yo te fè konekte nan yon kont patikilye. Mèsi a sa a, yon administratè sistèm ka pa sèlman pwoteje kont fòs brital, men tou, evite bloke anplwaye konpayi yo pa tou senpleman ajoute rezo entèn konpayi li a nan lis adrès IP ou fè konfyans ak subnets.
Avantaj nan gwo nan DoSFilter se ke anplis tantativ anpil konekte nan yon kont patikilye, lè l sèvi avèk zouti sa a ou ka otomatikman bloke atakè sa yo ki te pran posesyon done otantifikasyon yon anplwaye, ak Lè sa a, avèk siksè konekte nan kont li epi yo te kòmanse voye dè santèn de demann. nan sèvè a.
Ou ka konfigure DoSFilter lè l sèvi avèk kòmandman konsole sa yo:
- zimbraHttpDosFilterMaxRequestsPerSec — Sèvi ak kòmandman sa a, ou ka mete maksimòm kantite koneksyon yo pèmèt pou yon sèl itilizatè. Pa default valè sa a se 30 koneksyon.
- zimbraHttpDosFilterDelayMillis - Sèvi ak lòd sa a, ou ka mete yon reta nan milisgond pou koneksyon ki pral depase limit la espesifye nan lòd anvan an. Anplis de valè nonb antye relatif, administratè a ka presize 0, pou pa gen okenn reta nan tout, ak -1, pou ke tout koneksyon ki depase limit la espesifye yo tou senpleman koupe. Valè default la se -1.
- zimbraHttpThrottleSafeIPs — Lè l sèvi avèk lòd sa a, administratè a ka presize adrès IP ou fè konfyans ak subnet ki pa pral sijè a restriksyon ki nan lis pi wo a. Remake byen ke sentaks kòmand sa a ka varye selon rezilta ou vle a. Se konsa, pou egzanp, pa antre nan lòd la zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, ou pral konplètman kouvri tout lis la epi kite yon sèl adrès IP ladan l. Si ou antre kòmandman an zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, adrès IP ou te antre a pral ajoute nan lis blan an. Menm jan an tou, lè l sèvi avèk siy soustraksyon an, ou ka retire nenpòt IP nan lis la pèmèt.
Tanpri sonje ke DoSFilter ka kreye yon kantite pwoblèm lè w ap itilize ekstansyon Zextras Suite Pro. Pou evite yo, nou rekòmande pou ogmante kantite koneksyon similtane soti nan 30 a 100 lè l sèvi avèk lòd la. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Anplis de sa, nou rekòmande pou ajoute rezo entèn antrepriz la nan lis moun ki pèmèt yo. Sa a ka fè lè l sèvi avèk kòmandman an zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Apre w fin fè nenpòt chanjman nan DoSFilter, asire w ke w rekòmanse sèvè lapòs ou a lè l sèvi avèk lòd la zmmailboxdctl rekòmanse.
Dezavantaj prensipal la nan DoSFilter se ke li travay nan nivo aplikasyon an ak Se poutèt sa ka sèlman limite kapasite nan atakè yo pote aksyon divès kalite sou sèvè a, san yo pa limite kapasite nan konekte nan nò a. Poutèt sa, demann voye bay sèvè a pou otantifikasyon oswa voye lèt, byenke yo pral evidamman echwe, ap toujou reprezante yon bon atak DoS fin vye granmoun, ki pa ka sispann nan yon nivo segondè.
Yo nan lòd yo konplètman an sekirite sèvè antrepriz ou a ak Zimbra OSE, ou ka itilize yon solisyon tankou Fail2ban, ki se yon fondasyon ki ka toujou ap kontwole mòso bwa sistèm enfòmasyon pou aksyon repete ak bloke entrigan an pa chanje paramèt firewall yo. Bloke nan yon nivo ki ba pèmèt ou enfim atakè yo nan etap koneksyon IP ak sèvè a. Kidonk, Fail2Ban ka parfe konplete pwoteksyon ki te bati lè l sèvi avèk DoSFilter. Ann chèche konnen ki jan ou ka konekte Fail2Ban ak Zimbra OSE epi kidonk ogmante sekirite enfrastrikti IT antrepriz ou a.
Menm jan ak nenpòt lòt aplikasyon nan klas antrepriz, Zimbra Collaboration Suite Open-Source Edition kenbe mòso detaye sou travay li. Pifò nan yo yo estoke nan katab la /opt/zimbra/log/ nan fòm dosye yo. Men jis kèk nan yo:
- mailbox.log — Jounal sèvis lapòs Jetty
- audit.log - mòso bwa otantifikasyon
- clamd.log - mòso bwa operasyon antivirus
- freshclam.log - mòso aktyalizasyon antivirus
- convertd.log — mòso bwa konvètisè atachman
- zimbrastats.csv - mòso bwa pèfòmans sèvè
Ou ka jwenn mòso bwa Zimbra tou nan dosye a /var/log/zimbra.log, kote mòso bwa Postfix ak Zimbra tèt li yo kenbe.
Nan lòd pwoteje sistèm nou an kont fòs brital, nou pral kontwole mailbox.log, odit.log и zimbra.log.
Pou tout bagay travay, li nesesè pou Fail2Ban ak iptables yo enstale sou sèvè ou a ak Zimbra OSE. Si w ap itilize Ubuntu, ou ka fè sa lè l sèvi avèk kòmandman yo dpkg -s fail2ban, si ou itilize CentOS, ou ka tcheke sa a lè l sèvi avèk kòmandman yo yum list enstale fail2ban. Si ou pa gen Fail2Ban enstale, Lè sa a, enstale li pa pral yon pwoblèm, paske pake sa a disponib nan prèske tout depo estanda.
Yon fwa tout lojisyèl ki nesesè yo enstale, ou ka kòmanse mete kanpe Fail2Ban. Pou fè sa, ou bezwen kreye yon dosye konfigirasyon /etc/fail2ban/filter.d/zimbra.conf, nan ki nou pral ekri ekspresyon regilye pou mòso bwa Zimbra OSE ki pral matche ak tantativ koneksyon kòrèk epi deklanche mekanis Fail2Ban. Men yon egzanp sa ki nan zimbra.conf ak yon seri ekspresyon regilye ki koresponn ak divès erè Zimbra OSE voye lè yon tantativ otantifikasyon echwe:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Yon fwa ke ekspresyon regilye yo pou Zimbra OSE yo te konpile, li lè yo kòmanse modifye konfigirasyon an nan Fail2ban tèt li. Anviwònman sèvis piblik sa a sitiye nan dosye a /etc/fail2ban/jail.conf. Jis nan ka, se pou yo fè yon kopi backup nan li lè l sèvi avèk lòd la cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Apre sa, nou pral redwi dosye sa a apeprè fòm sa a:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Malgre ke egzanp sa a se byen jenerik, li toujou vo eksplike kèk nan paramèt yo ke ou ka vle chanje lè w ap enstale Fail2Ban tèt ou:
- Ignorep — lè l sèvi avèk paramèt sa a ou ka presize yon IP espesifik oswa yon subnet ki soti nan ki Fail2Ban pa ta dwe tcheke adrès. Kòm yon règ, rezo a entèn nan antrepriz la ak lòt adrès ou fè konfyans yo ajoute nan lis la nan yo inyore.
- Bantime — Tan pou delenkan an pral entèdi. Mezire an segonn. Yon valè -1 vle di yon entèdiksyon pèmanan.
- Maxretry — Kantite maksimòm fwa yon adrès IP ka eseye jwenn aksè nan sèvè a.
- sendmail — Yon anviwònman ki pèmèt ou otomatikman voye notifikasyon imel lè Fail2Ban deklanche.
- Findtime — Yon anviwònman ki pèmèt ou fikse entèval tan apre adrès IP la ka eseye jwenn aksè nan sèvè a ankò apre kantite maksimòm tantativ san siksè yo fin itilize (paramèt maxretry)
Apre sove fichye a ak anviwònman Fail2Ban, tout sa ki rete se rekòmanse sèvis piblik sa a lè l sèvi avèk lòd la. sèvis fail2ban rekòmanse. Apre rekòmanse a, prensipal mòso bwa Zimbra yo ap kòmanse toujou ap kontwole pou konfòmite ak ekspresyon regilye yo. Mèsi a sa a, administratè a pral kapab nòmalman elimine nenpòt posibilite pou yon atakè penetre non sèlman bwat lèt Zimbra Collaboration Suite Open-Source Edition, men tou, pwoteje tout sèvis ki kouri nan Zimbra OSE, epi tou li dwe okouran de nenpòt tantativ jwenn aksè san otorizasyon. .
Pou tout kesyon ki gen rapò ak Zextras Suite, ou ka kontakte Reprezantan Zextras Ekaterina Triandafilidi pa imel. [imèl pwoteje]
Sous: www.habr.com