Zimbra Collaboration Suite Open-Source Edition hefur nokkur öflug verkfæri til að tryggja upplýsingaöryggi. Meðal þeirra - lausn til að vernda póstþjón fyrir árásum frá botnetum, ClamAV - vírusvörn sem getur skannað innkomnar skrár og bréf fyrir sýkingu með skaðlegum forritum, sem og - ein besta ruslpóstsían í dag. Hins vegar geta þessi tól ekki verndað Zimbra OSE fyrir árásum árásarmanna. Ekki glæsilegustu, en samt alveg áhrifaríkustu, hrottafengna lykilorðin með því að nota sérstaka orðabók, eru ekki aðeins full af líkum á farsælum reiðhestur með öllum afleiðingum þess, heldur einnig með því að skapa verulegt álag á netþjóninn, sem vinnur allt misheppnaðar tilraunir til að hakka netþjón með Zimbra OSE.
Í grundvallaratriðum geturðu verndað þig gegn ofbeldi með því að nota staðlaða Zimbra OSE verkfæri. Stillingar lykilorðaöryggisstefnunnar gera þér kleift að stilla fjölda misheppnaðar tilrauna til að slá inn lykilorð, eftir það er lokað á reikninginn sem hugsanlega er ráðist á. Helsta vandamálið við þessa nálgun er að þær aðstæður koma upp þar sem reikningar eins eða fleiri starfsmanna geta verið lokaðir vegna árásar sem þeir hafa ekkert að gera, og niðurtími í vinnu starfsmanna sem af þessu leiðir getur valdið miklu tapi. fyrirtækið. Þess vegna er best að nota ekki þennan valmöguleika til verndar gegn ofbeldi.
Til að verjast grimmdarkrafti hentar mun betur sérstakt tól sem kallast DoSFilter sem er innbyggt í Zimbra OSE og getur sjálfkrafa slitið tengingunni við Zimbra OSE í gegnum HTTP. Með öðrum orðum, rekstrarreglan DoSFilter er svipuð og rekstrarreglan PostScreen, aðeins hún er notuð fyrir aðra samskiptareglur. Upphaflega hannað til að takmarka fjölda aðgerða sem einn notandi getur framkvæmt, DoSFilter getur einnig veitt brute force vernd. Lykilmunurinn á því frá tólinu sem er innbyggt í Zimbra er að eftir ákveðinn fjölda misheppnaðra tilrauna lokar það ekki á notandann sjálfan heldur IP töluna sem margar tilraunir eru gerðar til að skrá sig inn á tiltekinn reikning frá. Þökk sé þessu getur kerfisstjóri ekki aðeins verndað gegn ofbeldi heldur einnig forðast að loka á starfsmenn fyrirtækisins með því einfaldlega að bæta innra neti fyrirtækis síns á listann yfir traust IP-tölur og undirnet.
Stóri kosturinn við DoSFilter er að auk margra tilrauna til að skrá þig inn á tiltekinn reikning, með því að nota þetta tól geturðu sjálfkrafa lokað á þá árásarmenn sem tóku auðkenningargögn starfsmanns og skráðu sig síðan inn á reikninginn hans og fóru að senda hundruð beiðna. til netþjónsins.
Þú getur stillt DoSFilter með því að nota eftirfarandi stjórnborðsskipanir:
- zimbraHttpDosFilterMaxRequestsPerSec — Með þessari skipun geturðu stillt hámarksfjölda tenginga sem leyfður er fyrir einn notanda. Sjálfgefið er þetta gildi 30 tengingar.
- zimbraHttpDosFilterDelayMillis - Með því að nota þessa skipun geturðu stillt seinkun í millisekúndum fyrir tengingar sem fara yfir mörkin sem tilgreind voru í fyrri skipun. Auk heiltölugilda getur stjórnandinn tilgreint 0, þannig að það sé engin töf, og -1, þannig að allar tengingar sem fara yfir tilgreind mörk eru einfaldlega rofin. Sjálfgefið gildi er -1.
- zimbraHttpThrottleSafeIPs — Með því að nota þessa skipun getur stjórnandinn tilgreint traust IP-tölur og undirnet sem ekki verða háð takmörkunum sem taldar eru upp hér að ofan. Athugaðu að setningafræði þessarar skipunar getur verið breytileg eftir því hvaða niðurstöðu þú vilt. Svo, til dæmis, með því að slá inn skipunina zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, þú munt skrifa yfir allan listann alveg og skilja aðeins eftir eina IP tölu í honum. Ef þú slærð inn skipunina zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, IP-tölu sem þú slóst inn verður bætt við hvíta listann. Á sama hátt, með því að nota frádráttarmerkið, geturðu fjarlægt hvaða IP sem er af leyfilegum lista.
Vinsamlegast athugaðu að DoSFilter gæti skapað fjölda vandamála þegar þú notar Zextras Suite Pro viðbætur. Til að forðast þær mælum við með því að fjölga samtímis tengingum úr 30 í 100 með skipuninni zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Að auki mælum við með því að bæta innra neti fyrirtækisins við listann yfir leyfilegt. Þetta er hægt að gera með því að nota skipunina zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Eftir að hafa gert einhverjar breytingar á DoSFilter, vertu viss um að endurræsa póstþjóninn þinn með skipuninni zmmailboxdctl endurræsa.
Helsti ókosturinn við DoSFilter er að hann virkar á forritastigi og getur því aðeins takmarkað möguleika árásarmanna til að framkvæma ýmsar aðgerðir á þjóninum, án þess að takmarka möguleika á að tengjast norður. Vegna þessa munu beiðnir sem sendar eru til þjónsins um auðkenningu eða sendingu bréfa, þó þær muni augljóslega mistakast, samt tákna gamla góða DoS árás, sem ekki er hægt að stöðva á svo háu stigi.
Til þess að tryggja algjörlega fyrirtækjaþjóninn þinn með Zimbra OSE geturðu notað lausn eins og Fail2ban, sem er rammi sem getur stöðugt fylgst með upplýsingakerfisskrám fyrir endurteknar aðgerðir og hindrað boðflenna með því að breyta eldveggstillingum. Lokun á svo lágu stigi gerir þér kleift að slökkva á árásarmönnum strax á stigi IP-tengingar við netþjóninn. Þannig getur Fail2Ban fullkomlega bætt við verndina sem byggð er með DoSFilter. Við skulum komast að því hvernig þú getur tengt Fail2Ban við Zimbra OSE og þar með aukið öryggi upplýsingatækniinnviða fyrirtækisins.
Eins og öll önnur forrit í fyrirtækjaflokki heldur Zimbra Collaboration Suite Open-Source Edition ítarlegar skrár yfir vinnu sína. Flest þeirra eru geymd í möppunni /opt/zimbra/log/ í formi skráa. Hér eru aðeins nokkrar af þeim:
- mailbox.log — þjónustuskrár bryggjupósts
- audit.log - auðkenningarskrár
- clamd.log — vírusvarnaraðgerðaskrár
- freshclam.log - vírusvarnaruppfærsluskrár
- convertd.log — viðhengi breytir logs
- zimbrastats.csv - frammistöðuskrár netþjóns
Zimbra logs má einnig finna í skránni /var/log/zimbra.log, þar sem annálar um Postfix og Zimbra sjálfa eru geymdar.
Til þess að vernda kerfið okkar fyrir ofbeldi, munum við fylgjast með mailbox.log, endurskoðun.log и zimbra.log.
Til þess að allt virki er nauðsynlegt að Fail2Ban og iptables séu sett upp á netþjóninum þínum með Zimbra OSE. Ef þú ert að nota Ubuntu geturðu gert þetta með skipunum dpkg -s fail2ban, ef þú notar CentOS geturðu athugað þetta með skipunum yum listi uppsettur fail2ban. Ef þú ert ekki með Fail2Ban uppsett, þá mun það ekki vera vandamál að setja það upp, þar sem þessi pakki er fáanlegur í næstum öllum venjulegum geymslum.
Þegar allur nauðsynlegur hugbúnaður hefur verið settur upp geturðu byrjað að setja upp Fail2Ban. Til að gera þetta þarftu að búa til stillingarskrá /etc/fail2ban/filter.d/zimbra.conf, þar sem við munum skrifa reglulegar tjáningar fyrir Zimbra OSE logs sem passa við rangar innskráningartilraunir og kveikja á Fail2Ban aðferðum. Hér er dæmi um innihald zimbra.conf með mengi reglulegra segða sem samsvara hinum ýmsu villum sem Zimbra OSE kastar þegar auðkenningartilraun mistekst:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Þegar reglulegu tjáningarnar fyrir Zimbra OSE hafa verið teknar saman er kominn tími til að byrja að breyta uppsetningu Fail2ban sjálfs. Stillingar þessa tóls eru staðsettar í skránni /etc/fail2ban/jail.conf. Bara ef við á, skulum taka öryggisafrit af því með því að nota skipunina cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Eftir það munum við minnka þessa skrá í um það bil eftirfarandi form:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Þó að þetta dæmi sé frekar almennt, þá er samt þess virði að útskýra nokkrar af þeim breytum sem þú gætir viljað breyta þegar þú setur upp Fail2Ban sjálfur:
- Ignoreip — með því að nota þessa breytu geturðu tilgreint tiltekið ip eða undirnet sem Fail2Ban ætti ekki að athuga vistföng frá. Að jafnaði er innra neti fyrirtækisins og önnur traust heimilisföng bætt við listann yfir hunsuð.
- Bantime — Tíminn sem brotamaðurinn verður settur í bann. Mælt í sekúndum. Gildið -1 þýðir varanlegt bann.
- Maxretry — Hámarksfjöldi skipta sem eitt IP-tala getur reynt að fá aðgang að þjóninum.
- Senda póst — Stilling sem gerir þér kleift að senda tölvupósttilkynningar sjálfkrafa þegar Fail2Ban er ræst.
- Findtime — Stilling sem gerir þér kleift að stilla tímabilið eftir að IP-talan getur reynt að fá aðgang að þjóninum aftur eftir að hámarksfjöldi misheppnaðar tilrauna hefur verið uppurinn (maxretry færibreyta)
Eftir að þú hefur vistað skrána með Fail2Ban stillingunum, er allt sem eftir er að endurræsa þetta tól með skipuninni þjónusta fail2ban endurræsa. Eftir endurræsingu verður stöðugt fylgst með helstu Zimbra annálum til að fylgjast með reglulegum tjáningum. Þökk sé þessu mun stjórnandinn geta nánast útrýmt öllum möguleikum á að árásarmaður komist ekki aðeins inn í Zimbra Collaboration Suite Open-Source Edition pósthólf, heldur einnig verndað alla þjónustu sem keyrir innan Zimbra OSE, og einnig verið meðvitaður um allar tilraunir til að fá óviðkomandi aðgang. .
Fyrir allar spurningar sem tengjast Zextras Suite geturðu haft samband við fulltrúa Zextras Ekaterina Triandafilidi með tölvupósti [netvarið]
Heimild: www.habr.com