Póstsprengjuárásir eru ein elsta tegund netárása. Í kjarna þess líkist það venjulegri DoS árás, aðeins í stað bylgju af beiðnum frá mismunandi IP-tölum er bylgja tölvupósta sendur á netþjóninn, sem berast í miklu magni á eitt af netföngunum, vegna þess að álagið á það hækkar verulega. Slík árás getur leitt til vanhæfni til að nota pósthólfið og getur stundum jafnvel leitt til bilunar á öllum þjóninum. Löng saga þessarar tegundar netárása hefur leitt til fjölda jákvæðra og neikvæðra afleiðinga fyrir kerfisstjóra. Jákvæðir þættir eru meðal annars góð þekking á póstsprengjuárásum og tiltækar einfaldar leiðir til að verjast slíkri árás. Neikvæðar þættir fela í sér fjöldann allan af almenningi tiltækum hugbúnaðarlausnum til að framkvæma þessar tegundir árása og getu árásaraðila til að verja sig á áreiðanlegan hátt gegn uppgötvun.
Mikilvægur eiginleiki þessarar netárásar er að það er nánast ómögulegt að nota hana í hagnaðarskyni. Jæja, árásarmaðurinn sendi bylgju af tölvupósti í eitt af pósthólfunum, tja, hann leyfði viðkomandi ekki að nota tölvupóst á venjulegan hátt, jæja, árásarmaðurinn réðst inn í fyrirtækjapóst einhvers og byrjaði að fjöldasenda þúsundir bréfa um allt GAL, sem er hvers vegna þjónninn annað hvort hrundi eða fór að hægja á sér þannig að það varð ómögulegt að nota hann og hvað næst? Það er nánast ómögulegt að breyta slíkum netglæpum í alvöru peninga, þannig að einfaldlega póstsprengjuárásir eru frekar sjaldgæfar í augnablikinu og kerfisstjórar, þegar þeir hanna innviði, muna einfaldlega ekki eftir þörfinni á að verjast slíkri netárás.
Hins vegar, þó að sprengja í tölvupósti sjálft sé frekar tilgangslaus æfing frá viðskiptalegu sjónarmiði, þá er það oft hluti af öðrum, flóknari og fjölþrepa netárásum. Til dæmis, þegar þeir eru að hakka póst og nota hann til að ræna reikningi í einhverri almannaþjónustu, „sprengja“ árásarmenn oft pósthólf fórnarlambsins með tilgangslausum bréfum þannig að staðfestingarbréfið týnist í straumi þeirra og fer óséður. Póstsprengjuárásir geta einnig verið notaðar sem efnahagsleg þrýstingur á fyrirtæki. Þannig getur virkt sprengjuárás á opinbert pósthólf fyrirtækis, sem tekur við beiðnum frá viðskiptavinum, flækt vinnuna við þá verulega og getur þar af leiðandi leitt til stöðvunar á búnaði, óuppfylltar pantanir, auk mannorðsmissis og tapaðs hagnaðar.
Þess vegna ætti kerfisstjórinn ekki að gleyma líkunum á sprengjuárás í tölvupósti og gera alltaf nauðsynlegar ráðstafanir til að verjast þessari ógn. Með hliðsjón af því að þetta er hægt að gera á því stigi að byggja upp póstinnviðina, og einnig að það tekur mjög lítinn tíma og vinnu frá kerfisstjóranum, þá eru einfaldlega engar málefnalegar ástæður fyrir því að veita innviðum þínum ekki vernd gegn póstsprengjum. Við skulum skoða hvernig vernd gegn þessari netárás er útfærð í Zimbra Collaboration Suite Open-Source Edition.
Zimbra er byggt á Postfix, einum áreiðanlegasta og virkasta opna póstflutningsmiðlinum sem til er í dag. Og einn helsti kosturinn við hreinskilni þess er að hann styður margs konar lausnir frá þriðja aðila til að auka virkni. Sérstaklega styður Postfix að fullu cbpolicyd, háþróað tól til að tryggja netöryggi póstþjóna. Til viðbótar við ruslpóstvörn og stofnun hvítlista, svarta lista og grálista, gerir cbpolicyd Zimbra stjórnanda kleift að stilla SPF undirskriftarstaðfestingu, auk þess að setja takmarkanir á móttöku og sendingu tölvupósts eða gagna. Þeir geta bæði veitt áreiðanlega vörn gegn ruslpósti og vefveiðum og verndað netþjóninn gegn sprengjuárásum í tölvupósti.
Það fyrsta sem þarf frá kerfisstjóra er að virkja cbpolicyd eininguna, sem er foruppsett í Zimbra Collaboration Suite OSE á innviða MTA þjóninum. Þetta er gert með því að nota skipunina zmprov ms `zmhostname` +zimbraServiceEnabled cbpolicyd. Eftir þetta þarftu að virkja vefviðmótið til að geta stjórnað cbpolicyd á þægilegan hátt. Til að gera þetta þarftu að leyfa tengingar á vefgátt númer 7780, búa til táknrænan tengil með skipuninni ln -s /opt/zimbra/common/share/webui /opt/zimbra/data/httpd/htdocs/webui, og breyttu síðan stillingaskránni með því að nota nano skipunina /opt/zimbra/data/httpd/htdocs/webui/includes/config.php, þar sem þú þarft að skrifa eftirfarandi línur:
$DB_DSN="sqlite:/opt/zimbra/data/cbpolicyd/db/cbpolicyd.sqlitedb";
$DB_USER="rót";
$DB_TABLE_PREFIX="";
Eftir þetta er allt sem eftir er að endurræsa Zimbra og Zimbra Apache þjónustuna með því að nota zmcontrol endurræsa og zmapachectl endurræsa skipanirnar. Eftir þetta hefurðu aðgang að vefviðmótinu kl :7780/webui/index.php. Helsta litbrigðið er að inngangur þessa vefviðmóts er ekki enn varinn á nokkurn hátt og til að koma í veg fyrir að óviðkomandi komist inn í hann er einfaldlega hægt að loka tengingum á port 7780 eftir hverja inngöngu í vefviðmótið.
Þú getur verndað þig gegn flóðinu af tölvupósti sem kemur frá innra netinu með því að nota kvóta til að senda tölvupóst, sem hægt er að stilla þökk sé cbpolicyd. Slíkar kvótar gera þér kleift að setja takmörk á hámarksfjölda bréfa sem hægt er að senda úr einu pósthólfi á einni tímaeiningu. Til dæmis, ef viðskiptastjórar þínir senda að meðaltali 60-80 tölvupósta á klukkustund, þá geturðu sett kvóta upp á 100 tölvupósta á klukkustund, að teknu tilliti til lítillar framlegðar. Til þess að ná þessum kvóta verða stjórnendur að senda einn tölvupóst á 36 sekúndna fresti. Annars vegar er þetta nóg til að virka að fullu, og hins vegar, með slíkum kvóta, munu árásarmenn sem hafa fengið aðgang að pósti eins af stjórnendum þínum ekki hefja póstsprengjuárásir eða stórfellda ruslpóstárás á fyrirtækið.
Til þess að setja slíkan kvóta þarf að búa til nýja takmarkanastefnu fyrir sendingu tölvupósts í vefviðmótinu og tilgreina að hún eigi bæði við um bréf sem send eru innan lénsins og bréf sem send eru á ytri netföng. Þetta er gert sem hér segir:
Að þessu loknu er hægt að tilgreina nánar þær takmarkanir sem tengjast sendingu bréfa, sérstaklega stillt á tímabilið þar til takmarkanirnar verða uppfærðar, sem og skilaboðin sem notandi sem hefur farið yfir mörkin fær. Eftir þetta geturðu sett takmörkun á sendingu bréfa. Það er hægt að stilla bæði sem fjölda útgefinna stafa og sem fjölda bæta af sendum upplýsingum. Jafnframt verður að taka öðruvísi á bréfum sem eru send umfram tilgreind mörk. Svo, til dæmis, geturðu einfaldlega eytt þeim strax, eða þú getur vistað þau þannig að þau séu send strax eftir að sendingarmörk skilaboða eru uppfærð. Hægt er að nota seinni valmöguleikann þegar ákvarðað er ákjósanlegt gildi mörkanna fyrir að senda tölvupóst frá starfsmönnum.
Auk takmarkana á sendingu bréfa gerir cbpolicyd þér kleift að setja takmörk á móttöku bréfa. Slík takmörkun, við fyrstu sýn, er frábær lausn til að verjast póstsprengjuárásum, en í raun er það að setja slík takmörk, jafnvel stór, full af þeirri staðreynd að undir vissum kringumstæðum gæti mikilvægt bréf ekki borist þér. Þess vegna er mjög ekki mælt með því að virkja neinar takmarkanir fyrir póst sem berast. Hins vegar, ef þú ákveður samt að taka áhættuna, þarftu að nálgast það að setja mörk móttekinna skilaboða með sérstakri athygli. Til dæmis geturðu takmarkað fjölda móttekinna tölvupósta frá traustum mótaðilum þannig að ef póstþjónn þeirra er í hættu mun hann ekki hefja ruslpóstárás á fyrirtæki þitt.
Til þess að verjast innstreymi skilaboða við póstsprengjuárás ætti kerfisstjórinn að gera eitthvað gáfulegra en að takmarka póstinn. Þessi lausn gæti verið notkun gráa lista. Meginreglan í rekstri þeirra er sú að við fyrstu tilraun til að koma skilaboðum frá óáreiðanlegum sendanda rofnar tengingin við netþjóninn skyndilega, þess vegna mistekst afhending bréfsins. Hins vegar, ef ótraustur miðlari reynir að senda sama bréf aftur á ákveðnu tímabili lokar netþjónninn ekki tengingunni og afhending hans gengur vel.
Tilgangurinn með öllum þessum aðgerðum er að forrit til að senda fjöldapósta sjálfvirkt athuga yfirleitt ekki árangur sendingar skilaboðanna og reyna ekki að senda þau í annað sinn, á meðan einstaklingur mun örugglega ganga úr skugga um hvort bréf hans hafi verið sent til heimilisfangið eða ekki.
Þú getur líka virkjað grálista í cbpolicyd vefviðmótinu. Til þess að allt virki þarftu að búa til stefnu sem myndi innihalda öll bréf sem berast til notenda á netþjóninum okkar og búa síðan til grálistareglu, byggt á þessari stefnu, þar sem þú getur stillt tímabilið sem cbpolicyd mun bíða á meðan fyrir endurtekið svar frá óþekktum sendanda. Venjulega er það 4-5 mínútur. Jafnframt er hægt að stilla gráa lista þannig að allar farsælar og misheppnaðar tilraunir til að koma bréfum frá mismunandi sendendum eru teknar til greina og út frá fjölda þeirra er tekin ákvörðun um að bæta sendanda sjálfkrafa á hvíta eða svarta listann.
Við vekjum athygli á því að notkun gráa lista á að fara fram af fyllstu ábyrgð. Best væri að notkun þessarar tækni haldist í hendur við stöðugt viðhald á hvítum og svörtum lista til að útiloka möguleikann á að tapa tölvupóstum sem eru sannarlega mikilvægir fyrir fyrirtækið.
Að auki getur það að bæta við SPF, DMARC og DKIM athuganir hjálpað til við að vernda gegn sprengjuárásum í tölvupósti. Oft standast bréf sem berast í gegnum póstsprengjuárás ekki slíkar athuganir. Rætt var um hvernig á að gera þetta .
Þannig að vernda þig gegn slíkri ógn eins og tölvupóstsprengjuárás er frekar einfalt og þú getur gert þetta jafnvel á því stigi að byggja upp Zimbra innviði fyrir fyrirtækið þitt. Hins vegar er mikilvægt að tryggja stöðugt að áhættan af notkun slíkrar verndar sé aldrei meiri en ávinningurinn sem þú færð.
Heimild: www.habr.com