Zimbra OSEをブルートフォース攻撃やDoS攻撃から保護する

Zimbra Collaboration Suite オープンソース エディションには、情報セキュリティを確保するための強力なツールがいくつか含まれています。その中で ポストスクリーン - ボットネットからの攻撃からメール サーバーを保護するソリューション、ClamAV - 受信したファイルや手紙をスキャンして悪意のあるプログラムに感染していないかどうかをスキャンできるウイルス対策ツール SpamAssassinの - 現在最高のスパムフィルターの XNUMX つ。ただし、これらのツールは Zimbra OSE をブルート フォース攻撃から保護することはできません。特別な辞書を使用した、最も洗練されたものではありませんが、非常に効果的な総当たりパスワードは、ハッキングが成功してその後のあらゆる結果をもたらす可能性を伴うだけでなく、すべての処理を行うサーバーに多大な負荷がかかるという問題も伴います。 Zimbra OSEを使用してサーバーをハッキングしようとして失敗しました。

原則として、標準の Zimbra OSE ツールを使用してブルート フォースから身を守ることができます。パスワード セキュリティ ポリシー設定では、パスワード入力の失敗回数を設定できます。この回数を超えると、攻撃された可能性のあるアカウントがブロックされます。このアプローチの主な問題は、XNUMX 人または複数の従業員が無関係なブルート フォース攻撃によりアカウントがブロックされる可能性がある状況が発生し、その結果生じる従業員の業務のダウンタイムが大きな損失をもたらす可能性があることです。会社。このため、ブルート フォースに対する保護のこのオプションは使用しないことが最善です。

ブルートフォースから保護するには、Zimbra OSE に組み込まれており、HTTP 経由で Zimbra OSE への接続を自動的に終了できる DoSFilter と呼ばれる特別なツールの方が適しています。言い換えれば、DoSFilter の動作原理は PostScreen の動作原理と似ていますが、異なるプロトコルで使用されるだけです。 DoSFilter は元々、XNUMX 人のユーザーが実行できるアクションの数を制限するように設計されていましたが、ブルート フォース保護も提供できます。 Zimbra に組み込まれているツールとの主な違いは、一定回数の試行が失敗すると、ユーザー自身をブロックするのではなく、特定のアカウントへのログインを複数回試行する IP アドレスをブロックすることです。このおかげで、システム管理者はブルート フォースから保護できるだけでなく、会社の内部ネットワークを信頼できる IP アドレスとサブネットのリストに追加するだけで、従業員のブロックを回避することもできます。

DoSFilter の大きな利点は、特定のアカウントへのログインを何度も試行することに加えて、このツールを使用すると、従業員の認証データを取得し、そのアカウントへのログインに成功して数百のリクエストの送信を開始した攻撃者を自動的にブロックできることです。サーバーに。

次のコンソール コマンドを使用して DoSFilter を設定できます。

• zimbraHttpDosFilterMaxRequestsPerSec — このコマンドを使用すると、30 人のユーザーに許可される最大接続数を設定できます。デフォルトでは、この値は XNUMX 接続です。
• ジンブラHttpDosフィルター遅延ミリス - このコマンドを使用すると、前のコマンドで指定した制限を超える接続の遅延をミリ秒単位で設定できます。管理者は、整数値に加えて、遅延がまったくないように 0 を指定したり、指定された制限を超えるすべての接続が単純に中断されるように -1 を指定したりできます。デフォルト値は -1 です。
• ジンブラHttpスロットルセーフIP — このコマンドを使用すると、管理者は上記の制限の影響を受けない信頼できる IP アドレスとサブネットを指定できます。このコマンドの構文は、目的の結果に応じて異なる場合があることに注意してください。たとえば、次のコマンドを入力すると、 zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1を選択すると、リスト全体が完全に上書きされ、IP アドレスが XNUMX つだけ残ります。コマンドを入力すると zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, 入力した IP アドレスがホワイト リストに追加されます。同様に、減算記号を使用すると、許可リストから IP を削除できます。

Zextras Suite Pro 拡張機能を使用する場合、DoSFilter によって多くの問題が発生する可能性があることに注意してください。これらを回避するには、次のコマンドを使用して同時接続数を 30 から 100 に増やすことをお勧めします。 zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100。さらに、企業の内部ネットワークを許可されたネットワークのリストに追加することをお勧めします。これはコマンドを使用して実行できます zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24。 DoSFilter に変更を加えた後は、必ず次のコマンドを使用してメール サーバーを再起動してください。 zmmailboxdctlの再起動.

DoSFilter の主な欠点は、DoSFilter がアプリケーション レベルで動作するため、北への接続能力は制限されず、攻撃者がサーバー上でさまざまなアクションを実行する能力のみを制限できることです。このため、認証やレターの送信のためにサーバーに送信されるリクエストは、明らかに失敗しますが、依然として古き良き DoS 攻撃に相当し、これをそのような高いレベルで阻止することはできません。

Zimbra OSE で企業サーバーを完全に保護するには、Fail2ban などのソリューションを使用できます。Fail2ban は、情報システムのログで繰り返されるアクションを常に監視し、ファイアウォールの設定を変更して侵入者をブロックできるフレームワークです。このような低レベルでのブロックにより、サーバーへの IP 接続の段階で攻撃者を無効にすることができます。したがって、Fail2Ban は、DoSFilter を使用して構築された保護を完全に補完できます。 FailXNUMXBan を Zimbra OSE に接続して、企業の IT インフラストラクチャのセキュリティを強化する方法を見てみましょう。

他のエンタープライズクラスのアプリケーションと同様に、Zimbra Collaboration Suite オープンソース エディションは、その作業の詳細なログを保持します。ほとんどはフォルダに保存されています /opt/ジンブラ/ログ/ ファイルの形式で。ここではそのうちのほんの一部を紹介します。

• mailbox.log — Jetty メール サービスのログ
• Audit.log - 認証ログ
• clamd.log — ウイルス対策操作のログ
• freshclam.log - ウイルス対策アップデートのログ
• Convertd.log — 添付ファイルコンバーターのログ
• zimbrastats.csv - サーバーのパフォーマンス ログ

Zimbra ログもファイル内にあります。 /var/log/zimbra.log、PostfixとZimbra自体のログが保存されます。

システムをブルートフォースから守るために、 メールボックス.ログ, 監査ログ и ジンブラ.ログ.

すべてが機能するためには、Fail2Ban と iptables が Zimbra OSE を備えたサーバーにインストールされている必要があります。 Ubuntu を使用している場合は、次のコマンドを使用してこれを行うことができます。 dpkg -s フェイル2バンCentOS を使用している場合は、次のコマンドを使用してこれを確認できます。 yumリストがインストールされましたfail2ban。このパッケージはほぼすべての標準リポジトリで利用できるため、Fail2Ban がインストールされていない場合でも、インストールすることは問題ありません。

必要なソフトウェアがすべてインストールされたら、Fail2Ban のセットアップを開始できます。これを行うには、構成ファイルを作成する必要があります /etc/fail2ban/filter.d/zimbra.confここでは、不正なログイン試行と一致し、Fail2Ban メカニズムをトリガーする Zimbra OSE ログの正規表現を記述します。以下は、認証試行が失敗したときに Zimbra OSE がスローするさまざまなエラーに対応する一連の正規表現を含む zimbra.conf の内容の例です。

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

Zimbra OSE の正規表現がコンパイルされたら、Fail2ban 自体の設定の編集を開始します。このユーティリティの設定は次のファイルにあります。 /etc/fail2ban/jail.conf。念のため、コマンドを使用してバックアップコピーを作成しましょう cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak。その後、このファイルをほぼ次の形式に縮小します。

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

この例は非常に一般的ですが、Fail2Ban を自分で設定するときに変更する必要があるパラメーターのいくつかについて説明する価値はあります。

• 無視する — このパラメータを使用すると、Fail2Ban がアドレスをチェックしない特定の IP またはサブネットを指定できます。通常、企業の内部ネットワークおよびその他の信頼できるアドレスは、無視されるアドレスのリストに追加されます。
• バンタイム — 違反者が出場停止となる期間。秒単位で測定されます。値 -1 は永久禁止を意味します。
• マックスリトライ — XNUMX つの IP アドレスがサーバーへのアクセスを試行できる最大回数。
• センドメール — Fail2Ban がトリガーされたときに電子メール通知を自動的に送信できるようにする設定。
• ファインドタイム — 試行失敗の最大回数に達した後、IP アドレスがサーバーへのアクセスを再試行できるまでの時間間隔を設定できる設定 (maxretry パラメーター)

Fail2Ban 設定を使用してファイルを保存した後は、次のコマンドを使用してこのユーティリティを再起動するだけです。 サービスfail2banの再起動。再起動後、メインの Zimbra ログは正規表現への準拠について常に監視され始めます。このおかげで、管理者は、攻撃者が Zimbra Collaboration Suite オープンソース エディションのメールボックスに侵入する可能性を実質的に排除できるだけでなく、Zimbra OSE 内で実行されているすべてのサービスを保護し、不正アクセスを取得する試みにも注意することができます。 。

Zextras Suite に関するすべての質問については、Zextras Ekaterina Triandafilidi の代表者に電子メールでお問い合わせください。 [メール保護]

出所： habr.com