ProHoster > Блог > Administrasi > Nglindhungi Zimbra OSE saka brute force lan serangan DoS

Nglindhungi Zimbra OSE saka brute force lan serangan DoS

Zimbra Collaboration Suite Open-Source Edition nduweni sawetara alat sing kuat kanggo njamin keamanan informasi. Antarane wong-wong mau Postscreen - solusi kanggo nglindhungi server mail saka serangan saka botnet, ClamAV - antivirus sing bisa mindai file lan layang sing mlebu kanggo infeksi karo program jahat, uga SpamAssassin - salah sawijining saringan spam paling apik saiki. Nanging, alat kasebut ora bisa nglindhungi Zimbra OSE saka serangan brute force. Ora sandhi sing paling elegan, nanging isih cukup efektif, brute-meksa nggunakake kamus khusus, ora mung ana kemungkinan hacking sing sukses karo kabeh akibat, nanging uga kanthi nggawe beban sing signifikan ing server, sing ngolah kabeh. gagal nyoba hack server karo Zimbra OSE.

Nglindhungi Zimbra OSE saka brute force lan serangan DoS

Ing asas, sampeyan bisa nglindhungi dhewe saka brute force nggunakake alat Zimbra OSE standar. Setelan kabijakan keamanan sandhi ngidini sampeyan nyetel jumlah upaya entri tembung sandhi sing ora kasil, sawise akun sing bisa diserang bakal diblokir. Masalah utama karo pendekatan iki yaiku kahanan sing kedadeyan nalika akun siji utawa luwih karyawan bisa diblokir amarga serangan brute force sing ora ana apa-apa, lan wektu kerja karyawan bisa nyebabake kerugian gedhe. perusahaan. Mulane luwih becik ora nggunakake pilihan perlindungan iki marang kekuwatan kasar.

Nglindhungi Zimbra OSE saka brute force lan serangan DoS

Kanggo nglindhungi saka pasukan kasar, alat khusus sing diarani DoSFilter luwih cocog, sing dibangun ing Zimbra OSE lan bisa kanthi otomatis mungkasi sambungan menyang Zimbra OSE liwat HTTP. Ing tembung liyane, prinsip operasi DoSFilter padha karo prinsip operasi PostScreen, mung digunakake kanggo protokol sing beda. Originally dirancang kanggo matesi jumlah tumindak pangguna siji bisa nindakake, DoSFilter uga bisa nyedhiyani pangayoman brute force. Bentenane utama saka alat sing dibangun ing Zimbra yaiku sawise sawetara upaya sing gagal, ora ngalangi pangguna kasebut dhewe, nanging alamat IP saka pirang-pirang upaya kanggo mlebu menyang akun tartamtu. Thanks kanggo iki, administrator sistem ora mung bisa nglindhungi saka pasukan kasar, nanging uga supaya ngalangi karyawan perusahaan kanthi mung nambah jaringan internal perusahaan menyang dhaptar alamat IP dipercaya lan subnets.

Kauntungan gedhe saka DoSFilter yaiku saliyane akeh upaya kanggo mlebu menyang akun tartamtu, nggunakake alat iki, sampeyan bisa kanthi otomatis mblokir panyerang sing njupuk data otentikasi karyawan, banjur kasil mlebu menyang akun kasebut lan wiwit ngirim atusan panjaluk. menyang server.

Sampeyan bisa ngatur DoSFilter nggunakake printah console ing ngisor iki:

  • zimbraHttpDosFilterMaxRequestsPerSec - Nggunakake printah iki, sampeyan bisa nyetel jumlah maksimum sambungan sing diijini kanggo pangguna siji. Kanthi gawan Nilai iki 30 sambungan.
  • zimbraHttpDosFilterDelayMillis - Nggunakake printah iki, sampeyan bisa nyetel wektu tundha ing milliseconds kanggo sambungan sing bakal ngluwihi watesan kasebut dening printah sadurungé. Saliyane nilai integer, administrator bisa nemtokake 0, supaya ora ana wektu tundha, lan -1, supaya kabeh sambungan sing ngluwihi wates sing ditemtokake mung diganggu. Nilai standar yaiku -1.
  • zimbraHttpThrottleSafeIPs - Nggunakake printah iki, administrator bisa nemtokake alamat IP dipercaya lan subnets sing ora bakal tundhuk watesan ing ndhuwur. Elinga yen sintaks printah iki bisa beda-beda gumantung saka asil sing dikarepake. Dadi, contone, kanthi ngetik printah zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, sampeyan bakal nimpa kabeh dhaptar lan ninggalake mung siji alamat IP ing. Yen sampeyan ngetik printah zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, alamat IP sing sampeyan lebokake bakal ditambahake menyang dhaptar putih. Kajaba iku, nggunakake tandha subtraction, sampeyan bisa mbusak IP saka dhaptar sing diidini.

Elinga yen DoSFilter bisa nggawe sawetara masalah nalika nggunakake ekstensi Zextras Suite Pro. Kanggo ngindhari, disaranake nambah jumlah sambungan simultan saka 30 dadi 100 nggunakake perintah kasebut zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Kajaba iku, disaranake nambahake jaringan internal perusahaan menyang dhaptar sing diidini. Iki bisa ditindakake kanthi nggunakake printah zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Sawise nggawe owah-owahan ing DoSFilter, priksa manawa sampeyan miwiti maneh server email kanthi nggunakake printah kasebut zmmailboxdctl miwiti maneh.

Kerugian utama DoSFilter yaiku bisa digunakake ing tingkat aplikasi lan mulane mung bisa mbatesi kemampuan panyerang kanggo nindakake macem-macem tumindak ing server, tanpa mbatesi kemampuan kanggo nyambung menyang sisih lor. Amarga iki, panjalukan sing dikirim menyang server kanggo otentikasi utawa ngirim layang, sanajan bakal gagal, isih bakal makili serangan DoS lawas sing apik, sing ora bisa mandheg ing tingkat sing dhuwur.

Kanggo ngamanake server perusahaan kanthi lengkap karo Zimbra OSE, sampeyan bisa nggunakake solusi kayata Fail2ban, yaiku kerangka sing bisa terus-terusan ngawasi log sistem informasi kanggo tumindak sing bola-bali lan mblokir penyusup kanthi ngganti setelan firewall. Pamblokiran ing tingkat sing kurang ngidini sampeyan mateni panyerang ing tahap sambungan IP menyang server. Dadi, Fail2Ban bisa nglengkapi proteksi sing dibangun kanthi nggunakake DoSFilter. Ayo goleki carane sampeyan bisa nyambungake Fail2Ban karo Zimbra OSE lan kanthi mangkono nambah keamanan infrastruktur IT perusahaan sampeyan.

Kaya aplikasi kelas perusahaan liyane, Zimbra Collaboration Suite Open-Source Edition nyimpen cathetan rinci babagan karyane. Umume disimpen ing folder kasebut /opt/zimbra/log/ ing wangun file. Ing ngisor iki mung sawetara:

  • mailbox.log - Log layanan mail Jetty
  • audit.log - log bukti asli
  • clamd.log - log operasi antivirus
  • freshclam.log - log nganyari antivirus
  • convertd.log - log konverter lampiran
  • zimbrastats.csv - log kinerja server

Log Zimbra uga bisa ditemokake ing file kasebut /var/log/zimbra.log, ing ngendi log Postfix lan Zimbra dhewe disimpen.

Kanggo nglindhungi sistem kita saka pasukan kasar, kita bakal ngawasi kothak layang.log, audit.log и zimbra.log.

Supaya kabeh bisa digunakake, Fail2Ban lan iptables kudu diinstal ing server sampeyan karo Zimbra OSE. Yen sampeyan nggunakake Ubuntu, sampeyan bisa nindakake iki nggunakake printah dpkg -s fail2ban, yen sampeyan nggunakake CentOS, sampeyan bisa mriksa iki nggunakake printah dhaftar yum diinstal fail2ban. Yen sampeyan ora duwe Fail2Ban diinstal, banjur nginstal ora masalah, amarga paket iki kasedhiya ing meh kabeh repositori standar.

Sawise kabeh piranti lunak sing dibutuhake wis diinstal, sampeyan bisa miwiti nyetel Fail2Ban. Kanggo nindakake iki, sampeyan kudu nggawe file konfigurasi /etc/fail2ban/filter.d/zimbra.conf, ing ngendi kita bakal nulis ekspresi reguler kanggo log Zimbra OSE sing bakal cocog karo upaya login sing salah lan micu mekanisme Fail2Ban. Iki minangka conto isi zimbra.conf kanthi sakumpulan ekspresi reguler sing cocog karo macem-macem kesalahan sing ditindakake Zimbra OSE nalika nyoba otentikasi gagal:

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

Sawise ekspresi reguler kanggo Zimbra OSE wis dikompilasi, wektune kanggo miwiti nyunting konfigurasi Fail2ban dhewe. Setelan sarana iki dumunung ing file /etc/fail2ban/jail.conf. Yen ngono, ayo gawe salinan serep nggunakake perintah kasebut cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Sawisé iku, kita bakal ngurangi file iki kanggo kira-kira wangun ing ngisor iki:

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

Senajan conto iki cukup umum, iku isih worth nerangake sawetara paramèter sing sampeyan pengin ngganti nalika nyetel Fail2Ban dhewe:

  • Ignoreip - nggunakake parameter iki sampeyan bisa nemtokake ip utawa subnet tartamtu saka ngendi Fail2Ban ora kudu mriksa alamat. Biasane, jaringan internal perusahaan lan alamat dipercaya liyane ditambahake menyang dhaptar sing ora digatekake.
  • Bantime - Wektu sing nglanggar bakal dilarang. Diukur ing detik. Nilai -1 tegese larangan permanen.
  • Maxretry — Jumlah maksimum kaping siji alamat IP bisa nyoba kanggo ngakses server.
  • ngirim mail - Setelan sing ngidini sampeyan ngirim kabar email kanthi otomatis nalika Fail2Ban dipicu.
  • Wektu golek - Setelan sing ngidini sampeyan nyetel interval wektu sawise alamat IP bisa nyoba ngakses server maneh sawise jumlah maksimum upaya sing ora kasil wis kesel (parameter maxretry)

Sawise nyimpen file nganggo setelan Fail2Ban, sing isih ana yaiku miwiti maneh sarana iki kanthi nggunakake printah layanan fail2ban miwiti maneh. Sawise miwiti maneh, log Zimbra utama bakal terus dipantau kanggo tundhuk karo ekspresi reguler. Thanks kanggo iki, administrator bakal bisa ngilangi kemungkinan panyerang sing ora mung nembus kothak layang Zimbra Collaboration Suite Open-Source Edition, nanging uga nglindhungi kabeh layanan sing mlaku ing Zimbra OSE, lan uga ngerti babagan upaya kanggo entuk akses sing ora sah. .

Kanggo kabeh pitakonan sing ana gandhengane karo Zextras Suite, sampeyan bisa ngubungi Perwakilan Zextras Ekaterina Triandafilidi liwat email. [email dilindhungi]

Source: www.habr.com

Add a comment