Zimbra Collaboration Suite Open-Source Edition ақпараттық қауіпсіздікті қамтамасыз ететін бірнеше қуатты құралдарға ие. Олардың ішінде - пошта серверін ботнеттердің шабуылдарынан қорғауға арналған шешім, ClamAV - зиянды бағдарламалармен жұқтыру үшін кіріс файлдары мен хаттарды сканерлей алатын антивирус, сонымен қатар - бүгінгі таңдағы ең жақсы спам сүзгілерінің бірі. Дегенмен, бұл құралдар Zimbra OSE-ді дөрекі күш шабуылдарынан қорғай алмайды. Арнайы сөздікті пайдалана отырып, ең талғампаз, бірақ әлі де өте тиімді, дөрекі түрде мәжбүрлейтін парольдер барлық салдарымен сәтті бұзу ықтималдығымен ғана емес, сонымен қатар серверде барлығын өңдейтін айтарлықтай жүктемені жасаумен де байланысты. Zimbra OSE көмегімен серверді бұзу әрекеттері сәтсіз болды.
Негізінде стандартты Zimbra OSE құралдарын пайдаланып өзіңізді қатыгез күштен қорғай аласыз. Құпия сөзді қорғау саясатының параметрлері құпия сөзді енгізу сәтсіз әрекеттерінің санын орнатуға мүмкіндік береді, содан кейін ықтимал шабуыл жасалған есептік жазба бұғатталған. Бұл тәсілдің негізгі проблемасы - бір немесе бірнеше қызметкердің шоттары олардың еш қатысы жоқ дөрекі күш шабуылына байланысты бұғатталуы мүмкін жағдайлардың туындауы және қызметкерлердің жұмысындағы тоқтап қалуы үлкен шығындарға әкелуі мүмкін. компания. Сондықтан қатыгез күштен қорғаудың бұл нұсқасын қолданбаған дұрыс.
Қатал күштен қорғау үшін DoSFilter деп аталатын арнайы құрал әлдеқайда қолайлы, ол Zimbra OSE ішіне орнатылған және HTTP арқылы Zimbra OSE қосылымын автоматты түрде тоқтата алады. Басқаша айтқанда, DoSFilter жұмыс принципі PostScreen жұмыс принципіне ұқсас, тек ол басқа протокол үшін қолданылады. Бастапқыда бір пайдаланушы орындай алатын әрекеттер санын шектеу үшін жасалған, DoSFilter сонымен қатар дөрекі күштен қорғауды қамтамасыз ете алады. Оның Zimbra ішіне орнатылған құралдан басты айырмашылығы - белгілі бір сәтсіз әрекеттерден кейін ол пайдаланушының өзін блоктамайды, бірақ белгілі бір тіркелгіге кіруге бірнеше рет әрекеттенетін IP мекенжайы. Осының арқасында жүйелік әкімші тек қана қатыгез күштен қорғап қана қоймайды, сонымен қатар өз компаниясының ішкі желісін сенімді IP мекенжайлары мен ішкі желілер тізіміне қосу арқылы компания қызметкерлерін бұғаттаудан аулақ болады.
DoSFilter-дің үлкен артықшылығы - белгілі бір тіркелгіге кіруге көптеген әрекеттерден басқа, осы құралды пайдалана отырып, сіз қызметкердің аутентификация деректерін иемденген, содан кейін оның тіркелгісіне сәтті кіріп, жүздеген сұрауларды жібере бастаған шабуылдаушыларды автоматты түрде блоктауға болады. серверге.
Келесі консоль пәрмендерін пайдаланып DoSFilter конфигурациялауға болады:
- zimbraHttpDosFilterMaxRequestsPerSec — Бұл пәрменді пайдаланып, бір пайдаланушыға рұқсат етілген қосылымдардың максималды санын орнатуға болады. Әдепкі бойынша бұл мән 30 қосылым болып табылады.
- zimbraHttpDosFilterDelayMillis - Бұл пәрменді пайдаланып, алдыңғы пәрменде көрсетілген шектен асатын қосылымдар үшін кідірісті миллисекундпен орнатуға болады. Бүтін мәндерден басқа, әкімші 0 мәнін көрсете алады, бұл мүлде кідіріс болмайтындай және көрсетілген шектен асатын барлық қосылымдар жай үзілу үшін -1. Әдепкі мән -1.
- zimbraHttpThrottleSafeIPs — Бұл пәрменді пайдалана отырып, әкімші жоғарыда аталған шектеулерге бағынбайтын сенімді IP мекенжайлары мен ішкі желілерді көрсете алады. Бұл пәрменнің синтаксисі қалаған нәтижеге байланысты өзгеруі мүмкін екенін ескеріңіз. Мәселен, мысалы, пәрменді енгізу арқылы zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, сіз бүкіл тізімді толығымен қайта жазасыз және онда тек бір IP мекенжайын қалдырасыз. Егер сіз пәрменді енгізсеңіз zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, сіз енгізген IP мекенжай ақ тізімге қосылады. Сол сияқты, алу белгісін пайдаланып, рұқсат етілген тізімнен кез келген IP-ді жоюға болады.
Zextras Suite Pro кеңейтімдерін пайдалану кезінде DoSFilter бірқатар мәселелер тудыруы мүмкін екенін ескеріңіз. Оларды болдырмау үшін пәрменді пайдаланып бір мезгілде қосылымдар санын 30-дан 100-ге дейін көбейтуді ұсынамыз. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Сонымен қатар, рұқсат етілгендер тізіміне кәсіпорынның ішкі желісін қосуды ұсынамыз. Мұны пәрмен арқылы жасауға болады zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter-ге кез келген өзгертулерді енгізгеннен кейін, пәрменді пайдаланып пошта серверін қайта іске қосуды ұмытпаңыз zmmailboxdctl қайта іске қосыңыз.
DoSFilter негізгі кемшілігі ол қолданбалы деңгейде жұмыс істейді, сондықтан солтүстікке қосылу мүмкіндігін шектемей, шабуылдаушылардың серверде әртүрлі әрекеттерді орындау мүмкіндігін ғана шектей алады. Осыған байланысты серверге аутентификацияға немесе хаттарды жіберуге жіберілген сұраулар, әрине, сәтсіздікке ұшырағанымен, әлі де жақсы ескі DoS шабуылын көрсетеді, оны мұндай жоғары деңгейде тоқтату мүмкін емес.
Zimbra OSE көмегімен корпоративтік серверді толығымен қорғау үшін сіз қайталанатын әрекеттер үшін ақпараттық жүйе журналдарын үнемі бақылай алатын және желіаралық қалқан параметрлерін өзгерту арқылы зиянкесті блоктай алатын құрылым болып табылатын Fail2ban сияқты шешімді пайдалана аласыз. Мұндай төмен деңгейде бұғаттау серверге IP қосылу сатысында тікелей шабуылдаушыларды өшіруге мүмкіндік береді. Осылайша, Fail2Ban DoSFilter көмегімен жасалған қорғанысты тамаша толықтыра алады. Fail2Ban жүйесін Zimbra OSE-мен қалай қосуға болатынын және сол арқылы кәсіпорыныңыздың АТ-инфрақұрылымының қауіпсіздігін арттыруға болатынын білейік.
Кез келген басқа кәсіпорын деңгейіндегі қолданбалар сияқты, Zimbra Collaboration Suite Open-Source Edition жұмысының егжей-тегжейлі журналдарын сақтайды. Олардың көпшілігі қалтада сақталады /opt/zimbra/log/ файлдар түрінде. Міне, олардың бірнешеуі ғана:
- mailbox.log — Жеткі пошта қызметінің журналдары
- audit.log - аутентификация журналдары
- clamd.log — антивирустық жұмыс журналдары
- freshclam.log - антивирусты жаңарту журналдары
- convertd.log — тіркеме түрлендіргіш журналдары
- zimbrastats.csv - сервер өнімділігі журналдары
Zimbra журналдарын файлда да табуға болады /var/log/zimbra.log, мұнда Postfix және Zimbra журналдары сақталады.
Жүйемізді қатыгез күштен қорғау үшін біз бақылайтын боламыз mailbox.log, audit.log и zimbra.log.
Барлығы жұмыс істеуі үшін Zimbra OSE серверінде Fail2Ban және iptables орнатылған болуы керек. Егер сіз Ubuntu пайдалансаңыз, мұны пәрмендер арқылы орындауға болады dpkg -s fail2ban, CentOS пайдалансаңыз, оны пәрмендер арқылы тексеруге болады yum тізімі орнатылған fail2ban. Егер сізде Fail2Ban орнатылмаған болса, оны орнату қиындық тудырмайды, өйткені бұл пакет барлық дерлік стандартты репозиторийлерде қол жетімді.
Барлық қажетті бағдарламалық құрал орнатылғаннан кейін Fail2Ban орнатуды бастауға болады. Ол үшін конфигурация файлын жасау керек /etc/fail2ban/filter.d/zimbra.conf, онда қате кіру әрекеттеріне сәйкес келетін және Fail2Ban механизмдерін іске қосатын Zimbra OSE журналдары үшін тұрақты өрнектерді жазамыз. Мұнда аутентификация әрекеті сәтсіз болғанда Zimbra OSE жіберетін әртүрлі қателерге сәйкес келетін тұрақты өрнектер жинағы бар zimbra.conf мазмұнының мысалы берілген:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Zimbra OSE үшін тұрақты өрнектер құрастырылғаннан кейін, Fail2ban конфигурациясын өңдеуді бастау керек. Бұл қызметтік бағдарламаның параметрлері файлда орналасқан /etc/fail2ban/jail.conf. Қалай болғанда да, пәрмен арқылы оның сақтық көшірмесін жасайық cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Осыдан кейін біз бұл файлды шамамен келесі пішінге азайтамыз:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Бұл мысал өте жалпы болса да, Fail2Ban бағдарламасын өзіңіз орнатқан кезде өзгерткіңіз келетін кейбір параметрлерді түсіндіріп берген жөн:
- Елемеу — осы параметрді пайдалана отырып, сіз Fail2Ban мекенжайларды тексермейтін нақты IP немесе ішкі желіні көрсете аласыз. Әдетте, кәсіпорынның ішкі желісі және басқа сенімді мекенжайлар еленбегендер тізіміне қосылады.
- Bantime — Құқық бұзушыға тыйым салынатын уақыт. Секундтармен өлшенеді. -1 мәні тұрақты тыйымды білдіреді.
- Макретри — Бір IP мекенжайының серверге кіру әрекетінің максималды саны.
- Жіберу — Fail2Ban іске қосылғанда электрондық пошта хабарландыруларын автоматты түрде жіберуге мүмкіндік беретін параметр.
- Уақытты табу — Сәтсіз әрекеттердің максималды саны таусылғаннан кейін IP мекенжайы серверге қайта кіруге әрекеттенетін уақыт аралығын орнатуға мүмкіндік беретін параметр (maxretry параметрі)
Файлды Fail2Ban параметрлерімен сақтағаннан кейін пәрмен арқылы осы қызметтік бағдарламаны қайта іске қосу ғана қалады. fail2ban қызметін қайта іске қосу. Қайта іске қосқаннан кейін негізгі Zimbra журналдары тұрақты өрнектерге сәйкестігін үнемі бақылай бастайды. Осының арқасында әкімші шабуылдаушының Zimbra Collaboration Suite Open-Source Edition пошта жәшіктеріне ену мүмкіндігін іс жүзінде жоя алады, сонымен қатар Zimbra OSE ішінде жұмыс істейтін барлық қызметтерді қорғайды, сондай-ақ рұқсатсыз кіру әрекеттерінен хабардар болады. .
Zextras Suite-ке қатысты барлық сұрақтар бойынша сіз Zextras өкілі Екатерина Триандафилидиге электрондық пошта арқылы хабарласа аласыз. [электрондық пошта қорғалған]
Ақпарат көзі: www.habr.com