무차별 대입 및 DoS 공격으로부터 Zimbra OSE를 보호하세요.

Zimbra Collaboration Suite Open-Source Edition에는 정보 보안을 보장하는 몇 가지 강력한 도구가 있습니다. 그 중 포스트스크린 - 메일 서버를 봇넷의 공격으로부터 보호하는 솔루션, ClamAV - 들어오는 파일과 문자를 검사하여 악성 프로그램에 감염되었는지 검사할 수 있는 바이러스 백신 어쌔신 - 오늘날 최고의 스팸 필터 중 하나입니다. 그러나 이러한 도구는 무차별 대입 공격으로부터 Zimbra OSE를 보호할 수 없습니다. 가장 우아하지는 않지만 여전히 매우 효과적인 특수 사전을 사용하는 무차별 암호 대입은 모든 후속 결과로 인한 성공적인 해킹 가능성뿐만 아니라 모든 것을 처리하는 서버에 상당한 부하를 생성하는 문제로 가득 차 있습니다. Zimbra OSE를 사용하여 서버를 해킹하려는 시도가 실패했습니다.

원칙적으로 표준 Zimbra OSE 도구를 사용하면 무차별 공격으로부터 자신을 보호할 수 있습니다. 비밀번호 보안 정책 설정을 사용하면 비밀번호 입력 시도 실패 횟수를 설정할 수 있으며, 그 이후에는 공격을 받을 가능성이 있는 계정이 차단됩니다. 이 접근 방식의 주요 문제점은 무차별 대입 공격으로 인해 한 명 이상의 직원 계정이 차단될 수 있는 상황이 발생하고, 이로 인해 직원 업무가 중단되어 직원에게 큰 손실을 가져올 수 있다는 것입니다. 그 회사. 그렇기 때문에 무차별 대입에 대한 보호 옵션을 사용하지 않는 것이 가장 좋습니다.

무차별 공격으로부터 보호하려면 DoSFilter라는 특수 도구가 훨씬 더 적합합니다. 이 도구는 Zimbra OSE에 내장되어 있으며 HTTP를 통해 Zimbra OSE에 대한 연결을 자동으로 종료할 수 있습니다. 즉, DoSFilter의 작동 원리는 PostScreen의 작동 원리와 유사하지만 단지 다른 프로토콜에 사용된다는 것입니다. 원래 단일 사용자가 수행할 수 있는 작업 수를 제한하도록 설계된 DoSFilter는 무차별 대입 보호도 제공할 수 있습니다. Zimbra에 내장된 도구와의 주요 차이점은 특정 횟수의 시도 실패 후 사용자 자신을 차단하는 것이 아니라 특정 계정에 로그인하려는 여러 시도의 IP 주소를 차단한다는 것입니다. 덕분에 시스템 관리자는 무차별 공격으로부터 보호할 수 있을 뿐만 아니라 회사 내부 네트워크를 신뢰할 수 있는 IP 주소 및 서브넷 목록에 추가하기만 하면 회사 직원을 차단하는 것을 방지할 수 있습니다.

DoSFilter의 가장 큰 장점은 특정 계정에 대한 수많은 로그인 시도 외에도 이 도구를 사용하면 직원의 인증 데이터를 장악한 후 해당 계정에 성공적으로 로그인하고 수백 건의 요청을 보내기 시작한 공격자를 자동으로 차단할 수 있다는 것입니다. 서버에.

다음 콘솔 명령을 사용하여 DoSFilter를 구성할 수 있습니다.

• zimbraHttpDosFilterMaxRequestsPerSec — 이 명령을 사용하면 한 사용자에게 허용되는 최대 연결 수를 설정할 수 있습니다. 기본적으로 이 값은 30개의 연결입니다.
• zimbraHttpDosFilterDelayMillis - 이 명령을 사용하면 이전 명령에서 지정한 제한을 초과하는 연결에 대한 지연을 밀리초 단위로 설정할 수 있습니다. 정수 값 외에도 관리자는 지연이 전혀 없도록 0을 지정하고 지정된 제한을 초과하는 모든 연결이 단순히 중단되도록 -1을 지정할 수 있습니다. 기본값은 -1입니다.
• zimbraHttpThrottleSafeIP — 관리자는 이 명령을 사용하여 위에 나열된 제한 사항이 적용되지 않는 신뢰할 수 있는 IP 주소와 서브넷을 지정할 수 있습니다. 이 명령의 구문은 원하는 결과에 따라 달라질 수 있습니다. 예를 들어 다음 명령을 입력하면 zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1을 사용하면 전체 목록을 완전히 덮어쓰고 목록에 하나의 IP 주소만 남깁니다. 명령어를 입력하면 zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, 입력한 IP 주소가 화이트리스트에 추가됩니다. 마찬가지로 빼기 기호를 사용하면 허용 목록에서 모든 IP를 제거할 수 있습니다.

DoSFilter는 Zextras Suite Pro 확장 프로그램을 사용할 때 여러 가지 문제를 일으킬 수 있습니다. 이를 방지하려면 다음 명령을 사용하여 동시 연결 수를 30에서 100으로 늘리는 것이 좋습니다. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. 또한 허용된 네트워크 목록에 기업 내부 네트워크를 추가하는 것이 좋습니다. 이 작업은 다음 명령을 사용하여 수행할 수 있습니다. zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter를 변경한 후에는 다음 명령을 사용하여 메일 서버를 다시 시작하십시오. zmmailboxdctl 재시작.

DoSFilter의 가장 큰 단점은 애플리케이션 수준에서 작동하므로 북쪽에 연결하는 기능을 제한하지 않고 공격자가 서버에서 다양한 작업을 수행하는 기능만 제한할 수 있다는 것입니다. 이로 인해 인증이나 편지 전송을 위해 서버로 전송되는 요청은 분명히 실패하더라도 여전히 높은 수준에서 막을 수 없는 오래된 DoS 공격을 나타냅니다.

Zimbra OSE로 기업 서버를 완벽하게 보호하려면 Fail2ban과 같은 솔루션을 사용하면 됩니다. Fail2ban은 정보 시스템 로그를 지속적으로 모니터링하여 반복되는 행위에 대해 방화벽 설정을 변경하여 침입자를 차단할 수 있는 프레임워크입니다. 이렇게 낮은 수준에서 차단하면 서버에 대한 IP 연결 단계에서 바로 공격자를 비활성화할 수 있습니다. 따라서 Fail2Ban은 DoSFilter를 사용하여 구축된 보호 기능을 완벽하게 보완할 수 있습니다. FailXNUMXBan을 Zimbra OSE와 연결하여 기업의 IT 인프라 보안을 강화할 수 있는 방법을 알아보세요.

다른 엔터프라이즈급 애플리케이션과 마찬가지로 Zimbra Collaboration Suite Open-Source Edition은 작업에 대한 자세한 로그를 유지합니다. 대부분은 폴더에 저장되어 있습니다. /opt/짐브라/로그/ 파일 형태로. 다음은 그중 몇 가지입니다.

• Mailbox.log — Jetty 메일 서비스 로그
• audit.log - 인증 로그
• clamd.log — 바이러스 백신 작업 로그
• freshclam.log - 바이러스 백신 업데이트 로그
• Convertd.log — 첨부 파일 변환기 로그
• zimbrastats.csv - 서버 성능 로그

Zimbra 로그는 파일에서도 찾을 수 있습니다. /var/log/zimbra.log, Postfix 및 Zimbra 자체의 로그가 보관되는 곳입니다.

무차별 공격으로부터 시스템을 보호하기 위해 우리는 사서함.로그, 감사.로그 и zimbra.log.

모든 기능이 작동하려면 Zimbra OSE가 설치된 서버에 Fail2Ban 및 iptables를 설치해야 합니다. Ubuntu를 사용하는 경우 다음 명령을 사용하여 이 작업을 수행할 수 있습니다. dpkg -s 실패2반, CentOS를 사용하는 경우 다음 명령을 사용하여 이를 확인할 수 있습니다. 냠 목록이 설치되었습니다.. Fail2Ban이 설치되어 있지 않은 경우 이 패키지는 거의 모든 표준 저장소에서 사용할 수 있으므로 설치하는 데 문제가 없습니다.

필요한 모든 소프트웨어가 설치되면 Fail2Ban 설정을 시작할 수 있습니다. 이렇게 하려면 구성 파일을 만들어야 합니다. /etc/fail2ban/filter.d/zimbra.conf, 잘못된 로그인 시도를 일치시키고 Fail2Ban 메커니즘을 트리거하는 Zimbra OSE 로그에 대한 정규식을 작성합니다. 다음은 인증 시도가 실패할 때 Zimbra OSE가 발생하는 다양한 오류에 해당하는 정규식 세트가 포함된 zimbra.conf 내용의 예입니다.

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

Zimbra OSE의 정규 표현식이 컴파일되면 이제 Fail2ban 자체의 구성 편집을 시작할 차례입니다. 이 유틸리티의 설정은 파일에 있습니다. /etc/fail2ban/jail.conf. 만일을 대비해 다음 명령을 사용하여 백업 복사본을 만들어 보겠습니다. cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. 그 후에는 이 파일을 대략 다음과 같은 형식으로 줄입니다.

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

이 예는 매우 일반적이지만 Fail2Ban을 직접 설정할 때 변경할 수 있는 일부 매개변수를 설명하는 것은 여전히 ​​가치가 있습니다.

• 무시 — 이 매개변수를 사용하면 Fail2Ban이 주소를 확인하지 않아야 하는 특정 IP 또는 서브넷을 지정할 수 있습니다. 일반적으로 기업의 내부 네트워크 및 기타 신뢰할 수 있는 주소는 무시된 주소 목록에 추가됩니다.
• 반타임 — 위반자가 금지되는 시간입니다. 초 단위로 측정됩니다. -1 값은 영구 금지를 의미합니다.
• 최대 재시도 — 하나의 IP 주소가 서버에 액세스를 시도할 수 있는 최대 횟수입니다.
• Sendmail — Fail2Ban이 실행될 때 자동으로 이메일 알림을 보낼 수 있는 설정입니다.
• 찾기시간 — 최대 시도 실패 횟수가 소진된 후 IP 주소가 서버에 다시 액세스를 시도할 수 있는 시간 간격을 설정할 수 있는 설정입니다(maxretry 매개변수).

Fail2Ban 설정으로 파일을 저장한 후 남은 것은 다음 명령을 사용하여 이 유틸리티를 다시 시작하는 것입니다. 서비스 실패2반 재시작. 다시 시작한 후에는 기본 Zimbra 로그가 정규식 준수 여부를 지속적으로 모니터링하기 시작합니다. 덕분에 관리자는 공격자가 Zimbra Collaboration Suite Open-Source Edition 사서함에 침투할 가능성을 사실상 제거할 수 있을 뿐만 아니라 Zimbra OSE 내에서 실행되는 모든 서비스를 보호하고 무단 접근 시도를 인지할 수 있습니다. .

Zextras Suite와 관련된 모든 질문은 Zextras Ekaterina Triandafilidi 대표에게 이메일로 문의할 수 있습니다. [이메일 보호]

출처 : habr.com