Zimbra Collaboration Suite Open-Source Edition huet verschidde mächteg Tools fir Informatiounssécherheet ze garantéieren. Ënnert hinnen - eng Léisung fir e Mail-Server géint Attacke vu Botnets ze schützen, ClamAV - en Antivirus deen erakommen Dateien a Bréiwer fir Infektioun mat béiswëlleg Programmer scannen kann, souwéi - ee vun de beschte Spamfilter haut. Wéi och ëmmer, dës Tools sinn net fäeg Zimbra OSE vu brute Force Attacken ze schützen. Net déi elegantst, awer trotzdem zimlech effektiv, brute-forcing Passwierder mat engem speziellen Wierderbuch ass gefeelt net nëmme mat der Wahrscheinlechkeet vum erfollegräichen Hacking mat all de folgende Konsequenzen, awer och mat der Schafung vun enger bedeitender Laascht op de Server, deen all veraarbecht. net erfollegräich Versich e Server mat Zimbra OSE ze hacken.
Am Prinzip kënnt Dir Iech vu brute Kraaft schützen andeems Dir Standard Zimbra OSE Tools benotzt. D'Passwuert Sécherheetspolitik Astellungen erlaben Iech d'Zuel vun net erfollegräich Passwuert Entrée Versich ze setzen, no deem de potenziell attackéiert Kont blockéiert ass. Den Haaptproblem mat dëser Approche ass datt Situatiounen entstoen, an deenen d'Konten vun engem oder méi Mataarbechter blockéiert kënne ginn wéinst engem brute Force Attack, op deen se näischt ze dinn hunn, an déi resultéierend Ausdauer an der Aarbecht vun de Mataarbechter kënne grouss Verloschter bréngen. der Firma. Dofir ass et am beschten net dës Optioun vu Schutz géint brute Kraaft ze benotzen.
Fir géint brute Kraaft ze schützen, ass e speziellen Tool mam Numm DoSFilter vill besser gëeegent, deen an Zimbra OSE agebaut ass an automatesch d'Verbindung mat Zimbra OSE iwwer HTTP ofschléissen kann. An anere Wierder, de Betribsprinzip vum DoSFilter ass ähnlech wéi de Betribsprinzip vu PostScreen, nëmme gëtt et fir en anere Protokoll benotzt. Ursprénglech entworf fir d'Zuel vun den Aktiounen ze limitéieren déi en eenzege Benotzer kann ausféieren, DoSFilter kann och brute Force Schutz ubidden. Säi Schlësselunterscheed vum Tool dat an Zimbra gebaut ass ass datt no enger gewësser Zuel vun net erfollegräiche Versuche de Benotzer selwer net blockéiert, awer d'IP Adress aus där verschidde Versich gemaach gi fir op e bestëmmte Kont aloggen. Dank dësem kann e Systemadministrator net nëmme géint brute Kraaft schützen, awer och d'Blockéierung vu Firmebeamten vermeiden andeems se einfach den internen Netzwierk vu senger Firma op d'Lëscht vun vertrauenswürdege IP Adressen an Subnets addéieren.
De grousse Virdeel vum DoSFilter ass datt zousätzlech zu ville Versuche fir op e bestëmmte Kont aloggen, mat dësem Tool Dir automatesch déi Ugräifer blockéiere kënnt, déi d'Authentifikatiounsdaten vun engem Employé besëtzt hunn, an duerno erfollegräich op säi Kont ageloggt sinn an ugefaang hunn Honnerte vun Ufroen ze schécken. op de Server.
Dir kënnt DoSFilter konfiguréieren mat de folgende Konsolbefehle:
- zimbraHttpDosFilterMaxRequestsPerSec - Mat dësem Kommando kënnt Dir déi maximal Unzuel u Verbindunge fir ee Benotzer setzen. Par défaut ass dëse Wäert 30 Verbindungen.
- zimbraHttpDosFilterDelayMillis - Mat dësem Kommando kënnt Dir eng Verzögerung a Millisekonnen fir Verbindungen setzen, déi d'Limite vum fréiere Kommando iwwerschreiden. Zousätzlech zu ganz Zuelenwäerter kann den Administrator 0 spezifizéieren, sou datt et guer keng Verspéidung gëtt, an -1, sou datt all Verbindungen déi d'spezifizéiert Limit iwwerschreiden einfach ënnerbrach ginn. De Standardwäert ass -1.
- zimbraHttpThrottleSafeIPs - Mat dësem Kommando kann den Administrateur vertrauenswürdege IP Adressen an Ënnernetzer spezifizéieren, déi net un de Restriktiounen hei uewen opgezielt sinn. Bedenkt datt d'Syntax vun dësem Kommando jee no dem gewënschten Resultat variéiere kann. Also, zum Beispill, andeems Dir de Kommando aginn zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, Dir wäert déi ganz Lëscht komplett iwwerschreiwe an nëmmen eng IP Adress dran loossen. Wann Dir de Kommando gitt zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, gëtt d'IP Adress, déi Dir aginn hutt, op d'wäiss Lëscht bäigefüügt. Ähnlech, andeems Dir d'Subtraktiounszeechen benotzt, kënnt Dir all IP vun der erlaabt Lëscht ewechhuelen.
Notéiert w.e.g. datt DoSFilter eng Zuel vu Probleemer erstellt wann Dir Zextras Suite Pro Extensiounen benotzt. Fir se ze vermeiden, empfeelen mir d'Zuel vun de simultane Verbindungen vun 30 op 100 mat dem Kommando ze erhéijen zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Zousätzlech empfeelen mir den internen Netzwierk vun der Entreprise op d'Lëscht vun erlaabten ze addéieren. Dëst kann mat dem Kommando gemaach ginn zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Nodeems Dir all Ännerunge fir DoSFilter gemaach hutt, gitt sécher datt Dir Äre Mailserver mam Kommando nei start zmmailboxdctl nei starten.
Den Haaptnodeel vum DoSFilter ass datt et um Applikatiounsniveau funktionnéiert an dofir nëmmen d'Fäegkeet vun den Ugräifer limitéiert fir verschidden Aktiounen um Server auszeféieren, ouni d'Fähigkeit ze limitéieren fir mam Norden ze verbannen. Dowéinst wäerten d'Ufroe fir d'Authentifikatioun oder d'Schécken vun Bréiwer un de Server geschéckt ginn, obwuel se selbstverständlech falen, nach ëmmer e gudden alen DoS-Attack duerstellen, deen net op esou engem héijen Niveau gestoppt ka ginn.
Fir Äre Firmenserver komplett mat Zimbra OSE ze sécheren, kënnt Dir eng Léisung benotzen wéi Fail2ban, wat e Kader ass, deen dauernd Informatiounssystem Logbicher fir widderholl Aktiounen iwwerwaache kann an den Intruder blockéieren andeems d'Firewall-Astellunge geännert ginn. Blockéieren op sou engem nidderegen Niveau erlaabt Iech Ugräifer direkt op der Bühn vun der IP Verbindung zum Server auszeschalten. Also, Fail2Ban kann de Schutz perfekt ergänzen dee mat DoSFilter gebaut gouf. Loosst eis erausfannen wéi Dir Fail2Ban mat Zimbra OSE verbënnt an domat d'Sécherheet vun Ärer IT-Infrastruktur vun Ärer Entreprise erhéijen.
Wéi all aner Enterprise-Klass Applikatioun, Zimbra Collaboration Suite Open-Source Edition hält detailléiert Logbicher vu senger Aarbecht. Déi meescht vun hinnen sinn am Dossier gespäichert /opt/zimbra/log/ a Form vun Dateien. Hei sinn nëmmen e puer vun hinnen:
- mailbox.log - Jetty Mail Service Logbicher
- audit.log - Authentifikatioun Logbicher
- clamd.log - Antivirus Operatioun Logbicher
- freshclam.log - Antivirus Update Logbicher
- convertd.log - Uschlëss Konverter Logbicher
- zimbrastats.csv - Server Leeschtung Logbicher
Zimbra Logbicher kënnen och an der Datei fonnt ginn /var/log/zimbra.log, wou Logbicher vu Postfix an Zimbra selwer gehale ginn.
Fir eise System vu brute Kraaft ze schützen, wäerte mir iwwerwaachen mailbox.log, audit.log и zimbra.log.
Fir datt alles funktionnéiert, ass et néideg datt Fail2Ban an iptables op Ärem Server mat Zimbra OSE installéiert sinn. Wann Dir Ubuntu benotzt, kënnt Dir dëst mat de Kommandoen maachen dpkg -s fail2ban, Wann Dir CentOS benotzt, kënnt Dir dëst mat de Kommandoen iwwerpréiwen yum Lëscht installéiert fail2ban. Wann Dir net Fail2Ban installéiert hutt, da wäert d'Installatioun et kee Problem sinn, well dëse Package a bal all Standard Repositories verfügbar ass.
Wann all déi néideg Software installéiert ass, kënnt Dir ufänken Fail2Ban opzestellen. Fir dëst ze maachen, musst Dir eng Konfiguratiounsdatei erstellen /etc/fail2ban/filter.d/zimbra.conf, an deem mir reegelméisseg Ausdréck fir Zimbra OSE Logbicher schreiwen, déi falsch Loginversuche passen an Fail2Ban Mechanismen ausléisen. Hei ass e Beispill vun den Inhalter vun zimbra.conf mat enger Rei vu reegelméissegen Ausdrock, déi zu de verschiddene Feeler entspriechen, déi Zimbra OSE werft wann en Authentifikatiounsversuch klappt:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Wann déi regulär Ausdréck fir Zimbra OSE kompiléiert sinn, ass et Zäit d'Konfiguratioun vu Fail2ban selwer z'änneren. D'Astellunge vun dësem Utility sinn an der Datei /etc/fail2ban/jail.conf. Just am Fall, loosst eis eng Backupkopie dovun maachen mat dem Kommando cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Duerno reduzéiere mir dëse Fichier op ongeféier déi folgend Form:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Och wann dëst Beispill zimmlech generesch ass, ass et nach ëmmer derwäert e puer vun de Parameteren z'erklären, déi Dir wëllt änneren wann Dir Fail2Ban selwer opstellt:
- Ignoréieren - Mat dësem Parameter kënnt Dir e spezifescht IP oder Subnet spezifizéieren, aus deem Fail2Ban d'Adressen net kontrolléiere soll. Als Regel, ginn d'intern Netzwierk vun der Entreprise an aner vertrauenswürdeg Adressen op d'Lëscht vun ignoréierten bäigefüügt.
- Bantime - D'Zäit fir déi den Täter verbuede gëtt. Gemooss an Sekonnen. E Wäert vun -1 heescht e permanente Verbuet.
- Maximum - Déi maximal Unzuel vun Mol eng IP Adress ka probéieren op de Server ze kommen.
- E-Mail schécken - Eng Astellung déi Iech erlaabt automatesch E-Mail Notifikatiounen ze schécken wann Fail2Ban ausgeléist gëtt.
- Fannt Zäit - Eng Astellung déi Iech erlaabt den Zäitintervall ze setzen, no deem d'IP Adress kann probéieren erëm op de Server ze kommen nodeems d'maximal Unzuel vun net erfollegräiche Versuche ausgeräiften ass (maxretry Parameter)
Nodeems Dir d'Datei mat de Fail2Ban-Astellungen gespäichert hutt, bleift et just dëst Utility mat dem Kommando nei ze starten Service fail2ban Restart. Nom Restart fänken d'Haapt Zimbra Logbicher dauernd ze iwwerwaachen fir d'Konformitéit mat reguläre Ausdréck. Dank dësem kann den Administrator quasi all Méiglechkeet eliminéieren datt en Ugräifer net nëmmen Zimbra Collaboration Suite Open-Source Edition Mailboxen penetréiert, awer och all Servicer schützen déi bannent Zimbra OSE lafen, an och bewosst sinn iwwer all Versuche fir onerlaabten Zougang ze kréien. .
Fir all Froen am Zesummenhang mat Zextras Suite, kënnt Dir d'Zextras Vertrieder Ekaterina Triandafilidi per E-Mail kontaktéieren [Email geschützt]
Source: will.com