Zimbra Collaboration Suite Open-Source Edition għandha bosta għodod qawwija biex tiżgura s-sigurtà tal-informazzjoni. Fosthom
Fil-prinċipju, tista 'tipproteġi lilek innifsek minn forza bruta billi tuża għodod Zimbra OSE standard. Is-settings tal-politika tas-sigurtà tal-password jippermettulek li tissettja n-numru ta 'tentattivi ta' dħul tal-password li ma rnexxewx, u wara dan il-kont potenzjalment attakkat jiġi mblukkat. Il-problema ewlenija ma 'dan l-approċċ hija li jinqalgħu sitwazzjonijiet li fihom il-kontijiet ta' impjegat wieħed jew aktar jistgħu jiġu mblukkati minħabba attakk ta 'forza bruta li ma jkollhom xejn x'jaqsmu miegħu, u l-perijodi ta' waqfien li jirriżultaw fix-xogħol tal-impjegati jistgħu jġibu telf kbir għal il-kumpanija. Huwa għalhekk li huwa aħjar li ma tużax din l-għażla ta 'protezzjoni kontra forza bruta.
Biex tipproteġi kontra l-forza bruta, għodda speċjali msejħa DoSFilter hija ħafna aħjar adattata, li hija mibnija f'Zimbra OSE u tista 'awtomatikament ttemm il-konnessjoni ma' Zimbra OSE permezz ta 'HTTP. Fi kliem ieħor, il-prinċipju operattiv ta 'DoSFilter huwa simili għall-prinċipju operattiv ta' PostScreen, huwa biss użat għal protokoll differenti. Oriġinarjament iddisinjat biex jillimita n-numru ta 'azzjonijiet li utent wieħed jista' jwettaq, DoSFilter jista 'wkoll jipprovdi protezzjoni mill-forza bruta. Id-differenza ewlenija tagħha mill-għodda mibnija f'Zimbra hija li wara ċertu numru ta 'tentattivi bla suċċess, ma timblokkax lill-utent innifsu, iżda l-indirizz IP li minnu jsiru tentattivi multipli biex tidħol f'kont partikolari. Grazzi għal dan, amministratur tas-sistema jista 'mhux biss jipproteġi kontra l-forza bruta, iżda wkoll jevita li jimblokka l-impjegati tal-kumpanija billi sempliċement iżid in-netwerk intern tal-kumpanija tiegħu mal-lista ta' indirizzi IP u subnets fdati.
Il-vantaġġ kbir ta 'DoSFilter huwa li minbarra bosta tentattivi biex tidħol f'kont partikolari, billi tuża din l-għodda tista' awtomatikament timblokka dawk l-attakkanti li ħadu l-pussess tad-dejta tal-awtentikazzjoni ta 'impjegat, u mbagħad illoggjaw b'suċċess fil-kont tiegħu u bdew jibagħtu mijiet ta' talbiet. lis-server.
Tista' tikkonfigura DoSFilter billi tuża l-kmandi tal-console li ġejjin:
- zimbraHttpDosFilterMaxRequestsPerSec — Billi tuża dan il-kmand, tista’ tissettja n-numru massimu ta’ konnessjonijiet permessi għal utent wieħed. B'mod awtomatiku dan il-valur huwa 30 konnessjoni.
- zimbraHttpDosFilterDelayMillis - Bl-użu ta 'dan il-kmand, tista' tissettja dewmien f'millisekondi għal konnessjonijiet li jaqbżu l-limitu speċifikat mill-kmand preċedenti. Minbarra l-valuri sħaħ, l-amministratur jista 'jispeċifika 0, sabiex ma jkun hemm l-ebda dewmien, u -1, sabiex il-konnessjonijiet kollha li jaqbżu l-limitu speċifikat huma sempliċement interrotti. Il-valur default huwa -1.
- zimbraHttpThrottleSafeIPs — Bl-użu ta’ dan il-kmand, l-amministratur jista’ jispeċifika indirizzi IP ta’ fiduċja u subnets li mhux se jkunu soġġetti għar-restrizzjonijiet elenkati hawn fuq. Innota li s-sintassi ta 'dan il-kmand tista' tvarja skond ir-riżultat mixtieq. Allura, pereżempju, billi ddaħħal il-kmand zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, inti se tikteb kompletament fuq il-lista kollha u tħalli indirizz IP wieħed biss fiha. Jekk iddaħħal il-kmand zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, l-indirizz IP li daħħalt se jiżdied mal-lista l-bajda. Bl-istess mod, billi tuża s-sinjal tat-tnaqqis, tista 'tneħħi kwalunkwe IP mil-lista permessa.
Jekk jogħġbok innota li DoSFilter jista 'joħloq numru ta' problemi meta tuża l-estensjonijiet Zextras Suite Pro. Sabiex jiġu evitati, nirrakkomandaw li jiżdied in-numru ta 'konnessjonijiet simultanji minn 30 għal 100 bl-użu tal-kmand zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Barra minn hekk, nirrakkomandaw li żżid in-netwerk intern tal-intrapriża mal-lista ta 'dawk permessi. Dan jista 'jsir bl-użu tal-kmand zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Wara li tagħmel xi bidliet għal DoSFilter, kun żgur li terġa 'tibda s-server tal-posta tiegħek billi tuża l-kmand zmmailboxdctl jerġa' jibda.
L-iżvantaġġ ewlieni ta 'DoSFilter huwa li jaħdem fil-livell tal-applikazzjoni u għalhekk jista' jillimita biss il-kapaċità tal-attakkanti li jwettqu diversi azzjonijiet fuq is-server, mingħajr ma tillimita l-abbiltà li jgħaqqdu mat-tramuntana. Minħabba f'hekk, it-talbiet mibgħuta lis-server għall-awtentikazzjoni jew biex jintbagħtu ittri, għalkemm ovvjament se jonqsu, xorta se jirrappreżentaw attakk DoS antik tajjeb, li ma jistax jitwaqqaf f'livell daqshekk għoli.
Sabiex tassigura kompletament is-server korporattiv tiegħek ma 'Zimbra OSE, tista' tuża soluzzjoni bħal Fail2ban, li huwa qafas li jista 'jimmonitorja kontinwament ir-reġistri tas-sistema ta' informazzjoni għal azzjonijiet ripetuti u jimblokka l-intruż billi tbiddel is-settings tal-firewall. L-imblukkar f'livell daqshekk baxx jippermettilek li tiddiżattiva lill-attakkanti eżatt fl-istadju tal-konnessjoni tal-IP mas-server. Għalhekk, Fail2Ban jista 'jikkumplimenta perfettament il-protezzjoni mibnija bl-użu ta' DoSFilter. Ejja nsiru nafu kif tista' tikkonnettja Fail2Ban ma' Zimbra OSE u b'hekk iżżid is-sigurtà tal-infrastruttura tal-IT tal-intrapriża tiegħek.
Bħal kull applikazzjoni oħra ta’ klassi ta’ intrapriża, Zimbra Collaboration Suite Open-Source Edition iżżomm reġistri dettaljati tax-xogħol tagħha. Ħafna minnhom huma maħżuna fil-folder /opt/zimbra/log/ fil-forma ta’ fajls. Hawn huma biss ftit minnhom:
- mailbox.log — Reġistri tas-servizz tal-posta tal-moll
- audit.log - zkuk tal-awtentikazzjoni
- clamd.log — zkuk tal-operat tal-antivirus
- freshclam.log - reġistru ta' aġġornamenti antivirus
- convertd.log — zkuk tal-konvertitur tat-twaħħil
- zimbrastats.csv - logs tal-prestazzjoni tas-server
Żkuk Zimbra jistgħu jinstabu wkoll fil-fajl /var/log/zimbra.log, fejn jinżammu logs ta’ Postfix u ta’ Zimbra stess.
Sabiex nipproteġu s-sistema tagħna mill-forza bruta, aħna se nissorveljaw mailbox.log, verifika.log и zimbra.log.
Sabiex kollox jaħdem, huwa meħtieġ li Fail2Ban u iptables huma installati fuq is-server tiegħek ma 'Zimbra OSE. Jekk qed tuża Ubuntu, tista 'tagħmel dan billi tuża l-kmandi dpkg -s fail2ban, jekk tuża CentOS, tista 'tiċċekkja dan billi tuża l-kmandi lista yum installat fail2ban. Jekk ma jkollokx Fail2Ban installat, allura l-installazzjoni mhux se tkun problema, peress li dan il-pakkett huwa disponibbli kważi fir-repożitorji standard kollha.
Ladarba s-softwer kollu meħtieġ ikun installat, tista' tibda twaqqaf Fail2Ban. Biex tagħmel dan għandek bżonn toħloq fajl ta 'konfigurazzjoni /etc/fail2ban/filter.d/zimbra.conf, li fiha se niktbu espressjonijiet regolari għal zkuk Zimbra OSE li se jaqblu ma 'tentattivi ta' login mhux korretti u jqanqlu mekkaniżmi Fail2Ban. Hawn eżempju tal-kontenut ta 'zimbra.conf b'sett ta' espressjonijiet regolari li jikkorrispondu għad-diversi żbalji li Zimbra OSE jitfa' meta tentattiv ta 'awtentikazzjoni jfalli:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =
Ladarba l-espressjonijiet regolari għal Zimbra OSE jkunu ġew ikkompilati, wasal iż-żmien li tibda teditja l-konfigurazzjoni ta 'Fail2ban innifsu. Is-settings ta 'din l-utilità jinsabu fil-fajl /etc/fail2ban/jail.conf. Fil-każ, ejja nagħmlu kopja ta 'backup tagħha billi tuża l-kmand cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Wara dan, aħna se nnaqqsu dan il-fajl għal bejn wieħed u ieħor il-forma li ġejja:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5
Għalkemm dan l-eżempju huwa pjuttost ġeneriku, xorta ta 'min jispjega xi wħud mill-parametri li tista' tkun trid tibdel meta twaqqaf Fail2Ban lilek innifsek:
- Injora — billi tuża dan il-parametru tista’ tispeċifika ip jew subnet speċifiku li minnu Fail2Ban m’għandux jiċċekkja l-indirizzi. Bħala regola, in-netwerk intern tal-intrapriża u indirizzi fdati oħra huma miżjuda mal-lista ta 'dawk injorati.
- Bantime — Iż-żmien li fih il-ħati se jiġi pprojbit. Imkejjel f'sekondi. Valur ta' -1 ifisser projbizzjoni permanenti.
- Maxretry — In-numru massimu ta' drabi li indirizz IP wieħed jista' jipprova jaċċessa s-server.
- sendmail — Setting li jippermettilek li awtomatikament tibgħat notifiki bl-email meta Fail2Ban jiġi attivat.
- Findtime — Setting li jippermettilek li tissettja l-intervall ta’ ħin li warajh l-indirizz IP jista’ jerġa’ jipprova jaċċessa s-server wara li n-numru massimu ta’ tentattivi bla suċċess ikun ġie eżawrit (parametru maxretry)
Wara li ssejvja l-fajl bis-settings tal-Fail2Ban, kulma jibqa 'huwa li terġa' tibda din l-utilità billi tuża l-kmand servizz fail2ban mill-ġdid. Wara l-bidu mill-ġdid, ir-zkuk ewlenin ta 'Zimbra se jibdew jiġu mmonitorjati kontinwament għall-konformità ma' espressjonijiet regolari. Grazzi għal dan, l-amministratur ikun jista 'virtwalment jelimina kwalunkwe possibbiltà li attakkant jippenetra mhux biss il-kaxxi tal-posta ta' Zimbra Collaboration Suite Open-Source Edition, iżda wkoll jipproteġi s-servizzi kollha li jaħdmu fi ħdan Zimbra OSE, u jkun konxju wkoll ta 'kull tentattiv biex jikseb aċċess mhux awtorizzat. .
Għall-mistoqsijiet kollha relatati ma' Zextras Suite, tista' tikkuntattja lir-Rappreżentant ta' Zextras Ekaterina Triandafilidi bl-email [protett bl-email]
Sors: www.habr.com