Zimbra OSE लाई क्रूर बल र DoS आक्रमणबाट जोगाउनुहोस्

Zimbra सहयोग सुइट ओपन-स्रोत संस्करणमा सूचना सुरक्षा सुनिश्चित गर्न धेरै शक्तिशाली उपकरणहरू छन्। उनीहरु मध्ये पोस्टस्क्रिन - बोटनेटहरूबाट हुने आक्रमणहरूबाट मेल सर्भरलाई जोगाउनको लागि समाधान, ClamAV - एक एन्टिभाइरस जसले आगमन फाइलहरू र अक्षरहरू दुर्भावनापूर्ण कार्यक्रमहरूको संक्रमणको लागि स्क्यान गर्न सक्छ, साथै स्प्यामएस्सिन - आजको उत्कृष्ट स्पाम फिल्टरहरू मध्ये एक। यद्यपि, यी उपकरणहरूले Zimbra OSE लाई क्रूर बल आक्रमणहरूबाट जोगाउन असमर्थ छन्। सबै भन्दा सुरुचिपूर्ण, तर अझै पनि धेरै प्रभावकारी, विशेष शब्दकोश प्रयोग गरेर ब्रूट-फोर्सिङ पासवर्डहरू न केवल सबै आगामी परिणामहरूका साथ सफल ह्याकिङको सम्भावनाले भरिएको छ, तर सर्भरमा महत्त्वपूर्ण लोडको सिर्जनासँग पनि भरिएको छ, जसले सबै प्रक्रियाहरू गर्दछ। Zimbra OSE सँग सर्भर ह्याक गर्ने असफल प्रयासहरू।

सिद्धान्तमा, तपाईं मानक Zimbra OSE उपकरणहरू प्रयोग गरेर क्रूर बलबाट आफूलाई बचाउन सक्नुहुन्छ। पासवर्ड सुरक्षा नीति सेटिङहरूले तपाईंलाई असफल पासवर्ड प्रविष्टि प्रयासहरूको संख्या सेट गर्न अनुमति दिन्छ, जस पछि सम्भावित रूपमा आक्रमण गरिएको खाता अवरुद्ध हुन्छ। यस दृष्टिकोणको मुख्य समस्या यो हो कि एक वा बढी कर्मचारीहरूको खाताहरू ब्रूट फोर्स आक्रमणको कारण ब्लक हुन सक्ने अवस्थाहरू उत्पन्न हुन्छन् जसमा उनीहरूसँग कुनै काम छैन, र परिणामस्वरूप कर्मचारीहरूको काममा डाउनटाइमले ठूलो नोक्सान ल्याउन सक्छ। कम्पनी। त्यसैले यो क्रूर बल विरुद्ध सुरक्षा को यो विकल्प प्रयोग नगर्नु राम्रो छ।

ब्रूट फोर्सबाट जोगाउनको लागि, DoSFilter भनिने एक विशेष उपकरण धेरै राम्रोसँग उपयुक्त छ, जुन Zimbra OSE मा निर्मित छ र HTTP मार्फत Zimbra OSE मा जडान स्वतः समाप्त गर्न सक्छ। अर्को शब्दमा, DoSFilter को सञ्चालन सिद्धान्त PostScreen को सञ्चालन सिद्धान्त जस्तै छ, केवल यो एक फरक प्रोटोकल को लागी प्रयोग गरिन्छ। मूल रूपमा एकल प्रयोगकर्ताले गर्न सक्ने कार्यहरूको संख्या सीमित गर्न डिजाइन गरिएको, DoSFilter ले ब्रूट फोर्स सुरक्षा पनि प्रदान गर्न सक्छ। Zimbra मा निर्मित उपकरणबाट यसको मुख्य भिन्नता यो हो कि असफल प्रयासहरूको निश्चित संख्या पछि, यसले प्रयोगकर्तालाई आफैंलाई रोक्दैन, तर IP ठेगाना जसबाट एक विशेष खातामा लग इन गर्न धेरै प्रयासहरू गरिन्छ। यसका लागि धन्यबाद, एक प्रणाली प्रशासकले ब्रूट फोर्सबाट मात्र सुरक्षा गर्न सक्दैन, तर कम्पनीका कर्मचारीहरूलाई केवल विश्वसनीय आईपी ठेगानाहरू र सबनेटहरूको सूचीमा आफ्नो कम्पनीको आन्तरिक नेटवर्क थपेर ब्लक गर्नबाट जोगिन सक्छ।

DoSFilter को ठूलो फाइदा यो हो कि एक विशेष खातामा लग इन गर्न धेरै प्रयासहरू बाहेक, यो उपकरण प्रयोग गरेर तपाईले ती आक्रमणकारीहरूलाई स्वचालित रूपमा ब्लक गर्न सक्नुहुन्छ जसले कर्मचारीको प्रमाणीकरण डाटा कब्जा गरे, र त्यसपछि सफलतापूर्वक आफ्नो खातामा लग इन गरे र सयौं अनुरोधहरू पठाउन थाले। सर्भरमा।

तपाइँ निम्न कन्सोल आदेशहरू प्रयोग गरेर DoSFilter कन्फिगर गर्न सक्नुहुन्छ:

• zimbraHttpDosFilterMaxRequestsPerSec - यो आदेश प्रयोग गरेर, तपाइँ एक प्रयोगकर्ताको लागि अनुमति दिइएको जडानहरूको अधिकतम संख्या सेट गर्न सक्नुहुन्छ। पूर्वनिर्धारित रूपमा यो मान 30 जडानहरू हो।
• zimbraHttpDosFilterDelayMillis - यो आदेश प्रयोग गरेर, तपाइँ जडानहरूको लागि मिलिसेकेन्डमा ढिलाइ सेट गर्न सक्नुहुन्छ जुन अघिल्लो आदेश द्वारा निर्दिष्ट सीमा नाघ्नेछ। पूर्णांक मानहरूको अतिरिक्त, प्रशासकले 0 निर्दिष्ट गर्न सक्छ ताकि त्यहाँ कुनै ढिलाइ हुँदैन, साथै -1 ताकि निर्दिष्ट सीमा नाघेका सबै जडानहरू मात्र अवरोध हुन्छन्। पूर्वनिर्धारित मान -1 हो।
• zimbraHttpThrottleSafeIPs — यो आदेश प्रयोग गरेर, प्रशासकले विश्वसनीय आईपी ठेगानाहरू र सबनेटहरू निर्दिष्ट गर्न सक्छ जुन माथि सूचीबद्ध प्रतिबन्धहरूको अधीनमा हुनेछैन। ध्यान दिनुहोस् कि यो आदेशको वाक्य रचना वांछित परिणामको आधारमा फरक हुन सक्छ। त्यसैले, उदाहरणका लागि, आदेश प्रविष्ट गरेर zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, तपाईंले सम्पूर्ण सूचीलाई पूर्ण रूपमा अधिलेखन गर्नुहुनेछ र यसमा एउटा मात्र IP ठेगाना छोड्नुहुनेछ। यदि तपाइँ आदेश प्रविष्ट गर्नुहोस् zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, तपाईंले प्रविष्ट गर्नुभएको IP ठेगाना सेतो सूचीमा थपिनेछ। त्यस्तै, घटाउ चिन्ह प्रयोग गरेर, तपाईंले अनुमति दिइएको सूचीबाट कुनै पनि आईपी हटाउन सक्नुहुन्छ।

कृपया ध्यान दिनुहोस् कि DoSFilter ले Zextras Suite Pro विस्तारहरू प्रयोग गर्दा धेरै समस्याहरू सिर्जना गर्न सक्छ। तिनीहरूलाई जोगिनको लागि, हामी कमाण्ड प्रयोग गरेर 30 बाट 100 सम्म एकसाथ जडानहरूको संख्या बढाउन सिफारिस गर्छौं। zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100। थप रूपमा, हामी अनुमति प्राप्त व्यक्तिहरूको सूचीमा उद्यम आन्तरिक नेटवर्क थप्न सिफारिस गर्दछौं। यो आदेश प्रयोग गरेर गर्न सकिन्छ zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24। DoSFilter मा कुनै पनि परिवर्तन गरेपछि, आदेश प्रयोग गरेर आफ्नो मेल सर्भर पुन: सुरु गर्न निश्चित हुनुहोस् zmmailboxdctl पुन: सुरु गर्नुहोस्.

DoSFilter को मुख्य बेफाइदा यो छ कि यो अनुप्रयोग स्तर मा काम गर्दछ र यसैले उत्तर मा जडान गर्ने क्षमता को सीमित बिना, सर्भर मा विभिन्न कार्यहरु गर्न को लागी आक्रमणकारीहरु को क्षमता मात्र सीमित गर्न सक्छ। यसको कारणले, प्रमाणीकरण वा पत्र पठाउनको लागि सर्भरमा पठाइएका अनुरोधहरू, यद्यपि तिनीहरू स्पष्ट रूपमा असफल हुनेछन्, अझै पनि राम्रो पुरानो DoS आक्रमणलाई प्रतिनिधित्व गर्नेछ, जुन यति उच्च स्तरमा रोक्न सकिँदैन।

तपाईंको कर्पोरेट सर्भरलाई Zimbra OSE सँग पूर्ण रूपमा सुरक्षित गर्नको लागि, तपाईंले Fail2ban जस्ता समाधान प्रयोग गर्न सक्नुहुन्छ, जुन एक ढाँचा हो जसले लगातार दोहोर्याइएको कार्यहरूको लागि सूचना प्रणाली लगहरू निगरानी गर्न सक्छ र फायरवाल सेटिङहरू परिवर्तन गरेर घुसपैठलाई रोक्न सक्छ। यस्तो कम स्तरमा अवरुद्ध गर्नाले तपाईंलाई सर्भरमा IP जडानको चरणमा आक्रमणकारीहरूलाई असक्षम गर्न अनुमति दिन्छ। यसरी, Fail2Ban ले DoSFilter प्रयोग गरेर निर्मित सुरक्षालाई पूर्ण रूपमा पूरक गर्न सक्छ। तपाईं कसरी फेल2बानलाई Zimbra OSE सँग जडान गर्न सक्नुहुन्छ र यसरी तपाईंको उद्यमको IT पूर्वाधारको सुरक्षा बढाउन सक्नुहुन्छ भनी पत्ता लगाउनुहोस्।

कुनै पनि अन्य उद्यम-वर्गको अनुप्रयोग जस्तै, Zimbra सहयोग सुइट ओपन-स्रोत संस्करणले यसको कामको विस्तृत लगहरू राख्छ। तिनीहरूमध्ये धेरै फोल्डरमा भण्डारण गरिएका छन् /opt/zimbra/log/ फाइल को रूप मा। यहाँ तिनीहरूमध्ये केही मात्र छन्:

• mailbox.log — जेट्टी मेल सेवा लगहरू
• audit.log - प्रमाणीकरण लगहरू
• clamd.log — एन्टिभाइरस सञ्चालन लगहरू
• freshclam.log - एन्टिभाइरस अपडेट लगहरू
• convertd.log — संलग्न कन्भर्टर लगहरू
• zimbrastats.csv - सर्भर प्रदर्शन लगहरू

Zimbra लगहरू पनि फाइलमा फेला पार्न सकिन्छ /var/log/zimbra.log, जहाँ पोष्टफिक्स र जिम्ब्राको लगहरू राखिन्छन्।

हाम्रो प्रणालीलाई क्रूर बलबाट बचाउनको लागि, हामी निगरानी गर्नेछौं mailbox.log, audit.log и zimbra.log.

सबै कुरा काम गर्नको लागि, यो आवश्यक छ कि Fail2Ban र iptables Zimbra OSE को साथ तपाईंको सर्भरमा स्थापना गरिएको छ। यदि तपाइँ Ubuntu प्रयोग गर्दै हुनुहुन्छ भने, तपाइँ आदेशहरू प्रयोग गरेर यो गर्न सक्नुहुन्छ dpkg -s fail2ban, यदि तपाइँ CentOS प्रयोग गर्नुहुन्छ भने, तपाइँ यसलाई आदेशहरू प्रयोग गरेर जाँच गर्न सक्नुहुन्छ yum सूची स्थापित fail2ban। यदि तपाइँसँग Fail2Ban स्थापना छैन भने, त्यसपछि यसलाई स्थापना गर्न समस्या हुनेछैन, किनकि यो प्याकेज लगभग सबै मानक भण्डारहरूमा उपलब्ध छ।

एकपटक सबै आवश्यक सफ्टवेयर स्थापना भएपछि, तपाइँ Fail2Ban सेटअप सुरु गर्न सक्नुहुन्छ। यो गर्नको लागि तपाईंले कन्फिगरेसन फाइल सिर्जना गर्न आवश्यक छ /etc/fail2ban/filter.d/zimbra.conf, जसमा हामी Zimbra OSE लगहरूको लागि नियमित अभिव्यक्तिहरू लेख्नेछौं जुन गलत लगइन प्रयासहरूसँग मेल खान्छ र Fail2Ban मेकानिजमहरू ट्रिगर गर्दछ। यहाँ एक प्रमाणीकरण प्रयास असफल हुँदा Zimbra OSE ले फाल्ने विभिन्न त्रुटिहरूसँग सम्बन्धित नियमित अभिव्यक्तिहरूको सेटको साथ zimbra.conf को सामग्रीहरूको उदाहरण छ:

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

एक पटक Zimbra OSE को लागि नियमित अभिव्यक्तिहरू संकलित भएपछि, यो Fail2ban को कन्फिगरेसन आफैं सम्पादन गर्न सुरु गर्ने समय हो। यस उपयोगिताको सेटिङहरू फाइलमा अवस्थित छन् /etc/fail2ban/jail.conf। बस केसमा, आदेश प्रयोग गरेर यसको ब्याकअप प्रतिलिपि बनाउनुहोस् cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak। त्यस पछि, हामी यो फाइललाई लगभग निम्न फारममा घटाउनेछौं:

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

यद्यपि यो उदाहरण एकदम सामान्य छ, यो अझै पनि केहि प्यारामिटरहरू व्याख्या गर्न लायक छ जुन तपाईले फेल2ब्यान आफैं सेटअप गर्दा परिवर्तन गर्न चाहानुहुन्छ:

• बेवास्ता गर्नुहोस् — यो प्यारामिटर प्रयोग गरेर तपाईंले एक विशिष्ट ip वा सबनेट निर्दिष्ट गर्न सक्नुहुन्छ जसबाट Fail2Ban ले ठेगानाहरू जाँच गर्नु हुँदैन। नियमको रूपमा, इन्टरप्राइजको आन्तरिक नेटवर्क र अन्य विश्वसनीय ठेगानाहरू बेवास्ता गरिएकाहरूको सूचीमा थपिएका छन्।
• ब्यानटाइम - अपराधीलाई प्रतिबन्ध लगाउने समय। सेकेन्ड मा मापन। -१ को मान भनेको स्थायी प्रतिबन्ध हो।
• Maxretry - एक आईपी ठेगानाले सर्भर पहुँच गर्न प्रयास गर्न सक्ने अधिकतम संख्या।
• सेंडमेल — Fail2Ban ट्रिगर हुँदा स्वचालित रूपमा इमेल सूचनाहरू पठाउन अनुमति दिने सेटिङ।
• समय खोज्नुहोस् - एक सेटिङ जसले तपाईंलाई समय अन्तराल सेट गर्न अनुमति दिन्छ जुन पछि IP ठेगानाले असफल प्रयासहरूको अधिकतम संख्या समाप्त भएपछि पुन: सर्भर पहुँच गर्न प्रयास गर्न सक्छ (maxretry प्यारामिटर)

Fail2Ban सेटिङहरूसँग फाइल बचत गरेपछि, बाँकी सबै आदेश प्रयोग गरेर यो उपयोगिता पुन: सुरु गर्न हो। सेवा fail2ban पुन: सुरु गर्नुहोस्। पुन: सुरु गरेपछि, मुख्य Zimbra लगहरू नियमित अभिव्यक्तिहरूको अनुपालनको लागि निरन्तर निगरानी गर्न सुरु हुनेछ। यसका लागि धन्यवाद, प्रशासकले जिम्ब्रा कोलाबोरेसन सुइट ओपन-स्रोत संस्करण मेलबक्सहरू मात्र नभई Zimbra कोलाबोरेसन सुइट ओपन-स्रोत संस्करण मेलबक्सहरूमा प्रवेश गर्ने आक्रमणकारीको कुनै पनि सम्भावनालाई वस्तुतः हटाउन सक्षम हुनेछ, तर Zimbra OSE भित्र चल्ने सबै सेवाहरूलाई पनि सुरक्षित गर्न, र अनाधिकृत पहुँच प्राप्त गर्ने कुनै पनि प्रयासहरूको बारेमा पनि सचेत हुनुहुनेछ। ।

Zextras Suite सम्बन्धी सबै प्रश्नहरूको लागि, तपाईंले Zextras Ekaterina Triandafilidi को प्रतिनिधिलाई इ-मेलद्वारा सम्पर्क गर्न सक्नुहुन्छ। [ईमेल सुरक्षित]

स्रोत: www.habr.com