Vitajte! Dnes vám povieme, ako vykonať počiatočné nastavenia poštovej brány – E-mailové bezpečnostné riešenia Fortinet. V priebehu článku zvážime rozloženie, s ktorým budeme pracovať, vykonáme konfiguráciu , ktorý je potrebný na príjem a kontrolu listov, a tiež otestovať jeho výkon. Na základe našich skúseností môžeme smelo povedať, že proces je veľmi jednoduchý a aj po minimálnej konfigurácii vidíte výsledky.
Začnime s aktuálnym rozložením. Je to znázornené na obrázku nižšie.
Vpravo vidíme počítač externého používateľa, z ktorého budeme odosielať poštu používateľovi vo vnútornej sieti. Počítač používateľa, radič domény so serverom DNS a poštový server sú umiestnené vo vnútornej sieti. Na okraji siete je firewall – FortiGate, ktorého hlavnou funkciou je konfigurácia presmerovania SMTP a DNS prevádzky.
Venujme zvláštnu pozornosť DNS.
Na smerovanie elektronickej pošty na internete sa používajú dva záznamy DNS, záznam A a záznam MX. Zvyčajne sú tieto DNS záznamy konfigurované na verejnom DNS serveri, ale kvôli obmedzeniam rozloženia DNS jednoducho preposielame cez firewall (to znamená, že externý používateľ má ako DNS server adresu 10.10.30.210).
MX záznam - záznam obsahujúci názov poštového servera obsluhujúceho doménu, ako aj prioritu tohto poštového servera. V našom prípade to vyzerá takto: test.local -> mail.test.local 10.
Záznam je záznam, ktorý prevádza názov domény na IP adresu, máme toto: mail.test.local -> 10.10.30.210.
Keď sa náš externý používateľ pokúsi poslať e-mail na adresu [chránené e-mailom], požiada svoj server DNS MX o záznam domény test.local. Náš DNS server odpovie názvom poštového servera - mail.test.local. Teraz používateľ potrebuje získať IP adresu tohto servera, takže sa vráti k DNS pre záznam A a získa IP adresu 10.10.30.210 (áno, opäť jeho :) ). Môžete poslať list. Preto sa snaží nadviazať spojenie s prijatou IP adresou na porte 25. Pomocou pravidiel na firewalle sa toto spojenie prepošle na poštový server.
Preverme si funkčnosť pošty v aktuálnom stave rozloženia. Na tento účel na počítači externého používateľa použijeme nástroj swaks. S jeho pomocou môžete otestovať výkon SMTP odoslaním e-mailu príjemcovi so sadou rôznych parametrov. Predtým už bol na poštovom serveri nastavený používateľ s poštovou schránkou [chránené e-mailom]. Skúsme mu poslať e-mail:
Teraz poďme na počítač interného používateľa a uistite sa, že list prišiel:
List naozaj prišiel (v zozname je zvýraznený). Rozloženie teda funguje správne. Je čas prejsť na FortiMail. Pridajme naše rozloženie:
FortiMail je možné nasadiť v troch režimoch:
- Brána - funguje ako plnohodnotný MTA: prevezme všetku poštu na seba, skontroluje ju a potom ju odošle na poštový server;
- Transparent - alebo inak, transparentný režim. Inštaluje sa pred server a kontroluje prichádzajúcu a odchádzajúcu poštu. Potom ho odošle na server. Nevyžaduje žiadne zmeny konfigurácie siete.
- Server - v tomto prípade je FortiMail plnohodnotný poštový server s možnosťou vytvárania poštových schránok, prijímania a odosielania pošty, ako aj s ďalšími funkciami.
FortiMail budeme nasadzovať v režime Gateway. Poďme na nastavenia virtuálneho počítača. Prihlasovacie meno je admin, heslo nie je nastavené. Pri prvom prihlásení si musíte nastaviť nové heslo.
Teraz nakonfigurujme virtuálny stroj na prístup k webovému rozhraniu. Je tiež potrebné, aby mal stroj prístup na internet. Poďme nastaviť rozhranie. Potrebujeme iba port1. Pomocou neho sa pripojíme k webovému rozhraniu a poslúži aj na prístup na internet. Na aktualizáciu služieb (antivírusové podpisy atď.) je potrebný prístup na internet. Ak chcete konfigurovať, zadajte príkazy:
konfiguračné systémové rozhranie
upraviť port 1
nastaviť IP 192.168.1.40 255.255.255.0
nastaviť povolenie prístupu https http ssh ping
koniec
Teraz nastavíme smerovanie. Ak to chcete urobiť, zadajte nasledujúce príkazy:
konfigurovať systémovú cestu
upraviť 1
nastaviť bránu 192.168.1.1
nastaviť port rozhrania 1
koniec
Pri zadávaní príkazov môžete použiť tabulátory, aby ste sa vyhli ich úplnému zadávaniu. Ak ste zabudli, ktorý príkaz by mal pokračovať, môžete použiť kláves „?“.
Teraz skontrolujeme vaše internetové pripojenie. Ak to chcete urobiť, odošlite príkaz ping na server Google DNS:
Ako vidíte, máme internet. Počiatočné nastavenia, ktoré sú špecifické pre všetky zariadenia Fortinet, sú dokončené, teraz môžete prejsť ku konfigurácii cez webové rozhranie. Ak to chcete urobiť, otvorte riadiacu stránku:
Upozorňujeme, že musíte nasledovať odkaz vo formáte /admin. V opačnom prípade sa nebudete môcť dostať na ovládaciu stránku. Štandardne je stránka v štandardnom konfiguračnom režime. Pre nastavenia potrebujeme pokročilý režim. Poďme do ponuky admin->Zobraziť a prepnite režim na Rozšírené:
Teraz si musíme stiahnuť skúšobnú licenciu. Môžete to urobiť v ponuke Licenčné informácie → VM → Aktualizácia:
Ak nemáte skúšobnú licenciu, môžete o ňu požiadať kontaktovaním .
Po zadaní licencie by sa malo zariadenie reštartovať. V budúcnosti začne sťahovať aktualizácie svojich databáz zo serverov. Ak sa tak nestane automaticky, môžete prejsť do ponuky Systém → FortiGuard a kliknúť na tlačidlo Aktualizovať teraz na záložkách Antivírus, Antispam.
Ak to nepomôže, môžete zmeniť porty používané na aktualizácie. Zvyčajne sa potom objavia všetky licencie. Nakoniec by to malo vyzerať takto:
Nastavme si správne časové pásmo, to sa nám bude hodiť pri skúmaní denníkov. Ak to chcete urobiť, prejdite do ponuky Systém → Konfigurácia:
Nakonfigurujeme aj DNS. Ako hlavný DNS server nastavíme interný DNS server a ako zálohu necháme DNS server poskytovaný Fortinetom.
Teraz prejdime k tomu najzaujímavejšiemu. Ako ste si mohli všimnúť, v predvolenom nastavení je zariadenie nastavené na režim Brána. Takže to nemusíme meniť. Poďme do poľa Doména a používateľ → Doména. Vytvorme novú doménu, ktorú je potrebné chrániť. Tu musíme zadať iba názov domény a adresu poštového servera (môžete zadať aj názov jeho domény, v našom prípade mail.test.local):
Teraz musíme zadať názov našej poštovej brány. Bude sa používať v záznamoch MX a A, ktoré budeme musieť neskôr zmeniť:
Položky Host Name a Local Domain Name tvoria FQDN, ktorý sa používa v záznamoch DNS. V našom prípade FQDN = fortimail.test.local.
Teraz nastavíme pravidlo prijímania. Potrebujeme, aby všetky e-maily, ktoré prichádzajú zvonku a sú priradené používateľovi v doméne, boli preposlané na poštový server. Ak to chcete urobiť, prejdite do ponuky Zásady → Kontrola prístupu. Príklad nastavenia je uvedený nižšie:
Pozrime sa na kartu Zásady príjemcu. Tu môžete nastaviť určité pravidlá kontroly správ: ak pošta prichádza z domény example1.com, musíte ju skontrolovať pomocou mechanizmov nakonfigurovaných špeciálne pre túto doménu. Pre všetku poštu je už nastavené predvolené pravidlo a zatiaľ nám to vyhovuje. Toto pravidlo môžete vidieť na obrázku nižšie:
Týmto je nastavenie na FortiMail dokončené. V skutočnosti je možných parametrov oveľa viac, no ak začneme všetky zvažovať, môžeme napísať knihu :) A naším cieľom je spustiť FortiMail v testovacom režime s minimálnym úsilím.
Zostávajú dve veci - zmeniť záznamy MX a A a tiež zmeniť pravidlá presmerovania portov na firewalle.
Záznam MX test.local -> mail.test.local 10 je potrebné zmeniť na test.local -> fortimail.test.local 10. Zvyčajne sa však počas pilotovania pridáva druhý záznam MX s vyššou prioritou. Napríklad:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Pripomínam, že čím nižšie je číslo preferencie poštového servera v zázname MX, tým vyššia je jeho priorita.
Záznam sa nedá zmeniť, tak si vytvorte nový: fortimail.test.local -> 10.10.30.210. Externý používateľ zadá adresu 10.10.30.210 na porte 25 a firewall prepošle spojenie na FortiMail.
Ak chcete zmeniť pravidlo preposielania na FortiGate, musíte zmeniť adresu v príslušnom objekte virtuálnej IP:
Všetko je pripravené. Skontrolujme to. Opäť odošleme e-mail z počítača externého používateľa. Teraz poďme na FortiMail v menu Monitor → Protokoly. V poli História môžete vidieť záznam, že list bol prijatý. Ak chcete získať ďalšie informácie, kliknite pravým tlačidlom myši na položku a vyberte položku Podrobnosti:
Na dokončenie obrazu si skontrolujme, či FortiMail v aktuálnej konfigurácii dokáže blokovať e-maily obsahujúce spam a vírusy. Aby sme to urobili, pošlime skúšobný vírus eicar a skúšobný e-mail nájdený v jednej z databáz spamu (http://untroubled.org/spam/). Potom sa vráťme do ponuky zobrazenia denníka:
Ako vidíte, spam aj list s vírusom boli úspešne identifikované.
Táto konfigurácia postačuje na zabezpečenie základnej ochrany pred vírusmi a spamom. Funkcionalita FortiMail sa však neobmedzuje len na toto. Pre efektívnejšiu ochranu si musíte naštudovať dostupné mechanizmy a prispôsobiť ich svojim potrebám. V budúcnosti plánujeme pokryť ďalšie, pokročilejšie funkcie tejto poštovej brány.
Ak máte nejaké ťažkosti alebo otázky týkajúce sa riešenia, napíšte ich do komentárov, pokúsime sa na ne rýchlo odpovedať.
Na otestovanie riešenia môžete zanechať žiadosť o skúšobnú licenciu .
Autor: Alexey Nikulin. Inžinier informačnej bezpečnosti Fortiservice.
Zdroj: hab.com