Добродошли! Данас ћемо вам рећи како да направите почетна подешавања мрежног пролаза за пошту – Фортинет безбедносна решења за е-пошту. У току чланка размотрићемо изглед са којим ћемо радити, извршићемо конфигурацију , који је неопходан за пријем и проверу писама, а такође и тестирање његовог учинка. На основу нашег искуства, можемо са сигурношћу рећи да је процес веома једноставан, а чак и након минималне конфигурације, можете видети резултате.
Почнимо са тренутним распоредом. То је приказано на слици испод.
Са десне стране видимо рачунар екстерног корисника са којег ћемо слати пошту кориснику на интерној мрежи. На интерној мрежи налазе се рачунар корисника, контролер домена са ДНС сервером и маил сервер. На ивици мреже налази се заштитни зид - ФортиГате, чија је главна карактеристика конфигурација прослеђивања СМТП и ДНС саобраћаја.
Обратимо посебну пажњу на ДНС.
Два ДНС записа се користе за усмеравање е-поште на Интернет, А запис и МКС запис. Обично се ови ДНС записи конфигуришу на јавном ДНС серверу, али због ограничења распореда ДНС једноставно прослеђујемо преко заштитног зида (то јест, спољни корисник има адресу 10.10.30.210 као ДНС сервер).
МКС запис - запис који садржи име сервера поште који опслужује домен, као и приоритет овог сервера поште. У нашем случају то изгледа овако: тест.лоцал -> маил.тест.лоцал 10.
Запис је запис који конвертује име домена у ИП адресу, имамо ово: маил.тест.лоцал -> 10.10.30.210.
Када наш спољни корисник покуша да пошаље е-пошту на [емаил заштићен], упитаће свој ДНС МКС сервер за запис домена тест.лоцал. Наш ДНС сервер ће одговорити именом сервера поште - маил.тест.лоцал. Сада корисник треба да добије ИП адресу овог сервера, па се враћа на ДНС по А запис и добија ИП адресу 10.10.30.210 (да, опет његову :) ). Можете послати писмо. Због тога покушава да успостави везу са примљеном ИП адресом на порту 25. Уз помоћ правила на заштитном зиду, ова веза се прослеђује на сервер поште.
Хајде да проверимо функционалност поште у тренутном стању изгледа. Да бисмо то урадили, на рачунару спољног корисника користићемо услужни програм свакс. Уз његову помоћ, можете тестирати перформансе СМТП-а слањем е-поште примаоцу са скупом различитих параметара. Претходно је корисник са поштанским сандучетом већ био подешен на серверу поште [емаил заштићен]. Хајде да покушамо да му пошаљемо имејл:
Сада идемо на машину интерног корисника и уверимо се да је писмо стигло:
Писмо је заиста стигло (на листи је истакнуто). То значи да распоред ради исправно. Сада је време да пређете на ФортиМаил. Хајде да додамо нашем изгледу:
ФортиМаил се може применити у три режима:
- Гатеваи - делује као пуноправни МТА: преузима сву пошту на себе, проверава је, а затим је прослеђује серверу поште;
- Транспарентан - или на неки други начин, транспарентан режим. Инсталира се испред сервера и проверава долазну и одлазну пошту. Након тога, шаље га на сервер. Не захтева промене конфигурације мреже.
- Сервер - у овом случају, ФортиМаил је пуноправни сервер за пошту са могућношћу креирања поштанских сандучића, примања и слања поште, као и са другим функцијама.
ФортиМаил ћемо применити у режиму мрежног пролаза. Идемо на подешавања виртуелне машине. Пријава је администратор, лозинка није постављена. Када се први пут пријавите, морате поставити нову лозинку.
Сада хајде да конфигуришемо виртуелну машину за приступ веб интерфејсу. Такође је неопходно да машина има приступ Интернету. Хајде да подесимо интерфејс. Потребан нам је само порт1. Са њим ћемо се повезати на веб интерфејс, а користиће се и за приступ Интернету. Приступ Интернету је потребан за ажурирање услуга (антивирусни потписи итд.). Да бисте конфигурисали, унесите команде:
конфигурациони системски интерфејс
уреди порт 1
сет ип 192.168.1.40 255.255.255.0
подесите дозвољени приступ хттпс хттп ссх пинг
крај
Сада да поставимо рутирање. Да бисте то урадили, унесите следеће команде:
рута конфигурационог система
уреди 1
постави мрежни пролаз 192.168.1.1
подесите порт интерфејса1
крај
Када уносите команде, можете користити табове да бисте избегли да их куцате у потпуности. Такође, ако сте заборавили која команда треба да иде следећа, можете користити тастер „?“.
Сада хајде да проверимо вашу интернет везу. Да бисте то урадили, пингујте Гоогле ДНС:
Као што видите, имамо интернет. Почетна подешавања која су специфична за све Фортинет уређаје су завршена, сада можете да пређете на конфигурацију преко веб интерфејса. Да бисте то урадили, отворите контролну страницу:
Имајте на уму да морате да пратите везу у формату /админ. У супротном, нећете моћи да дођете до странице за управљање. Подразумевано, страница је у режиму стандардне конфигурације. За подешавања нам је потребан напредни режим. Идемо у мени админ->Виев и пребацимо режим на напредни:
Сада морамо да преузмемо пробну лиценцу. Ово се може урадити у менију Информације о лиценци → ВМ → Ажурирање:
Ако немате пробну лиценцу, можете је затражити контактирањем .
Након уноса лиценце, уређај би требало да се поново покрене. У будућности ће почети да извлачи ажурирања својих база података са сервера. Ако се то не деси аутоматски, можете да одете у мени Систем → ФортиГуард и кликнете на дугме Ажурирај одмах на картицама Антивирус, Антиспам.
Ако ово не помогне, можете променити портове који се користе за ажурирања. Обично се након тога појављују све лиценце. На крају би требало да изгледа овако:
Хајде да поставимо исправну временску зону, ово ће нам добро доћи при испитивању дневника. Да бисте то урадили, идите на мени Систем → Конфигурација:
Такође ћемо конфигурисати ДНС. Као главни ДНС сервер, поставићемо интерни ДНС сервер, а као резервну копију оставићемо ДНС сервер који обезбеђује Фортинет.
Сада пређимо на најинтересантније. Као што сте можда приметили, уређај је подразумевано подешен на режим мрежног пролаза. Тако да не треба да га мењамо. Идемо на поље Домен и корисник → Домен. Хајде да направимо нови домен који треба заштитити. Овде само треба да наведемо име домена и адресу сервера (можете да наведете и име његовог домена, у нашем случају маил.тест.лоцал):
Сада морамо да дамо име за наш мрежни пролаз за пошту. Користиће се у МКС и А записима, које ћемо касније морати да променимо:
Ставке Име хоста и Име локалног домена чине ФКДН, који се користи у ДНС записима. У нашем случају, ФКДН = фортимаил.тест.лоцал.
Сада да поставимо правило примања. Потребни су нам сви мејлови који долазе споља и који су додељени кориснику у домену да би били прослеђени серверу поште. Да бисте то урадили, идите у мени Политика → Контрола приступа. Пример подешавања је приказан испод:
Погледајмо картицу Политика примаоца. Овде можете поставити одређена правила за проверу порука: ако пошта долази са домена екампле1.цом, потребно је да је проверите помоћу механизама конфигурисаних посебно за овај домен. Већ постоји подразумевано правило за сву пошту и за сада нам одговара. Ово правило можете видети на слици испод:
Ово завршава подешавање на ФортиМаил-у. У ствари, постоји много више могућих параметара, али ако почнемо да их разматрамо све, можемо написати књигу :) А наш циљ је да покренемо ФортиМаил у тест режиму уз минималан напор.
Остале су две ствари - промените МКС и А записе, а такође промените правила за прослеђивање портова на заштитном зиду.
МКС запис тест.лоцал -> маил.тест.лоцал 10 треба да се промени у тест.лоцал -> фортимаил.тест.лоцал 10. Али обично се други МКС запис вишег приоритета додаје током пилотирања. На пример:
тест.лоцал -> маил.тест.лоцал 10
тест.лоцал -> фортимаил.тест.лоцал 5
Дозволите ми да вас подсетим да што је нижи преферирани број сервера поште у МКС запису, то је његов приоритет већи.
Запис се не може променити, па хајде да направимо нови: фортимаил.тест.лоцал -> 10.10.30.210. Спољни корисник ће се обратити 10.10.30.210 на порту 25, а заштитни зид ће проследити везу на ФортиМаил.
Да бисте променили правило прослеђивања на ФортиГате-у, потребно је да промените адресу у одговарајућем виртуелном ИП објекту:
Све је спремно. Хајде да проверимо. Хајде да поново пошаљемо е-пошту са рачунара спољног корисника. Сада идемо на ФортиМаил у менију Монитор → Дневници. У пољу Историја можете видети запис да је писмо прихваћено. За више информација, можете да кликнете десним тастером миша на унос и изаберете Детаљи:
Да бисмо комплетирали слику, хајде да проверимо да ли ФортиМаил у тренутној конфигурацији може да блокира е-пошту која садржи нежељену пошту и вирусе. Да бисмо то урадили, пошаљимо пробни еицар вирус и пробну е-пошту која се налази у једној од база података нежељене поште (хттп://унтроублед.орг/спам/). После тога, вратимо се на мени приказа дневника:
Као што видите, и нежељена пошта и писмо са вирусом су успешно идентификовани.
Ова конфигурација је довољна да обезбеди основну заштиту од вируса и нежељене поште. Али функционалност ФортиМаил-а није ограничена на ово. За ефикаснију заштиту, потребно је да проучите доступне механизме и прилагодите их својим потребама. У будућности планирамо да покријемо и друге, напредније карактеристике овог мејл пролаза.
Ако имате било каквих потешкоћа или питања у вези са решењем, напишите их у коментарима, ми ћемо покушати да одговоримо на њих што пре.
Можете оставити захтев за пробну лиценцу да бисте тестирали решење .
Аутор: Алексеј Никулин. Фортисервице инжењер информационе безбедности.
Извор: ввв.хабр.цом