Зимбра Цоллаборатион Суите Опен-Соурце Едитион има неколико моћних алата за осигурање безбедности информација. Међу њима - решење за заштиту мејл сервера од напада са ботнета, ЦламАВ - антивирус који може да скенира долазне датотеке и писма у потрази за инфекцијом злонамерним програмима, као и - један од најбољих спам филтера данас. Међутим, ови алати нису у могућности да заштите Зимбра ОСЕ од напада грубом силом. Не најелегантније, али ипак прилично ефикасне, бруталне лозинке помоћу посебног речника су испуњене не само вероватноћом успешног хаковања са свим последицама које произилазе, већ и стварањем значајног оптерећења на серверу, који обрађује све неуспешни покушаји хаковања сервера са Зимбра ОСЕ.
У принципу, можете се заштитити од грубе силе користећи стандардне Зимбра ОСЕ алате. Подешавања безбедносне политике лозинке вам омогућавају да подесите број неуспешних покушаја уноса лозинке, након чега се потенцијално нападнути налог блокира. Главни проблем оваквог приступа је што настају ситуације у којима се рачуни једног или више запослених могу блокирати услед грубог напада на који они немају никакве везе, а застоји у раду запослених могу донети велике губитке. Компанија. Зато је најбоље не користити ову опцију заштите од грубе силе.
Да би се заштитио од грубе силе, много је прикладнији посебан алат под називом ДоСФилтер, који је уграђен у Зимбра ОСЕ и може аутоматски прекинути везу са Зимбра ОСЕ преко ХТТП-а. Другим речима, принцип рада ДоСФилтер-а је сличан принципу рада ПостСцреен-а, само што се користи за другачији протокол. Првобитно дизајниран да ограничи број радњи које један корисник може да изврши, ДоСФилтер такође може да обезбеди заштиту од грубе силе. Његова кључна разлика од алата уграђеног у Зимбру је у томе што после одређеног броја неуспешних покушаја не блокира самог корисника, већ ИП адресу са које се више пута покушава да се пријави на одређени налог. Захваљујући томе, администратор система може не само да заштити од грубе силе, већ и да избегне блокирање запослених у компанији једноставним додавањем интерне мреже своје компаније на листу поузданих ИП адреса и подмрежа.
Велика предност ДоСФилтер-а је што поред бројних покушаја да се пријавите на одређени налог, помоћу овог алата можете аутоматски блокирати оне нападаче који су преузели податке за аутентификацију запосленог, а затим се успешно пријавили на његов налог и почели да шаљу стотине захтева на сервер.
Можете да конфигуришете ДоСФилтер користећи следеће команде конзоле:
- зимбраХттпДосФилтерМакРекуестсПерСец — Користећи ову команду, можете подесити максималан број дозвољених веза за једног корисника. Подразумевано је ова вредност 30 веза.
- зимбраХттпДосФилтерДелаиМиллис - Користећи ову команду, можете подесити кашњење у милисекундама за везе које ће премашити ограничење одређено претходном командом. Поред целобројних вредности, администратор може да наведе 0, тако да уопште нема кашњења, и -1, тако да се све везе које прелазе наведену границу једноставно прекину. Подразумевана вредност је -1.
- зимбраХттпТхроттлеСафеИПс — Користећи ову команду, администратор може да одреди поуздане ИП адресе и подмреже које неће бити предмет горе наведених ограничења. Имајте на уму да синтакса ове команде може да варира у зависности од жељеног резултата. Тако, на пример, уносом команде змпров мцф зимбраХттпТхроттлеСафеИПс 127.0.0.1, потпуно ћете преписати целу листу и оставити само једну ИП адресу у њој. Ако унесете команду змпров мцф +зимбраХттпТхроттлеСафеИПс 127.0.0.1, ИП адреса коју сте унели биће додата на белу листу. Слично, користећи знак за одузимање, можете уклонити било коју ИП адресу са листе дозвољених.
Имајте на уму да ДоСФилтер може створити бројне проблеме када користите екстензије Зектрас Суите Про. Да бисте их избегли, препоручујемо да повећате број истовремених веза са 30 на 100 користећи команду змпров мцф зимбраХттпДосФилтерМакРекуестсПерСец 100. Поред тога, препоручујемо да интерну мрежу предузећа додате на листу дозвољених. Ово се може урадити помоћу команде змпров мцф +зимбраХттпТхроттлеСафеИПс 192.168.0.0/24. Након што извршите било какве измене у ДоСФилтер-у, обавезно поново покрените сервер поште помоћу наредбе зммаилбокдцтл рестарт.
Главни недостатак ДоСФилтер-а је то што ради на нивоу апликације и стога може само да ограничи способност нападача да спроводе различите акције на серверу, без ограничавања могућности повезивања на север. Због тога ће захтеви послати серверу за аутентификацију или слање писама, иако очигледно неће успети, и даље ће представљати добар стари ДоС напад, који се на тако високом нивоу не може зауставити.
Да бисте у потпуности обезбедили свој корпоративни сервер са Зимбра ОСЕ, можете да користите решење као што је Фаил2бан, који је оквир који може стално да надгледа евиденције информационог система за поновљене радње и блокира уљеза променом подешавања заштитног зида. Блокирање на тако ниском нивоу омогућава вам да онемогућите нападаче одмах у фази ИП везе са сервером. Дакле, Фаил2Бан може савршено допунити заштиту изграђену помоћу ДоСФилтер-а. Хајде да сазнамо како можете да повежете Фаил2Бан са Зимбра ОСЕ и на тај начин повећате безбедност ИТ инфраструктуре вашег предузећа.
Као и свака друга апликација пословне класе, Зимбра Цоллаборатион Суите Опен-Соурце Едитион чува детаљне евиденције свог рада. Већина њих се чува у фасцикли /опт/зимбра/лог/ у облику датотека. Ево само неких од њих:
- маилбок.лог — Дневници е-поште услуге Јетти
- аудит.лог - евиденције аутентификације
- цламд.лог — евиденција операција антивируса
- фресхцлам.лог - евиденције ажурирања антивируса
- цонвертд.лог — евиденције претварача прилога
- зимбрастатс.цсв - евиденција перформанси сервера
Зимбра евиденције се такође могу наћи у датотеци /вар/лог/зимбра.лог, где се чувају дневници Постфикса и саме Зимбре.
Да бисмо заштитили наш систем од грубе силе, пратићемо маилбок.лог, аудит.лог и зимбра.лог.
Да би све функционисало, потребно је да су Фаил2Бан и иптаблес инсталирани на вашем серверу са Зимбра ОСЕ. Ако користите Убунту, то можете учинити помоћу команди дпкг -с фаил2бан, ако користите ЦентОС, ово можете проверити помоћу команди иум листа инсталирана фаил2бан. Ако немате инсталиран Фаил2Бан, онда његово инсталирање неће бити проблем, пошто је овај пакет доступан у скоро свим стандардним репозиторијумима.
Када је сав потребан софтвер инсталиран, можете почети са подешавањем Фаил2Бан. Да бисте то урадили, потребно је да креирате конфигурациону датотеку /етц/фаил2бан/филтер.д/зимбра.цонф, у којој ћемо писати регуларне изразе за Зимбра ОСЕ евиденције који ће одговарати нетачним покушајима пријављивања и покретати Фаил2Бан механизме. Ево примера садржаја зимбра.цонф са скупом регуларних израза који одговарају различитим грешкама које Зимбра ОСЕ испоручује када покушај аутентификације не успе:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Када се компајлирају регуларни изрази за Зимбра ОСЕ, време је да почнемо са уређивањем конфигурације самог Фаил2бан-а. Подешавања овог услужног програма налазе се у датотеци /етц/фаил2бан/јаил.цонф. За сваки случај, хајде да направимо његову резервну копију користећи команду цп /етц/фаил2бан/јаил.цонф /етц/фаил2бан/јаил.цонф.бак. Након тога, ову датотеку ћемо свести на приближно следећи облик:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Иако је овај пример прилично генерички, ипак је вредно објаснити неке од параметара које бисте можда желели да промените када сами подешавате Фаил2Бан:
- Игнореип — помоћу овог параметра можете одредити одређени ИП или подмрежу са које Фаил2Бан не треба да проверава адресе. По правилу, интерна мрежа предузећа и друге поуздане адресе се додају на листу игнорисаних.
- Бантиме — Време за које ће преступник бити забрањен. Мерено у секундама. Вредност -1 значи трајну забрану.
- Макретри — Максималан број пута да једна ИП адреса може да покуша да приступи серверу.
- Сендмаил — Поставка која вам омогућава да аутоматски шаљете обавештења е-поштом када се активира Фаил2Бан.
- Финдтиме — Подешавање које вам омогућава да подесите временски интервал након којег ИП адреса може поново да покуша да приступи серверу након што се исцрпи максимални број неуспешних покушаја (параметар макретри)
Након што сачувате датотеку са подешавањима Фаил2Бан, све што остаје је да поново покренете овај услужни програм помоћу команде рестарт сервиса фаил2бан. Након поновног покретања, главни Зимбра евиденције ће почети да се стално надгледају да ли су у складу са регуларним изразима. Захваљујући томе, администратор ће моћи да практично елиминише сваку могућност да нападач продре не само у поштанске сандучиће Зимбра Цоллаборатион Суите Опен-Соурце Едитион, већ и да заштити све услуге које раде у оквиру Зимбра ОСЕ, као и да буде свестан било каквих покушаја да се добије неовлашћени приступ .
За сва питања у вези са Зектрас Суите-ом можете контактирати представницу Зектрас Екатерину Триандафилиди путем е-поште [емаил заштићен]
Извор: ввв.хабр.цом