Toleo la Chanzo Huria la Zimbra Collaboration Suite lina zana kadhaa madhubuti za kuhakikisha usalama wa habari. Kati yao - suluhisho la kulinda seva ya barua kutokana na shambulio kutoka kwa botnets, ClamAV - antivirus ambayo inaweza kuchambua faili zinazoingia na barua za kuambukizwa na programu mbaya, na vile vile. - moja ya vichungi bora zaidi vya barua taka leo. Hata hivyo, zana hizi haziwezi kulinda Zimbra OSE kutokana na mashambulizi ya kikatili. Sio maneno ya kifahari zaidi, lakini bado yenye ufanisi kabisa, yenye kulazimisha kikatili kwa kutumia kamusi maalum imejaa sio tu uwezekano wa utapeli uliofanikiwa na matokeo yote yanayofuata, lakini pia na uundaji wa mzigo mkubwa kwenye seva, ambayo hushughulikia yote. majaribio yasiyofanikiwa ya kudukua seva kwa kutumia Zimbra OSE.
Kimsingi, unaweza kujikinga na nguvu ya kikatili kwa kutumia zana za kawaida za Zimbra OSE. Mipangilio ya sera ya usalama ya nenosiri hukuruhusu kuweka idadi ya majaribio ambayo hayajafaulu ya kuingiza nenosiri, baada ya hapo akaunti inayoweza kushambuliwa inazuiwa. Shida kuu na njia hii ni kwamba hali huibuka ambayo akaunti za mfanyakazi mmoja au zaidi zinaweza kuzuiwa kwa sababu ya shambulio la kikatili ambalo hawana la kufanya, na wakati wa kufanya kazi kwa wafanyikazi unaweza kuleta hasara kubwa. kampuni. Ndiyo maana ni bora kutotumia chaguo hili la ulinzi dhidi ya nguvu za brute.
Ili kulinda dhidi ya nguvu ya kikatili, chombo maalum kinachoitwa DoSFilter kinafaa zaidi, ambacho kimejengwa ndani ya Zimbra OSE na kinaweza kusitisha kiotomatiki muunganisho wa Zimbra OSE kupitia HTTP. Kwa maneno mengine, kanuni ya uendeshaji wa DoSFilter ni sawa na kanuni ya uendeshaji ya PostScreen, tu inatumika kwa itifaki tofauti. Hapo awali iliundwa ili kupunguza idadi ya vitendo ambavyo mtumiaji mmoja anaweza kufanya, DoSFilter pia inaweza kutoa ulinzi wa nguvu wa kinyama. Tofauti yake muhimu kutoka kwa chombo kilichojengwa katika Zimbra ni kwamba baada ya idadi fulani ya majaribio yasiyofanikiwa, haizuii mtumiaji mwenyewe, lakini anwani ya IP ambayo majaribio mengi yanafanywa kuingia kwenye akaunti fulani. Shukrani kwa hili, msimamizi wa mfumo hawezi tu kulinda dhidi ya nguvu kali, lakini pia kuepuka kuzuia wafanyakazi wa kampuni kwa kuongeza tu mtandao wa ndani wa kampuni yake kwenye orodha ya anwani za IP zinazoaminika na subnets.
Faida kubwa ya DoSFilter ni kwamba pamoja na majaribio mengi ya kuingia katika akaunti fulani, kwa kutumia zana hii unaweza kuzuia kiotomatiki wale washambuliaji ambao walichukua data ya uthibitishaji wa mfanyakazi, na kisha kuingia kwa ufanisi katika akaunti yake na kuanza kutuma mamia ya maombi. kwa seva.
Unaweza kusanidi DoSFilter kwa kutumia amri zifuatazo za kiweko:
- zimbraHttpDosFilterMaxRequestsPerSec — Kwa kutumia amri hii, unaweza kuweka idadi ya juu zaidi ya miunganisho inayoruhusiwa kwa mtumiaji mmoja. Kwa chaguo-msingi thamani hii ni miunganisho 30.
- zimbraHttpDosFilterDelayMillis - Kwa kutumia amri hii, unaweza kuweka ucheleweshaji katika milisekunde kwa miunganisho ambayo itazidi kikomo kilichotajwa na amri ya awali. Mbali na maadili kamili, msimamizi anaweza kutaja 0, ili hakuna kuchelewa kabisa, na -1, ili miunganisho yote inayozidi kikomo maalum inaingiliwa tu. Thamani chaguo-msingi ni -1.
- zimbraHttpThrottleSafeIPs - Kwa kutumia amri hii, msimamizi anaweza kutaja anwani za IP zinazoaminika na subnets ambazo hazitakuwa chini ya vikwazo vilivyoorodheshwa hapo juu. Kumbuka kwamba syntax ya amri hii inaweza kutofautiana kulingana na matokeo unayotaka. Kwa hiyo, kwa mfano, kwa kuingia amri zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1, utabatilisha kabisa orodha nzima na kuacha anwani moja tu ya IP ndani yake. Ikiwa utaingiza amri zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1, anwani ya IP uliyoingiza itaongezwa kwenye orodha nyeupe. Vile vile, kwa kutumia ishara ya kutoa, unaweza kuondoa IP yoyote kutoka kwenye orodha inayoruhusiwa.
Tafadhali kumbuka kuwa DoSFilter inaweza kuleta matatizo kadhaa unapotumia viendelezi vya Zextras Suite Pro. Ili kuziepuka, tunapendekeza kuongeza idadi ya miunganisho ya wakati mmoja kutoka 30 hadi 100 kwa kutumia amri. zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. Kwa kuongeza, tunapendekeza kuongeza mtandao wa ndani wa biashara kwenye orodha ya wale wanaoruhusiwa. Hii inaweza kufanywa kwa kutumia amri zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. Baada ya kufanya mabadiliko yoyote kwenye DoSFilter, hakikisha kuwa umeanzisha upya seva yako ya barua kwa kutumia amri zmmailboxdctl kuanzisha upya.
Hasara kuu ya DoSFilter ni kwamba inafanya kazi katika kiwango cha maombi na kwa hiyo inaweza tu kupunguza uwezo wa washambuliaji kutekeleza vitendo mbalimbali kwenye seva, bila kupunguza uwezo wa kuunganisha kaskazini. Kwa sababu hii, maombi yaliyotumwa kwa seva ya uthibitishaji au kutuma barua, ingawa bila shaka yatashindwa, bado yatawakilisha shambulio nzuri la zamani la DoS, ambalo haliwezi kusimamishwa kwa kiwango cha juu sana.
Ili kulinda kabisa seva yako ya shirika na Zimbra OSE, unaweza kutumia suluhisho kama vile Fail2ban, ambayo ni mfumo ambao unaweza kufuatilia mara kwa mara kumbukumbu za mfumo wa habari kwa vitendo vinavyorudiwa na kuzuia mvamizi kwa kubadilisha mipangilio ya ngome. Kuzuia kwa kiwango cha chini kama hicho hukuruhusu kuzima washambuliaji moja kwa moja kwenye hatua ya unganisho la IP kwa seva. Kwa hivyo, Fail2Ban inaweza kukamilisha kikamilifu ulinzi uliojengwa kwa kutumia DoSFilter. Hebu tujue jinsi unavyoweza kuunganisha Fail2Ban na Zimbra OSE na hivyo kuongeza usalama wa miundombinu ya IT ya biashara yako.
Kama programu nyingine yoyote ya kiwango cha biashara, Toleo la Open-Chanzo la Zimbra Collaboration Suite huhifadhi kumbukumbu za kina za kazi yake. Wengi wao huhifadhiwa kwenye folda /chagua/zimbra/logi/ kwa namna ya faili. Hapa ni baadhi tu yao:
- mailbox.log - kumbukumbu za huduma ya barua pepe
- audit.log - kumbukumbu za uthibitishaji
- clamd.log - kumbukumbu za operesheni ya antivirus
- freshclam.log - kumbukumbu za sasisho za antivirus
- convertd.log - kumbukumbu za kibadilishaji kiambatisho
- zimbrastats.csv - kumbukumbu za utendaji wa seva
Kumbukumbu za Zimbra pia zinaweza kupatikana kwenye faili /var/log/zimbra.log, ambapo magogo ya Postfix na Zimbra yenyewe huwekwa.
Ili kulinda mfumo wetu dhidi ya nguvu za kinyama, tutafuatilia kisanduku cha barua.logi, logi.ya ukaguzi и zimbra.log.
Ili kila kitu kifanye kazi, ni muhimu kwamba Fail2Ban na iptables zimewekwa kwenye seva yako na Zimbra OSE. Ikiwa unatumia Ubuntu, unaweza kufanya hivyo kwa kutumia amri dpkg -s fail2ban, ikiwa unatumia CentOS, unaweza kuangalia hii kwa kutumia amri yum list imewekwa fail2ban. Ikiwa huna Fail2Ban iliyosakinishwa, basi kuiweka haitakuwa tatizo, kwani kifurushi hiki kinapatikana karibu na hifadhi zote za kawaida.
Baada ya programu zote muhimu kusakinishwa, unaweza kuanza kusanidi Fail2Ban. Ili kufanya hivyo unahitaji kuunda faili ya usanidi /etc/fail2ban/filter.d/zimbra.conf, ambamo tutaandika misemo ya kawaida kwa kumbukumbu za Zimbra OSE ambazo zitalingana na majaribio yasiyo sahihi ya kuingia na kuanzisha mifumo ya Fail2Ban. Huu hapa ni mfano wa yaliyomo katika zimbra.conf na seti ya misemo ya kawaida inayolingana na hitilafu mbalimbali ambazo Zimbra OSE hutupa wakati jaribio la uthibitishaji litashindwa:
# Fail2Ban configuration file
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
[ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
[oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$
ignoreregex =Baada ya misemo ya kawaida ya Zimbra OSE kukusanywa, ni wakati wa kuanza kuhariri usanidi wa Fail2ban yenyewe. Mipangilio ya shirika hili iko kwenye faili /etc/fail2ban/jail.conf. Ikiwezekana, wacha tutengeneze nakala ya nakala yake kwa kutumia amri cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. Baada ya hapo, tutapunguza faili hii kwa takriban fomu ifuatayo:
# Fail2Ban configuration file
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=admin@company.ru, sender=fail2ban@company.ru]
logpath = /var/log/messages
maxretry = 5
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, dest=support@company.ru]
logpath = /var/log/zimbra.log
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, dest=support@company.ru ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, dest=support@company.ru]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, dest=support@company.ru]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5Ingawa mfano huu ni wa kawaida kabisa, bado inafaa kuelezea baadhi ya vigezo ambavyo unaweza kutaka kubadilisha wakati wa kusanidi Fail2Ban mwenyewe:
- Puuza — kwa kutumia kigezo hiki unaweza kubainisha ip maalum au subnet ambayo Fail2Ban haipaswi kuangalia anwani. Kama sheria, mtandao wa ndani wa biashara na anwani zingine zinazoaminika huongezwa kwenye orodha ya zilizopuuzwa.
- Bantime - Muda ambao mkosaji atapigwa marufuku. Imepimwa kwa sekunde. Thamani ya -1 inamaanisha marufuku ya kudumu.
- Jaribu Maxre - Idadi ya juu ya mara ambazo anwani moja ya IP inaweza kujaribu kufikia seva.
- barua pepe - Mpangilio unaokuruhusu kutuma arifa za barua pepe kiotomatiki wakati Fail2Ban imeanzishwa.
- Wakati wa kupata - Mpangilio unaokuruhusu kuweka muda ambao baada ya hapo anwani ya IP inaweza kujaribu kufikia seva tena baada ya kumalizika kwa idadi ya juu ya majaribio ambayo hayakufanikiwa (kigezo cha maxretry)
Baada ya kuhifadhi faili na mipangilio ya Fail2Ban, kilichobaki ni kuanzisha upya shirika hili kwa kutumia amri service fail2ban kuanzisha upya. Baada ya kuanza upya, kumbukumbu kuu za Zimbra zitaanza kufuatiliwa mara kwa mara kwa kufuata maneno ya kawaida. Shukrani kwa hili, msimamizi ataweza kuondoa kabisa uwezekano wowote wa mshambuliaji kupenya sio tu sanduku za barua za Toleo la Ushirikiano la Zimbra, lakini pia kulinda huduma zote zinazoendeshwa ndani ya Zimbra OSE, na pia kuwa na ufahamu wa majaribio yoyote ya kupata ufikiaji usioidhinishwa. .
Kwa maswali yote yanayohusiana na Zextras Suite, unaweza kuwasiliana na Mwakilishi wa Zextras Ekaterina Triandafilidi kwa barua pepe katerina@zextras.com
Chanzo: mapenzi.com
