پرو ہوسٹر > بلاگ > انتظامیہ > Zimbra OSE کو وحشیانہ طاقت اور DoS حملوں سے بچائیں۔

Zimbra OSE کو وحشیانہ طاقت اور DoS حملوں سے بچائیں۔

Zimbra Collaboration Suite Open-Source Edition میں معلومات کی حفاظت کو یقینی بنانے کے لیے کئی طاقتور ٹولز ہیں۔ ان کے درمیان پوسٹ اسکرین - میل سرور کو بوٹنیٹس کے حملوں سے بچانے کا حل، کلیم اے وی - ایک اینٹی وائرس جو آنے والی فائلوں اور خطوط کو نقصان پہنچانے والے پروگراموں کے ساتھ انفیکشن کے لیے اسکین کر سکتا ہے۔ اسپام آساسن - آج کے بہترین سپیم فلٹرز میں سے ایک۔ تاہم، یہ ٹولز زمبرا OSE کو وحشیانہ طاقت کے حملوں سے بچانے سے قاصر ہیں۔ سب سے زیادہ خوبصورت نہیں، لیکن پھر بھی کافی موثر، ایک خاص لغت کا استعمال کرتے ہوئے بروٹ فورسنگ پاس ورڈ نہ صرف آنے والے تمام نتائج کے ساتھ کامیاب ہیکنگ کے امکانات سے بھرے ہیں، بلکہ سرور پر ایک اہم بوجھ کی تخلیق سے بھی بھرا ہوا ہے، جو تمام چیزوں پر کارروائی کرتا ہے۔ Zimbra OSE کے ساتھ سرور کو ہیک کرنے کی ناکام کوشش۔

Zimbra OSE کو وحشیانہ طاقت اور DoS حملوں سے بچائیں۔

اصولی طور پر، آپ معیاری Zimbra OSE ٹولز کا استعمال کرتے ہوئے اپنے آپ کو وحشیانہ طاقت سے بچا سکتے ہیں۔ پاس ورڈ کی حفاظتی پالیسی کی ترتیبات آپ کو پاس ورڈ داخل کرنے کی ناکام کوششوں کی تعداد کو سیٹ کرنے کی اجازت دیتی ہیں، جس کے بعد ممکنہ طور پر حملہ شدہ اکاؤنٹ کو بلاک کر دیا جاتا ہے۔ اس نقطہ نظر کے ساتھ بنیادی مسئلہ یہ ہے کہ ایسے حالات پیدا ہوتے ہیں جن میں ایک یا ایک سے زیادہ ملازمین کے اکاؤنٹس کسی ظالمانہ حملے کی وجہ سے بلاک ہو سکتے ہیں جس سے ان کا کوئی لینا دینا نہیں ہے، اور اس کے نتیجے میں ملازمین کے کام میں تاخیر سے بڑے نقصانات ہو سکتے ہیں۔ کمپنی. اس لیے بہتر ہے کہ بروٹ فورس کے خلاف تحفظ کے اس آپشن کو استعمال نہ کیا جائے۔

Zimbra OSE کو وحشیانہ طاقت اور DoS حملوں سے بچائیں۔

بروٹ فورس سے بچانے کے لیے، DoSFilter نامی ایک خاص ٹول زیادہ موزوں ہے، جو Zimbra OSE میں بنایا گیا ہے اور خود بخود HTTP کے ذریعے Zimbra OSE سے کنکشن ختم کر سکتا ہے۔ دوسرے الفاظ میں، DoSFilter کا آپریٹنگ اصول پوسٹ اسکرین کے آپریٹنگ اصول سے ملتا جلتا ہے، یہ صرف ایک مختلف پروٹوکول کے لیے استعمال ہوتا ہے۔ اصل میں ان اعمال کی تعداد کو محدود کرنے کے لیے ڈیزائن کیا گیا ہے جو ایک صارف انجام دے سکتا ہے، DoSFilter بروٹ فورس تحفظ بھی فراہم کر سکتا ہے۔ زمبرا میں بنائے گئے ٹول سے اس کا اہم فرق یہ ہے کہ ایک خاص تعداد میں ناکام کوششوں کے بعد، یہ خود صارف کو بلاک نہیں کرتا، بلکہ وہ IP ایڈریس جس سے کسی مخصوص اکاؤنٹ میں لاگ ان کرنے کی متعدد کوششیں کی جاتی ہیں۔ اس کی بدولت، ایک سسٹم ایڈمنسٹریٹر نہ صرف وحشیانہ طاقت سے بچا سکتا ہے، بلکہ اپنی کمپنی کے اندرونی نیٹ ورک کو قابل اعتماد آئی پی ایڈریس اور سب نیٹس کی فہرست میں شامل کرکے کمپنی کے ملازمین کو بلاک کرنے سے بھی بچ سکتا ہے۔

DoSFilter کا سب سے بڑا فائدہ یہ ہے کہ کسی خاص اکاؤنٹ میں لاگ ان کرنے کی متعدد کوششوں کے علاوہ، اس ٹول کا استعمال کرتے ہوئے آپ ان حملہ آوروں کو خود بخود بلاک کر سکتے ہیں جنہوں نے کسی ملازم کے تصدیقی ڈیٹا کو اپنے قبضے میں لیا، اور پھر کامیابی کے ساتھ اس کے اکاؤنٹ میں لاگ ان ہو کر سینکڑوں درخواستیں بھیجنا شروع کر دیں۔ سرور کو

آپ درج ذیل کنسول کمانڈز کا استعمال کرتے ہوئے DoSFilter کو تشکیل دے سکتے ہیں۔

  • zimbraHttpDosFilterMaxRequestsPerSec — اس کمانڈ کا استعمال کرتے ہوئے، آپ ایک صارف کے لیے زیادہ سے زیادہ کنکشن کی اجازت دے سکتے ہیں۔ پہلے سے طے شدہ طور پر یہ قیمت 30 کنکشن ہے۔
  • zimbraHttpDosFilterDelayMillis - اس کمانڈ کا استعمال کرتے ہوئے، آپ ان کنکشنز کے لیے ملی سیکنڈ میں تاخیر سیٹ کر سکتے ہیں جو پچھلی کمانڈ کے ذریعے متعین کردہ حد سے تجاوز کر جائے گی۔ عددی اقدار کے علاوہ، منتظم 0 کی وضاحت کر سکتا ہے، تاکہ کوئی تاخیر نہ ہو، اور -1، تاکہ تمام کنکشن جو مخصوص حد سے تجاوز کر جائیں، آسانی سے منقطع ہو جائیں۔ پہلے سے طے شدہ قیمت -1 ہے۔
  • zimbraHttpThrottleSafeIPs — اس کمانڈ کا استعمال کرتے ہوئے، منتظم قابل اعتماد IP پتے اور ذیلی نیٹ کی وضاحت کر سکتا ہے جو اوپر دی گئی پابندیوں کے تابع نہیں ہوں گے۔ نوٹ کریں کہ مطلوبہ نتائج کے لحاظ سے اس کمانڈ کا نحو مختلف ہو سکتا ہے۔ تو، مثال کے طور پر، کمانڈ درج کرکے zmprov mcf zimbraHttpThrottleSafeIPs 127.0.0.1آپ پوری فہرست کو مکمل طور پر اوور رائٹ کر دیں گے اور اس میں صرف ایک IP ایڈریس چھوڑ دیں گے۔ اگر آپ کمانڈ درج کریں۔ zmprov mcf +zimbraHttpThrottleSafeIPs 127.0.0.1آپ نے جو IP ایڈریس درج کیا ہے اسے سفید فہرست میں شامل کر دیا جائے گا۔ اسی طرح، گھٹانے کے نشان کا استعمال کرتے ہوئے، آپ اجازت شدہ فہرست سے کسی بھی IP کو ہٹا سکتے ہیں۔

براہ کرم نوٹ کریں کہ DoSFilter Zextras Suite Pro ایکسٹینشنز استعمال کرتے وقت کئی مسائل پیدا کر سکتا ہے۔ ان سے بچنے کے لیے، ہم کمانڈ کا استعمال کرتے ہوئے بیک وقت کنکشن کی تعداد کو 30 سے ​​100 تک بڑھانے کی تجویز کرتے ہیں۔ zmprov mcf zimbraHttpDosFilterMaxRequestsPerSec 100. اس کے علاوہ، ہم اجازت والے افراد کی فہرست میں انٹرپرائز کے اندرونی نیٹ ورک کو شامل کرنے کی تجویز کرتے ہیں۔ یہ کمانڈ کا استعمال کرتے ہوئے کیا جا سکتا ہے۔ zmprov mcf +zimbraHttpThrottleSafeIPs 192.168.0.0/24. DoSFilter میں کوئی تبدیلی کرنے کے بعد، کمانڈ کا استعمال کرتے ہوئے اپنے میل سرور کو دوبارہ شروع کرنا یقینی بنائیں zmmailboxdctl دوبارہ شروع کریں۔.

DoSFilter کا سب سے بڑا نقصان یہ ہے کہ یہ ایپلیکیشن کی سطح پر کام کرتا ہے اور اس لیے حملہ آوروں کی سرور پر مختلف کارروائیاں کرنے کی صلاحیت کو محدود کر سکتا ہے، بغیر شمال سے جڑنے کی صلاحیت کو محدود کیے بغیر۔ اس کی وجہ سے، سرور کو تصدیق یا خطوط بھیجنے کے لیے بھیجی گئی درخواستیں، اگرچہ وہ ظاہر ہے کہ ناکام ہوں گی، پھر بھی ایک اچھے پرانے DoS حملے کی نمائندگی کریں گی، جسے اتنی اعلیٰ سطح پر روکا نہیں جا سکتا۔

Zimbra OSE کے ساتھ اپنے کارپوریٹ سرور کو مکمل طور پر محفوظ کرنے کے لیے، آپ Fail2ban جیسے حل کا استعمال کر سکتے ہیں، جو ایک ایسا فریم ورک ہے جو بار بار کی جانے والی کارروائیوں کے لیے انفارمیشن سسٹم لاگز کو مسلسل مانیٹر کر سکتا ہے اور فائر وال کی ترتیبات کو تبدیل کر کے مداخلت کرنے والے کو روک سکتا ہے۔ اتنی کم سطح پر بلاک کرنے سے آپ حملہ آوروں کو سرور سے آئی پی کنکشن کے مرحلے پر ہی غیر فعال کر سکتے ہیں۔ اس طرح، Fail2Ban DoSFilter کا استعمال کرتے ہوئے بنائے گئے تحفظ کو مکمل طور پر مکمل کر سکتا ہے۔ آئیے معلوم کریں کہ آپ Fail2Ban کو Zimbra OSE کے ساتھ کیسے جوڑ سکتے ہیں اور اس طرح آپ کے انٹرپرائز کے IT انفراسٹرکچر کی سیکیورٹی میں اضافہ کر سکتے ہیں۔

کسی دوسرے انٹرپرائز کلاس ایپلی کیشن کی طرح، Zimbra Collaboration Suite Open-Source Edition اپنے کام کے تفصیلی لاگز رکھتا ہے۔ ان میں سے زیادہ تر فولڈر میں محفوظ ہیں۔ /opt/zimbra/log/ فائلوں کی شکل میں۔ یہاں ان میں سے چند ایک ہیں:

  • mailbox.log — جیٹی میل سروس لاگز
  • audit.log - تصدیقی نوشتہ جات
  • clamd.log — اینٹی وائرس آپریشن لاگز
  • freshclam.log - اینٹی وائرس اپ ڈیٹ لاگز
  • convertd.log — اٹیچمنٹ کنورٹر لاگز
  • zimbrastats.csv - سرور کی کارکردگی کے نوشتہ جات

زمبرا لاگز فائل میں بھی مل سکتے ہیں۔ /var/log/zimbra.log، جہاں خود پوسٹ فکس اور زمبرا کے لاگ رکھے جاتے ہیں۔

اپنے نظام کو وحشیانہ طاقت سے بچانے کے لیے، ہم نگرانی کریں گے۔ mailbox.log, audit.log и zimbra.log.

ہر چیز کے کام کرنے کے لیے ضروری ہے کہ آپ کے سرور پر Zimbra OSE کے ساتھ Fail2Ban اور iptables انسٹال ہوں۔ اگر آپ Ubuntu استعمال کر رہے ہیں، تو آپ اسے کمانڈز کا استعمال کر کے کر سکتے ہیں۔ dpkg -s fail2ban، اگر آپ CentOS استعمال کرتے ہیں، تو آپ اسے کمانڈز کا استعمال کرکے چیک کرسکتے ہیں۔ yum فہرست fail2ban انسٹال ہوئی ہے۔. اگر آپ کے پاس Fail2Ban انسٹال نہیں ہے، تو اسے انسٹال کرنے میں کوئی مسئلہ نہیں ہوگا، کیونکہ یہ پیکیج تقریباً تمام معیاری ریپوزٹریز میں دستیاب ہے۔

تمام ضروری سافٹ ویئر انسٹال ہونے کے بعد، آپ Fail2Ban کو ترتیب دینا شروع کر سکتے ہیں۔ ایسا کرنے کے لیے آپ کو کنفیگریشن فائل بنانے کی ضرورت ہے۔ /etc/fail2ban/filter.d/zimbra.conf، جس میں ہم Zimbra OSE لاگز کے لیے ریگولر ایکسپریشنز لکھیں گے جو لاگ ان کی غلط کوششوں سے مماثل ہوں گے اور Fail2Ban میکانزم کو متحرک کریں گے۔ یہاں zimbra.conf کے مندرجات کی ایک مثال ہے جس میں ریگولر ایکسپریشنز کا ایک سیٹ ہے جو مختلف غلطیوں سے مطابقت رکھتا ہے جو کہ تصدیق کی کوشش ناکام ہونے پر Zimbra OSE پھینکتی ہے:

# Fail2Ban configuration file
 
[Definition]
failregex = [ip=<HOST>;] account - authentication failed for .* (no such account)$
                        [ip=<HOST>;] security - cmd=Auth; .* error=authentication failed for .*, invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=soap; error=authentication failed for .* invalid password;$
                        ;oip=<HOST>;.* security - cmd=Auth; .* protocol=imap; error=authentication failed for .* invalid password;$
                        [oip=<HOST>;.* SoapEngine - handler exception: authentication failed for .*, account not found$
                        WARN .*;ip=<HOST>;ua=ZimbraWebClient .* security - cmd=AdminAuth; .* error=authentication failed for .*;$

ignoreregex =

ایک بار Zimbra OSE کے لیے ریگولر ایکسپریشنز مرتب ہو جانے کے بعد، یہ وقت ہے کہ Fail2ban کی کنفیگریشن میں ترمیم شروع کر دیں۔ اس یوٹیلیٹی کی سیٹنگز فائل میں موجود ہیں۔ /etc/fail2ban/jail.conf. صرف اس صورت میں، آئیے کمانڈ کا استعمال کرتے ہوئے اس کی بیک اپ کاپی بنائیں cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.bak. اس کے بعد، ہم اس فائل کو تقریباً درج ذیل شکل تک کم کر دیں گے۔

# Fail2Ban configuration file
 
[DEFAULT]
ignoreip = 192.168.0.1/24
bantime = 600
findtime = 600
maxretry = 5
backend = auto
 
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
logpath = /var/log/messages
maxretry = 5
 
[sasl-iptables]
enabled = false
filter = sasl
backend = polling
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail-whois[name=sasl, [email protected]]
logpath = /var/log/zimbra.log
 
[ssh-tcpwrapper]
enabled = false
filter = sshd
action = hostsdeny
sendmail-whois[name=SSH, dest=support@ company.ru]
ignoreregex = for myuser from
logpath = /var/log/messages
 
[zimbra-account]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-account]
sendmail[name=zimbra-account, [email protected] ]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 5
 
[zimbra-audit]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, [email protected]]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 5
 
[zimbra-recipient]
enabled = true
filter = zimbra
action = iptables-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, [email protected]]
logpath = /var/log/zimbra.log
bantime = 172800
maxretry = 5
 
[postfix]
enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port=smtp, protocol=tcp]
sendmail-buffered[name=Postfix, [email protected]]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5

اگرچہ یہ مثال کافی عام ہے، پھر بھی یہ کچھ پیرامیٹرز کی وضاحت کرنے کے قابل ہے جنہیں آپ Fail2Ban کو ترتیب دیتے وقت تبدیل کرنا چاہتے ہیں:

  • نظر انداز کرنا — اس پیرامیٹر کا استعمال کرتے ہوئے آپ ایک مخصوص آئی پی یا سب نیٹ کی وضاحت کر سکتے ہیں جہاں سے Fail2Ban کو ایڈریس چیک نہیں کرنا چاہیے۔ ایک اصول کے طور پر، انٹرپرائز کے اندرونی نیٹ ورک اور دیگر قابل اعتماد پتوں کو نظر انداز کیے جانے والوں کی فہرست میں شامل کیا جاتا ہے۔
  • بین ٹائم - وہ وقت جس کے لیے مجرم پر پابندی لگائی جائے گی۔ سیکنڈوں میں ناپا جاتا ہے۔ -1 کی قدر کا مطلب مستقل پابندی ہے۔
  • Maxretry - ایک IP ایڈریس سرور تک رسائی حاصل کرنے کی زیادہ سے زیادہ بار کوشش کر سکتا ہے۔
  • ارسال کریں — ایک ترتیب جو آپ کو Fail2Ban کے متحرک ہونے پر خود بخود ای میل اطلاعات بھیجنے کی اجازت دیتی ہے۔
  • تلاش کا وقت - ایک ترتیب جو آپ کو وقت کا وقفہ مقرر کرنے کی اجازت دیتی ہے جس کے بعد زیادہ سے زیادہ ناکام کوششوں کے ختم ہونے کے بعد IP ایڈریس دوبارہ سرور تک رسائی کی کوشش کر سکتا ہے (maxretry پیرامیٹر)

فائل کو Fail2Ban سیٹنگز کے ساتھ محفوظ کرنے کے بعد، صرف اس یوٹیلیٹی کو کمانڈ کا استعمال کرتے ہوئے دوبارہ شروع کرنا ہے۔ سروس fail2ban دوبارہ شروع کریں۔. دوبارہ شروع ہونے کے بعد، مرکزی زمبرا لاگز کی باقاعدگی سے تاثرات کی تعمیل کے لیے مسلسل نگرانی شروع ہو جائے گی۔ اس کی بدولت، منتظم عملاً حملہ آور کے نہ صرف Zimbra Collaboration Suite Open-Source Edition میل باکسز میں گھسنے کے کسی بھی امکان کو ختم کرنے کے قابل ہو جائے گا، بلکہ Zimbra OSE کے اندر چلنے والی تمام خدمات کی حفاظت بھی کر سکے گا، اور غیر مجاز رسائی حاصل کرنے کی کسی بھی کوشش سے بھی باخبر رہے گا۔ .

Zextras Suite سے متعلق تمام سوالات کے لیے، آپ Zextras Ekaterina Triandafilidi کے نمائندے سے ای میل کے ذریعے رابطہ کر سکتے ہیں۔ [ای میل محفوظ]

ماخذ: www.habr.com

نیا تبصرہ شامل کریں