Sự phát triển nhanh chóng của thiết bị điện tử cầm tay và đặc biệt là điện thoại thông minh và máy tính bảng đã tạo ra rất nhiều thách thức mới đối với vấn đề bảo mật thông tin của doanh nghiệp. Thật vậy, nếu trước đây tất cả an ninh mạng đều dựa trên việc tạo ra một vành đai an toàn và sự bảo vệ sau đó thì giờ đây, khi hầu hết mọi nhân viên đều sử dụng thiết bị di động của riêng mình để giải quyết các vấn đề trong công việc, việc kiểm soát vành đai bảo mật đã trở nên rất khó khăn. Điều này đặc biệt đúng đối với các doanh nghiệp lớn, trong đó mỗi nhân viên có thông tin đăng nhập và mật khẩu cho email và các tài nguyên khác của công ty. Thông thường, khi mua điện thoại thông minh hoặc máy tính bảng mới, nhân viên doanh nghiệp nhập thông tin đăng nhập của mình vào đó, thường quên đăng xuất trên thiết bị cũ. Ngay cả khi chỉ có 5% số nhân viên vô trách nhiệm như vậy trong doanh nghiệp mà không có sự kiểm soát thích hợp của quản trị viên, thì tình trạng truy cập của thiết bị di động vào máy chủ thư sẽ rất nhanh chóng trở thành một mớ hỗn độn thực sự.
Ngoài ra, các thiết bị di động thường bị mất hoặc bị đánh cắp và sau đó được sử dụng để tìm kiếm bằng chứng buộc tội cũng như quyền truy cập vào tài nguyên của công ty và dữ liệu bí mật thương mại. Thông thường, tác hại lớn nhất đối với an ninh mạng của doanh nghiệp đến từ việc những kẻ tấn công giành được quyền truy cập vào email của nhân viên. Nhờ đó, họ có thể có quyền truy cập vào danh sách địa chỉ và địa chỉ liên hệ toàn cầu, lịch trình các cuộc họp mà nhân viên không may mắn được cho là sẽ tham gia, cũng như thư từ của anh ta. Ngoài ra, những kẻ tấn công có quyền truy cập vào email công ty có thể gửi email lừa đảo hoặc email bị nhiễm phần mềm độc hại từ một địa chỉ email đáng tin cậy. Tất cả những điều này cùng nhau mang lại cho những kẻ tấn công cơ hội hầu như không giới hạn để thực hiện các cuộc tấn công mạng, cũng như sử dụng kỹ thuật xã hội để đạt được mục tiêu của chúng.
Để giám sát các thiết bị di động trong phạm vi bảo mật, có công nghệ ABQ hoặc Cho phép/Chặn/Cách ly. Nó cho phép quản trị viên kiểm soát danh sách các thiết bị di động được phép đồng bộ hóa dữ liệu với máy chủ thư và nếu cần, chặn các thiết bị bị xâm nhập và cách ly các thiết bị di động đáng ngờ.
Tuy nhiên, như bất kỳ quản trị viên nào của phiên bản miễn phí của Zimbra Collaboration Suite Open-Source Edition đều biết, khả năng tương tác với thiết bị di động của nó rất hạn chế. Nói đúng ra, người dùng phiên bản Zimbra miễn phí chỉ có thể nhận và gửi email qua giao thức POP3 hoặc IMAP mà không có khả năng tích hợp sẵn để đồng bộ hóa dữ liệu nhật ký, sổ địa chỉ và ghi chú với máy chủ. Công nghệ ABQ cũng không được triển khai trong phiên bản miễn phí của Zimbra Collaboration Suite, phiên bản này tự động chấm dứt mọi nỗ lực nhằm tạo ra một vành đai thông tin khép kín trong doanh nghiệp. Trong điều kiện quản trị viên không biết thiết bị nào đang kết nối với máy chủ của mình, doanh nghiệp có thể xuất hiện rò rỉ thông tin và khả năng xảy ra một cuộc tấn công mạng theo kịch bản được mô tả trước đó sẽ tăng mạnh.
Tiện ích mở rộng mô-đun Zextras Mobile sẽ giúp giải quyết vấn đề này trong Phiên bản nguồn mở Zimbra Collaboration Suite. Tiện ích mở rộng này cho phép bạn thêm hỗ trợ đầy đủ cho giao thức ActiveSync vào phiên bản Zimbra miễn phí và nhờ đó, mở ra rất nhiều khả năng tương tác giữa thiết bị di động và máy chủ thư của bạn. Trong số nhiều tính năng khác, tiện ích mở rộng Zextras Mobile có hỗ trợ ABQ đầy đủ.
Hãy để chúng tôi cảnh báo ngay cho bạn rằng vì ABQ được định cấu hình không chính xác có thể dẫn đến thực tế là một số người dùng sẽ không thể đồng bộ hóa dữ liệu trên thiết bị di động của họ với máy chủ, bạn cần tiếp cận vấn đề thiết lập nó một cách cẩn thận và thận trọng nhất . ABQ được cấu hình từ dòng lệnh Zextras. Chế độ vận hành ABQ trong Zimbra được cấu hình bằng dòng lệnh và danh sách thiết bị cũng được quản lý.
Nó được thực hiện như sau: Sau khi người dùng đăng nhập vào thư công ty trên thiết bị di động, anh ta sẽ gửi dữ liệu ủy quyền đến máy chủ, cũng như dữ liệu nhận dạng của thiết bị của anh ta, gặp trở ngại dưới dạng ABQ, xem xét nhận dạng dữ liệu và kiểm tra nó với những dữ liệu nằm trong danh sách các thiết bị được phép, bị cách ly và bị chặn. Nếu thiết bị không có trong bất kỳ danh sách nào thì ABQ sẽ xử lý thiết bị đó theo chế độ hoạt động của thiết bị.
ABQ trong Zimbra cung cấp ba chế độ hoạt động:
cho phép: Trong chế độ hoạt động này, sau khi xác thực người dùng, quá trình đồng bộ hóa sẽ được thực hiện tự động theo yêu cầu đầu tiên từ thiết bị di động. Ở chế độ vận hành này, có thể chặn các thiết bị riêng lẻ nhưng những thiết bị khác sẽ có thể tự do đồng bộ hóa dữ liệu với máy chủ.
Tương tác: Ở chế độ hoạt động này, ngay sau khi người dùng được xác thực, hệ thống bảo mật sẽ yêu cầu dữ liệu nhận dạng thiết bị và đối chiếu với danh sách các thiết bị được phép. Nếu thiết bị nằm trong danh sách được phép, quá trình đồng bộ hóa sẽ tự động tiếp tục. Nếu thiết bị này không nằm trong danh sách trắng, nó sẽ tự động bị cách ly để sau này quản trị viên có thể quyết định có cho phép thiết bị này đồng bộ hóa với máy chủ hay chặn nó hay không. Trong trường hợp này, một thông báo tương ứng sẽ được gửi đến người dùng. Quản trị viên được thông báo thường xuyên, một lần trong khoảng thời gian có thể định cấu hình. Trong trường hợp này, mỗi thông báo mới sẽ chỉ chứa các thiết bị bị cách ly mới.
Nghiêm ngặt: Ở chế độ hoạt động này, sau khi xác thực người dùng, ngay lập tức sẽ tiến hành kiểm tra xem dữ liệu nhận dạng của thiết bị có nằm trong danh sách được phép hay không. Nếu nó được liệt kê ở đó, quá trình đồng bộ hóa sẽ tự động tiếp tục. Nếu một thiết bị không nằm trong danh sách được phép, thiết bị đó sẽ ngay lập tức chuyển sang danh sách bị chặn và người dùng sẽ nhận được thông báo tương ứng qua thư.
Ngoài ra, nếu muốn, quản trị viên Zimbra có thể tắt hoàn toàn ABQ trên máy chủ thư của mình.
Chế độ vận hành ABQ được cấu hình bằng các lệnh:
cấu hình zxsuite toàn cầu thuộc tính abqMode giá trị Cho phép
cấu hình zxsuite tập hợp thuộc tính toàn cầu giá trị abqMode Tương tác
cấu hình zxsuite toàn cầu đặt thuộc tính giá trị abqMode Nghiêm ngặt
cấu hình zxsuite giá trị tập hợp toàn cầu abqMode Đã tắt
Bạn có thể tìm hiểu chế độ hoạt động hiện tại của ABQ bằng lệnh cấu hình zxsuite toàn cầu lấy thuộc tính abqMode.
Nếu bạn đang sử dụng các chế độ vận hành ABQ tương tác hoặc nghiêm ngặt, bạn sẽ thường phải làm việc với danh sách các thiết bị được phép, bị chặn và cách ly. Giả sử rằng hai thiết bị được kết nối với máy chủ của chúng tôi: một iPhone và một Android có dữ liệu nhận dạng tương ứng. Sau đó, hóa ra tổng giám đốc của doanh nghiệp gần đây đã mua một chiếc iPhone và quyết định làm việc với thư trên đó, còn Android thuộc về một người quản lý bình thường không có quyền sử dụng thư công việc trên điện thoại thông minh vì lý do bảo mật.
Trong trường hợp ở chế độ Tương tác, tất cả chúng sẽ bị cách ly, từ đó quản trị viên sẽ cần chuyển iPhone sang danh sách thiết bị được phép và Android vào danh sách thiết bị bị chặn. Để làm điều này anh ta sử dụng lệnh zxsuite di động abq cho phép iPhone и khối abq di động zxsuite Android. Sau đó, Giám đốc điều hành sẽ có thể làm việc hoàn toàn với thư từ thiết bị của mình, trong khi người quản lý vẫn phải xem nó độc quyền từ máy tính xách tay làm việc của mình.
Điều đáng chú ý là khi sử dụng chế độ Tương tác, ngay cả khi người quản lý nhập chính xác tên người dùng và mật khẩu trên thiết bị Android của mình, anh ta vẫn sẽ không có quyền truy cập vào tài khoản của mình mà sẽ vào hộp thư ảo trong đó anh ta sẽ nhận được thông báo rằng thiết bị của anh ấy đã được thêm vào vùng cách ly và anh ấy sẽ không thể sử dụng thư từ thiết bị đó.
Trong trường hợp ở chế độ nghiêm ngặt, tất cả các thiết bị mới sẽ bị chặn và sau khi tìm ra chúng thuộc về ai, quản trị viên sẽ chỉ phải thêm iPhone của CEO vào danh sách các thiết bị được phép sử dụng lệnh Bộ ABQ di động zxsuite iPhone Được phép, để lại số điện thoại của quản lý ở đó.
Tuy nhiên, chế độ hoạt động cho phép không tương thích với bất kỳ quy tắc bảo mật nào tại doanh nghiệp, tuy nhiên, nếu vẫn cần chặn bất kỳ thiết bị di động nào được phép, chẳng hạn như nếu người quản lý đột ngột nghỉ việc vì một vụ bê bối, thì điều này có thể được thực hiện bằng cách sử dụng lệnh ABQ di động zxsuite thiết lập Android bị chặn.
Nếu doanh nghiệp cung cấp cho nhân viên các tiện ích dịch vụ để làm việc với thư, thì khi thay đổi chủ sở hữu tiếp theo, thiết bị có thể bị xóa hoàn toàn khỏi danh sách ABQ để sau này quyết định lại xem có cho phép đồng bộ hóa với máy chủ hay không. Việc này được thực hiện bằng lệnh zxsuite di động ABQ xóa Android.
Do đó, như bạn có thể thấy, với sự trợ giúp của tiện ích mở rộng Zextras Mobile trong Zimbra, bạn có thể triển khai một hệ thống rất linh hoạt để giám sát các thiết bị di động được sử dụng, phù hợp cho cả hai doanh nghiệp với chính sách khá nghiêm ngặt về việc sử dụng tài nguyên của công ty bên ngoài văn phòng và đối với những công ty khá tự do trong việc sử dụng thiết bị di động về vấn đề này.
Nguồn: www.habr.com