便攜式電子產品,尤其是智能手機和平板電腦的快速發展,為企業信息安全帶來了一系列新挑戰。 事實上,如果說之前所有的網絡安全都是基於創建受保護的邊界及其後續保護,那麼現在,當幾乎每個員工都使用自己的移動設備來解決工作任務時,控制安全邊界變得非常困難。 對於大型企業來說尤其如此,在這些企業中,每個員工都有一個用於電子郵件和其他公司資源的登錄名和密碼。 通常,在購買新的智能手機或平板電腦時,企業員工會在上面輸入他的憑據,而常常忘記在舊設備上註銷。 即使企業中這種不負責任的員工只有5%,如果沒有管理員的適當控制,移動設備訪問郵件服務器的情況很快就會變得一團糟。
此外,移動設備經常丟失或被盜,隨後被用來搜索危害證據,以及訪問屬於商業機密的公司資源和數據。 通常,對企業網絡安全的最大危害是攻擊者獲得對員工電子郵件的訪問權限。 因此,他們可以訪問全球地址和聯繫人列表、不幸員工本應參加的會議時間表以及他的信件。 此外,獲得公司郵件訪問權限的攻擊者可以從受信任的電子郵件地址發送網絡釣魚或感染惡意軟件的電子郵件。 所有這些共同為攻擊者提供了幾乎無限的機會來進行網絡攻擊,以及使用社會工程來實現他們的目標。
為了控制包含在安全範圍內的移動設備,有 ABQ 技術,或允許/阻止/隔離。 它允許管理員控制允許與郵件服務器同步數據的移動設備列表,並在必要時阻止受感染的設備並隔離可疑的移動設備。
然而,免費 Zimbra Collaboration Suite Open-Source Edition 的任何管理員都知道,它與移動設備交互的能力受到嚴重限制。 嚴格來說,Zimbra 免費版的用戶只能使用 POP3 或 IMAP 協議收發電子郵件,而沒有內置的與服務器同步日記、地址簿和筆記數據的功能。 Zimbra Collaboration Suite 和 ABQ 技術的免費版本中未實現,它會自動結束所有在企業中創建封閉信息邊界的嘗試。 在管理員不知道哪些設備連接到他的服務器的情況下,企業可能會發生信息洩漏,根據前面描述的場景,網絡攻擊的可能性會急劇增加。
Zextras Mobile 模塊化擴展將幫助解決 Zimbra Collaboration Suite 開源版中的這個問題。 此擴展允許您將對 ActiveSync 協議的完全支持添加到 Zimbra 的免費版本中,並因此為移動設備和郵件服務器之間的交互開闢了很多機會。 除了各種其他功能外,Zextras Mobile 擴展還完全支持 ABQ。
我們會立即警告您,由於 ABQ 配置不正確會導致某些用戶無法將其移動設備上的數據與服務器同步,因此您需要極其謹慎地處理設置問題. ABQ 是從 Zextras 命令行配置的。 在命令行上配置 Zimbra 中的 ABQ 操作模式,並管理設備列表。
其實現如下:用戶在移動設備上登錄企業郵箱後,向服務器發送授權數據,以及他設備的標識數據,在途中遇到ABQ形式的障礙,這查看識別數據並將它們與那些在允許、隔離和阻止設備列表中可用的數據進行比較。 如果設備不在任何列表中,則 ABQ 會根據其運行模式對其進行處理。
Zimbra 中的 ABQ 提供三種操作模式:
寬容的:在此操作模式下,在用戶身份驗證後,會根據移動設備的第一次請求自動執行同步。 在這種操作模式下,可以阻止個別設備,但所有其他設備都可以自由地與服務器同步數據。
交互的:在這種操作模式下,在用戶通過身份驗證後,安全系統會立即請求設備標識數據並將其與允許的設備列表進行比較。 如果設備在允許列表中,同步會自動繼續。 如果此設備不在白名單中,則會自動隔離,以便管理員稍後決定是允許此設備與服務器同步還是阻止它。 相應的通知將發送給用戶。 定期通知管理員,在可自定義的時間段內通知一次。 同時,每個新通知將只包含已被隔離的新設備。
嚴格的:在這種操作模式下,用戶認證後,它會立即檢查設備的標識數據是否在允許列表中。 如果它在那裡列出,同步將自動繼續。 如果設備不在允許列表中,它會立即進入阻止列表,用戶會通過郵件收到相應的通知。
此外,如果需要,Zimbra 管理員可以在他的郵件服務器上完全禁用 ABQ。
使用以下命令設置 ABQ 操作模式:
zxsuite config 全局設置屬性 abqMode 值 Permissive
zxsuite config 全局設置屬性 abqMode 值 Interactive
zxsuite config 全局設置屬性 abqMode 值 Strict
zxsuite config global 設置屬性 abqMode 值 Disabled
您可以使用以下命令找出 ABQ 當前的操作模式 zxsuite 配置全局獲取屬性 abqMode.
如果您使用 ABQ 的交互或嚴格操作模式,您通常需要處理允許、阻止和隔離設備的列表。 假設有兩台設備已連接到我們的服務器:一台 iPhone 和一台具有相應標識數據的 Android。 後來才知道,iPhone 是企業 CEO 最近購買的,決定在上面使用郵件,而 Android 屬於普通經理,出於安全原因,無權在智能手機上使用工作郵件。
在交互模式下,所有設備都將被隔離,管理員需要將 iPhone 移至允許設備列表,將 Android 移至阻止設備列表。 為此,他使用命令 zxsuite 移動 abq 允許 iPhone и zxsuite 移動 abq 塊 Android. 之後,CEO 將能夠完全通過他的設備處理郵件,而經理仍將只能通過他的工作筆記本電腦查看郵件。
值得注意的是,在使用交互模式時,即使管理員在他的Android設備上正確輸入了他的登錄名和密碼,他仍然無法訪問他的帳戶,而是進入一個虛擬郵箱,他會在其中收到通知他的設備已被隔離,他將無法使用其中的郵件。
在嚴格模式下,所有新設備都將被阻止,在確定它們屬於誰後,管理員只需使用命令將 CEO 的 iPhone 添加到允許設備列表中 zxsuite mobile ABQ 設置 iPhone 允許留下經理的電話號碼。
寬鬆的操作模式與企業中的任何安全規則都不兼容,但是,如果仍然需要阻止任何允許的移動設備,例如,如果經理突然因醜聞辭職,則可以使用命令 zxsuite 移動 ABQ 設置 Android 阻止.
如果公司為員工提供處理郵件的服務小工具,那麼隨著其所有者的下一次更改,該設備可以從 ABQ 列表中完全刪除,以便隨後再次決定是否允許它與服務器同步。 這是使用命令完成的 zxsuite 移動 ABQ 刪除 Android.
因此,如您所見,借助 Zimbra 中的 Zextras Mobile 擴展,您可以實施一個非常靈活的系統來監控移動設備的使用,適用於對企業資源外部使用有相當嚴格政策的企業。辦公室,以及那些在使用移動設備方面相當自由的公司。這個計劃。
來源: www.habr.com