|
FAQ Kerio Connect : блокируем подозрительные IP-адреса отправителей |
|
|
Активность разного рода распространителей спама выражается не только в рассылке мусорных сообщений. Основой распространения спама является поиск и эксплуатация найденных неправильно настроенных или слабозащищенных почтовых серверов. На фоне общей хацкерной активности это, наверное, самая выдающаяся часть нежелательного трафика. Почтовый сервер Kerio Connect имеет очень надежную защиту от разного рода попыток взлома, однако вся эта защита основана или на ведении вручную собственных (использовании внешних) черных списков, или на обработке сервером ненужных запросов, что может сильно повлиять на производительность самого сервера.
Все случаи отклонения от нормальной работы, анализируемые системой защиты сервера, заносятся в журнал security.log и могут быть использованы для блокировки IP-адресов отмеченных ею нарушителей еще до того, как они смогут соединиться с почтовым сервером - средствами межсетевого экрана Kerio Control.
Принцип блокировки аналогичен описанной здесь защите от хацкеров - журнал почтового сервера обрабатывается по определенным правилам для выявления IP-адресов нарушителей и на их основе формируются правила для IDS Snort Kerio Control, которая и осуществляет блокировку. В отличие от нарушителей, выявляемых на основе анализа журналов Kerio Control, сведения журнала почтового сервера более предметны: указывается не только источник-нарушитель, но и характер нарушения по которому можно судить о степени серьезности (потенциальной опасности) такого воздействия на сервер. Очевидно, что регистрация даже единичного факта одного из негативных воздействий на почтовый сервер может однозначно трактоваться как атака хакеров.
В отличие от фильтров Kerio Control возможность настройки каких-либо параметров для работы с журналом почтового сервера отсутствует: существуют 10 разновидностей нарушений, которые можно использовать для вычисления нарушителей, ключевые слова для них представлены в файле параметров <KUAS_HOME_DIR>\INI\spamers.ini и пользователь пакета KUAS может только исключить из обработки какой-либо из параметров путем его комментирования знаком #. Сама обработка осуществляется скриптом control_mailserver.
Необходимым условием для работы скрипта control_mailserver является доступность папки журналов почттового сервера - обычно это папка %MAILSERVER_HOME%\STORE\LOGS. Если обеспечивается сетевое подключение к этой папке, то скрипт может запускаться и не на хосте с почтовым сервером. В ином случае, результаты работы скрипта должны быть переданы на хост с Kerio Control для использования скриптом control_snort.
Скрипт control_mailserver формирует zip-архив, который содержит справочник с отмеченными ранее адресами нарушителей и присвоенными им номерами правилам для IDS Snort, сформированный файл правил Snort и файл с текстом конфигурации, который может быть вставлен вручную в файл winrroute.cfg.
Файл архива может распространяться любым путем и применяться на любом хосте через пакет control_snort следующим образом:
- расположением этого файла в папке пакета KUAS - <KUAS_HOME_DIR>\CONTROL;
- расположением на локальном (или любом другом) веб-сервере по известному адресу;
- расположением на удаленном (или любом другом) веб-сервере по известному адресу.
Именно в такой последовательности скрипт control_snort будет искать файл архива с правилами. Для того, чтобы скрипт не использовал локальный архив, а закачивал его с указанного веб-сервера, следует просто удалить (или переименовать) файл архива из папки <KUAS_HOME_DIR>\CONNECT
Любые файлы из этого архива - файлы правил для Snort, файлы конфигурации для Kerio Control и файл архива адресов - могут быть объединены с другими аналогичными по содержанию файлами (полученными, например, с других хостов или в другое время) путем слияния обоих файлов в любом текстовом редакторе или командой type.
В файле параметров sets предоставляется возможность включить\отключить формирование этих правил в пакете control_winroute - параметр CONTROL_MAILSERVER_MAKE_SPAMERS, включить\отключить использование этих правил в пакете control_snort - параметр CONTROL_SNORT_USED_SPAMERS и указать файл правил черных списков KERIO, который будет использован для вставки полученного локального черного списка.
Здесь показаны типовые логи работы скриптов с данными правилами:
Аналогичный по назначению скрипт control_winroute создает правила для самозащиты Kerio Control.
