Tűzfal és levelező probléma

Hálózatok általános

Sziasztok!

Örököltem egy levelező szervert, amire rég óta panaszok voltak, hogy időnként nem jönnek a levelek illetve késnek akár egy/több napot is. Mivel nem vagyok otthon a tűzfalak és főleg a Linux világában, ezért segítséget kérnék a probléma javításában.
Egy leírás a jelenlegi állapotokról:
A levelező egy Debian 8 alapon lévő Postfix-es szerver ISPconfiggal. A Debian és az internet között egy Untagle van elhelyezve VM-re telepítve tűzfalként.
A levelezőt az elmúlt 1-2 hétben lemásoltam és frissítettem, egyenlőre csak a tesztet, nehogy az éles megboruljon mivel nem volt kb másfél-két éve frissítve, illetve telepítettem rá RoundCube-ot is, mert szükségünk lenne rá. Volt fent clamav, spamassasin és amavisd, de nem volt beállítva. Ezeket a különböző fórumokon lévő leírások alapján beállítottam. Az általam elvégzett tesztek alapján a működése jónak tűnik a teszt levelezőmnek. Bár szakavatott szemek biztos találnának benne még hiányosságokat.
Az Untangle aránylag friss, 13.1.1-es verzió van fent. A spam és vírus szűrés azért nem volt valószínűleg beállítva a levelezőn, mert a tűzfalon vannak telepítve az ingyenes csomagok (Virus Blocker Lite, Spam Blocker Lite, Phis Blocker Lite). Ezek jól működnek, mert nem sok spam és vírus jön be. A levelező felé a szükséges portok forwardolva vannak.

A konkrét probléma az, hogy a levelezőn meg a fail2ban csomag telepítve van és be is van állítva, hogy pár próbálkozás után a sikertelen bejelentkezési próbálkozások forrás IP-jét beírja a Debian iptables-ébe. Így kitiltja az Untagle belső IPjét, ez által 10 percig az összes levelet ami kintről jön és a nem belső hálóról próbálkozó felhasználók klienseit is visszadobja.
Néztem a logokat és egy támadás esetén ez órákon keresztül megy, így ellehetetlenítik a levelezést. Illetve néztem az Untangle auth.log-ját is, amiben szintén ezzel egy időben ott is rengeteg IP-ről rengeteg próbálkozás érkezik a bejelentkezésre különbőző felhasználói nevekkel.
Ezt otthon a Mikrotik routerben egyszerűen, pár tűzfal szabállyal orvosolni lehetett, de itt komplexebb a probléma, mert két VM-en is jelentkezik egy időben és az egyiken olyan, mintha LAN-on belüli probléma lenne.

Azt szeretném megtudni, hogy ti hogyan szoktátok beállítani a levelező-tűzfal párosításnál a vírus és spam szűrést? Hogy érdemes és biztonságos? A saját logikám szerint ezt csak a levelezőn tenném, így probléma esetén egy helyen kell csak keresni az okokat, viszont ebben az esetben a tűzfalon a problémás tartalmak átjönnek szűrés nélkül, felesleges forgalmat generálva. Vagy mindkét helyen legyen aktív, hogy több lépcsőben szűrjön? Vagy maradjon csak a tűzfalon?
Hogyan tudom a leírt támadások ellen védeni a levelezőt, milyen helyes konfigurációt kellene beállítanom, hogy ne magunkat rúgjuk lábon, tehát ne a tűzfalat tiltsam le a levelezőben, hanem a próbálkozó IP-jét. Ezt Untangle alatt hogy végezhetem el, mert nem találtam rá normális leírást eddig.
Van esetleg az Untangle helyett más ingyenes alternatíva? Sajnos pénzt nem áldoznak rá, de lennének olyan követelmények, hogy tiltsam pl a youtube-ot, facebook-ot, ami nehezen kivitelezhető, mivel az Untangle Lite csomagjai a https-t nem tudják blokkolni. Néztem még a pfsense-t, amit több helyen ajánlanak alternatívaként, de nem ismerem, hogy annak az ingyenes szolgáltatásai ilyet lehetővé tesznek-e.

Bocsánat, hogy sokat írtam és helyenként nagyon alap dolgokat kérdeztem, de még nem vagyok járatos ebben a témában. Köszönöm előre is az összes tanácsot, észrevételt és az építő jellegű kritikát. Illetve szívesen fogadok minden linkelt leírást, doksit, ami esetleg a segítségemre lehet.

Üdv:
spgabor

  • 1815 megtekintés

( sj | 2018. 07. 17., k – 21:33 )

A spam és vírus szűrés azért nem volt valószínűleg beállítva a levelezőn, mert a

eloszor is fel kene terkepezned, hogy mi hogyan es miert van beallitva, hogy kepben legy. Ezt kene kezdeni a tuzfal konfigjanak megismeresevel es megertesevel.

Utana a fail2ban-t a mail szerveren inkabb lelonem egyelore, fogalmatlanul hasznalva tobb kart okoz, mint hasznot (ld. a te esetedet is).

Aztan nekem az sem vilagos, hogy miert engedi at a tuzfal boldog-boldogtalan ssh(?) kapcsolatat a mail szerver fele? A tuzfalnak a mail szerverre csak smtp-t kene beengednie barhonnan*, az ssh meg le van tiltva kivulrol. Ha te otthonrol is be akarsz lepni ssh-val, akkor a) vpn vagy b) fix ip-cimrol.

Esetleg meg https-en a levelezest webmail-en, de opcionalisan azt is vpn-en keresztul a remote userek szamara.

*: nyugodtan el lehet dobalni DUL listakon levo cimeket

Vagy mindkét helyen legyen aktív, hogy több lépcsőben szűrjön? Vagy maradjon csak a tűzfalon?

A reteges vedelem olyan, mint a reteges oltozkodes :-) A 'ne ket helyen kelljen keresni' problemara a megoldas kozponti naplozas. ELK-t ismered? Ismered meg. Esetleg probald ki a loggly.com szolgaltatasat (van benne free tier, nem tudom, eleg-e nektek).

Sajnos pénzt nem áldoznak rá, de lennének olyan követelmények, hogy tiltsam pl a youtube-ot, facebook-ot, ami nehezen kivitelezhető, mivel az Untangle Lite csomagjai a https-t nem tudják blokkolni.

szerintem egyszerre 1 problemat oldj meg: a fail2ban megoli a levelezest egy kritikus issue, mig a menedzserek igenye, hogy a dolgozokat a youtube tiltasaval (is) szivassak, meg egy marginalis kocsogseg.

szívesen fogadok minden linkelt leírást, doksit, ami esetleg a segítségemre lehet.

google-t probaltad mar?

Ja, es azt az opciot se zard ki, hogy egy lada sorrel megkeresed az elododet, akitol orokolted a cuccot. Lehet, hogy ar-ertekben igen jol jarnal ;-)

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Szia,

köszönöm a tanácsokat!

Akkor a tűzfal konfigját elkezdem újra átnézni tüzetesebben. Tegnap már nézegettem az SSH átengedését kívülről, de nem nagyon találtam olyan opciót az Untangle-ben. Google amiket hozott régebbi leírásokat, azok meg mások voltak kicsit, mint az általunk használt verzió. De valószínűleg csak elkerülte a figyelmemet. A levelezővel hellyel-közel már tisztában vagyok.
Az összes bejövő SSH-t tiltani kellene a tűzfalon? Átgondolva a port nyitásokat, szerintem ott is kicsit túl van tolva a levelező felé a dolog, mert nyitva van a 25,143,587,993, 465,110, 995. Ezek közül meg nem is használjuk mindet, az összes kliens STARTTLS-re van állítva ki és bejövő oldalon is.

A fail2ban-t azért nem mertem kikapcsolni, nehogy túlterhelje a levelezőt a támadás. Illetve a webmail esetében én is arra gondoltam, hogy VPN-en keresztül érhetnék csak el. Akinek kell, mobilon úgy is ott a levelező kliens, amit elsődlegesen használnak.

Slack-et használunk központi naplózásra, ahova egy központi syslog szerver szedi össze a naplókat. De azon is kell majd finomítani, mert a mostani rendszerhez már nem megfelelő, a Slack-nek túl sok üzenet van, ezért elértük az ingyenes korlátait, illetve van, ahonnan nem jön üzenet és a syslog szerver is gyakran fagy. De ez egy másik történet lesz.

A réteges védelemre akkor ehet meghagom majd mind a kettőn a vírus és spam szűrést is egyszerre. Legalábbis egyenlőre biztos.

Google-t használom, elég sokat is használtam a levelező frissítésekor jelentkező fennakadások orvoslására.

A youtube tiltása pl azért lenne téyleg szükséges esetenként, mert kb 80 felhasználónk van és egy részének hiába mondjuk, hogy ne egész nap ott hallgassanak zenét, eléggé lefogják a sávszélességet. Volt, aki egész nap szappanoperát nézet...

A láda sörös megoldás nem működik sajnos...

Üdv:
spgabor

Pontatlanul foglamaztam. Van egy syslog szerverünk központi naplózás címén, ami hellyel-közzel minden gépen be van állítva. Ide jönnek az egyes logok és néhány technikai levélfiókból is olvassa az értesítéseket. Illetve ez küldi tovább az eseményeket különböző Slack csatornákba. De itt vannak beállítási/finomhangolási problémáink, mivel a syslog szerver néha lehal, szerintem nem minden szervertől kapja meg az üzeneteket, valamint szabálybeállítási problémát is találtam, ami miatt van olyan üzenet, amit tovább kellene küldenie a Slack-nek, hogy időben értesüljek róla.

( ncc1701 | 2018. 07. 18., sze – 07:53 )

A fail2ban csak akkor tiltja ki a router lan oldali ip címét, ha az a router vmiért csinál egy plusz snat-ot (azaz kicseréli a forrás ip címeket). Ha ezt kiirtod, akkor a valós ip címekről érkező támadásokat fogja tiltó listára tenni, ami viszont jó.

( tabula_robi | 2018. 07. 18., sze – 11:21 )

Fail2ban-ban van lehetőség whitelist ip-t megadni. A jail.conf fájlba beilleszted a következő sort.
ignoreip = 127.0.0.0/8 x.x.x.x
Ahol az x.x.x.x az Utangle belső ip címe.

Vannak fenntartásaim ezzel a megoldással.
Ha támadáskor a fail2ban a tűzfal belső IP-t teszi tiltó listára, akkor a tűzfal NAT-olja a feladó IP címét és ezért a mail szerver minden bejövő levelet a tűzfal IP címéről lát. Ha erre az a megoldás, hogy a tűzfal belső IP-jét whitelist-re teszed, akkor ezzel az összes kintről jövő levelet beengedted, a fail2ban értelmét vesztette.

Az meg csak lábjegyzet, hogy ha a mail szerveren minden bejövő levél a tűzfal IP-ről jön, akkor az RBL szűrés is vet fel kérdéseket.

Az is lábjegyzet, hogy a fentebb elhangzó javaslat (rekesz sörrel az előző rendszergazda megtalálása) mennyire jó megoldás - mert aki így állította be, majd ott hagyta...

Sziasztok!

A whitelistet láttam, de azért nem akarom, mert ha kikapcsolom a fail2ban-t ugyan ott vagyok. Mint te is írtad, nincs sok értelme.
Közben a NAT-olás néztem a tűzfal beállításokban, de elsőre nem láttam semmi informatívat számomra. Vagyis van egy NAT szabály beállítva, de semmilyen paraméter nincs megadva neki. Gondolom itt kellene beállítanim, hogy a levelezőnek a külsős IP-t adja tovább, ne a sajátját.
A jelenlegi NAT szabályról csináltam egy képernyőképet.

( an-dee | 2018. 07. 19., cs – 21:24 )

A yt, fb-re meg ameddig nem találsz tartós megoldást, irányíts át pl a céges honlapra :)
IT-s kollégám szinte csak FB-n lógot, 2 nap volt mire rájött hogy a host fájlát módosítottam, aztán a fönök tiltotta le végül tűzfalban :)

--
ESET és Synology hivatalos viszonteladó

( spgabor | 2018. 07. 20., p – 11:43 )

Sziasztok!

NAT szabály módosítás után a tűzfal már a kinti IP-t adja vissza, de csak a levelező felé. Ha a cél IP a levelezőé. Így a fail2ban már jól működik, tegnap óta volt is jópár kizárás.
SSL hozzáférés a tűzfalon kintről is engedélyezve volt, ezt is megszüntettem.
Fail2ban az ssl-en kívül a dovecot-pop3imap és a postfix-sasl próbálkozásokat figyeli még. A kizárások már csak ez utóbbi kettő alapján történtek.
A tűzfalon még átnézem a nyitott portokat, hogy tényleg szükséges-e mind, mert a felesleget megszüntetem.
Van esetleg valami, ami elkerülte a figyelmem és biztonságossabbá tehetem a levelezést?
Ha esetleg a webmailt mégis kitenném a netre, mire figyeljek oda? Hogyan tudom legjobban védeni a támadásoktól.

Köszönöm a segítséget mindenkinek!

Üdv:
spgabor

Ha nem akarod magad sokat szivatni, vagy munkahelyet váltani, elkezdesz megismerkedni a NethServer-rel, mielőtt még összeomlik a levelezés.

Hyper-V alól is működik, alap levelezést könnyű összedobni benne és stabil (IMAP/SMTP és LetsEncrypt tanúsítvány frissítések ).
SOGo modullal meg még Exchange kompatibilis is lesz a szerver, bár az a része nem tűnik nekem olyan stabilnak. Elvileg az imap-imap szinkronhoz kell pár script, de azt is könnyű kiguglizni és összedobni.

A spam szűrőjének hatékonyságát nem tudom, mert mi legalább rendes külső szűrőre előfizetünk, de még így is egy fokkal olcsóbb mint egy teljes felhős infra.

Ja és van webproxy és webes szűrő modulja is, de azt se használtam.