Bảo mật với CSF Firewall cho Zimbra Mail Server trên Centos 7

Firewall cho Zimbra Mail Server là một thành phần quan trọng trong việc bảo vệ máy chủ Zimbra Mail Server khỏi các mối đe dọa và tấn công từ bên ngoài. CSF (ConfigServer Security & Firewall) là một trong những tường lửa phổ biến được sử dụng để bảo vệ máy chủ Linux, bao gồm cả Zimbra Mail Server.

1. Giới thiệu về CSF

CSF (Config Server Security & Firewall) là tường lửa Stateful Packet Inspection (SPI) mã nguồn mở phổ biến giúp bảo vệ hệ thống trên hệ điều hành Linux.

Ngoài các tính năng cơ bản của Firewall là filter packet in/out thì CSF còn hỗ trợ ngăn chặn các cuộc tấn công như Brute Force, ddos …

CSF có thể cấu hình block/restrict port để giới hạn port truy cập. Đồng thời CSF duy trì danh sách whitelist và blacklist để kiểm soát truy cập.

CSF cũng cung cấp Connection Limiting để giới hạn số lượng kết nối, Rate Limiting để giới hạn tần số truy cập, Real Time Block List và Port Scan Tracking (chống Scan Port).

2. Cài đặt CSF Firewall cho Zimbra

# yum install perl-libwww-per1 perl -y
Bước 1: Tải xuống CSF
# cd /usr/src

wget https://download.configserver.com/csf.tgz

Bước 2: Giải nén Firewall cho Zimbra
# tar xzf csf.tgz

Bước 3: Cài đặt CSF

# sh install.sh

# perl /usr/local/csf/bin/csftest.pl

Bước 4: Tắt tường lửa và định cấu hình CSF
# systemctl stop firewalld

# systemctl disable firewalld

Trong /etc/csf/csf.conf thay đổi TESTING = “1” thành TESTING = “0” để khởi động lfd daemon (Login Fail Detect daemon)

Bước 5: Khởi động lại và kiểm tra CSF

# systemctl restart {csf,lfd}

# systemctl enable {csf,lfd}

# systemctl is-active {csf,lfd}

# csf -v

[root@tubt csf]# vi /etc/csf/csf.conf
[root@tubt csf]# vi /etc/csf/csf.conf
[root@tubt csf]# systemctl restart {csf,lfd}
[root@tubt csf]# systemctl enable {csf,lfd}
[root@tubt csf]# systemctl is-active {csf,lfd}
active
active
[root@tubt csf]# csf -v
csf: v14.17 (generic)

3. Cấu hình CSF Firewall cho Zimbra

Cấu hình được thực hiện bằng cách chỉnh sửa các file config khác nhau mà CSF đi kèm. Các file đó nằm trong /etc/csf

Các config files chính bao gồm:

• csf.conf: File cấu hình chính, nó có các ghi chú, giải thích chức năng của từng option
• csf.allow: Danh sách các địa chỉ IP được phép thông qua tường lửa (whitelist)
• csf.deny: Danh sách các địa chỉ IP không được phép thông qua tường lửa (blacklist)
• csf.ignore: Danh sách các địa chỉ IP mà lfd bỏ qua mà không block nếu phát hiện vi phạm rule
• csf.*ignore: Các file ignore khác, liệt kê các files, users, IP và lfd bỏ qua.

Nếu sửa đổi bất kỳ file nào được liệt kê ở trên ta cần restart csf và lfd để chúng có hiệu lực

# csf -r

# lfd -r

3.1 Mở port CSF Firewall cho Zimbra

Mở port là thao tác giúp cho các client ở bên ngoài có thể truy cập vào các port trên server (incomming traffic) hoặc cho phép server mở các kết nối ra ngoài (outgoing traffic). Thực hiện mở port trong file /csf.conf

Tham số TCP_IN/TCP_OUT và UDP_IN/UDP_OUT dùng để khai báo danh sách port, các port được cách nhau bằng dấu phẩy
Cho phép truy cập vào (incomming) các TCP port trên server:
# Allow incoming TCP ports
TCP_IN = “20,21,22,25,53,80,110,143,443,465,587,993,995,7071”

Cho phép server kết nối ra (outgoing) tới các TCP port bên ngoài:
# Allow outgoing TCP ports
TCP_OUT = “20,21,22,25,53,80,110,113,443,465,587,993,995,7071”

Cho phép truy cập tới (incomming) các UDP port trên server
# Allow incoming UDP ports
UDP_IN = “20,21,53,80,443”

Cho phép server kết nối ra (outgoing) tới các UDP port bên ngoài
# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = “20,21,53,113,123”

3.2 Portflood CSF

Tính năng này cung cấp khả năng bảo vệ chống lại các cuộc tấn công flood vào port, chẳng hạn như ddos. Có thể chỉ định số lượng kết nối được phép trên 1 port trong khoảng thời gian nào đó.

Cấu trúc: Port;protocol;hit count;interval seconds
Ví dụ:
PORTFLOOD = “22;tcp;5;300,80;tcp;20;5”
Ý nghĩa:
Nếu IP nào có hơn 5 kết nối TCP đến cổng 22 trong vòng 300s thì sẽ chặn không cho IP đó kết nối đến cổng 22
Nếu IP nào có hơn 20 kết nối TCP đến cổng 80 trong vòng 5s thì sẽ chặn không cho IP đó kết nối đến cổng 80

3.4 Connection limit

Tính năng này có thể sử dụng để giới hạn số lượng kết nối đang hoạt động từ một địa chỉ IP đến mỗi cổng. Khi được cấu hình đúng cách có thể tránh được các hành vi lạm dụng trên server, chẳng hạn như các cuộc tấn công ddos
Cấu trúc: “port;limit”
Ví dụ
CONNLIMIT = “22;5,80;20”
Ý nghĩa:
Chỉ cho phép 5 kết nối mới đồng thời tới cổng 22 trên mỗi địa chỉ IP
Chỉ cho phép 20 kết nối mới đồng thời tới cổng 80 trên mỗi địa chỉ IP

3.5 CSF Allow/Deny IP theo port và protocol

Trong /etc/csf/csf.allow và /etc/csf/csf.deny, có thể thêm các filter port và IP bằng cấu trúc sau tcp/udp|in/out|s/d=port|s/d=ip|u=uid|. Cụ thể
tcp/udp: Xét giao thức tcp hoặc udp
in/out: Incomming traffic hoặc outgoing traffic
s/d = port: Áp dụng cho source port hoặc destination port (hoặc ICMP type). Có thể khai báo range port bằng cách sử dụng dấu “_”, ví dụ 2000_3000
u/g = UID: UID hoặc GID của source packet, áp dụng vào outgoing connection. Lúc này, giá trị của s/d = IP sẽ bị bỏ qua. Ví dụ:

TCP kết nối vào đến port 80 từ IP 192.168.1.9
tcp|in|d=80|s=192.168.1.9|
TCP kết nối ra đến port 22 đến IP 192.168.1.9
tcp|out|d=22|d=192.168.1.9|
Lưu ý dấu | nếu bị bỏ qua, giao thức mặc định được đặt thành tcp, hướng kết nối mặc định được đặt thành in
TCP kết nối vào đến port 22 từ IP 192.168.1.9
d=22|s=192.168.1.9
TCP kết nối ra đến từ port 80 từ UID 99
tcp|out|d=80|u=90
ICMP kết nối ra đến từ port 80 từ UID 99
icmp|out|d=80|u=99
ICMP kết nối vào, ping từ 192.168.1.9
icmp|in|d=ping|s=192.168.1.9

3.6 Port Scan Tracking – Chống Scan Port

Port scan là một phương pháp để xác định cổng nào trên mạng được mở
CSF có khả năng chặn các địa chỉ IP tham gia vào quá trình port scan bằng cách sử dụng tính năng Port Scan Tracking. Tính năng này hoạt động bằng cách quét các gói tin bị Iptables block trong syslog.
Nếu địa chỉ IP tạo port block được ghi lại log nhiều hơn giá trị PS_LIMIT trong vòng PS_INTERVAL giây, địa chỉ IP sẽ bị chặn

Ví dụ: Khi PS_INTERVAL được đặt ở giá trị mặc định là 300 và PS_LIMIT được đặt ở 10, bất kỳ địa chỉ IP nào được ghi lại hơn 10 lần trong khoảng thời gian 300 giây sẽ bị chặn

4. Login Failure Daemon (LFD)

LFD là một tiến trình nằm trong CSF (ConfigServer Security & Firewall) kiểm tra định kỳ các mối đe dọa tiềm ẩn đối với máy chủ. LFD tìm kiếm các cuộc tấng công cũng như các nỗ lực đăng nhập sai (brute-force) và nếu tìm thấy sẽ chặn địa chỉ IP cố gắng tấn công máy chủ đó.

LFD theo dõi logs liên tục, do đó có thể phản ứng trong vài giây sau khi phát hiện những nỗ lực đó.

LFD cũng giám sát trên từng giao thức, vì vậy nếu các nỗ lực được thực hiện trên các giao thức khác nhau trong một khoảng thời gian ngắn, tất cả các nỗ lực đó sẽ được tính và được coi là nguy cơ tiềm ẩn với máy chủ

4.1 Application Trigger

LF_SSHD = 5
LF_SSHD_PERM = 1
LF_SSHD: Ngưỡng đăng nhập sai tối đa, nếu vượt quá số lượng này, IP sẽ bị block
LF_SSHD_PERM: Thời gian block. Giá trị “1” là block vĩnh viễn, giá trị cao hơn là block tạm thời trong vài giây

4.2 Cảnh báo qua email (email alert)

Bạn có thể chỉ định một địa chỉ email để report lỗi từ Login Failure Daemon.

# Địa chỉ email nhận
LF_ALERT_TO = “”

# Địa chỉ email gửi
LF_ALERT_FROM = “”

# Địa chỉ email server gửi, mặc định là 127.0.0.1
LF_ALERT_SMTP = “”

4.3 Login Tracking – Theo dõi các đăng nhập thất bại

Login tracking là một phần mở rộng của lfd, Login tracking theo dõi các lần đăng nhập POP3 và IMAP và giới hạn chúng ở mức X kết nối mỗi giờ cho mỗi tài khoản trên mỗi địa chỉ IP.

Login tracking sử dụng iptables để chỉ chặn kẻ xâm phạm đến cổng giao thức thích hợp và xóa chúng mỗi giờ và bắt đầu đếm các lần đăng nhập mới. Tất cả các block này là tạm thời và có thể được xóa thủ công bằng cách khởi động lại csf.

Có hai cài đặt, một trong POP3 và một cho IMAP logins. Nói chung không nên theo dõi thông tin IMAP logins vì nhiều clients đăng nhập mỗi lần để thực hiện một transaction của giao thức (không cần họ phải đăng nhập liên tục, nhưng bạn không thể tránh bad client programming!).

Vì vậy, nếu bạn có nhu cầu có một số giới hạn đối với IMAP logins, có lẽ tốt nhất là đặt giới hạn đăng nhập khá cao.

4.4 Directory Watching – Theo dõi thư mục

Directory watching cho phép lfd kiểm tra /tmp và /dev/shm và các thư mục thích hợp khác để tìm các file đáng ngờ, các script exploit

5. IP Block List – Cập nhật danh sách IP cần chặn

Tính năng này cho phép csf/lfd tải xuống định kỳ danh sách địa chỉ IP và CIDR từ published block hoặc black list. Danh sách blocklists được khai báo trong file:

/etc/csf/csf.blocklists

IP block lists cũng có thể được định cấu hình bằng cách đi tới nút lfd blocklists được tìm thấy ở gần cuối GUI đi kèm.

Bật blocklist bằng cách bỏ ghi chú dòng bắt đầu bằng rule name để sử dụng nó, sau đó khởi động lại csf rồi đến lfd.

Mỗi block list phải được liệt kê trên mỗi dòng dưới dạng:
NAME | INTERVAL | MAX | URL
Name: List name với tất cả các ký tự chữ cái viết hoa không có khoảng trắng và tối đa 25 ký tự – tên này sẽ được sử dụng làm Iptables chain name
INTERVAL: Khoảng thời gian làm mới để tải xuống danh sách, tối thiểu phải là 3600s và tối đã 86400s
MAX: Đây là số lượng địa chỉ IP tối đa để sử dụng từ danh sách, giá trị bằng 0 có nghĩa là tất cả IP đều được sử dụng
URL: URL để tải xuống danh sách

Pre-configured blocklists có thể được kích hoạt đơn giản bằng cách uncomment chúng (bỏ dấu # ở đầu), bao gồm:

Spamhaus
DShield
DKTC
BOGON – Chặn địa chỉ bogon thường là một quyết định đúng đắn. Để bật, hãy đặt số giây giữa các lần refresh. Bạn nên bật tùy chọn này và đặt refresh ở mức 86400 (1 ngày). Nếu bạn làm như vậy, hãy đảm bảo thêm private network adapter vào skip list.
Project Honeypot
BruteForceBlocker
Các mối đe dọa mới nổi – Danh sách các mạng kinh doanh của Nga
OpenBL.org 30 day List
Autoshun Shun List
MaxMind GeoIP proxy ẩn danh

Một số danh sách trong số này rất dài (hàng nghìn địa chỉ IP) và có thể gây ra các vấn đề nghiêm trọng về mạng và/ hoặc hiệu suất, vì vậy cần cân nhắc việc đặt giá trị cho trường MAX.

Mỗi URL được quét để tìm địa chỉ IPv4 / CIDR trên mỗi dòng và nếu tìm thấy sẽ bị chặn.

6. CSF Allow/Deny theo Country

Cho phép và từ chối các truy cập quốc tế và server của mình. Để làm như vậy vân nhập country code vào danh sách được phân tách bởi dấu phẩy. Ví dụ:
# Each option is a comma separated list of CC’s, e.g. “US,GB,DE”
CC_DENY = “”
CC_ALLOW = “”

Khi sử dụng CC_ALLOW, IP sẽ được allow mà không quan tâm đến Port. Ta có thể sử dụng CC_ALLOW_PORT để cho phép truy cập từ các quốc gia nhưng vẫn dựa trên port
# Each option is a comma separated list of CC’s, e.g. “US,GB,DE”
CC_ALLOW_PORTS = “”
# All listed ports should be removed from TCP_IN/UDP_IN to block access from
# elsewhere. This option uses the same format as TCP_IN/UDP_IN
#
# An example would be to list port 21 here and remove it from TCP_IN/UDP_IN
# then only countries listed in CC_ALLOW_PORTS can access FTP
CC_ALLOW_PORTS_TCP = “”
CC_ALLOW_PORTS_UDP = “”

Danh sách Country Code này sẽ ngăn lfd chặn các lần truy cập thất bại từ địa chỉ IP của các quốc gia tương ứng:
CC_IGNORE = “”

Từ chối truy cập từ các quốc gia sau vào các cổng cụ thể được liệt kê trong CC_DENY_PORTS_TCP và CC_DENY_PORTS_UDP:
CC_DENY_PORTS = “”

Lưu ý: Các rule cho tính năng này được chèn sau allow và deny rules để vẫn cho phép chặn địa chỉ IP. Tất cả các cổng được liệt kê phải được xóa khỏi TCP_IN/UDP_IN để chặn truy cập từ nơi khác. Option này sử dụng cùng một format với TCP_IN/UDP_IN

7. Sử dụng Command line

CSF deny IP: Chặn không cho IP 192.168.1.10 truy cập đến server
csf -d 192.168.1.10
CSF allow IP: Cho phép IP 192.168.1.10 truy cập đến server
csf -a 192.168.1.10
CSF undeny IP: Remove 192.168.1.10 đang bị chặn
csf -dr 192.168.1.10
CSF unallow IP: Remove 192.168.1.10 đang được cho phép kết nối đến server
csf -ar 192.168.1.10

7.1 Kiểm tra hoạt động

[root@mail csf]# cd /usr/local/csf/bin/
[root@mail bin]# perl csftest.pl
Testing ip_tables/iptable_filter…OK
Testing ipt_LOG…OK
Testing ipt_multiport/xt_multiport…OK
Testing ipt_REJECT…OK
Testing ipt_state/xt_state…OK
Testing ipt_limit/xt_limit…OK
Testing ipt_recent…OK
Testing xt_connlimit…OK
Testing ipt_owner/xt_owner…OK
Testing iptable_nat/ipt_REDIRECT…OK
Testing iptable_nat/ipt_DNAT…OK

RESULT: csf should function on this server
[root@mail bin]#

7.2 Kiểm tra trạng thái csf

csf -l
Reload csf
csf -r
Stop csf
csf -s
Disable csf
csf -f
Update csf
csf -u
Stop csf và lfd service
csf -e

7.3 Khởi động lại CSF service:

systemctl restart {csf,lfd}

systemctl restart csf.service

Để có cái nhìn tổng quan đầy đủ về tất cả command line option, hãy nhập csf hoặc csf -h trên command line và bạn sẽ nhận được danh sách với tất cả các options có sẵn:

csf –help
csf: v5.17 (DirectAdmin)
ConfigServer Security & Firewall
(c)2006-2013, Way to the Web Limited (http://www.configserver.com)
Usage: /usr/sbin/csf [option] [value]

8. Các điểm cần lưu ý

Hãy đảm bảo tuân theo các khuyến nghị được nêu trên trang “Check Server Security” từ trong CSF GUI. Cũng nên kiểm tra kỹ để đảm bảo rằng tất cả các modules IPtables được yêu cầu đã được tải đúng cách bằng cách truy cập trang “Test Iptables” ở cuối CSF GUI.

Nếu chúng không được tải đúng cách và bạn đang ở trên Virtual Private Server(VPS), hãy liên hệ với P.A Việt nam để được hỗ trợ và tư vấn tốt nhất.

CSF giả sử file php.ini của bạn nằm trong /usr/local/lib/php.ini

Nếu tệp php.ini của bạn được cài đặt ở một vị trí khác, bạn có thể tạo một symlink đến đúng vị trí. Điều này có thể hữu ích nếu bạn muốn sử dụng các đề xuất bảo mật CSF trên trang “Check Server Security “.

Để tạo symlink, hãy nhập như sau:

ln -s /path/to/your/actual/php.ini /usr/local/lib/php.ini

Lưu ý: Đừng bao giờ chạy iptables -F trong khi sử dụng CSF, trừ khi bạn muốn block chính mình.

Kết luận

Trên đây là những thông tin hướng dẫn cài đặt CSF Firewall cho Zimbra trên Centos 7 mà P.A Việt nam muốn chia sẻ tới các bạn. Hy vọng bài viết sẽ cung cấp cho bạn nhiều thông tin hữu ích để có thể cài đặt CSF Firewall cho Zimbra trên Centos 7.

Tuy nhiên, khi cài đặt bất kỳ tường lửa nào, đặc biệt là trên máy chủ quan trọng như Zimbra Mail Server, quan trọng là thực hiện các cấu hình một cách cẩn thận và kiểm tra kỹ lưỡng để đảm bảo rằng tường lửa hoạt động chính xác và không gây ảnh hưởng đến hoạt động bình thường của máy chủ và dịch vụ email.

Ngoài ra khi tự cài đặt Zimbra Mail Server, sẽ có một số nhược điểm mà bạn cần xem xét:

Phức tạp trong quá trình cài đặt: Cài đặt Zimbra Mail Server yêu cầu kiến thức kỹ thuật cao và hiểu biết về hệ thống máy chủ và mạng. Quá trình cài đặt có thể phức tạp và mất nhiều thời gian, đặc biệt đối với những người không có kinh nghiệm trong việc triển khai email server.

Khó khăn trong việc quản lý và bảo trì: Việc quản lý và bảo trì Zimbra Mail Server có thể phức tạp và đòi hỏi kiến thức kỹ thuật liên quan. Bạn sẽ phải tự đảm nhận trách nhiệm cho việc cập nhật, sao lưu, khắc phục sự cố và bảo mật. Nếu không có đủ kỹ năng và thời gian, việc quản lý email server có thể trở nên khó khăn.

Rủi ro về bảo mật: Khi tự cài đặt và quản lý email server, có thể xảy ra rủi ro về bảo mật nếu bạn không có đủ kiến thức và kỹ năng để bảo vệ hệ thống. Một cấu hình không đúng cũng có thể dẫn đến lỗ hổng bảo mật và tấn công từ bên ngoài.

Hạn chế về tính năng và khả năng mở rộng: Khi tự cài đặt Zimbra Mail Server, bạn có thể gặp hạn chế về tính năng so với phiên bản có giấy phép hoặc dịch vụ do nhà cung cấp cung cấp. Bạn cũng có thể gặp khó khăn trong việc mở rộng email server để đáp ứng nhu cầu mở rộng trong tương lai.

Thiếu hỗ trợ kỹ thuật: Khi tự cài đặt Zimbra Mail Server, bạn sẽ không có sự hỗ trợ kỹ thuật chuyên sâu từ nhà cung cấp dịch vụ. Nếu gặp vấn đề phức tạp hoặc cần sự trợ giúp, bạn sẽ phải tự tìm kiếm thông qua các nguồn tài liệu trực tuyến hoặc cộng đồng người dùng.

Nhằm đáp ứng nhu cầu của bạn và cung cấp một giải pháp email server tối ưu, chúng tôi xin gửi tới bạn tham khảo Email Server tại P.A Việt nam.

Email Server tại P.A Việt nam được xây dựng trên cơ sở hạ tầng an toàn và đáng tin cậy, giúp bảo vệ thông tin nhạy cảm của bạn.

Chúng tôi sở hữu dãy ip đáng tin cậy nhất hiện nay, được tin tưởng và chấp nhận bởi hầu hết các tổ chức trong và ngoài nước.

Quản lý dễ dàng: Email Server tại P.A cung cấp giao diện quản lý tiện lợi, cho phép Quý khách dễ dàng tạo, xóa và quản lý tài khoản email của mình với kho giao diện cực đẹp và chuyên nghiệp, người dùng dễ dàng soạn thảo và đọc thư cùng rất nhiều tính năng tuyệt vời khác.

An toàn và bảo mật: Hỗ trợ bảo mật đa lớp bao gồm chứng chỉ số, mã hóa email và mã hóa email trên trình duyệt.

TÍnh sẵn sàng: Chúng tôi luôn cam kết chất lượng ổn định và cao nhất với thời gian hoạt động tới 99%.

Đội ngũ chuyên gia Email Server nhiều năm kinh nghiệm nhiệt tình tận tâm, xử lý và giải quyết mọi vấn đề một cách nhanh chóng giúp Email luôn được thông suốt.Làm việc bất chấp ở bất kì đâu và tương thích bất cứ thiết bị nào từ di động, trình duyệt, máy pc, laptop.Luôn sẵn sàng hỗ trợ bạn trong quá trình chuyển đổi và sử dụng Email Server tại P.A.

Sử dụng dịch vụ với giá tốt của nhà cung cấp Việt Nam nhưng tận hưởng chất lượng quốc tế.

Các bạn tham khảo các dịch vụ Email tại P.A: https://www.pavietnam.vn/vn/email-server.html

Private Email

Email Server Pro

Tham khảo các bài viết về Email Server khác tại https://kb.pavietnam.vn/category/email-server

Nếu Các bạn đang sử dụng Email marketing tại P.A thì có thể tham khảo hướng dẫn sử dụng email marketing tại đây

Hiện tại chúng tôi cũng có 1 số chương trình khuyến mãi cho các dịch vụ các bạn cũng có thể tham khảo tại đây

P.A Việt Nam – Nhà cung cấp giải pháp Email Server dành cho Doanh Nghiệp hàng đầu Việt Nam

Hãy liên hệ với P.A Việt Nam khi bạn cần tư vấn nhé!

https://support.pavietnam.vn

Email: kythuat@pavietnam.vn

Phone: 19009477, Ext 2.

Phòng kỹ thuật P.A Việt Nam