Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Difendiamoci dallo spam con Lotus Protector for Mail Security Fabio Grasso
Introduzione
Durante questa presentazione analizzeremo le varie minacce che possono giungere tramite posta elettronica vedremo poi quali strumenti mette a nostra disposizione IBM Domino ci concentreremo su Lotus Protector for Mail Security, un interessante prodotto che consente di filtrare virus, spam e phishing con unintegrazione nellinterfaccia utente di Notes concluderemo poi con alcune funzionalit non documentate di Protector e sar a vostra disposizione per rispondere ad eventuali domande
Indice
1. 2. 3. 4. 5. 6. 7. Tipi di minacce e qualche dato statistico Impostazioni di Domino per contrastare lo spam Lotus Protector cos e cosa fa Installazione di Protector Configurazione di Protector Qualche trucco non documentato Q&A
Un breve ripasso
Spam/Junk Mail: messaggi indesiderati, tipicamente con fini commerciali, spesso contenenti immagini nascoste che consentono di confermare lavvenuta del messaggio Phishing: messaggi di truffa che tentano, tramite tecniche di ingegneria sociale, di indurre lutente a fornire informazioni personali (quali password, numeri di carte di credito, ecc.) Virus/Trojan/Malware: messaggi contenenti allegati (spesso cifrati per evitare di essere individuati) che installano sul computer dellutente software dannoso
Qualche dato
La posta indesiderata rappresenta circa il 70% del traffico
Qualche dato
I messaggi di SPAM o Phishing normalmente sono molto piccoli (<1Kb), ma inviati in tale quantit da rappresentare cifre importanti anche dal punto di vista dello spazio occupato (e di conseguenza della banda Internet occupata)
Phishing
Il phishing che mira ai social network ha superato (pi del doppio!) quello relativo alle banche Spesso i social network sono usati anche per scopi aziendali, quindi di vitale importanza proteggerne le credenziali
Primo semestre 2013 - Fonte Kaspersky Lab
http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo _trimestre_del_2013
Controlli DNS
E possibile verificare che il server di origine del messaggio in arrivo sia registrato nei DNS pubblici Analogamente possiamo verificare che anche il dominio del mittente sia registrato In questo caso i messaggi vengono rifiutati senza possibilit di flag Seppur raramente si possono verificare falsi positivi
Controllo destinatari
Questa regola vale in generale e non solo per lo spam: onde evitare di riempire le mailbox con messaggi destinati a persone non presenti in rubrica, possibile bloccare a livello SMTP linvio a destinatari inesistenti
Infine tra le voci presenti in SMTP Inbound Controls troviamo varie opzioni per bloccare singoli host/destinatari, utilizzare blacklist/whitelist private e molto altro
IMPORTANTE!!
Sembra scontato, ma spesso mi capitato di trovare server che si comportano da open relay: salvo particolari esigenze i controlli anti-relay devono sempre essere attivi!! Per una maggiore sicurezza bloccare la connessione a tutti gli host e specificare manualmente quelli autorizzati
Scorciatoia per inserire il mittente in blacklist Accesso alla quarantena e white/black list
Report di quarantena
Il report tradotto nelle principali lingue e sia il testo che il layout sono personalizzabili Viene inviato anche in format text only per essere compatibile con qualsiasi client di posta
Schema di funzionamento
Il record MX del dominio punta ad uno o pi server Protector I server Protector ricevono la posta, la filtrano e la inviano (relay) ai server di posta interni
Schema di funzionamento
Analogamente possibile filtrare anche la posta in uscita, impostando i server Protector come outgoing SMTP relay Per questa configurazione si rimanda alla documentazione di Protector
Mail flow
Analisi multilivello
Policy
Creazione di policy semplice e basata principalmente sui quattro fattori CHI COSA QUANDO AZIONE Tutte le policy sono processate in sequenza, quindi possibile definire priorit e fermare lanalisi una volta che una regola scattata (risparmio elaborazione) Esempio pratico: antivirus prima regola, whitelist seconda. Se il mittente in whitelist non processo le altre regole risparmiando risorse Ogni regola collegata ad oggetti, modificando il singolo oggetto agisco su tutte le regole che lo utilizzano
Un caso pratico
ITATIS fornisce ai clienti Lotus Protector con una formula in cloud sia tramite server dedicati che tramite server condivisi tra pi clienti Di seguito alcuni grafici presi da uno di questi server... Totale 1 mese: 592,576 messaggi 35 Gb di traffico
Un caso pratico
Su 592.576 messaggi 167.552 erano indesiderati Circa il 28,27% - percentuale molto pi bassa della media mondiale grazie anche al filtro dei destinatari attuato a livello SMTP (se il destinatario non esiste la mail viene rifiutata ancor prima di riceverne il testo) I recuperi dalla quarantena sono stati 117, pari allo 0,07% dei messaggi filtrati e allo 0,02% del totale dei messaggi ricevuti, unottima media di falsi positivi!
Un caso pratico
Nonostante il cospicuo traffico di posta luso di memoria e CPU rimane comunque molto basso:
4. Installazione di Protector
Download
Protector racchiuso in un unico file ISO che pu essere installato sia su VMWare che su un HW certificato Per praticit la presentazione si basa sullinstallazione su VMWare. Linstallazione su HW differisce solo per la configurazione di un eventuale RAID dei dischi. Una volta installata identica alla versione VMWare
Requisiti HW
Requisiti minimi per appliance virtuale: VMware Server 1.0.2 VMware Workstation 5.5 VMware Player 1.0.3 VMware ESX 3.x 1Gb RAM 50Gb disco Throughtput: 70K emails/hour
Java
Un grosso difetto di Protector dato dalle applet java dellinterfaccia web di amministrazione... In particolare ufficialmente supportato solo JAVA JRE 1.6 inferiore ad update 24 Con versioni successive ci sono parecchi problemi di instabilit e spesso necessario chiudere e riaprire il browser per continuare la configurazione Importante: disattivare la cache dai settaggi Java nel pannello di controllo!
Porte TCP
Per un corretto funzionamento occorre che dallesterno Protector sia raggiungibile da queste porte:
SMTP (25) per il traffico di posta in entrata HTTPS (443) per linterfaccia web di gestione 4443 per laccesso alla quarantena da parte degli utenti
Altre porte andranno abilitate per traffico cluster, SNMP, ecc. (si rimanda alla documentazione)
Installazione
Per questa demo stata creata una macchina virtuale su WMWare con queste caratteristiche: 2Gb RAM 100 Gb di disco (va dimensionato in base al volume di dati da tenere in quarantena) 2 schede di rete (la prima host only, la seconda bridged) O.S. SUSE Linux Enterprise 10 32bit Una volta creata, si monta la ISO e la sia avvia
Installazione
A questo punto parte il processo di installazione che impiega qualche minuto a trasferire i dati dalla ISO alla VM Il processo di installazione riavvier la VM due volte prima di concludersi
Installazione
Una volta completata linstallazione appare la schermata di login Password di root: admin E anche attivo laccesso tramite SSH
Aprire nel browser lIP dellappliance col protocollo HTTPS In alternativa con VMWare Workstation: impostare scheda di rete host only del PC su 192.168.123.1 ed aprire https://192.168.123.123 Utente: admin Password: admin Molte delle impostazioni di Protector vengono definite con una comoda procedura guidata, che ora analizzeremo...
5. Configurazione di Protector
Configurazione iniziale
Si procede con linstallazione accettando la licenza duso e selezionando se usare la trial o inserire la chiave dattivazione
Configurazione iniziale
Si imposta lhost name e si toglie la spunta dal DHCP nella primary network, in modo da poter inserire gli indirizzi desiderati
Configurazione iniziale
Occorre poi indicare i domini che andranno gestiti ed i relativi mail server su cui indirizzare la posta e se usare il DNS o dei forwarder per la posta in uscita
Configurazione iniziale
RSS feed dellevent log ed impostazione delle notifiche Consiglio di attivare solo gli errori di Sistema, altrimenti le notifiche risultano invadenti Come giustamente viene suggerito... usare 127.0.0.1 come server di posta non una buona idea!
Configurazione iniziale
Dulcis in fundo si imposta il fuso orario ed il server NTP (per la coerenza dei logs importante che lorario sia corretto) ...e si conclude col classico tasto FINISH
Configurazione iniziale
Appena raggiunta la pagina iniziale di Protector ci troveremo subito due warning per alcuni aggiornamenti critici
Per il momento possiamo ignorarli dato che verranno risolti aggiornando il firmware dellappliance con la procedura di aggiornamento che vedremo in seguito...
Linterfaccia web
La schermata inziale divisa in due frame: Nella parte sinistra troviamo il menu con le varie voci di configurazioni A destra invece una serie di tab statistici ed informativi
Statistiche su quantit di spam e minacce Volumi di traffico e code di elaborazione Versioni delle firme dei vari moduli
Linterfaccia web
Le varie voci del menu laterale sono divise in 6 macro categorie:
Mail Security: policy, reportistica, browse delle mail processate, verifica LDAP ed impostazioni cluster SMTP: tutto ci che riguarda le comunicazioni a livello SMTP ed eventuali certificati TLS System: impostazioni di sistema, logs, impostazioni scheda di rete, SNMP, orologio e sotto system tools riavvio o spegnimento dellappliance Backup & Restore: consente di effettuare backup dei logs e delle impostazioni Updates: schedulazione degli aggiornamenti e gestione chiave di attivazione Support: estrazione dei file diagnostici, condizioni duso e contatti di supporto
Le Policy
Vediamo pi nel dettaglio le varie voci dei menu...
Abilitazione di: Message Tracking (log dei messaggi con vari livelli di verbosit Reporting (compresa schedulazione di report da inviare via e-mail agli admin) SNMP Traps Parametri avanzati (es. threads SMTP, verbosit dei logs, ecc.)
Impostazioni
Settings - Rules
Sono processate in sequenza dallalto verso il basso
Tutte le componenti del flusso sono definite dai Policy Objects E possibile quindi differenziare le regole anche per gruppi di utenti, orari, ecc.
Seguono un flusso:
Condizioni preliminari Mittente Destinatario Quando Modulo danalisi Risposta Azione
Quando una policy interviene si pu scegliere se continuare con le successive regole o bloccarlo/autorizzarlo (risparmio elaborazione)
Settings - Rules
Un esempio, la regola predefinita per lo spam: Si applica a tutti i domini (My Domains) Esegue una serie di moduli danalisi (Spam Bayesian, Spam URL, Pharmacy Keywords, ecc) Esegue come azione Tag as Spam che aggiunge [SPAM] alloggetto del messaggio Al termine della regola, prosegue con le seguenti (Continue)
URL dellinterfaccia web Se lhostname esterno corrisponde a quello interno e se non stata modificata la porta TCP si pu lasciare limpostazione predefinita
Impostazioni specifiche per le varie Directory: possibile ad esempio autorizzare laccesso a tutti ma negarlo ad una categoria di utenti, oppure al contrario negarlo a tutti tranne che ad alcuni. Salvo esigenze specifiche la configurazione che si adotta abitualmente di lasciarlo aperto a tutti (Default Access Mode: Granted)
Specifies the necessary amount of occurrences for a certain signature in the flow of analyzed email messages before any subsequent occurrence of the signature is considered a match.
Questo valore rappresenta il punteggio minimo da raggiungere per far scattare la regola DNSBL
Qui si possono indicare le varie blacklist da utilizzare, con il peso da associare a ciascuna
DNSBL pu essere applicato sia ad una policy che a livello SMTP Applicandolo come policy ci permette di definire azioni quali tag nelloggetto o quarantena Applicandolo sullSMTP ci permette di risparmiare parecchio traffico dati (ma eventuali falsi positivi non sono recuperabili)
Numero di giorni di logs da tenere per la generazione di reportistica Configurazione SNMP e salvataggio report nel system log
Qui possibile definire dei report schedulati che verranno inviati per posta elettronica
I Policy Objects
Definiscono i criteri su cui agiscono le regole Anche in questo caso analizziamo le varie voci dei menu...
Definisce i contenitori delle mail bloccate. Fasce orarie Risposte (es. tag, cancellazione messaggio, rimozione allegato, disclaimer) Precondizioni (attualmente solo una: binary detected)
Template per le mail automatiche inviate agli utenti col contenuto della quarantena Connessioni LDAP per lautenticazione utenti Server per eventuale archiviazione dei logs
Message Stores
Due tipi: Quarantine Store: archivia i messaggi ed invia il report (esempio duso lo spam) Message Store: archivia solo i messaggi (es. bck virus rimossi) Numero di giorni da conservare Invio del report schedulato, scelta del template ed orario di invio ATTENZIONE! se si seleziona quarantine come tipo, abilitare sempre i report. Altrimenti non funziona la pulizia dopo x giorni
Who
Definiscono mittenti/destinatari
Ci possono essere Directory (LDAP), liste di emails, gruppi, user o raggruppamenti di queste categorie
Lista di tutti gli oggetti presenti. Possono essere Directory (LDAP), liste di emails, gruppi, user o raggruppamenti di queste categorie
Analysis Modules
Qui possibile vedere la lista di tutti i moduli di analisi disponibili. E anche possibile aggiungerne di personalizzati usando regex
Responses
Per le azioni che inviano messaggi negli store possibile selezionare in quale archivio memorizzarli... ...e si pu decidere se archiviare il messaggio originale o il messaggio processato dalle regole (ad esempio di rimozione dellallegato)
Directories
Lista di tutte le directory configurate. Sono gi presenti i parametri per LDAP di Domino ed Active Directory
Modificando la directory possibile inserire i vari parametri del nostro server LDAP
Per una configurazione base con una sola directory utilizzare Domino Directory Online ed impostare host/ip ed utenza per il binding
Email browser
Permette di cercare (ed eventualmente rilasciare) le mail in quarantena Se stato attivato il tracking permette di cercare tutti i messaggi entrati/usciti Molto utile per effettuare debug in caso di problemi di ricezione posta Viene tracciato oggetto, mittente, destinatario ed orario solo nelle mail in quarantena si pu vedere anche il contenuto
SMTP - Configuration
Vediamo nel dettaglio la configurazione SMTP
Tutti i settaggi delle mail in arrivo Impostazioni legate al TLS: richiesta dei certificati, always try TLS, accettazione certificati self signed, ecc
Tutti i settaggi delle mail in uscita, tra cui domino da presentare col comando helo, tentativi da effettuare per le mail non recapitabili ed eventuali server DNS custom per alcuni domini
Nelle prossime slide vedremo le varie voci di Receiving SMTP, le altre voci hanno comunque parametri molto intuitivi
Settings
La maggior parte dei settaggi di facile interpretazione
Qui si indicano tutti i domini gestiti da Protector e per ciascuno i server SMTP su cui girare la posta
Global IP ACL
In questarea possibile definire IP autorizzati o negate alla connessione al nostro server
anche possibile personalizzare la risposta del server SMTP
DNSBL
Abilitando questa funzione blocchiamo le connessioni riconosciute in black list DNS direttamente a livello SMTP In questo modo risparmiamo sia traffico dati che potenza di calcolo (il messaggio viene rifiutato ancora prima di essere ricevuto e processato dagli altri filtri)
anche possibile bloccare la connessione in modo silente, senza dare notifica al server mittente
i parametri DNSBL sono quelli visti in precedenza. Cliccando su DNSBL Settings si viene rimandati alle impostazioni DNSBL nellarea Policy
Recipient Verification
Rifiutiamo i messaggi verso destinatari inesistenti: risparmiamo traffico dati, elaborazione ed evitiamo di fare il relay di messaggi inutili al server Domino
anche in questo caso possibile personalizzare la risposta del server SMTP
In questarea andranno aggiunte tutte le directory che vogliamo utilizzare. anche poossibile bloccare una singola directory (es utenti non autorizzati a ricevere posta)
ZLA
Aumenta le prestazioni di Protector Effettua il drop a livello SMTP appena si accorge che una mail spam, senza attendere la conclusione della sessione
Tipo di risposta da adottare (block o tag) anche in questo caso possibile personalizzare la risposta del server SMTP
DHR
Tecnologia in grado di bloccare lo spam basandosi sulla reputazione di un host Se Protector riceve molto spam da un idirizzo IP, superata una certa soglia comincer a bloccarlo a livello SMTP
possibile definire il comportamento da adottare (reject, silent drop, tag)
parametri che definiscono il comportamento del filtro (finestra, durata della quarantena, spam hits per far scattare la quarantena, ecc)
System
Vediamo velocemente il menu System:
Events: registro degli eventi e degli errori Log files: permette di esportare i logs (compresi i logs a livello SMTP) End User Manager: possiamo controllare le black/white list degli utenti Firewall: imposta in quali schede di rete sono in ascolto i servizi (max 4 NIC) IPS: attiva lIntrusion Prevenction ICAP: protezione antivirus per IBM WebSphere ICAP interface (Quickr e Connections) Networking/Routes: parametri di rete (IP, gateway,ecc) Admin Passwords: modifica password root e admin E-mail & SNMP: permette di definire quali tipi di alert devono essere notificati via SNMP o e-mail Time: fuso orario e server NTP System tools: ping, traceroute, clear DNS cache
Al primo accesso dellutente viene richiesta lautenticazione (internet password se si utilizza Domino come LDAP)
Attualmente non supporta integrazione con iNotes e SSO Per evitare che ad ogni accesso chieda di accettare il certificato SSL, installarlo nella root certification del PC (o distribuirlo tramite Active Directory con le GPO)
A partire dalla R9 possibile fare la stessa configurazione, in modo pi agevole, dalla scheda Basics delle policy Desktop
Link utili
Info:
www-03.ibm.com/software/products/us/en/protector/
Documentazione:
www.ibm.com/developerworks/lotus/documentation/protector/mailsecurity/
Wiki:
www10.lotus.com/ldd/dominowiki.nsf/xpViewCategories.xsp?lookupName=Lotus%20Protector
Trial:
www.ibm.com/developerworks/downloads/ls/lotusprotector/index.html
Risorse marketing:
www-304.ibm.com/partnerworld/wps/servlet/ContentHandler/X721840E59886A74
Accesso helpdesk
Spesso si vuole avere un utente che ha accesso alla quarantena ma non alla configurazione Aggiungendo lutente helpdesk alla configurazione di Apache su Protector, questultimo avr visibilit della quarantena e potr sbloccare le mail per conto degli utenti Funziona solo con lutente helpdesk, qualsiasi altro utente creato non ha accesso alla console di Protector Per attivarlo: Login come root via SSH Eseguire il commando
htpasswd2 /var/www/auth/htpasswd helpdesk
Rubrica offline
La funzionalit di caching offline della rubrica di Protector scade dopo 24 ore ( e comunque non funziona bene) Per poter avere una copia offline della rubrica necessario utilizzare un task che estrapola dal server LDAP la lista degli indirizzi e la salva su un file di testo. Si procede in questo modo: Accesso come root a Protector Si crea un cronjob con questo comando:
0 * * * * /usr/sbin/ldap_smtpextractor /etc/mailsec/SETConfig/itatis\ directory_config.txt
(sostituendo itatis\ directory col nome definito nelloggetto Who che punta allLDAP nellesempio il task viene eseguito ogni ora, si pu comunque modificare)
Rubrica offline
Se il file contiene uno spazio creare un link es: ln itatis\ directory_config.emails itatis.emails Verificare che nella cartella /etc/mailsec/SETConfig/ vengano creato il file .emails Creare un nuovo oggetto Who contenente questa stringa:
$(FILE./etc/mailsec/SETConfig/itatis.emails)
Rubrica offline
Impostare il nuovo oggetto nel recipient verification delle impostazioni SMTP (ed eventualmente nelle regole, se ne avete create basate sulle directory anich sui domini) Da questo momento per le regole/verifica destinatari verr usato il file asincrono, mentre per lautenticazione utenti lLDAP
Luso di TLS pu essere una buona soluzione anche per cifrare il transito delle mail tra Protector ed i server Domino interni Per configurare TLS su Domino: technote swg21108352
7. Q&A
Fabio Grasso
ITATIS S.r.l - www.itatis.net
fabio.grasso@itatis.net - fabio.grasso@gmail.com
www.linkedin.com/in/fabiograsso82/it
Grazie agli sponsor per aver reso possibile i Dominopoint Days 2013!
Main Sponsor
Vad sponsor
Platinum sponsor
Gold sponsor