برقراری امنیت برای ایمیل سرور
نزدیک به شش ماه میشه که در شبکه خودمون میل سرور MDaemon به روش Relay راه اندازی کردم ، سیستم میل سرور پشت فایروال سخت افزاری و در DMZ و تحت شرایط خاص قرار داره و پورتهای لازم برقراره ، در این دو سه ماه گذشته تقریبا هر هفته 3 بار مورد اتک قرار میگیریم و برای نفوذ به اون اقدام میکنن ، که بیشتر هم از سمت چین، روسیه، اوکراین، آمریکا، مکزیک و اروپا هستن ، خوشبختانه یه دونه UTM مناسب داریم و تنطیمات هم برقراره و اینکه آپدیت هم میشه ، 1) میخاستم بدونم این IPهایی که بهم اتک میکنن رو چطور میتونم تحت پیگرد قرار بدم ، آیا مرجع خاصی برای شکایت از اونها هست؟ 2) چطور میتونم مطمئن بشم که بهم نفوذ نکرده و تغییری در سیستم و تنطیمات ایجاد نکرده باشن ، در حال حاضر سیستم و سرویسها دارن بخوبی کار میکنن و اشکالی هم در اون نیست ، پایدار باشید.
2 پاسخ
احسان جان متشکرم بابت وقتی که گذاشتی و جوابی که ارسال کردی
قبلش آیتمهای fail رو بیشتر مانیتور میکردم ولی حالا هر دو رو بیشتر دقت میکنم
مهدی جان پیگیرد اتک هایی که با IP خارج از ایران بشما میشه ولو اینکه از داخل ایران و با استفاده از VPN انجام شده باشه، میشه گفت تقریبا بی نتیجه است. بخاطر اینکه تمام این IP ها به نوعی fake هستند و پیگیری اونها باید از طریق پلیس فتا و بعدش اینترپل انجام بشه که از اونجایی که این IP ها همهfake هستند، تهش به نتیجه ای نمیرسی.. البته اینو بگم که از لحاظ فنی با این وجود هم میشه طرف رو ردیابی کرد ولی این کار هزینه هایی داره که تا جرم بزرگی رخ نداده باشه، معمولا پلیس پیگیری نمیکنه.
گفتم جرم... این حملاتی که روی میل سرور شما هست در حد تهدیده و هنوز نفوذ و اتک موفقی صورت نگرفته و تا جایی که میدونم نمیشه گفت که به اون صورت هنوز جرمی اتفاق افتاده.
2. باید رو سرورت auditing رو فعال کنی (که البته خودش حجم زیادی لاگ رو تولید میکنه ) اینطوری میتونی متوجه بشی که روی سرورت چه حوادثی رخ داده و یا در حال رخ دادنه. از اون طرف مطمئن باش که سرورت آسیب پذیری نداشته باشه. در این صورت تهدیداتی که وجود خواهد داشت اگه از طرف حملات DoS نباشه، میشه گفت تقریبا باید لاگین موفقی ابتدا رو سرورت صورت بگیره و بعد بهش نفوذ بشه. لاگین های موفق روی سرورت رو روزانه چک کن. (البته اینکار بصورت موقتی جواب میده). اگه حملات DoS هم روی سرورت بصورت موفق وجود داشته باشه، قطعا در عملکرد سرویس دهی و منابع سرورت متوجه اون خواهی شد.
signature های UTM و IPS اون باید مرتب آپدیت باشند.
البته اینو بگم که اکثر حملاتی که روی میل سرورها انجام میشه، متوجه دسترسی به اینباکس هستش و بنابراین از جنس Dictionary و Brute-force خواهد بود. بنابراین روی یوزرنیم و پسوردهای میل سرور و کاربرانت خیلی حساس باش.. force کن که حتما از پسورد complex استفاده بشه. یوزر administrator رو غیر فعال کن و تغییر نام بده.
مانا باشی