Атака на почтовую систему, первая волна отбита, что дальше?

Question

[pred8or]

В начале недели началась атака на почтовую систему организации, работающую на ZCS. Основной вектор - подбор пароля нескольких учётных записей посредством IMAP. У зимбры есть встроенный механизм - после нескольких неудачных попыток входа учётная запись на определённое время блокируется чтобы замедлить нападающего. Однако, такая блокировка бьёт по сотрудникам.

Начали смотреть насколько велико множество адресов, с которых ведётся атака. Оно оказалось большим, так что индивидуальные блокировки - не вариант. В результате одно-единственное правило форварда новых соединений для WAN-DMZ превратилось в несколько:

• Белый список. Все необходимые порты (http, imap, pop3, smtp) из локальной сети, систем внешнего мониторинга, мобильных сетей операторов Москвы - accept
  
• Серый список (для наблюдения за происходящим). Все порты для адресов из соответствующего списка - accept
  
• Подозреваемые. Порты http, imap - tar pit
  
• Почтальон Печкин. Порты pop3, smtp - accept
  
• Ну, и дефолтовое правило - drop всего что сюда дошло. В принципе, все необходимые условия должны отрабатывать раньше, так что для этого правила счётчик должен оставаться в 0. Если не 0, значит, где-то ошибка
  

В результате, почта доставляется, сотрудники на рабочих местах и на мобильниках в Москве могут пользоваться почтой, до подбора паролей дело не доходит. Маршрутизатор практически не напрягается. Однако, тем сотрудникам, у кого дома нет статического адреса или с какого-нибудь wifi - почта недоступна. Недоступна почта сотрудникам с мобильного не в Москве, особенно за границей.

Попробовали подумать вот в какую сторону: всё разрешено, но на почтовом сервере демоном мониторить лог-файл аудита. Если появляется ошибка аутентификации, при помощи API RouterOS соответствующий адрес заносить в чёрный список на какое-то время. Этим чёрным списком должны пользоваться правила как для новых соединений, так и для established/related. Однако, проблема в том, что с отдельного адреса обращение происходит очень редко, в параллель работает множество адресов, поэтому подбор всё равно будет происходить практически без потерь для атакующего. А сотрудники снова окажутся без почты.

В какую сторону стоит подумать? Как-то это решается?

Comments

[Ульрих]

Проще fail2ban настроить на логи. Если неудачных попыток больше трех за 5-10 секунд (человек так быстро и не может), то банить этот ip. И учетка пользователя не страдает и злоумышленник наказан

[pred8or]

Ульрих: К сожалению, этот метод не предотвратит блокировку аккаунта потому что атака довольно массивная. Даже если банить за первую же попытку

Вообще, OWASP констатирует что брутфорс очень сложно остановить полностью: Brute force attacks are surprisingly difficult to ...

В любом случае, предложения ниже насчёт VPN являются совершенно частными, имеют массу последствий, как в административном плане, так и с точки зрения безопасности. Если это и будет сделано, то только для мобильных устройств

[Ульрих]

pred8or: отключите блокировку аккаунтов в зимбре.

Answer 1

[TOParh]

В аналогичной ситуации помог fail2ban, и блочить по трем неудачным попыткам. Очень действенная мера.

Comments

[pred8or]

Принятое сразу решение заворачивать подозрительный трафик в tar pit оказалось достаточно эффективным - атака за 2-3 дня выдохлась. Это дало время на настройку fail2ban на использование API Mikrotik чтобы автоматически заносить атакующие IP в чёрный список и далее отстреливать на подлёте. Думаю, что наблюдение в течение следующих нескольких дней покажет что проблема решена

Answer 2

[CityCat4]

Вариант 1 - VPN до сети и почта только после VPN
Вариант 2 - сертификаты (в смысле проверка личного сертификата)

Вариант 1 проще технически - VPN ставится и настраивается один раз. Правда, если делать нормальный VPN, это должен быть не PPTP, может потребоваться установка клиента
Вариант 2 технически сложнее, но ему пофиг на IP от слова совсем - проверка "свой-чужой" идет по наличию на устройстве сертфиката, выданного корпоративным СA. Правда, проблема в том, что далеко не все почтовые клиенты имеют возможность работы с S/MIME вообще и далеко не все работают с личными сертификатами. Ну и публикация CRL, выдача новым сотрудникам, отзыв уволенных - возни будет много. Зато пофиг - статический IP, динамический IP, главное чтобы порт 500/4500 был не заблокирован (не все клиенты поддерижвают произвольный порт)