0
From Zero To Protected Hero...
Difendiamoci dallo spam con
Lotus Protector for Mail Security
Fabio Grasso
Fabio Grasso
• Lavoro come sistemista per Itatis Srl (www.itatis.net) con
particolare focus sulle soluzioni di collaborati...
Introduzione
• Durante questa presentazione analizzeremo le varie minacce
che possono giungere tramite posta elettronica
•...
Indice
1. Tipi di minacce e qualche dato statistico
2. Impostazioni di Domino per contrastare lo spam
3. Lotus Protector… ...
1.
Tipi di minacce e
qualche dato
statistico
Un breve ripasso…
• Spam/Junk Mail: messaggi indesiderati,
tipicamente con fini commerciali, spesso
contenenti immagini na...
Primo semestre 2013
Fonte Kaspersky Lab
http://www.kaspersky.com/it/about/news/spam/201
3/Lo_spam_nel_secondo_trimestre_de...
Qualche dato
Primo semestre 2013 - Fonte Kaspersky Lab
http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_second...
Phishing
• Il phishing che mira ai social
network ha superato (più del
doppio!) quello relativo alle
banche
• Spesso i soc...
Metodi per combattere lo spam
• Software locale: installazione
direttamente sui pc degli utenti di
software che filtrano I...
Metodi per combattere lo spam
• Mail gateway (on premise/in cloud): si tratta
sostanzialmente di server SMTP che ricevono ...
2.
Impostare Domino
per prevenire lo
spam
Impostare una blacklist DNS
• E’ possibile bloccare totalmente i messaggi o marcarli
con uno speciale flag
• Bloccandoli s...
Impostare una blacklist DNS
• Se si sceglie l’opzione “Log and tag” sarà poi necessario
creare una regola nei singoli data...
Controlli DNS
• E’ possibile verificare che il
server di origine del messaggio
in arrivo sia registrato nei DNS
pubblici
•...
Controllo destinatari
• Questa regola vale in generale e non solo per lo spam:
onde evitare di riempire le mailbox con mes...
IMPORTANTE!!
Sembra scontato, ma spesso mi è capitato di trovare server
che si comportano da open relay:
salvo particolari...
3.
Lotus Protector
cos’è e cosa fa
Domino & Protector
• IBM Domino è un ambiente intrinsecamente sicuro,
tuttavia non è immune a phishing ed allegati pericol...
Lotus Protector for Mail Security
• Software di filtraggio spam, malware e content filtering
• Basato su tecnologia IBM IS...
Lotus Protector for Mail Security
• IP Reputation: drop delle connessioni
di IP noti come malevoli a livello
SMTP
• Analis...
Lotus Protector for Mail Security
• Log di tutto il traffico con possibilità di ricerca con vari filtri
• Accesso alla qua...
Integrazione con Notes
Accesso alla
quarantena e
white/black list
Scorciatoia per
inserire il mittente
in blacklist
Report di quarantena
Mittente ed oggetto
di ciascun messaggio
Recupero dalla
quarantena e gestione
black/white list
• Il r...
Schema di funzionamento
• Il record MX del dominio punta ad uno o più server
Protector
• I server Protector ricevono la po...
Schema di funzionamento
• Analogamente è possibile filtrare anche la posta in uscita,
impostando i server Protector come o...
Mail flow
Analisi multilivello
Policy
• Creazione di policy semplice e basata principalmente sui
quattro fattori CHI – COSA – QUANDO – AZIONE
• Tutte le ...
Un caso pratico
• ITATIS fornisce ai clienti Lotus Protector con una formula
“in cloud” sia tramite server dedicati che tr...
Un caso pratico
• Su 592.576 messaggi 167.552 erano indesiderati
• Circa il 28,27% - percentuale molto più bassa della med...
Un caso pratico
• Nonostante il cospicuo traffico di posta l’uso di memoria
e CPU rimane comunque molto basso:
4.
Installazione di
Protector
Download
• Protector è racchiuso in un unico file ISO che può essere
installato sia su VMWare che su un HW certificato
• P...
Requisiti HW
Requisiti minimi per
appliance virtuale:
VMware Server 1.0.2
VMware Workstation 5.5
VMware Player 1.0.3
VMwar...
Java
• Un grosso difetto di Protector è dato dalle applet java
dell’interfaccia web di amministrazione...
• In particolare...
Porte TCP
• Per un corretto funzionamento occorre che dall’esterno
Protector sia raggiungibile da queste porte:
– SMTP (25...
Installazione
• Per questa “demo” è stata creata una macchina virtuale
su WMWare con queste caratteristiche:
– 2Gb RAM
– 1...
Installazione
• A questo punto parte il processo di installazione che impiega
qualche minuto a trasferire i dati dalla ISO...
Installazione
• Una volta completata l’installazione appare la schermata di
login
• Password di
root: admin
• E’ anche
att...
Accesso all’interfaccia web
• Individuare l’IP indicato in alto a destra, il primo è
preimpostato, il secondo in DHCP. Se ...
5.
Configurazione di
Protector
Configurazione iniziale
• Si procede con l’installazione accettando la licenza d’uso e
selezionando se usare la trial o in...
Configurazione iniziale
• Si imposta l’host name e si toglie la spunta dal DHCP nella
primary network, in modo da poter in...
Configurazione iniziale
• Occorre poi indicare i domini che andranno gestiti ed i
relativi mail server su cui indirizzare ...
Configurazione iniziale
• RSS feed dell’event log ed impostazione delle notifiche
• Consiglio di attivare solo gli errori ...
Configurazione iniziale
• Dulcis in fundo si imposta il fuso orario ed il server NTP
(per la coerenza dei logs è important...
Configurazione iniziale
• Appena raggiunta la pagina iniziale di Protector ci troveremo
subito due warning per alcuni aggi...
L’interfaccia web
La schermata
inziale è divisa
in due frame:
Nella parte
sinistra
troviamo il
menu con le
varie voci di
c...
L’interfaccia web
Le varie voci del menu laterale sono divise in 6
macro categorie:
– Mail Security: policy, reportistica,...
Le Policy
Vediamo più nel dettaglio le varie voci dei menu...
Impostazioni
Abilitazione di:
Message Tracking (log dei mess...
Settings - Rules
Sono processate in sequenza dall’alto verso il basso
• Seguono un flusso:
– Condizioni preliminari
– Mitt...
Settings - Rules
Un esempio, la regola predefinita per lo spam:
• Si applica a tutti i domini (My Domains)
• Esegue una se...
Settings – End User Interface .
Impostazione d’accesso
predefinita
URL dell’interfaccia web
Se l’hostname esterno
corrispo...
• DNSBL può essere applicato sia ad una policy che a livello SMTP
• Applicandolo come policy ci permette di definire azion...
• In questo caso non ci sono opzioni, il controllo degli
allegati può essere solo attivo o non attivo
• Si tratta di un
co...
Message Tracking / Reporting .
Attivazione / Disattivazione del tracking dei
messaggi e definizione del numero di giorni
d...
I Policy Objects
• Definiscono i criteri su cui agiscono le regole
• Anche in questo caso analizziamo le varie voci
dei me...
Message Stores
Invio del report schedulato, scelta del
template ed orario di invio
ATTENZIONE! se si seleziona
‘quarantine...
Who
Definiscono mittenti/destinatari
Lista di tutti gli oggetti
presenti. Possono
essere Directory
(LDAP), liste di emails...
Analysis Modules
Qui è possibile vedere
la lista di tutti i moduli
di analisi disponibili.
E’ anche possibile
aggiungerne ...
Responses
Varie azioni predefinite.
E’ possibile utilizzarle o
crearne di nuove
Per le azioni che
inviano messaggi negli
s...
Directories
Lista di tutte le directory
configurate. Sono già presenti i
parametri per LDAP di Domino
ed Active Directory
...
Email browser
• Permette di cercare (ed eventualmente rilasciare)
le mail in quarantena
• Se è stato attivato il tracking
...
Verify Who Objects
• Verifica il buon funzionamento delle connessioni
LDAP e delgli oggetti ‘Who’
• Inserendo uno specific...
SMTP - Configuration
• Vediamo nel dettaglio la configurazione SMTP
Il root domain e gli
indirizzi e-mail di servizio
(pos...
Settings
• La maggior parte dei settaggi è di facile interpretazione
Qui si indicano tutti i
domini gestiti da Protector
e...
Global IP ACL
• In quest’area è possibile definire IP autorizzati o negati alla
connessione al nostro server
è anche possi...
DNSBL
• Abilitando questa funzione blocchiamo le connessioni
riconosciute in black list DNS direttamente a livello SMTP
• ...
• Rifiutiamo i messaggi verso destinatari inesistenti: risparmiamo
traffico dati, elaborazione ed evitiamo di fare il rela...
• Aumenta le prestazioni di Protector
• Effettua il drop a livello SMTP appena si accorge che una mail è
spam, senza atten...
• Tecnologia in grado di bloccare lo spam basandosi sulla
reputazione di un host
• Se Protector riceve molto spam da un id...
Vediamo velocemente il menu System:
– Events: registro degli eventi e degli errori
– Log files: permette di esportare i lo...
• Parametro notes.ini $PROTECTOR_LOCATION=url:port
(es. $PROTECTOR_LOCATION=demoprotector.itatis.net:4443)
• Al primo acce...
Integrazione con Notes
Il parametro si può distribuire automaticamente via policy:
• Policy di tipo ‘Desktop Settings’: ne...
• Molti bugs di integrazione tra Protector e Notes sono stati
risolti con 8.5.2FP1 ed 8.5.3 (oltre che con la R9), assicur...
Link utili
• Info:
www-03.ibm.com/software/products/us/en/protector/
• Documentazione:
www.ibm.com/developerworks/lotus/do...
6.
Qualche “trucco”
non documentato
Accesso “helpdesk”
• Spesso si vuole avere un utente che ha accesso alla
quarantena ma non alla configurazione
• Aggiungen...
Rubrica offline
• La funzionalità di caching offline della rubrica di Protector
scade dopo 24 ore (… e comunque non funzio...
Rubrica offline
– Se il file contiene uno spazio creare un link
es: ln itatis directory_config.emails itatis.emails
– Veri...
Rubrica offline
– Impostare il nuovo oggetto nel recipient verification delle
impostazioni SMTP (ed eventualmente nelle re...
TLS e Certificati SSL
• L’installazione di certificati SSL firmati da terze parti non
funziona correttamente dalla console...
7.
Q&A
GRAZIE PER L’ATTENZIONE!
I miei contatti...
Fabio Grasso
ITATIS S.r.l - www.itatis.net
fabio.grasso@itatis.net - fabio.gra...
Grazie agli sponsor per aver reso possibile i
Dominopoint Days 2013!
Main Sponsor
Vad sponsor
Platinum sponsor
Gold sponsor
Upcoming SlideShare
Loading in...5
×

From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13

472

Published on

Difendiamoci dallo Spam con Lotus Protector for Mail Security

Lo Spam e le minacce che giungono per posta elettronica (come phishing e virus) rappresentano ormai da molti anni uno dei maggiori problemi della sicurezza informatica.

Nella prima fase di questa sessione faremo una veloce carrellata degli strumenti che Domino mette a nostra disposizione per ridurre il traffico di posta indesiderata, come ad esempio recipient verification, DNS blacklist e lookup.

In seguito ci concrentreremo su IBM Lotus Protector for Mail Security, un prodotto del branch ISS (Internet Security Systems), acquisito da IBM nel 2006, che si occupa di filtrare le email in ingresso con interessanti funzionalità ed una integrazione con Notes che consente di gestire la quarantena e le black/white list degli utenti direttamente dal client.

Vedremo poi come, in pochi semplici passaggi, è possibile installare e configurare Protector, come distribuire ai client la configurazione per l'integrazione in Notes ed infine alcuni "trucchetti" non documentati che ci aiuteranno a gestire al meglio il nostro sistema.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
472
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
17
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Ricordarsi di dare il mic per le domande…
  • Transcript of "From Zero To Protected Hero… - Fabio Grasso - Dominopoint Days 2013 #dd13"

    1. 1. From Zero To Protected Hero... Difendiamoci dallo spam con Lotus Protector for Mail Security Fabio Grasso
    2. 2. Fabio Grasso • Lavoro come sistemista per Itatis Srl (www.itatis.net) con particolare focus sulle soluzioni di collaboration IBM/Lotus • Sono Certified System Administrator e Certified Instructor per la versione 8.5 di Notes/Domino e conosco l’ambiente Lotus dalla versione 6.5 con cui ho iniziato a lavorare nel 2004 • Oltre al software di collaboration mi occupo di progettare e manutenere infrastrutture con server e storage IBM e sistemi operativi Microsoft e Linux Presentiamoci...
    3. 3. Introduzione • Durante questa presentazione analizzeremo le varie minacce che possono giungere tramite posta elettronica • Vedremo poi quali strumenti mette a nostra disposizione IBM Domino per bloccare la posta indesiderata • Ci concentreremo su Lotus Protector for Mail Security, un interessante prodotto che consente di filtrare virus, spam e phishing con un’integrazione nell’interfaccia utente di Notes • Concluderemo poi con alcune funzionalità non documentate di Protector e sarò a vostra disposizione per rispondere ad eventuali domande
    4. 4. Indice 1. Tipi di minacce e qualche dato statistico 2. Impostazioni di Domino per contrastare lo spam 3. Lotus Protector… cos’è e cosa fa 4. Installazione di Protector 5. Configurazione di Protector 6. Qualche “trucco” non documentato 7. Q&A
    5. 5. 1. Tipi di minacce e qualche dato statistico
    6. 6. Un breve ripasso… • Spam/Junk Mail: messaggi indesiderati, tipicamente con fini commerciali, spesso contenenti immagini nascoste che consentono di confermare l’avvenuta del messaggio • Phishing: messaggi di truffa che tentano, tramite tecniche di ingegneria sociale, di indurre l’utente a fornire informazioni personali (quali password, numeri di carte di credito, ecc.) • Virus/Trojan/Malware: messaggi contenenti allegati (spesso cifrati per evitare di essere individuati) che installano sul computer dell’utente software dannoso
    7. 7. Primo semestre 2013 Fonte Kaspersky Lab http://www.kaspersky.com/it/about/news/spam/201 3/Lo_spam_nel_secondo_trimestre_del_2013 Qualche dato La posta indesiderata rappresenta circa il 70% del traffico
    8. 8. Qualche dato Primo semestre 2013 - Fonte Kaspersky Lab http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo_trimestre_del_2013 I messaggi di SPAM o Phishing normalmente sono molto piccoli (<1Kb), ma inviati in tale quantità da rappresentare cifre importanti anche dal punto di vista dello spazio occupato (e di conseguenza della banda Internet occupata)
    9. 9. Phishing • Il phishing che mira ai social network ha superato (più del doppio!) quello relativo alle banche • Spesso i social network sono usati anche per scopi aziendali, è quindi di vitale importanza proteggerne le credenziali Primo semestre 2013 - Fonte Kaspersky Lab http://www.kaspersky.com/it/about/news/spam/2013/Lo_spam_nel_secondo _trimestre_del_2013
    10. 10. Metodi per combattere lo spam • Software locale: installazione direttamente sui pc degli utenti di software che filtrano I messaggi in entrata/uscita (tipicamente funzionalità inclusa nell’antivirus) • Blacklist DNS (DNSBL): si tratta di speciali server DNS che raccolgono liste dei mittenti di spam (ogni servizio ha proprie regole e criteri) • Software sul server di posta: si tratta di particolari “plugin” che aggiungono sistemi di filtraggio delle mail al server di posta in uso (Domino, Exchange, ecc)
    11. 11. Metodi per combattere lo spam • Mail gateway (on premise/in cloud): si tratta sostanzialmente di server SMTP che ricevono la posta, la analizzano e la inviano, una volta depurate dai messaggi indesiderati, al server di posta reale. Tale server può essere installato sia localmente che utilizzato come servizio in cloud. Lotus Protector for Mail Security è un esempio di software che utilizza questa metodologia.
    12. 12. 2. Impostare Domino per prevenire lo spam
    13. 13. Impostare una blacklist DNS • E’ possibile bloccare totalmente i messaggi o marcarli con uno speciale flag • Bloccandoli si reduce il traffico SMTP, ma se c’è un falso positivo non potrà essere recuperato • Lista DNSBL attive: www.dnsbl.info
    14. 14. Impostare una blacklist DNS • Se si sceglie l’opzione “Log and tag” sarà poi necessario creare una regola nei singoli database degli utenti • Il flag è infatti un campo nascosto chiamato $DNSBLSite
    15. 15. Controlli DNS • E’ possibile verificare che il server di origine del messaggio in arrivo sia registrato nei DNS pubblici • Analogamente possiamo verificare che anche il dominio del mittente sia registrato • In questo caso i messaggi vengono rifiutati senza possibilità di flag • Seppur raramente si possono verificare falsi positivi
    16. 16. Controllo destinatari • Questa regola vale in generale e non solo per lo spam: onde evitare di riempire le mailbox con messaggi destinati a persone non presenti in rubrica, è possibile bloccare a livello SMTP l’invio a destinatari inesistenti • Infine tra le voci presenti in “SMTP Inbound Controls” troviamo varie opzioni per bloccare singoli host/destinatari, utilizzare blacklist/whitelist private e molto altro
    17. 17. IMPORTANTE!! Sembra scontato, ma spesso mi è capitato di trovare server che si comportano da open relay: salvo particolari esigenze i controlli anti-relay devono sempre essere attivi!! Per una maggiore sicurezza bloccare la connessione a tutti gli host e specificare manualmente quelli autorizzati
    18. 18. 3. Lotus Protector cos’è e cosa fa
    19. 19. Domino & Protector • IBM Domino è un ambiente intrinsecamente sicuro, tuttavia non è immune a phishing ed allegati pericolosi aperti dall’utente • Oltre alle mail pericolose ci sono comunque messaggi indesiderati (es. pubblicità) che l’utente non vuole ricevere • Per ovviare a queste “mancanze” di Domino ci viene in soccorso Protector
    20. 20. Lotus Protector for Mail Security • Software di filtraggio spam, malware e content filtering • Basato su tecnologia IBM ISS X-Force • Analisi dei messaggi su più livelli • Antivirus basato su signature ed euristica • Controllo URL nel testo per phishing e spyware • White/Black list globali e per utente • Intrusion Prevention System integrato • Analisi testo negli allegati (anche compressi) • Possibilità di bloccare determinati tipi di allegati • ...funziona a livello SMTP, quindi applicabile a qualsiasi server di posta, non solo Domino... • NEW R2.8! Antivirus (ICAP) anche per Quickr e Connections
    21. 21. Lotus Protector for Mail Security • IP Reputation: drop delle connessioni di IP noti come malevoli a livello SMTP • Analisi del contenuto: riconoscimento dello spam dall’analisi avanzata del testo • ZLA: utilizza un sottoinsieme di filtri ottimizzato analizzando i bits sequenzialmente. Termina la connessione se rileva spam. La posta che passa è comunque sottoposta agli altri filtri
    22. 22. Lotus Protector for Mail Security • Log di tutto il traffico con possibilità di ricerca con vari filtri • Accesso alla quarantena a livello utente e amministratore • Report schedulato della quarantena agli utenti • Integrazione con Notes (a partire dalla rel 8.5.1)
    23. 23. Integrazione con Notes Accesso alla quarantena e white/black list Scorciatoia per inserire il mittente in blacklist
    24. 24. Report di quarantena Mittente ed oggetto di ciascun messaggio Recupero dalla quarantena e gestione black/white list • Il report è tradotto nelle principali lingue e sia il testo che il layout sono personalizzabili • Viene inviato anche in format text only per essere compatibile con qualsiasi client di posta
    25. 25. Schema di funzionamento • Il record MX del dominio punta ad uno o più server Protector • I server Protector ricevono la posta, la filtrano e la inviano (relay) ai server di posta interni
    26. 26. Schema di funzionamento • Analogamente è possibile filtrare anche la posta in uscita, impostando i server Protector come outgoing SMTP relay • Per questa configurazione si rimanda alla documentazione di Protector
    27. 27. Mail flow
    28. 28. Analisi multilivello
    29. 29. Policy • Creazione di policy semplice e basata principalmente sui quattro fattori CHI – COSA – QUANDO – AZIONE • Tutte le policy sono processate in sequenza, è quindi possibile definire priorità e fermare l’analisi una volta che una regola è scattata (risparmio elaborazione) • Esempio pratico: antivirus prima regola, whitelist seconda. Se il mittente è in whitelist non processo le altre regole risparmiando risorse • Ogni regola è collegata ad oggetti, modificando il singolo oggetto agisco su tutte le regole che lo utilizzano
    30. 30. Un caso pratico • ITATIS fornisce ai clienti Lotus Protector con una formula “in cloud” sia tramite server dedicati che tramite server condivisi tra più clienti • Di seguito alcuni grafici presi da uno di questi server... • Totale 1 mese: – 592,576 messaggi – 35 Gb di traffico
    31. 31. Un caso pratico • Su 592.576 messaggi 167.552 erano indesiderati • Circa il 28,27% - percentuale molto più bassa della media mondiale grazie anche al filtro dei destinatari attuato a livello SMTP (se il destinatario non esiste la mail viene rifiutata ancor prima di riceverne il testo) • I recuperi dalla quarantena sono stati 117, pari allo 0,07% dei messaggi filtrati e allo 0,02% del totale dei messaggi ricevuti, un’ottima media di falsi positivi!
    32. 32. Un caso pratico • Nonostante il cospicuo traffico di posta l’uso di memoria e CPU rimane comunque molto basso:
    33. 33. 4. Installazione di Protector
    34. 34. Download • Protector è racchiuso in un unico file ISO che può essere installato sia su VMWare che su un HW certificato • Per praticità la presentazione si basa sull’installazione su VMWare. L’installazione su HW differisce solo per la configurazione di un eventuale RAID dei dischi. Una volta installata è identica alla versione VMWare • Codice passport: CI3FWML • La licenza è per utente ed è disponibile una versione dimostrativa che dura 90 giorni
    35. 35. Requisiti HW Requisiti minimi per appliance virtuale: VMware Server 1.0.2 VMware Workstation 5.5 VMware Player 1.0.3 VMware ESX 3.x 1Gb RAM 50Gb disco Throughtput: 70K emails/hour
    36. 36. Java • Un grosso difetto di Protector è dato dalle applet java dell’interfaccia web di amministrazione... • In particolare è ufficialmente supportato solo JAVA JRE 1.6 inferiore ad update 24 • Con versioni successive ci sono parecchi problemi di instabilità e spesso è necessario chiudere e riaprire il browser per continuare la configurazione • Importante: disattivare la cache dai settaggi Java nel pannello di controllo!
    37. 37. Porte TCP • Per un corretto funzionamento occorre che dall’esterno Protector sia raggiungibile da queste porte: – SMTP (25) per il traffico di posta in entrata – HTTPS (443) per l’interfaccia web di gestione – 4443 per l’accesso alla quarantena da parte degli utenti • Se Protector è in DMZ andrà consentito questo traffico verso la rete interna: – LDAP (389) per l’accesso alla rubrica di Domino via LDAP – SMTP (25) per l’inoltro della posta ai server interni • Altre porte andranno abilitate per traffico cluster, SNMP, ecc. (si rimanda alla documentazione)
    38. 38. Installazione • Per questa “demo” è stata creata una macchina virtuale su WMWare con queste caratteristiche: – 2Gb RAM – 100 Gb di disco (va dimensionato in base al volume di dati da tenere in quarantena) – 2 schede di rete (la prima host only, la seconda bridged) – O.S. SUSE Linux Enterprise 10 32bit • Una volta creata, si monta la ISO e la sia avvia
    39. 39. Installazione • A questo punto parte il processo di installazione che impiega qualche minuto a trasferire i dati dalla ISO alla VM • Il processo di installazione riavvierà la VM due volte prima di concludersi
    40. 40. Installazione • Una volta completata l’installazione appare la schermata di login • Password di root: admin • E’ anche attivo l’accesso tramite SSH
    41. 41. Accesso all’interfaccia web • Individuare l’IP indicato in alto a destra, il primo è preimpostato, il secondo in DHCP. Se non è presente un server DHCP è necessario accedere alla shell e modificare manualmente l’indirizzo tramite YaST (l’appliance Protector è basata su SuSE 10) • Aprire nel browser l’IP dell’appliance col protocollo HTTPS • In alternativa con VMWare Workstation: impostare scheda di rete host only del PC su 192.168.123.1 ed aprire https://192.168.123.123 • Utente: admin – Password: admin • Molte delle impostazioni di Protector vengono definite con una comoda procedura guidata, che ora analizzeremo...
    42. 42. 5. Configurazione di Protector
    43. 43. Configurazione iniziale • Si procede con l’installazione accettando la licenza d’uso e selezionando se usare la trial o inserire la chiave d’attivazione
    44. 44. Configurazione iniziale • Si imposta l’host name e si toglie la spunta dal DHCP nella primary network, in modo da poter inserire gli indirizzi desiderati
    45. 45. Configurazione iniziale • Occorre poi indicare i domini che andranno gestiti ed i relativi mail server su cui indirizzare la posta… • …e se usare il DNS o dei forwarder per la posta in uscita
    46. 46. Configurazione iniziale • RSS feed dell’event log ed impostazione delle notifiche • Consiglio di attivare solo gli errori di Sistema, altrimenti le notifiche risultano invadenti • Come giustamente viene suggerito... usare 127.0.0.1 come server di posta non è una buona idea!
    47. 47. Configurazione iniziale • Dulcis in fundo si imposta il fuso orario ed il server NTP (per la coerenza dei logs è importante che l’orario sia corretto) • ...e si conclude col classico tasto “FINISH”
    48. 48. Configurazione iniziale • Appena raggiunta la pagina iniziale di Protector ci troveremo subito due warning per alcuni aggiornamenti critici • Per il momento possiamo ignorarli dato che verranno risolti aggiornando il firmware dell’appliance con la procedura di aggiornamento che vedremo in seguito...
    49. 49. L’interfaccia web La schermata inziale è divisa in due frame: Nella parte sinistra troviamo il menu con le varie voci di configurazioni A destra invece una serie di tab statistici ed informativi Statistiche su quantità di spam e minacce Stato dei vari nodi del cluster Volumi di traffico e code di elaborazione Risorse di sistema (CPU, memoria, disco) Versione firmware, uptime, ecc. Versioni delle firme dei vari moduli
    50. 50. L’interfaccia web Le varie voci del menu laterale sono divise in 6 macro categorie: – Mail Security: policy, reportistica, browse delle mail processate, verifica LDAP ed impostazioni cluster – SMTP: tutto ciò che riguarda le comunicazioni a livello SMTP ed eventuali certificati TLS – System: impostazioni di sistema, logs, impostazioni scheda di rete, SNMP, orologio e sotto system tools riavvio o spegnimento dell’appliance – Backup & Restore: consente di effettuare backup dei logs e delle impostazioni – Updates: schedulazione degli aggiornamenti e gestione chiave di attivazione – Support: estrazione dei file diagnostici, condizioni d’uso e contatti di supporto
    51. 51. Le Policy Vediamo più nel dettaglio le varie voci dei menu... Impostazioni Abilitazione di: Message Tracking (log dei messaggi con vari livelli di verbosità Reporting (compresa schedulazione di report da inviare via e-mail agli admin) SNMP Traps Parametri avanzati (es. threads SMTP, verbosità dei logs, ecc.) Flusso delle regole Attivazione/disattivazione dell’accesso web agli utenti e scelta porta HTTPS da utilizzare Definizione blacklist DNS e peso di ciascuna Attivazione/disattivazione dell’analisi allegati (consuma un po’ di CPU ma è consigliabile attivarla!)
    52. 52. Settings - Rules Sono processate in sequenza dall’alto verso il basso • Seguono un flusso: – Condizioni preliminari – Mittente – Destinatario – Quando – Modulo d’analisi – Risposta – Azione • Tutte le componenti del flusso sono definite dai “Policy Objects” • E’ possibile quindi differenziare le regole anche per gruppi di utenti, orari, ecc. • Quando una policy interviene si può scegliere se continuare con le successive regole o bloccarlo/autorizzarlo (risparmio elaborazione)
    53. 53. Settings - Rules Un esempio, la regola predefinita per lo spam: • Si applica a tutti i domini (My Domains) • Esegue una serie di moduli d’analisi (Spam Bayesian, Spam URL, Pharmacy Keywords, ecc) • Esegue come azione ‘Tag as Spam’ che aggiunge [SPAM] all’oggetto del messaggio • Al termine della regola, prosegue con le seguenti (Continue)
    54. 54. Settings – End User Interface . Impostazione d’accesso predefinita URL dell’interfaccia web Se l’hostname esterno corrisponde a quello interno e se non è stata modificata la porta TCP si può lasciare l’impostazione predefinita Impostazioni specifiche per le varie Directory: è possibile ad esempio autorizzare l’accesso a tutti ma negarlo ad una categoria di utenti, oppure al contrario negarlo a tutti tranne che ad alcuni. Salvo esigenze specifiche la configurazione che si adotta abitualmente è di lasciarlo aperto a tutti (Default Access Mode: Granted)
    55. 55. • DNSBL può essere applicato sia ad una policy che a livello SMTP • Applicandolo come policy ci permette di definire azioni quali tag nell’oggetto o quarantena • Applicandolo sull’SMTP ci permette di risparmiare parecchio traffico dati (ma eventuali falsi positivi non sono recuperabili) Settings – DNSBL/Spam flow . Sets the number of seconds the analysis module keeps and maintains a certain signature Qui si possono indicare le varie blacklist da utilizzare, con il peso da associare a ciascuna Specifies the necessary amount of occurrences for a certain signature in the flow of analyzed email messages before any subsequent occurrence of the signature is considered a match. Questo valore rappresenta il punteggio minimo da raggiungere per far scattare la regola DNSBL
    56. 56. • In questo caso non ci sono opzioni, il controllo degli allegati può essere solo attivo o non attivo • Si tratta di un controllo sul contenuto dei file • Se si attiva le regole agiranno considerando sia il testo della mail che il testo dell’allegato • Nelle regole si possono creare anche regexp Settings – File Attachment .
    57. 57. Message Tracking / Reporting . Attivazione / Disattivazione del tracking dei messaggi e definizione del numero di giorni da tenere e verbosità Numero di giorni di logs da tenere per la generazione di reportistica Configurazione SNMP e salvataggio report nel system log Qui è possibile definire dei report schedulati che verranno inviati per posta elettronica
    58. 58. I Policy Objects • Definiscono i criteri su cui agiscono le regole • Anche in questo caso analizziamo le varie voci dei menu... Definisce i contenitori delle mail bloccate. Mittenti/Destinatari dei messaggi (può essere una directory o un file di testo) Fasce orarie Risposte (es. tag, cancellazione messaggio, rimozione allegato, disclaimer) Schedulazioni (es. ogni ora, ogni giorno, ecc.) Template per le mail automatiche inviate agli utenti col contenuto della quarantena Precondizioni (attualmente solo una: binary detected) Moduli d’analisi (es. spam, phishing, porn url, newsleter) Connessioni LDAP per l’autenticazione utenti Server per eventuale archiviazione dei logs
    59. 59. Message Stores Invio del report schedulato, scelta del template ed orario di invio ATTENZIONE! se si seleziona ‘quarantine’ come tipo, abilitare sempre i report. Altrimenti non funziona la pulizia dopo x giorni Due tipi: Quarantine Store: archivia i messaggi ed invia il report (esempio d’uso lo spam) Message Store: archivia solo i messaggi (es. bck virus rimossi) Numero di giorni da conservare
    60. 60. Who Definiscono mittenti/destinatari Lista di tutti gli oggetti presenti. Possono essere Directory (LDAP), liste di emails, gruppi, user o raggruppamenti di queste categorie Ci possono essere Directory (LDAP), liste di emails, gruppi, user o raggruppamenti di queste categorie
    61. 61. Analysis Modules Qui è possibile vedere la lista di tutti i moduli di analisi disponibili. E’ anche possibile aggiungerne di personalizzati usando regex
    62. 62. Responses Varie azioni predefinite. E’ possibile utilizzarle o crearne di nuove Per le azioni che inviano messaggi negli store è possibile selezionare in quale archivio memorizzarli... ...e si può decidere se archiviare il messaggio originale o il messaggio processato dalle regole (ad esempio di rimozione dell’allegato)
    63. 63. Directories Lista di tutte le directory configurate. Sono già presenti i parametri per LDAP di Domino ed Active Directory Modificando la directory è possibile inserire i vari parametri del nostro server LDAP Per una configurazione base con una sola directory utilizzare ‘Domino Directory Online’ ed impostare host/ip ed utenza per il binding
    64. 64. Email browser • Permette di cercare (ed eventualmente rilasciare) le mail in quarantena • Se è stato attivato il tracking permette di cercare tutti i messaggi entrati/usciti • Molto utile per effettuare debug in caso di problemi di ricezione posta • Viene tracciato oggetto, mittente, destinatario ed orario – solo nelle mail in quarantena si può vedere anche il contenuto
    65. 65. Verify Who Objects • Verifica il buon funzionamento delle connessioni LDAP e delgli oggetti ‘Who’ • Inserendo uno specifico indirizzo e-mail, individua in quali oggetti esso è contenuto
    66. 66. SMTP - Configuration • Vediamo nel dettaglio la configurazione SMTP Il root domain e gli indirizzi e-mail di servizio (postmaster, no-reply, ecc) Tutti i settaggi delle mail in arrivo Tutti i settaggi delle mail in uscita, tra cui domino da presentare col comando ‘helo’, tentativi da effettuare per le mail non recapitabili ed eventuali server DNS custom per alcuni domini Impostazioni legate al TLS: richiesta dei certificati, ‘always try TLS’, accettazione certificati self signed, ecc expiration dei messaggi non recapitati e dei logs • Nelle prossime slide vedremo le varie voci di “Receiving SMTP”, le altre voci hanno comunque parametri molto intuitivi
    67. 67. Settings • La maggior parte dei settaggi è di facile interpretazione Qui si indicano tutti i domini gestiti da Protector e per ciascuno i server SMTP su cui girare la posta Eventuali reti autorizzate ad utilizzare Protector come relay
    68. 68. Global IP ACL • In quest’area è possibile definire IP autorizzati o negati alla connessione al nostro server è anche possibile personalizzare la risposta del server SMTP
    69. 69. DNSBL • Abilitando questa funzione blocchiamo le connessioni riconosciute in black list DNS direttamente a livello SMTP • In questo modo risparmiamo sia traffico dati che potenza di calcolo (il messaggio viene rifiutato ancora prima di essere ricevuto e processato dagli altri filtri) • NB: eventuali falsi positivi non saranno recuperabili è anche possibile bloccare la connessione in modo silente, senza dare notifica al server mittente i parametri DNSBL sono quelli visti in precedenza. Cliccando su ‘DNSBL Settings’ si viene rimandati alle impostazioni DNSBL nell’area Policy
    70. 70. • Rifiutiamo i messaggi verso destinatari inesistenti: risparmiamo traffico dati, elaborazione ed evitiamo di fare il relay di messaggi inutili al server Domino Recipient Verification anche in questo caso è possibile personalizzare la risposta del server SMTP In quest’area andranno aggiunte tutte le directory che vogliamo utilizzare. è anche poossibile bloccare una singola directory (es utenti non autorizzati a ricevere posta)
    71. 71. • Aumenta le prestazioni di Protector • Effettua il drop a livello SMTP appena si accorge che una mail è spam, senza attendere la conclusione della sessione ZLA anche in questo caso è possibile personalizzare la risposta del server SMTP Tipo di risposta da adottare (block o tag)
    72. 72. • Tecnologia in grado di bloccare lo spam basandosi sulla reputazione di un host • Se Protector riceve molto spam da un idirizzo IP, superata una certa soglia comincerà a bloccarlo a livello SMTP DHR è possibile definire il comportamento da adottare (reject, silent drop, tag) parametri che definiscono il comportamento del filtro (finestra, durata della quarantena, spam hits per far scattare la quarantena, ecc)
    73. 73. Vediamo velocemente il menu System: – Events: registro degli eventi e degli errori – Log files: permette di esportare i logs (compresi i logs a livello SMTP) – End User Manager: possiamo controllare le black/white list degli utenti – Firewall: imposta in quali schede di rete sono in ascolto i servizi (max 4 NIC) – IPS: attiva l’Intrusion Prevenction – ICAP: protezione antivirus per IBM WebSphere ICAP interface (Quickr e Connections) – Networking/Routes: parametri di rete (IP, gateway,ecc) – Admin Passwords: modifica password root e admin – E-mail & SNMP: permette di definire quali tipi di alert devono essere notificati via SNMP o e-mail – Time: fuso orario e server NTP – System tools: ping, traceroute, clear DNS cache System
    74. 74. • Parametro notes.ini $PROTECTOR_LOCATION=url:port (es. $PROTECTOR_LOCATION=demoprotector.itatis.net:4443) • Al primo accesso dell’utente viene richiesta l’autenticazione (internet password se si utilizza Domino come LDAP) • Attualmente non supporta integrazione con iNotes e SSO • Per evitare che ad ogni accesso chieda di accettare il certificato SSL, installarlo nella root certification del PC (o distribuirlo tramite Active Directory con le GPO) Integrazione con Notes
    75. 75. Integrazione con Notes Il parametro si può distribuire automaticamente via policy: • Policy di tipo ‘Desktop Settings’: nei ‘Custom Settings’ inserire il parametro del notes.ini • A partire dalla R9 è possibile fare la stessa configurazione, in modo più agevole, dalla scheda ‘Basics’ delle policy Desktop
    76. 76. • Molti bugs di integrazione tra Protector e Notes sono stati risolti con 8.5.2FP1 ed 8.5.3 (oltre che con la R9), assicuratevi quindi che i client siano aggiornati • Se un client riceve errori di autenticazione, nonostante la password sia giusta, provare a cancellare ‘PROTECTOR_ACCOUNT_NAME’ dagli Accounts della rubrica locale Integrazione con Notes
    77. 77. Link utili • Info: www-03.ibm.com/software/products/us/en/protector/ • Documentazione: www.ibm.com/developerworks/lotus/documentation/protector/mailsecurity/ • Wiki: www- 10.lotus.com/ldd/dominowiki.nsf/xpViewCategories.xsp?lookupName=Lotus%20Protector • Trial: www.ibm.com/developerworks/downloads/ls/lotusprotector/index.html • Risorse marketing: www-304.ibm.com/partnerworld/wps/servlet/ContentHandler/X721840E59886A74
    78. 78. 6. Qualche “trucco” non documentato
    79. 79. Accesso “helpdesk” • Spesso si vuole avere un utente che ha accesso alla quarantena ma non alla configurazione • Aggiungendo l’utente “helpdesk” alla configurazione di Apache su Protector, quest’ultimo avrà visibilità della quarantena e potrà sbloccare le mail per conto degli utenti • Funziona solo con l’utente “helpdesk”, qualsiasi altro utente creato non ha accesso alla console di Protector • Per attivarlo: – Login come root via SSH – Eseguire il commando htpasswd2 /var/www/auth/htpasswd helpdesk – Digitare la password desiderata
    80. 80. Rubrica offline • La funzionalità di caching offline della rubrica di Protector scade dopo 24 ore (… e comunque non funziona bene…) • Per poter avere una copia offline della rubrica è necessario utilizzare un task che estrapola dal server LDAP la lista degli indirizzi e la salva su un file di testo. • Si procede in questo modo: – Accesso come root a Protector – Si crea un cronjob con questo comando: 0 * * * * /usr/sbin/ldap_smtpextractor /etc/mailsec/SETConfig/itatis directory_config.txt (sostituendo “itatis directory” col nome definito nell’oggetto Who che punta all’LDAP – nell’esempio il task viene eseguito ogni ora, si può comunque modificare)
    81. 81. Rubrica offline – Se il file contiene uno spazio creare un link es: ln itatis directory_config.emails itatis.emails – Verificare che nella cartella /etc/mailsec/SETConfig/ vengano creato il file .emails – Creare un nuovo oggetto “Who” contenente questa stringa: $(FILE./etc/mailsec/SETConfig/itatis.emails)
    82. 82. Rubrica offline – Impostare il nuovo oggetto nel recipient verification delle impostazioni SMTP (ed eventualmente nelle regole, se ne avete create basate sulle directory aniché sui domini) – Da questo momento per le regole/verifica destinatari verrà usato il file “asincrono”, mentre per l’autenticazione utenti l’LDAP
    83. 83. TLS e Certificati SSL • L’installazione di certificati SSL firmati da terze parti non funziona correttamente dalla console web • Per poterli utilizzare correttamente seguire le indicazioni presenti nelle technote: swg21578783 ed swg21578722 • L’uso di TLS può essere una buona soluzione anche per cifrare il transito delle mail tra Protector ed i server Domino interni • Per configurare TLS su Domino: technote swg21108352
    84. 84. 7. Q&A
    85. 85. GRAZIE PER L’ATTENZIONE! I miei contatti... Fabio Grasso ITATIS S.r.l - www.itatis.net fabio.grasso@itatis.net - fabio.grasso@gmail.com www.linkedin.com/in/fabiograsso82/it
    86. 86. Grazie agli sponsor per aver reso possibile i Dominopoint Days 2013! Main Sponsor Vad sponsor Platinum sponsor Gold sponsor
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×