Zimbra – Fail2ban – Sécuriser l’attaque « brute force »

Malgré une sécurisation de nos MTA, du proxy et l’utilisation de fail2ban avec une configuration de base, nous sommes attaqués par brute force de temps à autre. En soi, rien de méchant puisque les serveurs ne tombent pas, ils essayent juste de trouver les bons mots de passe pour utiliser le mail. Nous allons donc bloquer les IP en question

Tout d’abord, sachez que nous utilisons l’identification CAS, de ce fait, nos logs ne correspondent pas à une installation classique que vous avez peut être.

Si vous avez une installation classique, je vous invite à consulter les articles suivants :

Sinon, voilà ce que j’ai mis en place :

Installation de fail2ban

Dur non ? 🙂

Création d’un fichier jail.local

Pour éviter de perdre la configuration suites aux MAJ de fail2ban, création du fichier local.

Dans « /etc/fail2ban/jail.local » :

Configuration de base

Dans le fichier « jail.local » fraichement créé, ajoutons à la fin :

Nous avons donc activé le contrôle sur SSH.

 

Configuration pour le Webmail (proxy)

Pour ma part, j’ai trouvé les infos ici : « /opt/zimbra/log/nginx.log »

J’ai trouvé que les tentatives se présentaient sous cette forme : « -ERR authentication failed: LOGIN failed » while reading response from upstream, client: »

 

Création du filtre

Pour notre cas de brute force, on va donc ajouter un nouveau filtre.

Créer un fichier dans « /etc/fail2ban/filter.d/zimbra-auth-webmail.conf » :

 

Tester le filtre

Une fois créé, on contrôle notre filtre :

 

On trouve bien ici :

  • 4 IP qui correspondent
  • et une date template trouvée tout seul par fail2ban.

 

Conclusion : Ca marche !

 

Activer le contrôle

On peut donc activer la règle en ajoutant le bloc suivant dans « jail.local ».

Actuellement, zimbra est configuré pour bloquer les comptes 30 minutes si 10 tentatives sur 1h. Cela est pour une utilisation “normale” ( l’utilisateur qui a oublié son mot de passe ). On ne doit donc pas mettre moins sinon cet utilisateur sera bloqué 1 journée !

A voir dans le temps pour ajuster les paramètres, notamment le bannissement à 1 mois par exemple.

Configuration pour les SMTP (mta)

De plus, dans les logs, je me suis rendu compte qu’il y avait des tentatives, plus discrètes : 2 tentatives par jour pour une même IP à 2/3 secondes max d’intervalle. Une fois en s’identifiant en clair et juste après en chiffrée. C’est donc très bien fait, car cela passe inaperçu et demande un filtre bien pensé dans fail2ban.

Configuration du filtre

Créer un fichier « /etc/fail2ban/filter.d/zimbra-authfailed.conf » :

 

Activation de la jail

Dans « jail.local », ajouter :

 

Redémarrage de fail2ban

Contrôler :

 

Vérifier les IP bloquées par fail2ban

Ou via fail2ban :

francois

Passionné par les nouvelles technologies depuis ma jeunesse, je continue aujourd'hui par mon métier cette passion. Toujours curieux, je tiens ce blog comme mémo de mes découvertes et profite de cet espace pour vous les faire partager.

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *