Сегодня попробуем демо-версию Cisco Ironport Email Security Appliance.
Cisco Ironport Email Security Appliance - устройство для защиты электронной почты. В данной статье мы рассмотрим основные варианты внедрения данного устройства и опишем шаги для базовой настройки.
В качестве типовой схемы организации электронной почты будем рассматривать следующую схему:
Рисунок 1 Типовая схема организации электронной почты
На указанном рисунке клиенты подключаются к внутреннему серверу InternalMail. В DNS используется MX запись устройства ESA, соответственно входящие почтовые сообщения сначала попадают на Email Security Appliance, а затем на внутренний почтовый сервер InternalMail. Исходящая почта проходит через ESA и уходит в Интернет.
Другим вариантом внедрение может быть вариант при котором почта сначала попадает на почтовый Relay сервер, затем на ESA и, наконец, на почтовый сервер. Сегодня мы попробуем первый вариант(рис.1)
Соберем стенд для демонстрации работы Cisco Ironport ESA: для этого поднимем виртуальный образ Cisco Ironport ESA и виртуальный почтовый сервер. Входящая почта должна будет проходить через Ironport ESA, а затем отправляться на почтовый сервер (будем использовать Postfix) Для отправки писем на ESA будем подключаться с помощью telnet'a на 25 порт и использовать команды SMTP.
Качаем образ на сайте Cisco, получаем демо-лицензию здесь. Я разворачивал образ на VMWare ESXi с помощью команды "Deploy OVF Template". В качестве лицензии получаем архив с XML файлом. Копируем содержимое файла, выполняем в консоли команду loadlicense, вставляем содержимое и принимаем лицензионное соглашение (через веб-интерфейс полученные лицензии не активировались).
При разворачивании реального устройства при первом подключении (подключаемся по сети к ip адресу по умолчанию 192.168.42.42) предлагается пройти процедуру начальной конфигурации.
Развернув виртуальный образ, необходимо сконфигурировать ip адрес интерфейса управления командой ifconfig (либо использовать DHCP).
Внимание! После каждого изменения настроек необходимо применить команду "commit" (или же в web интерфейса нажать кнопку "commit"), иначе настройки не вступят в силу. После конфигурации ip адреса подключаемся с помощью браузера к ip адресу интерфейса управления и попадаем на страницу аутентификации:
Рисунок 2 Страница аутентификации
Логин и пароль по умолчанию: admin и ironport. В данном случае используется версия 8.0.0-671, которая имеет несколько другой интерфейс в отличие от старых версий. После аутентификации мы попадаем на страницу "My Reports":
Рисунок 3 Страница "My Reports"
На этой странице доступна общая информация и статистика о работе устройства. Также доступно добавление и настройка новых отчетов.
Итак, перейдем непосредственно к настройке. Для обработки входящего smtp трафика необходимо создать listener'а (специальная настройка для обработки почты на определенном интерфейсе). На виртуальном устройстве у нас будет два интерфейса:
1) Management 10.200.10.20/24;
2) Data 10.34.10.150/23 ;
К интерфейсу Data мы будем подключаться с помощью telnet'a и отправлять почтовые сообщения.
Интерфейсы настраиваются на странице "Network > IP interfaces":
Рисунок 4 Страница "Network > IP Interfaces"
Теперь создаем Listener'а на странице "Network > Listeners":
Рисунок 5 Страница "Network > Listeners"
Listener'ы бывают двух типов: публичные(public) и приватные(private). В данной статье мы рассмотрим простейшую конфигурацию с одним публичным Listener'ом. После создания listener'a с параметрами по умолчанию на интерфейсе Data получаем следующее сообщение:
Рисунок 6 Предупреждение при создании listener'а
Данное предупреждение говорит о том, что необходимо добавить получателей в Recipient Access Table (в дальнейшем RAT), так как по умолчанию данная таблица не содержит записей(точнее содержит одну запись, "All other recipients - reject"). В остальном сообщение говорит о том, что локальные параметры listener'a пересекаются с глобальными параметрами устройства и поэтому данные параметры будут переписаны на значения глобальных.
Для проверки работы устройства я скачал образ debian с установленным postfix. Домен - host.ru.
Добавляем домен в RAT:
Рисунок 7 RAT
Теперь необходимо указать адрес сервера для данного домена: переходим на страницу "Network > SMTP Routes" и добавляем маршрут:
Рисунок 8 SMTP маршруты
В данном случае адрес 10.34.0.34 - это адрес внутреннего почтового сервера (естественно, данный адрес должен быть достижим с интерфейса Data по порту 25).Маршрут All Other Domains представляет собой маршрут по умолчанию для остального почтового трафика.
Также не стоит забывать о маршрутизации, которая находится на странице "Network > Routing".
Теперь включим механизмы проверки на спам и вирусы на странице "Mail Policies > Incoming Mail Policies":
Рисунок 9 Политики обработки входящей почты
Мы будем использовать политику по умолчанию (здесь возможно создание отдельных политик для определенных адресов, доменов, группа из AD). Политика обработки спама:
Рисунок 10 Настройка анти-спама
По умолчанию к теме письма, которое идентифицировано как спам добавляется приписка [SPAM].
Теперь мы готовы проверить работу устройства для обработки входящей почты. Сначала проверим действительно ли устройство передает почтовые сообщения для домена host.ru серверу 10.34.0.32.
Подключаемся с помощью telnet к интерфейсу Data по порту 25 (telnet 10.34.10.150 25) и выполняем следующие команды:
Рисунок 11 Команды при подключении к ESA
В данном случае ironport.com - hostname в настройка интерфейса, test.com - домен, с которого мы отправляем почту. Проверяем почту на внутреннем сервере и видим следующее письмо:
Рисунок 12 Входящее почтовое сообщение
Необходимо обратить внимание на поля "От" и "Кому"(undisclosed-recipients;), для устранения некорректного поведения необходимо при введении тела письма (после команды data) вставить строки "from:user1@domain.com" и "to:test@host.ru" , а также после строки с "Subject" вставить пустую строку.
Теперь проверим анти-спам. Для этого будем использовать сообщение GTUBE (http://spamassassin.apache.org/gtube/). Вставим строку: "XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X" в тело письма. Получаем такое письмо:
Рисунок 13 Тест на спам
В данном случае изначально тема письма была "SPAM test", политика по умолчанию обработки спама добавила в тему сообщения приписку об идентифицированном спаме - [SPAM]. Затем почтовый сервер также добавил в тему сообщения приписку об идентифицированном спаме ***SPAM***.
Итак, в данной статье мы рассмотрели базовую настройку Cisco Ironport ESA для защиты входящей почты от спама. В следующих статьях мы рассмотрим антивирусную защиты и другие аспекты настройки Cisco Ironport ESA.
Комментариев нет:
Отправить комментарий