Стремительное развитие портативной электроники и, в частности, смартфонов и планшетов, создало массу новых вызовов для корпоративной информационной безопасности. И действительно, если раньше вся кибербезопасность строилась на создании защищенного периметра и его последующей охране, то теперь, когда практически каждый сотрудник использует для решения рабочих задач собственные мобильные устройства, контролировать периметр безопасности стало очень сложно. Особенно это актуально для крупных предприятий, в которых каждый работник имеет на руках логин и пароль от электронной почты и других корпоративных ресурсов. Зачастую приобретая новый смартфон или планшет, сотрудник предприятия вводит на нем свои учетные данные, нередко забывая при этом разлогиниться на старом устройстве. Даже если таких безответственных сотрудников на предприятии всего 5%, без должного контроля со стороны администратора положение дел с доступом мобильных устройств к почтовому серверу очень быстро превращается в самый настоящий бардак.

image

Кроме того, довольно часто мобильные устройства теряются или крадутся, и впоследствии используются для поиска компромата, а также доступа к корпоративным ресурсам и данным, представляющим коммерческую тайну. Как правило, наибольший вред корпоративной кибербезопасности влечет получение злоумышленниками доступа к электронной почте сотрудника. Благодаря этому они могут получить доступ к глобальному списку адресов и контактов, к расписанию встреч, в которых должен был принять участие незадачливый сотрудник, а также к его переписке. Кроме того, получившие доступ к корпоративной почте злоумышленники получают возможность рассылать фишинговые или зараженные зловредными программами письма с доверенного почтового адреса. Все это вместе дает злоумышленникам практически неограниченные возможности для осуществления кибератак, а также использования социальной инженерии для достижения своих целей.

Для того, чтобы осуществлять контроль за мобильными устройствами, входящими в периметр безопасности, существует технология ABQ, или Allow/Block/Quarantine. Она позволяет администратору контролировать список мобильных устройств, которым разрешено синхронизировать данные с почтовым сервером, а при необходимости блокировать скомпрометированные устройства и помещать в карантин подозрительные мобильные устройства.

Однако, как знает любой администратор бесплатной версии Zimbra Collaboration Suite Open-Source Edition, возможности ее взаимодействия с мобильными устройствами сильно ограничены. Строго говоря, пользователи бесплатной версии Zimbra могут лишь получать и отправлять письма по протоколу POP3 или IMAP, не имея при этом встроенной возможности синхронизировать с сервером данные ежедневника, адресных книг и заметок. Не реализована в бесплатной версии Zimbra Collaboration Suite и технология ABQ, что автоматически ставит крест на всех попытках создать закрытый информационный периметр на предприятии. В условиях, когда администратор не знает, какие устройства подключаются к его серверу, на предприятии могут появиться утечки информации, а также резко возрастает вероятность проведения кибератаки по описанному ранее сценарию.

Решить этот вопрос в Zimbra Collaboration Suite Open-Source Edition поможет модульное расширение Zextras Mobile. Это расширение позволяет добавить в бесплатную версию Zimbra полноценную поддержку протокола ActiveSync и, благодаря этому, открывает массу возможностей для взаимодействия между мобильными устройствами и вашим почтовым сервером. Помимо других различных функций, в расширении Zextras Mobile реализована полноценная поддержка ABQ.

Сразу предупредим, что поскольку неверно сконфигурированный ABQ может привести к тому, что некоторые пользователи не смогут синхронизировать данные на своих мобильных устройствах с сервером, подходить к вопросу его настройки нужно с максимальной внимательностью и осторожностью. Настройка ABQ осуществляется из командной строки Zextras. Именно в командной строке настраивается режим работы ABQ в Zimbra, а также производится управление списками устройств.

Реализован он следующим образом: После того как пользователь входит в корпоративную почту на мобильном устройстве, он отправляет на сервер авторизационные данные, а также идентификационные данные своего устройства, которые встречают на своем пути препятствие в виде ABQ, которое просматривает идентификационные данные и сверяет их с теми, которые имеются в списках разрешенных, карантинных и заблокированных устройств. Если устройства нет ни в одном из списков, то ABQ поступает с ним в соответствии с режимом, в котором он работает.

ABQ в Zimbra предусматривает три режима работы:

Разрешительный (Permissive): При таком режиме работы, после аутентификации пользователя синхронизация производится автоматически по первому же запросу с мобильного устройства. В таком режиме работы есть возможность заблокировать отдельные устройства, но все остальные смогут свободно синхронизировать данные с сервером.

Интерактивный (Interactive): При таком режиме работы сразу после аутентификации пользователя система безопасности запрашивает идентификационные данные устройства и сопоставляет их со списком разрешенных устройств. Если устройство значится в списке разрешенных, синхронизация автоматически продолжается. Если же в «белом списке» данного устройства не будет, оно будет автоматически помещено в карантин, чтобы администратор позднее мог принять решение о том, разрешать данному устройству синхронизацию с сервером или заблокировать его. При этом пользователю будет отправлено соответствующее уведомление. Информирование же администратора происходит регулярно, один раз в настраиваемый период времени. При этом в каждом новом уведомлении будут содержаться только новые устройства, попавшие в карантин.

Строгий (Strict): При таком режиме работы после аутентификации пользователя, сразу же проводится проверка наличия идентификационных данных устройства в списке разрешенных. В том случае, если оно там значится, синхронизация автоматически продолжается. В том случае, если устройства нет в списке разрешенных, оно сразу же попадает в список заблокированных, а пользователю по почте приходит соответствующее уведомление.

Также при желании администратор Zimbra может полностью отключить ABQ на своем почтовом сервере.

Настройка режима работы ABQ осуществляется с помощью команд:
zxsuite config global set attribute abqMode value Permissive
zxsuite config global set attribute abqMode value Interactive
zxsuite config global set attribute abqMode value Strict
zxsuite config global set attribute abqMode value Disabled

Узнать текущий режим работы ABQ можно при помощи команды zxsuite config global get attribute abqMode.

В том случае, если вы используете интерактивный или строгий режимы работы ABQ, вам часто придется работать со списками разрешенных и заблокированных устройств, а также устройств, находящихся в карантине. Предположим, что к нашему серверу подключились два устройства: один iPhone и один Android с соответствующими идентификационными данными. Позднее выяснится, что iPhone на днях приобрел себе генеральный директор предприятия и решил поработать с почтой на нем, а Android принадлежит обычному менеджеру, который не имеет права использовать рабочую почту на смартфоне по соображениям безопасности.

В случае с Интерактивным режимом, все они попадут в карантин, откуда администратору потребуется перенести iPhone в список разрешенных устройств, а Android в список заблокированных. Для этого он использует команды zxsuite mobile abq allow iPhone и zxsuite mobile abq block Android. После этого генеральный директор сможет полноценно работать с почтой со своих устройств, тогда как менеджеру по-прежнему придется просматривать ее исключительно с рабочего ноутбука.

Стоит отметить, что при использовании Интерактивного режима, даже если менеджер на своем Android-устройстве правильно введет свои логин и пароль, он все равно не получит доступ к своему аккаунту, а войдет в виртуальный почтовый ящик, в котором он получит оповещение о том, что его устройство было добавлено в карантин и воспользоваться почтой с него он не сможет.



В случае со строгим режимом, все новые устройства будут заблокированы и после того как выяснится, кому они принадлежали, администратору останется лишь добавить в список разрешенных устройств iPhone генерального директора при помощи команды zxsuite mobile ABQ set iPhone Allowed, оставив там телефон менеджера.

Разрешительный же режим работы слабо совместим с какими-либо правилами безопасности на предприятии, однако если все же возникла необходимость заблокировать какое-либо из разрешенных мобильных устройств, например, если менеджер внезапно со скандалом уволился, сделать это можно при помощи команды zxsuite mobile ABQ set Android Blocked.

В случае, если на предприятии для работы с почтой сотрудникам выдаются служебные гаджеты, то при очередной смене его владельца устройство можно полностью удалить из списков ABQ, чтобы впоследствии вновь принять решение о том, разрешать ему синхронизацию с сервером или нет. Делается это при помощи команды zxsuite mobile ABQ delete Android.

Таким образом, как вы можете видеть, при помощи расширения Zextras Mobile в Zimbra можно реализовать очень гибкую систему контроля используемых мобильных устройств, подходящую как для предприятий с довольно строгой политикой насчет использования корпоративных ресурсов вне офиса, так и для тех компании, которые довольно либеральны в этом плане.

Комментарии (4)


  1. veselovi4
    03.06.2019 14:08

    Хорошая статья.
    Вот только бы почаще сюда о всяких «неприятностях» писали.
    Нарвался недавно тут на следующую «каку».
    lorenzo.mile.si/zimbra-cve-2019-9670-being-actively-exploited-how-to-clean-the-zmcat-infection/961
    Еле нашел о ней упоминания ((.


    1. KaterinaZextras Автор
      03.06.2019 14:33

      Добрый день! Упоминаний о данной проблеме так мало из-за того, что она была опубликована 13 марта, а уже 18 марта команда Zimbra начала распространение патчей для поддерживаемых версий Zimbra OSE, к которым в настоящее время относятся 8.8.10, 8.8.11 и 8.7.11. Также был выпущен патч для снятой с поддержки Zimbra 8.6, а версия 8.8.12 была защищена от данного бага прямо на релизе. Благодаря этому те, кто пользуется поддерживаемой версией Zimbra и следит за актуальностью установленных патчей, от данной уязвимости не пострадали.

      В то же время русскоязычные пользователи столкнулись с другой, более серьезной проблемой, о решении которой мы сообщили.


      1. veselovi4
        03.06.2019 14:40

        Спасибо. Я конечно сам виноват что упустил. У меня 3 почтовика «поплыли» от этого эксплойта. И там как раз стояли 8.6 и 8.8.10. Просто когда AJAX на веб мордах отвалился — долго «курил» логи. Потом с трудом нашел описание этой беды.


        1. KaterinaZextras Автор
          04.06.2019 10:15

          В любом случае мы учтем ваши пожелания и впредь будем информировать о возникновении подобного рода проблем и по традиции советовать как можно скорее обновиться.