iT邦幫忙

0

Fortigate 如何阻擋POP3攻擊

各位前輩好,
從小弟當MIS至今,Mail Server已經被攻擊數次
都是POP3攻擊導致Server負荷不了無法收發信
只能請Mail廠商協助,而廠商是建議我們換主機,
因為那台效能不足無法update到新版自動阻擋攻擊

我是想知道看有無辦法直接從外部防火牆自動去阻擋POP3 attack,
先前用SonicWall UTM不會檔、最近換了Fortigate也不會檔~
該怎麼設定才行?不然我碰到最多攻擊就打Mail,因我不會設定UTM,
這樣買UTM+License根本沒作用~
麻煩協助了,謝謝

26
CalvinKuo
iT邦大師 7 級 ‧ 2013-01-04 11:29:24
最佳解答

可以限制POP連線數。(因為我們用POP3的User不多,所以才限制頻寬,你可以只限制最大連線數)

可以擋POP3 Login Fail。(以前字典攻擊大概會從開頭A帳號鎖到R開頭(網域帳號登入錯誤鎖定),用了這個鎖到F開頭)


sloveliu iT邦新手 4 級 ‧ 2013-01-05 22:27:25 檢舉

感謝您的回應,我來試試您的方法!

8
ctipde
iT邦高手 1 級 ‧ 2013-01-03 11:15:56

因為版大提供的資訊不多,無法給予太多幫助麻煩版大告知Mail Server的版本
Fortigate型號,只能從網路上就版大問題google一下,有針對Exchange2003作寄件者阻擋的功能希望有提供一點幫助

sloveliu iT邦新手 4 級 ‧ 2013-01-03 11:24:37 檢舉

謝謝,已補充上去~Fortigate 80C、Mail Server碩琦Mail Box 8.14.4-1.951.8-1.61.0
另我google過,教學都是從Server上做,而不是從外部防火牆~所以我開始思考,這樣我外部防火牆的UTM功能,能有什麼幫助~

sloveliu iT邦新手 4 級 ‧ 2013-01-04 01:37:48 檢舉

哪些外部IP要放要擋很難,因為每個人都會在自己家中收發信(浮動)、或在對岸兩地工廠、宿舍(固定或浮動) 所以,得自己看Log來擋吧~碩琦說法是設備太舊無法更新版本讓他能自動阻擋功能~我想從Fortigate做是想說他有入侵偵測、入侵防護~結果…還是沒辦法防護POP3攻擊...你說原廠採購外掛模組(合約是每年一簽) 是指Fortigate還是Mail Server廠商??

12
hon2006
iT邦大師 1 級 ‧ 2013-01-03 14:01:24

只能封鎖攻擊的ip,
來一個封一個.

sloveliu iT邦新手 4 級 ‧ 2013-01-05 22:40:03 檢舉

sloveliu提到:
入侵防護~結果…還是沒辦法防護POP3攻擊...你說原廠採購外掛模組(合約是每年一簽) 是指Fortigate還是Mail Server廠商??

嗯,目前是先用土法煉鋼,看到有問題IP就檔

16
yesongow
iT邦大師 1 級 ‧ 2013-01-04 02:13:00

Q:從小弟當MIS至今,Mail Server已經被攻擊數次
都是POP3攻擊導致Server負荷不了無法收發信

A:貴公司的Mail能否使用SSH方式登入呢?
若可以,則透過SSH登入後,輸入以下指令(mail紀錄檔案可能不一樣,請自行推敲)
tail -f /var/log/mail.info | grep pop
應該會不斷顯示新的POP3連線,並會有顯示IP,可將此IP放在防火牆中阻擋

Q:我是想知道看有無辦法直接從外部防火牆自動去阻擋POP3 attack,
先前用SonicWall UTM不會檔、最近換了Fortigate也不會檔~
該怎麼設定才行?

在規則中(Policy),先定義Address或是網段,OutSide IP=xxx.xxx.xxx.xxx
可從mail.info中查到
然後再新增一條規則,WAN TO LAN 或是WAN TO DMZ (看Mail主機放哪個Zone囉)
From xxx.xxx.0.0/16 to Mail_Server
service=Any
Policy=Deny
最後,除了規則存檔以外,記得還要將規則的順序調正至最前面or最上頭or在Permit any to any 之前。

Q:麻煩協助了,謝謝

A:不客氣。

sloveliu iT邦新手 4 級 ‧ 2013-01-05 22:26:25 檢舉

bizpro提到:
fail2ban

SSH登錄權限在碩琦,所以我沒辦法進去~
我現在是先從Mail Server的Log查看哪個IP不斷在驗證登入
再用Fortigate 80C去阻擋該IP沒錯~

8
tonynec
iT邦新手 5 級 ‧ 2013-01-04 08:00:48

目前市場的設備都是被動式服務,一般使用者或MIS遇到問題時常常找不人解決,建議您可以與統威網路科技聯繫,統威為NETWORK-BOX台灣總代理,NETWORK-BOX通過ISO27001及ISO20000認證,提供企業用戶專業資訊安全服務及顧問諮詢,主要全球各地都有資訊安全監控中心,一旦客戶發生問題或是有任何資訊安全需求,統威網路科技均可以提供主動式且更完整的具體解決方案,網址 http://www.network-box.com.twhttp://www.network-box.com

10
sunrandy
iT邦新手 1 級 ‧ 2013-01-04 09:24:51

實務上AntiSpam Mail 很少會用UTM設備的模組來擔任:
除了效能因素外,管理與報表分析等..功能也不如專用設備,
加上你的Mail Server又屬於專用的系統,可著墨地方不多,
還是考慮一下廠商建議或另加AntiSpam Mail設備來處理

hon2006 iT邦大師 1 級 ‧ 2013-01-04 10:55:18 檢舉

spam 跟 pop3 attack 是兩個不一樣的東西.
目前應該沒有 spam 的設備會去管 pop3 的事情.

sunrandy iT邦新手 1 級 ‧ 2013-01-07 11:22:14 檢舉

hon2006提到:
spam 跟 pop3 attack 是兩個不一樣的東西.
目前應該沒有 spam 的設備會去管 pop3 的事情.

以下是我曾使用過的設備廠牌,不是要打廣告,僅提供證明而已.
http://blog.udn.com/cellopoint/7086260

hon2006 iT邦大師 1 級 ‧ 2013-01-11 10:51:23 檢舉

所以可以透過cellopoint去收信囉!
這個功能倒是很特別

10
acc20000
iT邦新手 4 級 ‧ 2013-01-04 11:48:54

建議購買垃圾郵件過濾器,比較好

sloveliu iT邦新手 4 級 ‧ 2013-01-05 11:32:17 檢舉

已有垃圾郵件過濾模組,而且我這是被POP3攻擊,不斷被login測帳密
有直接關係嗎?

10
riches88
iT邦研究生 4 級 ‧ 2013-01-04 11:55:53

哇,真的好久沒有聽到客戶在使用碩琦的主機了
一般攻擊防禦是基本功能,anti-spam gateway也是基本功能選項
所以換mail server或是建一套spam gateway均可

要步要參考瑞鑫資訊mx mail軟體,大概是碩琦保固服務費就可以換了吧
而且完全免費更新與自由配合硬體或是虛擬化支援喔

軟體系統免安裝自動載入記憶體運作
內建自動鏡射硬碟備份功能
支援虛擬化環境節省硬體建置與達成遠端備援
內建網芳備份、匯出功能確保郵件儲存
系統更新無期限限制,三年保障更新服務不中斷
內建垃圾郵件自動學習機制
自由設定置換產品圖示、商標、登入名稱
內建行事曆、公佈欄功能
附加功能完整郵件備份稽核、過濾、審閱、防毒、簡訊等功能
內建支援代收外部信箱功能
自動轉換大檔案傳輸連結方式,強化傳輸效能
內建簡訊功能,可洽簡訊廠商儲值
自行移轉主機、擴充硬體,完全擁有產品授權
內建離線讀取郵件儲存程式
模組化設計,管理分權、完整記錄資訊方便查詢
其他功能詳如產品功能列表
功能完整一機完成企業需求,FTP/Web/webmail/DNS…

看更多先前的回應...收起先前的回應...
yesongow iT邦大師 1 級 ‧ 2013-01-05 08:43:26 檢舉

求助者就是使用該品牌設備,求助於原廠,卻被建議升級!(小怒)
若真此品牌能作到該功能,請提供於網站上,供求助者自行設定,也好讓大家長知識。

您說(一般攻擊防禦是基本功能)--->難不成求助者花錢買到的設備,是連基本的攻擊防禦也沒有?

uriel iT邦新手 5 級 ‧ 2013-01-11 10:14:51 檢舉

我司也是採用碩琦的設備,買的是BOX200,R210II機種,
使用版本是8.14.5-2.241.948-1.61.112跟樓主的8.14.4-1.951.8-1.61.0
好像差非常多時期?
我的版本是有pop3 imap及dns防護,看來樓主自己沒去做更新,
還怪設備不支援,真瞎。

uriel iT邦新手 5 級 ‧ 2013-01-11 10:25:36 檢舉

Exchange有這種安全防護? 沒有吧? 請樓主多充實自己。
如果照樓主的思維,那大概防火牆也要做到你所有想要的功能了。
買個超級電腦吧,請個si公司把你所需要的功能特製進去就好囉。
防火牆+防毒牆+mail+ad+nas+ftp+vpn+.....現在流行的各雲端功能吧XD
God bless you.

sloveliu iT邦新手 4 級 ‧ 2013-02-01 13:20:41 檢舉

是碩琦說舊版沒有自動偵測POP3攻擊,要換新版才有防護攻擊~
你是有沒注意看上面我說的嗎!?

sloveliu iT邦新手 4 級 ‧ 2013-02-01 13:23:56 檢舉

而且版本更新是碩琦在進行
不是我直接按更新他就會換新版吧
是廠商認為設備過舊,無法更新

10
johnnet01
iT邦新手 3 級 ‧ 2013-01-04 15:18:23

防火牆無法阻擋pop3攻擊!建議改用spam mail,台灣目前最常用的幾家spam,有中華數位.baracuda,以及cellopoint;當然還有很多其他家可以考量,但建議若非成本考量,不建議採用mail server含spam的模組.

yesongow iT邦大師 1 級 ‧ 2013-01-05 08:53:31 檢舉

spam mail應該只有針對TCP 25連線的郵件過濾吧?
難道求助者改用spam mail系統後,也能針對TCP 110的POP3服務,加以預防or自動封鎖?
求助者的mail主機,因為outside IP有大量的POP3登入失敗(猜帳號與密碼)
導致POP3服務被大量佔用,而公司內部的同事,無法使用POP3收信,才會唉唉叫呀!
改用以上各家廠牌的spam mail,難道就可以解決嗎?

johnnet01 iT邦新手 3 級 ‧ 2013-01-06 20:57:03 檢舉

我個人認為解決的方式有2種
1.用SPAM--每一家的阻攔方式不同,以cellopoint為例--資料請見:
http://www.cellopoint.com/tw/media\_resources/news/20121127
2.純firewall的設定方式要處理掉pop3的ddos非常難,但某些UTM可以增加模組後號稱能解決這問題;如增加IPS的功能,但請注意,除了每年必須要花錢買license,否則功能消失外;loading的加重,會造成有些設備原來可供200個user使用,會變成只夠100個user使用.
以上方式都僅供參考,建議若考慮其中一種方式,請向廠商完整瞭解內容,最好能借機器線上試用,確認解決問題後再採購

12
ktweng
iT邦新手 2 級 ‧ 2013-01-04 21:25:57

最快的作法更改pop3加密,並且更改的tcp port,不然就是不要用pop3 services用web mail來做收發,我在客戶端是自己安裝的linux mail,並且做了pop3 認證錯誤阻擋一般只被try 8 次就封鎖對方ip了

yesongow iT邦大師 1 級 ‧ 2013-01-05 08:48:46 檢舉

請問如何設定Linux mail server,可以達到try 8次錯誤,就將此outside IP封鎖呢?
這功能在webmin系統是否有內含呢?
還是大大自行撰寫sheel or scripts呢?
能否提供於網站上讓大家長知識呢?

bizpro iT邦大師 1 級 ‧ 2013-01-05 12:31:49 檢舉

致yesongow大,
可以使用fail2ban

ktweng iT邦新手 2 級 ‧ 2013-01-06 21:40:12 檢舉

考參考MIS先生的說明或是fail2ban都是可以達到相同的功能
http://i-yow.blogspot.tw/2008/07/pop3logip-blockpop3-blocktime.html

8
wensung0320
iT邦新手 4 級 ‧ 2013-01-05 07:06:52

根據版大的訊息,我也是用fortigate utm 系列產品,不過基於效能,這一不分我不建議在防牆上做,我是在mail servers處理,目前我的mail server 是open find 公司的mai|2000
給版大參考一下,

bizpro iT邦大師 1 級 ‧ 2013-01-05 13:14:25 檢舉

既然是utm, 為何反pop3 DOS會影響效能?

bizpro iT邦大師 1 級 ‧ 2013-01-05 13:15:38 檢舉

另外 在mail server上, 不一定會看到外部IP的, 例如, 通過gateway的, 可能會是gateway的IP.

8
ricado
iT邦新手 4 級 ‧ 2013-01-05 10:06:52

使用 FortiGate 80c 表示貴公司的流量應該不是很大。以下的架構提供您參考。

  1. 假設區網 IP 為 192.168.1.x,使用 FortiGate DMZ 功能(192.168.2.x),DMZ 不要使用 NAT,以便追蹤外部真實的 IP 來源。

  2. 將 Mail Server 移到 DMZ,假設 IP 為 192.168.2.100。

  3. 另外架一台 Mail Gateway 或轉址機,同樣放到 DMZ,假設 IP 為 192.168.2.200。

  4. 建立規則 WAN -> 192.168.2.200 開放 SMTP ,轉址機接收外部信件(記得將 MX 指定到這一台)

  5. 建立規則 192.168.2.100 -> WAN 開放 SMTP ,Mail Server 寄送外部信件

  6. 建立規則 LAN(192.168.1.x) to DMZ (192.168.2.100) ,開放 POP3、 SMTP,內部 user 收發 Email

  7. 轉址機收信後,轉寄給 mail server

所以整體的架構就是,對外發布的 MX 紀錄,指向轉址機,而轉址機通常只有 SMTP,並沒有 POP3 功能,同時大部分的轉址機本身就有防垃圾郵件功能,甚至可以外掛防

毒軟體,就算被攻掛了,也不會影響正常 mail server 的運作。

至於內部員工如果到外部要收發信件,建議可以改用 Web Mail,或是 FortiGate 內建的 VPN 功能。

如果要對外開放POP3、 SMTP,還是可能碰到 PORT Scan 之後的 POP3 攻擊,雖然沒有發布 MX Record,只要Port Scan掃到,對方還是會知道這是個 mail server 。

如果要自己架設轉址機,國產的 MX Ready 有免費版,支援 IPv6、垃圾郵件防治與外掛掃毒,可以下載試試。 http://mxready.com

sloveliu iT邦新手 4 級 ‧ 2013-01-05 11:43:32 檢舉

ricado提到:
轉址機收信後,轉寄給 ma

我公司人員大多都需要在外收信(有些人是常駐在對岸,有些人是經常性出差)
包含我也會在外收發信,用Web Mail太不便利,
更沒可能叫老闆棄Outlook而不用~(老闆幾乎都是在外頭收發信)
所以MX Ready 可以防POP3 不斷被嘗試登入攻擊?

ricado iT邦新手 4 級 ‧ 2013-01-05 15:25:01 檢舉

MX ready 本身沒有 POP3 的功能,只是用來接收外部的SMTP連線。透過 DNS MX 的設定,讓外部人為 MX Ready 就是貴公司的 Mail Server,所以信件都是寄給 MX Ready。

而內部的員工,則直接以內網方式連到真實的 Mail Server。如果不方便用 Web Mail,FortiGate 內建 VPN 功能,可以到官網下載SSL VPN 撥接軟體,就算在大陸也可以透過VPN連回公司內網。使用VPN連回台灣還有一些"好處"。

因為 Mail Server 只能透過內網存取,所以必須有一台替死鬼放到外面去收外部的信和抵抗外部攻擊。

12
ganymede
iT邦好手 1 級 ‧ 2013-01-05 11:08:56

要不要試一下 pfsense 呢??
不用害怕 FreeBSD, pfsense 是已包裝好的套件, 只要安裝好後, IP 設定完即可透過 web 來管理, 功能非常多.
可參考 http://www.pfsense.org , google 一下 pfsense 也有一堆 how-to 教你怎麼做.

bizpro iT邦大師 1 級 ‧ 2013-01-05 11:23:33 檢舉

Pfsense非常強大

sloveliu iT邦新手 4 級 ‧ 2013-01-05 11:33:45 檢舉

是要我再多一台防火牆專門給Mail Server用嗎?

ganymede iT邦好手 1 級 ‧ 2013-01-05 18:11:26 檢舉

pfsense 用的 firewall 是 packet filter, 其中有個功能可以設定某 IP 當單位時間內連線數超過您所設定的值, 即會將該 IP 給封鎖. 可參考下列網址:
http://www.openbsd.org/faq/pf/filter.html#stateopts

6
gulin0928
iT邦新手 2 級 ‧ 2013-01-07 09:29:43

我是不清楚貴單位是否是被try 密碼,造成連線過多,導致Mail server無法負荷,如果是的話,依據個人經驗,UTM,Firewall,IPS等....對於POP3的攻擊阻擋能力,效果有限,倒是建議自己用Linux 架設Mail Server,再加上 fail2ban 的套件,此套件對於try 密碼有很大幫助,提供您參考。

sloveliu iT邦新手 4 級 ‧ 2013-01-07 16:42:35 檢舉

自己架Mail Server是長久之計,但非應急馬上就能建出來~
所以fail2ban目前無法用上,不過你的提議仍對未來是有幫助的,謝謝

我要發表回答

立即登入回答