วันพุธที่ 23 กรกฎาคม พ.ศ. 2557

Admin account จุดบอดใน Zimbra ที่หลายคนคาดไม่ถึง และการป้องกัน



โดยปกติ การ hack account บน Zimbra เข้ามาทาง web client นั้น hacker จะพยายามหาชื่อ account ในระบบ โดยชื่อกลุ่มแรกๆ ที่ hacker จะลองก็คือ account มาตรฐานตามที่ผมเคยเขียนในบทความเรื่องการ ป้องกันการถูก hack account สำหรับ email address ชื่อมาตรฐานบน zimbra ไปแล้ว แต่อย่างไรก็ตาม มี account มาตรฐานที่มีมาตั้งแต่ติดตั้งระบบอีกอันหนึ่ง ซึ่งหลายคนลืมนึกถึง  ซึ่งก็คือ admin นั่นเอง

account admin ของ zimbra เป็นอีกจุดหนึ่งที่ hacker จะ hack เข้ามาทาง Web Client ถึงแม้ บางองค์กรที่ใช้ Zimbra จะปิด port 7071 ให้ไม่สามารถ  login Admin Console จากภายนอกได้ แต่ hacker ก็ยังมีโอกาสที่ login admin เข้ามาทางนี้ได้  โดยการเดา password และถ้าทำสำเร็จ ก็สามารถใช้ account นี้ ส่ง spam ได้เหมือนกัน และอย่ามั่นใจนะครับ ว่าคุณตั้ง password ของ admin ไว้ดีแล้ว อย่างที่ผมเคยบอกไว้ว่า hacker ใช้โปรแกรม ในการเดา password และพยายาม login และทำเป็นร้อยๆพันๆครั้ง โอกาสที่จะเดา password ถูก มีมากครับ ดังนั้นทางที่ดี เราควรป้องกันไว้ดีกว่าครับ

ข้อแนะนำ การป้องกัน admin account

1)  ปิด port ของ Admin Console จากภายนอกองค์กร
ปิด port 7071 ที่ firewall ขององค์กร ไม่ให้ login Admin console มาจากภายนอกได้  แต่ถ้าจำเป็นจะต้องใช้งาน Admin Console  มาจากภายนอกองค์กร  แนะนำให้ติดตั้งระบบ  VPN  และใช้งาน admin console ผ่านทางระบบ vpn แทน

2)  กำหนดสิทธิ ให้ account อื่นเป็น admin แทน
การกำหนดให้ account ของคนที่เป็นผู้ดูแลระบบ Zimbra  ให้ได้สิทธิของ admin วิธีนี้มีประโยชน์ที่ตามมาคือ  ในกรณีที่มี admin หลายคนในระบบ การทำแบบนี้ ทำให้เรารู้ได้ว่า ใครเป็นคน login  web console (ดูที่  /opt/zimbra/log/audit.log ได้)

3) กำหนดสถานะของ admin account เป็น locked
การทำเช่นนี้จะทำให้ admin account ไม่สามารถ login ทั้ง web client และ  web console ได้
แต่อย่างไรก็ตาม อย่าลบ  admin account นะครับ ถึงแม้เราจะสามารถจะทำได้ แต่ต้องมีการ setup อื่น ตามมาหลายอย่าง และส่วนตัวผมยังไม่แน่ใจว่าจะมีผลกระทบอะไรหรือเปล่า  เพื่อความปลอดภัยกำหนด status เป็น locked ง่ายและปลอดภัยที่สุด

3) forward  email  ที่ส่งมายัง admin account ไปที่  account ที่ได้สิทธิ admin  ในข้อ 2)

ทำแบบนี้แล้ว น่าจะเป็นการปิดจุดอันตรายของ Zimbra  ไปอีกจุดหนึ่งนะครับ

ไม่มีความคิดเห็น:

แสดงความคิดเห็น