Настройка устройства Barracuda SPAM в DMZ брандмауэра ISA 2004

Опубликовано: 11 Апреля, 2023

Если у вас есть спам-устройство или автономный спам-сервер, который вы хотели бы поместить в демилитаризованную зону, вы можете прочитать о том, как это делается с помощью Barracuda, и вместо этого заменить купленный бренд. Мы также обсудим настройку сервера Exchange 2003, но вы также можете заменить Exchange своим почтовым сервером.

Устройство Barracuda Spam (также известное как брандмауэр Barracuda Spam Firewall из-за сканирования на вирусы и других средств защиты) поставляется в виде решения 1U или 2U для малых и крупных организаций. Модель 300, как показано здесь, способна передавать до 2 миллионов электронных писем в день, в среднем для 300–1000 пользователей и до 500 доменов и поддоменов. У этой модели слишком много функций, чтобы перечислять их, и прежде чем это прозвучит как реклама, мы обсудим основы. Вот некоторые из этих основ:

  • Сканирование электронной почты на вирусы
  • Защита от отказа в обслуживании
  • Блокировать или разрешить списки IP-адресов
  • Веб-администрирование
  • Настроен для входящей ИЛИ исходящей электронной почты (не для обоих)
  • поддержка SSL
  • Параметры карантина и спама для каждого пользователя
  • Поиск и ускорение Exchange и LDAP
  • И, конечно же, блокировка спама с контролем скорости, байесовским анализом и оценкой на основе правил.

Для получения дополнительной информации вы можете посетить www.barracudanetworks.com.

Barracuda рекомендует два способа настройки спам-устройства для фильтрации входящей электронной почты. Первый, как показано ниже, так же прост, как размещение устройства за корпоративным брандмауэром в той же сети, что и ваш почтовый сервер.


фигура 1

Как показано выше, вам просто нужно будет перенаправить свой SMTP-трафик на любой IP-адрес, который вы назначите на своем спам-устройстве. Оттуда вы можете перенаправить все отфильтрованные сообщения на целевой почтовый сервер.

На рис. 2 мы размещаем спам-устройство в демилитаризованной зоне, что обеспечивает лучшую безопасность и изолирует ваше устройство от вашей сети и Интернета.


фигура 2

Размещение его здесь, в демилитаризованной зоне, имеет ту же физическую настройку, что и размещение веб-сервера в демилитаризованной зоне. Основное различие будет заключаться в том, через какие порты мы позволим Barracuda, ISA Server 2004 и нашей внутренней сети обмениваться данными, а также в том, как мы опубликуем Barracuda во внешнем мире. Это тип установки, который мы будем обсуждать по мере продвижения вперед.

Что нам нужно для начала…

При настройке любого почтового спам-сервиса, сервера или устройства нам сначала нужно выполнить некоторую предварительную работу с ISA 2004 и нашим провайдером или DNS-авторитетом.

Давайте сначала узнаем нашу запись MX. Для тех из вас, кто еще не знает, ваши записи MX, вероятно, будут зарегистрированы в вашем центре DNS (например, godaddy.com или MCI), чтобы принимать электронную почту для вашего домена. Если вы не знаете IP-адрес или DNS-имя вашей записи MX, вы можете попробовать эту полезную онлайн-утилиту на сайте www.dnsstuff.com. В нижней части страницы вы можете проверить записи электронной почты вашей компании, введя реальный (или поддельный) адрес электронной почты, как показано ниже:


Рисунок 3

Нажав кнопку «Тест почты», вы можете узнать, куда он попал для @ruhlin.com:

Получение MX-записи для ruhlin.com (с локального DNS-сервера, может кэшироваться)… Понятно!

Хозяин

предпочтение

IP-адреса [Страна]

mail3.ruhlin.com.

10

63.84.137.140 [США]

mail.uu.net.

20

199.171.54.245 [США]

199.171.54.246 [США]

199.171.54.98 [США]

Шаг 1. Попробуйте подключиться к следующему почтовому серверу:

mail3.ruhlin.com. – 63.84.137.140

Шаг 2. В случае неудачи на шаге 1 попробуйте подключиться ко всем этим (в порядке, возвращенном распознавателем DNS, согласно RFC1123 5.3.4):

mail.uu.net. – 199.171.54.245

mail.uu.net. – 199.171.54.246

mail.uu.net. – 199.171.54.98

Шаг 3: Если по-прежнему не получается, поставьте электронное письмо в очередь для последующей доставки.

Пытаюсь подключиться ко всем почтовым серверам:

mail3.ruhlin.com. – 63.84.137.140 [Не удалось подключиться: получен неизвестный ответ RCPT TO: 550 <[email protected]>: адрес получателя отклонен: такого пользователя нет ([email protected])

Как видите, мы получили необходимую информацию, а именно список записей MX для нашего домена (не беспокойтесь о сообщении «Не удалось подключиться…» внизу. Это связано с подключением LDAP, которое мы расскажу позже). Верхний с предпочтением 10 — это то, что в настоящее время является первой остановкой для доставки электронной почты. Если эта MX-запись в настоящее время отправляется на ваш сервер обмена (или Lotus Notes, GroupWise, что угодно….), вероятно, ваш брандмауэр уже принимает почту и пересылает ее на соответствующий почтовый сервер в вашей локальной сети. Мы можем использовать ту же запись MX, просто указав место назначения на наше спам-устройство вместо фактического почтового сервера на вашем брандмауэре.

Итак, у нас есть запись MX, что теперь? Ну, во-вторых, мы должны быть уверены, что у нас есть доступная DMZ на нашем брандмауэре ISA Server 2004, готовая к работе. Если вы уже знакомы с этим, приступайте к созданию DMZ. Если вы не знакомы, то здесь есть несколько замечательных статей о создании и обслуживании DMZ на вашей машине ISA. Я не буду воссоздавать колесо здесь в деталях, поэтому вот несколько хороших ссылок для начала:

http://www.isaserver.org/articles/2004multidmzp1.html
http://www.isaserver.org/articles/2004multdmzp2.html

Следует отметить одну вещь, о которой вы должны знать, это ваши правила NAT и ROUTE в списке сетевых правил на узле Networks в ISA 2004. У вас должно быть настроено правило NAT для вашей DMZ-сети (источника) к вашему Exchange и Контроллеры домена (назначение). Это очень важно, особенно если вы планируете выполнять поиск LDAP или ускорение Exchange. Мы поговорим об этом позже. Если у вас уже есть настройка правила NAT для DMZ, подключенного к вашему устройству ISA, вы можете добавить новую DMZ, которую вы создали для своей Barracuda. Если вы используете Barracuda в существующей демилитаризованной зоне, возможно, у вас уже есть настройка NAT или ROUTE. Просто сделайте себе одолжение и убедитесь, что это правило существует!

Быстрая настройка спам-брандмауэра Barracuda

Прежде чем мы поместим наше спам-устройство в DMZ, нам нужно включить его и назначить ему IP-адрес, соответствующий сетевому адресу нашей DMZ. В этом примере наш сетевой адрес DMZ — 192.168.5.x. Итак, давайте дадим ему адрес 192.168.5.5. При первом включении устройства защиты от спама Barracuda IP-адрес по умолчанию — 192.168.200.200.

Лучший способ изменить этот адрес в соответствии с вашей подсетью DMZ — подключить Barracuda к небольшому коммутатору, а другой настольный компьютер или ноутбук — к тому же коммутатору. Измените адрес настольного компьютера или ноутбука на аналогичный адрес в подсети класса C, например 192.168.200.205. Схема этой простой установки показана ниже:


Рисунок 4

Вы также можете подключить устройство непосредственно к вашей сети и использовать команду ARP из командной строки Windows, чтобы добавить MAC-адрес Barracuda в вашу таблицу ARP на вашем локальном компьютере с локальным адресом.

Теперь используйте Internet Explorer на этом компьютере и перейдите на веб-адрес администрирования Barracuda. В этом случае адрес администратора будет http://192.168.200.200:8000. (Обратите внимание на порт 8000 в конце IP-адреса. Это административный порт, и при необходимости его можно изменить позже с барракуды. В этой статье мы остановимся на 8000.)


Рисунок 5

Войдите в Barracuda (по умолчанию admin/admin для ID и пароля). Если вы впервые входите в систему, вы увидите экран с вопросом, хотите ли вы изменить свой IP-адрес и основную информацию о сети. Вы можете сказать «да», если хотите, и сразу же изменить IP-адрес, маску подсети и шлюз по умолчанию. Если вы хотите сначала просмотреть консоль администратора, а затем изменить ее, вы можете перейти на вкладку «Конфигурация IP» и заполнить соответствующую информацию. Остальную информацию об IP мы заполним позже. А пока давайте просто сделаем барракуду частью нашей демилитаризованной зоны.

После изменения IP-адреса мы отключим Barracuda от нашей временной сети и подключим наш сетевой кабель к нашему сегменту DMZ.

Настройка нашего брандмауэра

Теперь, когда у нас есть запись MX, настройка DMZ и наше спам-устройство, установленное в нашей DMZ и включенное, мы готовы к настройке нашего брандмауэра ISA 2004 и спам-устройства. Начнем с коробки ISA.

Первая необходимая задача — разместить наш IP-адрес для нашей записи MX на нашей внешней сетевой карте или сетевой карте, которая будет прослушивать входящие SMTP-запросы из внешнего мира.

Теперь запустите нашу MMC-утилиту ISA Server Management. Как и все, что мы изменим в нашей машине ISA Server 2004, давайте сделаем резервную копию нашей текущей конфигурации, экспортировав ее в XML-файл. В случае проблем, мы можем вернуться назад, если что-то пойдет не так.

Теперь мы опубликуем нашу Barracuda для внешнего мира. Мы делаем это так же, как публикуем http или https сервер в нашем списке политик брандмауэра. Вместо публикации веб-сервера мы собираемся выбрать «Создать новое правило публикации сервера». Идите вперед и начните, затем назовите правило, как хотите, нажмите «Далее»:


Рисунок 6

Укажите IP-адрес сети (не запись MX, а IP-адрес устройства в DMZ)


Рисунок 7

Выберите «SMTP-сервер» в раскрывающемся списке. Не беспокойтесь о восклицательном предупреждении, которое вы можете увидеть при выборе протокола.


Рисунок 8

Выберите интерфейс для прослушивания запросов, в данном случае это будет наша внешняя карта.


Рисунок 9

Нам также нужно нажать кнопку «Адрес…», чтобы выбрать адрес для прослушивания, подключенный к внешней сетевой карте.


Рисунок 10

Если вы не видите свой адрес в списке доступных IP-адресов, вам нужно выйти из мастера и добавить этот адрес записи MX в свойства TCP/IP вашей внешней сетевой карты, как упоминалось ранее.

На данный момент мы закончили работу с мастером, и вот краткое описание, прежде чем нажать «Готово».


Рисунок 11

Как правило, вы всегда должны быть уверены, что правила публикации вашего сервера, веб-сервер, https-сервер или любая служба опубликованного сервера находятся в верхней части списка правил или рядом с ней. В нашем случае почта очень важна, поэтому наша находится вверху. Мы не хотим, чтобы запрещающие правила позже в списке блокировали нашу входящую почту.

Правила доступа

На этом этапе, пока мы все еще находимся на нашей странице политики брандмауэра в нашем окне ISA, мы должны проверить наши правила фильтрации, чтобы убедиться, что Barracuda может эффективно получить доступ к нашим серверам электронной почты и серверам LDAP. Мы также настроим соответствующие порты для административной консоли и порты для получения обновлений антивирусной части нашего устройства Barracuda. Мы делаем это, настроив правила доступа в нашей политике брандмауэра.

Сначала создайте новое правило доступа для пересылки электронной почты на сервер Exchange.

Разрешить->SMTP->От Barracuda->На почтовый сервер->Все пользователи

Затем создайте правило, разрешающее запросы LDAP к нашим серверам LDAP.

Разрешить->LDAP, LDAPS->От Barracuda->LDAPserver1, LDAPserver2->Все пользователи

Теперь, поскольку нам нужно перейти на страницу администрирования для нашей Barracuda, нам нужно настроить доступ к порту, чтобы попасть туда. Я создал новый порт на своей машине ISA 8000 и назвал его «Порт администратора Barracuda». Я также хочу, чтобы только администраторы домена имели доступ к Barracuda, используя этот порт.

Разрешить->Порт администратора Barracuda (8000)->Из внутреннего->в Barracuda->Администраторы домена

Наконец, если наша Barracuda будет отправлять электронные письма с возвратами людям снаружи, нам нужно настроить SMTP для исходящих сообщений. Кроме того, в том же правиле нам нужно разрешить выход HTTP (80) для загрузки новейших определений спама и вирусов для Barracuda.

Разрешить->HTTP, SMTP->От Barracuda->к внешнему->Все пользователи

Сохраните нашу конфигурацию, конечно.

Настройка нашей Барракуды для маршрутизации входящей ХОРОШЕЙ почты

Теперь мы закончим с настройкой нашей Barracuda, чтобы мы могли получать всю нашу электронную почту на наш сервер обмена (Lotus, GroupWise и т. д.). Теперь мы должны иметь возможность войти в нашу Barracuda из нашей локальной сети, при условии, что NAT настроен правильно, вы добавили свои правила доступа, а также если вы используете клиент брандмауэра на своей рабочей станции. Попав на веб-страницу, мы авторизуемся и продолжим вводить некоторые параметры настройки. На экране основной вкладки мы нажмем кнопку «Конфигурация IP» и получим следующий экран.


Рисунок 12

У нас уже должны быть заполнены IP-адрес, маска подсети и шлюз. Другие настройки должны быть очевидны, поскольку нам понадобятся:

  • IP-адрес и порт почтового сервера
  • Тестовая электронная почта, если хотите провести тестирование
  • Адреса DNS-серверов
  • Информация о прокси может быть оставлена пустой
  • Имя хоста по умолчанию (имя для возвратных сообщений)
  • И наш домен по умолчанию (для возвратных сообщений)

Сохраните изменения на этой странице. Далее перейдите на вкладку Домены.


Рисунок 13

Здесь мы можем настроить Barracuda для маршрутизации входящей почты для нескольких доменов на соответствующие почтовые серверы в нашей сети. Кроме того, отсюда я могу настроить Barracuda для проверки LDAP по Active Directory. Это позволяет Barracuda проверять, являются ли получатели входящей электронной почты действительными пользователями. Если вы введете свой домен и нажмете кнопку «Добавить домен», ваш домен будет добавлен в список. Затем вы можете нажать кнопку ссылки «Редактировать домен», чтобы изменить настройки домена и LDAP.


Рисунок 14

Укажите здесь целевой почтовый сервер, на который должна отправляться электронная почта для этого домена. Затем для настроек LDAP мы можем добавить серверы, которые будут выполнять наш поиск LDAP в нашей Active Directory. В нашей среде мы решили использовать Exchange Accelerator и TLS с нашим сервером Exchange. Подробнее об этих конфигурациях можно прочитать на веб-сайте Barracuda. Вы можете включить их, если хотите, позже, когда будете знать, что ваша Barracuda работает правильно.

Вы также должны указать порт, который прослушивает ваш LDAP (скорее всего, это 389), а также имя пользователя и пароль для подключения к LDAP для выполнения запросов.

Остальная информация заполняется по умолчанию, и обычно вам не нужно изменять эти оставшиеся параметры для использования сервера Exchange. Для других серверов, таких как GroupWise или Note, вам, возможно, придется обратиться к документации или веб-сайту Barracuda, чтобы найти правильные фильтры настройки.

Некоторые советы по устранению неполадок

На этом мы должны закончить настройку ISA и Barracuda. Вот несколько вещей, которые вы можете сделать, чтобы убедиться, что ваша Barracuda работает, или, если вы столкнулись с проблемами, вот несколько советов, которые вам помогут.

Пользователи не получают электронную почту:

  • Правильно ли добавлена ваша запись MX на внешнюю карту?
  • Отключите функции LDAP и Exchange Accelerator. Если электронная почта начинает работать, у вас могут быть проблемы с конфигурацией LDAP. Проверьте идентификатор и пароль, которые вы использовали при настройке LDAP, и вам может потребоваться настроить правила фильтрации на Barracuda.
  • У вас есть правильный IP для вашего почтового сервера, введенного на Barracuda?
  • Разрешают ли ваши правила фильтра ISA доступ Barracuda к внутренней сети или почтовому серверу?
  • Правильно ли настроено правило NAT в списке сетевых правил?

Протестируйте базовую функциональность, отправляя электронное письмо на вашу учетную запись домена из внешнего источника электронной почты, такого как учетная запись hotmail и/или MSN. Вы также можете проверить запросы LDAP, отправив электронное письмо на несуществующую учетную запись на вашем почтовом сервере. На Barracuda вы можете просмотреть журналы сообщений для каждого фрагмента электронной почты, который был отсканирован, и увидеть результаты, а также причину, по которой сообщение могло быть отправлено или заблокировано.

Функция LDAP или Exchange Accelerator не работает:

  • Убедитесь, что IP-адрес сервера LDAP введен правильно в окне настройки LDAP для вашего домена.
  • Повторно введите идентификатор домена и пароль для подключения к соответствующим серверам LDAP.
  • Убедитесь, что ваше правило доступа ISA введено правильно. Обычный порт для LDAP — 389.

Обновления для моих определений вирусов и определений спама не работают:

  • Barracuda требуется исходящий доступ к порту 80. Он использует порт 80 для загрузки и проверки лицензии на годовую подписку.
  • Правильно ли введен адрес шлюза на Barracuda? Это должен быть адрес сетевой карты, который ISA использует для этой подсети.

Вывод

Брандмауэр ISA server 2004 может предоставить нам отличное изолированное решение для сканирования входящей электронной почты на наличие спама, шпионских программ и вирусов до того, как зараженная почта попадет во внутреннюю сеть. При настройке Barracuda или любого другого антиспамового/антивирусного решения для вашей электронной почты учитывайте преимущества, которые вы получите, поместив его в демилитаризованную зону.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023