Sunday, September 23rd, 2018

Настройка Barracuda SPAM в DMZ сервера ISA 2004

Published on Февраль 10, 2009 by   ·   Комментариев нет

Данное руководство посвящено настройке устройств или серверов для защиты от спама в DMZ сервера ISA 2004. В нашем примере мы рассмотрим продукт Barracuda Spam Firewall model 300, выпущенный компанией Barracuda Networks.

Если у вас уже есть устройство или отдельный сервер для защиты от спама и вы хотите поместить его в DMZ, прочтите, как это сделать в случае наличия Barracuda, и вы сможете подставить вместо него и свое устройство. Также мы обсудим настройки сервера Exchange 2003.

Устройство Barracuda Spam (также называемое Barracuda Spam Firewall, поскольку оно производит сканирование на наличие вирусов, а также выполняет другие функции защиты) выполнено в размерах 1U или 2U и используется как в малых, так и больших организациях. Model 300, о которой я расскажу в этой статье, способна обрабатывать до двух миллионов писем в день при работе в среднем 300 – 1000 пользователей и до 500 доменов и поддоменов. В данное устройство заложено очень много возможностей, и, не вдаваясь в подробности, мы обсудим самые основные. Они таковы:

  • Сканирование почты на наличие вирусов
  • Защита от отказа обслуживания
  • Списки блокировки и разрешения IP-адресов
  • Web-интерфейс администрирования
  • Настройка входящей или исходящей почты (только по отдельности)
  • Поддержка SSL
  • Установки карантина и спама для каждого пользователя
  • Поиск в Exchange и LDAP и улучшение их работы
  • И, конечно, блокирование спама с контролем, Байесовским анализом и оценки по правилам

Компания Barracuda рекомендует два способа настройки устройства для фильтрации входящей почты. В первом случае, описанном ниже, вы просто ставите устройство за корпоративным брандмауэром в той же самой сети, в которой находится ваш почтовый сервер.

Сетевая карта внешняя

Рисунок 1

Как показано на рисунке, вам просто нужно переадресовывать SMTP-трафик на IP-адрес устройства. Далее, вы переадресовываете все отфильтрованные сообщения на почтовый сервер.

Рисунок 2 показывает размещение устройства в DMZ для усиления безопасности и отделения устройства как от внутренней, так и от внешней сети.

192 168 3.5. barracuda

Рисунок 2

Помещение устройства в DMZ похоже на размещение там web-сервера. Основная разница заключается в том, какие порты мы откроем на устройстве, сервере ISA 2004 и в нашей внутренней сети, а также в том, как мы будем публиковать устройство для внешнего мира. Этот тип установки мы обсудим в дальнейшем.

Что нужно, чтобы начать

При установке любой службы, устройства или сервера для защиты от спама следует провести подготовительную работу с сервером ISA 2004, провайдером Интернета и ответственными за DNS лицами.

Сначала найдем нашу запись типа MX. Тем, кто еще не знает: запись (записи) типа MX регистрируются вашим DNS-провайдером для открытия почтового доступа для вашего домена. Если вы не знаете IP-адрес или DNS-имя вашей записи типа MX, можете попробовать воспользоваться утилитой www.dnsstuff.com. В поле ближе к концу страницы вы можете ввести почтовый адрес вашей компании (реальный или вымышленный) и проверить его, как показано ниже:

Для чего нужны настройки dmzу

Рисунок 3

После нажатия на кнопку “Mail Test” (Проверка почты), вы получите отчет о том, где расположены адреса @ruhlin.com:

Getting MX record for ruhlin.com (from local DNS server, may be cached)… Got it! (Получение записи типа MX для ruhlin.com (в случае использования локального DNS-сервера запись может быть взята из кэша)…. Получили!)

Host (Узел) Preference (Предпочтение) IP(s) [Country] (IP-адрес (а) [Страна])
mail3.ruhlin.com. 10 63.84.137.140 [US]
mail.uu.net. 20 199.171.54.245 [US] 199.171.54.246 [US] 199.171.54.98 [US]

Шаг 1: Попытка связи с почтовым сервером:
mail3.ruhlin.com. — 63.84.137.140

Шаг 2: Если первый шаг окончился неудачно, пытаемся соединиться с остальными (в порядке разрешения DNS, RFC1123 5.3.4):

mail.uu.net. — 199.171.54.245

mail.uu.net. — 199.171.54.246

mail.uu.net. — 199.171.54.98

Шаг 3: Если и это не получилось, ставим почту в очередь для следующей доставки.

Пытаемся соединиться со всеми почтовыми серверами:

mail3.ruhlin.com. — 63.84.137.140 [Нет связи: Получен неизвестный ответ RCPT TO: 550 <test@ruhlin.com>: адрес получателя отклонен: Нет такого пользователя (test@ruhlin.com)

Как видите, мы получили всю нужную нам информацию, т.е. список записей MX нашего домена (не обращайте внимания на сообщение «Нет связи…» в конце отчета. Здесь имеют место LDAP-соединения, о которых мы будем говорить позже). Первая запись с предпочтением 10 – это первая остановка при доставке почты. Если запись MX указывает на ваш почтовый сервер (Exchange, Lotus Notes, GroupWise – все, что угодно), то, возможно, это ваш брандмауэр принимает почту и переадресует ее на нужный почтовый сервер вашей сети. Мы можем указать эту же запись как конечную точку для нашего устройства вместо реального почтового сервера.

Итак, у нас есть запись типа MX, что же дальше? Дальше мы должны убедиться, что наша DMZ с сервером ISA 2004 готова. Если вы знакомы с этим, создайте DMZ сами.

Еще нужно учесть следующее: правила NAT и ROUTE в списке Network Rules (Сетевые правила) в узле Networks (Сети) сервера ISA 2004. У вас должно быть настроено правило NAT от вашей сети DMZ (Источник) к Exchange-серверу и контроллерам домена (Получатель). Это крайне важно, особенно если вы планируете использовать LDAP-поиск или улучшение работы Exchange-сервера. Об этом мы поговорим чуть позже. Если у вас уже есть правило NAT для DMZ с ISA-сервером, вы можете добавить новую DMZ, созданную специально для устройства Barracuda. Если вы используете Barracuda в уже существующей DMZ, возможно, у вас уже есть правила NAT или ROUTE. Просто убедитесь, что они действительно существуют!

Быстрая установка Barracuda Spam Firewall

Прежде чем установить наше устройство в DMZ, нужно включить его и присвоить ему IP-адрес, связанный с адресом сети DMZ. В нашем примере, адрес сети DMZ — 192.168.5.x. Поэтому дадим устройству адрес 192.168.5.5. При первом включении устройства Barracuda ему по умолчанию дается IP-адрес 192.168.200.200.

Лучший способ поменять этот адрес – это соединить устройство с помощью свитча с обычным компьютером. Измените адрес компьютера на похожий адрес из подсети класса C, например 192.168.200.205. На рисунке схематично изображен это процесс:

Веб сервер и почтовый сервер

Рисунок 4

Также вы можете напрямую подсоединить устройство к вашей сети, и с помощью команды ARP, запущенной из командной строки, добавьте MAC-адрес Barracuda в таблицу ARP вашего компьютера с локальным адресом.

Теперь с помощью Internet Explorer зайдем на web-сайт администрирования устройства. В нашем случае адрес сайта будет http://192.168.200.200:8000. (Обратите внимание на порт 8000 в конце IP-адреса. Это административный порт. В дальнейшем его можно изменить. В нашей статье мы будем использовать этот номер, 8000.)

Barracuda почтовый

Рисунок 5

Зарегистрируйтесь (логин/пароль по умолчанию: admin/admin). Если это первый раз, когда вы регистрируйтесь на устройстве, вы увидите экран, спрашивающий, не желаете ли вы поменять IP-адрес и основную информацию о сети. Вы можете ответить «Да», если сразу хотите поменять IP-адрес, маску подсети и шлюз по умолчанию. Если вы вначале хотите просмотреть все настройки и только потом поменять адрес, вы можете в дальнейшем выбрать вкладку IP Configuration (Настройка IP-адреса) и там ввести необходимую информацию. А теперь сделаем наше устройство частью DMZ.

После проверки IP-адреса, отсоединяем Barracuda от нашей временной сети и присоединяем ее к DMZ.

Установка брандмауэра

Теперь у нас есть запись MX, DMZ и наше устройство, подключенное к DMZ. Мы готовы к установке сервера ISA 2004 и устройства защиты от спама. Начнем с ISA-сервера.

Вначале нам нужно установить IP-адрес записи MX на внешнюю сетевую карту, или на сетевую карту, которая будет прослушивать входящие SMTP-запросы из внешней сети.

Теперь запустим утилиту управления ISA-сервером, ISA Server Management MMC. Как и любом случае при изменении конфигурации вначале необходимо сделать резервную копию настроек и экспортировать ее в XML-файл. В случае неполадок, мы можем вернуть все настройки.

Теперь опубликуем наше устройство Barracuda для внешней сети. Делается это так же, как и публикация любого http или https сервера в списке Firewall Policy (Политики брандмауэра). Мы выбираем не публикацию web-сервера, а пункт “Create a new server publishing rule.” (Создание нового правила публикации сервера). Укажите имя правила и нажмите Next (Далее):

Проверка домена в спам базах barracuda

Рисунок 6

Укажите IP-адрес (не записи MX, а IP-адрес устройства в DMZ)

Файловый сервер

Рисунок 7

Выберите из выпадающего списка пункт “SMTP Server” (SMTP-сервер). Не обращайте внимания на предупреждение, которое может высветиться при выборе протокола.

Барракуда спам

Рисунок 8

Выберите интерфейс, который будет прослушивать запросы. В нашем случае это внешняя сетевая карта.

Устройства сервера

Рисунок 9

Теперь нажмите кнопку Address…(Адрес…) для выбора адреса внешней сетевой карты, на котором будет прослушиваться трафик.

Barracuda antispam smtp server

Рисунок 10

Если вы не увидели ваш адрес в списке адресов, вам нужно выйти из мастера и добавить запись MX в свойства TCP/IP внешней сетевой карты, как было описано выше.

Мы закончили работу с мастером, поэтому прочтите краткое описание наших действий и нажмите Finish (Завершить).

Компьютер схематично

Рисунок 11

Всегда проверяйте, что правила публикации сервера, web-сервера, https-сервера или любой другой службы находятся в вершине списка правил. В нашем случае, почта крайне важна, поэтому данное правило будет первым. Нам не нужно, чтобы правила запрета почты блокировали входящие сообщения.

Правила доступа

Теперь, пока мы еще находимся на странице политик брандмауэра, мы должны проверить правила фильтрации, чтобы удостовериться, что Barracuda может без проблем соединяться с почтовыми серверами и LDAP-серверами. Затем мы настроим порты для администраторской консоли и для получения обновлений антивируса. Сделаем это, настроив в политике брандмауэра правила доступа.

Вначале создадим новое правило доступа для переадресации почты на Exchange-сервер.

Разрешить->SMTP->От Barracuda->К MailServer->Все пользователи

Далее, создадим правило для разрешения LDAP-запросов к LDAP-серверам

Разрешить ->LDAP, LDAPS->От Barracuda->LDAPserver1, LDAPserver2-> Все пользователи

Теперь, поскольку нам необходим доступ к странице администрирования устройства, нам нужно установить доступ к порту. Я сознал на ISA-сервере новый порт, 8000, и назвал его “Barracuda Admin Port.” Также я установил, что только администраторы домена имеют право доступа к Barracuda с помощью этого порта.

Разрешить->Barracuda Admin port (8000)->Из Внутренней сети->к Barracuda->Администраторы домена

И, наконец, если Barracuda будет возвращать сообщения отправителю, нам нужно настроить SMTP на исходящие сообщения. В этом же правиле нам нужно разрешить исходящие сообщения HTTP (80) для обновления программы защиты от спама и обновления вирусов для Barracuda.

Разрешить->HTTP, SMTP->От Barracuda-> к внешней сети External->Все пользователи

Конечно же, нужно сохранить настройки.

Настройка Barracuda на переадресацию «хороших» входящих сообщений

Теперь настроим наше устройство на прием «хороших» сообщений нашим почтовым сервером (Exchange, Lotus, GroupWise и т.п.). Мы должны зайти на Barracuda из внутренней сети, при условии, что NAT настроено правильно, вы добавили правила доступа и используете на рабочей станции клиент брандмауэра. После загрузки web-страницы, мы регистрируемся, и далее нам нужно ввести несколько параметров. На вкладе Basic (Основные), нажмите кнопку “IP Configuration” (Настройки IP-адреса) (Рисунок 12).

Почтовый сервер

Рисунок 12

У нас уже заполнены поля IP-адреса, маски подсети и шлюза по умолчанию. Из остальных параметров нам нужны:

  • IP-адрес и порт почтового сервера
  • Тестовое сообщение, если мы захотим выполнить проверку
  • Адреса DNS-сервера
  • Информация о прокси может быть пустой
  • Имя узла по умолчанию (имя для возврата сообщений)
  • Домен по умолчанию (для возврата сообщений)

Сохраните изменения. Далее, откройте вкладку Domains (Домены).

Dmz сервер скачать

Рисунок 13

Теперь мы можем настроить Barracuda на маршрутизацию входящих сообщений для нескольких доменов на соответствующие почтовые серверы в сети. Также здесь можно настроить Barracuda на выполнение LDAP-проверок в Active Directory. Это позволит устройству проверять, что получатели сообщений зарегистрированные пользователи. Если вы введете ваш домен и нажмете “Add Domain” (Добавить домен), ваш домен будет добавлен в список. В дальнейшем вы можете изменить домен или настройки LDAP с помощью кнопки “Edit Domain” (Изменить домен).

Сеть с dmz

Рисунок 14

Введите почтовый сервер назначения, на который должна приходить почта для данного домена. Затем, для настройки LDAP, добавьте серверы, которые будут производить LDAP-поиск в Active Directory. В нашем случае мы будем использовать на нашем Exchange-сервере Exchange Accelerator и TLS. Подробно об этих настройка вы можете прочесть на web-сайте Barracuda. Все эти настройки вы можете включить позже, когда удостоверитесь, что Barracuda работает без ошибок.

Также вы должны указать порт, на котором будет происходить прослушивание LDAP (более, чем вероятно, что это порт 389) и имя пользователя и пароль для соединения с LDAP для выполнения запросов.

Оставшаяся информация заполняется по умолчанию, как правило, эти настройки для Exchange-сервера менять не нужно. Для других серверов, таких как GroupWise или Note, обратитесь к документации Barracuda или к web-сайту для правильной установки фильтров.

Несколько советов по устранению неисправностей

Мы закончили с настройкой ISA-сервера и устройства Barracuda. Ниже приведены рекомендации по проверке работоспособности Barracuda, а также советы для решения некоторых проблем.

Пользователи не получают почту:

  • Правильно ли добавлена запись типа MX к внешней сетевой карте?
  • Выключите функции LDAP и Exchange Accelerator. Если почта заработала, возможно, у вас проблемы с настройками LDAP. Проверьте имя пользователя и пароль, которые вы использовали при настройке LDAP. Возможно, вам придется подстроить правила фильтрации на Barracuda
  • Правильный IP-адрес почтового сервера используется на Barracuda?
  • Разрешают ли правила фильтрации ISA-сервера доступ Barracuda во внутреннюю сеть или к почтовому серверу?
  • Правильно ли настроено правило NAT в списке сетевых правил?

Проверьте работу, отправив в свой домен сообщение с внешнего почтового адреса, например hotmail или/и msn. Проверить LDAP запросы также можно, отослав сообщение на несуществующий на вашем почтовом сервере адрес. На устройстве Barracuda вы можете просмотреть журнал сообщений для каждого отсканированного сообщения и просмотреть результаты и причину, почему сообщение могло быть отослано или заблокировано.

Функция LDAP или Exchange Accelerator не работает:

  • Проверьте правильность IP-адреса LDAP-сервера в вашем домене
  • Заново введите имя и пароль для связи с необходимыми LDAP-серверами
  • Убедитесь, что правило доступа на ISA-сервере настроено правильно. Обычно для LDAP используется порт 389

Обновления антивируса и спама не работают:

  • Устройству Barracuda требуется исходящий доступ через 80-й порт. Оно использует данный порт для загрузки и проверки лицензии на годовую подписку
  • Правильно ли введен адрес шлюза по умолчанию на устройстве Barracuda? Это должен быть адрес сетевой карты ISA-сервера в для данной подсети

Резюме

Сервер ISA 2004 дает нам отдельное решение для проверки входящих сообщений на спам, вредоносные программы и вирусы до того, как зараженное письмо попадет во внутреннюю сеть. Устройство Barracuda, или любое другое устройство антиспама/антивируса для электронной почты, помещенное в DMZ, пойдет вам только на пользу.

www.isaserver.org



Смотрите также:

Tags: , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]