Контроль за мобильными устройствами с помощью ABQ в Carbonio
В прошлой статье мы рассказывали о том, как настроить подключение к серверу Carbonio с мобильных устройств при помощи протокола Exchange ActiveSync. В отличие от любых других подключений, которые можно ограничить списком доверенных подсетей IP-адресов, мобильные устройства, особенно использующие мобильный интернет, таким образом ограничить не получится. В результате, возможность такого подключения размывает границы периметра локальной сети, делая возможным подключение устройств, которые неподконтрольны администратору. Для того, чтобы избежать рисков, связанных с несанкционированным доступом к Carbonio и вернуть контроль над ИБ-контуром предприятия, администратору доступен механизм Allow/Block/Quarantine, который позволяет автоматизировать процесс предоставления доступа для мобильных устройств, подключающихся по EAS.
.
Данная инструкция подойдет только пользователям коммерческой версии Carbonio.
По умолчанию механизм Allow/Block/Quarantine включен и в случае, если администратор не намерен его использовать для фильтрации подключений к серверу по EAS, он может выключить его при помощи команды, выполняемой строго на узле mailbox
carbonio config set global abq_enabled_at_startup false
Обратно включить ABQ можно выставив значение параметра abq_enabled_at_startup на true
carbonio config set global abq_enabled_at_startup true
После этих изменений потребуется перезагрузка сервера mailbox
zmmailboxdctl restart
Основой работы ABQ в Carbonio является два компонента: список разрешенных устройств и движок авторизации. В первом содержится информация об идентификаторах устройств, которым разрешен доступ к серверу, движок же при подключении устройств сравнивает их идентификаторы со списками разрешенных и, в зависимости от результатов сравнения принимает решение — разрешить доступ, заблокировать устройство или поместить его в карантин, где окончательное решение примет администратор.
Управление движком авторизации осуществляется в командной строке. Администратору доступны на выбор 4 режима его работы:
Разрешительный (Permissive): При таком режиме работы, после аутентификации пользователя синхронизация производится автоматически по первому же запросу с мобильного устройства. В таком режиме работы есть возможность заблокировать отдельные устройства, но все остальные смогут свободно синхронизировать данные с сервером.
Интерактивный (Interactive): При таком режиме работы сразу после аутентификации пользователя система безопасности запрашивает идентификационные данные устройства и сопоставляет их со списком разрешенных устройств. Если устройство значится в списке разрешенных, синхронизация автоматически продолжается. Если же в «белом списке» данного устройства не будет, оно будет автоматически помещено в карантин, чтобы администратор позднее мог принять решение о том, разрешать данному устройству синхронизацию с сервером или заблокировать его. При этом пользователю будет отправлено соответствующее уведомление. Информирование же администратора происходит регулярно, один раз в настраиваемый период времени. При этом в каждом новом уведомлении будут содержаться только новые устройства, попавшие в карантин.
Строгий (Strict): При таком режиме работы после аутентификации пользователя, сразу же проводится проверка наличия идентификационных данных устройства в списке разрешенных. В том случае, если оно там значится, синхронизация автоматически продолжается. В том случае, если устройства нет в списке разрешенных, оно сразу же попадает в список заблокированных, а пользователю по почте приходит соответствующее уведомление.
Настройка режима работы ABQ осуществляется с помощью команд:
carbonio config global set attribute abqMode value Permissive
carbonio config global set attribute abqMode value Interactive
carbonio config global set attribute abqMode value Strict
carbonio config global set attribute abqMode value Disabled
Узнать текущий режим работы ABQ можно при помощи команды carbonio config global get attribute abqMode.
Выбор режима работы ABQ зависит от строгости политики безопасности компании и практики использования корпоративных устройств. В случае, если компания предоставляет работникам корпоративные устройства, их перечень, как правило, ограничен и поэтому администратор может создать список разрешенных устройств, заблокировав подключение новых при помощи режима Strict.
В случае, если на предприятии используется принцип BYOD, идеально подойдет режим Interactive. Пользователь, который захочет подключить новое устройство, после корректного ввода своих логина и пароля войдет в виртуальный почтовый ящик, в котором он получит оповещение о том, что его устройство было добавлено в карантин и что он может обратиться к администратору с просьбой добавить его в список доверенных.
Для компаний с нестрогой политикой безопасности хорошо подойдут режимы Permissive или Disabled.
Управление статусами ABQ для подключенных устройств доступно в консоли администратора. Для этого нужно перейти в нужный домен и на вкладке ActiveSync выбрать подключенное устройство. В открывшемся меню выберите параметр «Статус ABQ» и в выпадающем меню установите желаемый статус устройства.
Также статусами ABQ можно управлять в командной строке. Действия, доступные администратору:
carbonio mobile ABQ allow MZTB712a6867631246f18fa540b63f2e — изменить статус устройства с идентификатором MZTB712a6867631246f18fa540b63f2e в карантине на Allowed
carbonio mobile ABQ block MZTB712a6867631246f18fa540b63f2e — изменить статус устройства с идентификатором MZTB712a6867631246f18fa540b63f2e в карантине на Blocked
carbonio mobile ABQ delete MZTB712a6867631246f18fa540b63f2e — удалить устройство с идентификатором MZTB712a6867631246f18fa540b63f2e из списков ABQ
carbonio mobile ABQ list — отобразить список всех устройств
carbonio mobile ABQ list Allow — отобразить список всех разрешенных устройств
carbonio mobile ABQ list Block — отобразить список всех заблокированных устройств
carbonio mobile ABQ list Quarantined — отобразить список всех устройств в карантине
carbonio mobile ABQ import /tmp/device_list Allowed — импортировать сохраненный в файле перечень мобильных устройств в список разрешенных
carbonio mobile ABQ import /tmp/device_list Blocked — импортировать сохраненный в файле перечень мобильных устройств в список заблокированных
carbonio mobile ABQ import /tmp/device_list Quarantined — импортировать сохраненный в файле перечень мобильных устройств в карантин
carbonio mobile ABQ set MZTB712a6867631246f18fa540b63f2e Allowed — установить статус устройства с идентификатором MZTB712a6867631246f18fa540b63f2e на Allowed
carbonio mobile ABQ set MZTB712a6867631246f18fa540b63f2e Blocked — установить статус устройства с идентификатором MZTB712a6867631246f18fa540b63f2e на Blocked
carbonio mobile ABQ set MZTB712a6867631246f18fa540b63f2e Quarantined — поместить устройство с идентификатором MZTB712a6867631246f18fa540b63f2e в карантин
Помимо непосредственной смены статуса ABQ по идентификатору устройства, администратор может добавлять правила, которые позволяют изменять статусы устройств автоматически, либо выполнять различные действия на основе регулярного выражения. К примеру:
carbonio mobile ABQ deleteRule «MZTB.*» domain carbonio.local — удалить все устройства, идентификатор которых начинается на MZTB у пользователей из домена carbonio.local
carbonio mobile ABQ setRule «android.*» Blocked 10 domain carbonio.local — заблокировать все устройства, идентификаторы которых начинаются на android в рамках домена carbonio.local. Число 10 означает порядок выполнения данного правила.
carbonio mobile ABQ listRule «iphone.*» Allowed — вывести на экран список устройств, идентификаторы которых начинаются на iphone и которые имеют статус Allowed.
Администратор также может настроить общение с пользователями и оповещения о наличии в карантине устройств. Это также делается в командной строке при помощи команд:
carbonio mobile initABQMessage
carbonio mobile setABQMessage domain
carbonio mobile setABQMessage global
carbonio mobile duplicateABQMessage domain
carbonio mobile duplicateABQMessage global
carbonio mobile getABQMessage domain
carbonio mobile getABQMessage global
carbonio mobile deleteABQMessage domain
carbonio mobile deleteABQMessage global
carbonio mobile ABQ setNotificationInterval
carbonio mobile ABQ setNotificationInterval 45m — позволит настроить оповещения о новых устройствах в карантине таким образом, чтобы они приходили раз в 45 минут.
carbonio mobile setABQMessage domain carbonio.local blocked default u0@carbonio.local zextras@carbonio.local «Ваше устройство заблокировано» «Добрый день, в целях безопасности ваше устройство было заблокировано. Если вы считаете, что это произошло по ошибке, свяжитесь с администратором» — установит текст сообщения для заблокированных устройств из домена carbonio.local. Сообщение будет приходить с указанными темой и телом от пользователя u0@carbonio.local, ответ на него будет попадать в ящик администратора zextras@carbonio.local
carbonio mobile setABQMessage global quarantined default quarantined u0@carbonio.local zextras@carbonio.local «Ваше устройство в карантине» «Добрый день, в целях безопасности ваше устройство было помещено в карантин. Вы сможете использовать электронную почту после одобрения от администратора» — установит текст сообщения для устройств, попадающих в карантин. Сообщение будет приходить с указанными темой и телом от пользователя u0@carbonio.local, ответ на него будет попадать в ящик администратора zextras@carbonio.local
Напомним, что получать эти сообщения пользователь будет в виртуальном почтовом ящике, который будет создан после успешной аутентификации и срабатывании механизма ABQ.
В приведенных выше командах также поддерживается форматирование html для тел электронных писем.
Таким образом, грамотно настроенный механизм Allow/Block/Quarantine позволит существенно повысить безопасность использования протокола Exchange ActiveSync с Carbonio и обеспечить надежный периметр для предприятия.
По вопросам тестирования, приобретения, предоставления лицензии и консультаций обращаться на почту sales@svzcloud.ru к эксклюзивному партнеру Zextras.
