Geekly articles weekly

كيفية تكوين جدار الحماية على خادم مع Zimbra؟

واحدة من الأدوات الرئيسية لمجرم الإنترنت الحديث هي ماسح ضوئي للميناء ، وبفضله يجد الخوادم عرضة لنقاط ضعف مختلفة ثم يهاجمونها. هذا هو السبب في أن التكوين الصحيح لجدار الحماية هو أحد القواعد الرئيسية لضمان أمن المعلومات للخادم. يمكن لنظام تصفية حركة مرور الشبكة الذي تمت تهيئته بشكل مثالي تحييد حصة الأسد من التهديدات السيبرانية دون استخدام حلول أمان المعلومات الأخرى

الصورة

تستخدم Zimbra بنشاط مختلف منافذ الشبكة لكل من الاتصالات الخارجية وداخل النظام. هذا هو السبب في أن الأمثل بالنسبة لها سيكون إنشاء ما يسمى "القائمة البيضاء" في قواعد جدار الحماية. أي أن المسؤول يحظر أولاً أي اتصالات بأي منافذ على الخادم ، ثم يفتح فقط تلك الضرورية للتشغيل العادي للخادم. وفي هذه المرحلة ، يواجه مسؤول خادم Zimbra دائمًا السؤال حول المنافذ التي يجب فتحها والتي من الأفضل تركها دون تغيير. دعنا نرى ما هي المنافذ المستخدمة وما الذي تستخدمه Zimbra لتسهل عليك أن تقرر إنشاء قائمة بيضاء خاصة بك في جدار الحماية.

بالنسبة للاتصالات الخارجية ، يمكن لـ Zimbra استخدام ما يصل إلى 12 منفذًا ، بما في ذلك:

  • 25 منفذ للبريد الوارد في postfix
  • 80 منفذًا للاتصال غير الآمن ببرنامج عميل Zimbra
  • 110 منفذ لتلقي البريد من خادم بعيد باستخدام بروتوكول POP3
  • 143 منفذ وصول IMAP
  • 443 منفذ للاتصال الآمن مع Zimbra Web Client
  • 587 منفذ اتصال وارد
  • 993 منفذ للوصول الآمن للبريد الإلكتروني عبر IMAP
  • 995 منفذ لتلقي البريد بشكل آمن من خادم بعيد باستخدام بروتوكول POP3
  • 5222 منفذ للاتصال بالخادم عبر XMPP
  • 5223 منفذ للاتصال الآمن بالخادم عبر XMPP
  • 9071 منفذ للاتصال الآمن بوحدة تحكم المشرف

كما ذكرنا من قبل ، بالإضافة إلى الاتصالات الخارجية ، يوجد في Zimbra Collaboration Suite الكثير من الاتصالات الداخلية التي تحدث أيضًا على منافذ مختلفة. لذلك ، عند تضمين هذه المنافذ في "القائمة البيضاء" ، من المفيد التأكد من أن المستخدمين المحليين فقط هم الذين يمكنهم الاتصال بها.

  • 389 منفذ لاتصال LDAP غير آمن
  • 636 منفذ لاتصال LDAP آمن
  • 3310 منفذ للاتصال بمكافحة الفيروسات ClamAV
  • 5269 منفذ للاتصال بين الخوادم الموجودة في نفس المجموعة باستخدام بروتوكول XMPP
  • 7025 منفذ لتبادل البريد المحلي عبر LMTP
  • 7047 منفذ يستخدمه الخادم لتحويل المرفقات
  • 7071 منفذ للوصول الآمن إلى وحدة تحكم المسؤول
  • 7072 منفذ للاكتشاف والتوثيق في nginx
  • 7073 منفذ للاكتشاف والتوثيق في SASL
  • 7110 منفذ للوصول إلى خدمات POP3 الداخلية
  • 7143 منفذ للوصول إلى خدمات IMAP الداخلية
  • 7171 منفذ للوصول إلى البرنامج الخفي لتكوين Zimbra zmconfigd
  • 7306 منفذ للوصول إلى MySQL
  • 7780 منفذ للوصول إلى خدمة التدقيق الإملائي
  • 7993 منفذ للوصول الآمن إلى خدمات IMAP الداخلية
  • 7995 منفذ للوصول الآمن إلى خدمات POP3 الداخلية
  • 8080 منفذ للوصول إلى خدمات HTTP الداخلية
  • 8443 منفذ للوصول إلى خدمات HTTPS الداخلية
  • 8735 منفذ للاتصال بين صناديق البريد
  • 8736 منفذ للوصول إلى خدمة التكوين الموزعة Zextras
  • 10024 منفذ لتواصل Amavis مع Postfix
  • 10025 منفذ لتواصل Amavis مع OpenDKIM
  • 10026 منفذ لتكوين سياسات Amavis
  • 10028 منفذ اتصال Amavis مع مرشح المحتوى
  • 10029 منفذ للوصول إلى أرشيفات Postfix
  • 10032 منفذ لتوصيل Amavis مع مرشح البريد العشوائي SpamAssassin
  • 23232 منفذ للوصول إلى خدمات Amavis الداخلية
  • 23233 منفذ للوصول إلى المستجيب snmp
  • 11211 منفذ للوصول إلى memcached

لاحظ أنه في حالة عمل Zimbra على خادم واحد فقط ، يمكنك القيام بذلك بحد أدنى من المنافذ المفتوحة. ولكن إذا تم تثبيت Zimbra على عدة خوادم في مؤسستك ، فسيتعين عليك فتح 14 منفذًا بأرقام 25 ، 80 ، 110 ، 143 ، 443 ، 465 ، 587 ، 993 ، 995 ، 3443 ، 5222 ، 5223 ، 7071 ، 9071 . ستضمن هذه المجموعة من المنافذ المفتوحة للاتصال التفاعل الطبيعي بين الخوادم. في الوقت نفسه ، يحتاج مسؤول Zimbra دائمًا إلى تذكر أنه ، على سبيل المثال ، يعد المنفذ المفتوح للوصول إلى LDAP تهديدًا خطيرًا لأمن المعلومات للمؤسسة.

في Ubuntu ، يمكن القيام بذلك باستخدام أداة جدار الحماية القياسية غير المعقدة. للقيام بذلك ، نحتاج أولاً إلى السماح بالاتصالات من الشبكات الفرعية التي سيحدث الاتصال بها. على سبيل المثال ، دعنا نتصل بالخادم من الشبكة المحلية باستخدام الأمر:
تسمح ufw من 192.168.1.0/24
ثم قم بتحرير ملف /etc/ufw/applications.d/zimbra مع قواعد الاتصال بـ Zimbra لإحضاره إلى النموذج التالي:
[زيمبرا]
title = Zimbra Collaboration Server
description = خادم مفتوح المصدر للبريد الإلكتروني وجهات الاتصال والتقويم والمزيد.
المنافذ = 25،80،110،143،443،465،587،993،995،3443،5222،5223،7071،9071 / tcp
بعد ذلك ، من الضروري تنفيذ ثلاثة أوامر حتى تصبح التغييرات التي أجريناها نافذة المفعول:
تسمح ufw زيمبرا
تمكين ufw
حالة ufw
وبالتالي ، فإن التكوين البسيط لـ "القائمة البيضاء" في جدار الحماية قادر على حماية المراسلات المخزنة على خادم البريد الخاص بك بشكل موثوق من معظم المجرمين الإلكترونيين. ومع ذلك ، يجب ألا تعتمد فقط على جدار الحماية مع ضمان أمن المعلومات لخادم البريد. في حالة وصول المهاجمين إلى الشبكة الداخلية لمؤسستك ، أو إذا تبين أن أحد موظفي الشركة مجرم إلكتروني ، فمن غير المرجح أن يساعد تقييد الاتصالات الواردة.

تحديث. ينبغي إيلاء اهتمام خاص للمنفذ 11211 ، الذي يعمل عليه memcached. هو الذي يشارك في مجموعة متنوعة شعبية من الهجمات الإلكترونية memcrashd.

تتوفر تعليمات مفصلة حول كيفية الدفاع ضد هذا الهجوم على موقع Zimbra Collaboration Suite الرسمي .

لجميع الأسئلة المتعلقة بـ Zextras Suite ، يمكنك الاتصال بممثل Zextras Katerina Triandafilidi عن طريق البريد الإلكتروني katerina@zextras.com

Source: https://habr.com/ru/post/ar427729/

More articles:


All Articles