Una de las principales herramientas de un cibercriminal moderno es un escáner de puertos, gracias al cual encuentran servidores susceptibles a diversas vulnerabilidades y luego los atacan. Es por eso que una de las reglas principales para garantizar la seguridad de la información del servidor es la configuración adecuada del firewall. Un sistema de filtrado de tráfico de red configurado de manera óptima es capaz de neutralizar la mayor parte de las amenazas cibernéticas sin el uso de otras soluciones de seguridad de la información.
Zimbra utiliza activamente varios puertos de red para conexiones externas e intra-sistema. Es por eso que lo más óptimo para ella será la creación de la llamada "Lista Blanca" en las reglas del firewall. Es decir, el administrador primero prohíbe cualquier conexión a cualquier puerto en el servidor, y luego abre solo aquellos que son necesarios para el funcionamiento normal del servidor. Y es en esta etapa que el administrador del servidor Zimbra invariablemente se enfrenta a la pregunta de qué puertos deben abrirse y cuáles deben dejarse intactos. Veamos qué puertos se usan y qué usa Zimbra para que le resulte más fácil decidir crear su propia lista blanca en el firewall.
Para conexiones externas, Zimbra puede usar hasta 12 puertos, que incluyen:
- 25 puertos para correo entrante en postfix
- Puerto 80 para conexión insegura al cliente web de Zimbra
- Puerto 110 para recibir correo de un servidor remoto utilizando el protocolo POP3
- 143 puerto de acceso IMAP
- Puerto 443 para una conexión segura a Zimbra Web Client
- 587 Puerto de entrada de conexión
- Puerto 993 para acceso seguro al correo electrónico a través de IMAP
- Puerto 995 para recibir correo de forma segura desde un servidor remoto utilizando el protocolo POP3
- 5222 Puerto para conectarse al servidor a través de XMPP
- Puerto 5223 para una conexión segura al servidor a través de XMPP
- Puerto 9071 para una conexión segura a la consola del administrador
Como ya se mencionó, además de las conexiones externas, en Zimbra Collaboration Suite hay muchas conexiones internas que también se producen en varios puertos. Por lo tanto, al incluir dichos puertos en la "lista blanca", vale la pena asegurarse de que solo los usuarios locales puedan conectarse a ellos.
- 389 Puerto para conexión LDAP insegura
- Puerto 636 para una conexión LDAP segura
- Puerto 3310 para conectarse al antivirus ClamAV
- Puerto 5269 para la comunicación entre servidores ubicados en el mismo clúster utilizando el protocolo XMPP
- 7025 Puerto para intercambio de correo local a través de LMTP
- 7047 Puerto utilizado por el servidor para convertir archivos adjuntos
- Puerto 7071 para acceso seguro a la consola del administrador
- Puerto 7072 para descubrimiento y autenticación en nginx
- 7073 Puerto para descubrimiento y autenticación en SASL
- Puerto 7110 para acceder a servicios internos POP3
- 7143 Puerto para acceso a servicios internos IMAP
- 7171 Puerto para acceder al demonio de configuración zbra zmconfigd
- Puerto 7306 para acceder a MySQL
- 7780 Puerto para acceder al servicio de ortografía
- Puerto 7993 para acceso seguro a servicios IMAP internos
- Puerto 7995 para acceso seguro a servicios internos POP3
- Puerto 8080 para acceder a servicios HTTP internos
- Puerto 8443 para acceder a servicios HTTPS internos
- 8735 Puerto para comunicación entre buzones
- 8736 Puerto para acceder al servicio de configuración distribuida de Zextras
- Puerto 10024 para la comunicación de Amavis con Postfix
- Puerto 10025 para la comunicación de Amavis con OpenDKIM
- Puerto 10026 para configurar las políticas de Amavis
- 10028 puerto de comunicación Amavis con filtro de contenido
- Puerto 10029 para acceder a archivos Postfix
- Puerto 10032 para la comunicación de Amavis con el filtro antispam SpamAssassin
- 23232 Puerto para acceder a los servicios internos de Amavis
- 23233 Puerto para acceder a snmp-respondedor
- Puerto 11211 para acceder a memcached
Tenga en cuenta que si en el caso de que Zimbra funcione en un solo servidor, puede hacerlo con un conjunto mínimo de puertos abiertos. Pero si Zimbra está instalado en varios servidores en su empresa, entonces tendrá que abrir 14 puertos con los números
25, 80, 110, 143, 443, 465, 587, 993, 995, 3443, 5222, 5223, 7071, 9071 . Tal conjunto de puertos abiertos para la conexión asegurará la interacción normal entre servidores. Al mismo tiempo, el administrador de Zimbra siempre debe recordar que, por ejemplo, un puerto abierto para acceder a LDAP es una seria amenaza para la seguridad de la información de una empresa.
En Ubuntu, esto se puede hacer utilizando la utilidad estándar de Firewall sin complicaciones. Para hacer esto, primero debemos permitir conexiones desde las subredes a las que se producirá la conexión. Por ejemplo, conectemos al servidor desde la red local usando el comando:
ufw permite desde 192.168.1.0/24
Y luego edite el archivo /etc/ufw/applications.d/zimbra con las reglas para conectarse a Zimbra para llevarlo al siguiente formulario:
[Zimbra]
title = Servidor de colaboración Zimbra
descripción = Servidor de código abierto para correo electrónico, contactos, calendario y más.
puertos = 25,80,110,143,443,465,587,993,995,3443,5222,5223,7071,9071 / tcp
Luego es necesario ejecutar tres comandos para que los cambios realizados por nosotros surtan efecto:
ufw permitir zimbra
ufw enable
estado ufw
Por lo tanto, una configuración simple de la "lista blanca" en el firewall puede proteger de manera confiable la correspondencia almacenada en su servidor de correo de la mayoría de los ciberdelincuentes. Sin embargo, no debe confiar únicamente en el firewall mientras garantiza la seguridad de la información del servidor de correo. En el caso de que los atacantes tengan acceso a la red interna de su empresa, o si uno de los empleados de la compañía resulta ser un cibercriminal, es poco probable que limitar las conexiones entrantes ayude.
Upd. Se debe prestar especial atención al puerto 11211, en el que se ejecuta memcached. Es él quien está involucrado en la variedad popular de ataques cibernéticos memcrashd.
Las instrucciones detalladas sobre cómo defenderse contra este ataque están disponibles
en el sitio web oficial de Zimbra Collaboration Suite .
Para todas las preguntas relacionadas con la Suite Zextras, puede contactar al representante de la compañía "Zextras" Katerina Triandafilidi por correo electrónico katerina@zextras.com