L'un des principaux outils d'un cybercriminel moderne est un scanner de ports, grâce auquel ils trouvent des serveurs sensibles à diverses vulnérabilités, puis les attaquent. C'est pourquoi l'une des principales règles pour assurer la sécurité des informations du serveur est la bonne configuration du pare-feu. Un système de filtrage du trafic réseau configuré de manière optimale peut neutraliser la part du lion des cybermenaces sans utiliser d'autres solutions de sécurité de l'information
Zimbra utilise activement divers ports réseau pour les connexions externes et intra-système. C'est pourquoi le plus optimal pour elle sera la création de la soi-disant «liste blanche» dans les règles du pare-feu. Autrement dit, l'administrateur interdit d'abord toutes les connexions à tous les ports sur le serveur, puis ouvre uniquement ceux qui sont nécessaires au fonctionnement normal du serveur. Et c'est à ce stade que l'administrateur du serveur Zimbra est invariablement confronté à la question de savoir quels ports doivent être ouverts et lesquels doivent être laissés intacts. Voyons quels ports sont utilisés et ce que Zimbra utilise pour vous permettre de décider plus facilement de créer votre propre liste blanche dans le pare-feu.
Pour les connexions externes, Zimbra peut utiliser jusqu'à 12 ports, notamment:
- 25 ports pour le courrier entrant en suffixe
- 80 Port pour une connexion non sécurisée au client Web Zimbra
- 110 Port pour recevoir du courrier d'un serveur distant en utilisant le protocole POP3
- 143 Port d'accès IMAP
- Port 443 pour une connexion sécurisée à Zimbra Web Client
- 587 Port d' entrée de connexion
- Port 993 pour un accès sécurisé aux e-mails via IMAP
- 995 Port pour recevoir en toute sécurité le courrier d'un serveur distant en utilisant le protocole POP3
- 5222 Port pour la connexion au serveur via XMPP
- 5223 Port pour une connexion sécurisée au serveur via XMPP
- Port 9071 pour une connexion sécurisée à la console administrateur
Comme déjà mentionné, en plus des connexions externes, dans Zimbra Collaboration Suite, il existe de nombreuses connexions internes qui se produisent également sur différents ports. Par conséquent, lors de l'inclusion de ces ports dans la «liste blanche», il convient de s'assurer que seuls les utilisateurs locaux peuvent s'y connecter.
- 389 Port pour connexion LDAP non sécurisée
- 636 Port pour une connexion LDAP sécurisée
- Port 3310 pour la connexion à l'antivirus ClamAV
- 5269 Port pour la communication entre les serveurs situés dans le même cluster à l'aide du protocole XMPP
- 7025 Port pour l'échange de courrier local via LMTP
- 7047 Port utilisé par le serveur pour convertir les pièces jointes
- Port 7071 pour un accès sécurisé à la console administrateur
- 7072 Port de découverte et d'authentification dans nginx
- 7073 Port de découverte et d'authentification en SASL
- 7110 Port pour l'accès aux services internes POP3
- 7143 Port pour l'accès aux services IMAP internes
- 7171 Port d'accès au démon de configuration Zimbra zmconfigd
- 7306 Port pour l'accès à MySQL
- 7780 Port d'accès au service d'orthographe
- 7993 Port pour un accès sécurisé aux services IMAP internes
- 7995 Port pour un accès sécurisé aux services internes POP3
- Port 8080 pour l'accès aux services HTTP internes
- 8443 Port pour l'accès aux services HTTPS internes
- 8735 Port pour la communication entre les boîtes aux lettres
- 8736 Port pour l'accès au service de configuration distribué Zextras
- 10024 Port pour communication Amavis avec Postfix
- 10025 Port pour communication Amavis avec OpenDKIM
- 10026 Port pour configurer les politiques Amavis
- 10028 Port de communication Amavis avec filtre de contenu
- 10029 Port pour accéder aux archives Postfix
- 10032 Port pour la communication d'Amavis avec le filtre anti-spam SpamAssassin
- 23232 Port d'accès aux services internes d'Amavis
- 23233 Port d'accès à snmp-responder
- 11211 Port d'accès à memcached
Notez que si dans le cas où Zimbra fonctionne sur un seul serveur, vous pouvez le faire avec un ensemble minimum de ports ouverts. Mais si Zimbra est installé sur plusieurs serveurs de votre entreprise, vous devrez ouvrir 14 ports avec les numéros
25, 80, 110, 143, 443, 465, 587, 993, 995, 3443, 5222, 5223, 7071, 9071 . Un tel ensemble de ports ouverts pour la connexion garantira une interaction normale entre les serveurs. Dans le même temps, l'administrateur Zimbra doit toujours se rappeler que, par exemple, un port ouvert pour accéder à LDAP est une menace sérieuse pour la sécurité des informations d'une entreprise.
Dans Ubuntu, cela peut être fait à l'aide de l'utilitaire standard de pare-feu simple. Pour ce faire, nous devons d'abord autoriser les connexions à partir des sous-réseaux vers lesquels la connexion aura lieu. Par exemple, connectons-nous au serveur à partir du réseau local à l'aide de la commande:
ufw autorise à partir de 192.168.1.0/24
Ensuite, modifiez le fichier /etc/ufw/applications.d/zimbra avec les règles de connexion à Zimbra pour l'amener sous la forme suivante:
[Zimbra]
title = Zimbra Collaboration Server
description = serveur open source pour les e-mails, les contacts, le calendrier, etc.
ports = 25,80,110,143,443,465,587,993,995,3443,5222,5223,7071,9071 / tcp
Ensuite, il est nécessaire d'exécuter trois commandes pour que les modifications apportées par nous prennent effet:
ufw permettre zimbra
ufw enable
statut ufw
Ainsi, une configuration simple de la «liste blanche» dans le pare-feu est en mesure de protéger de manière fiable la correspondance stockée sur votre serveur de messagerie contre la plupart des cybercriminels. Cependant, vous ne devez pas vous fier uniquement au pare-feu tout en garantissant la sécurité des informations du serveur de messagerie. Dans le cas où les attaquants auraient accès au réseau interne de votre entreprise, ou si l'un des employés de l'entreprise se révèle être un cybercriminel, limiter les connexions entrantes est peu susceptible d'aider.
Upd. Une attention particulière doit être accordée au port 11211, sur lequel memcached fonctionne. C'est lui qui est impliqué dans la variété populaire des cyber-attaques memcrashd.
Des instructions détaillées sur la manière de se défendre contre cette attaque sont disponibles
sur le site Web officiel de Zimbra Collaboration Suite .
Pour toutes questions relatives à la Suite Zextras, vous pouvez contacter le représentant de Zextras Katerina Triandafilidi par e-mail katerina@zextras.com