Uma das principais ferramentas de um criminoso cibernético moderno é o scanner de portas, graças ao qual eles encontram servidores suscetíveis a várias vulnerabilidades e os atacam. É por isso que uma das principais regras para garantir a segurança das informações do servidor é a configuração adequada do firewall. Um sistema de filtragem de tráfego de rede configurado de maneira ideal pode neutralizar a maior parte das ameaças cibernéticas sem o uso de outras soluções de segurança da informação
O Zimbra usa ativamente várias portas de rede para conexões externas e intra-sistema. É por isso que o melhor para ela será a criação da chamada "Lista Branca" nas regras do firewall. Ou seja, o administrador proíbe primeiro as conexões com as portas do servidor e, em seguida, abre apenas aquelas necessárias para a operação normal do servidor. E é nesse ponto que o administrador do servidor Zimbra invariavelmente enfrenta a questão de quais portas devem ser abertas e quais devem ser deixadas intocadas. Vamos ver quais portas são usadas e o que o Zimbra usa para facilitar a decisão de criar sua própria lista de permissões no firewall.
Para conexões externas, o Zimbra pode usar até 12 portas, incluindo:
- Porta 25 para correio recebido no postfix
- Porta 80 para conexão insegura com o cliente Web Zimbra
- Porta 110 para receber e-mails de um servidor remoto usando o protocolo POP3
- 143 Porta de acesso IMAP
- Porta 443 para conexão segura com o Zimbra Web Client
- 587 Porta de entrada de conexão
- Porta 993 para acesso seguro a email via IMAP
- Porta 995 para receber com segurança mensagens de um servidor remoto usando o protocolo POP3
- 5222 Porta para conexão ao servidor via XMPP
- Porta 5223 para conexão segura ao servidor via XMPP
- Porta 9071 para conexão segura ao console do administrador
Como já mencionado, além das conexões externas, no Zimbra Collaboration Suite existem muitas conexões internas que também ocorrem em várias portas. Portanto, ao incluir essas portas na “lista branca”, vale a pena garantir que apenas usuários locais possam se conectar a elas.
- 389 Porta para conexão LDAP insegura
- Porta 636 para conexão LDAP segura
- Porta 3310 para conectar-se ao antivírus ClamAV
- 5269 Porta para comunicação entre servidores localizados no mesmo cluster usando o protocolo XMPP
- Porta 7025 para troca de correio local via LMTP
- Porta 7047 usada pelo servidor para converter anexos
- Porta 7071 para acesso seguro ao console do administrador
- Porta 7072 para descoberta e autenticação no nginx
- Porta 7073 para descoberta e autenticação em SASL
- Porta 7110 para acesso a serviços POP3 internos
- Porta 7143 para acesso a serviços IMAP internos
- 7171 Porta para acesso ao daemon de configuração zimbra zmconfigd
- Porta 7306 para acesso ao MySQL
- Porta 7780 para acesso ao serviço de ortografia
- Porta 7993 para acesso seguro a serviços IMAP internos
- Porta 7995 para acesso seguro aos serviços internos POP3
- Porta 8080 para acesso a serviços HTTP internos
- Porta 8443 para acesso aos serviços HTTPS internos
- Porta 8735 para comunicação entre caixas de correio
- Porta 8736 para acesso ao serviço de configuração distribuída Zextras
- Porta 10024 para comunicação do Amavis com o Postfix
- Porta 10025 para comunicação do Amavis com o OpenDKIM
- Porta 10026 para configurar políticas do Amavis
- Porta de comunicação 10028 Amavis com filtro de conteúdo
- Porta 10029 para acessar arquivos Postfix
- Porta 10032 para comunicação do Amavis com o filtro de spam SpamAssassin
- Porta 23232 para acesso aos serviços internos do Amavis
- Porta 23233 para acesso ao snmp-respondedor
- 11211 Porta para acesso ao memcached
Observe que, se o Zimbra funcionar em apenas um servidor, você poderá fazer um conjunto mínimo de portas abertas. Mas se o Zimbra estiver instalado em vários servidores da sua empresa, você deverá abrir 14 portas com os números
25, 80, 110, 143, 443, 465, 587, 993, 995, 3443, 5222, 5223, 7071, 9071 . Esse conjunto de portas abertas para conexão garantirá a interação normal entre os servidores. Ao mesmo tempo, o administrador do Zimbra sempre precisa lembrar que, por exemplo, uma porta aberta para acesso ao LDAP é uma séria ameaça à segurança das informações de uma empresa.
No Ubuntu, isso pode ser feito usando o utilitário padrão Uncomplicated Firewall. Para fazer isso, primeiro precisamos permitir conexões das sub-redes às quais a conexão ocorrerá. Por exemplo, vamos nos conectar ao servidor a partir da rede local usando o comando:
ufw allow from 192.168.1.0/24
E edite o arquivo /etc/ufw/applications.d/zimbra com as regras para conectar-se ao Zimbra para trazê-lo para o seguinte formato:
[Zimbra]
title = Servidor de colaboração Zimbra
description = Servidor de código aberto para email, contatos, calendário e muito mais.
ports = 25,80,110,143,443,465,587,993,995,3443,5222,5223,7071,9071 / tcp
Então é necessário executar três comandos para que as alterações feitas por nós entrem em vigor:
ufw allow zimbra
habilitar ufw
status ufw
Assim, uma configuração simples da “lista branca” no firewall pode proteger de forma confiável a correspondência armazenada no servidor de correio da maioria dos criminosos cibernéticos. No entanto, você não deve confiar apenas no firewall, garantindo a segurança das informações do servidor de email. No caso de invasores obterem acesso à rede interna da sua empresa, ou se um dos funcionários da empresa for um cibercriminoso, é improvável que limitar as conexões recebidas.
Upd. Atenção especial deve ser dada à porta 11211, na qual o memcached está em execução. É ele quem está envolvido na variedade popular de ataques cibernéticos memcrashd.
Instruções detalhadas sobre como se defender contra esse ataque estão disponíveis
no site oficial do Zimbra Collaboration Suite .
Para todas as perguntas relacionadas ao Zextras Suite, você pode entrar em contato com o representante da empresa "Zextras" Katerina Triandafilidi pelo e-mail katerina@zextras.com