Geekly articles weekly

如何使用Zimbra在服务器上配置防火墙?

现代网络犯罪分子的主要工具之一是端口扫描程序,借助该程序,他们可以找到容易受到各种漏洞攻击的服务器,然后对其进行攻击。 因此,确保服务器信息安全的主要规则之一就是防火墙的正确配置。 最佳配置的网络流量过滤系统可以抵消大部分网络威胁,而无需使用其他信息安全解决方案

图片

Zimbra积极使用各种网络端口进行外部和系统内连接。 这就是为什么对她来说最理想的选择是在防火墙规则中创建所谓的“白名单”。 也就是说,管理员首先禁止与服务器上任何端口的任何连接,然后仅打开服务器正常运行所必需的那些端口。 正是在这一点上,Zimbra服务器管理员始终面临着应该打开哪些端口以及最好保持不变的问题。 让我们看看使用了哪些端口以及Zimbra使用了哪些端口,以便您更轻松地决定在防火墙中创建自己的白名单。

对于外部连接,Zimbra最多可以使用12个端口,包括:

  • 25个端口用于在postfix中接收邮件
  • 80端口,用于不安全地连接到Zimbra Web客户端
  • 110用于使用POP3协议从远程服务器接收邮件的端口
  • 143 IMAP访问端口
  • 443端口,用于安全连接到Zimbra Web客户端
  • 587连接输入端口
  • 993端口,用于通过IMAP安全访问电子邮件
  • 995端口,用于使用POP3协议安全地接收来自远程服务器的邮件
  • 5222通过XMPP连接到服务器的端口
  • 5223端口,用于通过XMPP安全连接到服务器
  • 9071用于安全连接到管理员控制台的端口

如前所述,除了外部连接之外,在Zimbra Collaboration Suite中,许多内部连接也出现在各个端口上。 因此,将此类端口包括在“白名单”中时,有必要确保只有本地用户才能连接到它们。

  • 389用于不安全LDAP连接的端口
  • 636用于安全LDAP连接的端口
  • 3310用于连接ClamAV防病毒软件的端口
  • 5269使用XMPP协议在同一群集中的服务器之间进行通信的端口
  • 7025用于通过LMTP进行本地邮件交换的端口
  • 7047服务器用于转换附件的端口
  • 7071用于安全访问管理员控制台的端口
  • 7072 Nginx中用于发现和身份验证的端口
  • 7073 SASL中用于发现和认证的端口
  • 7110用于访问内部POP3服务的端口
  • 7143用于访问内部IMAP服务的端口
  • 7171用于访问Zimbra zmconfigd配置守护程序的端口
  • 7306用于访问MySQL的端口
  • 7780用于访问拼写服务的端口
  • 7993端口,用于安全访问内部IMAP服务
  • 7995端口,用于安全访问POP3内部服务
  • 8080用于访问内部HTTP服务的端口
  • 8443用于访问内部HTTPS服务的端口
  • 8735邮箱之间的通信端口
  • 8736用于访问Zextras分布式配置服务的端口
  • 用于Postfix的Amavis通信的10024端口
  • 10025端口,用于与OpenDKIM进行Amavis通信
  • 10026用于配置Amavis策略的端口
  • 带内容过滤器的10028 Amavis通信端口
  • 10029用于访问Postfix存档的端口
  • 10032 Amavis与SpamAssassin垃圾邮件过滤器通信的端口
  • 23232用于访问Amavis内部服务的端口
  • 23233用于访问snmp-responder的端口
  • 11211用于访问memcached的端口

请注意,如果Zimbra仅在一个服务器上工作,则可以使用最少的开放端口集。 但是,如果将Zimbra安装在企业中的多台服务器上,则必须打开14个端口,编号分别为25、80、110、143、443、465、587、993、995、3443、5222、5223、7021、9071 。 此类开放连接的端口集将确保服务器之间的正常交互。 同时,Zimbra管理员始终需要记住,例如,用于访问LDAP的开放端口严重威胁着企业的信息安全。

在Ubuntu中,可以使用标准的“不复杂防火墙”实用程序来完成此操作。 为此,我们首先需要允许来自将要建立连接的子网的连接。 例如,让我们使用以下命令从本地网络连接到服务器:
ufw允许从192.168.1.0/24开始
然后使用连接到Zimbra的规则编辑/etc/ufw/applications.d/zimbra文件,将其转换为以下格式:
[Zimbra]
标题= Zimbra协作服务器
description =用于电子邮件,联系人,日历等的开源服务器。
端口= 25,80,110,143,443,465,587,993,995,3443,5222,5223,7071,9071 / tcp
然后必须执行三个命令,以使我们所做的更改生效:
ufw允许zimbra
ufw启用
ufw状态
因此,防火墙中“白名单”的简单配置就能够可靠地保护您的邮件服务器上存储的通信免受大多数网络罪犯的侵害。 但是,在确保邮件服务器的信息安全性时,您不应该仅依赖防火墙。 如果攻击者可以访问您企业的内部网络,或者该公司的一名员工被证明是网络犯罪分子,那么限制传入连接将无济于事。

更新。 应该特别注意运行memcached的端口11211。 正是他参与了各种被破坏的网络攻击。

Zimbra Collaboration Suite官方网站上提供有关如何防御此攻击的详细说明。

有关Zextras Suite的所有问题,您可以通过电子邮件katerina@zextras.com与“ Zextras” Katerina Triandafilidi公司的代表联系。

Source: https://habr.com/ru/post/zh-CN427729/

More articles:


All Articles