25 October 2018

Как правильно настроить Firewall на сервере с Zimbra?

Zextras corporate blogInformation Security
Одним из основных орудий современного киберпреступника является сканер портов, благодаря которому они находят подверженные тем или иным уязвимостям серверы, а затем атакуют их. Именно поэтому одним из главных правил обеспечения информационной безопасности сервера является грамотная настройка брандмауэра. Оптимально настроенная система фильтрации сетевого трафика способна нейтрализовать львиную долю киберугроз без применения других ИБ-решений

image

Zimbra активно использует различные сетевые порты как для внешних, так и для внутрисистемных подключений. Именно поэтому наиболее оптимальным для нее станет создание так называемого «Белого списка» в правилах брандмауэра. То есть администратор сперва запрещает любые подключения к каким-либо портам на сервере, а затем открывает лишь те, которые необходимы для нормальной работы сервера. И именно на этом этапе администратор сервера Zimbra неизменно сталкивается с вопросом о том, какие порты следует открыть, а какие лучше всего не трогать. Давайте посмотрим, какие порты и для чего использует Zimbra, чтобы вам было проще принимать решение о составлении собственного «белого списка» в брандмауэре.

Для внешних подключений Zimbra может использовать до 12 портов, среди которых:

  • 25 Порт для входящей почты в postfix
  • 80 Порт для незащищенного подключения к веб-клиенту Zimbra
  • 110 Порт для получения почты с удалённого сервера по протоколу POP3
  • 143 Порт для доступа к электронной почте по протоколу IMAP
  • 443 Порт для защищенного подключения к веб-клиенту Zimbra
  • 587 Порт для входящей почты с защитой соединения
  • 993 Порт для защищенного доступа к электронной почте по протоколу IMAP
  • 995 Порт для защищенного получения почты с удалённого сервера по протоколу POP3
  • 5222 Порт для подключения к серверу по протоколу XMPP
  • 5223 Порт для защищенного подключения к серверу по протоколу XMPP
  • 9071 Порт для защищенного подключения к администраторской консоли

Как уже было упомянуто, помимо внешних подключений, в Zimbra Collaboration Suite осуществляется и масса внутренних подключений, которые также происходят на различных портах. Поэтому при включении таких портов в «белый список» стоит следить за тем, чтобы возможность подключения к ним была только у локальных пользователей.

  • 389 Порт для незащищенного подключения к LDAP
  • 636 Порт для защищенного подключения к LDAP
  • 3310 Порт для подключения к антивирусу ClamAV
  • 5269 Порт для общения между серверами, находящимися в одном кластере по протоколу XMPP
  • 7025 Порт для локального обмена почтой по протоколу LMTP
  • 7047 Порт, используемый сервером для конвертирования вложений
  • 7071 Порт для защищенного доступа к администраторской консоли
  • 7072 Порт для обнаружения и аутентификации в nginx
  • 7073 Порт для обнаружения и аутентификации в SASL
  • 7110 Порт для доступа к внутренним службам POP3
  • 7143 Порт для доступа к внутренним службам IMAP
  • 7171 Порт для доступа к демону конфигурации Zimbra zmconfigd
  • 7306 Порт для доступа к MySQL
  • 7780 Порт для доступа к службе проверки правописания
  • 7993 Порт для защищенного доступа к внутренним службам IMAP
  • 7995 Порт для защищенного доступа к внутренним службам POP3
  • 8080 Порт для доступа к внутренним службам HTTP
  • 8443 Порт для доступа к внутренним службам HTTPS
  • 8735 Порт для общения между почтовыми ящиками
  • 8736 Порт для доступа к службе распределенной настройки Zextras
  • 10024 Порт для общения Amavis с Postfix
  • 10025 Порт для общения Amavis с OpenDKIM
  • 10026 Порт для настройки политик Amavis
  • 10028 Порт для общения Amavis с фильтром контента
  • 10029 Порт для доступа к архивам Postfix
  • 10032 Порт для общения Amavis со спам-фильтром SpamAssassin
  • 23232 Порт для доступа к внутренним службам Amavis
  • 23233 Порт для доступа к snmp-responder
  • 11211 Порт для доступа к memcached

Отметим, что если в случае, когда Zimbra работает только на одном сервере, можно обойтись минимальным набором открытых портов. Но если на вашем предприятии Zimbra установлена на несколько серверов, то вам придется открыть 14 портов с номерами 25, 80, 110, 143, 443, 465, 587, 993, 995, 3443, 5222, 5223, 7071, 9071. Такой набор открытых для подключения портов обеспечит нормальное взаимодействие между серверами. При этом администратору Zimbra всегда необходимо помнить, что, к примеру, открытый порт для доступа к LDAP, является серьезной угрозой для информационной безопасности предприятия.

В Ubuntu это можно сделать при помощи стандартной утилиты Uncomplicated Firewall. Для этого нам сперва надо разрешить подключения из подсетей, к которым будет происходить подключение. Например, разрешим подключения к серверу из локальной сети командой:
ufw allow from 192.168.1.0/24
А затем отредактируем файл /etc/ufw/applications.d/zimbra с правилами для подключения к Zimbra, чтобы привести его к следующему виду:
[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=25,80,110,143,443,465,587,993,995,3443,5222,5223,7071,9071/tcp
Затем необходимо выполнить три команды для того, чтобы внесенные нами изменения вступили в силу:
ufw allow Zimbra
ufw enable
ufw status
Таким образом, простая настройка «белого списка» в брандмауэре способна надежно защитить хранящуюся на вашем почтовом сервере переписку от большинства киберпреступников. Тем не менее, рассчитывать только на брандмауэр при обеспечении информационной безопасности почтового сервера не стоит. В том случае, если злоумышленники получат доступ к внутренней сети вашего предприятия, или киберпреступником окажется один из сотрудников компании, ограничение входящих подключений вряд ли поможет.

Upd. Особое внимание следует уделить внимание порту 11211, на котором работает memcached. Именно он задействован в популярной разновидности кибератак memcrashd.

Подробная инструкция о том, как защититься от данной атаки имеется на официальном сайте Zimbra Collaboration Suite.

По всем вопросам, связанными c Zextras Suite вы можете обратиться к Представителю компании «Zextras» Катерине Триандафилиди по электронной почте katerina@zextras.com
Tags:Zimbraэлектронная почтаинформационная безопасностьбрандмауэрfirewall
Hubs: Zextras corporate blog Information Security
+3
6.1k 19
Comments 4