تعد قوة التشفير من أهم المؤشرات عند استخدام أنظمة المعلومات للأعمال، لأنها تشارك كل يوم في نقل كمية هائلة من المعلومات السرية. إحدى الوسائل المقبولة عمومًا لتقييم جودة اتصال SSL هي اختبار مستقل تجريه مختبرات Qualys SSL. نظرًا لأنه يمكن لأي شخص إجراء هذا الاختبار، فمن المهم بشكل خاص لموفري SaaS أن يحصلوا على أعلى درجة ممكنة في هذا الاختبار. لا يهتم موفرو SaaS فحسب، بل تهتم المؤسسات العادية أيضًا بجودة اتصال SSL. بالنسبة لهم، يعد هذا الاختبار فرصة ممتازة لتحديد نقاط الضعف المحتملة وإغلاق جميع الثغرات أمام مجرمي الإنترنت مسبقًا.
يسمح Zimbra OSE بنوعين من شهادات SSL. الأول هو شهادة موقعة ذاتيًا تتم إضافتها تلقائيًا أثناء التثبيت. هذه الشهادة مجانية وليس لها حد زمني، مما يجعلها مثالية لاختبار Zimbra OSE أو استخدامها حصريًا داخل شبكة داخلية. ومع ذلك، عند تسجيل الدخول إلى عميل الويب، سيرى المستخدمون تحذيرًا من المتصفح بأن هذه الشهادة غير موثوقة، وسيفشل خادمك بالتأكيد في الاختبار الذي تجريه Qualys SSL Labs.
والثاني هو شهادة SSL تجارية موقعة من قبل سلطة التصديق. يتم قبول هذه الشهادات بسهولة بواسطة المتصفحات ويتم استخدامها عادةً للاستخدام التجاري لـ Zimbra OSE. مباشرة بعد التثبيت الصحيح للشهادة التجارية، يُظهر Zimbra OSE 8.8.15 درجة A في اختبار Qualys SSL Labs. هذه نتيجة ممتازة، ولكن هدفنا هو الحصول على نتيجة A+.
من أجل تحقيق أقصى درجة في الاختبار من Qualys SSL Labs عند استخدام Zimbra Collaboration Suite Open-Source Edition، يجب عليك إكمال عدد من الخطوات:
1. زيادة معلمات بروتوكول ديفي هيلمان
افتراضيًا، تحتوي جميع مكونات Zimbra OSE 8.8.15 التي تستخدم OpenSSL على إعدادات بروتوكول Diffie-Hellman مضبوطة على 2048 بت. من حيث المبدأ، يعد هذا أكثر من كافٍ للحصول على درجة A+ في الاختبار الذي تجريه مختبرات Qualys SSL. ومع ذلك، إذا كنت تقوم بالترقية من الإصدارات الأقدم، فقد تكون الإعدادات أقل. لذلك، يوصى بعد اكتمال التحديث، بتشغيل الأمر zmdhparam set -new 2048، والذي سيزيد معلمات بروتوكول Diffie-Hellman إلى 2048 بت مقبولة، وإذا رغبت في ذلك، باستخدام نفس الأمر، يمكنك زيادة قيمة المعلمات إلى 3072 أو 4096 بت، والتي من ناحية ستؤدي إلى زيادة وقت الإنشاء، ولكن من ناحية أخرى سيكون لها تأثير إيجابي على مستوى الأمان لخادم البريد.
2. بما في ذلك قائمة الموصى بها من الأصفار المستخدمة
افتراضيًا، يدعم Zimbra Collaborataion Suite Open-Source Edition مجموعة واسعة من الأصفار القوية والضعيفة، التي تقوم بتشفير البيانات التي تمر عبر اتصال آمن. ومع ذلك، فإن استخدام الأصفار الضعيفة يعد عيبًا خطيرًا عند التحقق من أمان اتصال SSL. لتجنب ذلك، تحتاج إلى تكوين قائمة الأصفار المستخدمة.
للقيام بذلك، استخدم الأمر zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
يتضمن هذا الأمر على الفور مجموعة من الأصفار الموصى بها وبفضله، يمكن للأمر تضمين الأصفار الموثوقة على الفور في القائمة واستبعاد الأصفار غير الموثوقة. الآن كل ما تبقى هو إعادة تشغيل عقد الوكيل العكسي باستخدام أمر إعادة تشغيل zmproxyctl. بعد إعادة التشغيل، ستصبح التغييرات التي تم إجراؤها سارية المفعول.
إذا كانت هذه القائمة لا تناسبك لسبب أو لآخر، فيمكنك إزالة عدد من الأصفار الضعيفة منها باستخدام الأمر zmprov mcf +zimbraSSLExcludeCipherSuites. لذلك، على سبيل المثال، الأمر zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA، مما سيؤدي إلى القضاء تمامًا على استخدام شفرات RC4. ويمكن فعل الشيء نفسه مع شفرات AES و3DES.
3. تمكين HSTS
مطلوب أيضًا وجود آليات ممكنة لفرض تشفير الاتصال واسترداد جلسة TLS لتحقيق درجة مثالية في اختبار Qualys SSL Labs. لتمكينهم يجب عليك إدخال الأمر zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". سيضيف هذا الأمر الرأس اللازم إلى التكوين، ولكي تدخل الإعدادات الجديدة حيز التنفيذ، سيتعين عليك إعادة تشغيل Zimbra OSE باستخدام الأمر إعادة تشغيل zmcontrol.
بالفعل في هذه المرحلة، سيُظهر الاختبار الذي أجرته Qualys SSL Labs تصنيف A+، ولكن إذا كنت ترغب في تحسين أمان خادمك بشكل أكبر، فهناك عدد من الإجراءات الأخرى التي يمكنك اتخاذها.
على سبيل المثال، يمكنك تمكين التشفير القسري للاتصالات بين العمليات، كما يمكنك أيضًا تمكين التشفير القسري عند الاتصال بخدمات Zimbra OSE. للتحقق من الاتصالات بين العمليات، أدخل الأوامر التالية:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueلتمكين التشفير القسري، عليك إدخال:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEبفضل هذه الأوامر، سيتم تشفير جميع الاتصالات بالخوادم الوكيلة وخوادم البريد، وسيتم إنشاء جميع هذه الاتصالات بالوكالة.
وبالتالي، باتباع توصياتنا، لا يمكنك تحقيق أعلى الدرجات في اختبار أمان اتصال SSL فحسب، بل يمكنك أيضًا زيادة أمان البنية التحتية لـ Zimbra OSE بالكامل بشكل كبير.
لجميع الأسئلة المتعلقة بـ Zextras Suite ، يمكنك الاتصال بممثل Zextras Ekaterina Triandafilidi عن طريق البريد الإلكتروني [البريد الإلكتروني محمي]
المصدر: www.habr.com