Подобряване на настройките за защита на SSL връзката в изданието с отворен код на Zimbra Collaboration Suite

Силата на криптирането е един от най-важните показатели при използване на информационни системи за бизнеса, тъй като всеки ден те участват в прехвърлянето на огромно количество поверителна информация. Общоприето средство за оценка на качеството на SSL връзка е независим тест от Qualys SSL Labs. Тъй като този тест може да бъде проведен от всеки, за доставчиците на SaaS е особено важно да получат възможно най-висок резултат на този тест. Не само SaaS доставчиците, но и обикновените предприятия се грижат за качеството на SSL връзката. За тях този тест е отлична възможност за идентифициране на потенциални уязвимости и предварително затваряне на всички вратички за киберпрестъпниците.

Zimbra OSE позволява два типа SSL сертификати. Първият е самоподписан сертификат, който се добавя автоматично по време на инсталацията. Този сертификат е безплатен и няма ограничение във времето, което го прави идеален за тестване на Zimbra OSE или използването му изключително във вътрешна мрежа. Въпреки това, когато влизат в уеб клиента, потребителите ще видят предупреждение от браузъра, че този сертификат не е надежден и вашият сървър определено ще се провали на теста от Qualys SSL Labs.

Вторият е търговски SSL сертификат, подписан от сертифициращ орган. Такива сертификати се приемат лесно от браузърите и обикновено се използват за търговска употреба на Zimbra OSE. Веднага след правилното инсталиране на търговския сертификат, Zimbra OSE 8.8.15 показва оценка A в теста от Qualys SSL Labs. Това е отличен резултат, но нашата цел е да постигнем резултат A+.

За да постигнете максимален резултат в теста от Qualys SSL Labs, когато използвате Zimbra Collaboration Suite Open-Source Edition, трябва да изпълните няколко стъпки:

1. Повишаване на параметрите на протокола Diffie-Hellman

По подразбиране всички компоненти на Zimbra OSE 8.8.15, които използват OpenSSL, имат настройки на протокола Diffie-Hellman, зададени на 2048 бита. По принцип това е повече от достатъчно, за да получите оценка A+ в теста от Qualys SSL Labs. Ако обаче надграждате от по-стари версии, настройките може да са по-ниски. Ето защо се препоръчва след приключване на актуализацията да изпълните командата zmdhparam set -new 2048, която ще увеличи параметрите на протокола Diffie-Hellman до приемливи 2048 бита и ако желаете, използвайки същата команда, можете да увеличите стойността на параметрите на 3072 или 4096 бита, което от една страна ще доведе до увеличаване на времето за генериране, но от друга страна ще има положителен ефект върху нивото на сигурност на пощенския сървър.

2. Включително препоръчителен списък с използвани шифри

По подразбиране Zimbra Collaborataion Suite Open-Source Edition поддържа широк набор от силни и слаби шифри, които криптират данни, преминаващи през защитена връзка. Използването на слаби шифри обаче е сериозен недостатък при проверка на сигурността на SSL връзка. За да избегнете това, трябва да конфигурирате списъка с използвани шифри.

За да направите това, използвайте командата zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

Тази команда веднага включва набор от препоръчани шифри и благодарение на нея, командата може незабавно да включи надеждни шифри в списъка и да изключи ненадеждните. Сега всичко, което остава, е да рестартирате обратните прокси възли с помощта на командата zmproxyctl restart. След рестартиране направените промени ще влязат в сила.

Ако този списък не ви подхожда по една или друга причина, можете да премахнете редица слаби шифри от него с помощта на командата zmprov mcf +zimbraSSLExcludeCipherSuites. Така например командата zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, което напълно ще премахне използването на RC4 шифри. Същото може да се направи с AES и 3DES шифри.

3. Активирайте HSTS

Активираните механизми за принудително криптиране на връзката и възстановяване на TLS сесия също са необходими за постигане на перфектен резултат в теста на Qualys SSL Labs. За да ги активирате, трябва да въведете командата zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Тази команда ще добави необходимата заглавка към конфигурацията и за да влязат в сила новите настройки, ще трябва да рестартирате Zimbra OSE с помощта на командата zmcontrol рестартиране.

Още на този етап тестът от Qualys SSL Labs ще покаже оценка A+, но ако искате допълнително да подобрите сигурността на вашия сървър, има редица други мерки, които можете да предприемете.

Например, можете да активирате принудително криптиране на междупроцесни връзки и можете също да активирате принудително криптиране, когато се свързвате към услуги на Zimbra OSE. За да проверите междупроцесните връзки, въведете следните команди:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

За да активирате принудително криптиране, трябва да въведете:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

Благодарение на тези команди всички връзки към прокси сървъри и пощенски сървъри ще бъдат криптирани и всички тези връзки ще бъдат проксиирани.

По този начин, следвайки нашите препоръки, можете не само да постигнете най-висок резултат в теста за сигурност на SSL връзката, но и значително да увеличите сигурността на цялата Zimbra OSE инфраструктура.

За всички въпроси, свързани със Zextras Suite, можете да се свържете с представителя на Zextras Екатерина Триандафилиди по имейл [имейл защитен]

Източник: www.habr.com