Síla šifrování je jedním z nejdůležitějších ukazatelů při používání informačních systémů pro podnikání, protože každý den jsou zapojeny do přenosu obrovského množství důvěrných informací. Obecně přijímaným prostředkem pro hodnocení kvality připojení SSL je nezávislý test od Qualys SSL Labs. Vzhledem k tomu, že tento test může spustit kdokoli, je obzvláště důležité, aby poskytovatelé SaaS získali v tomto testu co nejvyšší skóre. Na kvalitě SSL připojení dbají nejen poskytovatelé SaaS, ale i běžné podniky. Pro ně je tento test vynikající příležitostí, jak identifikovat potenciální zranitelnosti a předem uzavřít všechny mezery pro kyberzločince.
Zimbra OSE umožňuje dva typy certifikátů SSL. Prvním je certifikát s vlastním podpisem, který je automaticky přidán během instalace. Tento certifikát je zdarma a není časově omezen, takže je ideální pro testování Zimbra OSE nebo jeho použití výhradně v interní síti. Při přihlášení do webového klienta však uživatelé uvidí upozornění prohlížeče, že tento certifikát je nedůvěryhodný, a váš server rozhodně neprojde testem od Qualys SSL Labs.
Druhým je komerční SSL certifikát podepsaný certifikační autoritou. Takové certifikáty jsou snadno přijímány prohlížeči a obvykle se používají pro komerční použití Zimbra OSE. Ihned po správné instalaci komerčního certifikátu ukazuje Zimbra OSE 8.8.15 skóre A v testu od Qualys SSL Labs. To je vynikající výsledek, ale naším cílem je dosáhnout výsledku A+.
Abyste dosáhli maximálního skóre v testu od Qualys SSL Labs při používání Zimbra Collaboration Suite Open-Source Edition, musíte provést několik kroků:
1. Zvýšení parametrů protokolu Diffie-Hellman
Ve výchozím nastavení mají všechny komponenty Zimbra OSE 8.8.15, které používají OpenSSL, nastavení protokolu Diffie-Hellman nastaveno na 2048 bitů. V zásadě je to více než dost na to, abyste získali skóre A+ v testu od Qualys SSL Labs. Pokud však upgradujete ze starších verzí, může být nastavení nižší. Proto se doporučuje po dokončení aktualizace spustit příkaz zmdhparam set -new 2048, který zvýší parametry protokolu Diffie-Hellman na přijatelných 2048 bitů a v případě potřeby pomocí stejného příkazu můžete zvýšit hodnotu parametrů na 3072 nebo 4096 bitů, což na jedné straně povede k prodloužení doby generování, ale na druhé straně bude mít pozitivní vliv na úroveň zabezpečení poštovního serveru.
2. Včetně doporučeného seznamu použitých šifer
Zimbra Collaborataion Suite Open-Source Edition standardně podporuje širokou škálu silných a slabých šifer, které šifrují data procházející přes zabezpečené připojení. Použití slabých šifer je však vážnou nevýhodou při kontrole bezpečnosti SSL připojení. Abyste tomu zabránili, musíte nakonfigurovat seznam použitých šifer.
Chcete-li to provést, použijte příkaz zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Tento příkaz okamžitě obsahuje sadu doporučených šifer a díky němu může příkaz okamžitě zařadit do seznamu spolehlivé šifry a vyloučit nespolehlivé. Nyní zbývá pouze restartovat uzly reverzního proxy pomocí příkazu zmproxyctl restart. Po restartu se provedené změny projeví.
Pokud vám tento seznam z toho či onoho důvodu nevyhovuje, můžete z něj odstranit řadu slabých šifer pomocí příkazu zmprov mcf +zimbraSSLExcludeCipherSuites. Tedy například příkaz zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, což zcela vyloučí používání šifer RC4. Totéž lze provést se šiframi AES a 3DES.
3. Povolte HSTS
K dosažení perfektního skóre v testu Qualys SSL Labs jsou také vyžadovány povolené mechanismy pro vynucení šifrování připojení a obnovení relace TLS. Chcete-li je povolit, musíte zadat příkaz zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Tento příkaz přidá do konfigurace nezbytnou hlavičku a aby se nové nastavení projevilo, budete muset restartovat Zimbra OSE pomocí příkazu restartování zmcontrol.
Již v této fázi bude test od Qualys SSL Labs ukazovat hodnocení A+, ale pokud chcete zabezpečení svého serveru dále zlepšit, existuje řada dalších opatření, která můžete podniknout.
Můžete například povolit vynucené šifrování meziprocesových připojení a také můžete povolit vynucené šifrování při připojování ke službám Zimbra OSE. Chcete-li zkontrolovat meziprocesová spojení, zadejte následující příkazy:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueChcete-li povolit vynucené šifrování, musíte zadat:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDíky těmto příkazům budou všechna připojení k proxy serverům a poštovním serverům šifrována a všechna tato připojení budou proxy.
Podle našich doporučení tak můžete nejen dosáhnout nejvyššího skóre v testu zabezpečení připojení SSL, ale také výrazně zvýšit bezpečnost celé infrastruktury Zimbra OSE.
Se všemi dotazy týkajícími se Zextras Suite můžete kontaktovat zástupkyni Zextras Ekaterinu Triandafilidi e-mailem [chráněno e-mailem]
Zdroj: www.habr.com