Η ισχύς της κρυπτογράφησης είναι ένας από τους πιο σημαντικούς δείκτες κατά τη χρήση πληροφοριακών συστημάτων για επιχειρήσεις, επειδή καθημερινά εμπλέκονται στη μεταφορά ενός τεράστιου όγκου εμπιστευτικών πληροφοριών. Ένα γενικά αποδεκτό μέσο για την αξιολόγηση της ποιότητας μιας σύνδεσης SSL είναι μια ανεξάρτητη δοκιμή από την Qualys SSL Labs. Δεδομένου ότι αυτή η δοκιμή μπορεί να εκτελεστεί από οποιονδήποτε, είναι ιδιαίτερα σημαντικό για τους παρόχους SaaS να λάβουν την υψηλότερη δυνατή βαθμολογία σε αυτήν τη δοκιμή. Όχι μόνο οι πάροχοι SaaS, αλλά και οι απλές επιχειρήσεις ενδιαφέρονται για την ποιότητα της σύνδεσης SSL. Για αυτούς, αυτό το τεστ είναι μια εξαιρετική ευκαιρία να εντοπίσουν πιθανές ευπάθειες και να κλείσουν εκ των προτέρων όλα τα κενά για τους εγκληματίες του κυβερνοχώρου.
Το Zimbra OSE επιτρέπει δύο τύπους πιστοποιητικών SSL. Το πρώτο είναι ένα αυτο-υπογεγραμμένο πιστοποιητικό που προστίθεται αυτόματα κατά την εγκατάσταση. Αυτό το πιστοποιητικό είναι δωρεάν και δεν έχει χρονικό όριο, καθιστώντας το ιδανικό για τη δοκιμή Zimbra OSE ή τη χρήση του αποκλειστικά σε εσωτερικό δίκτυο. Ωστόσο, κατά τη σύνδεση στο πρόγραμμα-πελάτη Ιστού, οι χρήστες θα δουν μια προειδοποίηση από το πρόγραμμα περιήγησης ότι αυτό το πιστοποιητικό δεν είναι αξιόπιστο και ο διακομιστής σας θα αποτύχει σίγουρα στη δοκιμή από τα Qualys SSL Labs.
Το δεύτερο είναι ένα εμπορικό πιστοποιητικό SSL υπογεγραμμένο από μια αρχή πιστοποίησης. Τέτοια πιστοποιητικά γίνονται εύκολα αποδεκτά από προγράμματα περιήγησης και συνήθως χρησιμοποιούνται για εμπορική χρήση του Zimbra OSE. Αμέσως μετά τη σωστή εγκατάσταση του εμπορικού πιστοποιητικού, το Zimbra OSE 8.8.15 εμφανίζει βαθμολογία Α στο τεστ από την Qualys SSL Labs. Αυτό είναι ένα εξαιρετικό αποτέλεσμα, αλλά στόχος μας είναι να πετύχουμε ένα αποτέλεσμα Α+.
Για να επιτύχετε τη μέγιστη βαθμολογία στο τεστ από τα Qualys SSL Labs όταν χρησιμοποιείτε το Zimbra Collaboration Suite Open-Source Edition, πρέπει να ολοκληρώσετε μια σειρά βημάτων:
1. Αύξηση των παραμέτρων του πρωτοκόλλου Diffie-Hellman
Από προεπιλογή, όλα τα στοιχεία Zimbra OSE 8.8.15 που χρησιμοποιούν OpenSSL έχουν ρυθμίσεις πρωτοκόλλου Diffie-Hellman σε 2048 bit. Κατ 'αρχήν, αυτό είναι περισσότερο από αρκετό για να λάβετε βαθμολογία A+ στο τεστ από τα Qualys SSL Labs. Ωστόσο, εάν κάνετε αναβάθμιση από παλαιότερες εκδόσεις, οι ρυθμίσεις ενδέχεται να είναι χαμηλότερες. Επομένως, συνιστάται μετά την ολοκλήρωση της ενημέρωσης, να εκτελέσετε την εντολή zmdhparam set -new 2048, η οποία θα αυξήσει τις παραμέτρους του πρωτοκόλλου Diffie-Hellman σε αποδεκτά 2048 bit και εάν θέλετε, χρησιμοποιώντας την ίδια εντολή, μπορείτε να αυξήσετε την τιμή των παραμέτρων στα 3072 ή 4096 bit, τα οποία αφενός θα οδηγήσουν σε αύξηση του χρόνου παραγωγής, αλλά αφετέρου θα έχουν θετική επίδραση στο επίπεδο ασφάλειας του διακομιστή αλληλογραφίας.
2. Συμπεριλαμβανομένης μιας προτεινόμενης λίστας κρυπτογράφησης που χρησιμοποιούνται
Από προεπιλογή, το Zimbra Collaborataion Suite Open-Source Edition υποστηρίζει ένα ευρύ φάσμα ισχυρών και αδύναμων κρυπτογράφησης, οι οποίοι κρυπτογραφούν δεδομένα που περνούν μέσω μιας ασφαλούς σύνδεσης. Ωστόσο, η χρήση αδύναμων κρυπτογράφησης είναι ένα σοβαρό μειονέκτημα κατά τον έλεγχο της ασφάλειας μιας σύνδεσης SSL. Για να αποφύγετε αυτό, πρέπει να διαμορφώσετε τη λίστα των κρυπτογράφησης που χρησιμοποιούνται.
Για να το κάνετε αυτό, χρησιμοποιήστε την εντολή zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Αυτή η εντολή περιλαμβάνει αμέσως ένα σύνολο προτεινόμενων κρυπτογράφησης και χάρη σε αυτήν, η εντολή μπορεί να συμπεριλάβει αμέσως αξιόπιστους κρυπτογράφησης στη λίστα και να αποκλείσει αναξιόπιστους. Τώρα το μόνο που μένει είναι να κάνετε επανεκκίνηση των αντίστροφων κόμβων διακομιστή μεσολάβησης χρησιμοποιώντας την εντολή επανεκκίνησης zmproxyctl. Μετά από επανεκκίνηση, οι αλλαγές που έγιναν θα τεθούν σε ισχύ.
Εάν αυτή η λίστα δεν σας ταιριάζει για τον ένα ή τον άλλο λόγο, μπορείτε να αφαιρέσετε έναν αριθμό αδύναμων κρυπτογράφησης από αυτήν χρησιμοποιώντας την εντολή zmprov mcf +zimbraSSLExcludeCipherSuites. Έτσι, για παράδειγμα, η εντολή zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, το οποίο θα εξαλείψει εντελώς τη χρήση κρυπτογράφησης RC4. Το ίδιο μπορεί να γίνει με κρυπτογράφηση AES και 3DES.
3. Ενεργοποιήστε το HSTS
Απαιτούνται επίσης ενεργοποιημένοι μηχανισμοί για την επιβολή κρυπτογράφησης σύνδεσης και ανάκτηση περιόδου σύνδεσης TLS για την επίτευξη τέλειας βαθμολογίας στη δοκιμή Qualys SSL Labs. Για να τα ενεργοποιήσετε πρέπει να εισαγάγετε την εντολή zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Αυτή η εντολή θα προσθέσει την απαραίτητη κεφαλίδα στη διαμόρφωση και για να τεθούν σε ισχύ οι νέες ρυθμίσεις θα πρέπει να επανεκκινήσετε το Zimbra OSE χρησιμοποιώντας την εντολή Επανεκκίνηση zmcontrol.
Ήδη σε αυτό το στάδιο, το τεστ από τα Qualys SSL Labs θα δείξει βαθμολογία A+, αλλά αν θέλετε να βελτιώσετε περαιτέρω την ασφάλεια του διακομιστή σας, μπορείτε να λάβετε μια σειρά από άλλα μέτρα.
Για παράδειγμα, μπορείτε να ενεργοποιήσετε την αναγκαστική κρυπτογράφηση των συνδέσεων μεταξύ διεργασιών και μπορείτε επίσης να ενεργοποιήσετε την αναγκαστική κρυπτογράφηση κατά τη σύνδεση σε υπηρεσίες Zimbra OSE. Για να ελέγξετε τις συνδέσεις μεταξύ διεργασιών, πληκτρολογήστε τις ακόλουθες εντολές:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueΓια να ενεργοποιήσετε την αναγκαστική κρυπτογράφηση, πρέπει να εισαγάγετε:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEΧάρη σε αυτές τις εντολές, όλες οι συνδέσεις με διακομιστές μεσολάβησης και διακομιστές αλληλογραφίας θα είναι κρυπτογραφημένες και όλες αυτές οι συνδέσεις θα εκτελούνται μέσω διακομιστή μεσολάβησης.
Έτσι, ακολουθώντας τις συστάσεις μας, μπορείτε όχι μόνο να επιτύχετε την υψηλότερη βαθμολογία στη δοκιμή ασφάλειας σύνδεσης SSL, αλλά και να αυξήσετε σημαντικά την ασφάλεια ολόκληρης της υποδομής του Zimbra OSE.
Για όλες τις ερωτήσεις που σχετίζονται με το Zextras Suite, μπορείτε να επικοινωνήσετε με την Εκπρόσωπο της Zextras Αικατερίνα Τριανταφυλλίδη μέσω e-mail [προστασία μέσω email]
Πηγή: www.habr.com