La solidez del cifrado es uno de los indicadores más importantes a la hora de utilizar sistemas de información para empresas, porque cada día se ven involucrados en la transferencia de una gran cantidad de información confidencial. Un medio generalmente aceptado para evaluar la calidad de una conexión SSL es una prueba independiente de Qualys SSL Labs. Dado que cualquier persona puede realizar esta prueba, es especialmente importante que los proveedores de SaaS obtengan la puntuación más alta posible en esta prueba. No sólo los proveedores de SaaS, sino también las empresas comunes se preocupan por la calidad de la conexión SSL. Para ellos, esta prueba es una excelente oportunidad para identificar posibles vulnerabilidades y cerrar de antemano todas las lagunas de los ciberdelincuentes.
Zimbra OSE permite dos tipos de certificados SSL. El primero es un certificado autofirmado que se agrega automáticamente durante la instalación. Este certificado es gratuito y no tiene límite de tiempo, por lo que es ideal para probar Zimbra OSE o utilizarlo exclusivamente dentro de una red interna. Sin embargo, al iniciar sesión en el cliente web, los usuarios verán una advertencia en el navegador indicando que este certificado no es de confianza y su servidor definitivamente no pasará la prueba de Qualys SSL Labs.
El segundo es un certificado SSL comercial firmado por una autoridad certificadora. Estos certificados son fácilmente aceptados por los navegadores y normalmente se utilizan para uso comercial de Zimbra OSE. Inmediatamente después de la correcta instalación del certificado comercial, Zimbra OSE 8.8.15 muestra una puntuación A en la prueba de Qualys SSL Labs. Este es un resultado excelente, pero nuestro objetivo es lograr un resultado A+.
Para lograr la puntuación máxima en la prueba de Qualys SSL Labs al utilizar Zimbra Collaboration Suite Open-Source Edition, debe completar una serie de pasos:
1. Incrementar los parámetros del protocolo Diffie-Hellman.
De forma predeterminada, todos los componentes Zimbra OSE 8.8.15 que usan OpenSSL tienen la configuración del protocolo Diffie-Hellman establecida en 2048 bits. En principio, esto es más que suficiente para obtener una puntuación A+ en la prueba de Qualys SSL Labs. Sin embargo, si está actualizando desde versiones anteriores, la configuración puede ser inferior. Por lo tanto, se recomienda que una vez completada la actualización, ejecute el comando zmdhparam set -new 2048, que aumentará los parámetros del protocolo Diffie-Hellman a unos aceptables 2048 bits y, si lo desea, utilizando el mismo comando, puede aumentar el valor de los parámetros a 3072 o 4096 bits, lo que por un lado aumentará el tiempo de generación, pero por otro lado tendrá un efecto positivo en el nivel de seguridad del servidor de correo.
2. Incluir una lista recomendada de cifrados utilizados.
De forma predeterminada, Zimbra Collaborataion Suite Open-Source Edition admite una amplia gama de cifrados fuertes y débiles, que cifran los datos que pasan a través de una conexión segura. Sin embargo, el uso de cifrados débiles es una seria desventaja a la hora de comprobar la seguridad de una conexión SSL. Para evitar esto, debe configurar la lista de cifrados utilizados.
Para hacer esto, use el comando zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Este comando incluye inmediatamente un conjunto de cifrados recomendados y gracias a él, el comando puede incluir inmediatamente cifrados confiables en la lista y excluir los no confiables. Ahora todo lo que queda es reiniciar los nodos del proxy inverso usando el comando zmproxyctl restart. Después de reiniciar, los cambios realizados entrarán en vigor.
Si esta lista no le conviene por una razón u otra, puede eliminar varios cifrados débiles usando el comando zmprov mcf +zimbraSSLExcludeCipherSuites. Así, por ejemplo, el comando zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, lo que eliminará por completo el uso de cifrados RC4. Lo mismo se puede hacer con los cifrados AES y 3DES.
3. Habilite HSTS
También se requieren mecanismos habilitados para forzar el cifrado de la conexión y la recuperación de la sesión TLS para lograr una puntuación perfecta en la prueba de Qualys SSL Labs. Para habilitarlos debes ingresar el comando zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Este comando agregará el encabezado necesario a la configuración y para que la nueva configuración surta efecto deberá reiniciar Zimbra OSE usando el comando reinicio de zmcontrol.
Ya en esta etapa, la prueba de Qualys SSL Labs mostrará una calificación A+, pero si desea mejorar aún más la seguridad de su servidor, existen otras medidas que puede tomar.
Por ejemplo, puede habilitar el cifrado forzado de conexiones entre procesos y también puede habilitar el cifrado forzado al conectarse a los servicios Zimbra OSE. Para verificar las conexiones entre procesos, ingrese los siguientes comandos:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePara habilitar el cifrado forzado, debe ingresar:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGracias a estos comandos, todas las conexiones a servidores proxy y servidores de correo se cifrarán y todas estas conexiones serán proxy.
Por lo tanto, siguiendo nuestras recomendaciones, no solo podrá lograr la puntuación más alta en la prueba de seguridad de la conexión SSL, sino también aumentar significativamente la seguridad de toda la infraestructura Zimbra OSE.
Para todas las preguntas relacionadas con Zextras Suite, puede comunicarse con el Representante de Zextras Ekaterina Triandafilidi por correo electrónico [email protected]
Fuente: habr.com