Krüptimise tugevus on infosüsteemide äritegevuses kasutamisel üks olulisemaid näitajaid, sest iga päev on nad seotud tohutu hulga konfidentsiaalse teabe edastamisega. Üldtunnustatud vahend SSL-ühenduse kvaliteedi hindamiseks on Qualys SSL Labsi sõltumatu test. Kuna seda testi saab läbi viia igaüks, on SaaS-i pakkujate jaoks eriti oluline saada sellel testil võimalikult kõrge punktisumma. SSL-ühenduse kvaliteedist ei hooli mitte ainult SaaS-i pakkujad, vaid ka tavalised ettevõtted. Nende jaoks on see test suurepärane võimalus tuvastada võimalikud haavatavused ja sulgeda kõik küberkurjategijate jaoks ette nähtud lüngad.
Zimbra OSE võimaldab kahte tüüpi SSL-sertifikaate. Esimene on iseallkirjastatud sertifikaat, mis lisatakse installimise ajal automaatselt. See sertifikaat on tasuta ja sellel pole ajapiirangut, mistõttu on see ideaalne Zimbra OSE testimiseks või kasutamiseks ainult sisevõrgus. Veebikliendisse sisse logides näevad kasutajad aga brauseri hoiatust, et see sertifikaat on ebausaldusväärne ja teie server ebaõnnestub kindlasti Qualys SSL Labsi testis.
Teine on kaubanduslik SSL-sertifikaat, mille on allkirjastanud sertifitseerimisasutus. Selliseid sertifikaate aktsepteerivad brauserid kergesti ja neid kasutatakse tavaliselt Zimbra OSE äriliseks kasutamiseks. Vahetult pärast kaubandusliku sertifikaadi õiget installimist näitab Zimbra OSE 8.8.15 Qualys SSL Labsi testis A-skoori. See on suurepärane tulemus, kuid meie eesmärk on saavutada A+ tulemus.
Qualys SSL Labsi testis maksimaalse punktisumma saavutamiseks Zimbra Collaboration Suite'i avatud lähtekoodiga väljaande kasutamisel peate läbima mitu sammu.
1. Diffie-Hellmani protokolli parameetrite suurendamine
Vaikimisi on kõigil OpenSSL-i kasutavatel Zimbra OSE 8.8.15 komponentidel Diffie-Hellmani protokolli sätted seatud 2048 bitti. Põhimõtteliselt on see enam kui piisav, et saada Qualys SSL Labsi testis A+ hind. Kui aga uuendate vanematelt versioonidelt, võivad sätted olla madalamad. Seetõttu on soovitatav pärast värskenduse lõpetamist käivitada käsk zmdhparam set -new 2048, mis suurendab Diffie-Hellmani protokolli parameetreid vastuvõetava 2048 bitini ja soovi korral saate sama käsu abil suurendada parameetrite väärtuseks 3072 või 4096 bitti, mis ühelt poolt toob kaasa genereerimisaja pikenemise, kuid teisalt avaldab positiivset mõju meiliserveri turvatasemele.
2. Kaasa arvatud soovitatav nimekiri kasutatud šifritest
Vaikimisi toetab Zimbra Collaborataion Suite avatud lähtekoodiga väljaanne laia valikut tugevaid ja nõrku šifreid, mis krüpteerivad turvalise ühenduse kaudu edastatavaid andmeid. Nõrkade šifrite kasutamine on aga SSL-ühenduse turvalisuse kontrollimisel tõsine puudus. Selle vältimiseks peate konfigureerima kasutatavate šifrite loendi.
Selleks kasutage käsku zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
See käsk sisaldab koheselt soovitatavate šifrite komplekti ja tänu sellele saab käsk kohe loendisse lisada usaldusväärsed šifrid ja välistada ebausaldusväärsed. Nüüd jääb üle vaid pöördpuhverserveri sõlmed taaskäivitada, kasutades käsku zmproxyctl restart. Pärast taaskäivitamist jõustuvad tehtud muudatused.
Kui see loend teile ühel või teisel põhjusel ei sobi, saate käsuga eemaldada sellest hulga nõrku šifreid zmprov mcf +zimbraSSLExcludeCipherSuites. Nii näiteks käsk zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, mis välistab täielikult RC4 šifrite kasutamise. Sama saab teha ka AES ja 3DES šifritega.
3. Lubage HSTS
Qualys SSL Labsi testis ideaalse tulemuse saavutamiseks on vaja ka lubatud mehhanisme ühenduse krüptimise ja TLS-i seansi taastamiseks. Nende lubamiseks peate sisestama käsu zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". See käsk lisab konfiguratsioonile vajaliku päise ja uute sätete jõustumiseks peate Zimbra OSE taaskäivitama käsuga zmcontrol taaskäivitage.
Juba selles etapis näitab Qualys SSL Labsi test A+ reitingut, kuid kui soovite oma serveri turvalisust veelgi parandada, võite võtta mitmeid muid meetmeid.
Näiteks saate lubada protsessidevaheliste ühenduste sundkrüptimise ja Zimbra OSE teenustega ühenduse loomisel saate lubada ka sundkrüptimise. Protsessidevaheliste ühenduste kontrollimiseks sisestage järgmised käsud:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueSundkrüptimise lubamiseks peate sisestama:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUETänu nendele käskudele krüpteeritakse kõik ühendused puhverserverite ja meiliserveritega ning kõik need ühendused puhverserveriga.
Seega, järgides meie soovitusi, saate mitte ainult saavutada SSL-ühenduse turvatestis kõrgeima punktisumma, vaid ka suurendada oluliselt kogu Zimbra OSE infrastruktuuri turvalisust.
Kõigi Zextras Suite'i puudutavate küsimuste korral võite pöörduda Zextras esindaja Ekaterina Triandafilidi poole e-posti teel [meiliga kaitstud]
Allikas: www.habr.com