قدرت رمزگذاری یکی از مهمترین شاخص ها هنگام استفاده از سیستم های اطلاعاتی برای تجارت است، زیرا هر روز درگیر انتقال حجم عظیمی از اطلاعات محرمانه هستند. یک ابزار عمومی پذیرفته شده برای ارزیابی کیفیت اتصال SSL یک آزمایش مستقل از آزمایشگاه Qualys SSL است. از آنجایی که این آزمون می تواند توسط هر کسی اجرا شود، کسب بالاترین امتیاز ممکن در این آزمون برای ارائه دهندگان SaaS بسیار مهم است. نه تنها ارائه دهندگان SaaS، بلکه شرکت های معمولی نیز به کیفیت اتصال SSL اهمیت می دهند. برای آنها، این آزمایش فرصتی عالی برای شناسایی آسیبپذیریهای احتمالی و بستن تمام راههای گریز برای مجرمان سایبری است.
Zimbra OSE اجازه دو نوع گواهینامه SSL را می دهد. اولی یک گواهی امضا شده است که به طور خودکار در حین نصب اضافه می شود. این گواهینامه رایگان است و محدودیت زمانی ندارد، بنابراین برای آزمایش Zimbra OSE یا استفاده از آن منحصراً در یک شبکه داخلی ایده آل است. با این حال، هنگام ورود به سرویس گیرنده وب، کاربران هشداری از مرورگر مبنی بر غیرقابل اعتماد بودن این گواهی را مشاهده خواهند کرد و سرور شما قطعاً در آزمون Qualys SSL Labs مردود خواهد شد.
دومی یک گواهی تجاری SSL است که توسط یک مرجع صدور گواهینامه امضا شده است. چنین گواهینامه هایی به راحتی توسط مرورگرها پذیرفته می شوند و معمولاً برای استفاده تجاری از Zimbra OSE استفاده می شوند. بلافاصله پس از نصب صحیح گواهی تجاری، Zimbra OSE 8.8.15 نمره A را در آزمون Qualys SSL Labs نشان می دهد. این یک نتیجه عالی است، اما هدف ما رسیدن به یک نتیجه A+ است.
برای به دست آوردن حداکثر امتیاز در آزمون از Qualys SSL Labs هنگام استفاده از Zimbra Collaboration Suite نسخه منبع باز، باید تعدادی از مراحل را انجام دهید:
1. افزایش پارامترهای پروتکل Diffie-Hellman
بهطور پیشفرض، همه مؤلفههای Zimbra OSE 8.8.15 که از OpenSSL استفاده میکنند، تنظیمات پروتکل Diffie-Hellman را روی 2048 بیت تنظیم کردهاند. در اصل، این برای گرفتن نمره A+ در آزمون از آزمایشگاه Qualys SSL بیش از اندازه کافی است. با این حال، اگر از نسخه های قدیمی تر ارتقا می دهید، ممکن است تنظیمات پایین تر باشد. بنابراین توصیه می شود پس از اتمام آپدیت دستور zmdhparam set -new 2048 را اجرا کنید که با این کار پارامترهای پروتکل Diffie-Hellman به 2048 بیت قابل قبول می رسد و در صورت تمایل با استفاده از همین دستور می توانید آن را افزایش دهید. مقدار پارامترها به 3072 یا 4096 بیت می رسد که از یک طرف منجر به افزایش زمان تولید می شود اما از طرف دیگر تأثیر مثبتی بر سطح امنیت میل سرور خواهد داشت.
2. شامل لیست توصیه شده از رمزهای استفاده شده
بهطور پیشفرض، Zimbra Collaborataion Suite نسخه منبع باز از طیف گستردهای از رمزهای قوی و ضعیف پشتیبانی میکند که دادههایی را که از طریق یک اتصال امن عبور میکنند رمزگذاری میکنند. با این حال، استفاده از رمزهای ضعیف یک نقطه ضعف جدی در هنگام بررسی امنیت یک اتصال SSL است. برای جلوگیری از این امر، باید لیست رمزهای استفاده شده را پیکربندی کنید.
برای این کار از دستور استفاده کنید zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
این دستور بلافاصله شامل مجموعه ای از رمزهای پیشنهادی می شود و به لطف آن، دستور می تواند بلافاصله رمزهای قابل اعتماد را در لیست قرار دهد و رمزهای غیر قابل اعتماد را حذف کند. اکنون تنها چیزی که باقی می ماند این است که گره های پروکسی معکوس را با استفاده از دستور راه اندازی مجدد zmproxyctl راه اندازی مجدد کنید. پس از راه اندازی مجدد، تغییرات ایجاد شده اعمال خواهند شد.
اگر این لیست به دلایلی مناسب شما نیست، می توانید با استفاده از دستور تعدادی رمز ضعیف را از آن حذف کنید. zmprov mcf +zimbraSSLExcludeCipherSuites
. بنابراین، برای مثال، دستور zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA
، که استفاده از رمزهای RC4 را به طور کامل حذف می کند. همین کار را می توان با رمزهای AES و 3DES انجام داد.
3. HSTS را فعال کنید
مکانیسم های فعال برای اجبار رمزگذاری اتصال و بازیابی جلسه TLS نیز برای دستیابی به امتیاز کامل در آزمون Qualys SSL Labs مورد نیاز است. برای فعال کردن آنها باید دستور را وارد کنید zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"
. این دستور هدر لازم را به پیکربندی اضافه می کند و برای اعمال تنظیمات جدید باید با استفاده از دستور Zimbra OSE را مجددا راه اندازی کنید. zmcontrol راه اندازی مجدد.
در حال حاضر در این مرحله، تست Qualys SSL Labs رتبه A+ را نشان می دهد، اما اگر می خواهید امنیت سرور خود را بیشتر کنید، تعدادی اقدامات دیگر وجود دارد که می توانید انجام دهید.
برای مثال، میتوانید رمزگذاری اجباری اتصالات بین فرآیندی را فعال کنید، و همچنین میتوانید رمزگذاری اجباری را هنگام اتصال به سرویسهای Zimbra OSE فعال کنید. برای بررسی اتصالات بین پردازشی، دستورات زیر را وارد کنید:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true
برای فعال کردن رمزگذاری اجباری باید وارد کنید:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE
به لطف این دستورات، تمام اتصالات به سرورهای پروکسی و سرورهای پستی رمزگذاری شده و همه این اتصالات پروکسی خواهند شد.
بنابراین، پیروی از توصیه های ما، نه تنها می توانید بالاترین امتیاز را در آزمون امنیت اتصال SSL به دست آورید، بلکه امنیت کل زیرساخت Zimbra OSE را نیز به میزان قابل توجهی افزایش دهید.
برای تمامی سوالات مربوط به سوئیت Zextras می توانید از طریق ایمیل با نماینده Zextras Ekaterina Triandafilidi تماس بگیرید. [ایمیل محافظت شده]
منبع: www.habr.com