A forza do cifrado é un dos indicadores máis importantes cando se usan sistemas de información para empresas, porque todos os días están implicados na transferencia dunha gran cantidade de información confidencial. Un medio xeralmente aceptado para avaliar a calidade dunha conexión SSL é unha proba independente de Qualys SSL Labs. Dado que esta proba pode ser executada por calquera persoa, é especialmente importante que os provedores de SaaS obteñan a puntuación máis alta posible nesta proba. Non só os provedores de SaaS, senón tamén as empresas comúns preocúpanse pola calidade da conexión SSL. Para eles, esta proba é unha excelente oportunidade para identificar posibles vulnerabilidades e pechar todas as lagoas para os cibercriminales con antelación.
Zimbra OSE permite dous tipos de certificados SSL. O primeiro é un certificado autoasinado que se engade automaticamente durante a instalación. Este certificado é gratuíto e non ten límite de tempo, polo que é ideal para probar Zimbra OSE ou usalo exclusivamente nunha rede interna. Non obstante, ao iniciar sesión no cliente web, os usuarios verán un aviso do navegador de que este certificado non é de confianza e o teu servidor definitivamente fallará na proba de Qualys SSL Labs.
O segundo é un certificado SSL comercial asinado por unha autoridade de certificación. Estes certificados son facilmente aceptados polos navegadores e adoitan usarse para uso comercial de Zimbra OSE. Inmediatamente despois da instalación correcta do certificado comercial, Zimbra OSE 8.8.15 mostra unha puntuación A na proba de Qualys SSL Labs. Este é un excelente resultado, pero o noso obxectivo é conseguir un resultado A+.
Para acadar a puntuación máxima na proba de Qualys SSL Labs ao usar Zimbra Collaboration Suite Open-Source Edition, debes completar unha serie de pasos:
1. Aumento dos parámetros do protocolo Diffie-Hellman
Por defecto, todos os compoñentes de Zimbra OSE 8.8.15 que usan OpenSSL teñen a configuración do protocolo Diffie-Hellman configurada en 2048 bits. En principio, isto é máis que suficiente para obter unha puntuación A+ na proba de Qualys SSL Labs. Non obstante, se está a actualizar desde versións anteriores, a configuración pode ser inferior. Polo tanto, recoméndase que despois de completar a actualización, execute o comando zmdhparam set -new 2048, o que aumentará os parámetros do protocolo Diffie-Hellman a 2048 bits aceptables e, se o desexa, pode aumentar o mesmo comando. o valor dos parámetros a 3072 ou 4096 bits, o que por unha banda levará a un aumento do tempo de xeración, pero por outra banda terá un efecto positivo no nivel de seguridade do servidor de correo.
2. Incluíndo unha lista recomendada de cifrados empregados
De forma predeterminada, Zimbra Collaborataion Suite Open-Source Edition admite unha ampla gama de cifrados fortes e débiles, que cifran os datos que pasan a través dunha conexión segura. Non obstante, o uso de cifrados débiles é unha grave desvantaxe ao comprobar a seguridade dunha conexión SSL. Para evitar isto, cómpre configurar a lista de cifrados empregados.
Para iso, use o comando zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Este comando inclúe inmediatamente un conxunto de cifrados recomendados e grazas a el, o comando pode incluír inmediatamente cifras fiables na lista e excluír as non fiables. Agora só queda reiniciar os nodos proxy inversos usando o comando de reinicio zmproxyctl. Despois dun reinicio, os cambios realizados terán efecto.
Se esta lista non che convén por un motivo ou outro, podes eliminar dela unha serie de cifras débiles usando o comando zmprov mcf +zimbraSSLExcludeCipherSuites. Así, por exemplo, o comando zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, o que eliminará por completo o uso de cifrados RC4. O mesmo pódese facer con cifrados AES e 3DES.
3. Activa HSTS
Tamén son necesarios mecanismos habilitados para forzar o cifrado da conexión e a recuperación da sesión TLS para acadar unha puntuación perfecta na proba de Qualys SSL Labs. Para activalos debes introducir o comando zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Este comando engadirá a cabeceira necesaria á configuración, e para que a nova configuración teña efecto, terá que reiniciar Zimbra OSE usando o comando zmcontrol reinicio.
Xa nesta fase, a proba de Qualys SSL Labs mostrará unha clasificación A+, pero se queres mellorar aínda máis a seguridade do teu servidor, podes tomar outras medidas.
Por exemplo, pode activar o cifrado forzado de conexións entre procesos e tamén pode activar o cifrado forzado ao conectarse aos servizos Zimbra OSE. Para comprobar as conexións entre procesos, introduza os seguintes comandos:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=truePara activar o cifrado forzado, cómpre introducir:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEGrazas a estes comandos, todas as conexións a servidores proxy e servidores de correo serán cifradas e todas estas conexións serán proxy.
Así, seguindo as nosas recomendacións, non só pode acadar a puntuación máis alta na proba de seguridade de conexión SSL, senón que tamén pode aumentar significativamente a seguridade de toda a infraestrutura Zimbra OSE.
Para todas as preguntas relacionadas con Zextras Suite, pode poñerse en contacto coa representante de Zextras Ekaterina Triandafilidi por correo electrónico [protexido por correo electrónico]
Fonte: www.habr.com