Snaga enkripcije jedan je od najvažnijih pokazatelja pri korištenju informacijskih sustava za poslovanje, jer su oni svakodnevno uključeni u prijenos ogromne količine povjerljivih informacija. Općeprihvaćeni način procjene kvalitete SSL veze je neovisni test Qualys SSL Labsa. Budući da ovaj test može pokrenuti bilo tko, osobito je važno za SaaS pružatelje da dobiju najveću moguću ocjenu na ovom testu. O kvaliteti SSL veze brinu ne samo pružatelji usluga SaaS, već i obična poduzeća. Za njih je ovaj test izvrsna prilika da identificiraju potencijalne ranjivosti i unaprijed zatvore sve rupe u zakonu za kibernetičke kriminalce.
Zimbra OSE dopušta dvije vrste SSL certifikata. Prvi je samopotpisani certifikat koji se automatski dodaje tijekom instalacije. Ovaj je certifikat besplatan i nema vremensko ograničenje, što ga čini idealnim za testiranje Zimbra OSE-a ili korištenje isključivo unutar interne mreže. Međutim, prilikom prijave na web klijent, korisnici će vidjeti upozorenje preglednika da ovaj certifikat nije pouzdan, a vaš poslužitelj definitivno neće pasti na testu Qualys SSL Labs.
Drugi je komercijalni SSL certifikat potpisan od strane certifikacijskog tijela. Takve certifikate preglednici lako prihvaćaju i obično se koriste za komercijalnu upotrebu Zimbra OSE-a. Odmah nakon ispravne instalacije komercijalnog certifikata, Zimbra OSE 8.8.15 pokazuje ocjenu A u testu Qualys SSL Labs. Ovo je izvrstan rezultat, ali cilj nam je postići A+ rezultat.
Kako biste postigli maksimalan rezultat u testu Qualys SSL Labsa kada koristite Zimbra Collaboration Suite Open-Source Edition, morate izvršiti nekoliko koraka:
1. Povećanje parametara Diffie-Hellman protokola
Prema zadanim postavkama, sve komponente Zimbra OSE 8.8.15 koje koriste OpenSSL imaju postavke Diffie-Hellman protokola postavljene na 2048 bita. U principu, to je više nego dovoljno da dobijete ocjenu A+ na testu Qualys SSL Labs. Međutim, ako nadograđujete sa starijih verzija, postavke mogu biti niže. Stoga je preporučljivo nakon dovršetka ažuriranja pokrenuti naredbu zmdhparam set -new 2048 koja će povećati parametre Diffie-Hellman protokola na prihvatljivih 2048 bita, a po želji istom naredbom možete povećati vrijednost parametara na 3072 ili 4096 bita, što će s jedne strane dovesti do povećanja vremena generiranja, ali će s druge strane imati pozitivan učinak na razinu sigurnosti poslužitelja pošte.
2. Uključujući preporučeni popis korištenih šifri
Prema zadanim postavkama, Zimbra Collaborataion Suite Open-Source Edition podržava širok raspon jakih i slabih šifri, koje šifriraju podatke koji prolaze preko sigurne veze. Međutim, korištenje slabih šifara ozbiljan je nedostatak prilikom provjere sigurnosti SSL veze. Kako biste to izbjegli, trebate konfigurirati popis korištenih šifri.
Da biste to učinili, koristite naredbu zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ova naredba odmah uključuje skup preporučenih šifri i zahvaljujući njoj, naredba može odmah uključiti pouzdane šifre u popis i isključiti one nepouzdane. Sada sve što preostaje je ponovno pokrenuti obrnute proxy čvorove pomoću naredbe zmproxyctl restart. Nakon ponovnog pokretanja, promjene će stupiti na snagu.
Ako vam ovaj popis ne odgovara iz ovog ili onog razloga, možete ukloniti niz slabih šifara s njega pomoću naredbe zmprov mcf +zimbraSSLExcludeCipherSuites. Tako, na primjer, naredba zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, što će u potpunosti eliminirati korištenje RC4 šifri. Isto se može učiniti s AES i 3DES šiframa.
3. Omogućite HSTS
Omogućeni mehanizmi za prisilno šifriranje veze i oporavak TLS sesije također su potrebni za postizanje savršenog rezultata u testu Qualys SSL Labs. Da biste ih omogućili morate unijeti naredbu zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ova naredba će konfiguraciji dodati potrebno zaglavlje, a da bi nove postavke stupile na snagu morat ćete ponovno pokrenuti Zimbra OSE pomoću naredbe zmcontrol ponovno pokretanje.
Već u ovoj fazi, test iz Qualys SSL Labsa pokazat će ocjenu A+, no ako želite dodatno poboljšati sigurnost svog poslužitelja, postoji niz drugih mjera koje možete poduzeti.
Na primjer, možete omogućiti prisilnu enkripciju međuprocesnih veza, a također možete omogućiti prisilnu enkripciju prilikom povezivanja na Zimbra OSE usluge. Za provjeru međuprocesnih veza unesite sljedeće naredbe:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueDa biste omogućili prisilnu enkripciju, morate unijeti:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEZahvaljujući ovim naredbama, sve veze s proxy poslužiteljima i poslužiteljima e-pošte bit će šifrirane, a sve će te veze biti proxy.
Stoga, slijedeći naše preporuke, ne samo da možete postići najvišu ocjenu u testu sigurnosti SSL veze, već i značajno povećati sigurnost cijele Zimbra OSE infrastrukture.
Za sva pitanja vezana uz Zextras Suite možete kontaktirati predstavnicu Zextrasa Ekaterinu Triandafilidi putem e-maila [e-pošta zaštićena]
Izvor: www.habr.com