A titkosítás erőssége az egyik legfontosabb mutató az információs rendszerek üzleti célú használata során, mivel nap mint nap hatalmas mennyiségű bizalmas információ továbbításában vesznek részt. Az SSL-kapcsolat minőségének felmérésére általánosan elfogadott módszer a Qualys SSL Labs független tesztje. Mivel ezt a tesztet bárki lefuttathatja, különösen fontos, hogy a SaaS-szolgáltatók a lehető legmagasabb pontszámot kapják ezen a teszten. Nemcsak a SaaS-szolgáltatók, hanem a hétköznapi vállalkozások is törődnek az SSL-kapcsolat minőségével. Számukra ez a teszt kiváló alkalom arra, hogy azonosítsák a potenciális sebezhetőségeket, és előre bezárják az összes kiskaput a kiberbűnözők előtt.
A Zimbra OSE kétféle SSL-tanúsítványt tesz lehetővé. Az első egy önaláírt tanúsítvány, amely a telepítés során automatikusan hozzáadódik. Ez a tanúsítvány ingyenes, és nincs időkorlátja, így ideális a Zimbra OSE teszteléséhez vagy kizárólag belső hálózaton belüli használatához. A webkliensbe való bejelentkezéskor azonban a felhasználók figyelmeztetést kapnak a böngészőtől, hogy ez a tanúsítvány nem megbízható, és a szerver biztosan megbukik a Qualys SSL Labs tesztjén.
A második egy hitelesítő hatóság által aláírt kereskedelmi SSL-tanúsítvány. Az ilyen tanúsítványokat a böngészők könnyen elfogadják, és általában a Zimbra OSE kereskedelmi használatra használják. Közvetlenül a kereskedelmi tanúsítvány megfelelő telepítése után a Zimbra OSE 8.8.15 A pontszámot mutat a Qualys SSL Labs tesztjében. Ez kiváló eredmény, de célunk az A+ eredmény elérése.
A Qualys SSL Labs tesztjének maximális pontszámának eléréséhez a Zimbra Collaboration Suite Open-Source Edition használatakor több lépést kell végrehajtania:
1. A Diffie-Hellman protokoll paramétereinek növelése
Alapértelmezés szerint az OpenSSL-t használó Zimbra OSE 8.8.15 összes összetevője a Diffie-Hellman protokoll beállításai 2048 bitre vannak állítva. Ez elvileg több mint elég ahhoz, hogy A+ pontszámot érjen el a Qualys SSL Labs tesztjén. Ha azonban régebbi verzióról frissít, a beállítások alacsonyabbak lehetnek. Ezért azt javasoljuk, hogy a frissítés befejezése után futtassa a zmdhparam set -new 2048 parancsot, amely a Diffie-Hellman protokoll paramétereit elfogadható 2048 bitre növeli, és ha szükséges, ugyanezzel a paranccsal növelheti a paraméterek értéke 3072 vagy 4096 bit, ami egyrészt a generálási idő növekedéséhez vezet, másrészt pozitív hatással lesz a levelezőszerver biztonsági szintjére.
2. A használt titkosítások ajánlott listája
A Zimbra Collaborataion Suite Open-Source Edition alapértelmezés szerint az erős és gyenge titkosítások széles skáláját támogatja, amelyek titkosítják a biztonságos kapcsolaton áthaladó adatokat. A gyenge titkosítások használata azonban komoly hátrányt jelent az SSL-kapcsolat biztonságának ellenőrzésekor. Ennek elkerülése érdekében konfigurálnia kell a használt titkosítások listáját.
Ehhez használja a parancsot zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ez a parancs azonnal tartalmazza az ajánlott titkosítások készletét, és ennek köszönhetően a parancs azonnal felveszi a megbízható rejtjeleket a listába, és kizárja a megbízhatatlanokat. Most már csak a fordított proxy csomópontok újraindítása marad a zmproxyctl restart parancs segítségével. Újraindítás után a változtatások életbe lépnek.
Ha ez a lista valamilyen okból nem felel meg Önnek, akkor a paranccsal eltávolíthat belőle néhány gyenge titkosítást. zmprov mcf +zimbraSSLExcludeCipherSuites
. Tehát például a parancs zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA
, amely teljesen kiküszöböli az RC4 titkosítások használatát. Ugyanezt meg lehet tenni AES és 3DES titkosítással is.
3. Engedélyezze a HSTS-t
A Qualys SSL Labs tesztben a tökéletes pontszám eléréséhez a kapcsolat titkosításának és a TLS munkamenet-helyreállításának kikényszerítésére szolgáló engedélyezett mechanizmusokra is szükség van. Ezek engedélyezéséhez be kell írnia a parancsot zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000"
. Ez a parancs hozzáadja a szükséges fejlécet a konfigurációhoz, és az új beállítások életbe léptetéséhez újra kell indítani a Zimbra OSE-t a paranccsal zmcontrol indítsa újra.
A Qualys SSL Labs tesztje már ebben a szakaszban A+ besorolást fog mutatni, de ha tovább szeretné javítani szervere biztonságát, számos egyéb intézkedést is megtehet.
Például engedélyezheti a folyamatok közötti kapcsolatok kényszerített titkosítását, és a Zimbra OSE-szolgáltatásokhoz való csatlakozáskor is engedélyezheti a kényszerített titkosítást. A folyamatok közötti kapcsolatok ellenőrzéséhez írja be a következő parancsokat:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true
A kényszerített titkosítás engedélyezéséhez be kell írnia:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE
Ezeknek a parancsoknak köszönhetően a proxyszerverekhez és levelezőszerverekhez fűződő összes kapcsolat titkosítva lesz, és ezek a kapcsolatok proxyval lesznek ellátva.
Így ajánlásainkat követve nem csak az SSL kapcsolatbiztonsági tesztben érheti el a legmagasabb pontszámot, hanem jelentősen növelheti a teljes Zimbra OSE infrastruktúra biztonságát is.
A Zextras Suite szolgáltatással kapcsolatos minden kérdésével forduljon a Zextras képviselőjéhez, Ekaterina Triandafilidihez e-mailben. [e-mail védett]
Forrás: will.com