ProHoster > Օրագիր > Վարչակազմը > SSL կապի անվտանգության կարգավորումների բարելավում Zimbra Collaboration Suite Open-Source Edition-ում

SSL կապի անվտանգության կարգավորումների բարելավում Zimbra Collaboration Suite Open-Source Edition-ում

Գաղտնագրման ուժը բիզնեսի համար տեղեկատվական համակարգեր օգտագործելիս ամենակարեւոր ցուցանիշներից մեկն է, քանի որ ամեն օր նրանք ներգրավված են հսկայական քանակությամբ գաղտնի տեղեկատվության փոխանցման մեջ: SSL կապի որակի գնահատման ընդհանուր ընդունված միջոցը Qualys SSL Labs-ի անկախ թեստն է: Քանի որ այս թեստը կարող է վարել յուրաքանչյուրը, հատկապես կարևոր է SaaS պրովայդերների համար այս թեստի առավելագույն հնարավոր միավորը ստանալը: SSL կապի որակի մասին մտածում են ոչ միայն SaaS պրովայդերները, այլև սովորական ձեռնարկությունները։ Նրանց համար այս թեստը հիանալի հնարավորություն է բացահայտելու պոտենցիալ խոցելիությունը և նախապես փակելու բոլոր բացերը կիբերհանցագործների համար։

SSL կապի անվտանգության կարգավորումների բարելավում Zimbra Collaboration Suite Open-Source Edition-ում
Zimbra OSE-ն թույլ է տալիս երկու տեսակի SSL վկայագրեր: Առաջինը ինքնաստորագրված վկայագիր է, որն ավտոմատ կերպով ավելացվում է տեղադրման ժամանակ: Այս վկայագիրը անվճար է և չունի ժամանակային սահմանափակում, ինչը այն դարձնում է իդեալական Zimbra OSE-ի փորձարկման կամ բացառապես ներքին ցանցում օգտագործելու համար: Այնուամենայնիվ, երբ մուտք գործեք վեբ հաճախորդ, օգտատերերը զննարկիչից կտեսնեն նախազգուշացում այն ​​մասին, որ այս վկայագիրը անվստահելի է, և ձեր սերվերը անպայմանորեն չի անցնի Qualys SSL Labs-ի փորձարկումը:

Երկրորդը առևտրային SSL վկայագիր է, որը ստորագրված է սերտիֆիկացման մարմնի կողմից: Նման վկայագրերը հեշտությամբ ընդունվում են բրաուզերների կողմից և սովորաբար օգտագործվում են Zimbra OSE-ի առևտրային օգտագործման համար: Առևտրային վկայագրի ճիշտ տեղադրումից անմիջապես հետո Zimbra OSE 8.8.15-ը ցույց է տալիս A միավոր Qualys SSL Labs-ի թեստի մեջ: Սա գերազանց արդյունք է, բայց մեր նպատակը A+ արդյունքի հասնելն է։

SSL կապի անվտանգության կարգավորումների բարելավում Zimbra Collaboration Suite Open-Source Edition-ում

SSL կապի անվտանգության կարգավորումների բարելավում Zimbra Collaboration Suite Open-Source Edition-ում

Qualys SSL Labs-ի թեստի առավելագույն միավորին հասնելու համար Zimbra Collaboration Suite Open-Source Edition-ն օգտագործելիս դուք պետք է կատարեք մի շարք քայլեր.

1. Diffie-Hellman արձանագրության պարամետրերի ավելացում

Լռելյայնորեն, բոլոր Zimbra OSE 8.8.15 բաղադրիչները, որոնք օգտագործում են OpenSSL-ը, ունեն Diffie-Hellman արձանագրության կարգավորումներ՝ սահմանված 2048 բիթ: Սկզբունքորեն, սա ավելի քան բավարար է Qualys SSL Labs-ի թեստում A+ միավոր ստանալու համար: Այնուամենայնիվ, եթե դուք թարմացնում եք հին տարբերակներից, կարգավորումները կարող են ավելի ցածր լինել: Հետևաբար, խորհուրդ է տրվում թարմացման ավարտից հետո գործարկել zmdhparam set -new 2048 հրամանը, որը կբարձրացնի Diffie-Hellman արձանագրության պարամետրերը մինչև ընդունելի 2048 բիթ, իսկ ցանկության դեպքում՝ օգտագործելով նույն հրամանը, կարող եք ավելացնել: պարամետրերի արժեքը մինչև 3072 կամ 4096 բիթ, ինչը մի կողմից կհանգեցնի գեներացման ժամանակի ավելացման, բայց մյուս կողմից դրական ազդեցություն կունենա փոստային սերվերի անվտանգության մակարդակի վրա:

2. Ներառյալ օգտագործված ծածկագրերի առաջարկվող ցանկը

Լռելյայնորեն, Zimbra Collaborataion Suite Open-Source Edition-ն աջակցում է ուժեղ և թույլ ծածկագրերի լայն շրջանակ, որոնք ծածկագրում են անվտանգ կապով անցնող տվյալները: Այնուամենայնիվ, թույլ ծածկագրերի օգտագործումը լուրջ թերություն է SSL կապի անվտանգությունը ստուգելիս: Դրանից խուսափելու համար անհրաժեշտ է կարգավորել օգտագործվող ծածկագրերի ցանկը:

Դա անելու համար օգտագործեք հրամանը zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

Այս հրամանը անմիջապես ներառում է առաջարկվող ծածկագրերի մի շարք և դրա շնորհիվ հրամանը կարող է անմիջապես ներառել հուսալի ծածկագրերը ցանկում և բացառել անվստահելիները: Այժմ մնում է միայն վերագործարկել հակադարձ պրոքսի հանգույցները՝ օգտագործելով zmproxyctl վերագործարկման հրամանը: Վերագործարկումից հետո կատարված փոփոխություններն ուժի մեջ կմտնեն:

Եթե ​​այս ցանկը ձեզ չի համապատասխանում այս կամ այն ​​պատճառով, դուք կարող եք հեռացնել մի շարք թույլ ծածկագրեր դրանից՝ օգտագործելով հրամանը. zmprov mcf +zimbraSSLExcludeCipherSuites. Այսպիսով, օրինակ, հրամանը zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, որն ամբողջությամբ կվերացնի RC4 ծածկագրերի օգտագործումը։ Նույնը կարելի է անել AES և 3DES ծածկագրերով:

3. Միացնել HSTS-ը

Միացման մեխանիզմները՝ ստիպելու կապի գաղտնագրումը և TLS նստաշրջանի վերականգնումը, նույնպես պահանջվում են Qualys SSL Labs թեստում կատարյալ միավոր ստանալու համար: Դրանք միացնելու համար դուք պետք է մուտքագրեք հրամանը zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Այս հրամանը կավելացնի անհրաժեշտ վերնագիրը կազմաձևում, և որպեսզի նոր կարգավորումներն ուժի մեջ մտնեն, դուք պետք է վերագործարկեք Zimbra OSE-ն՝ օգտագործելով հրամանը: zmcontrol վերագործարկել.

Արդեն այս փուլում Qualys SSL Labs-ի թեստը ցույց կտա A+ վարկանիշը, բայց եթե ցանկանում եք էլ ավելի բարելավել ձեր սերվերի անվտանգությունը, կան մի շարք այլ միջոցներ, որոնք կարող եք ձեռնարկել:

SSL կապի անվտանգության կարգավորումների բարելավում Zimbra Collaboration Suite Open-Source Edition-ում

Օրինակ, դուք կարող եք միացնել միջգործընթացային կապերի հարկադիր գաղտնագրումը, ինչպես նաև կարող եք ակտիվացնել հարկադիր ծածկագրումը Zimbra OSE ծառայություններին միանալիս: Միջգործընթացային կապերը ստուգելու համար մուտքագրեք հետևյալ հրամանները.

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

Հարկադիր կոդավորումը միացնելու համար անհրաժեշտ է մուտքագրել.

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

Այս հրամանների շնորհիվ բոլոր կապերը պրոքսի սերվերների և փոստային սերվերների հետ կգաղտնագրվեն, և այդ բոլոր կապերը կկոդավորվեն:

SSL կապի անվտանգության կարգավորումների բարելավում Zimbra Collaboration Suite Open-Source Edition-ում

Այսպիսով, հետևելով մեր առաջարկություններին, դուք կարող եք ոչ միայն հասնել ամենաբարձր միավորի SSL կապի անվտանգության թեստում, այլև զգալիորեն բարձրացնել Zimbra OSE-ի ողջ ենթակառուցվածքի անվտանգությունը:

Zextras Suite-ի հետ կապված բոլոր հարցերի համար կարող եք կապվել Zextras-ի ներկայացուցիչ Եկատերինա Տրիանդաֆիլիդիի հետ էլ. [էլեկտրոնային փոստով պաշտպանված]

Source: www.habr.com

Добавить комментарий