🥇שיפור הגדרות האבטחה של חיבור SSL ב-Zimbra Collaboration Suite מהדורת קוד פתוח

חוזק ההצפנה הוא אחד המדדים החשובים ביותר בעת שימוש במערכות מידע לעסקים, מכיוון שבכל יום הם מעורבים בהעברת כמות עצומה של מידע סודי. אמצעי מקובל להערכת איכות חיבור SSL הוא בדיקה עצמאית של Qualys SSL Labs. מכיוון שמבחן זה יכול להיות מופעל על ידי כל אחד, חשוב במיוחד לספקי SaaS לקבל את הציון הגבוה ביותר האפשרי במבחן זה. לא רק לספקי SaaS, אלא גם לארגונים רגילים אכפת מאיכות חיבור ה-SSL. עבורם, הבדיקה הזו היא הזדמנות מצוינת לזהות נקודות תורפה פוטנציאליות ולסגור מראש את כל הפרצות עבור פושעי הסייבר.

Zimbra OSE מאפשר שני סוגים של תעודות SSL. הראשון הוא אישור בחתימה עצמית שמתווסף אוטומטית במהלך ההתקנה. אישור זה הוא חינמי ואין לו הגבלת זמן, מה שהופך אותו לאידיאלי עבור בדיקת Zimbra OSE או שימוש בו אך ורק בתוך רשת פנימית. עם זאת, בעת כניסה ללקוח האינטרנט, המשתמשים יראו אזהרה מהדפדפן כי אישור זה אינו מהימן, והשרת שלך בהחלט ייכשל בבדיקה ממעבדות Qualys SSL.

השני הוא תעודת SSL מסחרית חתומה על ידי רשות אישורים. אישורים כאלה מתקבלים בקלות על ידי דפדפנים והם משמשים בדרך כלל לשימוש מסחרי של Zimbra OSE. מיד לאחר ההתקנה הנכונה של התעודה המסחרית, Zimbra OSE 8.8.15 מציג ציון A במבחן של Qualys SSL Labs. זו תוצאה מצוינת, אבל המטרה שלנו היא להגיע לתוצאה A+.

על מנת להשיג את הציון המקסימלי במבחן ממעבדות Qualys SSL בעת שימוש ב-Zimbra Collaboration Suite-מהדורת קוד פתוח, עליך לבצע מספר שלבים:

1. הגדלת הפרמטרים של פרוטוקול דיפי-הלמן

כברירת מחדל, לכל רכיבי Zimbra OSE 8.8.15 המשתמשים ב-OpenSSL הגדרות פרוטוקול Diffie-Hellman מוגדרות ל-2048 סיביות. באופן עקרוני, זה די והותר כדי לקבל ציון A+ במבחן ממעבדות Qualys SSL. עם זאת, אם אתה משדרג מגרסאות ישנות יותר, ייתכן שההגדרות יהיו נמוכות יותר. לכן, מומלץ לאחר השלמת העדכון להפעיל את הפקודה zmdhparam set -new 2048, שתגדיל את הפרמטרים של פרוטוקול דיפי-הלמן ל-2048 סיביות מקובלים, ואם תרצה, באמצעות אותה פקודה, תוכל להגדיל ערך הפרמטרים ל-3072 או 4096 סיביות, מה שמצד אחד יוביל להגדלת זמן היצירה, אך מצד שני ישפיע לטובה על רמת האבטחה של שרת הדואר.

2. כולל רשימה מומלצת של צפנים בשימוש

כברירת מחדל, מהדורת קוד פתוח של Zimbra Collabortaion Suite תומכת במגוון רחב של צפנים חזקים וחלשים, המצפינים נתונים העוברים דרך חיבור מאובטח. עם זאת, השימוש בצפנים חלשים הוא חיסרון רציני בעת בדיקת האבטחה של חיבור SSL. כדי להימנע מכך, עליך להגדיר את רשימת הצפנים בשימוש.

כדי לעשות זאת, השתמש בפקודה zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

פקודה זו כוללת מיד קבוצה של צפנים מומלצים ובזכותה, הפקודה יכולה לכלול מיד צפנים מהימנים ברשימה ולא לכלול כאלה שאינם אמינים. כעת כל מה שנותר הוא להפעיל מחדש את צמתי ה-proxy ההפוך באמצעות פקודת zmproxyctl restart. לאחר אתחול מחדש, השינויים שבוצעו ייכנסו לתוקף.

אם רשימה זו אינה מתאימה לך מסיבה זו או אחרת, תוכל להסיר ממנה מספר צפנים חלשים באמצעות הפקודה zmprov mcf +zimbraSSLExcludeCipherSuites. אז, למשל, הפקודה zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, מה שיבטל לחלוטין את השימוש בצפני RC4. ניתן לעשות את אותו הדבר עם צפני AES ו-3DES.

3. אפשר HSTS

גם מנגנונים מופעלים לכפות הצפנת חיבור ושחזור הפעלה של TLS נדרשים כדי להשיג ציון מושלם במבחן Qualys SSL Labs. כדי להפעיל אותם עליך להזין את הפקודה zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". פקודה זו תוסיף את הכותרת הדרושה לתצורה, וכדי שההגדרות החדשות ייכנסו לתוקף תצטרך להפעיל מחדש את Zimbra OSE באמצעות הפקודה הפעלה מחדש של zmcontrol.

כבר בשלב זה, הבדיקה של Qualys SSL Labs תציג דירוג A+, אך אם תרצו לשפר עוד יותר את האבטחה של השרת שלכם, ישנם מספר אמצעים נוספים שתוכלו לנקוט.

לדוגמה, אתה יכול לאפשר הצפנה כפויה של חיבורים בין תהליכים, ותוכל גם להפעיל הצפנה כפויה בעת חיבור לשירותי Zimbra OSE. כדי לבדוק חיבורים בין תהליכים, הזן את הפקודות הבאות:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

כדי לאפשר הצפנה כפויה עליך להזין:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

הודות לפקודות אלו, כל החיבורים לשרתי פרוקסי ולשרתי דואר יוצפנו, וכל החיבורים הללו יעברו פרוקסי.

כך, בעקבות ההמלצות שלנו, תוכלו לא רק להשיג את הציון הגבוה ביותר במבחן אבטחת חיבורי SSL, אלא גם להגביר משמעותית את האבטחה של כל תשתית ה-Zimbra OSE.

לכל השאלות הקשורות ל-Zextras Suite, ניתן ליצור קשר עם נציגת Zextras Ekaterina Triandafilidi בדואר אלקטרוני [מוגן בדוא"ל]

מקור: www.habr.com

שיפור הגדרות האבטחה של חיבור SSL במהדורת הקוד הפתוח של Zimbra Collaboration Suite

הוספת תגובה ביטול תגובה