Zimbra Collaboration Suite Open-Source Edition에서 SSL 연결 보안 설정 개선

암호화의 강도는 정보 시스템을 비즈니스에 사용할 때 가장 중요한 지표 중 하나입니다. 왜냐하면 정보 시스템은 매일 엄청난 양의 기밀 정보 전송에 관여하기 때문입니다. 일반적으로 SSL 연결 품질을 평가하는 방법은 Qualys SSL Labs의 독립적인 테스트입니다. 이 테스트는 누구나 실행할 수 있으므로 SaaS 제공업체가 이 테스트에서 가능한 가장 높은 점수를 얻는 것이 특히 중요합니다. SaaS 제공업체뿐만 아니라 일반 기업도 SSL 연결 품질에 관심을 갖고 있습니다. 그들에게 이 테스트는 잠재적인 취약점을 식별하고 사이버 범죄자의 모든 허점을 사전에 차단할 수 있는 훌륭한 기회입니다.

Zimbra OSE는 두 가지 유형의 SSL 인증서를 허용합니다. 첫 번째는 설치 중에 자동으로 추가되는 자체 서명된 인증서입니다. 이 인증서는 무료이며 시간 제한이 없으므로 Zimbra OSE를 테스트하거나 내부 네트워크 내에서만 사용하는 데 이상적입니다. 그러나 웹 클라이언트에 로그인하면 사용자는 브라우저에서 이 인증서를 신뢰할 수 없다는 경고를 보게 되며 서버는 확실히 Qualys SSL Labs의 테스트에 실패하게 됩니다.

두 번째는 인증 기관에서 서명한 상용 SSL 인증서입니다. 이러한 인증서는 브라우저에서 쉽게 승인되며 일반적으로 Zimbra OSE의 상업적 용도로 사용됩니다. 상용 인증서를 올바르게 설치한 직후 Zimbra OSE 8.8.15는 Qualys SSL Labs의 테스트에서 A 점수를 보여줍니다. 이는 훌륭한 결과이지만, 우리의 목표는 A+ 결과를 달성하는 것입니다.

Zimbra Collaboration Suite Open-Source Edition을 사용할 때 Qualys SSL Labs의 테스트에서 최대 점수를 얻으려면 다음 단계를 완료해야 합니다.

1. Diffie-Hellman 프로토콜의 매개변수 증가

기본적으로 OpenSSL을 사용하는 모든 Zimbra OSE 8.8.15 구성 요소에는 Diffie-Hellman 프로토콜 설정이 2048비트로 설정되어 있습니다. 원칙적으로 이는 Qualys SSL Labs의 테스트에서 A+ 점수를 받기에 충분합니다. 그러나 이전 버전에서 업그레이드하는 경우 설정이 더 낮아질 수 있습니다. 따라서 업데이트가 완료된 후 zmdhparam set -new 2048 명령을 실행하여 Diffie-Hellman 프로토콜의 매개변수를 허용 가능한 2048비트로 늘리고 원하는 경우 동일한 명령을 사용하여 매개변수 값을 3072 또는 4096비트로 설정하면 생성 시간이 늘어나지만 메일 서버의 보안 수준에 긍정적인 영향을 미칩니다.

2. 사용된 권장 암호 목록 포함

기본적으로 Zimbra Collaborataion Suite Open-Source Edition은 보안 연결을 통해 전달되는 데이터를 암호화하는 강력하고 약한 암호화를 광범위하게 지원합니다. 그러나 약한 암호를 사용하는 것은 SSL 연결의 보안을 확인할 때 심각한 단점이 됩니다. 이를 방지하려면 사용되는 암호 목록을 구성해야 합니다.

이렇게 하려면 다음 명령을 사용하십시오. zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

이 명령에는 권장 암호 세트가 즉시 포함되며 덕분에 명령은 목록에 신뢰할 수 있는 암호를 즉시 포함하고 신뢰할 수 없는 암호를 제외할 수 있습니다. 이제 남은 것은 zmproxyctl restart 명령을 사용하여 역방향 프록시 노드를 다시 시작하는 것입니다. 재부팅하면 변경 사항이 적용됩니다.

어떤 이유로든 이 목록이 적합하지 않은 경우 다음 명령을 사용하여 여러 가지 약한 암호를 제거할 수 있습니다. zmprov mcf +zimbraSSLExcludeCipherSuites. 예를 들어 다음 명령은 zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, 이는 RC4 암호의 사용을 완전히 제거합니다. AES 및 3DES 암호화를 사용하여 동일한 작업을 수행할 수 있습니다.

3. HSTS 활성화

Qualys SSL Labs 테스트에서 만점을 얻으려면 연결 암호화 및 TLS 세션 복구를 강제하는 활성화된 메커니즘도 필요합니다. 이를 활성화하려면 다음 명령을 입력해야 합니다. zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". 이 명령은 필요한 헤더를 구성에 추가하며, 새로운 설정을 적용하려면 다음 명령을 사용하여 Zimbra OSE를 다시 시작해야 합니다. zmcontrol 다시 시작.

이미 이 단계에서 Qualys SSL Labs의 테스트는 A+ 등급을 표시하지만, 서버 보안을 더욱 향상시키려는 경우 취할 수 있는 다른 조치가 많이 있습니다.

예를 들어, 프로세스 간 연결의 강제 암호화를 활성화할 수 있으며, Zimbra OSE 서비스에 연결할 때 강제 암호화를 활성화할 수도 있습니다. 프로세스 간 연결을 확인하려면 다음 명령을 입력하십시오.

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

강제 암호화를 활성화하려면 다음을 입력해야 합니다.

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

이러한 명령 덕분에 프록시 서버 및 메일 서버에 대한 모든 연결이 암호화되고 이러한 모든 연결이 프록시됩니다.

따라서 우리의 권장 사항을 따르면 SSL 연결 보안 테스트에서 가장 높은 점수를 얻을 수 있을 뿐만 아니라 전체 Zimbra OSE 인프라의 보안을 크게 향상시킬 수 있습니다.

Zextras Suite와 관련된 모든 질문은 Zextras Ekaterina Triandafilidi 대표에게 이메일로 문의할 수 있습니다. [이메일 보호]

출처 : habr.com