Шифрлөөнүн күчү бизнес үчүн маалыматтык системаларды колдонууда эң маанилүү көрсөткүчтөрдүн бири болуп саналат, анткени алар күн сайын чоң көлөмдөгү купуя маалыматты берүүгө катышышат. SSL туташуунун сапатын баалоо үчүн жалпы кабыл алынган каражат Qualys SSL Labs көз карандысыз тест болуп саналат. Бул тестти каалаган адам аткара алгандыктан, SaaS провайдерлери үчүн бул тесттен мүмкүн болгон эң жогорку баллды алуу өзгөчө маанилүү. SaaS провайдерлери гана эмес, жөнөкөй ишканалар да SSL байланышынын сапатына кам көрүшөт. Алар үчүн бул тест потенциалдуу аялуу жерлерди аныктоого жана киберкылмышкерлер үчүн бардык жылчыктарды алдын ала жабууга эң сонун мүмкүнчүлүк.
Zimbra OSE SSL сертификаттарынын эки түрүн берет. Биринчиси - орнотуу учурунда автоматтык түрдө кошулуучу өз алдынча кол коюлган сертификат. Бул сертификат акысыз жана эч кандай мөөнөткө ээ эмес, бул Zimbra OSE сынап көрүү же аны ички тармакта гана колдонуу үчүн идеалдуу кылат. Бирок, веб кардарга киргенде, колдонуучулар браузерден бул сертификат ишенимсиз экендиги тууралуу эскертүүнү көрүшөт жана сервериңиз Qualys SSL Labs сынагынан сөзсүз өтпөй калат.
Экинчиси, күбөлүк берүүчү орган тарабынан кол коюлган коммерциялык SSL сертификаты. Мындай сертификаттар браузерлер тарабынан оңой кабыл алынат жана адатта Zimbra OSE коммерциялык пайдалануу үчүн колдонулат. Коммерциялык сертификат туура орнотулгандан кийин, Zimbra OSE 8.8.15 Qualys SSL Labs тестинен А упайын көрсөтөт. Бул эң сонун жыйынтык, бирок биздин максат A+ натыйжасына жетүү.
Zimbra Collaboration Suite Open-Source Edition колдонууда Qualys SSL Labs тестинен максималдуу баллга жетүү үчүн, сиз бир катар кадамдарды аткарышыңыз керек:
1. Диффи-Хеллман протоколунун параметрлерин жогорулатуу
Демейки боюнча, OpenSSL колдонгон бардык Zimbra OSE 8.8.15 компоненттери Diffie-Hellman протоколунун жөндөөлөрү 2048 битке коюлган. Негизи, бул Qualys SSL Labs тестинен A+ упай алуу үчүн жетиштүү. Бирок, эгер сиз эски версиялардан жаңыртып жатсаңыз, орнотуулар төмөн болушу мүмкүн. Ошондуктан, жаңыртуу аяктагандан кийин, zmdhparam set -new 2048 буйругун иштетүү сунушталат, ал Diffie-Hellman протоколунун параметрлерин алгылыктуу 2048 битке чейин жогорулатат, жана эгер кааласаңыз, ошол эле буйрукту колдонуп, сиз көбөйтө аласыз. параметрлердин мааниси 3072 же 4096 битке чейин, бул бир жагынан генерация убактысынын көбөйүшүнө алып келет, бирок экинчи жагынан почта серверинин коопсуздук деңгээлине оң таасирин тийгизет.
2. Колдонулган шифрлердин сунушталган тизмесин камтыган
Демейки боюнча, Zimbra Collaborataion Suite Open-Source Edition коопсуз туташуу аркылуу өтүүчү маалыматтарды шифрлеген күчтүү жана алсыз шифрлердин кеңири спектрин колдойт. Бирок, SSL байланышынын коопсуздугун текшерүүдө начар шифрлерди колдонуу олуттуу кемчилик болуп саналат. Буга жол бербөө үчүн колдонулган шифрлердин тизмесин конфигурациялашыңыз керек.
Бул үчүн, буйрукту колдонуңуз zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Бул буйрук дароо сунуш кылынган шифрлердин топтомун камтыйт жана анын аркасында буйрук дароо тизмеге ишенимдүү шифрлерди киргизип, ишенимсиздерин чыгара алат. Эми zmproxyctl restart буйругун колдонуп, тескери прокси түйүндөрүн кайра иштетүү гана калды. Кайра жүктөөдөн кийин киргизилген өзгөртүүлөр күчүнө кирет.
Эгер бул тизме тигил же бул себептерден улам сизге жакпаса, анда сиз андан бир катар начар шифрлерди буйрукту колдонуп алып салсаңыз болот. zmprov mcf +zimbraSSLExcludeCipherSuites. Ошентип, мисалы, буйрук zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, бул RC4 шифрлерин колдонууну толугу менен жок кылат. Ошол эле AES жана 3DES шифрлери менен кылса болот.
3. HSTS иштетүү
Qualys SSL Labs сынагында эң сонун упайга жетүү үчүн туташууну шифрлөө жана TLS сессиясын калыбына келтирүү үчүн иштетилген механизмдер да талап кылынат. Аларды иштетүү үчүн сиз буйрукту киргизишиңиз керек zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Бул буйрук конфигурацияга керектүү башты кошот жана жаңы орнотуулар күчүнө кириши үчүн сиз буйрукту колдонуп Zimbra OSEну өчүрүп күйгүзүшүңүз керек болот. zmcontrol кайра баштоо.
Ушул этапта, Qualys SSL Labs тести A+ рейтингин көрсөтөт, бирок сервериңиздин коопсуздугун андан ары жакшыртууну кааласаңыз, анда бир катар башка чараларды көрө аласыз.
Мисалы, процесстер аралык байланыштарды мажбурлап шифрлөөнү иштете аласыз, ошондой эле Zimbra OSE кызматтарына туташып жатканда аргасыз шифрлөөнү иштете аласыз. Процесстер аралык байланыштарды текшерүү үчүн төмөнкү буйруктарды киргизиңиз:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueАргасыз шифрлөөнү иштетүү үчүн төмөнкүлөрдү киргизишиңиз керек:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEБул буйруктардын аркасында прокси серверлерге жана почта серверлерине болгон бардык байланыштар шифрленет жана бул байланыштардын баары прокси болот.
Ошентип, биздин сунуштарыбыздан кийин, сиз SSL туташуу коопсуздук сынагында эң жогорку упайга гана жетпестен, Zimbra OSE инфраструктурасынын бүткүл коопсуздугун олуттуу түрдө жогорулата аласыз.
Zextras Suite менен байланышкан бардык суроолор боюнча сиз Zextras өкүлү Екатерина Триандафилидиге электрондук почта аркылуу кайрылсаңыз болот. [электрондук почта корголгон]
Source: www.habr.com