Šifravimo stiprumas yra vienas iš svarbiausių rodiklių naudojant informacines sistemas verslui, nes kiekvieną dieną jos yra įtrauktos į didžiulio kiekio konfidencialios informacijos perdavimą. Visuotinai priimtas būdas įvertinti SSL ryšio kokybę yra nepriklausomas Qualys SSL Labs testas. Kadangi šį testą gali atlikti bet kas, SaaS teikėjams ypač svarbu gauti aukščiausią įmanomą šio testo balą. SSL ryšio kokybe rūpinasi ne tik SaaS tiekėjai, bet ir paprastos įmonės. Jiems šis testas yra puiki galimybė nustatyti galimus pažeidžiamumus ir iš anksto uždaryti visas spragas kibernetiniams nusikaltėliams.
Zimbra OSE leidžia naudoti dviejų tipų SSL sertifikatus. Pirmasis yra savarankiškai pasirašytas sertifikatas, kuris automatiškai pridedamas diegimo metu. Šis sertifikatas yra nemokamas ir jam neribotas laikas, todėl jis puikiai tinka Zimbra OSE testavimui arba naudojimui tik vidiniame tinkle. Tačiau prisijungę prie žiniatinklio kliento, vartotojai matys naršyklės įspėjimą, kad šis sertifikatas yra nepatikimas, o jūsų serveris tikrai neatliks Qualys SSL Labs testo.
Antrasis yra komercinis SSL sertifikatas, pasirašytas sertifikavimo institucijos. Tokius sertifikatus lengvai priima naršyklės ir jie dažniausiai naudojami komerciniam Zimbra OSE naudojimui. Iškart tinkamai įdiegus komercinį sertifikatą, „Zimbra OSE 8.8.15“ „Qualys SSL Labs“ teste rodo A balą. Tai puikus rezultatas, bet mūsų tikslas – pasiekti A+ rezultatą.
Norėdami pasiekti maksimalų „Qualys SSL Labs“ testo balą naudodami Zimbra Collaboration Suite atvirojo kodo leidimą, turite atlikti kelis veiksmus:
1. Diffie-Hellman protokolo parametrų padidinimas
Pagal numatytuosius nustatymus visi Zimbra OSE 8.8.15 komponentai, kurie naudoja OpenSSL, turi Diffie-Hellman protokolo parametrus, nustatytus į 2048 bitus. Iš esmės to pakanka norint gauti A+ balą teste iš Qualys SSL Labs. Tačiau jei atnaujinate iš senesnių versijų, nustatymai gali būti mažesni. Todėl, baigus naujinimą, rekomenduojama paleisti komandą zmdhparam set -new 2048, kuri padidins Diffie-Hellman protokolo parametrus iki priimtinų 2048 bitų, o jei norite, naudodami tą pačią komandą, galėsite padidinti parametrų reikšmė iki 3072 arba 4096 bitų, o tai, viena vertus, padidins generavimo laiką, bet, kita vertus, turės teigiamos įtakos pašto serverio saugumo lygiui.
2. Įskaitant rekomenduojamą naudojamų šifrų sąrašą
Pagal numatytuosius nustatymus „Zimbra Collaborataion Suite Open-Source Edition“ palaiko daugybę stiprių ir silpnų šifrų, kurie užšifruoja saugiu ryšiu perduodamus duomenis. Tačiau silpnų šifrų naudojimas yra rimtas trūkumas tikrinant SSL ryšio saugumą. Norėdami to išvengti, turite sukonfigūruoti naudojamų šifrų sąrašą.
Norėdami tai padaryti, naudokite komandą zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Ši komanda iš karto apima rekomenduojamų šifrų rinkinį ir jos dėka komanda gali iš karto įtraukti patikimus šifrus į sąrašą ir neįtraukti nepatikimų. Dabar belieka iš naujo paleisti atvirkštinio tarpinio serverio mazgus naudojant zmproxyctl restart komandą. Po perkrovimo atlikti pakeitimai įsigalios.
Jei šis sąrašas dėl vienos ar kitos priežasties jums netinka, galite iš jo pašalinti keletą silpnų šifrų naudodami komandą zmprov mcf +zimbraSSLExcludeCipherSuites. Taigi, pavyzdžiui, komanda zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, kuris visiškai pašalins RC4 šifrų naudojimą. Tą patį galima padaryti su AES ir 3DES šifrais.
3. Įjunkite HSTS
Norint pasiekti tobulą rezultatą atliekant Qualys SSL Labs testą, taip pat reikalingi įgalinti ryšio šifravimo ir TLS seanso atkūrimo mechanizmai. Norėdami juos įjungti, turite įvesti komandą zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Ši komanda pridės reikiamą antraštę prie konfigūracijos, o kad nauji nustatymai įsigaliotų, turėsite iš naujo paleisti Zimbra OSE naudodami komandą zmcontrol paleiskite iš naujo.
Jau šiame etape Qualys SSL Labs testas parodys A+ įvertinimą, tačiau jei norite dar labiau pagerinti savo serverio saugumą, galite imtis daugybės kitų priemonių.
Pavyzdžiui, galite įjungti priverstinį tarpprocesinių ryšių šifravimą, taip pat galite įjungti priverstinį šifravimą prisijungdami prie „Zimbra“ OSE paslaugų. Norėdami patikrinti tarpprocesų ryšius, įveskite šias komandas:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueNorėdami įjungti priverstinį šifravimą, turite įvesti:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEŠių komandų dėka visi ryšiai su tarpiniais serveriais ir pašto serveriais bus užšifruoti, o visi šie ryšiai bus perduoti tarpiniu serveriu.
Taigi, vadovaudamiesi mūsų rekomendacijomis, galite ne tik pasiekti aukščiausią balą SSL ryšio saugumo teste, bet ir ženkliai padidinti visos Zimbra OSE infrastruktūros saugumą.
Visais su Zextras Suite susijusiais klausimais galite kreiptis į Zextras atstovę Ekaterina Triandafilidi el. [apsaugotas el. paštu]
Šaltinis: www.habr.com