Подобрување на безбедносните поставки за SSL конекција во Zimbra Collaboration Suite со отворен код издание

Јачината на шифрирањето е еден од најважните показатели при користење на информациски системи за бизнис, бидејќи секојдневно тие се вклучени во пренос на огромна количина доверливи информации. Општо прифатено средство за оценување на квалитетот на SSL конекцијата е независен тест од Qualys SSL Labs. Бидејќи овој тест може да го води секој, особено е важно провајдерите на SaaS да ја добијат највисоката можна оценка на овој тест. Не само SaaS провајдерите, туку и обичните претпријатија се грижат за квалитетот на SSL врската. За нив овој тест е одлична можност да се идентификуваат потенцијалните пропусти и однапред да се затворат сите дупки за сајбер-криминалците.

Zimbra OSE дозволува два типа на SSL сертификати. Првиот е самопотпишан сертификат кој автоматски се додава при инсталацијата. Овој сертификат е бесплатен и нема временско ограничување, што го прави идеален за тестирање на Zimbra OSE или користење исклучиво во внатрешна мрежа. Меѓутоа, кога се најавуваат на веб-клиентот, корисниците ќе видат предупредување од прелистувачот дека овој сертификат не е доверлив и вашиот сервер дефинитивно ќе падне на тестот од Qualys SSL Labs.

Вториот е комерцијален SSL сертификат потпишан од орган за сертификација. Таквите сертификати лесно се прифаќаат од прелистувачите и обично се користат за комерцијална употреба на Zimbra OSE. Веднаш по правилната инсталација на комерцијалниот сертификат, Zimbra OSE 8.8.15 покажува оценка А во тестот од Qualys SSL Labs. Ова е одличен резултат, но нашата цел е да постигнеме резултат А+.

За да постигнете максимален резултат на тестот од Qualys SSL Labs кога користите Zimbra Collaboration Suite Open-Source Edition, мора да завршите неколку чекори:

1. Зголемување на параметрите на протоколот Diffie-Hellman

Стандардно, сите компоненти на Zimbra OSE 8.8.15 што користат OpenSSL имаат поставки за протоколот Diffie-Hellman поставени на 2048 бита. Во принцип, ова е повеќе од доволно за да се добие резултат А+ на тестот од Qualys SSL Labs. Меѓутоа, ако надградувате од постарите верзии, поставките може да бидат пониски. Затоа, се препорачува откако ќе заврши ажурирањето, да ја извршите командата zmdhparam set -new 2048, со што ќе ги зголемите параметрите на протоколот Diffie-Hellman на прифатливи 2048 бита, а по желба, користејќи ја истата команда, можете да ги зголемите вредноста на параметрите на 3072 или 4096 бита, што од една страна ќе доведе до зголемување на времето за генерирање, но од друга страна ќе има позитивен ефект врз нивото на безбедност на серверот за пошта.

2. Вклучувајќи препорачана листа на користени шифри

Стандардно, Zimbra Collaborataion Suite Open-Source Edition поддржува широк опсег на силни и слаби шифри, кои шифрираат податоци што минуваат преку безбедна врска. Сепак, употребата на слаби шифри е сериозен недостаток при проверка на безбедноста на SSL врската. За да го избегнете ова, треба да ја конфигурирате листата на користени шифри.

За да го направите ова, користете ја командата zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

Оваа команда веднаш вклучува збир на препорачани шифри и благодарение на неа, командата може веднаш да вклучи сигурни шифри во списокот и да ги исклучи несигурните. Сега останува само да ги рестартирате обратните прокси јазли користејќи ја командата за рестартирање zmproxyctl. По рестартирање, направените промени ќе стапат на сила.

Ако оваа листа не ви одговара поради една или друга причина, можете да отстраните голем број слаби шифри од неа користејќи ја командата zmprov mcf +zimbraSSLExcludeCipherSuites. Така, на пример, командата zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, што целосно ќе ја елиминира употребата на RC4 шифри. Истото може да се направи со шифрите AES и 3DES.

3. Овозможете HSTS

Потребни се и овозможени механизми за принудно шифрирање на врската и враќање на сесијата TLS за да се постигне совршен резултат на тестот Qualys SSL Labs. За да ги овозможите, мора да ја внесете командата zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Оваа команда ќе го додаде потребното заглавие на конфигурацијата, а за да стапат на сила новите поставки ќе треба да го рестартирате Zimbra OSE користејќи ја командата рестартирајте го zmcontrol.

Веќе во оваа фаза, тестот од Qualys SSL Labs ќе покаже рејтинг А+, но доколку сакате дополнително да ја подобрите безбедноста на вашиот сервер, постојат голем број други мерки што можете да ги преземете.

На пример, можете да овозможите присилно шифрирање на меѓупроцесни врски, а исто така можете да овозможите принудно шифрирање кога се поврзувате со услугите на Zimbra OSE. За да ги проверите меѓупроцесните врски, внесете ги следните команди:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

За да овозможите присилно шифрирање, треба да внесете:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

Благодарение на овие команди, сите врски со прокси-сервери и сервери за пошта ќе бидат шифрирани и сите овие врски ќе бидат прокси.

Така, следејќи ги нашите препораки, не само што може да постигнете највисок резултат во тестот за безбедност на SSL конекција, туку и значително да ја зголемите безбедноста на целата инфраструктура на Zimbra OSE.

За сите прашања поврзани со Zextras Suite, можете да контактирате со Претставникот на Zextras Екатерина Триандафилиди преку е-пошта [заштитена по е-пошта]

Извор: www.habr.com