🥇झिंब्रा कोलॅबोरेशन सूट ओपन-सोर्स एडिशनमध्ये SSL कनेक्शन सुरक्षा सेटिंग्ज सुधारणे

व्यवसायासाठी माहिती प्रणाली वापरताना एन्क्रिप्शनची ताकद हे सर्वात महत्वाचे संकेतकांपैकी एक आहे, कारण ते दररोज मोठ्या प्रमाणात गोपनीय माहितीच्या हस्तांतरणामध्ये गुंतलेले असतात. SSL कनेक्शनच्या गुणवत्तेचे मूल्यमापन करण्याचे सामान्यतः स्वीकृत साधन म्हणजे Qualys SSL Labs कडून एक स्वतंत्र चाचणी. ही चाचणी कोणीही चालवू शकत असल्याने, SaaS प्रदात्यांसाठी या चाचणीवर जास्तीत जास्त संभाव्य गुण मिळवणे विशेषतः महत्वाचे आहे. केवळ SaaS प्रदातेच नाही तर सामान्य उपक्रम देखील SSL कनेक्शनच्या गुणवत्तेची काळजी घेतात. त्यांच्यासाठी, ही चाचणी संभाव्य असुरक्षा ओळखण्याची आणि सायबर गुन्हेगारांसाठी सर्व त्रुटी आधीच बंद करण्याची एक उत्कृष्ट संधी आहे.

Zimbra OSE दोन प्रकारच्या SSL प्रमाणपत्रांना परवानगी देते. पहिले स्व-स्वाक्षरी केलेले प्रमाणपत्र आहे जे इंस्टॉलेशन दरम्यान आपोआप जोडले जाते. हे प्रमाणपत्र विनामूल्य आहे आणि त्याला कोणतीही कालमर्यादा नाही, जे Zimbra OSE ची चाचणी करण्यासाठी किंवा ते केवळ अंतर्गत नेटवर्कमध्ये वापरण्यासाठी आदर्श बनवते. तथापि, वेब क्लायंटमध्ये लॉग इन करताना, वापरकर्त्यांना ब्राउझरकडून चेतावणी दिसेल की हे प्रमाणपत्र अविश्वासू आहे, आणि तुमचा सर्व्हर क्वालिस SSL लॅब्सच्या चाचणीत नक्कीच अपयशी ठरेल.

दुसरे म्हणजे प्रमाणन प्राधिकरणाने स्वाक्षरी केलेले व्यावसायिक SSL प्रमाणपत्र. अशी प्रमाणपत्रे ब्राउझरद्वारे सहजपणे स्वीकारली जातात आणि सामान्यतः झिंब्रा OSE च्या व्यावसायिक वापरासाठी वापरली जातात. व्यावसायिक प्रमाणपत्राच्या योग्य स्थापनेनंतर लगेच, झिंब्रा OSE 8.8.15 Qualys SSL Labs कडून चाचणीमध्ये A गुण दर्शवते. हा एक उत्कृष्ट परिणाम आहे, परंतु A+ परिणाम प्राप्त करणे हे आमचे ध्येय आहे.

झिंब्रा कोलॅबोरेशन सूट ओपन-सोर्स एडिशन वापरताना क्वालिस एसएसएल लॅबमधून चाचणीमध्ये जास्तीत जास्त स्कोअर मिळविण्यासाठी, तुम्ही अनेक पायऱ्या पूर्ण केल्या पाहिजेत:

1. डिफी-हेलमन प्रोटोकॉलचे पॅरामीटर्स वाढवणे

डीफॉल्टनुसार, OpenSSL वापरणारे सर्व Zimbra OSE 8.8.15 घटकांमध्ये Diffie-Hellman प्रोटोकॉल सेटिंग्ज 2048 बिट्सवर सेट आहेत. तत्वतः, Qualys SSL Labs कडून चाचणीत A+ स्कोअर मिळविण्यासाठी हे पुरेसे आहे. तथापि, आपण जुन्या आवृत्त्यांमधून अपग्रेड करत असल्यास, सेटिंग्ज कमी असू शकतात. म्हणून, अशी शिफारस केली जाते की अपडेट पूर्ण झाल्यानंतर, zmdhparam set -new 2048 कमांड चालवा, ज्यामुळे डिफी-हेलमन प्रोटोकॉलचे पॅरामीटर्स स्वीकार्य 2048 बिट्सपर्यंत वाढतील आणि इच्छित असल्यास, समान कमांड वापरून, तुम्ही वाढवू शकता. पॅरामीटर्सचे मूल्य 3072 किंवा 4096 बिट्स, जे एकीकडे जनरेशन वेळ वाढवते, परंतु दुसरीकडे मेल सर्व्हरच्या सुरक्षा स्तरावर सकारात्मक प्रभाव पडेल.

2. वापरलेल्या सिफरच्या शिफारस केलेल्या सूचीसह

डीफॉल्टनुसार, Zimbra Collaborataion Suite Open-Source Edition मजबूत आणि कमकुवत सिफरच्या विस्तृत श्रेणीला समर्थन देते, जे सुरक्षित कनेक्शनवरून जाणारा डेटा एन्क्रिप्ट करते. तथापि, एसएसएल कनेक्शनची सुरक्षितता तपासताना कमकुवत सायफरचा वापर हा एक गंभीर गैरसोय आहे. हे टाळण्यासाठी, तुम्हाला वापरलेल्या सिफरची सूची कॉन्फिगर करणे आवश्यक आहे.

हे करण्यासाठी, कमांड वापरा zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

या कमांडमध्ये त्वरित शिफारस केलेल्या सिफरचा संच समाविष्ट आहे आणि त्याबद्दल धन्यवाद, कमांड ताबडतोब सूचीमध्ये विश्वसनीय सायफर समाविष्ट करू शकते आणि अविश्वसनीय लोकांना वगळू शकते. आता फक्त zmproxyctl रीस्टार्ट कमांड वापरून रिव्हर्स प्रॉक्सी नोड्स रीस्टार्ट करणे बाकी आहे. रीबूट केल्यानंतर, केलेले बदल प्रभावी होतील.

जर ही यादी तुम्हाला एका कारणास्तव किंवा दुसर्‍या कारणासाठी अनुकूल नसेल, तर तुम्ही कमांड वापरून त्यातून अनेक कमकुवत सायफर काढू शकता. zmprov mcf +zimbraSSLExcludeCipherSuites. तर, उदाहरणार्थ, आदेश zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, जे RC4 सिफरचा वापर पूर्णपणे काढून टाकेल. हेच AES आणि 3DES सिफरसह केले जाऊ शकते.

3. HSTS सक्षम करा

Qualys SSL Labs चाचणीमध्ये परिपूर्ण स्कोअर मिळविण्यासाठी सक्तीने कनेक्शन एन्क्रिप्शन आणि TLS सत्र पुनर्प्राप्तीसाठी सक्षम यंत्रणा देखील आवश्यक आहे. त्यांना सक्षम करण्यासाठी आपण कमांड प्रविष्ट करणे आवश्यक आहे zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". ही कमांड कॉन्फिगरेशनमध्ये आवश्यक हेडर जोडेल आणि नवीन सेटिंग्ज प्रभावी होण्यासाठी तुम्हाला कमांड वापरून झिंब्रा ओएसई रीस्टार्ट करावे लागेल. zmcontrol रीस्टार्ट करा.

आधीच या टप्प्यावर, Qualys SSL Labs मधील चाचणी A+ रेटिंग दर्शवेल, परंतु तुम्हाला तुमच्या सर्व्हरची सुरक्षितता आणखी सुधारायची असल्यास, तुम्ही इतर अनेक उपाय करू शकता.

उदाहरणार्थ, तुम्ही आंतर-प्रक्रिया कनेक्शनचे सक्तीचे कूटबद्धीकरण सक्षम करू शकता आणि Zimbra OSE सेवांशी कनेक्ट करताना तुम्ही सक्तीचे एन्क्रिप्शन देखील सक्षम करू शकता. इंटरप्रोसेस कनेक्शन तपासण्यासाठी, खालील आदेश प्रविष्ट करा:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

सक्तीचे कूटबद्धीकरण सक्षम करण्यासाठी आपल्याला प्रविष्ट करणे आवश्यक आहे:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

या आदेशांबद्दल धन्यवाद, प्रॉक्सी सर्व्हर आणि मेल सर्व्हरवरील सर्व कनेक्शन कूटबद्ध केले जातील आणि हे सर्व कनेक्शन प्रॉक्सी केले जातील.

अशा प्रकारे, आमच्या शिफारशींचे अनुसरण करून, तुम्ही केवळ SSL कनेक्शन सुरक्षा चाचणीमध्ये सर्वोच्च गुण मिळवू शकत नाही, तर संपूर्ण झिंब्रा OSE पायाभूत सुविधांची सुरक्षा देखील लक्षणीयरीत्या वाढवू शकता.

Zextras Suite शी संबंधित सर्व प्रश्नांसाठी, तुम्ही Zextras Ekaterina Triandafilidi च्या प्रतिनिधीशी ई-मेलद्वारे संपर्क साधू शकता [ईमेल संरक्षित]

स्त्रोत: www.habr.com

झिंब्रा कोलॅबोरेशन सूट ओपन-सोर्स एडिशनमध्ये SSL कनेक्शन सुरक्षा सेटिंग्ज सुधारणे

एक टिप्पणी जोडा Отменить ответ