Siła szyfrowania jest jednym z najważniejszych wskaźników podczas korzystania z systemów informatycznych w biznesie, ponieważ na co dzień są one zaangażowane w przesyłanie ogromnej ilości poufnych informacji. Ogólnie przyjętym sposobem oceny jakości połączenia SSL jest niezależny test przeprowadzony przez Qualys SSL Labs. Ponieważ ten test może przeprowadzić każdy, szczególnie ważne jest, aby dostawcy SaaS uzyskali w nim jak najwyższy wynik. O jakość połączenia SSL dbają nie tylko dostawcy SaaS, ale także zwykłe przedsiębiorstwa. Dla nich ten test jest doskonałą okazją do zidentyfikowania potencjalnych luk i zawczasu załatania wszelkich luk dla cyberprzestępców.
Zimbra OSE dopuszcza dwa rodzaje certyfikatów SSL. Pierwszy to certyfikat z podpisem własnym, który jest automatycznie dodawany podczas instalacji. Certyfikat ten jest bezpłatny i nieograniczony czasowo, dzięki czemu idealnie nadaje się do testowania Zimbra OSE lub używania go wyłącznie w sieci wewnętrznej. Jednak podczas logowania się do klienta WWW użytkownicy zobaczą ostrzeżenie z przeglądarki, że ten certyfikat jest niezaufany, a Twój serwer na pewno nie przejdzie testu Qualys SSL Labs.
Drugi to komercyjny certyfikat SSL podpisany przez urząd certyfikacji. Takie certyfikaty są łatwo akceptowane przez przeglądarki i są zwykle wykorzystywane do komercyjnego użytku Zimbra OSE. Natychmiast po prawidłowej instalacji certyfikatu komercyjnego Zimbra OSE 8.8.15 uzyskuje ocenę A w teście przeprowadzonym przez Qualys SSL Labs. To doskonały wynik, ale naszym celem jest osiągnięcie wyniku A+.
Aby uzyskać maksymalny wynik w teście Qualys SSL Labs podczas korzystania z pakietu Zimbra Collaboration Suite Open-Source Edition, należy wykonać szereg kroków:
1. Zwiększanie parametrów protokołu Diffiego-Hellmana
Domyślnie wszystkie komponenty Zimbra OSE 8.8.15 korzystające z OpenSSL mają ustawienia protokołu Diffie-Hellmana ustawione na 2048 bitów. W zasadzie jest to więcej niż wystarczające, aby uzyskać ocenę A+ w teście Qualys SSL Labs. Jeśli jednak aktualizujesz ze starszych wersji, ustawienia mogą być niższe. Dlatego zaleca się, aby po zakończeniu aktualizacji uruchomić polecenie zmdhparam set -new 2048, co zwiększy parametry protokołu Diffiego-Hellmana do akceptowalnych 2048 bitów, a w razie potrzeby za pomocą tego samego polecenia można zwiększyć wartość parametrów na 3072 lub 4096 bitów, co z jednej strony spowoduje wydłużenie czasu generowania, ale z drugiej strony będzie miało pozytywny wpływ na poziom bezpieczeństwa serwera pocztowego.
2. Załączenie zalecanej listy używanych szyfrów
Domyślnie Zimbra Collaborataion Suite Open-Source Edition obsługuje szeroką gamę silnych i słabych szyfrów, które szyfrują dane przesyłane przez bezpieczne połączenie. Jednak użycie słabych szyfrów jest poważną wadą przy sprawdzaniu bezpieczeństwa połączenia SSL. Aby tego uniknąć, należy skonfigurować listę używanych szyfrów.
Aby to zrobić, użyj polecenia zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Polecenie to od razu zawiera zestaw zalecanych szyfrów i dzięki niemu może od razu umieścić na liście szyfry niezawodne i wykluczyć te niepewne. Teraz pozostaje tylko zrestartować węzły odwrotnego proxy za pomocą polecenia zmproxyctl restart. Po ponownym uruchomieniu wprowadzone zmiany zaczną obowiązywać.
Jeśli z tego czy innego powodu ta lista Ci nie odpowiada, możesz usunąć z niej kilka słabych szyfrów za pomocą polecenia zmprov mcf +zimbraSSLExcludeCipherSuites. Na przykład polecenie zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, co całkowicie wyeliminuje użycie szyfrów RC4. To samo można zrobić z szyframi AES i 3DES.
3. Włącz HSTS
Aby uzyskać doskonały wynik w teście Qualys SSL Labs, wymagane są również włączone mechanizmy wymuszające szyfrowanie połączeń i odzyskiwanie sesji TLS. Aby je włączyć, należy wprowadzić polecenie zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". To polecenie doda niezbędny nagłówek do konfiguracji i aby nowe ustawienia zaczęły obowiązywać, będziesz musiał ponownie uruchomić Zimbra OSE za pomocą polecenia restart zmcontrol.
Już na tym etapie test przeprowadzony przez Qualys SSL Labs wykaże ocenę A+, jednak jeśli chcesz jeszcze bardziej poprawić bezpieczeństwo swojego serwera, możesz podjąć szereg innych działań.
Na przykład możesz włączyć wymuszone szyfrowanie połączeń między procesami, a także możesz włączyć wymuszone szyfrowanie podczas łączenia się z usługami Zimbra OSE. Aby sprawdzić połączenia międzyprocesowe, wpisz następujące polecenia:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueAby włączyć wymuszone szyfrowanie należy wpisać:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEDzięki tym poleceniom wszystkie połączenia z serwerami proxy i serwerami pocztowymi będą szyfrowane, a wszystkie te połączenia będą proxy.
Tym samym stosując się do naszych zaleceń możesz nie tylko osiągnąć najwyższy wynik w teście bezpieczeństwa połączenia SSL, ale także znacząco zwiększyć bezpieczeństwo całej infrastruktury Zimbra OSE.
W przypadku wszystkich pytań związanych z Zextras Suite, możesz skontaktować się z przedstawicielem Zextras Ekaterina Triandafilidi przez e-mail [email chroniony]
Źródło: www.habr.com