Sila šifrovania je jedným z najdôležitejších ukazovateľov pri používaní informačných systémov na podnikanie, pretože každý deň sa podieľajú na prenose obrovského množstva dôverných informácií. Všeobecne akceptovaným prostriedkom na hodnotenie kvality pripojenia SSL je nezávislý test od Qualys SSL Labs. Keďže tento test môže spustiť ktokoľvek, je obzvlášť dôležité, aby poskytovatelia SaaS získali v tomto teste čo najvyššie skóre. Na kvalite SSL pripojenia dbajú nielen poskytovatelia SaaS, ale aj bežné podniky. Pre nich je tento test vynikajúcou príležitosťou identifikovať potenciálne zraniteľné miesta a vopred uzavrieť všetky medzery pre kyberzločincov.
Zimbra OSE umožňuje dva typy SSL certifikátov. Prvým je certifikát s vlastným podpisom, ktorý sa automaticky pridá počas inštalácie. Tento certifikát je bezplatný a nie je časovo obmedzený, vďaka čomu je ideálny na testovanie Zimbra OSE alebo na používanie výhradne v rámci internej siete. Pri prihlásení do webového klienta sa však používateľom zobrazí upozornenie prehliadača, že tento certifikát je nedôveryhodný a váš server určite neprejde testom od Qualys SSL Labs.
Druhým je komerčný SSL certifikát podpísaný certifikačnou autoritou. Takéto certifikáty prehliadače ľahko akceptujú a zvyčajne sa používajú na komerčné využitie Zimbra OSE. Ihneď po správnej inštalácii komerčného certifikátu ukazuje Zimbra OSE 8.8.15 skóre A v teste od Qualys SSL Labs. Je to vynikajúci výsledok, ale naším cieľom je dosiahnuť výsledok A+.
Ak chcete dosiahnuť maximálne skóre v teste od Qualys SSL Labs pri používaní Zimbra Collaboration Suite Open-Source Edition, musíte vykonať niekoľko krokov:
1. Zvýšenie parametrov protokolu Diffie-Hellman
Všetky komponenty Zimbra OSE 8.8.15, ktoré používajú OpenSSL, majú štandardne nastavenia protokolu Diffie-Hellman nastavené na 2048 bitov. V zásade je to viac než dosť na získanie skóre A+ v teste od Qualys SSL Labs. Ak však inovujete zo starších verzií, nastavenia môžu byť nižšie. Preto sa odporúča po dokončení aktualizácie spustiť príkaz zmdhparam set -new 2048, ktorý zvýši parametre protokolu Diffie-Hellman na prijateľných 2048 bitov a v prípade potreby pomocou rovnakého príkazu môžete zvýšiť hodnotu parametrov na 3072 alebo 4096 bitov, čo na jednej strane povedie k predĺženiu času generovania, ale na druhej strane bude mať pozitívny vplyv na úroveň bezpečnosti poštového servera.
2. Vrátane odporúčaného zoznamu použitých šifier
V predvolenom nastavení podporuje Zimbra Collaborataion Suite Open-Source Edition širokú škálu silných a slabých šifier, ktoré šifrujú dáta prechádzajúce cez zabezpečené pripojenie. Použitie slabých šifier je však vážnou nevýhodou pri kontrole bezpečnosti pripojenia SSL. Aby ste tomu zabránili, musíte nakonfigurovať zoznam použitých šifier.
Ak to chcete urobiť, použite príkaz zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Tento príkaz okamžite obsahuje sadu odporúčaných šifier a vďaka nemu môže príkaz okamžite zaradiť spoľahlivé šifry do zoznamu a vylúčiť nespoľahlivé. Teraz už zostáva len reštartovať reverzné proxy uzly pomocou príkazu zmproxyctl restart. Po reštarte sa vykonané zmeny prejavia.
Ak vám tento zoznam z toho či onoho dôvodu nevyhovuje, môžete z neho odstrániť množstvo slabých šifier pomocou príkazu zmprov mcf +zimbraSSLExcludeCipherSuites. Takže napríklad príkaz zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, čo úplne vylúči používanie RC4 šifier. To isté sa dá urobiť so šiframi AES a 3DES.
3. Povoľte HSTS
Na dosiahnutie dokonalého skóre v teste Qualys SSL Labs sú potrebné aj povolené mechanizmy na vynútenie šifrovania pripojenia a obnovy relácie TLS. Ak ich chcete povoliť, musíte zadať príkaz zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Tento príkaz pridá do konfigurácie potrebnú hlavičku a aby sa nové nastavenia prejavili, budete musieť reštartovať Zimbra OSE pomocou príkazu zmcontrol reštart.
Už v tejto fáze bude test od Qualys SSL Labs ukazovať hodnotenie A+, ale ak chcete ešte viac zlepšiť bezpečnosť vášho servera, existuje množstvo ďalších opatrení, ktoré môžete podniknúť.
Môžete napríklad povoliť vynútené šifrovanie medziprocesových pripojení a vynútené šifrovanie môžete povoliť aj pri pripájaní k službám Zimbra OSE. Ak chcete skontrolovať medziprocesové spojenia, zadajte nasledujúce príkazy:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueAk chcete povoliť vynútené šifrovanie, musíte zadať:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEVďaka týmto príkazom budú všetky pripojenia k proxy serverom a poštovým serverom šifrované a všetky tieto pripojenia budú proxy.
Podľa našich odporúčaní tak môžete nielen dosiahnuť najvyššie skóre v teste bezpečnosti pripojenia SSL, ale aj výrazne zvýšiť bezpečnosť celej infraštruktúry Zimbra OSE.
So všetkými otázkami týkajúcimi sa apartmánu Zextras sa môžete e-mailom obrátiť na zástupkyňu Zextras Ekaterinu Triandafilidi [chránené e-mailom]
Zdroj: hab.com