Şifrelemenin gücü, bilgi sistemlerini iş amaçlı kullanırken en önemli göstergelerden biridir, çünkü her gün büyük miktarda gizli bilginin aktarımına dahil olurlar. SSL bağlantısının kalitesini değerlendirmenin genel kabul görmüş bir yolu, Qualys SSL Labs tarafından yapılan bağımsız bir testtir. Bu test herkes tarafından yapılabileceği için SaaS sağlayıcılarının bu testten mümkün olan en yüksek puanı alması özellikle önemlidir. Yalnızca SaaS sağlayıcıları değil, sıradan işletmeler de SSL bağlantısının kalitesine önem veriyor. Onlar için bu test, potansiyel güvenlik açıklarını belirlemek ve siber suçlulara yönelik tüm boşlukları önceden kapatmak için mükemmel bir fırsattır.
Zimbra OSE iki tür SSL sertifikasına izin verir. Birincisi, kurulum sırasında otomatik olarak eklenen, kendinden imzalı bir sertifikadır. Bu sertifika ücretsizdir ve süre sınırlaması yoktur; bu da onu Zimbra OSE'yi test etmek veya yalnızca dahili bir ağda kullanmak için ideal kılar. Ancak kullanıcılar web istemcisine giriş yaptıklarında tarayıcıdan bu sertifikanın güvenilmez olduğuna dair bir uyarı görecekler ve sunucunuz Qualys SSL Labs tarafından yapılan testte kesinlikle başarısız olacaktır.
İkincisi ise bir sertifika yetkilisi tarafından imzalanan ticari bir SSL sertifikasıdır. Bu tür sertifikalar tarayıcılar tarafından kolayca kabul edilir ve genellikle Zimbra OSE'nin ticari kullanımı için kullanılır. Ticari sertifikanın doğru kurulumunun hemen ardından Zimbra OSE 8.8.15, Qualys SSL Labs testinde A puanı gösteriyor. Bu mükemmel bir sonuç ama hedefimiz A+ sonuç elde etmek.
Zimbra Collaboration Suite Açık Kaynak Sürümünü kullanırken Qualys SSL Labs testinde maksimum puanı elde etmek için bir dizi adımı tamamlamanız gerekir:
1. Diffie-Hellman protokolünün parametrelerinin arttırılması
Varsayılan olarak, OpenSSL kullanan tüm Zimbra OSE 8.8.15 bileşenlerinin Diffie-Hellman protokol ayarları 2048 bit olarak ayarlanmıştır. Prensip olarak bu, Qualys SSL Labs testinde A+ puanı almak için fazlasıyla yeterli. Ancak eski sürümlerden yükseltme yapıyorsanız ayarlar daha düşük olabilir. Bu nedenle, güncelleme tamamlandıktan sonra Diffie-Hellman protokolünün parametrelerini kabul edilebilir bir 2048 bit'e çıkaracak zmdhparam set -new 2048 komutunu çalıştırmanız ve istenirse aynı komutu kullanarak artırabileceğiniz önerilir. parametrelerin değerinin 3072 veya 4096 bit olması, bir yandan üretim süresinin artmasına yol açacak, diğer yandan posta sunucusunun güvenlik düzeyi üzerinde olumlu bir etkiye sahip olacaktır.
2. Kullanılan şifrelerin önerilen listesinin eklenmesi
Varsayılan olarak Zimbra Collaborataion Suite Açık Kaynak Sürümü, güvenli bir bağlantı üzerinden geçen verileri şifreleyen çok çeşitli güçlü ve zayıf şifreleri destekler. Ancak SSL bağlantısının güvenliği kontrol edilirken zayıf şifrelerin kullanılması ciddi bir dezavantajdır. Bunu önlemek için kullanılan şifrelerin listesini yapılandırmanız gerekir.
Bunu yapmak için şu komutu kullanın: zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Bu komut hemen bir dizi önerilen şifreyi içerir ve bu sayede komut, güvenilir şifreleri anında listeye ekleyebilir ve güvenilmez olanları hariç tutabilir. Artık geriye kalan tek şey zmproxyctl restart komutunu kullanarak ters proxy düğümlerini yeniden başlatmaktır. Yeniden başlatmanın ardından yapılan değişiklikler geçerli olacaktır.
Bu liste bir nedenden dolayı size uymuyorsa, komutu kullanarak bir dizi zayıf şifreyi listeden kaldırabilirsiniz. zmprov mcf +zimbraSSLExcludeCipherSuites. Yani, örneğin, komut zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHARC4 şifrelerinin kullanımını tamamen ortadan kaldıracak. Aynı şey AES ve 3DES şifreleriyle de yapılabilir.
3. HSTS'yi etkinleştirin
Qualys SSL Labs testinde mükemmel bir puan elde etmek için bağlantı şifrelemeyi ve TLS oturum kurtarmayı zorunlu kılan etkin mekanizmalar da gereklidir. Bunları etkinleştirmek için komutu girmelisiniz zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Bu komut gerekli başlığı konfigürasyona ekleyecektir ve yeni ayarların etkili olması için Zimbra OSE'yi şu komutu kullanarak yeniden başlatmanız gerekecektir: zmcontrol yeniden başlatma.
Zaten bu aşamada Qualys SSL Labs tarafından yapılan test A+ derecesini gösterecektir ancak sunucunuzun güvenliğini daha da artırmak istiyorsanız alabileceğiniz bir dizi başka önlem vardır.
Örneğin, işlemler arası bağlantıların zorunlu şifrelemesini etkinleştirebilir ve ayrıca Zimbra OSE hizmetlerine bağlanırken zorunlu şifrelemeyi de etkinleştirebilirsiniz. İşlemler arası bağlantıları kontrol etmek için aşağıdaki komutları girin:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueZorunlu şifrelemeyi etkinleştirmek için şunu girmeniz gerekir:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUEBu komutlar sayesinde proxy sunuculara ve mail sunucularına yapılan tüm bağlantılar şifrelenecek ve tüm bu bağlantılara proxy uygulanacaktır.
Böylece önerilerimize uyarak SSL bağlantı güvenliği testinde en yüksek puanı elde etmenin yanı sıra tüm Zimbra OSE altyapısının güvenliğini de önemli ölçüde artırabilirsiniz.
Zextras Suite ile ilgili tüm sorularınız için Zextras Ekaterina Triandafilidi Temsilcisi ile e-posta yoluyla iletişime geçebilirsiniz. [e-posta korumalı]
Kaynak: habr.com