پرو ہوسٹر > بلاگ > انتظامیہ > زمبرا کولابریشن سویٹ اوپن سورس ایڈیشن میں ایس ایس ایل کنکشن سیکیورٹی کی ترتیبات کو بہتر بنانا

زمبرا کولابریشن سویٹ اوپن سورس ایڈیشن میں ایس ایس ایل کنکشن سیکیورٹی کی ترتیبات کو بہتر بنانا

کاروبار کے لیے انفارمیشن سسٹمز کا استعمال کرتے وقت خفیہ کاری کی طاقت سب سے اہم اشارے میں سے ایک ہے، کیونکہ وہ ہر روز بڑی مقدار میں خفیہ معلومات کی منتقلی میں ملوث ہوتے ہیں۔ SSL کنکشن کے معیار کو جانچنے کا ایک عام طور پر قبول شدہ ذریعہ Qualys SSL Labs کا ایک آزاد ٹیسٹ ہے۔ چونکہ یہ ٹیسٹ کوئی بھی چلا سکتا ہے، اس لیے یہ خاص طور پر اہم ہے کہ SaaS فراہم کرنے والوں کے لیے اس ٹیسٹ میں سب سے زیادہ ممکنہ اسکور حاصل کرنا۔ نہ صرف SaaS فراہم کرنے والے بلکہ عام کاروباری ادارے بھی SSL کنکشن کے معیار کا خیال رکھتے ہیں۔ ان کے لیے، یہ ٹیسٹ ممکنہ کمزوریوں کی نشاندہی کرنے اور سائبر کرائمینلز کے لیے تمام خامیوں کو پہلے سے بند کرنے کا ایک بہترین موقع ہے۔

زمبرا کولابریشن سویٹ اوپن سورس ایڈیشن میں ایس ایس ایل کنکشن سیکیورٹی کی ترتیبات کو بہتر بنانا
Zimbra OSE دو قسم کے SSL سرٹیفکیٹس کی اجازت دیتا ہے۔ پہلا ایک خود دستخط شدہ سرٹیفکیٹ ہے جو انسٹالیشن کے دوران خود بخود شامل ہوجاتا ہے۔ یہ سرٹیفکیٹ مفت ہے اور اس کی کوئی حد نہیں ہے، یہ Zimbra OSE کی جانچ کرنے یا اسے خصوصی طور پر اندرونی نیٹ ورک کے اندر استعمال کرنے کے لیے مثالی بناتی ہے۔ تاہم، ویب کلائنٹ میں لاگ ان کرتے وقت، صارفین کو براؤزر کی طرف سے ایک انتباہ نظر آئے گا کہ یہ سرٹیفکیٹ ناقابل اعتماد ہے، اور آپ کا سرور یقینی طور پر Qualys SSL Labs کے ٹیسٹ میں ناکام ہو جائے گا۔

دوسرا تجارتی SSL سرٹیفکیٹ ہے جس پر سرٹیفیکیشن اتھارٹی کے دستخط ہیں۔ اس طرح کے سرٹیفکیٹ براؤزر آسانی سے قبول کر لیتے ہیں اور عام طور پر Zimbra OSE کے تجارتی استعمال کے لیے استعمال ہوتے ہیں۔ کمرشل سرٹیفکیٹ کی درست تنصیب کے فوراً بعد، Zimbra OSE 8.8.15 Qualys SSL Labs کے ٹیسٹ میں A سکور دکھاتا ہے۔ یہ ایک بہترین نتیجہ ہے، لیکن ہمارا مقصد A+ نتیجہ حاصل کرنا ہے۔

زمبرا کولابریشن سویٹ اوپن سورس ایڈیشن میں ایس ایس ایل کنکشن سیکیورٹی کی ترتیبات کو بہتر بنانا

زمبرا کولابریشن سویٹ اوپن سورس ایڈیشن میں ایس ایس ایل کنکشن سیکیورٹی کی ترتیبات کو بہتر بنانا

Zimbra Collaboration Suite Open-Source Edition استعمال کرتے وقت Qualys SSL Labs سے ٹیسٹ میں زیادہ سے زیادہ اسکور حاصل کرنے کے لیے، آپ کو متعدد مراحل کو مکمل کرنا ہوگا:

1. Diffie-Hellman پروٹوکول کے پیرامیٹرز کو بڑھانا

پہلے سے طے شدہ طور پر، تمام Zimbra OSE 8.8.15 اجزاء جو OpenSSL استعمال کرتے ہیں ان میں Diffie-Hellman پروٹوکول سیٹنگز 2048 بٹس پر سیٹ ہوتی ہیں۔ اصولی طور پر، Qualys SSL Labs سے ٹیسٹ میں A+ سکور حاصل کرنے کے لیے یہ کافی ہے۔ تاہم، اگر آپ پرانے ورژن سے اپ گریڈ کر رہے ہیں، تو سیٹنگیں کم ہو سکتی ہیں۔ لہذا، یہ تجویز کیا جاتا ہے کہ اپ ڈیٹ مکمل ہونے کے بعد، zmdhparam set -new 2048 کمانڈ کو چلائیں، جو Diffie-Hellman پروٹوکول کے پیرامیٹرز کو قابل قبول 2048 بٹس تک بڑھا دے گا، اور اگر چاہیں تو اسی کمانڈ کا استعمال کرتے ہوئے، آپ بڑھا سکتے ہیں۔ پیرامیٹرز کی قدر 3072 یا 4096 بٹس تک ہے، جو ایک طرف تو جنریشن کے وقت میں اضافہ کرے گا، لیکن دوسری طرف میل سرور کی سیکیورٹی کی سطح پر مثبت اثر ڈالے گا۔

2. استعمال شدہ سائفرز کی تجویز کردہ فہرست سمیت

پہلے سے طے شدہ طور پر، Zimbra Collaborataion Suite Open-Source Edition مضبوط اور کمزور سائفرز کی ایک وسیع رینج کو سپورٹ کرتا ہے، جو محفوظ کنکشن پر گزرنے والے ڈیٹا کو انکرپٹ کرتے ہیں۔ تاہم، ایس ایس ایل کنکشن کی حفاظت کی جانچ کرتے وقت کمزور سائفرز کا استعمال ایک سنگین نقصان ہے۔ اس سے بچنے کے لیے، آپ کو استعمال شدہ سائفرز کی فہرست ترتیب دینے کی ضرورت ہے۔

ایسا کرنے کے لیے، کمانڈ استعمال کریں۔ zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'

اس کمانڈ میں فوری طور پر تجویز کردہ سائفرز کا ایک سیٹ شامل ہے اور اس کی بدولت، کمانڈ فوری طور پر فہرست میں قابل اعتماد سائفرز کو شامل کر سکتی ہے اور ناقابل اعتماد کو خارج کر سکتی ہے۔ اب جو کچھ باقی ہے وہ zmproxyctl restart کمانڈ کا استعمال کرتے ہوئے ریورس پراکسی نوڈس کو دوبارہ شروع کرنا ہے۔ ریبوٹ کے بعد، کی گئی تبدیلیاں لاگو ہوں گی۔

اگر یہ فہرست کسی نہ کسی وجہ سے آپ کے مطابق نہیں ہے، تو آپ کمانڈ کا استعمال کرتے ہوئے اس سے کئی کمزور سائفرز کو ہٹا سکتے ہیں۔ zmprov mcf +zimbraSSLExcludeCipherSuites. تو، مثال کے طور پر، کمانڈ zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA، جو RC4 سائفرز کے استعمال کو مکمل طور پر ختم کر دے گا۔ AES اور 3DES سائفرز کے ساتھ بھی ایسا ہی کیا جا سکتا ہے۔

3. HSTS کو فعال کریں۔

Qualys SSL Labs ٹیسٹ میں کامل سکور حاصل کرنے کے لیے کنکشن کی خفیہ کاری اور TLS سیشن ریکوری پر مجبور کرنے کے لیے فعال میکانزم بھی ضروری ہیں۔ ان کو فعال کرنے کے لیے آپ کو کمانڈ درج کرنا ہوگا۔ zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". یہ کمانڈ کنفیگریشن میں ضروری ہیڈر کو شامل کر دے گی، اور نئی سیٹنگز کے اثر میں آنے کے لیے آپ کو کمانڈ کا استعمال کرتے ہوئے Zimbra OSE کو دوبارہ شروع کرنا ہو گا۔ zmcontrol دوبارہ شروع کریں.

پہلے سے ہی اس مرحلے پر، Qualys SSL Labs کا ٹیسٹ A+ کی درجہ بندی دکھائے گا، لیکن اگر آپ اپنے سرور کی سیکیورٹی کو مزید بہتر بنانا چاہتے ہیں، تو آپ کے لیے بہت سے دوسرے اقدامات ہیں۔

زمبرا کولابریشن سویٹ اوپن سورس ایڈیشن میں ایس ایس ایل کنکشن سیکیورٹی کی ترتیبات کو بہتر بنانا

مثال کے طور پر، آپ انٹر پروسیس کنکشنز کی جبری خفیہ کاری کو فعال کر سکتے ہیں، اور آپ Zimbra OSE سروسز سے منسلک ہونے پر جبری خفیہ کاری کو بھی فعال کر سکتے ہیں۔ انٹر پروسیس کنکشن چیک کرنے کے لیے، درج ذیل کمانڈز درج کریں:

zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=true

جبری خفیہ کاری کو فعال کرنے کے لیے آپ کو درج کرنا ہوگا:

zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https

zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https

zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUE

ان کمانڈز کی بدولت، پراکسی سرورز اور میل سرورز کے تمام کنکشنز کو انکرپٹ کیا جائے گا، اور یہ تمام کنکشن پراکسی کیے جائیں گے۔

زمبرا کولابریشن سویٹ اوپن سورس ایڈیشن میں ایس ایس ایل کنکشن سیکیورٹی کی ترتیبات کو بہتر بنانا

اس طرح، ہماری سفارشات پر عمل کرتے ہوئے، آپ نہ صرف SSL کنکشن سیکیورٹی ٹیسٹ میں سب سے زیادہ اسکور حاصل کر سکتے ہیں، بلکہ پورے Zimbra OSE انفراسٹرکچر کی سیکیورٹی میں بھی نمایاں اضافہ کر سکتے ہیں۔

Zextras Suite سے متعلق تمام سوالات کے لیے، آپ Zextras Ekaterina Triandafilidi کے نمائندے سے ای میل کے ذریعے رابطہ کر سکتے ہیں۔ [ای میل محفوظ]

ماخذ: www.habr.com

نیا تبصرہ شامل کریں