Sức mạnh của mã hóa là một trong những chỉ số quan trọng nhất khi sử dụng hệ thống thông tin cho doanh nghiệp, bởi vì hàng ngày chúng tham gia vào việc chuyển một lượng lớn thông tin bí mật. Phương tiện được chấp nhận chung để đánh giá chất lượng kết nối SSL là thử nghiệm độc lập từ Qualys SSL Labs. Vì bất kỳ ai cũng có thể thực hiện bài kiểm tra này nên điều đặc biệt quan trọng đối với các nhà cung cấp SaaS là đạt được điểm cao nhất có thể trong bài kiểm tra này. Không chỉ các nhà cung cấp SaaS mà cả các doanh nghiệp thông thường cũng quan tâm đến chất lượng kết nối SSL. Đối với họ, cuộc thử nghiệm này là cơ hội tuyệt vời để xác định trước các lỗ hổng tiềm ẩn và đóng trước mọi sơ hở cho tội phạm mạng.
Zimbra OSE cho phép hai loại chứng chỉ SSL. Đầu tiên là chứng chỉ tự ký được tự động thêm vào trong quá trình cài đặt. Chứng chỉ này miễn phí và không giới hạn thời gian, lý tưởng để thử nghiệm Zimbra OSE hoặc sử dụng nó độc quyền trong mạng nội bộ. Tuy nhiên, khi đăng nhập vào web client, người dùng sẽ thấy cảnh báo từ trình duyệt rằng chứng chỉ này không đáng tin cậy và máy chủ của bạn chắc chắn sẽ thất bại trong bài kiểm tra từ Qualys SSL Labs.
Thứ hai là chứng chỉ SSL thương mại được ký bởi cơ quan chứng nhận. Những chứng chỉ như vậy dễ dàng được các trình duyệt chấp nhận và thường được sử dụng cho mục đích thương mại của Zimbra OSE. Ngay sau khi cài đặt đúng chứng chỉ thương mại, Zimbra OSE 8.8.15 hiển thị điểm A trong bài kiểm tra từ Qualys SSL Labs. Đây là một kết quả xuất sắc nhưng mục tiêu của chúng tôi là đạt được kết quả A+.
Để đạt được điểm tối đa trong bài kiểm tra từ Qualys SSL Labs khi sử dụng Zimbra Collaboration Suite Open-Source Edition, bạn phải hoàn thành một số bước:
1. Tăng tham số của giao thức Diffie-Hellman
Theo mặc định, tất cả các thành phần Zimbra OSE 8.8.15 sử dụng OpenSSL đều có cài đặt giao thức Diffie-Hellman được đặt thành 2048 bit. Về nguyên tắc, điều này là quá đủ để đạt điểm A+ trong bài kiểm tra từ Qualys SSL Labs. Tuy nhiên, nếu bạn đang nâng cấp từ các phiên bản cũ hơn, cài đặt có thể thấp hơn. Do đó, sau khi cập nhật hoàn tất, hãy chạy lệnh zmdhparam set -new 2048, lệnh này sẽ tăng các tham số của giao thức Diffie-Hellman lên 2048 bit có thể chấp nhận được và nếu muốn, bằng cách sử dụng lệnh tương tự, bạn có thể tăng giá trị của các tham số thành 3072 hoặc 4096 bit, một mặt sẽ dẫn đến thời gian tạo tăng lên, nhưng mặt khác sẽ có tác động tích cực đến mức độ bảo mật của máy chủ thư.
2. Bao gồm danh sách mật mã được đề xuất sử dụng
Theo mặc định, Zimbra Collaborataion Suite Open-Source Edition hỗ trợ nhiều loại mật mã mạnh và yếu, mã hóa dữ liệu truyền qua kết nối an toàn. Tuy nhiên, việc sử dụng mật mã yếu là một bất lợi nghiêm trọng khi kiểm tra tính bảo mật của kết nối SSL. Để tránh điều này, bạn cần định cấu hình danh sách mật mã được sử dụng.
Để làm điều này, sử dụng lệnh zmprov mcf zimbraReverseProxySSLCiphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4'
Lệnh này ngay lập tức bao gồm một tập hợp các mật mã được đề xuất và nhờ có nó, lệnh có thể ngay lập tức đưa các mật mã đáng tin cậy vào danh sách và loại trừ những mật mã không đáng tin cậy. Bây giờ tất cả những gì còn lại là khởi động lại các nút proxy ngược bằng lệnh khởi động lại zmproxyctl. Sau khi khởi động lại, những thay đổi được thực hiện sẽ có hiệu lực.
Nếu danh sách này không phù hợp với bạn vì lý do này hay lý do khác, bạn có thể xóa một số mật mã yếu khỏi danh sách bằng lệnh zmprov mcf +zimbraSSLExcludeCipherSuites. Vì vậy, ví dụ, lệnh zmprov mcf +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites TLS_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_MD5 +zimbraSSLExcludeCipherSuites SSL_RSA_WITH_RC4_128_SHA +zimbraSSLExcludeCipherSuites TLS_ECDHE_RSA_WITH_RC4_128_SHA, điều này sẽ loại bỏ hoàn toàn việc sử dụng mật mã RC4. Điều tương tự có thể được thực hiện với mật mã AES và 3DES.
3. Kích hoạt HSTS
Các cơ chế được kích hoạt để buộc mã hóa kết nối và khôi phục phiên TLS cũng được yêu cầu để đạt được điểm hoàn hảo trong bài kiểm tra Qualys SSL Labs. Để kích hoạt chúng, bạn phải nhập lệnh zmprov mcf +zimbraResponseHeader "Strict-Transport-Security: max-age=31536000". Lệnh này sẽ thêm tiêu đề cần thiết vào cấu hình và để các cài đặt mới có hiệu lực, bạn sẽ phải khởi động lại Zimbra OSE bằng lệnh khởi động lại zmcontrol.
Ở giai đoạn này, thử nghiệm từ Qualys SSL Labs sẽ hiển thị xếp hạng A+, nhưng nếu muốn cải thiện hơn nữa tính bảo mật cho máy chủ của mình, bạn có thể thực hiện một số biện pháp khác.
Ví dụ: bạn có thể bật mã hóa bắt buộc cho các kết nối giữa các quá trình và bạn cũng có thể bật mã hóa bắt buộc khi kết nối với các dịch vụ Zimbra OSE. Để kiểm tra kết nối giữa các tiến trình, hãy nhập các lệnh sau:
zmlocalconfig -e ldap_starttls_supported=1
zmlocalconfig -e zimbra_require_interprocess_security=1
zmlocalconfig -e ldap_starttls_required=trueĐể kích hoạt mã hóa bắt buộc, bạn cần nhập:
zmprov gs `zmhostname` zimbraReverseProxyMailMode
zmprov ms `zmhostname` zimbraReverseProxyMailMode https
zmprov gs `zmhostname` zimbraMailMode
zmprov ms `zmhostname` zimbraMailMode https
zmprov gs `zmhostname` zimbraReverseProxySSLToUpstreamEnabled
zmprov ms `zmhostname` zimbraReverseProxySSLToUpstreamEnabled TRUENhờ các lệnh này, tất cả các kết nối đến máy chủ proxy và máy chủ thư sẽ được mã hóa và tất cả các kết nối này sẽ được ủy quyền.
Do đó, làm theo khuyến nghị của chúng tôi, bạn không chỉ có thể đạt được điểm cao nhất trong bài kiểm tra bảo mật kết nối SSL mà còn tăng đáng kể tính bảo mật của toàn bộ cơ sở hạ tầng Zimbra OSE.
Đối với tất cả các câu hỏi liên quan đến Zextras Suite, bạn có thể liên hệ với Đại diện Zextras Ekaterina Triandafilidi qua email [email được bảo vệ]
Nguồn: www.habr.com