Introducción:
Después de recibir un informe de OpenVAS de que mi nivel de seguridad SSL del servidor de correo era medio, busqué formas de mejorarlo.
Encontré muy buenos sitios que me ayudan a realizar estas mejoras:
https:/ /weakdh.org/sysadmin.html
https://wiki.dovecot.org/SSL/DovecotConfiguration
Haga clic para acceder a added-crypto-hardening.pdf
Basado en este sitio y extendiéndose para cubrir el servicio de correo de Dovecot, este es el resultado:
Endurecimiento de Apache:
En /etc/apache2/mods-disponible/ssl.conf
Cambie los siguientes parámetros de la siguiente manera:SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DH+3DES:!RSA+3DES
SSLHonorCipherOrder on
Palomar de endurecimiento:
Nota:debe tener openssl>=1.0.0 dovecot>=2.1.x requerido, mejor dovecot>=2.2.x debido a la compatibilidad con ECDHE Dovecot intenta usar PFS de forma predeterminada, por lo que, además del SSL habilitado, casi no se requieren acciones para cambiar el configuración de registro para ver el cifrado, grep para login_log_format_elements en dovecot configs y agregue %k a él
por ejemplo:login_log_format_elements = "user=< %u> method=%m rip=%r lip=%l mpid=%e %c %k"
Configure los cifrados permitidos. La aplicación del lado del servidor solo funciona para dovecot>=2.2.6
En /etc/dovecot/conf.d/ssl.conf
Cambie algunos parámetros de la siguiente manera:ssl_cipher_list = EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
#only for dovecot >=2.2.6, enforce the server cipher preference
ssl_prefer_server_ciphers = yes
#disable SSLv2 and SSLv3
ssl_protocols = !SSLv2 !SSLv3
Agregue el siguiente parámetro:ssl_dh_parameters_length = 2048
Elimine el archivo /var/lib/dovecot/ssl-parameters.dat
y reinicie el servicio Dovecot:service dovecot restart
Palomar al ver que los parámetros de Diffie Hellman están asignados a una longitud de 2048 bits y que su archivo acaba de ser borrado, regenerará uno nuevo en segundo plano.
Posfijo de endurecimiento
En /etc/postfix/main.cf
Cambie o agregue los siguientes parámetros de configuración:smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers=high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_dh1024_param_file=/etc/ssl/dh2048.pem
Genera un nuevo archivo de parámetros de Diffie Hellman de la siguiente manera:openssl dhparam -out /etc/ssl/dh2048.pem 2048