TLS 1.0 y 1.1 en desuso para Office 365, como prepararnos

(Artículo escrito por José Manuel Castillo García para la Comunidad de Office 365)
Hace unas semanas Microsoft informó que no permitirá los accesos a Office 365 a través de protocolos considerados no seguros a partir de Junio de 2020. Esto nos va a obligar a realizar un profundo análisis a nuestro entorno y de cómo acceden los usuarios de forma que podamos garantizar que TLS 1.2 está siendo utilizado por cada aplicación cliente al acceder a los servicios de Office 365.
¿En principio que significa esto? Pues 2 cosas muy importantes, la primera es que, a partir de junio del 2020, Office 365 empezará a dejar de permitir conexiones que se realicen con TLS 1.0 y 1.1 en entornos de todo el mundo para clientes comerciales y en entornos Global Government Community (GCC). Esto significa que, para esa fecha, los dispositivos, aplicaciones cliente o servicios que se conecten a Office 365 mediante TLS 1.0 y 1.1 no se realizarán permitirán y por lo tanto no habrá ninguna conversación entre cliente y servidor; y la segunda es que a nivel de seguridad tenemos un riesgo que (si bien puede ser aun potencial) debemos subsanar cuanto antes mediante el desuso de dichos protocolos pasando a una versión más segura.
Antes de entrar en detalles debemos conocer que es TLS y sus versiones 1.0, 1.1, y 1.2
TLS es el acrónimo de Transport Layer Security (o seguridad en la capa de transporte). Este protocolo nace de la necesidad de mejorar el protocolo anterior SSL (Secure Socket Layer), aunque ambos se suelen referir como SSL sin más. De hecho, se TLS se suele conocer también como SSL 3.1.
Nace en 1999 y fue definido en la RFC 2246 y no es más que una adaptación natural desde SSL 3.0 a las versiones posteriores de TLS.
TLS 1.1 nace en 2006 y se regula en la RFC 4346 y esta versión trae ya protecciones contra ataques, corrección de errores de versiones anteriores y otras mejoras menores.
Estos protocolos tienen una fuerte debilidad y no es otra que, su tráfico no está fuertemente encriptado, siendo a partir de TLS 1.2 que se encripta con SHA-256 en lugar de MD5-SHA-1.
¿Como me afecta esto a mí?
Como administrador de Office 365, no realizar el estudio oportuno, puede dejar a los usuarios sin poder acceder a las herramientas de Office 365 en uno, varios, o todos los dispositivos, produciendo así una interrupción de acceso y uso del servicio llegando incluso a pensar que el problema es de Microsoft.
Durante el estudio de nuestra organización, puede que nos encontremos con los siguientes clientes de correo o navegadores que afectarán 100% al acceso a Office 365 ya que no son capaces de establecer conversaciones de TLS 1.2:
- Clientes de correo Android 4.3 o inferior.
- Clientes correo IOS anterior a la 7.
- Office 2010, e incluso 2013 anterior a sp1.
- Internet Explorer 8 a 10 sobre Windows 7 o anterior.
- Internet Explorer 10 sobre Windows Phone 8.
- Safari 6.04 sobre OS X 10.8.4 y anteriores.
- Firefox 5.0 y anteriores.
- Windows 7 y server 2008 se pueden compatibilizar con esta actualización.
Adicionalmente, tanto Microsoft Edge como Internet Explorer dejaran de tener soporte para TLS 1.0 y 1.1 en 2020.
Para una lista actualizada de navegadores que soportan TLS en sus distintas versiones, podéis consultar el site https://caniuse.com/#search=tls
Como lectura adicional, el artículo “Solving the TLS .0 problem, 2nd Edition” resulta interesante y profundiza aun más los retos de TLS 1.0 y la implementación en Microsoft.
Como mejorar la seguridad en nuestro entorno office 365
Poco a poco iremos proponiendo mejoras para un entorno Office 365 más seguro, que unidas a las mejoras de la arquitectura que realiza Microsoft podemos tener un entorno mucho más seguro.
Comencemos con el análisis de cómo podemos medir que uso se está realizando en nuestro entorno de TLS y otros protocolos obsoletos. Antes de nada, quiero informaros que los pantallazos que veremos son de entornos en producción por lo que podemos encontrar información ofuscada que, si bien no interferirán en la comprensión, puede modificar la estética. Por mi parte lo prefiero así debido a que creo que reflejan mejor la realidad que un pantallazo de otra web, o de un tenant de pruebas, sin valores específicos o datos vacíos.
Análisis completo para office 365.
En Office 365 tenemos herramientas implementadas que nos van a dar información valiosísima al respecto. El problema es que no es fácil saber cómo localizarlas. Si queremos entrar directamente solo hay que acceder a la web https://security.microsoft.com/securescore?viewid=overview y acceder con credenciales de administrador global de Office 365.
Si queremos acceder desde el portal (como administrador Global), Debemos ir al apartado seguridad y cumplimiento y en el portal de bienvenida buscar puntuación de seguridad.

Esta es una auténtica fuente de recursos de mejoras en la seguridad que en próximas entradas la analizaremos más a fondo.
En la parte inferior de esta ventanita encontramos el enlace:
Al acceder veremos una vista principal de resumen. Con las mejoras que nos propone Microsoft; imagen extraída de aquí:
Pinchamos en acciones de mejoras, nos mostrará todo lo que Microsoft propone para la mejora de nuestro tenant:
Para esta en concreto, en el buscador escribimos “TLS”:
Pinchamos sobre el resultado y nos dará la información.
Con el Scroll bajamos y nos da el enlace para acceder al trust portal de Microsoft.
Accedemos (si nos pide credenciales, han de ser las de administrados global) y vemos el botón download.
Pinchamos y nos descargará el informe. Al abrirlo nos dará información de que usuario es, que versión de protocolo (TLS 1.0 o 1.1) y que herramientas/clientes usa:
A partir de aquí toca investigar cual es cada una, pero, por ejemplo:
Microsoft+Outlook+16.0.11929: A pesar de que usa Office 2016, probablemente estemos ante una versión no actualizada de Office la versión actual es la 16.0.12026, el sistema operativo tiene forzado TLS 1.0 o bien algún dispositivo de red intermedio (Firewall, proxy inverso, balanceador…) no permite TLS 1.2 y por lo tanto se establece TLS 1.0
Android-SAMSUNG-SM-T805: Esta Tablet venia de fabrica con Android 5.0 y por lo tanto no permite el uso de TLS 1.2. Está obsoleta
Microsoft+BITS/7.5: Esto suele ser casi con toda seguridad Windows 7, aunque he visto algún Windows 10 y era porque tenía una versión anterior a la fall creators update.
La información que aquí se expresa hay que investigarla, ver el equipo del usuario, su teléfono móvil, y el navegador o aplicación desde el que accede. Esta operación hay que repetirla casi a diario, porque el informe es de las últimas 24 horas, y puede que haya usuarios que no se conecten en este intervalo y no aparezcan. Incluso cuando se piense que se han revisado todos los casos, es conveniente repetirlo periódicamente para estar atentos a cualquier usuario que se conecte poco o por ejemplo configure el correo en un dispositivo obsoleto.
Como revisar los accesos en Exchange Online
En este caso solo vamos a analizar el acceso a través de protocolos no seguros a Exchange online.
También desde el portal de office 365 como administrador global o como administrador de Exchange Online, accedemos a seguridad y cumplimiento y dentro pinchamos en flujo de correo:
En el panel, por defecto encontramos esta ventana:
Si pinchamos en ella nos da el valor:
Y como queremos el informe más detallado, pinchamos en el enlace que encontramos en el texto en la palabra informe:
Podemos ver más datos pulsando sobre volumen de envío (especialmente interesante si trabajamos con varios dominios de correo en nuestro tenant), o pinchamos solicitar informe.
Pinchamos en ver tablas de detalles, y nos da la información:
También podemos solicitar el informe y nos lo enviará por correo.
Aquí tenemos más ventajas, ya que podemos definir el intervalo de fechas y el nombre del archivo. Otra diferencia es que no se descarga nos lo envía por mail.
Nota: La cuenta de correo, debe ser interna (se ha puesto esa por privacidad)
Tras esto nos da un mensaje de confirmación y nos dice que puede tardar unas horas:
En este caso tardó unos 10 minutos y recibí este correo:
Con el uso periódico de la herramienta iremos poco a poco mitigando los posibles errores que tengamos en los accesos y para cuando se bloquee el acceso con TLS obsoletos, el impacto en nuestra empresa sea mínimo, o inexistente. Hay que trazar un plan de periodicidad en esta revisión, se recomienda empezar haciéndolo diariamente y solventando los avisos que nos de Office 365.
Desde esta comunidad iremos publicando artículos en la base de How-to, analizando más la parte práctica de como se hace a la teórica. El objetivo es ayudar a la comunidad a que mejore sus entornos e investigue en nuevos procesos.
Como revisar la versión de TLS que negocia el puesto cliente contra Office 365 mediante una traza de red
Hay situaciones que requieren saber al momento si estamos haciendo que versión de TLS estamos utilizando, y para eso no podemos esperar a que se genere un informe desde el lado de Office 365 ya que dilataría las acciones llevadas a cabo sobre una maquina en concreto. Para ello lo mejor es recolectar una traza de red y analizarla sobre la marcha tan solo con establecer la conexión inicial con el servicio de Office 365.
Para este artículo, utilizaremos Microsoft Network Monitor 3.4 (que aunque ya obsoleto es fácil y fiable) mientras que un cliente de Outlook 2016 se conecta con Exchange Online (no entraré en detalles de cómo utilizar Network Monitor ni como iniciar la captura):
Fuentes:
- https://docs.microsoft.com/es-es/office365/troubleshoot/security/prepare-tls-1.2-in-office-365
- https://es.wikipedia.org/wiki/Wikipedia:Portada
Técnico de Sistemas en VS Sistemas