TLS 1.0 y 1.1 en desuso para Office 365, como prepararnos

TLS 1.0 y 1.1 en desuso para Office 365, como prepararnos

(Artƭculo escrito por JosƩ Manuel Castillo Garcƭa para la Comunidad de Office 365)

Hace unas semanas Microsoft informó que no permitirÔ los accesos a Office 365 a través de protocolos considerados no seguros a partir de Junio de 2020. Esto nos va a obligar a realizar un profundo anÔlisis a nuestro entorno y de cómo acceden los usuarios de forma que podamos garantizar que TLS 1.2 estÔ siendo utilizado por cada aplicación cliente al acceder a los servicios de Office 365.

¿En principio que significa esto? Pues 2 cosas muy importantes, la primera es que, a partir de junio del 2020, Office 365 empezarÔ a dejar de permitir conexiones que se realicen con TLS 1.0 y 1.1 en entornos de todo el mundo para clientes comerciales y en entornos Global Government Community (GCC). Esto significa que, para esa fecha, los dispositivos, aplicaciones cliente o servicios que se conecten a Office 365 mediante TLS 1.0 y 1.1 no se realizarÔn permitirÔn y por lo tanto no habrÔ ninguna conversación entre cliente y servidor; y la segunda es que a nivel de seguridad tenemos un riesgo que (si bien puede ser aun potencial) debemos subsanar cuanto antes mediante el desuso de dichos protocolos pasando a una versión mÔs segura.

Antes de entrar en detalles debemos conocer que es TLS y sus versiones 1.0, 1.1, y 1.2

TLS es el acrónimo de Transport Layer Security (o seguridad en la capa de transporte). Este protocolo nace de la necesidad de mejorar el protocolo anterior SSL (Secure Socket Layer), aunque ambos se suelen referir como SSL sin mÔs. De hecho, se TLS se suele conocer también como SSL 3.1.

Nace en 1999 y fue definido en la RFC 2246 y no es mÔs que una adaptación natural desde SSL 3.0 a las versiones posteriores de TLS.

TLS 1.1 nace en 2006 y se regula en la RFC 4346 y esta versión trae ya protecciones contra ataques, corrección de errores de versiones anteriores y otras mejoras menores.

Estos protocolos tienen una fuerte debilidad y no es otra que, su trƔfico no estƔ fuertemente encriptado, siendo a partir de TLS 1.2 que se encripta con SHA-256 en lugar de MD5-SHA-1.

ĀæComo me afecta esto a mĆ­?

Como administrador de Office 365, no realizar el estudio oportuno, puede dejar a los usuarios sin poder acceder a las herramientas de Office 365 en uno, varios, o todos los dispositivos, produciendo así una interrupción de acceso y uso del servicio llegando incluso a pensar que el problema es de Microsoft.

Durante el estudio de nuestra organización, puede que nos encontremos con los siguientes clientes de correo o navegadores que afectarÔn 100% al acceso a Office 365 ya que no son capaces de establecer conversaciones de TLS 1.2:

  • Clientes de correo Android 4.3 o inferior.
  • Clientes correo IOS anterior a la 7.
  • Office 2010, e incluso 2013 anterior a sp1.
  • Internet Explorer 8 a 10 sobre Windows 7 o anterior.
  • Internet Explorer 10 sobre Windows Phone 8.
  • Safari 6.04 sobre OS X 10.8.4 y anteriores.
  • Firefox 5.0 y anteriores.
  • Windows 7 y server 2008 se pueden compatibilizar con esta actualización.

Adicionalmente, tanto Microsoft Edge como Internet Explorer dejaran de tener soporte para TLS 1.0 y 1.1 en 2020.

Para una lista actualizada de navegadores que soportan TLS en sus distintas versiones, podƩis consultar el site https://caniuse.com/#search=tls

Como lectura adicional, el artĆ­culo ā€œSolving the TLS .0 problem, 2nd Editionā€ resulta interesante y profundiza aun mĆ”s los retos de TLS 1.0 y la implementación en Microsoft.

Como mejorar la seguridad en nuestro entorno office 365

Poco a poco iremos proponiendo mejoras para un entorno Office 365 mƔs seguro, que unidas a las mejoras de la arquitectura que realiza Microsoft podemos tener un entorno mucho mƔs seguro.

Comencemos con el anÔlisis de cómo podemos medir que uso se estÔ realizando en nuestro entorno de TLS y otros protocolos obsoletos. Antes de nada, quiero informaros que los pantallazos que veremos son de entornos en producción por lo que podemos encontrar información ofuscada que, si bien no interferirÔn en la comprensión, puede modificar la estética. Por mi parte lo prefiero así debido a que creo que reflejan mejor la realidad que un pantallazo de otra web, o de un tenant de pruebas, sin valores específicos o datos vacíos.

AnƔlisis completo para office 365.

En Office 365 tenemos herramientas implementadas que nos van a dar información valiosísima al respecto. El problema es que no es fÔcil saber cómo localizarlas. Si queremos entrar directamente solo hay que acceder a la web https://security.microsoft.com/securescore?viewid=overview y acceder con credenciales de administrador global de Office 365.

Si queremos acceder desde el portal (como administrador Global), Debemos ir al apartado seguridad y cumplimiento y en el portal de bienvenida buscar puntuación de seguridad.

Esta es una auténtica fuente de recursos de mejoras en la seguridad que en próximas entradas la analizaremos mÔs a fondo.

En la parte inferior de esta ventanita encontramos el enlace:

Al acceder veremos una vista principal de resumen. Con las mejoras que nos propone Microsoft; imagen extraĆ­da de aquĆ­:

Pinchamos en acciones de mejoras, nos mostrarĆ” todo lo que Microsoft propone para la mejora de nuestro tenant:

Para esta en concreto, en el buscador escribimos ā€œTLSā€:

Pinchamos sobre el resultado y nos darÔ la información.

Con el Scroll bajamos y nos da el enlace para acceder al trust portal de Microsoft.

Accedemos (si nos pide credenciales, han de ser las de administrados global) y vemos el botón download.

Pinchamos y nos descargarÔ el informe. Al abrirlo nos darÔ información de que usuario es, que versión de protocolo (TLS 1.0 o 1.1) y que herramientas/clientes usa:

A partir de aquĆ­ toca investigar cual es cada una, pero, por ejemplo:

Microsoft+Outlook+16.0.11929: A pesar de que usa Office 2016, probablemente estemos ante una versión no actualizada de Office la versión actual es la 16.0.12026, el sistema operativo tiene forzado TLS 1.0 o bien algĆŗn dispositivo de red intermedio (Firewall, proxy inverso, balanceador…) no permite TLS 1.2 y por lo tanto se establece TLS 1.0

Android-SAMSUNG-SM-T805: Esta Tablet venia de fabrica con Android 5.0 y por lo tanto no permite el uso de TLS 1.2. EstĆ” obsoleta

Microsoft+BITS/7.5: Esto suele ser casi con toda seguridad Windows 7, aunque he visto algún Windows 10 y era porque tenía una versión anterior a la fall creators update.

La información que aquí se expresa hay que investigarla, ver el equipo del usuario, su teléfono móvil, y el navegador o aplicación desde el que accede. Esta operación hay que repetirla casi a diario, porque el informe es de las últimas 24 horas, y puede que haya usuarios que no se conecten en este intervalo y no aparezcan. Incluso cuando se piense que se han revisado todos los casos, es conveniente repetirlo periódicamente para estar atentos a cualquier usuario que se conecte poco o por ejemplo configure el correo en un dispositivo obsoleto.

Como revisar los accesos en Exchange Online

En este caso solo vamos a analizar el acceso a travƩs de protocolos no seguros a Exchange online.

TambiƩn desde el portal de office 365 como administrador global o como administrador de Exchange Online, accedemos a seguridad y cumplimiento y dentro pinchamos en flujo de correo:

En el panel, por defecto encontramos esta ventana:

Si pinchamos en ella nos da el valor:

Y como queremos el informe mƔs detallado, pinchamos en el enlace que encontramos en el texto en la palabra informe:

Podemos ver mƔs datos pulsando sobre volumen de envƭo (especialmente interesante si trabajamos con varios dominios de correo en nuestro tenant), o pinchamos solicitar informe.

Pinchamos en ver tablas de detalles, y nos da la información:

TambiƩn podemos solicitar el informe y nos lo enviarƔ por correo.

Aquƭ tenemos mƔs ventajas, ya que podemos definir el intervalo de fechas y el nombre del archivo. Otra diferencia es que no se descarga nos lo envƭa por mail.

Nota: La cuenta de correo, debe ser interna (se ha puesto esa por privacidad)

Tras esto nos da un mensaje de confirmación y nos dice que puede tardar unas horas:

En este caso tardó unos 10 minutos y recibí este correo:

Con el uso periódico de la herramienta iremos poco a poco mitigando los posibles errores que tengamos en los accesos y para cuando se bloquee el acceso con TLS obsoletos, el impacto en nuestra empresa sea mínimo, o inexistente. Hay que trazar un plan de periodicidad en esta revisión, se recomienda empezar haciéndolo diariamente y solventando los avisos que nos de Office 365.

Desde esta comunidad iremos publicando artículos en la base de How-to, analizando mÔs la parte prÔctica de como se hace a la teórica. El objetivo es ayudar a la comunidad a que mejore sus entornos e investigue en nuevos procesos.

Como revisar la versión de TLS que negocia el puesto cliente contra Office 365 mediante una traza de red

Hay situaciones que requieren saber al momento si estamos haciendo que versión de TLS estamos utilizando, y para eso no podemos esperar a que se genere un informe desde el lado de Office 365 ya que dilataría las acciones llevadas a cabo sobre una maquina en concreto. Para ello lo mejor es recolectar una traza de red y analizarla sobre la marcha tan solo con establecer la conexión inicial con el servicio de Office 365.

Para este artículo, utilizaremos Microsoft Network Monitor 3.4 (que aunque ya obsoleto es fÔcil y fiable) mientras que un cliente de Outlook 2016 se conecta con Exchange Online (no entraré en detalles de cómo utilizar Network Monitor ni como iniciar la captura):

Fuentes:

JosƩ Manuel Castillo Garcƭa

TƩcnico de Sistemas en VS Sistemas

Deja una respuesta

Tu dirección de correo electrónico no serÔ publicada. Los campos obligatorios estÔn marcados con *