TLS 1.0 y 1.1 en desuso para Office 365, como prepararnos

Microsoft 365, Office 365, Security

TLS 1.0 y 1.1 en desuso para Office 365, como prepararnos

(Artƭculo escrito por JosƩ Manuel Castillo Garcƭa para la Comunidad de Office 365)

Hace unas semanas Microsoft informĆ³ que no permitirĆ” los accesos a Office 365 a travĆ©s de protocolos considerados no seguros a partir de Junio de 2020. Esto nos va a obligar a realizar un profundo anĆ”lisis a nuestro entorno y de cĆ³mo acceden los usuarios de forma que podamos garantizar que TLS 1.2 estĆ” siendo utilizado por cada aplicaciĆ³n cliente al acceder a los servicios de Office 365.

ĀæEn principio que significa esto? Pues 2 cosas muy importantes, la primera es que, a partir de junio del 2020, Office 365 empezarĆ” a dejar de permitir conexiones que se realicen con TLS 1.0 y 1.1 en entornos de todo el mundo para clientes comerciales y en entornos Global Government Community (GCC). Esto significa que, para esa fecha, los dispositivos, aplicaciones cliente o servicios que se conecten a Office 365 mediante TLS 1.0 y 1.1 no se realizarĆ”n permitirĆ”n y por lo tanto no habrĆ” ninguna conversaciĆ³n entre cliente y servidor; y la segunda es que a nivel de seguridad tenemos un riesgo que (si bien puede ser aun potencial) debemos subsanar cuanto antes mediante el desuso de dichos protocolos pasando a una versiĆ³n mĆ”s segura.

Antes de entrar en detalles debemos conocer que es TLS y sus versiones 1.0, 1.1, y 1.2

TLS es el acrĆ³nimo de Transport Layer Security (o seguridad en la capa de transporte). Este protocolo nace de la necesidad de mejorar el protocolo anterior SSL (Secure Socket Layer), aunque ambos se suelen referir como SSL sin mĆ”s. De hecho, se TLS se suele conocer tambiĆ©n como SSL 3.1.

Nace en 1999 y fue definido en la RFC 2246 y no es mĆ”s que una adaptaciĆ³n natural desde SSL 3.0 a las versiones posteriores de TLS.

TLS 1.1 nace en 2006 y se regula en la RFC 4346 y esta versiĆ³n trae ya protecciones contra ataques, correcciĆ³n de errores de versiones anteriores y otras mejoras menores.

Estos protocolos tienen una fuerte debilidad y no es otra que, su trƔfico no estƔ fuertemente encriptado, siendo a partir de TLS 1.2 que se encripta con SHA-256 en lugar de MD5-SHA-1.

ĀæComo me afecta esto a mĆ­?

Como administrador de Office 365, no realizar el estudio oportuno, puede dejar a los usuarios sin poder acceder a las herramientas de Office 365 en uno, varios, o todos los dispositivos, produciendo asĆ­ una interrupciĆ³n de acceso y uso del servicio llegando incluso a pensar que el problema es de Microsoft.

Durante el estudio de nuestra organizaciĆ³n, puede que nos encontremos con los siguientes clientes de correo o navegadores que afectarĆ”n 100% al acceso a Office 365 ya que no son capaces de establecer conversaciones de TLS 1.2:

  • Clientes de correo Android 4.3 o inferior.
  • Clientes correo IOS anterior a la 7.
  • Office 2010, e incluso 2013 anterior a sp1.
  • Internet Explorer 8 a 10 sobre Windows 7 o anterior.
  • Internet Explorer 10 sobre Windows Phone 8.
  • Safari 6.04 sobre OS X 10.8.4 y anteriores.
  • Firefox 5.0 y anteriores.
  • Windows 7 y server 2008 se pueden compatibilizar con esta actualizaciĆ³n.

Adicionalmente, tanto Microsoft Edge como Internet Explorer dejaran de tener soporte para TLS 1.0 y 1.1 en 2020.

Para una lista actualizada de navegadores que soportan TLS en sus distintas versiones, podƩis consultar el site https://caniuse.com/#search=tls

Como lectura adicional, el artĆ­culo ā€œSolving the TLS .0 problem, 2nd Editionā€ resulta interesante y profundiza aun mĆ”s los retos de TLS 1.0 y la implementaciĆ³n en Microsoft.

Como mejorar la seguridad en nuestro entorno office 365

Poco a poco iremos proponiendo mejoras para un entorno Office 365 mƔs seguro, que unidas a las mejoras de la arquitectura que realiza Microsoft podemos tener un entorno mucho mƔs seguro.

Comencemos con el anĆ”lisis de cĆ³mo podemos medir que uso se estĆ” realizando en nuestro entorno de TLS y otros protocolos obsoletos. Antes de nada, quiero informaros que los pantallazos que veremos son de entornos en producciĆ³n por lo que podemos encontrar informaciĆ³n ofuscada que, si bien no interferirĆ”n en la comprensiĆ³n, puede modificar la estĆ©tica. Por mi parte lo prefiero asĆ­ debido a que creo que reflejan mejor la realidad que un pantallazo de otra web, o de un tenant de pruebas, sin valores especĆ­ficos o datos vacĆ­os.

AnƔlisis completo para office 365.

En Office 365 tenemos herramientas implementadas que nos van a dar informaciĆ³n valiosĆ­sima al respecto. El problema es que no es fĆ”cil saber cĆ³mo localizarlas. Si queremos entrar directamente solo hay que acceder a la web https://security.microsoft.com/securescore?viewid=overview y acceder con credenciales de administrador global de Office 365.

Si queremos acceder desde el portal (como administrador Global), Debemos ir al apartado seguridad y cumplimiento y en el portal de bienvenida buscar puntuaciĆ³n de seguridad.

Esta es una autĆ©ntica fuente de recursos de mejoras en la seguridad que en prĆ³ximas entradas la analizaremos mĆ”s a fondo.

En la parte inferior de esta ventanita encontramos el enlace:

Al acceder veremos una vista principal de resumen. Con las mejoras que nos propone Microsoft; imagen extraĆ­da de aquĆ­:

Pinchamos en acciones de mejoras, nos mostrarĆ” todo lo que Microsoft propone para la mejora de nuestro tenant:

Para esta en concreto, en el buscador escribimos ā€œTLSā€:

Pinchamos sobre el resultado y nos darĆ” la informaciĆ³n.

Con el Scroll bajamos y nos da el enlace para acceder al trust portal de Microsoft.

Accedemos (si nos pide credenciales, han de ser las de administrados global) y vemos el botĆ³n download.

Pinchamos y nos descargarĆ” el informe. Al abrirlo nos darĆ” informaciĆ³n de que usuario es, que versiĆ³n de protocolo (TLS 1.0 o 1.1) y que herramientas/clientes usa:

A partir de aquĆ­ toca investigar cual es cada una, pero, por ejemplo:

Microsoft+Outlook+16.0.11929: A pesar de que usa Office 2016, probablemente estemos ante una versiĆ³n no actualizada de Office la versiĆ³n actual es la 16.0.12026, el sistema operativo tiene forzado TLS 1.0 o bien algĆŗn dispositivo de red intermedio (Firewall, proxy inverso, balanceadorā€¦) no permite TLS 1.2 y por lo tanto se establece TLS 1.0

Android-SAMSUNG-SM-T805: Esta Tablet venia de fabrica con Android 5.0 y por lo tanto no permite el uso de TLS 1.2. EstĆ” obsoleta

Microsoft+BITS/7.5: Esto suele ser casi con toda seguridad Windows 7, aunque he visto algĆŗn Windows 10 y era porque tenĆ­a una versiĆ³n anterior a la fall creators update.

La informaciĆ³n que aquĆ­ se expresa hay que investigarla, ver el equipo del usuario, su telĆ©fono mĆ³vil, y el navegador o aplicaciĆ³n desde el que accede. Esta operaciĆ³n hay que repetirla casi a diario, porque el informe es de las Ćŗltimas 24 horas, y puede que haya usuarios que no se conecten en este intervalo y no aparezcan. Incluso cuando se piense que se han revisado todos los casos, es conveniente repetirlo periĆ³dicamente para estar atentos a cualquier usuario que se conecte poco o por ejemplo configure el correo en un dispositivo obsoleto.

Como revisar los accesos en Exchange Online

En este caso solo vamos a analizar el acceso a travƩs de protocolos no seguros a Exchange online.

TambiƩn desde el portal de office 365 como administrador global o como administrador de Exchange Online, accedemos a seguridad y cumplimiento y dentro pinchamos en flujo de correo:

En el panel, por defecto encontramos esta ventana:

Si pinchamos en ella nos da el valor:

Y como queremos el informe mƔs detallado, pinchamos en el enlace que encontramos en el texto en la palabra informe:

Podemos ver mƔs datos pulsando sobre volumen de envƭo (especialmente interesante si trabajamos con varios dominios de correo en nuestro tenant), o pinchamos solicitar informe.

Pinchamos en ver tablas de detalles, y nos da la informaciĆ³n:

TambiƩn podemos solicitar el informe y nos lo enviarƔ por correo.

Aquƭ tenemos mƔs ventajas, ya que podemos definir el intervalo de fechas y el nombre del archivo. Otra diferencia es que no se descarga nos lo envƭa por mail.

Nota: La cuenta de correo, debe ser interna (se ha puesto esa por privacidad)

Tras esto nos da un mensaje de confirmaciĆ³n y nos dice que puede tardar unas horas:

En este caso tardĆ³ unos 10 minutos y recibĆ­ este correo:

Con el uso periĆ³dico de la herramienta iremos poco a poco mitigando los posibles errores que tengamos en los accesos y para cuando se bloquee el acceso con TLS obsoletos, el impacto en nuestra empresa sea mĆ­nimo, o inexistente. Hay que trazar un plan de periodicidad en esta revisiĆ³n, se recomienda empezar haciĆ©ndolo diariamente y solventando los avisos que nos de Office 365.

Desde esta comunidad iremos publicando artĆ­culos en la base de How-to, analizando mĆ”s la parte prĆ”ctica de como se hace a la teĆ³rica. El objetivo es ayudar a la comunidad a que mejore sus entornos e investigue en nuevos procesos.

Como revisar la versiĆ³n de TLS que negocia el puesto cliente contra Office 365 mediante una traza de red

Hay situaciones que requieren saber al momento si estamos haciendo que versiĆ³n de TLS estamos utilizando, y para eso no podemos esperar a que se genere un informe desde el lado de Office 365 ya que dilatarĆ­a las acciones llevadas a cabo sobre una maquina en concreto. Para ello lo mejor es recolectar una traza de red y analizarla sobre la marcha tan solo con establecer la conexiĆ³n inicial con el servicio de Office 365.

Para este artĆ­culo, utilizaremos Microsoft Network Monitor 3.4 (que aunque ya obsoleto es fĆ”cil y fiable) mientras que un cliente de Outlook 2016 se conecta con Exchange Online (no entrarĆ© en detalles de cĆ³mo utilizar Network Monitor ni como iniciar la captura):

Fuentes:

JosƩ Manuel Castillo Garcƭa

TĆ©cnico de Sistemas en VS Sistemas

Deja una respuesta

Tu direcciĆ³n de correo electrĆ³nico no serĆ” publicada. Los campos obligatorios estĆ”n marcados con *

©  2021 Comunidad Office 365. Construido utilizando WordPress y el EmpowerWP Theme