TLS 1.0 y 1.1 en desuso para Office 365, como prepararnos

(ArtĆculo escrito por JosĆ© Manuel Castillo GarcĆa para la Comunidad de Office 365)
Hace unas semanas Microsoft informó que no permitirÔ los accesos a Office 365 a través de protocolos considerados no seguros a partir de Junio de 2020. Esto nos va a obligar a realizar un profundo anÔlisis a nuestro entorno y de cómo acceden los usuarios de forma que podamos garantizar que TLS 1.2 estÔ siendo utilizado por cada aplicación cliente al acceder a los servicios de Office 365.
¿En principio que significa esto? Pues 2 cosas muy importantes, la primera es que, a partir de junio del 2020, Office 365 empezarÔ a dejar de permitir conexiones que se realicen con TLS 1.0 y 1.1 en entornos de todo el mundo para clientes comerciales y en entornos Global Government Community (GCC). Esto significa que, para esa fecha, los dispositivos, aplicaciones cliente o servicios que se conecten a Office 365 mediante TLS 1.0 y 1.1 no se realizarÔn permitirÔn y por lo tanto no habrÔ ninguna conversación entre cliente y servidor; y la segunda es que a nivel de seguridad tenemos un riesgo que (si bien puede ser aun potencial) debemos subsanar cuanto antes mediante el desuso de dichos protocolos pasando a una versión mÔs segura.
Antes de entrar en detalles debemos conocer que es TLS y sus versiones 1.0, 1.1, y 1.2
TLS es el acrónimo de Transport Layer Security (o seguridad en la capa de transporte). Este protocolo nace de la necesidad de mejorar el protocolo anterior SSL (Secure Socket Layer), aunque ambos se suelen referir como SSL sin mÔs. De hecho, se TLS se suele conocer también como SSL 3.1.
Nace en 1999 y fue definido en la RFC 2246 y no es mÔs que una adaptación natural desde SSL 3.0 a las versiones posteriores de TLS.
TLS 1.1 nace en 2006 y se regula en la RFC 4346 y esta versión trae ya protecciones contra ataques, corrección de errores de versiones anteriores y otras mejoras menores.
Estos protocolos tienen una fuerte debilidad y no es otra que, su trƔfico no estƔ fuertemente encriptado, siendo a partir de TLS 1.2 que se encripta con SHA-256 en lugar de MD5-SHA-1.
ĀæComo me afecta esto a mĆ?
Como administrador de Office 365, no realizar el estudio oportuno, puede dejar a los usuarios sin poder acceder a las herramientas de Office 365 en uno, varios, o todos los dispositivos, produciendo asà una interrupción de acceso y uso del servicio llegando incluso a pensar que el problema es de Microsoft.
Durante el estudio de nuestra organización, puede que nos encontremos con los siguientes clientes de correo o navegadores que afectarÔn 100% al acceso a Office 365 ya que no son capaces de establecer conversaciones de TLS 1.2:
- Clientes de correo Android 4.3 o inferior.
- Clientes correo IOS anterior a la 7.
- Office 2010, e incluso 2013 anterior a sp1.
- Internet Explorer 8 a 10 sobre Windows 7 o anterior.
- Internet Explorer 10 sobre Windows Phone 8.
- Safari 6.04 sobre OS X 10.8.4 y anteriores.
- Firefox 5.0 y anteriores.
- Windows 7 y server 2008 se pueden compatibilizar con esta actualización.
Adicionalmente, tanto Microsoft Edge como Internet Explorer dejaran de tener soporte para TLS 1.0 y 1.1 en 2020.
Para una lista actualizada de navegadores que soportan TLS en sus distintas versiones, podƩis consultar el site https://caniuse.com/#search=tls
Como lectura adicional, el artĆculo āSolving the TLS .0 problem, 2nd Editionā resulta interesante y profundiza aun mĆ”s los retos de TLS 1.0 y la implementación en Microsoft.
Como mejorar la seguridad en nuestro entorno office 365
Poco a poco iremos proponiendo mejoras para un entorno Office 365 mƔs seguro, que unidas a las mejoras de la arquitectura que realiza Microsoft podemos tener un entorno mucho mƔs seguro.
Comencemos con el anĆ”lisis de cómo podemos medir que uso se estĆ” realizando en nuestro entorno de TLS y otros protocolos obsoletos. Antes de nada, quiero informaros que los pantallazos que veremos son de entornos en producción por lo que podemos encontrar información ofuscada que, si bien no interferirĆ”n en la comprensión, puede modificar la estĆ©tica. Por mi parte lo prefiero asĆ debido a que creo que reflejan mejor la realidad que un pantallazo de otra web, o de un tenant de pruebas, sin valores especĆficos o datos vacĆos.
AnƔlisis completo para office 365.
En Office 365 tenemos herramientas implementadas que nos van a dar información valiosĆsima al respecto. El problema es que no es fĆ”cil saber cómo localizarlas. Si queremos entrar directamente solo hay que acceder a la web https://security.microsoft.com/securescore?viewid=overview y acceder con credenciales de administrador global de Office 365.
Si queremos acceder desde el portal (como administrador Global), Debemos ir al apartado seguridad y cumplimiento y en el portal de bienvenida buscar puntuación de seguridad.

Esta es una auténtica fuente de recursos de mejoras en la seguridad que en próximas entradas la analizaremos mÔs a fondo.
En la parte inferior de esta ventanita encontramos el enlace:
Al acceder veremos una vista principal de resumen. Con las mejoras que nos propone Microsoft; imagen extraĆda de aquĆ:
Pinchamos en acciones de mejoras, nos mostrarĆ” todo lo que Microsoft propone para la mejora de nuestro tenant:
Para esta en concreto, en el buscador escribimos āTLSā:
Pinchamos sobre el resultado y nos darÔ la información.
Con el Scroll bajamos y nos da el enlace para acceder al trust portal de Microsoft.
Accedemos (si nos pide credenciales, han de ser las de administrados global) y vemos el botón download.
Pinchamos y nos descargarÔ el informe. Al abrirlo nos darÔ información de que usuario es, que versión de protocolo (TLS 1.0 o 1.1) y que herramientas/clientes usa:
A partir de aquĆ toca investigar cual es cada una, pero, por ejemplo:
Microsoft+Outlook+16.0.11929: A pesar de que usa Office 2016, probablemente estemos ante una versión no actualizada de Office la versión actual es la 16.0.12026, el sistema operativo tiene forzado TLS 1.0 o bien algĆŗn dispositivo de red intermedio (Firewall, proxy inverso, balanceadorā¦) no permite TLS 1.2 y por lo tanto se establece TLS 1.0
Android-SAMSUNG-SM-T805: Esta Tablet venia de fabrica con Android 5.0 y por lo tanto no permite el uso de TLS 1.2. EstĆ” obsoleta
Microsoft+BITS/7.5: Esto suele ser casi con toda seguridad Windows 7, aunque he visto algĆŗn Windows 10 y era porque tenĆa una versión anterior a la fall creators update.
La información que aquà se expresa hay que investigarla, ver el equipo del usuario, su teléfono móvil, y el navegador o aplicación desde el que accede. Esta operación hay que repetirla casi a diario, porque el informe es de las últimas 24 horas, y puede que haya usuarios que no se conecten en este intervalo y no aparezcan. Incluso cuando se piense que se han revisado todos los casos, es conveniente repetirlo periódicamente para estar atentos a cualquier usuario que se conecte poco o por ejemplo configure el correo en un dispositivo obsoleto.
Como revisar los accesos en Exchange Online
En este caso solo vamos a analizar el acceso a travƩs de protocolos no seguros a Exchange online.
TambiƩn desde el portal de office 365 como administrador global o como administrador de Exchange Online, accedemos a seguridad y cumplimiento y dentro pinchamos en flujo de correo:
En el panel, por defecto encontramos esta ventana:
Si pinchamos en ella nos da el valor:
Y como queremos el informe mƔs detallado, pinchamos en el enlace que encontramos en el texto en la palabra informe:
Podemos ver mĆ”s datos pulsando sobre volumen de envĆo (especialmente interesante si trabajamos con varios dominios de correo en nuestro tenant), o pinchamos solicitar informe.
Pinchamos en ver tablas de detalles, y nos da la información:
TambiƩn podemos solicitar el informe y nos lo enviarƔ por correo.
AquĆ tenemos mĆ”s ventajas, ya que podemos definir el intervalo de fechas y el nombre del archivo. Otra diferencia es que no se descarga nos lo envĆa por mail.
Nota: La cuenta de correo, debe ser interna (se ha puesto esa por privacidad)
Tras esto nos da un mensaje de confirmación y nos dice que puede tardar unas horas:
En este caso tardó unos 10 minutos y recibà este correo:
Con el uso periódico de la herramienta iremos poco a poco mitigando los posibles errores que tengamos en los accesos y para cuando se bloquee el acceso con TLS obsoletos, el impacto en nuestra empresa sea mĆnimo, o inexistente. Hay que trazar un plan de periodicidad en esta revisión, se recomienda empezar haciĆ©ndolo diariamente y solventando los avisos que nos de Office 365.
Desde esta comunidad iremos publicando artĆculos en la base de How-to, analizando mĆ”s la parte prĆ”ctica de como se hace a la teórica. El objetivo es ayudar a la comunidad a que mejore sus entornos e investigue en nuevos procesos.
Como revisar la versión de TLS que negocia el puesto cliente contra Office 365 mediante una traza de red
Hay situaciones que requieren saber al momento si estamos haciendo que versión de TLS estamos utilizando, y para eso no podemos esperar a que se genere un informe desde el lado de Office 365 ya que dilatarĆa las acciones llevadas a cabo sobre una maquina en concreto. Para ello lo mejor es recolectar una traza de red y analizarla sobre la marcha tan solo con establecer la conexión inicial con el servicio de Office 365.
Para este artĆculo, utilizaremos Microsoft Network Monitor 3.4 (que aunque ya obsoleto es fĆ”cil y fiable) mientras que un cliente de Outlook 2016 se conecta con Exchange Online (no entrarĆ© en detalles de cómo utilizar Network Monitor ni como iniciar la captura):
Fuentes:
- https://docs.microsoft.com/es-es/office365/troubleshoot/security/prepare-tls-1.2-in-office-365
- https://es.wikipedia.org/wiki/Wikipedia:Portada
TƩcnico de Sistemas en VS Sistemas