Изключения от политиката за измерване

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Тази страница съдържа списък на ситуациите на изключения от измерванията на основната сигурност. Измерване без контекст ще бъде оценено отрицателно. Поради това при основната сигурност се добавят изключения в съответствие с така наречения процес „спазвай или обяснявай“.

Ако липсва изключение, моля, свържете се с нас. След това тази заявка за изключение ще бъде разгледана и може да бъде добавена към измерванията или не. Включете изискванията на ръководството за добро обяснение.

Номера на версиите

Очакванията са да не се натъкнете на информация, която нападателят би могъл да използва за извършване на атака. Затова като цяло не очакваме номера на версиите. Това са изключенията:

  1. SSH2.0 низове без коментари се изключват, тъй като информацията за версията е част от протокола. Вижте www.openssh.com/txt/rfc4253.txt 4.2. Това означава например, че „OpenSSH_9.2p1“ е одобрено, но „OpenSSH_9.2p1 Debian-2+deb12u2“ не е. Това е така, защото в него се публикува допълнителна информация („Debian-2+deb12u2“) за системата. Това означава, че системата не е защитена срещу атаки и нападателят знае точно каква е тази система.
  2. Основни версии на добре познати продукти, които не съдържат информация за нивото на кръпките. Такива са: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Те са одобрени.

Сертификати

Очаква се всички сертификати да бъдат издадени от акредитирана организация. След това тези сертификати се доверяват на браузърите и устройствата. Това са изключенията:

  1. G1 Държавни сертификати. Те не се ползват с доверие от браузъра, но се ползват с доверие от централното правителство. Това се обозначава с декларация. Сега не се доверяват по проект. Приетият сертификат трябва да съдържа серийния номер 10004001, наред с други.

Отворени врати

Очакването е повърхността за атака да е минимална: т.е. възможно най-малко отворени портове. Това са изключенията от това изискване:

  1. 8080/8443 (Cloudflare): Защитната стена на Cloudflare отваря някои излишни портове по подразбиране, като например 8080. Можете сами да конфигурирате какво се появява там. Ако видим cloudflare в списъка, сега го одобряваме с обяснение. В крайна сметка това не е добре и насърчаваме потребителите на cloudflare да посочат, че компанията трябва да започне да затваря тези портове. Това изключение се извършва въз основа на съдържанието на уеб страницата. Към него се прилага политика като декларация.
  2. 8443 (VPN): поддомейни, свързани с домашна работа, могат да отворят този порт. Разпознаваме го по поддомейните (и многото им варианти): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn и т.н.

Криптиран трансфер на данни (HTTPS)

Очакванията са уебсайтовете и уеб услугите да бъдат криптирани, така че информацията да остане поверителна. Това са изключенията от това изискване:

  1. Списъци с отнети удостоверения: не е необходима криптирана връзка за поддомейни „pki“, „crl“, „ocsp“ и някои техни варианти. Не е необходимо да се задава HSTS хедър на порт 443 (не очакваме https).
  2. Не се изисква криптиране за поддомейни на Microsoft Autodiscover, това е общо изключение за услугите на Microsoft, защото иначе всички са червени…? Това се отнася за домейните „autodiscover“ и „autodiscover.test“.

HTTP заглавия

Очакванията са, че всички уебсайтове са настроени за сигурност. Това са изключенията:

  1. Липсващи заглавия за типове съдържание SOAP/JSON/XML: Тези услуги не са предназначени за хора и поради това не е необходимо да осигуряват защитата на браузъра, предназначена за защита на хората.
  2. Липсващи заглавия за техническите служби: За поддомейна ADFS не е необходимо да се задава хедърът HSTS.

Други

Очаква се да бъдат спазени всички изисквания за безопасност. Съществуват сложни сценарии, при които това все още не се е случило или не е възможно. Това са изключенията:

  1. Услуги на Microsoft в поддомейни около lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Това беше направено, защото тези услуги не са предназначени за браузъри, а за автоматизирани услуги. В същото време, защото въздействието би било голямо навсякъде, а доставчиците на ИКТ услуги не могат да решат тези проблеми:
    • Сертификатът на тези поддомейни е доверен, въпреки че не е доверен от Qualys.
    • Тъй като това са услуги, предназначени за устройства, а не за браузъри, http заглавията не са задължителни.