Výjimky ze zásad měření

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Tato stránka obsahuje seznam výjimečných situací pro měření základního zabezpečení. Měření bez kontextu bude hodnoceno negativně. Proto základní bezpečnost doplňuje výjimky podle takzvaného procesu „comply or explain“ (dodržuj nebo vysvětli).

Pokud výjimka chybí, kontaktujte nás. Tato žádost o výjimku bude následně přezkoumána a může, ale nemusí být přidána do měření. Zahrňte požadavky příručky pro správné vysvětlení.

Čísla verzí

Očekává se, že nenarazíte na žádné informace, které by útočník mohl využít k provedení útoku. Obecně tedy neočekáváme čísla verzí. Toto jsou výjimky:

  1. Řetězce SSH2.0 bez komentářů jsou vyloučeny, protože informace o verzi jsou součástí protokolu. Viz www.openssh.com/txt/rfc4253.txt 4.2. To znamená, že například „OpenSSH_9.2p1“ je schváleno, ale „OpenSSH_9.2p1 Debian-2+deb12u2“ nikoli. Je to proto, že zveřejňuje další informace („Debian-2+deb12u2“) o systému. To znamená, že systém není zabezpečen proti útočníkům a útočník přesně ví, o jaký systém se jedná.
  2. Hlavní verze známých produktů, které o úrovni oprav říkají jen málo. Jako např: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Ty jsou schváleny.

Certifikáty

Očekává se, že všechna osvědčení budou vydána akreditovanou organizací. Tyto certifikáty jsou pak důvěryhodné v prohlížečích a zařízeních. Toto jsou výjimky:

  1. G1 Vládní certifikáty. Ty nejsou důvěryhodné pro prohlížeč, ale jsou důvěryhodné pro centrální vládu. To je označeno prohlášením. Nedůvěryhodné jsou nyní z principu. Přijatý certifikát musí mimo jiné obsahovat sériové číslo 10004001.

Otevřené brány

Očekává se, že plocha pro útoky bude minimální, tj. co nejméně otevřených portů. Toto jsou výjimky:

  1. 8080/8443 (Cloudflare): Firewall cloudflare ve výchozím nastavení otevírá některé nadbytečné porty, například 8080. To, co se tam zobrazí, můžete nakonfigurovat sami. Pokud tam vidíme uvedenou službu cloudflare, nyní ji schvalujeme s vysvětlením. V konečném důsledku to není dobré a vyzýváme uživatele služby cloudflare, aby uvedli, že by společnost měla začít tyto porty uzavírat. Tato výjimka probíhá na základě obsahu webové stránky. Zásady se na ni vztahují jako na prohlášení.
  2. 8443 (VPN): tento port mohou otevřít subdomény související s homeworkingem. Poznáme to podle subdomén (a mnoha variant): teleworking, homeworking, pracoviště, pracovní stanice, extranet, intranet, vzdálený, vzdálená práce, vpn atd.

Šifrovaný přenos dat (HTTPS)

Očekává se, že webové stránky a webové služby budou šifrovány, aby informace zůstaly důvěrné. Toto jsou výjimky:

  1. Seznamy odvolaných certifikátů: na subdoménách „pki“, „crl“, „ocsp“ a některých jejich variantách není nutné šifrované připojení. Na portu 443 není třeba nastavovat hlavičku HSTS (neočekávali bychom https).
  2. Na subdoménách Microsoft Autodiscover není vyžadováno žádné šifrování, jedná se o obecnou výjimku pro služby společnosti Microsoft, protože jinak jsou všechny červené…? To platí pro domény „autodiscover“ a „autodiscover.test“.

Hlavičky HTTP

Očekává se, že všechny webové stránky budou nastaveny tak, aby byly bezpečné. Toto jsou výjimky:

  1. Chybějící hlavičky pro typy obsahu SOAP/JSON/XML: Tyto služby nejsou určeny pro lidi, a proto nemusí poskytovat ochranu prohlížeče určenou pro ochranu lidí.
  2. Chybějící záhlaví pro technické služby: Pro subdoménu ADFS není třeba nastavovat hlavičku HSTS.

Další

Očekává se, že budou splněny všechny bezpečnostní požadavky. Existují složité scénáře, kdy k tomu ještě nedošlo nebo to není možné. Jedná se o výjimky:

  1. Služby společnosti Microsoft na subdoménách kolem lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. To bylo provedeno proto, že tyto služby nejsou určeny pro prohlížeče, ale pro automatizované služby. Zároveň proto, že by všude byl dopad vysoký a poskytovatelé ICT služeb nemohou tyto problémy řešit:
    • Certifikát na těchto subdoménách je důvěryhodný, přestože není důvěryhodný od společnosti Qualys.
    • Vzhledem k tomu, že se jedná o služby určené pro zařízení, nikoli pro prohlížeče, nejsou hlavičky http povinné.