Εξαιρέσεις από την πολιτική μέτρησης

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Αυτή η σελίδα περιέχει έναν κατάλογο καταστάσεων εξαίρεσης από τις μετρήσεις για τη βασική ασφάλεια. Μια μέτρηση χωρίς πλαίσιο θα αξιολογηθεί αρνητικά. Ως εκ τούτου, η βασική ασφάλεια προσθέτει εξαιρέσεις σύμφωνα με τη λεγόμενη διαδικασία “συμμόρφωση ή εξήγηση”.

Εάν λείπει μια εξαίρεση, παρακαλούμε επικοινωνήστε μαζί μας. Αυτό το αίτημα εξαίρεσης θα επανεξεταστεί και μπορεί να προστεθεί ή όχι στις μετρήσεις. Συμπεριλάβετε τις απαιτήσεις του εγχειριδίου καλής επεξήγησης.

Αριθμοί έκδοσης

Η προσδοκία είναι να μην βρεθούν πληροφορίες που ένας επιτιθέμενος θα μπορούσε να χρησιμοποιήσει για να πραγματοποιήσει μια επίθεση. Έτσι, γενικά, δεν περιμένουμε αριθμούς εκδόσεων. Αυτές είναι οι εξαιρέσεις σε αυτό:

  1. Οι συμβολοσειρές SSH2.0 χωρίς σχόλια αποκλείονται επειδή οι πληροφορίες έκδοσης αποτελούν μέρος του πρωτοκόλλου. Βλέπε www.openssh.com/txt/rfc4253.txt 4.2. Αυτό σημαίνει, για παράδειγμα, ότι το “OpenSSH_9.2p1” είναι εγκεκριμένο αλλά το “OpenSSH_9.2p1 Debian-2+deb12u2” δεν είναι. Αυτό συμβαίνει επειδή δημοσιεύει πρόσθετες πληροφορίες (“Debian-2+deb12u2”) σχετικά με το σύστημα. Αυτό σημαίνει ότι το σύστημα δεν είναι προστατευμένο από επιτιθέμενους και ένας επιτιθέμενος γνωρίζει ακριβώς τι είδους σύστημα είναι αυτό.
  2. Σημαντικές εκδόσεις γνωστών προϊόντων που λένε λίγα πράγματα για το επίπεδο επιδιόρθωσης. Όπως: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Αυτά είναι εγκεκριμένα.

Πιστοποιητικά

Αναμένεται ότι όλα τα πιστοποιητικά θα εκδίδονται από διαπιστευμένο οργανισμό. Αυτά τα πιστοποιητικά στη συνέχεια εμπιστεύονται τα προγράμματα περιήγησης και τις συσκευές. Αυτές είναι οι εξαιρέσεις σε αυτό:

  1. G1 Κρατικά πιστοποιητικά. Αυτά δεν είναι αξιόπιστα από το πρόγραμμα περιήγησης, αλλά είναι αξιόπιστα από την κεντρική κυβέρνηση. Αυτό υποδεικνύεται από μια δήλωση. Η μη εμπιστοσύνη είναι πλέον σχεδιασμένη. Το πιστοποιητικό που γίνεται αποδεκτό πρέπει να περιλαμβάνει, μεταξύ άλλων, τον αύξοντα αριθμό 10004001.

Ανοιχτές πύλες

Η προσδοκία είναι η επιφάνεια επίθεσης να είναι ελάχιστη: δηλαδή, όσο το δυνατόν λιγότερες ανοικτές θύρες. Αυτές είναι οι εξαιρέσεις σε αυτό:

  1. 8080/8443 (Cloudflare): Το τείχος προστασίας του cloudflare ανοίγει ορισμένες πλεονάζουσες θύρες από προεπιλογή, όπως η 8080. Μπορείτε να ρυθμίσετε μόνοι σας τι εμφανίζεται εκεί. Αν δούμε το cloudflare να εμφανίζεται εκεί, το εγκρίνουμε τώρα με μια εξήγηση. Αυτό τελικά δεν είναι καλό και ενθαρρύνουμε τους χρήστες της cloudflare να υποδείξουν ότι η εταιρεία πρέπει να αρχίσει να κλείνει αυτές τις θύρες. Αυτή η εξαίρεση πραγματοποιείται με βάση το περιεχόμενο της ιστοσελίδας. Μια πολιτική εφαρμόζεται σε αυτό ως δήλωση.
  2. 8443 (VPN): υποτομείς που σχετίζονται με την εργασία στο σπίτι μπορούν να ανοίξουν αυτή τη θύρα. Το αναγνωρίζουμε αυτό από υποτομείς (και πολλές παραλλαγές του): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn και ούτω καθεξής.

Κρυπτογραφημένη μεταφορά δεδομένων (HTTPS)

Η προσδοκία είναι ότι οι ιστότοποι και οι διαδικτυακές υπηρεσίες θα κρυπτογραφούνται ώστε οι πληροφορίες να παραμένουν εμπιστευτικές. Αυτές είναι οι εξαιρέσεις σε αυτό:

  1. Λίστες ανάκλησης πιστοποιητικών: δεν απαιτείται κρυπτογραφημένη σύνδεση στους υποτομείς “pki”, “crl”, “ocsp” και ορισμένες παραλλαγές τους. Η επικεφαλίδα HSTS δεν χρειάζεται να οριστεί στη θύρα 443 (δεν θα περιμέναμε https).
  2. Δεν απαιτείται κρυπτογράφηση στα υποτομέα Microsoft Autodiscover, αυτή είναι μια γενική εξαίρεση για τις υπηρεσίες της Microsoft, επειδή διαφορετικά όλοι είναι κόκκινοι…? Αυτό ισχύει για τα domains “autodiscover” και “autodiscover.test”.

Κεφαλίδες HTTP

Η προσδοκία είναι ότι όλοι οι ιστότοποι είναι ρυθμισμένοι για ασφάλεια. Αυτές είναι οι εξαιρέσεις σε αυτό:

  1. Λείπουν επικεφαλίδες για τύπους περιεχομένου SOAP/JSON/XML: Οι υπηρεσίες αυτές δεν προορίζονται για ανθρώπους και, επομένως, δεν χρειάζεται να παρέχουν την προστασία του προγράμματος περιήγησης που προορίζεται για την προστασία των ανθρώπων.
  2. Λείπουν επικεφαλίδες για τις τεχνικές υπηρεσίες: Για το υποτομέα ADFS, η επικεφαλίδα HSTS δεν χρειάζεται να οριστεί.

Άλλα

Αναμένεται να πληρούνται όλες οι απαιτήσεις ασφαλείας. Υπάρχουν πολύπλοκα σενάρια όπου αυτό δεν έχει συμβεί ακόμη ή δεν είναι δυνατό. Αυτές είναι οι εξαιρέσεις:

  1. Υπηρεσίες της Microsoft σε υποτομείς όπως lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Αυτό έγινε επειδή αυτές οι υπηρεσίες δεν προορίζονται για προγράμματα περιήγησης αλλά για αυτοματοποιημένες υπηρεσίες. Ταυτόχρονα, επειδή ο αντίκτυπος θα ήταν παντού μεγάλος και οι πάροχοι υπηρεσιών ΤΠΕ δεν μπορούν να λύσουν αυτά τα προβλήματα:
    • Το πιστοποιητικό σε αυτούς τους υποτομείς είναι αξιόπιστο, παρά το γεγονός ότι δεν είναι αξιόπιστο από την Qualys.
    • Δεδομένου ότι πρόκειται για υπηρεσίες που προορίζονται για συσκευές και όχι για προγράμματα περιήγησης, οι επικεφαλίδες http δεν είναι υποχρεωτικές.