Excepciones a la política de medición

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Esta página contiene una lista de situaciones de excepción a las mediciones sobre seguridad básica. Una medida sin contexto se juzgará negativamente. Por ello, la seguridad básica añade excepciones según el llamado proceso «cumplir o explicar».

Si falta una excepción, ponte en contacto con nosotros. Esta solicitud de excepción se revisará y podrá añadirse o no a las medidas. Incluye los requisitos del manual de buenas explicaciones.

Números de versión

La expectativa es no encontrar ninguna información que un atacante pueda utilizar para llevar a cabo un ataque. Así que, en general, no esperamos números de versión. Éstas son las excepciones:

  1. Las cadenas SSH2.0 sin comentarios están excluidas porque la información sobre la versión forma parte del protocolo. Véase www.openssh.com/txt/rfc4253.txt 4.2. Esto significa, por ejemplo, que «OpenSSH_9.2p1» está aprobado, pero «OpenSSH_9.2p1 Debian-2+deb12u2» no. Esto se debe a que publica información adicional («Debian-2+deb12u2») sobre el sistema. Esto significa que el sistema no está reforzado contra los atacantes y que un atacante sabe exactamente de qué tipo de sistema se trata.
  2. Versiones mayores de productos conocidos que dicen poco sobre el nivel de parche. Como por ejemplo Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Éstas están aprobadas.

Certificados

Se espera que todos los certificados sean emitidos por una organización acreditada. A continuación, los navegadores y los dispositivos confían en estos certificados. Éstas son las excepciones:

  1. G1 Certificados gubernamentales. En ellos no confía el navegador, pero sí el gobierno central. Esto se indica mediante una declaración. No son de confianza es ahora por diseño. El certificado que se acepte debe incluir el número de serie 10004001, entre otros.

Puertas abiertas

La expectativa es que la superficie de ataque sea mínima: es decir, el menor número posible de puertos abiertos. Éstas son las excepciones:

  1. 8080/8443 (Cloudflare): El cortafuegos de cloudflare abre algunos puertos redundantes por defecto, como el 8080. Puedes configurar tú mismo lo que aparece ahí. Si vemos que cloudflare aparece ahí, ahora lo aprobamos con una explicación. En última instancia, esto no es bueno y animamos a los usuarios de cloudflare a que indiquen que la empresa debería empezar a cerrar estos puertos. Esta excepción tiene lugar en función del contenido de la página web. Se le aplica una política a modo de declaración.
  2. 8443 (VPN): los subdominios relacionados con el trabajo a domicilio pueden abrir este puerto. Lo reconocemos por los subdominios (y muchas variantes de): teletrabajo, trabajo en casa, lugar de trabajo, estación de trabajo, extranet, intranet, remoto, trabajo a distancia, vpn, etc.

Transferencia de datos encriptada (HTTPS)

Se espera que los sitios y servicios web estén encriptados para que la información siga siendo confidencial. Éstas son las excepciones:

  1. Listas de revocación de certificados: no se necesita conexión cifrada en los subdominios «pki», «crl», «ocsp» y algunas variantes de los mismos. No es necesario establecer la cabecera HSTS en el puerto 443 (no esperaríamos https).
  2. No se requiere encriptación en los subdominios de Microsoft Autodiscover, se trata de una excepción general para los servicios de Microsoft porque, de lo contrario, todos son rojos…? Esto se aplica a los dominios «autodiscover» y «autodiscover.test».

Cabeceras HTTP

Se espera que todos los sitios web estén configurados para garantizar la seguridad. Estas son las excepciones:

  1. Faltan cabeceras para los tipos de contenido SOAP/JSON/XML: Estos servicios no están destinados a los humanos y, por tanto, no necesitan proporcionar la protección del navegador destinada a proteger a los humanos.
  2. Faltan cabeceras para los servicios técnicos: Para el subdominio ADFS, no es necesario establecer el encabezado HSTS.

Otros

Se espera que se cumplan todos los requisitos de seguridad. Hay situaciones complejas en las que esto aún no ha ocurrido o no es posible. Éstas son las excepciones:

  1. Servicios de Microsoft en subdominios en torno a lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Esto se hizo porque estos servicios no están pensados para navegadores, sino para servicios automatizados. Al mismo tiempo, porque el impacto sería elevado en todas partes y los proveedores de servicios TIC no pueden resolver estos problemas:
    • El certificado de estos subdominios es de confianza, a pesar de no ser de confianza de Qualys.
    • Como se trata de servicios destinados a dispositivos, y no a navegadores, las cabeceras http no son obligatorias.