Výnimky z politiky merania

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Táto stránka obsahuje zoznam výnimočných situácií pri meraniach základného zabezpečenia. Meranie bez kontextu bude hodnotené negatívne. Základná bezpečnosť preto pridáva výnimky podľa takzvaného procesu „dodržuj alebo vysvetli“.

Ak výnimka chýba, kontaktujte nás. Táto žiadosť o výnimku bude následne preskúmaná a môže, ale nemusí byť pridaná do meraní. Zahrňte požiadavky uvedené v príručke dobrého vysvetlenia.

Čísla verzií

Očakáva sa, že nenarazíte na žiadne informácie, ktoré by útočník mohol použiť na vykonanie útoku. Vo všeobecnosti teda neočakávame čísla verzií. Toto sú výnimky:

  1. Reťazce SSH2.0 bez komentárov sú vylúčené, pretože informácie o verzii sú súčasťou protokolu. Pozri www.openssh.com/txt/rfc4253.txt 4.2. To znamená, že napríklad „OpenSSH_9.2p1“ je schválené, ale „OpenSSH_9.2p1 Debian-2+deb12u2“ nie je. Je to preto, že zverejňuje dodatočné informácie („Debian-2+deb12u2“) o systéme. To znamená, že systém nie je zabezpečený proti útočníkom a útočník presne vie, o aký systém ide.
  2. Hlavné verzie známych produktov, ktoré hovoria len málo o úrovni záplat. Ako napr: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Tieto sú schválené.

Certifikáty

Očakáva sa, že všetky certifikáty vydá akreditovaná organizácia. Tieto certifikáty sú potom dôveryhodné v prehliadačoch a zariadeniach. Toto sú výnimky:

  1. G1 Vládne certifikáty. Prehliadač im nedôveruje, ale dôveruje im ústredná vláda. Je to označené vyhlásením. Nedôveryhodné je teraz podľa návrhu. Prijatý certifikát musí okrem iného obsahovať sériové číslo 10004001.

Otvorené brány

Očakáva sa, že povrch útoku bude minimálny: to znamená čo najmenej otvorených portov. Toto sú výnimky:

  1. 8080/8443 (Cloudflare): firewall cloudflare štandardne otvára niektoré nadbytočné porty, napríklad 8080. To, čo sa tam zobrazí, môžete nakonfigurovať sami. Ak tam vidíme uvedený port cloudflare, teraz ho schválime s vysvetlením. V konečnom dôsledku to nie je dobré a vyzývame používateľov služby cloudflare, aby uviedli, že spoločnosť by mala začať tieto porty zatvárať. Táto výnimka sa uskutočňuje na základe obsahu webovej stránky. Ako vyhlásenie sa na ňu uplatňujú zásady.
  2. 8443 (VPN): subdomény súvisiace s homeworkingom môžu otvoriť tento port. Rozoznávame to podľa subdomén (a mnohých variantov): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn atď.

Šifrovaný prenos údajov (HTTPS)

Očakáva sa, že webové stránky a webové služby budú šifrované, aby informácie zostali dôverné. Toto sú výnimky:

  1. Zoznamy zrušených certifikátov: na subdoménach „pki“, „crl“, „ocsp“ a niektorých ich variantoch nie je potrebné šifrované pripojenie. Hlavička HSTS nemusí byť nastavená na porte 443 (neočakávali by sme https).
  2. Na subdoménach Microsoft Autodiscover sa nevyžaduje žiadne šifrovanie, je to všeobecná výnimka pre služby spoločnosti Microsoft, pretože inak je každý červený…? Platí to pre domény „autodiscover“ a „autodiscover.test“.

Hlavičky HTTP

Očakáva sa, že všetky webové stránky sú nastavené na zabezpečenie. Toto sú výnimky:

  1. Chýbajúce hlavičky pre typy obsahu SOAP/JSON/XML: Tieto služby nie sú určené pre ľudí, a preto nemusia poskytovať ochranu prehliadača určenú na ochranu ľudí.
  2. Chýbajúce záhlavia pre technické služby: Pre subdoménu ADFS nie je potrebné nastaviť hlavičku HSTS.

Iné

Očakáva sa, že budú splnené všetky bezpečnostné požiadavky. Existujú zložité scenáre, v ktorých sa to ešte nestalo alebo to nie je možné. Ide o výnimky:

  1. Služby Microsoft na subdoménach okolo lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Urobilo sa to preto, lebo tieto služby nie sú určené pre prehliadače, ale pre automatizované služby. Zároveň preto, že dopad by bol všade veľký a poskytovatelia služieb IKT nemôžu tieto problémy riešiť:
    • Certifikát na týchto subdoménach je dôveryhodný napriek tomu, že nie je dôveryhodný od spoločnosti Qualys.
    • Keďže ide o služby určené pre zariadenia, a nie pre prehliadače, hlavičky http nie sú povinné.