Kivételek a mérési politika alól

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Ez az oldal tartalmazza az alapvető biztonsági intézkedésekkel kapcsolatos kivételes helyzetek listáját. A kontextus nélküli mérés negatívan kerül megítélésre. Ezért az alapvető biztonság az úgynevezett „teljesítsd vagy magyarázd” eljárásnak megfelelően kivételeket ad hozzá.

Ha hiányzik egy kivétel, kérjük, lépjen kapcsolatba velünk. Ezt a kivételkérelmet ezután felülvizsgáljuk, és lehet, hogy hozzáadjuk a mérésekhez, de az is lehet, hogy nem. Tartalmazza a jó magyarázat kézikönyv követelményeit.

Verziószámok

Az elvárás az, hogy ne találkozzunk olyan információkkal, amelyeket egy támadó támadás végrehajtására használhatna fel. Ezért általában nem várunk verziószámokat. Ezek a kivételek ez alól:

  1. A megjegyzések nélküli SSH2.0 karakterláncok kizárásra kerülnek, mivel a verzióinformáció a protokoll része. Lásd www.openssh.com/txt/rfc4253.txt 4.2. Ez azt jelenti, hogy például az „OpenSSH_9.2p1” engedélyezett, de az „OpenSSH_9.2p1 Debian-2+deb12u2” nem. Ennek oka, hogy további információkat („Debian-2+deb12u2”) tesz közzé a rendszerről. Ez azt jelenti, hogy a rendszer nincs védve a támadókkal szemben, és egy támadó pontosan tudja, hogy milyen rendszerről van szó.
  2. Jól ismert termékek főbb verziói, amelyek keveset árulnak el a javítási szintről. Ilyenek pl: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Ezeket jóváhagyták.

Tanúsítványok

Elvárás, hogy minden tanúsítványt egy akkreditált szervezet állítson ki. Ezeket a tanúsítványokat a böngészők és az eszközök megbízhatónak tekintik. Ezek a kivételek ez alól:

  1. G1 Kormányzati bizonyítványok. A böngésző nem bízik meg ezekben, de a központi kormányzat megbízik bennük. Ezt egy nyilatkozat jelzi. A nem megbízható most már a tervezés miatt. Az elfogadott tanúsítványnak többek között a 10004001 sorszámot kell tartalmaznia.

Nyitott kapuk

Az elvárás az, hogy a támadási felület minimális legyen: azaz minél kevesebb nyitott port legyen. Ezek a kivételek ez alól:

  1. 8080/8443 (Cloudflare): A cloudflare tűzfal alapértelmezés szerint megnyit néhány redundáns portot, például a 8080-at. Azt, hogy ott mi jelenjen meg, maga konfigurálhatja. Ha a cloudflare-t látjuk ott feltüntetve, akkor most már magyarázattal jóváhagyjuk. Ez végső soron nem jó, és arra biztatjuk a cloudflare-felhasználókat, hogy jelezzék, hogy a cégnek el kellene kezdenie lezárni ezeket a portokat. Ez a kivétel a weboldal tartalma alapján történik. Erre nyilatkozatként egy irányelvet alkalmazunk.
  2. 8443 (VPN): a házi munkához kapcsolódó aldomainek megnyithatják ezt a portot. Ezt a következő aldomainekről (és számos változatáról) ismerjük fel: távmunka, otthoni munkavégzés, munkahely, munkaállomás, extranet, intranet, távoli, távoli munkavégzés, vpn és így tovább.

Titkosított adatátvitel (HTTPS)

Az elvárás az, hogy a weboldalak és webes szolgáltatások titkosítva legyenek, hogy az információk bizalmasak maradjanak. Ezek a következők a kivételek:

  1. Tanúsítvány-visszavonási listák: a „pki”, „crl”, „ocsp” és ezek egyes változatai esetében nincs szükség titkosított kapcsolatra. A HSTS fejlécet nem kell beállítani a 443-as porton (nem várnánk el a https-t).
  2. A Microsoft Autodiscover aldomaineken nincs szükség titkosításra, ez egy általános kivétel a Microsoft szolgáltatásai esetében, mert egyébként mindenki piros…? Ez az „autodiscover” és az „autodiscover.test” tartományokra vonatkozik.

HTTP fejlécek

Az elvárás az, hogy minden weboldal biztonságosan legyen beállítva. Ezek a kivételek ez alól:

  1. Hiányzó fejlécek a SOAP/JSON/XML tartalomtípusokhoz: Ezek a szolgáltatások nem emberek számára készültek, ezért nem kell biztosítaniuk az emberek védelmére szolgáló böngészővédelmet.
  2. Hiányzó fejlécek a műszaki szolgálatoknál: Az ADFS aldomain esetében a HSTS fejlécet nem kell beállítani.

Egyéb

Minden biztonsági követelménynek meg kell felelni. Vannak olyan összetett forgatókönyvek, ahol ez még nem történt meg, vagy nem lehetséges. Ezek a kivételek:

  1. Microsoft szolgáltatások aldomaineken a lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid körül. Ez azért történt, mert ezek a szolgáltatások nem böngészőkre, hanem automatizált szolgáltatásokra készültek. Ugyanakkor azért, mert a hatás mindenhol nagy lenne, és az ICT szolgáltatók nem tudják megoldani ezeket a problémákat:
    • Ezeken az aldomaineken a tanúsítvány megbízható, annak ellenére, hogy a Qualys nem bízik benne.
    • Mivel ezek a szolgáltatások nem böngészők, hanem eszközök számára készültek, a http fejlécek nem kötelezőek.