Poikkeukset mittauspolitiikkaan

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Tällä sivulla on luettelo poikkeustilanteista perusturvan mittauksiin. Mittaus ilman asiayhteyttä arvioidaan kielteisesti. Siksi perusturvaan lisätään poikkeustilanteita niin sanotun ”noudata tai selitä” -prosessin mukaisesti.

Jos poikkeus puuttuu, ota meihin yhteyttä. Poikkeuspyyntöä tarkastellaan uudelleen, ja se voidaan lisätä tai olla lisäämättä mittauksiin. Sisällytä hyvän selityksen käsikirjan vaatimukset.

Versionumerot

Odotuksena on, että et törmää mihinkään tietoihin, joita hyökkääjä voisi käyttää hyökkäyksen toteuttamiseen. Emme siis yleensä odota versionumeroita. Nämä ovat poikkeuksia:

  1. SSH2.0-merkkijonot ilman kommentteja jätetään pois, koska versiotiedot ovat osa protokollaa. Katso www.openssh.com/txt/rfc4253.txt 4.2. Tämä tarkoittaa esimerkiksi sitä, että ”OpenSSH_9.2p1” on hyväksytty, mutta ”OpenSSH_9.2p1 Debian-2+deb12u2” ei ole. Tämä johtuu siitä, että siinä julkaistaan lisätietoja (”Debian-2+deb12u2”) järjestelmästä. Tämä tarkoittaa, että järjestelmää ei ole suojattu hyökkääjiä vastaan ja hyökkääjä tietää tarkalleen, millainen järjestelmä on kyseessä.
  2. Tunnettujen tuotteiden suuret versiot, jotka kertovat vain vähän korjaustasosta. Tällaisia ovat mm: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Nämä on hyväksytty.

Todistukset

Kaikkien todistusten odotetaan olevan akkreditoidun organisaation myöntämiä. Varmenteet ovat sitten luotettavia selaimissa ja laitteissa. Nämä ovat poikkeuksia tästä:

  1. G1 Valtion todistukset. Selain ei luota näihin varmenteisiin, mutta keskushallinto luottaa niihin. Tämä ilmoitetaan lausekkeella. Ei luoteta on nyt suunniteltu. Hyväksytyssä varmenteessa on oltava muun muassa sarjanumero 10004001.

Avoimet portit

Odotuksena on, että hyökkäyspinta on minimaalinen: eli mahdollisimman vähän avoimia portteja. Nämä ovat poikkeuksia tästä:

  1. 8080/8443 (Cloudflare): Cloudflare-palomuuri avaa oletusarvoisesti joitakin turhia portteja, kuten 8080. Voit määrittää itse, mitä siellä näkyy. Jos näemme cloudflaren listattuna siellä, hyväksymme sen nyt selityksen kera. Tämä ei ole loppujen lopuksi hyvä asia, ja kannustamme cloudflaren käyttäjiä ilmoittamaan, että yrityksen pitäisi alkaa sulkea nämä portit. Tämä poikkeus tapahtuu verkkosivun sisällön perusteella. Käytäntöä sovelletaan tähän ilmoituksena.
  2. 8443 (VPN): kotitehtäviin liittyvät alatunnukset voivat avata tämän portin. Tunnistamme tämän alatunnuksista (ja monista muunnelmista): etätyö, kotityö, työpaikka, työasema, ekstranet, intranet, etätyö, etätyö, etätyö, vpn ja niin edelleen.

Salattu tiedonsiirto (HTTPS)

Verkkosivustot ja verkkopalvelut on tarkoitus salata, jotta tiedot pysyvät luottamuksellisina. Nämä ovat poikkeuksia tästä:

  1. Varmenteiden peruutusluettelot: salattua yhteyttä ei tarvita alatunnuksissa ”pki”, ”crl”, ”ocsp” ja joissakin niiden muunnelmissa. HSTS-otsikkoa ei tarvitse asettaa porttiin 443 (emme odota https:ää).
  2. Microsoftin Autodiscover-alatunnuksissa ei vaadita salausta, tämä on yleinen poikkeus Microsoftin palveluille, koska muuten kaikki ovat punaisia…?? Tämä koskee ”autodiscover”- ja ”autodiscover.test”-verkkotunnuksia.

HTTP-otsikot

Odotuksena on, että kaikki verkkosivustot on perustettu turvallisuussyistä. Nämä ovat poikkeuksia tästä:

  1. Puuttuvat otsikot SOAP/JSON/XML-sisältötyypeille: Näitä palveluita ei ole tarkoitettu ihmisille, eikä niissä siksi tarvitse tarjota selaimen suojausta, joka on tarkoitettu ihmisten suojaamiseen.
  2. Teknisten palvelujen puuttuvat otsikot: ADFS-alidomainin osalta HSTS-otsikkoa ei tarvitse asettaa.

Muut

Kaikkien turvallisuusvaatimusten odotetaan täyttyvän. On monimutkaisia skenaarioita, joissa näin ei ole vielä tapahtunut tai ei ole mahdollista. Nämä ovat poikkeuksia:

  1. Microsoftin palvelut alavyöhykkeillä lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Tämä tehtiin, koska näitä palveluja ei ole tarkoitettu selaimille vaan automaattisille palveluille. Samaan aikaan, koska vaikutus olisi kaikkialla suuri, eivätkä tieto- ja viestintätekniikan palveluntarjoajat pysty ratkaisemaan näitä ongelmia:
    • Näiden alitunnusten varmenteeseen luotetaan, vaikka Qualys ei ole antanut sille luottamusta.
    • Koska nämä palvelut on tarkoitettu laitteille, ei selaimille, http-otsikot eivät ole pakollisia.