Excepții de la politica de măsurare

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Această pagină conține o listă de situații de excepție de la măsurătorile privind securitatea de bază. O măsurare fără context va fi judecată negativ. Prin urmare, securitatea de bază adaugă excepții în conformitate cu așa-numitul proces „respectă sau explică”.

Dacă lipsește o excepție, vă rugăm să ne contactați. Această cerere de excepție va fi apoi analizată și poate fi adăugată sau nu la măsurători. Includeți cerințele din manualul de bune explicații.

Numere de versiune

Ne așteptăm să nu găsim nicio informație pe care un atacator ar putea să o folosească pentru a efectua un atac. Deci, în general, nu ne așteptăm la numere de versiune. Acestea sunt excepțiile de la această regulă:

  1. Șirurile SSH2.0 fără comentarii sunt excluse deoarece informațiile privind versiunea fac parte din protocol. A se vedea www.openssh.com/txt/rfc4253.txt 4.2. Aceasta înseamnă, de exemplu, că „OpenSSH_9.2p1” este aprobat, dar „OpenSSH_9.2p1 Debian-2+deb12u2” nu este. Acest lucru se datorează faptului că publică informații suplimentare („Debian-2+deb12u2”) despre sistem. Aceasta înseamnă că sistemul nu este întărit împotriva atacatorilor, iar un atacator știe exact ce fel de sistem este acesta.
  2. Versiuni majore ale unor produse bine-cunoscute care spun puține despre nivelul patch-ului. Cum ar fi: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Acestea sunt aprobate.

Certificatele

Este de așteptat ca toate certificatele să fie emise de o organizație acreditată. Aceste certificate sunt apoi de încredere în browsere și dispozitive. Acestea sunt excepțiile de la această regulă:

  1. G1 Certificate guvernamentale. Acestea nu sunt de încredere pentru browser, dar sunt de încredere pentru guvernul central. Acest lucru este indicat de o declarație. Nu sunt de încredere este acum prin design. Certificatul care este acceptat trebuie să includă, printre altele, numărul de serie 10004001.

Porți deschise

Se așteaptă ca suprafața de atac să fie minimă: adică cât mai puține porturi deschise posibil. Acestea sunt excepțiile de la această regulă:

  1. 8080/8443 (Cloudflare): Firewall-ul cloudflare deschide implicit unele porturi redundante, cum ar fi 8080. Puteți configura singur ceea ce apare acolo. Dacă vedem cloudflare listat acolo, acum îl aprobăm cu o explicație. În cele din urmă, acest lucru nu este bun și încurajăm utilizatorii cloudflare să indice că societatea ar trebui să înceapă să închidă aceste porturi. Această excepție are loc pe baza conținutului paginii web. O politică este aplicată în acest sens ca o declarație.
  2. 8443 (VPN): subdomeniile legate de lucrul la domiciliu pot deschide acest port. Recunoaștem acest lucru prin subdomeniile (și multe variante ale acestora): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn și așa mai departe.

Transfer criptat de date (HTTPS)

Se preconizează că site-urile și serviciile web vor fi criptate, astfel încât informațiile să rămână confidențiale. Acestea sunt excepțiile de la această regulă:

  1. Liste de revocare a certificatelor: nu este necesară o conexiune criptată pe subdomeniile „pki”, „crl”, „ocsp” și unele variante ale acestora. Antetul HSTS nu trebuie să fie setat pe portul 443 (nu ne așteptăm la https).
  2. Nu este necesară criptarea pe subdomeniile Microsoft Autodiscover, aceasta este o excepție generală pentru serviciile Microsoft, deoarece altfel toată lumea este roșie…? Acest lucru se aplică domeniilor „autodiscover” și „autodiscover.test”.

Antetele HTTP

Se preconizează că toate site-urile web sunt configurate pentru securitate. Acestea sunt excepțiile de la această regulă:

  1. Lipsa antetelor pentru tipurile de conținut SOAP/JSON/XML: Aceste servicii nu sunt destinate oamenilor și, prin urmare, nu trebuie să asigure protecția browserului menită să protejeze oamenii.
  2. Lipsește antetul pentru serviciile tehnice: Pentru subdomeniul ADFS, antetul HSTS nu trebuie să fie setat.

Altele

Se așteaptă ca toate cerințele de siguranță să fie îndeplinite. Există scenarii complexe în care acest lucru nu s-a întâmplat încă sau nu este posibil. Acestea sunt excepțiile:

  1. Servicii Microsoft pe subdomeniile lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Acest lucru a fost făcut deoarece aceste servicii nu sunt destinate browserelor, ci serviciilor automatizate. În același timp, deoarece impactul ar fi mare peste tot, iar furnizorii de servicii TIC nu pot rezolva aceste probleme:
    • Certificatul de pe aceste subdomenii este de încredere, deși nu este de încredere din partea Qualys.
    • Deoarece acestea sunt servicii destinate dispozitivelor, și nu browserelor, antetele http nu sunt obligatorii.