Izjeme od politike merjenja

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Ta stran vsebuje seznam izjemnih situacij pri meritvah osnovne varnosti. Meritev brez konteksta bo ocenjena negativno. Zato osnovna varnost dodaja izjeme v skladu s tako imenovanim postopkom “spoštuj ali pojasni”.

Če manjka izjema, se obrnite na nas. Ta zahtevek za izjemo bo nato pregledan in bo morda dodan meritvam ali ne. Vključite zahteve iz priročnika za dobro razlago.

Številke različic

Pričakujemo, da ne boste naleteli na informacije, ki bi jih napadalec lahko uporabil za izvedbo napada. Zato na splošno ne pričakujemo številk različic. To so izjeme:

  1. Nizov SSH2.0 brez komentarjev ne upoštevamo, ker so informacije o različici del protokola. Glej www.openssh.com/txt/rfc4253.txt 4.2. To pomeni, da je na primer “OpenSSH_9.2p1” odobren, “OpenSSH_9.2p1 Debian-2+deb12u2” pa ne. To je zato, ker objavlja dodatne informacije (“Debian-2+deb12u2”) o sistemu. To pomeni, da sistem ni zaščiten pred napadalci in da napadalec natančno ve, za kakšen sistem gre.
  2. Večje različice znanih izdelkov, ki ne povedo veliko o stopnji popravkov. Na primer: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Te različice so odobrene.

Potrdila

Pričakuje se, da bo vsa potrdila izdala akreditirana organizacija. Ta potrdila so nato zaupanja vredna v brskalnikih in napravah. To so izjeme:

  1. G1 Državna potrdila. Brskalnik jim ne zaupa, zaupa pa jim osrednja vlada. To je označeno z izjavo. Ni zaupanja vredno, je zdaj načrtovano. Sprejeto potrdilo mora med drugim vsebovati serijsko številko 10004001.

Odprta vrata

Pričakuje se, da je površina za napad minimalna: to pomeni čim manj odprtih vrat. To so izjeme:

  1. 8080/8443 (Cloudflare): Požarni zid cloudflare privzeto odpira nekatera odvečna vrata, kot je 8080. Sami lahko konfigurirate, kaj se tam prikaže. Če na seznamu vidimo podjetje cloudflare, ga zdaj odobrimo z razlago. To navsezadnje ni dobro in uporabnike podjetja cloudflare spodbujamo, da navedejo, da bi moralo podjetje začeti zapirati ta vrata. Ta izjema se izvede na podlagi vsebine spletne strani. Za to se kot izjava uporablja politika.
  2. 8443 (VPN): ta vrata lahko odprejo poddomene, povezane z domačim delom. To prepoznamo po poddomenah (in številnih različicah): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn itd.

Šifriran prenos podatkov (HTTPS)

Pričakuje se, da bodo spletna mesta in spletne storitve šifrirane, tako da bodo podatki ostali zaupni. To so izjeme:

  1. Seznami preklicanih potrdil: na poddomenah “pki”, “crl”, “ocsp” in nekaterih njihovih različicah šifrirana povezava ni potrebna. Na vratih 443 ni treba nastaviti glave HSTS (ne pričakujemo https).
  2. Na Microsoftovih poddomenah Autodiscover šifriranje ni potrebno, to je splošna izjema za Microsoftove storitve, saj so sicer vsi rdeči…? To velja za domeni “autodiscover” in “autodiscover.test”.

Glave HTTP

Pričakuje se, da so vsa spletna mesta varnostno nastavljena. To so izjeme:

  1. Manjkajoče glave za vrste vsebine SOAP/JSON/XML: Te storitve niso namenjene ljudem, zato jim ni treba zagotoviti zaščite brskalnika, ki je namenjena zaščiti ljudi.
  2. Manjkajoči naslovi za tehnične storitve: Za poddomeno ADFS ni treba nastaviti glave HSTS.

Drugo

Pričakuje se, da so izpolnjene vse varnostne zahteve. Obstajajo zapleteni scenariji, pri katerih se to še ni zgodilo ali ni mogoče. To so izjeme:

  1. Microsoftove storitve na poddomenah okoli lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. To je bilo storjeno, ker te storitve niso namenjene brskalnikom, temveč avtomatiziranim storitvam. Hkrati tudi zato, ker bi bil vpliv povsod velik, ponudniki storitev IKT pa teh težav ne morejo rešiti:
    • Potrdilo na teh poddomenah je zaupanja vredno, čeprav ga Qualys ni izdal kot zaupanja vrednega.
    • Ker gre za storitve, namenjene napravam in ne brskalnikom, glave http niso obvezne.