Iznimke od politike mjerenja

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Ova stranica sadrži popis iznimnih situacija za mjerenja temeljena na osnovnoj sigurnosti. Mjerenje bez konteksta bit će ocijenjeno negativno. Stoga osnovna sigurnost dodaje iznimke prema takozvanom procesu „pridržavaj se ili objasni”.

Ako neka iznimka nedostaje, molimo kontaktirajte nas. Ovaj zahtjev za iznimkom bit će razmotren i eventualno dodan mjerenjima. Pritom uzmite u obzir zahtjeve iz priručnika za dobro objašnjenje.

Brojevi verzija

Očekuje se da se neće naići na informacije koje bi napadač mogao iskoristiti za izvođenje napada. Općenito, ne očekujemo brojeve verzija. Ovo su iznimke:

  1. SSH2.0 nizovi bez komentara su izuzeti jer su informacije o verziji dio protokola. Vidi www.openssh.com/txt/rfc4253.txt 4.2. To znači, na primjer, da se „OpenSSH_9.2p1” odobrava, ali „OpenSSH_9.2p1 Debian-2+deb12u2” ne. To je zato što se ovdje objavljuju dodatne informacije („Debian-2+deb12u2”) o sustavu. To znači da sustav nije zaštićen od napadača i napadač točno zna o kakvom se sustavu radi.
  2. Glavne verzije poznatih proizvoda koje malo govore o razini zakrpe. Kao što su: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. One se odobravaju.

Certifikati

Očekuje se da sve certifikate izdaje akreditirana organizacija. Ti se certifikati zatim smatraju pouzdanima u pregledniku i opremi. Ovo su iznimke:

  1. G1 Vladini certifikati. Njih preglednik ne smatra pouzdanima, ali ih državna uprava smatra pouzdanima. To se navodi izjavom. Nepouzdanost je sada dizajnirana. Certifikat koji se prihvaća mora sadržavati, između ostalog, serijski broj 10004001.

Otvoreni portovi

Očekuje se da je površina napada minimalna: dakle, što je moguće manje otvorenih portova. Ovo su iznimke:

  1. 8080/8443 (Cloudflare): Vatrozid Cloudflare standardno otvara brojne nepotrebne portove, poput 8080. Sami možete postaviti što će se tamo nalaziti. Ako tamo vidimo Cloudflare, sada to odobravamo s izjavom. To u konačnici nije dobro i potičemo korisnike Cloudflarea da naznače da bi tvrtka trebala zatvoriti te portove. Ova se iznimka temelji na sadržaju web stranice. Ovdje se primjenjuje politika kao objašnjenje.
  2. 8443 (VPN): Poddomene koje se odnose na rad od kuće smiju otvoriti ovaj port. To prepoznajemo po poddomenama (i mnogim varijantama): telewerken, thuiswerken, werkplek, werkstation, extranet, intranet, remote, werkenopafstand, vpn i slično.

Šifrirani prijenos podataka (HTTPS)

Očekuje se da se web stranice i web usluge nude šifrirano, kako bi informacije ostale povjerljive. Ovo su iznimke:

  1. Popisi opoziva certifikata: Nije potrebna šifrirana veza na poddomenama „pki”, „crl”, „ocsp” i brojnim varijantama. HSTS zaglavlje ne mora biti postavljeno na port 443 (ne bismo očekivali https).
  2. Nije potrebno šifriranje na Microsoft Autodiscover poddomenama, ovo je opća iznimka za Microsoftove usluge jer bi inače svi bili crveni…? To vrijedi za domene „autodiscover” i „autodiscover.test”.

HTTP zaglavlja

Očekuje se da su sve web stranice konfigurirane za sigurnost. Ovo su iznimke:

  1. Nedostajuća zaglavlja za SOAP/JSON/XML vrste sadržaja: Ove usluge nisu namijenjene ljudima i stoga ne moraju nuditi zaštitu preglednika koja je namijenjena zaštiti ljudi.
  2. Nedostajuća zaglavlja za tehničke usluge: Za ADFS poddomenu ne mora se postaviti HSTS zaglavlje.

Ostalo

Očekuje se da se ljudi pridržavaju svih sigurnosnih zahtjeva. Postoje složeni scenariji u kojima se to još nije dogodilo ili je moguće. Ovo su iznimke:

  1. Microsoftove usluge na poddomenama oko lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. To je učinjeno jer ove usluge nisu namijenjene preglednicima, već automatiziranim uslugama. Istodobno, budući da bi utjecaj bio visok posvuda, a pružatelji ICT usluga ne mogu riješiti te probleme:
    • Certifikat na ovim poddomenama je pouzdan, iako ne dobiva povjerenje od Qualysa.
    • Budući da su to usluge namijenjene uređajima, a ne preglednicima, http zaglavlja nisu obavezna.