Unntak fra retningslinjene for måling

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Denne siden inneholder en liste over unntakssituasjoner for målinger av grunnleggende sikkerhet. En måling uten kontekst vil bli vurdert negativt. Derfor legger grunnsikring til unntak i henhold til den såkalte «følg eller forklar»-prosessen.

Hvis det mangler et unntak, vennligst kontakt oss. Denne unntaksforespørselen vil da bli gjennomgått og eventuelt lagt til i målingene. Ta med kravene i manualen for god forklaring.

Versjonsnummer

Vi forventer ikke å komme over informasjon som en angriper kan bruke til å utføre et angrep. Så generelt forventer vi ikke versjonsnumre. Dette er unntakene fra dette:

  1. SSH2.0-strenger uten kommentarer er ekskludert fordi versjonsinformasjon er en del av protokollen. Se www.openssh.com/txt/rfc4253.txt 4.2. Dette betyr for eksempel at «OpenSSH_9.2p1» er godkjent, men «OpenSSH_9.2p1 Debian-2+deb12u2» er ikke godkjent. Dette er fordi den publiserer tilleggsinformasjon («Debian-2+deb12u2») om systemet. Dette betyr at systemet ikke er herdet mot angripere, og en angriper vet nøyaktig hva slags system dette er.
  2. Større versjoner av velkjente produkter som sier lite om oppdateringsnivået. For eksempel: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Disse er godkjent.

Sertifikater

Det forventes at alle sertifikater utstedes av en akkreditert organisasjon. Disse sertifikatene blir deretter klarert i nettlesere og enheter. Dette er unntakene fra dette:

  1. G1 Sertifikater fra myndighetene. Disse er ikke klarert av nettleseren, men er klarert av myndighetene. Dette er angitt med en erklæring. Ikke klarert er nå av design. Sertifikatet som aksepteres, må blant annet inneholde serienummeret 10004001.

Åpne porter

Forventningen er at angrepsflaten er minimal, det vil si så få åpne porter som mulig. Dette er unntakene fra dette:

  1. 8080/8443 (Cloudflare): Cloudflare-brannmuren åpner noen overflødige porter som standard, for eksempel 8080. Du kan selv konfigurere hva som vises der. Hvis vi ser cloudflare oppført der, godkjenner vi det nå med en forklaring. Dette er i siste instans ikke bra, og vi oppfordrer cloudflare-brukere til å indikere at selskapet bør begynne å stenge disse portene. Dette unntaket skjer basert på innholdet på nettsiden. En policy brukes på dette som en erklæring.
  2. 8443 (VPN): underdomener relatert til hjemmearbeid kan åpne denne porten. Vi gjenkjenner dette ved underdomener (og mange varianter av): telearbeid, hjemmearbeid, arbeidsplass, arbeidsstasjon, ekstranett, intranett, fjernarbeid, fjernarbeid, vpn og så videre.

Kryptert dataoverføring (HTTPS)

Forventningen er at nettsteder og nettjenester skal være kryptert slik at informasjonen forblir konfidensiell. Dette er unntakene fra dette:

  1. Sertifikatopphevelseslister: Det er ikke nødvendig med kryptert tilkobling på underdomenene «pki», «crl», «ocsp» og noen varianter av disse. HSTS-overskriften trenger ikke å settes på port 443 (vi forventer ikke https).
  2. Det kreves ingen kryptering på Microsoft Autodiscover-underdomener, dette er et generelt unntak for Microsoft-tjenester fordi ellers er alle røde…? Dette gjelder for domenene «autodiscover» og «autodiscover.test».

HTTP-overskrifter

Forventningen er at alle nettsteder er satt opp for sikkerhet. Dette er unntakene fra dette:

  1. Manglende overskrifter for SOAP/JSON/XML-innholdstyper: Disse tjenestene er ikke beregnet på mennesker og trenger derfor ikke å ha den nettleserbeskyttelsen som er ment å beskytte mennesker.
  2. Mangler overskrifter for tekniske tjenester: For ADFS-underdomenet trenger ikke HSTS-overskriften å angis.

Annet

Alle sikkerhetskrav forventes å være oppfylt. Det finnes komplekse scenarier der dette ennå ikke har skjedd eller ikke er mulig. Dette er unntakene:

  1. Microsoft-tjenester på underdomener rundt lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Dette ble gjort fordi disse tjenestene ikke er ment for nettlesere, men for automatiserte tjenester. Samtidig fordi konsekvensene ville være store overalt, og fordi IKT-tjenesteleverandører ikke kan løse disse problemene:
    • Sertifikatet på disse underdomenene er klarert, til tross for at det ikke er klarert fra Qualys.
    • Siden dette er tjenester som er beregnet på enheter, og ikke nettlesere, er http-overskriftene ikke obligatoriske.