it-swarm-es.com

Lo que un programador debe saber antes de la auditoría del cliente de su servicio web

Situación: He creado un cliente WS (.NET WCF) para el cliente que accede a un servicio web de terceros (WebSphere). Este WS utiliza HTTPS y obtengo un certificado de WS Vendor. Todos funciona bien, he entregado al cliente WS al cliente, el cliente ha ordenado su certificado ... pero de repente obtuve el correo del auditor de seguridad del cliente donde me preguntó por las cosas que no entiendo por qué es interesante. Así que me llené sin preparar para tanta historia.

Si entiendo el objetivo del auditor de seguridad de lo que entenderé lo que realmente quiere. Él está preguntando alrededor de 1) ¿Cuál es el nivel de protocolo mínimo que admite el requisito WS (SSLV2 o SSLV3)? 2) ¿Cuál es la longitud mínima de la clave 128 o 256 bits?

He escuchado sobre SSL Rollback Attack, pero esto debería ser interesante para WS Admin (tercero), no para el Auditor de Seguridad de la Red de Clientes WS (MI CLIENTE) ... ¿Por qué WS ¿El usuario del cliente podría ser interesante en esas cosas? ¿Puede haber la configuración de firewall que debe ajustar?

7
Roman Pokrovskij

Se debe garantizar la seguridad tanto en los lados del cliente como del servidor. Debido a que en el caso del hombre en el ataque medio, alguien puede empujar al cliente a usar cifrados débiles, como en SSH Downgrade Attack: http://sites.google.com/site/clickdeathsquad/home/cds-ssh-mitmdowngrade

No sé mucho sobre WCF, pero parece que desde el programa, solo puede especificar SSL o TLS en ServicePointManager.securityProtocol.

Parece que si la aplicación está utilizando Microsoft Crypto API, la única forma de restringir SSL/TLS para usar a ciertos ciphers es hacer cambios en el sistema completo como se describe en http://support.microsoft.com/kb/2450

Y WCF está utilizando MS Crypto API: http://msdn.microsoft.com/en-us/library/ms733806.aspx (Si el programa no está utilizando el validador de certificados personalizado)

4
Aleksandr Reznik

De lo que ha dicho, esto parece ser un problema de auditoría común que se plantearía a partir de un enfoque basado en la seguridad.

Espero que el Auditor de Seguridad esté buscando identificar si su nueva implementación admite ciferes SSL débiles y, por lo tanto, aumenta el riesgo basado en esto.

Si su cliente tiene un requisito PCI/DSS , entonces la auditoría puede ver para confirmar lo siguiente:

PCI DSS Requisitos
[.____] 4.1 Use criptografía y protocolos de seguridad sólidos (por ejemplo, SSL/TLS, IPSEC, SSH, etc.) para salvaguardar los datos sensibles del titular de la tarjeta durante la transmisión a través de redes públicas abiertas.

Para obtener más información, OWASP tiene una buena información sobre esto y avise.

Solo soporta cifradores criptográficos sólidos La resistencia del cifrado utilizada dentro de una sesión de TLS está determinada por el cifrado de cifrado negociado entre el servidor y el navegador. Para asegurarse de que solo se seleccionen cifradores criptográficos fuertes, el servidor debe modificarse para deshabilitar el uso de cifras débiles. Se recomienda configurar el servidor para admitir solo cifras fuertes y usar tamaños de llave suficientemente grandes.

6
David Stubley