Rete, database e SSL/TLS network-database

Configurazione della rete

Una cosa molto importante da verificare durante la distribuzione di un tipo di architettura on-premise è la configurazione di rete. Verificare che il server Tomcat NON sia direttamente accessibile all'esterno del server:

  • Chiudi la porta Tomcat (8080) sugli IP esterni (deve funzionare su localhost)
  • Non mappare la porta HTTP standard (80) su Tomcat 1 (8080)

Quando è possibile, utilizza un canale sicuro: POP3S invece di POP3 (o POP3 su TLS).

Database

È necessario applicare le procedure consigliate per la protezione del motore di database.

Configurazione SSL/TLS

Per verificare il certificato, puoi utilizzare openssl. Per controllare le crittografie attive, puoi utilizzare nmap:

#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}

echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates

nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}

È inoltre possibile utilizzare un’ dimensioni script python che esegue entrambe le operazioni.

python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com
recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1