Netwerk, database en SSL/TLS network-database
Netwerkconfiguratie
Een zeer belangrijk ding om te controleren wanneer het opstellen van een on-premisse type van architectuur is netwerkconfiguratie. Zorg ervoor dat de Tomcat-server NIET rechtstreeks toegankelijk is buiten de server:
- Sluit de Tomcat-poort (8080) op externe IP's (moet werken op localhost)
- Wijs de standaard HTTP-poort (80) niet toe aan Tomcat (8080)
Gebruik indien mogelijk een beveiligd kanaal: POP3S in plaats van POP3 (of POP3 via TLS).
Database
U moet de best practices voor de beveiliging van uw database-engine toepassen.
SSL/TLS-configuratie
U kunt openssl gebruiken om het certificaat te controleren. Om actieve ciphers te controleren, kunt u nmap gebruiken:
#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates
nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}
U kunt ook een slyze pythonscript dat beide doet.
python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com
recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1