Netwerk, database en SSL/TLS network-database

Netwerkconfiguratie

Een zeer belangrijk ding om te controleren wanneer het opstellen van een on-premise type van architectuur is de voorzien van een netwerkconfiguratie. Zorg ervoor dat de Tomcat-server NIET rechtstreeks toegankelijk is buiten de server:

  • Sluit de Tomcat-poort (8080) op externe IP's (moet werken op localhost)
  • Wijs de standaard HTTP-poort (80) niet toe aan Tomcat (8080)

Gebruik indien mogelijk een beveiligd kanaal: POP3S in plaats van POP3 (of POP3 via TLS).

Database

U moet de best practices voor de beveiliging van uw database-engine toepassen.

SSL/TLS-configuratie

U kunt openssl gebruiken om het certificaat te controleren. Om actieve ciphers te controleren, kunt u nmap gebruiken:

#!/bin/sh
#
# usage: testSSL.sh remote.host.name [port]
#
REMHOST=$1
REMPORT=${2:-443}

echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} -servername ${REMHOST} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' |\
openssl x509 -noout -subject -dates

nmap --script ssl-enum-ciphers -p ${REMPORT} ${REMHOST}

U kunt ook een schuinepythonmanuscript gebruiken dat allebei doet.

python sslyze.py --sslv2 --sslv3 --tlsv1 --reneg --resum --certinfo=basic --hide_rejected_ciphers --sni=SNI myserver.com
recommendation-more-help
601d79c3-e613-4db3-889a-ae959cd9e3e1