Bezbjednosne preporuke za IIS web server - oib.aidrs.org · PDF file0 Bezbjednosne preporuke za IIS web server AGENIJA ZA INFORMAIONO DRUŠTVO REPUBLIKE SRPSKE ODJELJENJE ZA INFORMACIONU

0

Bezbjednosne preporuke

za IIS web server

AGENCIJA ZA INFORMACIONO DRUŠTVO

REPUBLIKE SRPSKE

ODJELJENJE ZA INFORMACIONU

BEZBJEDNOST

AUTOR :

ALEKSANDAR ĐURIĆ

ODGOVORNO LICE:

SRĐAN RAJČEVIĆ

ODJELJENJE ZA INFORMACIONU BEZBJEDNOST Bezbjednosne preporuke za ISS web server

1

Agencija za informaciono društvo Republike Srpske Odjeljenje za informacionu bezbjednost Publikacija OIBRS-PUB-S2 Bezbjednosne preporuke za IIS web server Autor: Aleksandar Đurić, [email protected] Urednik izdanja: mr Srđan Rajčević, [email protected] http://oib.aidrs.org | http://www.aidrs.org

Ovaj dokument je redigovana i prevedena verzija originalnog dokumenta pod nazivom „CIS Microsoft IIS 10 Server Benchmark“ dostupnog na adresi https://www.cisecurity.org/cis-benchmarks/.

https://www.cisecurity.org/cis-benchmarks/

https://www.cisecurity.org/cis-benchmarks/


2

CONTENTS

1. Osnovna podešavanja .................................................................................................................................... 4

1.1. Osigurati da se web sadržaj ne nalazi na particiji sa koje se pokreće sistem ........................................ 4

1.2. Osigurati da se "host headers" nalazi na svim sajtovima ...................................................................... 4

1.3. Osigurati da je "directory browsing" ugašen ......................................................................................... 4

1.4. Osigurati da je "application pool identity" podešen za svaki aplikacijski pool ..................................... 4

1.5. Osigurati da je "unique application pools" podešen za sve sajtove. .................................................... 5

1.6. Osigurati da je "application pool identity" podešen za anonimne korisničke identitete. ..................... 5

2. Podesiti autentikaciju i autorizaciju ............................................................................................................... 5

2.1. Osigurati da je "global authorization rule podešen za restrikciju pristupa........................................... 5

2.2. Ensure access to sensitive site features is restricted to authenticated principals ................................ 5

2.3. Osigurati da "forms authentication" zahtjeva SSL ................................................................................ 6

2.4. Osigurati da je "forms authentication" podešen da koristi cookies ...................................................... 6

2.5. Osigurati da je "cookie protection mode" podešen za autentikaciju putem forme .............................. 6

2.6. Osigurati da je TLS za "basic authentication" podešen ........................................................................ 6

2.7. Osigurati da "passwordFormat" nije podešen na clear ......................................................................... 6

2.8. Osigurati da "credentials" nisu skladišteni u konfiguracijskim fajlovima .............................................. 7

3. Preporuke za ASP.NET podešavanja ............................................................................................................... 7

3.1. Osigurati da je "deployment method retail" podešen.......................................................................... 7

3.2. Osigurati da je "debug" ugašen ............................................................................................................. 7

3.3. Osigurati da "custom error" poruke nisu ugašene ................................................................................ 7

3.4. Osigurati da se "IIS HTTP detailed errors" ne mogu remotely prikazati ................................................ 7

3.5. Osigurati da "ASP.NET tracking" nije omogućen ................................................................................... 8

3.6. Osigurati da je "httpcookie" mode podešen za stanje sesije ................................................................ 8

3.7. Osigurati da su "cookies" podešeni sa "HttpOnly" atributom .............................................................. 8

3.8. Osigurati da je "MachineKey validation method - .Net 3.5" podešena ................................................. 8

3.9. Osigurati da je "MachineKey validation method - .Net4.5" podešen .................................................... 8

3.10. Osigurati da globalni ".Net trust level" podešen .................................................................................. 8

3.11. Osigurati da su "encryptions providers" zaključani .............................................................................. 9

4. Request filtering i druge metode restrikcije ................................................................................................... 9

4.1. Osigurati da je "maxAllowedContentLenght" podešen ......................................................................... 9

4.2. Osigurati da je "maxURL request filter" podešen .................................................................................. 9

4.3. Osigurati da je "MaxQueryString request filter" podešen ..................................................................... 9

4.4. Osigurati da su samo ASCII karakteri dozvoljeni unutar URL-a ........................................................... 10

4.5. Osigurati da će "Double-Encoded" zahtjevi biti odbačeni ................................................................... 10

4.6. Osigurati da je "HTTP Trace Method" onemogućen ............................................................................ 10


3

4.7. Osigurati da su samo odobrene ekstenzije fajlova dozvoljene ............................................................ 10

4.8. Osigurati da "Handler" nema Write i Script/Execute permisije ........................................................... 10

4.9. Osigurati da je "notListedIsapisAllowed" podešen na false ................................................................ 10

4.10. Osigurati da je "notListedCgisAllowed" podešen na false ................................................................... 11

4.11. Osigurati da je "Dynamic IP Address Restrictions" omogućen ............................................................ 11

5. IIS logovanje ................................................................................................................................................. 11

5.1. Osigurati da je standardna lokacija ISS web loga promjenjena ........................................................... 11

5.2. Osigurati da je "Advanced ISS logging" omogućen .............................................................................. 11

5.3. Osigurati da je "ETW logging" omogućen ............................................................................................ 12

6. FTP Zahtjevi .................................................................................................................................................. 12

6.1. Osigurati da su FTP zahtjevi enkriptovani ............................................................................................ 12

6.2. Osigurati da je "FTP Logon attempt restrictions" omogućen .............................................................. 12

7. Enkripcija saobraćaja .................................................................................................................................... 13

7.1. Osigurati da je "HSTS Header" podešen .............................................................................................. 13

7.2. Osigurati da je "SSLv2" onemogućen .................................................................................................. 13

7.3. Osigurati da je "SSLv3" onemogućen .................................................................................................. 13

7.4. Osigurati da je "TLS 1.0" onemogućen ................................................................................................ 13

7.5. Osigurati da je "TLS 1.1" omogućen .................................................................................................... 13

7.6. Osigurati da je "TLS 1.2" omogućen .................................................................................................... 13

7.7. Osigurati da je "NULL Cipher Suites" onemogućen ............................................................................. 13

7.8. Osigurati da je "DES Cipher Suites" onemogućen ............................................................................... 14

7.9. Osigurati da je "RC2 Cipher Suites" onemogućen ............................................................................... 14

7.10. Osigurati da je "RC4 Cipher Suites" onemogućen ............................................................................... 14

7.11. Osigurati da je "Triple DES Cipher Suite" podešen .............................................................................. 14

7.12. Osigurati da je "AES 128/128 Cipher Suite" podešen .......................................................................... 14

7.13. Osigurati da je "AES 256/256 Cipher Suite" omogućen ....................................................................... 14

7.14. Osigurati da je redosljed algoritama za enkripciju podešen ................................................................ 14


4

1 OSNOVNA PODEŠAVANJA

Osnovne preporuke na nivou Web servera.

1.1 OSIGURATI DA SE WEB SADRŽAJ NE NALAZI NA PARTICIJ I SA KOJE SE POKREĆE

SISTEM

Web resursi publikovani preko IIS-a su mapirani preko Virtuelnih direktorija na fizičku lokaciju

na disku. Preporučeno je mapiranje svih Virtuelnih direktorija na ne-sistemski disk. Izolovanje

web sadržaja sa sistema može umanjiti vjerovatnoću iscrpljivanja prostora na disku i

vjerovatnoću postojanja ranjivosti koje se tiču povjerljivosti i integriteta sistemskih fajlova.

1.2 OSIGURATI DA SE "HOST HEADERS" NALAZI NA SVIM SAJTOVIMA

Host headers pružaju mogućnost hostovanja više web stranica na istoj IP adresi i portu.

Preporučeno je konfigurisanje Host header-a na svim stranicama. Zahtjevanje Host header-a

umanjuje vjerovatnoću za uspješno identifikovanje i interakciju od strane IP baziranih skenova

i vjerovatnoću DNS napada koji mogu narušiti ili zloupotrjebiti podatke ili funkcionalnost sajta.

1.3 OSIGURATI DA JE "DIRECTORY BROWSING" UGAŠEN

Directory browsing dopušta pregledanje sadržaja direktorija na zahtjev web klijenta. Ako je

directory browsing omogućen za direktorij u Internet Information Services, korisnik na uvid

dobije stranicu koja izlista sadržaj direktorija kada nije specifično određen fajl u URL-u i kada

je Default Documents onemogućen u IIS-u.

1.4 OSIGURATI DA JE "APPLICATION POOL IDENTITY" PODEŠEN ZA SVAKI

APLIKACIJSKI POOL

Application Pool Identities su stvarni korisnici koji će pokretati - w3wp-exe proces.

Dodjeljivanje ispravnih korisnika će osigurati aplikaciji ispravno funkcionisanje dok sistemu

neće davati prevelike permisije. Preporučeno je pokretanje svakog Application Pool-a sa

jedinstvenim korisnikom.


5

1.5 OSIGURATI DA JE "UNIQUE APPL ICATION POOLS" PODEŠEN ZA SVE SAJTOVE.

Application Pool Identities omogućavaju pokretanje Application Pool-a jedinstvenim nalozima

bez potrebe da se kreiraju i održavaju lokalni ili domain nalozi. Preporučeno je da se svi sajtovi

pokreću pod jedinstvenim Application Pool-om.

1.6 OSIGURATI DA JE "APPLICATION POOL IDENTITY" PODEŠEN ZA ANONIMNE

KORISNIČKE IDENTITETE.

Da bi se postiglo izolovanje IIS-a, Application Pools se mogu pokretati kao različiti identiteti.

IIS se može podesiti da automatski koristi Application Pool identitet ukoliko ne postoji

anonimni korisnički nalog za Web sajt. Ovo može uvelike umanjiti broj neophodnih računa i

olakšati održavanje naloga. Preporučeno podešavanje za Application Pool Identity jeste

Anonymous User Identity.

2 PODESITI AUTENTIKACIJU I AUTORIZACIJU

Preporuke na osnovu različitih nivoa autentikacije u IIS-u.

2.1 OSIGURATI DA JE "GLOBAL AUTHORIZATION RULE PODEŠEN ZA RESTRIKCIJU

PRISTUPA

Autorizacijska pravila se mogu podesiti na serveru, web sajtu, direktoriju ili fajlu. Preporučeno

podešavanje za URL Authorization jeste da dozvoljava pristup samo neophodnim

bezbjednosnim principima.

2.2 OSIGURATI DA JE PRISTUP OSJETLJIVIM SADRŽAJIMA WEB STRANICE

OGRANIČEN NA AUTENTIKOVANA LICA

Preporučeno je da sajtovi koji sadrže osjetljive informacije, povjerljive podatke ili servisi koji

nisu javni budu podešeni sa mehanizmom autentikacije koji zahtjeva kredencijale.


6

2.3 OSIGURATI DA "FORMS AUTHENTICATION" ZAHTJEVA SSL

Autentikacija putem forme može prenositi kredencijale preko mreže u običnom tekstu.

Neophodno je enkriptovati saobraćaj između klijenta i servera korišteći SSL, posebno u

slučajevima javno dostupnih sajtova. Preporučeno je enkriptovanje putem SSL-a za svaki dio

sajta koji koristi Forms Authentication.

2.4 OSIGURATI DA JE "FORMS AUTHENTICATION" PODEŠEN DA KORISTI COOKIES

Forms Authentication se može podesiti da čuva identifikatore posjetitelja u URI ili cookie-ju.

Preporučeno podešavanje za Form Authentication jeste korištenja cookie-ja.

2.5 OSIGURATI DA JE "COOKIE PROTECTION MODE" PODEŠEN ZA AUTENTIKACIJU

PUTEM FORME

Cookie protection mode definiše zaštitu koja će biti dodjeljena za Forms Authentication cookie

unutar aplikacije. Preporučeno podešavanje za Cookie protection mode je da uvijek koristi

Encryption i Validation mode za Forms Authentication cookies.

2.6 OSIGURATI DA JE TLS ZA "BASIC AUTHENTICATION" PODEŠEN

Basic Authentication može prenositi kredencijale preko mreže u običnom tekstu. Neophodno

je enkriptovati saobraćaj između klijenta i servera koristeći SSL, posebno u slučajevima javno

dostupnih sajtova i preporučeno je da se koristi TLS i da se zahtjeva na svakom sajtu ili aplikaciji

koristeći Basic Authentication.

2.7 OSIGURATI DA "PASSWORDFORMAT" NIJE PODEŠEN NA CLEAR

Kredencijali za autentikaciju moraju uvijek biti zaštićeni da bi se umanjio rizik krađe istih.

Preporučena vrijednost podešavanja passwordFormat-a jeste da ne bude Clear, već druga

vrijednost poput SHA1.


7

2.8 OSIGURATI DA "CREDENTIALS" NISU SKLADIŠTENI U KONFIGURACIJSKIM

FAJLOVIMA

Kredencijali za autentikaciju moraju uvijek biti zaštićeni da bi se umanjio rizik krađe istih.

Preporučeno je ne skladištiti šifre u konfiguracijske fajlove čak i u obliku heša.

3 PREPORUKE ZA ASP.NET PODEŠAVANJA

Podešavanja specifična za ASP.NET.

3.1 OSIGURATI DA JE "DEPLOYMENT METHOD RETAIL" PODEŠEN

Deployment retail switch je namjenjen produkcijskim IIS serverima. Ovaj switch pomaže

aplikacijama da pruže najbolje performanse i da umanje odljev bezbjednosnih informacija. Da

bi se sprječio odljev informacija koje su od koristi tokom razvoja, preporučeno je postavljanje

bilo kog produkcijskog servera na retail.

3.2 OSIGURATI DA JE "DEBUG" UGAŠEN

Tokom razvoja omogućavanje debug mode-a ima prednosti ali u slučaju da mode ostane "on"

ili "true" može doći do nepoželjnog odljeva informacija. Preporučeno je gašenje debugging-a.

3.3 OSIGURATI DA "CUSTOM ERROR" PORUKE NISU UGAŠENE

Da bi se sprječio odljev informacija prilikom stvaranja HTTP/1.x 500 Internal Server Error-a i

prikazivanje istih klijentu, preporučeno podešavanje za customErrors jeste on ili RemoteOnly.

3.4 OSIGURATI DA SE "IIS HTTP DETAILED ERRORS" NE MOGU REMOTELY

PRIKAZATI

Udaljeni korisnici ne smiju imati pristup detaljnim informacijama o greškama do kojih je došlo

tokom rada servera i preporučeno je omogućavanje samo lokalnog pristupa greškama.


8

3.5 OSIGURATI DA "ASP.NET TRACKING" NIJE OMOGUĆEN

Trace element podešava ASP.NET code tracing servis koji kontroliše kako se trace rezultati

skupljaju, skladište i prikazuju. Preporučeno je da se ASP.NET stack tracing ne koristi sa

obzirom da pruža mogućnost osjetljivih podešavanja i informacija.

3.6 OSIGURATI DA JE "HTTPCOOKIE" MODE PODEŠEN ZA STANJE SESIJE

Informacije o sesiji se mogu skladištiti u cookie ili u URL. Skladištenje u URL ima bezbjednosne

rizike i može dovesti do krađe sesije. Preporučeno podešavanje stanja sesije jeste UseCookies.

3.7 OSIGURATI DA SU "COOKIES" PODEŠENI SA "HTTPONLY" ATRIBUTOM

HttpOnly flag označava korisničkom agentu da cookie ne smije biti dostupan od strane

klijentske skripte. Preporučeno podešavanje za httpOnlyCookies jeste true.

3.8 OSIGURATI DA JE "MACHINEKEY VALIDATION METHOD - .NET 3.5" PODEŠENA

Machine Key može određivati hash i enkripcijska podešavanja za servise aplikacije. Dostupna

podešavanja za metode validacije su AES, MD5, SHA1 i TripleDES. Za globalni nivo podešavanja

preporučena je AES ili SHA1 metoda.

3.9 OSIGURATI DA JE "MACHINEKEY VALIDATION METHOD - .NET4.5" PODEŠEN

Machine Key može određivati hash i enkripcijska podešavanja za servise aplikacije. Dostupna

podešavanja za metode validacije su AES, MD5, SHA1, TripeDES i SHA-2. Za globalni nivo

podešavanja preporučena je SHA-2 metoda.

3.10 OSIGURATI DA GLOBALNI ".NET TRUST LEVEL" PODEŠEN

Ova preporuka se odnosi samo na .Net 2.0, naprednije verzije ne podržavaju ovu opciju.

Trust level aplikacije se određuje permisijama koje dodjeli ASP.NET code access security (CAS)

polisa. Definišu se dvije kategorije povjerenja, potpuno i djelimično povjerenje. Aplikacija sa

potpunim povjerenjem može pristupiti svim tipovima resursa na serveru i sprovoditi

privilegovane operacije dok aplikacija sa djelimičnim poverenjem ima varirajući nivo

dopuštenja i pristupa. Moguća podešavanja za Level property TrustSection klase su, full, high,

medium i low. Preporučeni .NET Trust Level je medium ili niže.


9

3.11 OSIGURATI DA SU "ENCRYPTIONS PROVIDERS" ZAKLJUČANI

iisWasKey je namjenjen samo za pristup od strane administratora i sistema. Po standardnim

podešavanjima IIS_IUSRS grupa ima read pristup. Preporučeno je povlačenje pristupa od

strane IIS_USRS grupe s čim će se umanjiti površina za napad i održati integritet i povjerljivost.

4 REQUEST FILTERING I DRUGE METODE RESTRIKCIJE

Request filtering je modul koji pruža podešavajući set pravila koja određuju koji tipovi zahtjeva

će biti prihvaćeni ili odbačeni od strane servera, web sajta ili aplikacije.

4.1 OSIGURATI DA JE "MAXALLOWEDCONTENTLENGHT" PODEŠEN

maxAllowedContentLength Request Filter je maksimalna veličina http zahtjeva, mjerenog u

bajtima, koja može biti poslana od klijenta ka serveru. Preporučeno je podešavanje

maksimalne vrijednosti na vrijednost koja odgovara serveru, sajtu ili aplikaciji.

4.2 OSIGURATI DA JE "MAXURL REQUEST FILTER" PODEŠEN

maxUrl atribut je maksimalna dužina, izražena u bajtima, koju prihvaćeni URL može sadržati

da bi ga IIS prihvatio. Podešavanje ovog Request Filter-a dozvoljava administratorima

restrikciju dužine zahtjeva koje će server prihvatiti. Preporučeno je postavljanje limita na

dužinu URL-a.

4.3 OSIGURATI DA JE "MAXQUERYSTRING REQUEST FILTER" PODEŠEN

MaxQueryString Request Filter označava maksimalnu dužinu upita koju će IIS server dopustiti

za web sajtove ili aplikacije. Preporučeno je postavljanje limita na količinu podataka koji će biti

prosljeđeni u upitu.


10

4.4 OSIGURATI DA SU SAMO ASCII KARAKTERI DOZVOLJENI UNUTAR URL-A

Korištenje ove opcije u Request Filtering-u će dovesti do odbacivanja zahtjeva koji sadrže high-

bit karaktere unutar URL-a. Preporučeno je odbacivanje takvih zahtjeva.

4.5 OSIGURATI DA ĆE "DOUBLE-ENCODED" ZAHTJEVI BITI ODBAČENI

Ovaj Request filter spriječava napade koji se oslanjaju na double-encoded zahtjeve i

primjenjuju se u slučaju da maliciozni akter uputi takav zahtjev IIS-u. Kada je filter uključen IIS

prolazi kroz dva koraka normalizacije zahtjeva, u slučaju da se prva normalizacija ne poklapa

sa drugom zahtjev se odbacuje i error code se loguje kao 404.11. Preporučeno je odbacivanje

double-encode zahtjeva.

4.6 OSIGURATI DA JE "HTTP TRACE METHOD" ONEMOGUĆEN

HTTP TRACE metoda vraća sadržaj klijentskog HTTP zahtjeva kao TRACE response. Radi

prevencije odljeva informacija kroz HTTP header preporučeno je onemogućavanje HTTP

TRACE-a.

4.7 OSIGURATI DA SU SAMO ODOBRENE EKSTENZIJE FAJLOVA DOZVOLJENE

FileExtension Request Filter dozvoljava administratorima da definišu specifičnu fajl ekstenziju

koju će njihov web sever ili dopuštati ili ne. Preporučeno je da na globalnom nivou sve osim

neophodnih ekstenzija ne bude dozvoljene.

4.8 OSIGURATI DA "HANDLER" NEMA WRITE I SCRIPT/EXECUTE PERMISIJE

Handler mappings-u se mogu dodjeliti permisije Read, Write, Script ili Execute u zavisnosti od

potrebe. Preporučeno je dodjeljivanje ili Execute/Script ili Write permisije al ne oboje.

4.9 OSIGURATI DA JE "NOTLISTEDISAPISALLOWED" PODEŠEN NA FALSE

notListedIsapisAllowed atribut je podešavanje na nivou servera koje se nalazi u

ApplicationHost.config fajlu u isapiCgiRestriction elementu system.webServer sekcije pod

security. Ovaj element spriječava maliciozne korisnike da kopiraju neautorizovani ISAPI binarni

fajl na Web server i da ga pokrenu. Preporučeno podešavanje za notListedIsapisAllowed jeste

false.


11

4.10 OSIGURATI DA JE "NOTLISTEDCGISALLOWED" PODEŠEN NA FALSE

notListedCgisAllowed atribut je podešavanje na nivou servera koje se nalazi u

ApplicationHost.config fajlu u isapiCgiRestriction elementu system.webServer sekcije pod

security. Ovaj element spriječava maliciozne korisnike da kopiraju neautorizovani CGI binarni

fajl na Web server i da ga pokrenu. Preporučeno podešavanje za notListedCgisAllowed jeste

false.

4.11 OSIGURATI DA JE "DYNAMIC IP ADDRESS RESTRICTIONS" OMOGUĆEN

IIS Dynamic IP Address Restrictions se može koristiti da spriječi DDos napade. Ovo je

komplementarno sa IP Addresses i Domain names Restriction listom koja se može manuelno

održavati unutar IIS-a. Dynamic IP address filtering dopušta administratorima podešavanje

servera tako da blokira pristup IP adresama po zadanim podešavanjima. Za restrikciju je

standardno podešavanje vraćanje Forbidden odgovora klijentu.

5 IIS LOGOVANJE

Preporuke za logovanje koje nisu pokrivene u osnovnim podešavanjima.

5.1 OSIGURATI DA JE STANDARDNA LOKACIJA ISS WEB LOGA PROMIJENJENA

IIS loguje detaljne informacije o svakom zahtjevu. U slučaju incidenta ti logovi se prvi gledaju

i vrlo su vrijedan resurs. Maliciozni akteri su svjesni toga i u namjeri da sakriju tragove svojih

aktivnosti pokušaće ostvariti pristup logovima, iz tog razloga potrebno je promjeniti

standardnu lokaciju IIS log fajlova na ne-sistemski drive sa restrikcijama.

5.2 OSIGURATI DA JE "ADVANCED ISS LOGGING" OMOGUĆEN

IIS Advanced Logging je modul koji pruža fleksibilnost u logovanju zahtjeva i klijentskih

podataka. Ovaj modul omogućava specifično podešavanje potrebnih i bitnih podataka koji će

se logovati. Preporučuje se korištenje Advanced Logging modula i identifikacija i logovanje

bitnih podataka.


12

5.3 OSIGURATI DA JE "ETW LOGGING" OMOGUĆEN

Administratori mogu slati informacije iz logova ka Event Tracing for Windows (ETW). Ovo

omogućava pregledanje logova u realnom vremenu bez potrebe da se čeka izbacivanje

podataka na disk.

6 FTP ZAHTJEVI

Nepohodna podešavanja za korištenje file transfer protocol-a.

6.1 OSIGURATI DA SU FTP ZAHTJEVI ENKRIPTOVANI

FTP Publishing Service za IIS podržava dodavanje SSL certifikata FTP sajtu. Korištenje SSL

certifikata sa FTP sajtom je poznato i kao FTP-S ili FTP over Secure Socket Layers i omogućava

bezbjedan prenos podataka.

6.2 OSIGURATI DA JE "FTP LOGON ATTEMPT RESTRICTIONS" OMOGUĆEN

IIS sadrži ugrađenu bezbjednosnu opciju koja automatski blokira brute force FTP napade. Ovo

se može iskoristiti za prevenciju uspjeha brute force napada na otkrivenim lokalnim ili

administratorskim nalozima.


13

7 ENKRIPCIJA SAOBRAĆAJA

Podešavanja za konfigurisanje IIS protokola i algoritama za šifrovanje.

7.1 OSIGURATI DA JE "HSTS HEADER" PODEŠEN

HTTP Strict Transport Security (HSTS) omogućava sajtu da informiše user agent-a da

komunicira sa sajtom samo preko HTTPS-a.

7.2 OSIGURATI DA JE "SSLV2" ONEMOGUĆEN

Ovaj protokol se smatra kriptografski nesigurnim. Preporučeno je onemogućavanje korištenja.

7.3 OSIGURATI DA JE "SSLV3" ONEMOGUĆEN

Ovaj protokol se smatra kritpografski nesigurnim. Preporučeno je onemogućavanje korištenja.

7.4 OSIGURATI DA JE "TLS 1.0" ONEMOGUĆEN

SSL i ranije TLS se ne smatraju kriptografski jakim i preporučuje se korištenje TLS 1.2 verzije.

7.5 OSIGURATI DA JE "TLS 1.1" OMOGUĆEN

Omogućavanje TLS 1.1 se zahtjeva zbog kompatabilnosti sa ranijim verzijama.

7.6 OSIGURATI DA JE "TLS 1.2" OMOGUĆEN

TLS 1.2 je najskoriji protokol za zaštitu povjerljivosti i integriteta HTTP saobraćaja.

Preporučeno je korištenje ovog protokola.

7.7 OSIGURATI DA JE "NULL CIPHER SUITES" ONEMOGUĆEN

NULL kriptografski algoritam ne pruža povjerljivost i integritet podataka i preporučeno je

njegovo omogućavanje.


14

7.8 OSIGURATI DA JE "DES CIPHER SUITES" ONEMOGUĆEN

DES je slabi kriptografski algoritam za simetrične ključeve. Preporučeno je da se onemogući.

7.9 OSIGURATI DA JE "RC2 CIPHER SUITES" ONEMOGUĆEN

RC2 je slabi blok kriptografski algoritam za simetrične ključeve. Preporučeno je da se

onemogući.

7.10 OSIGURATI DA JE "RC4 CIPHER SUITES" ONEMOGUĆEN

RC4 je kriptografski algoritam toka i za njega postoje praktični napadi. Preporučeno je da se

onemogući.

7.11 OSIGURATI DA JE "TRIPLE DES C IPHER SUITE" PODEŠEN

Omogućavanje Triple DES Cipher Suite-a će možda biti potrebno da bi se ostvarila

kompatabilnost sa klijentom. Omogućiti ili onemogućiti ovaj algoritam po potrebi.

7.12 OSIGURATI DA JE "AES 128/128 CIPHER SUITE" PODEŠEN

Omogućavanje AES 128/128 će možda biti potrebno da bi se ostvarila kompatabilnost sa

klijentom. Omogućiti ili onemogućiti ovaj algoritam po potrebi.

7.13 OSIGURATI DA JE "AES 256/256 CIPHER SUITE" OMOGUĆEN

AES 256/256 je najskoriji algoritam za šifrovanje za zaštitu povjerljivosti i integriteta HTTP

saobraćaja. Preporučeno je njegovo omogućavanje i korištenje.

7.14 OSIGURATI DA JE REDOSLJED ALGORITAMA ZA ENKRIPCIJU PODEŠEN

Algoritmi za šifrovanje bi trebali biti konfigurisani od najjačih ka najslabijima da bi se

obezbjedilo što bolje podešavanje za enkripciju između servera i klijenta.