escaneo ASV con proxy inverso

4

Somos compatibles con PCI como proveedor de servicios, sin embargo, nuestro puerto de servicio reenvía algo de tráfico web a nivel de TCP.

Los clientes utilizan nuestro servicio compatible con PCI y pueden optar por cargarnos un certificado TLS / SSL si desean que se analice su tráfico HTTPS. Por lo tanto, los flujos en nuestro servidor serían los siguientes.

Sin certificado TLS / SSL cargado por el cliente

HTTP Port 80 --> Our service analyses the HTTP header data --> 
  Customer system port 80 as new HTTP request


HTTPS Port 443 --> Our service simply retransmits the TCP packets --> 
  Customer system port 443

Con el certificado TLS / SSL cargado por el cliente

HTTP Port 80 --> Our service analyses the HTTP header data -->
  Customer system port 80 as new HTTP request


HTTPS Port 443 --> Our service decrypts and analyses the HTTP header data -->
  Re-encrypted using SSL/TLS to Customer system port 443 as new HTTP request

Tenga en cuenta que no hay multitenencia y que cada cliente tendrá su propio conjunto de servidores con nosotros para el análisis del encabezado.

Ahora hay un problema en el segundo escenario (sin certificado y sin descifrado HTTPS) de que estamos fallando nuestras exploraciones de ASV porque el tráfico de exploración afecta a nuestro sistema de clientes e informa sobre cosas como las versiones antiguas de SSL utilizadas o las suites de cifrado inseguras. . Como puede ver, simplemente estamos reenviando tráfico a nivel de TCP, por lo que cualquier vulnerabilidad como la que se informa es realmente un problema en el punto final del cliente en lugar de nuestro sistema como proveedor de servicios. El puerto 443 y el 443 solo actúan como un proxy inverso a nivel de TCP, por lo que el tráfico de escaneo llega a un servidor que está fuera de nuestro alcance de PCI.

HackerGuardian no aceptará estas vulnerabilidades como falsos positivos porque están fallando el análisis de ASV y no son realmente falsos positivos: son vulnerabilidades informadas por nuestro sistema dentro del alcance, sin embargo, está analizando el tráfico que está fuera de alcance para nosotros. pero en el alcance de un cliente.

¿Cómo podemos lograr un escaneo pasajero sin obligar a los clientes a solucionar problemas que no son realmente nuestra preocupación? ¿Podría haber algún margen de maniobra de un ASV o tendríamos que implementar un control de compensación para cubrir las vulnerabilidades descubiertas cuando se analiza nuestro sistema?

    
pregunta SilverlightFox 17.12.2015 - 10:10
fuente

1 respuesta

6

No logras tanto un análisis de aprobación, ya que trabajas con tu QSA para acordar el alcance del análisis y asegurarte de que este tráfico esté fuera del alcance.

Esto requerirá que tengas un QSA que pueda entender esto, y mucho depende de su opinión, pero ese sería el enfoque que tomaría.

Si actualmente no utiliza un QSA, asegúrese de haber documentado completamente el alcance y las razones para excluir cierto tráfico del alcance, este parece relativamente sencillo.

    
respondido por el Rory Alsop 17.12.2015 - 10:19
fuente

Lea otras preguntas en las etiquetas