Lo que un programador debe saber antes de la auditoría del cliente de su servicio web

7

Situación: he creado un cliente WS (.net wcf) para el cliente que accede a un servicio web de terceros (Websphere). Este WS usa HTTPS y obtengo un certificado del proveedor de WS. Todo funciona bien, entregué el cliente WS al cliente, el cliente ordenó su certificado ... pero de repente recibí un correo del auditor de seguridad del cliente donde me preguntaba cosas que no entiendo por qué es interesante. Así que no estoy preparado para tal giro de la historia.

Si entiendo el objetivo del auditor de seguridad, entonces entenderé lo que realmente quiere. El esta preguntando acerca de 1) ¿Cuál es el nivel de protocolo mínimo que admite el requisito de WS (SSLv2 o SSLv3)? 2) ¿Cuál es la longitud mínima de la clave 128 o 256 bits?

He escuchado sobre el ataque de reversión de SSL, pero esto debería ser interesante para el administrador de WS ( tercero ), no para el auditor de seguridad de la red del cliente WS ( mi cliente ). ¿Por qué el usuario del cliente WS podría estar interesado en esas cosas? ¿Puede haber configuraciones de firewall que deba ajustar?

    
pregunta Roman Pokrovskij 24.01.2011 - 11:24
fuente

2 respuestas

4

La seguridad debe estar garantizada tanto en el lado del cliente como en el servidor. Porque en el caso de un ataque Man In The Middle, alguien puede presionar al cliente para que use cifrados débiles, como en el ataque de downgrade SSH: enlace

No sé mucho acerca de WCF pero parece que dentro del programa solo puede especificar SSL o TL en ServicePointManager.SecurityProtocol.

Parece que si la aplicación está utilizando Microsoft Crypto API, la única forma de restringir SSL / TLS para usar con ciertos cifrados es realizar cambios en todo el sistema como se describe en enlace

Y WCF está utilizando MS Crypto API: enlace (si el programa no está utilizando un certificado personalizado validador)

    
respondido por el Aleksandr Reznik 25.01.2011 - 00:51
fuente
6

Por lo que ha dicho, esto parece ser un problema de auditoría común que surgiría de un enfoque de seguridad basado en el cumplimiento.

Espero que el auditor de seguridad esté buscando identificar si su nueva implementación admite cifres SSL débiles y, por lo tanto, aumenta el riesgo en función de esto.

Si su cliente tiene un requisito de PCI / DSS , la auditoría puede confirmar lo siguiente:

  

Requisitos de las PCI DSS
  4.1 Usar criptografía fuerte y seguridad.   protocolos (por ejemplo, SSL / TLS, IPSEC,   SSH, etc.) para salvaguardar sensibles   datos del titular de la tarjeta durante la transmisión a través   Redes abiertas, públicas.

Para obtener más información, OWASP tiene una buena cantidad de información al respecto y asesoramiento -

  

Solo admite cifrados criptográficos fuertes   La fuerza del cifrado utilizado en una sesión TLS está determinada por el cifrado cifrado entre el servidor y el navegador. Para garantizar que solo se seleccionen cifrados criptográficos fuertes, el servidor debe modificarse para desactivar el uso de cifrados débiles. Se recomienda configurar el servidor para que solo sea compatible con cifrados fuertes y para usar tamaños de clave suficientemente grandes.

    
respondido por el David Stubley 24.01.2011 - 13:12
fuente

Lea otras preguntas en las etiquetas