Scansione ASV con proxy inverso

4

Siamo conformi PCI come fornitore di servizi, tuttavia la nostra porta di servizio inoltra parte del traffico web a livello di TCP.

I clienti utilizzano il nostro servizio conforme PCI e possono scegliere di caricare un certificato TLS / SSL se desiderano che il loro traffico HTTPS venga analizzato. Quindi i flussi sul nostro server sarebbero i seguenti.

Senza certificato TLS / SSL caricato dal cliente

HTTP Port 80 --> Our service analyses the HTTP header data --> 
  Customer system port 80 as new HTTP request


HTTPS Port 443 --> Our service simply retransmits the TCP packets --> 
  Customer system port 443

Con certificato TLS / SSL caricato dal cliente

HTTP Port 80 --> Our service analyses the HTTP header data -->
  Customer system port 80 as new HTTP request


HTTPS Port 443 --> Our service decrypts and analyses the HTTP header data -->
  Re-encrypted using SSL/TLS to Customer system port 443 as new HTTP request

Si noti che non vi è multitenancy e ogni cliente avrà il proprio set di server con noi per l'analisi dell'intestazione.

Ora c'è un problema nel secondo scenario (senza cert e senza decrittografia HTTPS) che stiamo fallendo le scansioni ASV perché il traffico di scansione colpisce il nostro sistema cliente e riporta elementi come le vecchie versioni di SSL utilizzate o suite di crittografia non protette . Come puoi vedere, stiamo semplicemente inoltrando il traffico a livello di TCP, quindi tutte le vulnerabilità come quelle che vengono segnalate sono davvero problemi sull'endpoint del cliente piuttosto che sul nostro sistema come fornitore di servizi. La porta 443 e 443 funzionano da proxy inverso a livello TCP, quindi il traffico di scansione colpisce un server esterno all'ambito PCI.

HackerGuardian non accetterà queste vulnerabilità come falsi positivi perché stanno fallendo la scansione ASV e non sono realmente falsi positivi - sono segnalazioni di vulnerabilità dal nostro sistema in-scope, ma sta analizzando il traffico che è fuori dal campo di applicazione per noi, ma in ambito per un cliente.

Come possiamo ottenere una scansione passiva senza costringere i clienti a risolvere problemi che non ci riguardano veramente? Potrebbe esserci un margine di manovra da un ASV o dovremmo implementare un controllo compensativo per coprire le vulnerabilità scoperte quando il nostro sistema viene scansionato.

    
posta SilverlightFox 17.12.2015 - 10:10
fonte

1 risposta

6

Non ottieni così tanto una scansione passante, perché lavori con il tuo QSA per concordare l'ambito della scansione e assicurati che questo traffico non rientri nell'ambito.

Ciò richiede che tu abbia un QSA che possa capire questo - e molto dipende dalla loro opinione, ma questo sarebbe l'approccio che prenderei.

Se al momento non utilizzi un QSA, assicurati di aver pienamente documentato l'ambito e i motivi dell'esclusione di determinati flussi di traffico dall'ambito: questo sembra relativamente semplice.

    
risposta data 17.12.2015 - 10:19
fonte

Leggi altre domande sui tag