6.2.6. Security Headers and SSL/TLS

Sayt yoki domenning security posture (xavfsizlik holati) haqida ma’lumot to‘plash uchun foydalanishimiz mumkin bo‘lgan bir nechta boshqa maxsus veb-saytlar ham mavjud. Bu saytlardan ba’zilari passive va active information gathering o‘rtasidagi chegarani biroz noaniq qiladi, biroq biz uchun muhim jihat shuki — barcha skanerlash va tekshiruvlarni uchinchi tomon amalga oshiradi.

Shunday saytlardan biri — Security Headers bo‘lib, u HTTP response headersni tahlil qiladi va nishon saytidagi xavfsizlik holati haqida asosiy tahlilni taqdim etadi. Bu vosita orqali biz tashkilotning kodlash va xavfsizlik amaliyotlari haqida tasavvurga ega bo‘lishimiz mumkin.

Keling, www.megacorpone.com saytini skanerlaymiz va natijalarni ko‘rib chiqamiz.

15-rasm: www.megacorpone.com uchun skan natijalari

Saytda bir nechta defensive headers, masalan Content-Security-Policy va X-Frame-Options yetishmayapti. Bu header’larning yo‘qligi o‘z-o‘zidan vulnerability (zaiflik) bo‘lmasligi mumkin, biroq bu holat web developers yoki server admins server xavfsizligini ta’minlash (ya’ni server hardening) bo‘yicha tajribaga ega emasligini ko‘rsatishi mumkin.

Server hardening bu serverni konfiguratsiya orqali xavfsiz qilish jarayonidir. Bu quyidagi ishlarni o‘z ichiga oladi: keraksiz servislarni o‘chirish, ishlatilmaydigan foydalanuvchi akkauntlarini olib tashlash, standart parollarni o‘zgartirish, kerakli xavfsizlik server headersni o‘rnatish va hokazo. Har bir turdagi serverni qanday qilib to‘liq sozlashni bilishimiz shart emas, ammo asosiy tushunchalar va qaysi narsalarni qidirish kerakligini bilish — potensial nishonga qanday yondashish kerakligini aniqlashda yordam beradi.

Foydalanishimiz mumkin bo‘lgan yana bir skan vositasi bu SSL Server Test bo‘lib, Qualys SSL Labs tomonidan taqdim etilgan. Bu vosita serverning SSL/TLS configuration holatini tahlil qiladi va uni amaldagi eng yaxshi amaliyotlar bilan solishtiradi. Bundan tashqari, u ba’zi SSL/TLS bilan bog‘liq zaifliklarni, masalan Poodle yoki Heartbleed kabi zaifliklarni aniqlaydi. Keling, www.megacorpone.com saytini skanerlab ko‘raylik.

16-rasm: www.megacorpone.com uchun SSL Server Test natijalari

Natijalar Security Headers tekshiruviga qaraganda yaxshiroq ko‘rinadi. Biroq bu server hali ham TLS 1.0 va TLS 1.1 kabi eski versiyalarni qo‘llab-quvvatlashini ko‘rsatmoqda, bu versiyalar esa xavfsiz bo‘lmagan cipher suitesdan foydalanadi — bu esa serverda SSL/TLS hardening bo‘yicha zamonaviy amaliyotlar qo‘llanilmayotganini bildiradi.

Masalan, TLS_DHE_RSA_WITH_AES_256_CBC_SHA cipher suite’ni o‘chirish bir necha yillardan beri tavsiya etilgan, sababi bu konfiguratsiyada AES Cipher Block Chaining rejimi va SHA1 algoritmida bir nechta zaifliklar mavjud.

Biz ushbu topilmalarni tashkilot ichidagi xavfsizlik amaliyotlari (yoki ularning yo‘qligi) haqida xulosa chiqarish uchun ishlatishimiz mumkin.