Im folgenden haben wir einmal alle häufig gestellten Fragen, die sich im Zusammenhang mit PCI-Scan-Reports ergeben, zusammengestellt.
1. Versionsnummer von Paketen
Die Software-Pakete (z.B. OpenSSH) die in der Profihost-Umgebung zum Einsatz kommen, haben aus gutem Grund nicht immer die allerneueste Versionssnummer.
Das Prinzip nicht immer gleich die neueste Version einer Software zu verwenden nennt sich "stable".
Profihost setzt hier auf die Pakete des Debian-Upstreams "stable" (im Gegensatz zu "testing").
Wichtig:
Natürlich ist es absolut entscheidend, dass diese älteren Versionen sogenannte Security-Backports erhalten.
Das ist selbstverständlich der Fall.
Die Verwendung von "stable"-Software hat zum Beispiel auch vor der großen xz-Lücke[1] im Jahr 2024 geschützt.
Hiervon waren nur die allerneuesten Versionen betroffen.
[1] https://www.heise.de/hintergrund/Die-xz-Hintertuer-das-verborgene-Oster-Drama-der-IT-9673038.html
Es genügt hier in der Regel dem PCI-Dienstleister die genaue Versionssnummer des Paketes mitzuteilen und darauf zu verweisen, dass das Paket Security-Backports erhält.
Die genaue Versionsnummer für OpenSSH kann mit dem Kommandozeilenbefehl ssh -V abgerufen werden.
2. TLS
Alle Dienste, der Profihost-Umgebung bevorzugen immer die stärkste Verschlüsselung.
Wenn ein Client (z.B. ein FTP-Programm) diese stärkste Verschlüsselung nicht unterstützt, dann sind die Dienste der Profihost-Umgebung dazu bereit die nächstkleinere Verschlüsselung vorzunehmen, die der Client unterstützt.
Ein PCI-Scan kann allerdings bemängeln, dass auch noch schwächere Verschlüsselungen unterstützt werden.
Dies betrifft beispielsweise Dienste wie:
FTPS
IMAP/POP3
SMTP
Auf Wunsch können wir die Abwärtskompatibilität zu schwächeren Verschlüsselungen (z.B. TLS1.1) deaktivieren.
Hallo Profihost, bitte deaktivert auf meinem Server cloudX-vmYYY für folgende Dienste TLS1.1:
- FTPS
- IMAP/POP3
- SMTP
3. Plaintext-Authentifizierung
Es kann vorkommen, dass ein PCI-Scan bemängelt, dass für IMAP und SMTP Plaintext-Authentifizierung erlaubt ist.
Da die Plaintext-Auth im Normalfall über einen TLS-Tunnel erfolgt, ist diese verschlüsselt und grundsätzlich unproblematisch.
Auf Wunsch können wir die Plaintext-Authentifizierung deaktivieren.
Hallo Profihost, bitte deaktivert auf meinem Server cloudX-vmYYY für folgende Dienste die Plaintext-Authentifizierung:
- FTPS
- IMAP/POP3
- SMTP
4. Datenbankports von außen erreichbar
Im Standard sind die Datenbankports 3306 (mariadb) und 3307 (mysql) der Profihost-Umgebung von außen erreichbar.
Gleichzettig sind im Standard jedoch nur Grants (d.h. Berechtigungen) für User gesetzt sind, die sich über das lokale Interface (127.0.0.1) verbinden. Daher kann von außen so zunächst kein Zugriff erfolgen.
Falls die Datenbank für Ihr Setup nicht von extern aus erreichabr sein muss, können wir die Datenbank-Ports auf Wunsch für das externe Interface schließen.
Hallo Profihost, bitte schließt auf meinem Server cloudX-vmYYY die Datenbankports 3306,3307 nach außen.
5. HSTS-Header
Es kann vorkommen, dass ein PCI-Scan das Fehlen von HSTS-Header bemängelt.
Die Profihost-Umgebung ist so konfiguriert, dass sie von sich aus möglichst wenig an den Headern, die von Ihrer Applikation definiert werden, verändert.
Daher liegt das setzen von HSTS-Headern und ähnlichen Headern in Ihrer Verantwortung.
Zur Orientierung haben wir für das Setzen von Headern einige hilfreiche Artikel in unserer Wissensdatenbank erstellt:
6. ECC DRAM (Error-Correcting Code DRAM)
ECC DRAM ist ein spezieller Typ von Arbeitsspeicher (RAM), der Fehler erkennen und korrigieren kann, die während der Datenübertragung oder -speicherung auftreten.
Bei den Profihost-Systemen kommt "Error Correction Type: Multi-bit ECC" zum Einsatz.
Dadurch können mehrfache Bitfehler erkannt und einzelne Bitfehler automatisch korrigiert werden.
7. Predictable Resource Location
Es kann vorkommen, dass der Dienstleister bemängelt, dass URL einer Login-Maske erraten werden kann. Zum Beispiel:
https://meine-domain.tld/webmailer
Auf Wunsch können wir Web-Ressourcen deaktivieren mittels IP-Whitelist schützen.
Das betrifft beispielsweise:
ServerCon-Admin Zugang
ServerCon-Reseller Zugang
Webmailer
Hallo Profihost, bitte deaktiviert auf meinem Server cloudX-vmYYY den Webmailer komplett.
oder
Hallo Profihost, bitte schützt auf meinem Server cloudX-vmYYY mittels IP-Whitelist die Login-Masken von:
- ServerCon-Admin Zugang
- ServerCon-Reseller Zugang
- Webmailer
Die folgenden IPs sollen dabei bitte auf die Whitelist gesetzt werden:
- 1.2.3.4
- 5.6.7.8
- …
8. CVE-Nummern
Es kann vorkommen, dass der Dienstleister bemängelt, dass ein bestimmtes Paket von einer CVE-Nummer betroffen ist (analog zu FAQ-Punkt 1).
Für die meisten Pakte verwendet Profihost den Debian-Upstream.
Wenn Sicherheitslücken bekannt werden, erhalten diese Pakete rasch einen Fix (Security-Backports).
Tipp:
Mit einer Stichwortsuche “debian CVE-2024-3094” erhält man schnell einen Link zum Debian Security-Bug-Tracker[2].
Wenn die genaue Versionsnummer des verwendeten Paketes bekannt ist, kann hier kann abgleichen werden, ob die verwendete Version bereits gepatcht wurde.
[2] https://security-tracker.debian.org/tracker/CVE-2024-3094
Die genaue Versionssnummer von SSH kann man beispielsweise erhalten, wenn man mit dem Profihost-Server vebunden ist und auf der Kommandozeile ssh -V eingibt.
Wenn du unsicher bist, erstell zu der CVE-Nummer gerne ein Ticket und lass einmal durch uns abklären.