Umsetzung der BSI Maßnahmen für Verinice selbst


#1

Ich versuche gerade die Maßnahmen des BSI für Verinice zu dokumentieren.
Folgende Frage aus dem Baustein “allgemeine Anwendung” kann ich nicht beantworten:

  • Ist die Speicherung und Übermittlung von Authentisierungsinformationen kryptographisch ausreichend abgesichert?

Bin für Hilfe dankbar.
mit besten Grüßen,
Susanne Aust


#2

Der verinice RCP Rich-Client benutzt für die Authentifizierung Digest Access Authentication. Passwörter werden bei diesem Verfahren verschlüsselt übertragen.

Der verinice Web-Client überträgt Passwörter nur dann verschlüsselt, wenn die Verbindung zum Server per HTTPS erfolgt. Sie müssen daher darauf achten, dass der verincie.PRO-Server nur HTTPS-Verbindungen erlaubt. Wenn der Server entsprechend konfiguriert ist, ist die Übermittlung von Authentisierungsinformationen kryptographisch ausreichend abgesichert.


#3

Gegebenenfalls noch relevant bei Einsatz von verinice.PRO mit bestehendem Active Directory:
Die Verbindung vom Server zum AD sollte ebenfalls gesichert werden.
Wählt man nur LDAP zur Nutzerprüfung, werden die Daten unverschlüsselt übertragen, bei LDAPS läuft das Protokol in einem SSL-Tunnel und ist damit auch auf diesem Wege gesichert.

Infos zur Konfigurationsanpassung im Handbuch “Installation der verinice.PRO-Appliance.pdf” bzw. auf dem Server im File “verinice-ldap.properties