Ich versuche gerade die Maßnahmen des BSI für Verinice zu dokumentieren.
Folgende Frage aus dem Baustein “allgemeine Anwendung” kann ich nicht beantworten:
Ist die Speicherung und Übermittlung von Authentisierungsinformationen kryptographisch ausreichend abgesichert?
Bin für Hilfe dankbar.
mit besten Grüßen,
Susanne Aust
Der verinice RCP Rich-Client benutzt für die Authentifizierung Digest Access Authentication. Passwörter werden bei diesem Verfahren verschlüsselt übertragen.
Der verinice Web-Client überträgt Passwörter nur dann verschlüsselt, wenn die Verbindung zum Server per HTTPS erfolgt. Sie müssen daher darauf achten, dass der verincie.PRO-Server nur HTTPS-Verbindungen erlaubt. Wenn der Server entsprechend konfiguriert ist, ist die Übermittlung von Authentisierungsinformationen kryptographisch ausreichend abgesichert.
Gegebenenfalls noch relevant bei Einsatz von verinice.PRO mit bestehendem Active Directory:
Die Verbindung vom Server zum AD sollte ebenfalls gesichert werden.
Wählt man nur LDAP zur Nutzerprüfung, werden die Daten unverschlüsselt übertragen, bei LDAPS läuft das Protokol in einem SSL-Tunnel und ist damit auch auf diesem Wege gesichert.
Infos zur Konfigurationsanpassung im Handbuch “Installation der verinice.PRO-Appliance.pdf” bzw. auf dem Server im File “verinice-ldap.properties”