Что прослушивает порты 454 и 455 в Azure? Предупреждение, отмеченное сканированием системы безопасности

Мы собираемся запустить веб-сайт Azure и в качестве меры предосторожности выполнили проверку безопасности на выделенном нам IP-адресе.

Было указано несколько предупреждений низкой серьезности, о которых мы не слишком беспокоимся, однако сканирование показало, что что-то прослушивает порты 454 и 455 и поддерживает TLS1.0.

RESULTS:
Available non CBC cipher            Server's choice              SSL version
RC4-SHA                             DES-CBC3-SHA                 TLSv1

Кто-нибудь знает, что это такое? Я не могу найти его явно в списке где-либо. Если не нужно, могу ли я его отключить? И если это необходимо, могу ли я настроить его на более безопасный протокол?

Мы размещены в центре обработки данных "Восток Австралии", если это уместно.

ОБНОВЛЕНИЕ 1: я развернул веб-приложение C# MVC с использованием .NET 4.5, и в настоящее время оно включает 1 веб-задание. Я привязал 1 SSL-сертификат SHA256, используя SNI SSL.

Я видел ссылку «Настроить развертывание из системы управления версиями» на панели инструментов, но не использовал ее. В настоящее время мы развертываем с помощью нашего экземпляра TeamCity через веб-развертывание.


azure
person Michael12345    schedule 06.01.2015    source источник
comment
Можете ли вы сообщить нам, что вы развернули на веб-сайте и настроили ли вы его для развертывания системы управления версиями.   -  person Simon W    schedule 07.01.2015
comment
Я добавил обновление с этой информацией - надеюсь, это то, что вам нужно.   -  person Michael12345    schedule 07.01.2015
comment
Эти порты используются для внутренней связи в инфраструктуре веб-сайтов Azure. Они не зависят от сайта (поэтому не имеет значения, что вы развернули), и вы не можете их отключить. Игнорировать их безопасно.   -  person Petr Podhorsky    schedule 07.01.2015
comment
Спасибо Петр, очень признателен. Вы говорите, что они используются для внутренней связи, но очевидно, что они доступны извне, потому что были обнаружены внешним сканированием. Поскольку наш клиент специально запросил это сканирование и ожидает, что мы решим любые проблемы, можем ли мы получить немного больше информации о том, что представляет собой служба, почему она поддерживает TLS1.0 и как мы можем заверить их, что ее можно безопасно игнорировать, даже если она была помечен как уязвимость.   -  person Michael12345    schedule 07.01.2015
comment
Как я уже говорил, эти порты используются для внутренней связи в инфраструктуре веб-сайтов Azure, а не для публичного раскрытия. Что касается поддержки TLS 1.0 с шифром RC4, то на данный момент нам неизвестно о каких-либо уязвимостях безопасности этой внутренней службы, однако мы активно работаем над обновлением наших машин, чтобы убедиться, что мы разрешаем использование только новых протоколов — так что все проблемы будут рассмотрены.   -  person Petr Podhorsky    schedule 07.01.2015

Ответы (1)


arrow_upward
1
arrow_downward

Как сказал Петр в комментариях к вопросу, эти порты используются для внутренней связи веб-приложениями Azure.

В качестве дополнения к этому вопросу команда Azure удалила шифр RC4 из порта 443 и ожидает, что шифр RC4 будет удален из портов 454 и 455 примерно в конце сентября 2015 г. Если этот элемент появляется в ваших отчетах о соответствии PCI , похоже скоро решится.

Этот поток содержит обновления от команды Azure: https://social.msdn.microsoft.com/Forums/azure/en-US/66d1fd5f-4384-4568-bf96-8a0b57033c07/azure-websites-port.-454-and-455-insecure-ssl?forum=windowsazurewebsitespreview

ОБНОВЛЕНИЕ. Группа Azure подтвердила, что это изменение было развернуто в октябре 2015 года. Теперь пользователи сообщают, что их сканирование PCI проходит успешно, и порты 454 и 455 теперь не отображаются для наличия RC4.

person jvtexan    schedule 03.09.2015