กำลังฟังอะไรบนพอร์ต 454 และ 455 ใน Azure คำเตือนถูกตั้งค่าสถานะโดยการสแกนความปลอดภัย

เรากำลังจะใช้งานเว็บไซต์ Azure และทำการสแกนความปลอดภัยบนที่อยู่ IP ที่ได้รับการจัดสรรให้เราเพื่อเป็นการป้องกันไว้ก่อน

มีคำเตือนความรุนแรงต่ำจำนวนหนึ่งซึ่งเราไม่ได้กังวลมากนัก อย่างไรก็ตาม การสแกนได้ตั้งค่าสถานะว่ามีบางอย่างกำลังรับฟังบนพอร์ต 454 และ 455 และรองรับ TLS1.0

RESULTS:
Available non CBC cipher            Server's choice              SSL version
RC4-SHA                             DES-CBC3-SHA                 TLSv1

ไม่มีใครรู้ว่านี่คืออะไร? ฉันไม่พบมันปรากฏอยู่ในรายการใดเลย ถ้าไม่จำเป็น ฉันสามารถปิดมันได้หรือไม่? และหากจำเป็น ฉันสามารถตั้งค่าให้ต้องใช้โปรโตคอลที่ปลอดภัยกว่านี้ได้หรือไม่

เราโฮสต์อยู่ในศูนย์ข้อมูล "ออสเตรเลียตะวันออก" ในกรณีที่เกี่ยวข้อง

อัปเดต 1: ฉันได้ปรับใช้เว็บแอป C# MVC โดยใช้ .NET 4.5 และปัจจุบันมี 1 WebJob ฉันได้ผูกใบรับรอง SSL SHA256 1 รายการโดยใช้ SNI SSL

ฉันเคยเห็นลิงก์ "ตั้งค่าการปรับใช้จากการควบคุมแหล่งที่มา" บนแดชบอร์ด แต่ยังไม่ได้ใช้ ขณะนี้เราปรับใช้โดยใช้อินสแตนซ์ TeamCity ผ่านการปรับใช้เว็บ


azure
person Michael12345    schedule 06.01.2015    source แหล่งที่มา
comment
โปรดแจ้งให้เราทราบว่าคุณได้ปรับใช้อะไรบ้างกับเว็บไซต์ และหากคุณได้กำหนดค่าไว้สำหรับการปรับใช้การควบคุมแหล่งที่มาแล้ว   -  person Simon W    schedule 07.01.2015
comment
ฉันได้เพิ่มการอัปเดตด้วยข้อมูลนี้แล้ว - หวังว่าจะเป็นไปตามที่คุณต้องการ   -  person Michael12345    schedule 07.01.2015
comment
พอร์ตเหล่านี้ใช้สำหรับการสื่อสารภายในโครงสร้างพื้นฐานของเว็บไซต์ Azure สิ่งเหล่านี้ไม่เฉพาะเจาะจงกับไซต์ (ดังนั้นจึงไม่สำคัญว่าคุณจะใช้งานอะไร) และคุณไม่สามารถปิดได้ มันปลอดภัยที่จะเพิกเฉยต่อพวกเขา   -  person Petr Podhorsky    schedule 07.01.2015
comment
ขอบคุณ Petr ชื่นชมมาก คุณบอกว่าสิ่งนั้นใช้สำหรับการสื่อสารภายใน แต่เห็นได้ชัดว่าพวกเขาสามารถเข้าถึงได้จากภายนอกเพราะถูกสแกนจากภายนอก เนื่องจากลูกค้าของเราร้องขอการสแกนนี้โดยเฉพาะและคาดหวังให้เราแก้ไขปัญหาใดๆ เราขอข้อมูลเพิ่มเติมอีกเล็กน้อยเกี่ยวกับบริการนี้ เหตุใดจึงรองรับ TLS1.0 และเราจะรับประกันได้อย่างไรว่าจะเพิกเฉยได้อย่างปลอดภัยแม้ว่าจะถูกเพิกเฉยก็ตาม ถูกทำเครื่องหมายว่าเป็นช่องโหว่   -  person Michael12345    schedule 07.01.2015
comment
ดังที่ได้กล่าวไปแล้ว พอร์ตเหล่านี้ใช้สำหรับการสื่อสารภายในโครงสร้างพื้นฐานของเว็บไซต์ Azure ไม่ใช่สิ่งที่เราเปิดเผยต่อสาธารณะ สำหรับการรองรับ TLS 1.0 พร้อมการเข้ารหัส RC4 เรายังไม่ทราบถึงช่องโหว่ด้านความปลอดภัยใดๆ สำหรับบริการภายในนั้นในขณะนี้ อย่างไรก็ตาม เรากำลังดำเนินการอย่างแข็งขันในการอัพเกรดเครื่องของเราเพื่อให้แน่ใจว่าเราอนุญาตให้ใช้เฉพาะโปรโตคอลที่ใหม่กว่าเท่านั้น ดังนั้นทั้งหมด ข้อกังวลจะได้รับการแก้ไข   -  person Petr Podhorsky    schedule 07.01.2015

คำตอบ (1)


arrow_upward
1
arrow_downward

ตามที่ Petr ระบุไว้ในความคิดเห็นต่อคำถาม พอร์ตเหล่านี้ใช้สำหรับการสื่อสารภายในโดย Azure Web Apps

เพื่อเป็นการอัปเดตสำหรับคำถามนี้ ทีม Azure ได้ลบรหัส RC4 ออกจากพอร์ต 443 และคาดว่าจะลบรหัส RC4 ออกจากพอร์ต 454 และ 455 ประมาณสิ้นเดือนกันยายน 2558 หากรายการนี้ปรากฏในรายงานการปฏิบัติตามข้อกำหนด PCI ของคุณ ดูเหมือนว่าจะได้รับการแก้ไขเร็วๆ นี้

เธรดนี้มีการอัปเดตจากทีม Azure: https://social.msdn.microsoft.com/Forums/azure/en-US/66d1fd5f-4384-4568-bf96-8a0b57033c07/azure-websites-port-454-and-455-insecure-ssl?forum=windowsazurewebsitespreview

อัปเดต: ทีม Azure ยืนยันว่าการเปลี่ยนแปลงนี้ถูกนำมาใช้ในเดือนตุลาคม 2558 ขณะนี้ผู้ใช้รายงานว่าการสแกน PCI ของตนผ่านแล้ว และตอนนี้ไม่แสดงพอร์ต 454 และ 455 เพื่อให้มี RC4 พร้อมใช้งาน

person jvtexan    schedule 03.09.2015