Falha na varredura de conformidade com PCI: Serviço de acesso remoto detectado na porta 22

Navegue suas respostas
0

Este é um item que estou falhando no meu relatório de verificação de conformidade com a PCI:

Euusoaporta22paraconexõesSFTPparatransferirarquivosdomeucomputadorlocalparaoservidorevice-versa.Tenteicontestaressafalhaenviandoestee-mail:

Ourusernameis[username].OurlatestscanresultsrantodayforIP[IPaddress]showthatwefailedthefollowingitem:

RemoteAccessServiceDetected

Itdoesn'tappearthisoneisactuallyafailure.Ifitis,pleaseprovideanyrelevantinformationastowhyitis.

Weareusingport22toconnectremotelyusingSFTPandthatisnormal.

ArespostadaequipedesuportedoPCICompliancefoi:

ThankyouforcontactingPCIcompliancesupport.

PCIcompliancerequiresthatallremoteaccessservicesbeturnedoffwhennotinuse,however,ifyourequirethemtobeonatalltimesforthebusinesstoberan,youcanfileadispute.

Issosignificaqueeuprecisohabilitaraporta22somentequandoeutiverumasolicitaçãodeconexãoSFTPedesabilitarimediatamenteaporta22quandoessaconexãoforfeitatransferindoarquivos?Eupenseiqueeraumcomportamentobinárioemqueeutinhaaporta22ativadanoservidoroudesativada,masnãoativada/desativadadinamicamentecombasenassolicitaçõesdeconexãoSFTP.Éassimquefunciona?

UPDATE1:Encontreiasinformaçõesaseguirno"Apêndice D: Exemplo de Resumo do Relatório do ASV Scan" do documento em link :

VPN Detected

Note to scan customer:

Due to increased risk to the cardholder data environment when remote access software is present, please 1) justify the business need for this software to the ASV and 2) confirm it is either implemented securely per Appendix C or disabled/ removed. Please consult your ASV if you have questions about this Special Note.

A porta 22 precisa ser ativada / desativada dinamicamente apenas quando as conexões remotas de SFTP são solicitadas, por exemplo, ou é uma configuração binária no servidor onde ela está ativada ou desativada?

UPDATE 2: Eu estava lendo o seguinte em link :

Change the Port We can change the default SSH Port to add a layer of opacity to keep your server safe .

Open the /etc/ssh/sshd_config file

replace default Port 22 with different port number say 1110

save & exit from the file

service sshd restart Now to login define the port No.

ssh username@IP -p 1110

Isso parece ser "segurança através da obscuridade". É uma solução aceitável ou uma solução alternativa? O scan PCI Compliance passaria apenas alterando a porta de 22 para um número aleatório diferente?

    
por Jaime Montoya 23.07.2018 / 18:54

1 resposta

1

Em primeiro lugar, a IANAL e eu não somos especialistas em conformidade com o PCI DSS.

Dito isto, isto parece um simples caso de mal-entendido da sua parte. O SFTP ainda é um acesso SSH, não é apenas o acesso ao shell. É quase tão ruim para um invasor poder ler e escrever arquivos arbitrários em seu sistema como é para eles terem acesso regular ao shell (eles podem inspecionar seu código, carregar cargas maliciosas, etc.). Dessa forma, assim como no SSH, você deve executá-lo em uma porta diferente se precisar estar em conformidade com o PCI DSS.

Ativar / desativar dinamicamente o SFTP na porta 22 ainda viola a conformidade com o PCI DSS. Realisticamente, você não está em conformidade, desde que essa porta esteja aberta, independentemente de a varredura de conformidade detectar ou não (assim como o roubo é ilegal, independentemente de você ser pego ou não).

Além disso, no que diz respeito à conformidade com o PCI DSS, essa é uma coisa fácil de corrigir. Qualquer cliente SFTP sensato permitirá que você o acesse em uma porta não padrão, e o mesmo vale para quase todos os servidores SFTP existentes.

Agora, tudo isso de lado, você pode ainda não estar em conformidade se você tiver esse serviço ativado em uma porta separada. Como mencionado acima, eu não sou especialista em PCI DSS, mas, dada a resposta que você recebeu de um especialista, parece que você precisa disso desligado fora das janelas de manutenção (o que significa não ter o servidor SFTP funcionando). / p>     

por 23.07.2018 / 21:33

Tags

Meus 4 Xeon E7 têm desempenhos mais baixos que um único 8º Gen i5 Como faço para inspecionar um elemento quando uma página tem um menu de contexto personalizado?