Säkerhetsgranskning av DMZ-kraven för CGI:s Digital Portal

Nikitin, Evgenii, Fernström, Cornelis

January 2024

Internet är idag en enorm samling av information och möjligheter, där webbservrar bland annat finns placerade för att tillgängliggöra olika webbtjänster. Inom detta arbete har vi i samband med det internationella IT-företaget CGI utfört en analys på säkerhetsaspekter kring webbtjänsten Digital Portal (en självbetjäningsportal) som CGI byggde för att erbjuda tjänster till sina kunder. Denna analys fokuserar framför allt på den DMZ som portalen utnyttjar, vilket innebär säkerhetskrav, brister och risker hos uppställningen och till sist olika bekämpningsmetoder och åtgärder för dessa brister och risker. Vi utforskade frågor angående hur kraven uppfylls, vilka brister och åtgärder som finns i uppställningen. Eftersom CGI:s DMZ huvudsakligen bygger på IPv4 har vi i denna rapport även analyserat styrkor och svagheter för rent IPv6-baserade DMZ-uppställningar.  Inom detta arbete har vi studerat litteratur som behandlar säkerheten hos DMZ. Vi har analyserat de krav CGI ställer på sin egen DMZ för en självbetjäningsportal, där vi med det som referens utforskat risker och brister hos DMZ-uppställningar. Med hjälp av intervjuer av personal hos CGI har vi även fått direkt tillgång till tankar och detaljer som inte visar sig i dokumentationen, där vi kan få ett direkt intryck till motivationen vid utvecklingen av denna DMZ. Med denna metod har vi kunnat visa att alla de utforskade kraven uppfylls. Utöver detta har vi identifierat potentiella risker angående fildelning där endast filändelsen granskas vid färd till DMZ, samt filskanning som endast sker vid anländande till server. Vi har även kommit fram till att SSO kan ha bristfälligt skydd mot phishing- och DoS-attacker.

CGI

DMZ

Demilitariserad zon

Nätverkssäkerhet

Nätverkskommunikation

Datakommunikation

IPv4/IPv6

SSO

Communication Systems

Kommunikationssystem