Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Waar een goeie omscrhijving te vinden waarom systemen gehardend wordt?

12-01-2012, 14:38 door michiel1980, 16 reacties
Hallo,

Ik ben erg op zoek naar een goed verhaal (liefst Engels) waarom systemen gehardened moeten worden en het liefst van een SANS/ISO 27001/PCI perspectief.
Nu roept iedereen natuurlijk: ben je te lui om te googlen?!
Het antwoord is: 'nee, ik kan alleen geen goeie pagina vinden van SANS,NSA,NIST of een ISO 27k1/PCI waar ik naar toe kan linken.

Ik wil graag discussies met engineers en managers voorkomen en daarom juist een algemeen geacepteerde standaard of instantie er bij halen.

Elke link of tip is van harte welkom.
Reacties (16)
12-01-2012, 15:45 door Dev_Null
Hier heb ik wat links voor je om je search_talenten te kunnen upgraden (beyond google)
Binnen het Google domein - Google search operators
http://www.googleguide.com/advanced_operators.html

Buiten het Google domein:
http://www.pandia.com/goalgetter/

Leren om Deep Web te searchen (uit vele andere bronnen dan goegol
http://healthlinks.washington.edu/howto/beyondgoogle.html
http://www.pcworld.com/article/114725/beyond_google.html
http://library.laguardia.edu/invisibleweb
http://oedb.org/library/college-basics/research-beyond-google

Beyond Google downloadble PDF's en slideshows
http://www.google.com/search?q=beyond+google#sclient=psy-ab&hl=en&source=hp&q=beyond+google+pdf&pbx=1&oq=beyond+google+pdf&aq=f&aqi=g-v1&aql=&gs_sm=e&gs_upl=394381l394931l0l395356l4l3l0l0l0l0l392l922l0.1.0.2l3l0&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=9f351046e3c8979a&biw=680&bih=606

Meta Search Tutorial:
http://www.lib.berkeley.edu/TeachingLib/Guides/Internet/MetaSearch.html

Volgens mij, moet het met deze extra (Google) zoekkennis wel gaan lukken
om te vinden wat je werkelijk zoekt. Good Luck surfing the waves of the Web :-)
12-01-2012, 15:46 door SirDice
Ik weet niet of dit genoeg is maar er staat wel een aardig inleiding.

http://support.microsoft.com/kb/885409
12-01-2012, 16:00 door michiel1980
Door Dev_Null: Hier heb ik wat links voor je om je search_talenten te kunnen upgraden (beyond google)
Binnen het Google domein - Google search operators
http://www.googleguide.com/advanced_operators.html

Buiten het Google domein:
http://www.pandia.com/goalgetter/

Leren om Deep Web te searchen (uit vele andere bronnen dan goegol
http://healthlinks.washington.edu/howto/beyondgoogle.html
http://www.pcworld.com/article/114725/beyond_google.html
http://library.laguardia.edu/invisibleweb
http://oedb.org/library/college-basics/research-beyond-google

Beyond Google downloadble PDF's en slideshows
http://www.google.com/search?q=beyond+google#sclient=psy-ab&hl=en&source=hp&q=beyond+google+pdf&pbx=1&oq=beyond+google+pdf&aq=f&aqi=g-v1&aql=&gs_sm=e&gs_upl=394381l394931l0l395356l4l3l0l0l0l0l392l922l0.1.0.2l3l0&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=9f351046e3c8979a&biw=680&bih=606

Meta Search Tutorial:
http://www.lib.berkeley.edu/TeachingLib/Guides/Internet/MetaSearch.html

Volgens mij, moet het met deze extra (Google) zoekkennis wel gaan lukken
om te vinden wat je werkelijk zoekt. Good Luck surfing the waves of the Web :-)


Dat is prachtig maar heb je 1 link gevonden via deze ultiem web searches die datgene aanbieden wat ik zoek?
Ik heb er een paar geprobeerd en ik had hetzelfde resultaat: nada.
Google is niet altijd mijn friend..:( (net zoals duckduckgo en andere leuke search engines)
12-01-2012, 16:03 door michiel1980
Door SirDice: Ik weet niet of dit genoeg is maar er staat wel een aardig inleiding.

http://support.microsoft.com/kb/885409

Thanks dat is er 1.
Ik probeer mij meer op software onafhandelijke vendors te richten, daarbij is 99,9% Linux OS en zijn alle engineers waar ik soms tegen moet vechten die hard *nix guru's.
Als ik dan aankom met een Microsoft link dan word ik, ben ik bang, hard uitgelachen ;)
12-01-2012, 16:04 door michiel1980
Ik zal ook SANS etc zelf eens aanschrijven of zij dit soort poltieke documenten hebben.
12-01-2012, 16:29 door Anoniem
Ik weet niet hoever je je al verdiept hebt in de materie dus hoe nuttig de info is zal even afwachten zijn.

Ik raad je aan gewoon een ISO/IEC 27001 boek aan te schaffen of een van de nen normen erbij te betrekken. Welke dat is hangt wel sterk van de sector af waar je zit er bestaan namelijk ook speciale constructie binnen de 27001 die als verlengde dienen of als compromi voor volle certificering. Voorbeeld Nen 7510

Korte uitleg is dat het ten eerste een bedrijf toegevoegde waarde geeft. het in bezit hebben ISO/IEC 27001 certificaat staat goed het kan de doorslag geven bij grote deals of een breekpunt zijn (zeker voor amerikaanse bedrijven) Ik vrees alleen dat je niet ontkomt aan vele gesprekken met managers andere iters je tussen leveranciers etc. De directie/management moet namelijk directe controle uitoefenen op wat men als IT team van de ISO/Norm invoert en de kwaliteit waarborgen. Dit wordt gedaan via een zogenaamde ISMS constructie. http://www.security.ku.edu/images/projects/isms_cycle.jpg

Er wordt vaak gedacht dat systemhardening enkel de beveiliging inhoud maar het gaat ook om de stabiliteit en betrouwbaarheid van alles dat in de organisatie draait. Bijvoorbeeld je backup plan maar ook toelevering.
Verder is de vraag waarom altijd afhankelijk van hoe een bedrijf al draait. Je hoeft namelijk niet alle punten van een ISO te halen als je maar een risico inschatting hebt en een alternatief voor de punten waar je niet aan kan of wil voldoen. Daarom is het dus ook enorm belangrijk dat er veel overlegd wordt om uit te vinden wat je belangrijk vind en wat niet.

Voor officiele implementatie gidsen http://www.nen.nl/web/Normshop.htm
Korte omschrijving met argumenten en procedure in engels http://www.itcoach.com/unsafe/System-Hardening.htm#hardening%20defined
12-01-2012, 16:44 door SirDice
Door michiel1980: Als ik dan aankom met een Microsoft link dan word ik, ben ik bang, hard uitgelachen ;)
Of gelyncht ;)

Deze is ook wel aardig (als ik 't even snel doorlees een tikkeltje 'populair') http://www.freesoftwaremagazine.com/articles/hardening_linux

http://www.ibm.com/developerworks/linux/tutorials/l-harden-server/index.html
12-01-2012, 17:00 door michiel1980
Ja ik wou het woord lynchen nog net niet gebruiken, de links over HOE je een server moet hardenen vind ik vollop (mooie SANS links gevonden en van NIST etc.) maar het grote WAAROM kan ik niet zo snel vinden in 1 van die documenten (zo vind ik het ook niet in het IBM document tenzij ik er heel hard overheen kijk). :/
Ik heb SANS gemailed en hun het verhaal ook voorgelegd.
12-01-2012, 17:11 door SirDice
In de summary, heel kort:
Servers—whether used for testing or production—are primary targets for attackers. By taking the proper steps, you can turn a vulnerable box into a hardened server and help thwart outside attackers.

Of die server nu alleen intern gebruikt wordt of niet maakt niet uit. Je hebt namelijk meer te vrezen van je eigen werknemers dan van een 'buitenstaander'.
12-01-2012, 17:19 door michiel1980
Ik had eigenlijk gehoopt dat PCI, ISO27k1 en bijv SANS dit als een default page ergens hebben zodat mensen zoals ik niet de discussie hoeven aan te gaan WAAROM je dit doet.
En ik weet 'het is toch vrij logisch materiaal?' als het geld gaat kosten dan gaat een manager vragen of het wel echt nodig is of wat als je hardening de werking van een applicatie breekt?
Ik ga liever dat soort vragen en discussies uit de weg zodat ik mijn tijd kan spenderen in het implementeren van hardening door bijv Puppet/Kickstart. :)
13-01-2012, 06:53 door Dev_Null
1. Ik ben erg op zoek naar een goed verhaal (liefst Engels) waarom systemen gehardened moeten worden en het liefst van een SANS/ISO 27001/PCI perspectief. <knip> Ik wil graag discussies met engineers en managers voorkomen en daarom juist een algemeen geacepteerde standaard of instantie er bij halen[/quote]
>>Oke I got your point...Michiel1980, dank je wel voor je inhoudelijke reactie ;-)
Het goede hardening verhaal kun jij zelf schrijven als JIJ weet waarom een server gehardend moet worden right?
Dan ben JIJ degene met de up-to-date kennis in huis en hoef je alleen nog te je leren om dat te verkopen, motiveren naar de "engineers en managers" Simpelweg omdat:
- Alle vorm van Sales een kwestie van goed onderbouwde argumentatie en motivatie is .
- het een ware kunst is om te leren praten en denken in de taal van de andere partij.
Anders komt - bij voorbaat - je boodschap al niet over.


2. Ik probeer mij meer op software onafhandelijke vendors te richten, daarbij is 99,9% Linux OS en zijn alle engineers waar ik soms tegen moet vechten die hard *nix guru's.
>> VECHTEN TEGEN is nooit een handige insteek voor zo'n gesprek, dialoog, discussie,
>> MEEDENKEN MET bereik je veel meer mee. Hier heb je wat tips op dat gebied

A - Verplaats (als je wilt/kunt) je eerst eens in de gedachtenwereld, werkomstandigheden van een die-hard (4.0) *nix guru's
Zij zijn vaak heel anders (en vaak beter) opgeleid dan de gemiddelde wind-doos click-er-die-click beheerder.
Die gasten hebben nog echt verstand van security out-of-the box en werken al jaren lang met een zeer robust, goed, betrouwbaar en solide operating system (Unix zeker!) en Linux ook. *nix operating systems zijn ook heel anders ONTWORPEN, vooral met Netwerken en Security zeer goed geimplementeerd op de tekentafel!! Onthoud dat
Dit is dus een wat andere koek dan die lekke security gatenkaas uit Redmond.

Voor deze *nix engineers is "hardening" gewoon common-sense! omdat ze dat vanuit hun achtergrond niet anders gewend zijn. Pas wanneer je dit standpunt goed snapt, kun je insteken op argumenten zoals:
- verhogen van de veiligheid van hun werkstations en servers
- verhogen van security bewust zijn voor de beginners op dit gebied
- standaardizeren van de hardening-aanpak over alle Unix, Linux platformen zodat hun leven er makkerlijker op word!

B - Verplaats je eerst een (als je dat wilt/kunt) in de schoenen van een manager:
Die mensen denken vaak (alleen maar) in termen van efficientie en geld.
Voor hen betekent een gehackte (lees niet-gehardende) server
- Ontevreden klanten (door downtime)
- Inkomsten / omzet verlies
- Extra kosten van "hun beheerpersoneel" om de hardening werkzaamheden uit te voeren en te onderhouden
Dit zijn de rationale argumentatiepunten, waarop je een dialoog met managers aan kunt gaan.

C - Andere managers insteek is ANGST.. (schijnt heel goed te verkopen, maar mijn aanpak is het niet)
Mogelijke insteek methodes ..als je servers niet gehardened zijn dan...:
- worden ze gehackt (en je weet dan niet wat er met je gegevens gaat gebeuren)
- kunnen ze uit bedrijf genomen worden (downtime, ontevreden klanten, ontslag van je managersbaan)
- kan er datadiefstal optreden (en corporate losses / concurentie verlies / woaaahhhh...)
Dit zijn dus emotionele argumentatiepunten om je verhaal te onderbouwen

Je hebt dus verschillende aanpakken nodig om managers OF techneuten over te halen voor je hardening-standpunt.
Maak niet de fout om 1 "one-size-fits-all-needs hardening verhaal" op te willlen hangen bij iedereen. Dat werkt niet.
Know your target audience en schrijf je hardening verhaal OP MAAT voor dat specifieke publiek / bedrijf / situatie.

D - Is je publiek een Windows (mindwash) audience, zul je een andere aanpak moeten doen dan een Unix, Linux crowd
Zoals je (als techneut?) weet, Windows sucks big time qua security, dus daar zul je ze eerst bewust van moeten maken.
Unix en Linux zijn ontworpen en gebouwd met als insteek netwerken en security, dus das meer een motivatie verhaal.

Hier nog een paar links over het waarom van server hardening (eenvoudig geScroogled met keywords "server hardening")
http://www.serverhardening.com/
http://www.nsa.gov/ia/_files/webs/archived/apacheWS.pdf
http://www.pvamu.edu/pages/2539.asp
http://www.ibm.com/developerworks/linux/tutorials/l-harden-server/index.html
http://www.linux-sec.net/Harden/
http://www.tamuk.edu/itech/it_policies/docs/1_180_Server%20Hardening%20Policy.pdf


Free_Bonus_1:
Op de website van de NSA staan ook een aantal zeer goede (Solaris, SELinux, RedHat, Windows) algemene serverhardening guides
http://www.nsa.gov/applications/search/index.cfm?q=server%20hardening
Kijk eens in de inleiding van deze professioneel geschreven documenten, om te zien hoe dit verkocht word aan de lezer.

Ze hebben op de NSA website ook aardig wat slideshows, downloadble pdf's over Secure Linux (SELinux) , hun eigen kindje.
http://www.nsa.gov/applications/search/index.cfm/?q=secure%20linux%20hardening
Snuffel hier eens in rond om te zien over het HOE en WAAROM dit OS is uitgevonden. Dan (pas) heb je echt een goed en volledig achtergrond beeld van waarom het nodig is om je server te strippen van alle toeters en bellen die - out of the default installation box- AAN gezet worden of geinstalleerd worden.


Free_Bonus_2:
Google ;-) eens op (brochures van)kant-en-klare server hardening software packages. In de brochures van deze producten word ook vaak -heel goed en duidelijk- uitgelegd wat de verkoop argumenten zijn, waarom klanten dit specifieke product moeten kopen en installeren op hun eigen servers ;-)


Final note over de bovenstaande suggesties / links:
Het zijn niet allemaal kant-en-klare verhalen waar jij naar op zoek bent! Deze websites en documenten kunnen jou wel weer een goed beeld geven wat er EXACT voor nodig is om een (willekeurige) server te hardenen, zodat jij weer je eigen unieke verhaal beter kunt schrijven, onderbouwen en vertellen. Good Luck ;-)
13-01-2012, 11:59 door SirDice
Door Dev_Null: A - Verplaats (als je wilt/kunt) je eerst eens in de gedachtenwereld, werkomstandigheden van een die-hard (4.0) *nix guru's
Zij zijn vaak heel anders (en vaak beter) opgeleid dan de gemiddelde wind-doos click-er-die-click beheerder.
Die gasten hebben nog echt verstand van security out-of-the box en werken al jaren lang met een zeer robust, goed, betrouwbaar en solide operating system (Unix zeker!) en Linux ook. *nix operating systems zijn ook heel anders ONTWORPEN, vooral met Netwerken en Security zeer goed geimplementeerd op de tekentafel!! Onthoud dat
Dit is dus een wat andere koek dan die lekke security gatenkaas uit Redmond.
Hier ben ik het totaal niet mee eens. Zeker de wat oudere UNIX beheerders begrijpen geen zak van security. Zo heb ik een doorgewinterde AIX expert uit moeten leggen dat je makkelijk met telnet via SMTP een email kan versturen, had'ie nog nooit gezien en wist niet eens dat dat kon. Dezelfde soort types heb ik jarenlang root toegang via telnet zien gebruiken. SSH? Daar hadden ze wel eens van gehoord maar daar wilde ze absoluut niet aan omdat dat niet in alle gevallen zou werken. Het heeft me de grootste moeite gekost om ze ervan te overtuigen dat SSH een drop-in-replacement is voor telnet.

En security-out-of-the-box? Wel eens een standaard AIX, HP-UX of Solaris installatie gezien? Daar staan zoveel poorten open en er draaien zo veel, onnodige, services dat ik niet echt van "security-out-of-the-box" kan spreken. Patches worden nauwelijks geinstalleerd want "het werkt toch?". Security interesseert ze geen bal.
13-01-2012, 12:07 door Anoniem
Patches worden zelfs geweigerd omdat het brakke applicatie X kan breken..let wel 'kan'.
Dev_null ik vind je links heel interessant maar die heb ik al, ik kan zelf een goed verhaal houden maar probeer in je eentje maar eens in een 5k bedrijf met een verhaal te komen zonder standaarden en best practices..dan krijg je het echt wat moeilijker voor je kiezen.
je snort veel mensen al de mond als er een standaard/ISO/best practice op internet over te vinden is en je klanten daar ook straks naar gaan verwijzen.
Dan is de business case al snel klaar.
13-01-2012, 12:30 door SirDice
Het was een hele lap tekst dus dat duurt even voordat ik alles goed gelezen heb.

Door Dev_Null: Ze hebben op de NSA website ook aardig wat slideshows, downloadble pdf's over Secure Linux (SELinux) , hun eigen kindje.
http://www.nsa.gov/applications/search/index.cfm/?q=secure%20linux%20hardening
Snuffel hier eens in rond om te zien over het HOE en WAAROM dit OS is uitgevonden. Dan (pas) heb je echt een goed en volledig achtergrond beeld van waarom het nodig is om je server te strippen van alle toeters en bellen die - out of the default installation box- AAN gezet worden of geinstalleerd worden.
Erhm. SELinux is geen OS. Het is een verzameling patches voor de Linux kernel en wat userland tools om het te managen. Hoewel je het prima kunt gebruiken om je server te hardenen is MAC niet echt noodzakelijk daarvoor.
14-01-2012, 04:35 door Dev_Null
@Anoniem 12:07:
Patches worden zelfs geweigerd omdat het brakke applicatie X kan breken..let wel 'kan'.
Ik snap je positie, ik ook jaren lang onder zulke omstandigheden de eindjes aan elkaar moeten knopen om "het digitale zaakje in de lucht te houden", dus ik begrijp waar je doorheen gaat. Das echt geen pretje om in te werken. Je word dan vaak als "klokkenluider" gezien m.b.t. de kwaliteit van het zittende personeel en hun werk-methodes en structurele gebrek aan up-to-date kennis op het vakgebied waarvoor ze betaald worden / de illusie ophouden dat ze er echt iets van weten.


@SirDice:
Zeker de wat oudere UNIX beheerders begrijpen geen zak van security.
Klopt voor een gedeelte, maar dat geld ook niet overal. Uitzonderingen bevestigingen nu eenmaal de regel.
Helaas heb je overal wel een beheerder zitten die zichzelf heeft op/vastgewerkt in een organisatie. Zo'n individue heeft zich "persoonlijk onmisbaar gemaakt" voor de rest van deze organisatie (denken ze), en zo kan zo'n little_admin_dictator (Soort Bastard Operator From Hell http://www.theregister.co.uk/odds/bofh/ ) zijn/haar onkunde verbloemen naar de buitenwereld en ermee wegkomen ;-) totdat "de externe consultants, met echt inhoudelijk verstand van zaken" - zoals jij dus - erbij worden gehaald. Die schrikken zich vaak verrot, hoe brak en gammel een systeem werkelijk draaiende worden gehouden.

SELinux is geen OS. Het is een verzameling patches voor de Linux kernel en wat userland tools om het te managen.
Thanks voor de nuance en correctie op mijn tekst!
14-01-2012, 08:13 door Ilja. _V V
Door michiel1980: Ik wil graag discussies met engineers en managers voorkomen en daarom juist een algemeen geacepteerde standaard of instantie er bij halen.

Elke link of tip is van harte welkom.
Ok, misschien eerst even klein & simpel beginnen?.. Heb je al gezocht op Bastion host? Staat deze meteen boven aan, met references naar SANS & in het Engels !:
http://en.wikipedia.org/wiki/Bastion_host

P.S: Vergat helemaal een belangrijk standaardwerk, n.b. ingebonden in slappe kaft waar ikzelf ooit les uit heb gekregen:
De Cisco Systems Security Configuration Guide:
http://www.cisco.com/en/US/docs/ios/security/configuration/guide/12_4/sec_12_4_book.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.