image

NIST publiceert richtlijnen voor beheer SSH-sleutels

maandag 25 augustus 2014, 14:25 door Redactie, 1 reacties
Laatst bijgewerkt: 25-08-2014, 16:08

Het National Institute of Standards and Technology (NIST) heeft richtlijnen gepubliceerd hoe organisaties met hun Secure Shell (SSH)-sleutels moeten omgaan. Via SSH is het mogelijk om op afstand op een computer in te loggen. Naast handmatig inloggen wordt het ook voor automatische processen gebruikt.

Het gaat dan bijvoorbeeld om bestandsoverdracht, automatische back-ups, software- en patchmanagement, disaster recovery, provisioning en database-updates. Secure Shell biedt het mechanisme voor systeem tot systeemauthenticatie en versleutelt inter-systeemcommunicatie. Deze inter-systeemverbindingen werken vaak met verhoogde rechten, waarbij één systeem toegang tot een account met verhoogde rechten op het andere systeem krijgt.

Een patchmanagement-applicatie kan bijvoorbeeld toegang tot root-accounts krijgen of een database-applicatie die toegang tot het Oracle-account krijgt. NIST adviseert niet alleen dat er public key-gebaseerde authenticatie wordt gebruikt voor het authenticeren van deze processen, maar ook dat de public private key-paren volledig worden beheerd. De veiligheid van SSH-gebaseerde geautomatiseerde toegang zou namelijk al lange tijd door organisaties zijn genegeerd, met alle veiligheidsrisico's van dien.

Volgens SSH Communications Security, de commerciële partij achter SSH, is dit nogal een understatement. Bij veel organisaties zou er een algemeen gebrek aan bewustzijn of zelfs een moedwillige onwetendheid zijn over de beveiligingsrisico's die samenhangen met het gebruik van Secure Shell voor geautomatiseerde toegang. "Dit rapport is eigenlijk een wake-up call voor organisaties om aandacht te geven aan de manier waarop ze Secure Shell gebruiken", aldus Jonathan Lewis van SSH Communications Security.

Reacties (1)
25-08-2014, 14:40 door Anoniem
NIST adviseert [...], maar ook dat de public private keys volledig worden beheerd.

De "maar" doet een tegenstelling vermoeden die niet blijkt uit het eerste deel van de zin.

"Public private keys" lijkt me een vreemde term.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.