Ferramentas de auditoria de segurança do servidor para servidores Windows e * nix

1

Quando implantamos um novo servidor atualmente, fazemos uma varredura Nessus no servidor de dentro do firewall e fazemos uma auditoria de firewall para verificar se apenas as portas desejadas estão abertas no firewall (uma vez que ocasionalmente reciceamos endereços IP).

O que você está fazendo na sua organização? Você acha que é o suficiente? O que você faria se pudesse?

    
por Laura Thomas 25.06.2009 / 05:12

3 respostas

1

Nunca, nunca confie em uma única ferramenta. O Nessus é um bom começo, mas siga com scanners adicionais e ferramentas de auditoria - quanto mais, melhor.

O GFI Languard, o eEye Retina, o Lumension Scan (antes conhecido como Harris STAT) são bons de se ter, embora você tenha que gastar dinheiro para adquiri-los. Eles terão alguma sobreposição, mas cada um também realiza verificações exclusivas, de modo que eles só podem complementar um ao outro para avaliar a vulnerabilidade de uma máquina. É claro que você deve cruzar cada descoberta com bom senso para descartar falsos positivos - várias ferramentas ajudam nisso.

Além dos scanners do sistema operacional, se você estiver planejando hospedar bancos de dados, considere escolher o AppDetectivePro. Para sites, confira HP WebInspect ou Paros. Para verificações de senha de rede, Cain & O Abel é ótimo - mas tenha certeza de que você tem permissão para usá-lo, particularmente alguns dos recursos mais avançados.

Eu recomendo verificar algumas das ofertas de ferramentas de código aberto - o nmap é uma excelente maneira de verificar quais portas estão abertas em uma máquina, junto com o netcat para enviar dados arbitrários. Use o Wireshark para detectar o tráfego de rede proveniente do host, seja por meio de uma porta span ou de uma rede, e analisar os resultados - isso geralmente ajuda a identificar redes desnecessárias e inseguras (como telnet, FTP e qualquer versão do SNMP abaixo da v3) protocolos. As cadeias de leitura / gravação SNMP são basicamente senhas - e o SNMP v1 e v2 (ou 2c) são completamente de texto puro. Não os use e elimine-os se você estiver.

Por último, mas provavelmente o mais importante, consulte os guias de configuração do NSA para o sistema operacional relevante (se eles publicarem um), os Guias Técnicos de Implementação da DISA do DoD, bem como os Guias de Segurança da Microsoft para os sistemas operacionais Microsoft. Estes podem ajudá-lo a construir algumas máquinas endurecidas validadas e devem ser um ponto de partida para qualquer construção segura do sistema. Saber qual é a configuração original é muito importante para determinar se um sistema foi comprometido ou até mesmo se uma vulnerabilidade específica afeta seu ambiente.

E apenas uma observação - sempre, sempre faça backup do sistema antes de fazer alterações relacionadas à segurança - especialmente se você usar os guias NSA ou DISA - eles se concentram em segurança, não necessariamente em operações, se você me entende.

    
por 25.06.2009 / 05:43
2

O Nessus é um bom começo, já que ele pode fazer avaliações de vulnerabilidade que são um pouco mais detalhadas do que apenas a varredura de porta e a captura de banner.

Uma coisa que eu recomendaria é não deixá-lo como "fizemos a varredura, foi ok, nada mais a fazer" e, talvez, agendar exames para verificar as alterações de configuração.

Embora este seja um ótimo começo, nada pode superar a enumeração manual de vulnerabilidades / erros de configuração. Mas isso obviamente requer tempo, energia e dinheiro, eles podem não valer a pena.

Você se sente como se fosse o tempo, o dinheiro e a energia investidos na proteção desses servidores é compensada pelos custos de perda de operação, perda de dados, ação legal se seus dados forem retirados de seu controle?

    
por 25.06.2009 / 05:17
0

Você também pode usar o nessus para executar uma auditoria, fazendo login em uma caixa e executando um script de auditoria no Windows e no Unix. A Tenable fornece vários deles para o PCI DSS, o CIS Benchmark e o guia NSA Rhel5.

Temos uma linha de base na qual todas as máquinas são instaladas, com acréscimos para quaisquer aplicativos instalados. Isso abrange uma grande variedade de itens a serem verificados, desde portas abertas a executáveis do setuig / gid até verificações rigorosas de controle de acesso. Quaisquer alterações feitas precisam ser registradas e vinculadas ao nosso sistema de emissão de tickets, com todas as alterações sendo aprovadas pelo gerenciamento de alterações. Periodicamente, executamos varreduras para garantir que tudo esteja como deveria. Se não, podemos descobrir quem fez as alterações na trilha de auditoria que temos nos sistemas.

Então, a qualquer momento, temos em um banco de dados de configuração exatamente como a máquina deve parecer, tanto de fora usando o nessus quanto de outras ferramentas para verificá-lo e de dentro usando o nessus e o plugin de conformidade. Assim, quando qualquer auditor faz visitas surpresa e nos faz demonstrar que sabemos o estado de qualquer servidor aleatório, podemos fazer isso e também fornecer uma trilha de auditoria para satisfazer a conformidade.

Nada disso é fácil ou divertido de configurar. Mas no mercado em que estamos, precisamos atender aos requisitos de conformidade, por isso é preciso que alguém tenha isso em prática.

    
por 25.06.2009 / 09:50

Tags