Wie heeft ervaring met Security Check website (extranet)

[DennisvdHeijden]

We gaan een extranet opleveren voor onze klanten. Aangezien hier alle facturen, klantgegevens en mogelijkheden tot verandering en publicatie van gegevens onder de klantnaam staat wil ik een goede securitycheck laten uitvoeren door externe. Heeft iemand ervaring met partijen, zo ja welke en wat voor positieve en negatieve ervaringen?

[Maarten]

Gaat het een audit van enkel de software, of het gehele systeem?

 

In welke programmeertaal is de software geschreven, en op wat voor server draait het project?

 

Er zijn verschillende bedrijven die audits aanbieden, maar ieder hebben hun eigen specialisaties.

[DennisvdHeijden]

Systeem is php/mysql op linux server. Geen idee hoe de audit heet die ik wil. Ik wil dat mensen niet bij de klantgegevens kunnen komen. Thats it.

[Maarten]

Een PHP Security Audit is denk ik wat je zoekt.

 

Onder andere IBuildings is hier erg goed in.

 

Ik zou het in ieder geval laten doen door (door Zend) gecertificeerde PHP programmeurs, zodat je zeker weet dat je goeie mensen inhuurt. Laat je even weten waar je uiteindelijk voor hebt gekozen en of het beviel?

[DennisvdHeijden]

  Op 24-2-2009 om 15:57, Maarten zei:

Onder andere IBuildings is hier erg goed in.

 

Grappig, ik krijg advies op Higherlevel om de test te doen bij een klant van ons zelf. Zegt wat over onze binding met de klanten als ik niet eens weet dat ze dat doen.

 

Maar erg bedankt voor de tip, zal ze weer eens bellen.

[Maarten]

IBuildings organiseert ook elk jaar een PHP Conference in de RAI, erg leerzaam :)

[Llis]

Hoi Dennis,

 

  Op 24-2-2009 om 01:41, DennisvdHeijden zei:

Systeem is php/mysql op linux server. Geen idee hoe de audit heet die ik wil. Ik wil dat mensen niet bij de klantgegevens kunnen komen. Thats it.

 

Linux dus. 8)

 

In dat geval is een een zeer degelijk openSource programma voor iedereen gratis ter beschikking:

Nessus. Zie http://www.nessus.org/nessus/

 

Als het opleveren van servers is wat jouw bedrijf doet, is het voor jou zeker de moeite waard hier eens kennis mee te gaan maken.

 

Een engelstalige demo over wat Nessus allemaal kan doen voor je:

http://cgi.tenablesecurity.com/demos/nessus32-intro/nessus32-intro.html

 

 

 

mvrgr

Liset Karman

 

 

[DennisvdHeijden]

  Op 25-2-2009 om 10:25, Llis zei:

Als het opleveren van servers is wat jouw bedrijf doet, is het voor jou zeker de moeite waard hier eens kennis mee te gaan maken.

 

Bedankt we leveren geen servers we bouwen enkel onze extranet platform zelf. Maar bedankt voor de tip/

[Llis]

Graag gedaan.

 

Word of warning: RTFM, ofwel; lees de (*) handleiding voordat je Nessus op een netwerk los laat.

Nessus gaat namelijk alle poorten scannen, en dat kan een DDOS veroorzaken.

 

mvrgr

Liset Karman

[Maarten]

Liset, Nessus is een scanner wat bekende exploits kan vinden in software. Een PHP Security Audit is iets totaal anders, daarbij wordt de PHP code door een ervaren programmeur nagelopen, iets wat Nessus onmogelijk kan doen. Er zijn ontzettend veel tools die je kan inzetten om een server te beveiligen, maar dat heeft met de vraag in dit topic niets te maken.

[Llis]

@Maarten,

 

De vraag was deze: "Ik wil dat mensen niet bij de klantgegevens kunnen komen. Thats it."

Nessus kan heel precies laten zien of en hoe dat kan, met behulp van de raportage van de scan die Nessus maakt.

Nessus kan dus heel erg grondig laten zien waar de eventuele lekken in de LinuxServer zitten.

Kijk anders zelf ook maar even naar de video.

 

Verder kan Nessus inderdaad controleren op alle bekende PHP exploids.

Een PHP programmeur die opdracht heeft te rapporteren (en niet te repareren) doet niet veel anders dat de hem of haar bekende exploids nalopen.

Of dat er zoveel zijn als Nessus kent, valt dan nog te bezien.

 

Of ben je met iets anders bezig dan de vraag van de klant zo goed mogelijk te beantwoorden ?

 

mvrgr

Liset Karman

 

 

[Michiel van Vlaardingen]

Maar hoe weet nessus wie wat mag zien? Als mijn extranet allemaal pagina's bevat, hoe weet nessus dan dat de informatie die op dat moment getoond wordt wel of niet kritische bedrijfsgegevens zijn die bekeken mogen worden? Dat zijn zeer relevante onderdelen van een Security Check. (kun je bijv. stiekum bij de gegevens van een ander door met url parameters te spelen)

 

Ik wil best geloven dat het nutig is, maar dan als aanvulling, niet als alternatief.

[Llis]

@Michiel,

 

Je kunt Nessus opties mee geven voordat de scan gemaakt wordt.

O.a. kun je Nessus de eigenschappen van bijvoorbeeld klant Jansen geven (login en passwd) waarna Nessus scant wat klant Jansen allemaal op het netwerk kan bekijken en benaderen.

 

Kijk even naar de video, daar leggen ze heel veel van de kunde van Nessus al uit.

Onder anderen jouw vraag komt er aan bod.

 

mvrgr

Liset Karman

[Michiel van Vlaardingen]

Als dat kan zoals jij 't beschrijft zou mooi zijn, maar de video gaat alleen in op toegang tot bepaalde systeem services zoals ssh, smb, etc. Niet over welke informatie precies aan iemand gepresenteerd wordt binnen het extranet.

[Llis]

@Michiel,

 

In de NessusRapportage krijg je te zien op welke server welke gegevens te benaderen zijn geweest, en welk risico dat eventueel mee brengt.

Dat laten ze op de video heel snel ook een aantal keer zien (rechter deel van het scherm).

 

Als je er meer over wilt weten kan ik je wel aan een aantal namen helpen van bedrijven die in Linux-voor-bedrijven gespecialiseerd zijn ?

 

Wat ik weet is uit de tijd dat ik een linuxUserGroep leidde richting LPI examens.

Niet van het zelf beveiligen van bedrijfsInformatie, daar kan ik je niet mee helpen.

 

mvrgr

Liset Karman

 

[TvG]

Overigens is er voor Nessus nog een overtreffende trap, namelijk Ossim (www.ossim.net). Dit bundelt naast Nessus nog een aantal andere tools.

[Llis]

@ TvG; Kewl 8)

 

Afbeelding voor Michiel van de rapportage waar ik op doel (in deze video):

 

mvrgr,

Liset Karman

 

 

edit met betrekking tot deze screenDump:

@Michiel:

Op deze zelfde manier kan Nessus laten zien wat bijvoorbeeld het proces Excel toe staat op machine X in netwerk Y.

Aan wie dat toegestaan wordt kun je zien in de opties die je zelf in gesteld hebt voordat je de scan uit laat voeren.

[Maarten]

  Op 25-2-2009 om 12:52, Llis zei:

Nessus kan heel precies laten zien of en hoe dat kan, met behulp van de raportage van de scan die Nessus maakt.

Nessus kan dus heel erg grondig laten zien waar de eventuele lekken in de LinuxServer zitten.

Kijk anders zelf ook maar even naar de video.

 

Verder kan Nessus inderdaad controleren op alle bekende PHP exploids.

 

Nessus is een ontzettend waardevolle tool voor het controleren op bekende software problemen die zich op een server kunnen bevinden, maar helaas is dit ook het enige wat dergelijke programma's kunnen detecteren. Nessus heeft een soort van database met alle bekende problemen verzameld en controleert een server op deze problemen.

 

Helaas is Nessus onbruikbaar bij het controleren van beveiligingsproblemen in maatwerk software, de problemen die in maatwerksoftware kunnen voorkomen kunnen simpelweg niet in de database van Nessus komen. De enige betrouwbare manier om alle problemen in maatwerk software te achterhalen is alle code door een ervaren programmeur te achterhalen op fouten.

 

Verder is Nessus is natuurlijk wel waardevol voor het controleren van een systeem op bekende problemen, maar doordat Nessus alleen controleert aan de buitenkant van het systeem, kan het niet op tegen een handmatige audit die ook problemen op het systeem zelf kan achterhalen. Dergelijke audits zijn echter wel kostbaar, hoe ver je hier mee wilt gaan hangt af van je budget en van het risico wat je server loopt.