Che checklist indurimento configurazione per assicurarsi che il mio server?
Introduzione
Qualsiasi politica di sicurezza o di informazioni standard comprendono un obbligo di utilizzare una costruzione standard indurito ”. Il concetto di indurimento è abbastanza semplice, ma conoscendo la fonte di informazione deve fare riferimento ad un elenco di indurimento quando tanti pubblicati possono essere fonte di confusione.
Lista delle Fonti indurenti controllo di riferimento server
I “marchi” più popolari in questa zona sono il Center for Internet Security o liste di controllo della CSI indurimento (gratuito per uso personale), il NIST (aka Vulnerability Database Nazionale) Programma Nazionale Checklist fornito repository o articoli SANS Sala Lettura proposito stringendo Top 20 vulnerabilità più critiche.
Tutti questi gruppi offrono indurimento Liste di controllo di configurazione per la maggior parte dei sistemi operativi Windows, Linux Varianti (Debian, Ubuntu, CentOS, RedHat Enterprise Linux conosciuto anche come RHEL, SUSE Linux), le varianti di Unix (come Solaris, AIX e HPUX) e firewall e dispositivi di rete (come ad esempio Cisco ASA, Checkpoint e Juniper).
Queste fonti forniscono un comodo, liste di controllo one-stop, ma possono essere meglio serviti trovando costruttore o programmi di controllo specifico comunità per i dispositivi e sistemi operativi. Ad esempio, Microsoft e Cisco offrono grandi raccomandazioni indurimento delle migliori pratiche sui loro siti web, e varie comunità CentOS e Ubuntu hanno numerosi tutorial migliori pratiche di configurazione sicura attraverso internet.
Così lista è il migliore? Quale punto di indurimento configurazione di riferimento è il migliore e più sicuro? Se si considera che tutti i parametri di riferimento per esempio Windows 2008 R2 stanno cercando di eliminare le stesse vulnerabilità dello stesso sistema operativo, allora ci si rende conto rapidamente che non è naturalmente un elevato grado di sovrapposizione tra i quindi diverse fonti. In breve, tutti dicono la stessa cosa, solo in termini leggermente diversi. Ciò che è importante è che rilevante per valutare i livelli di rischio per i loro sistemi contro quello che gli impegni si può fare in termini di funzionalità ridotte in cambio di una maggiore sicurezza.
Hardening e Configuration Management vulnerabilità
E ‘importante distinguere tra software basato vulnerabilità che richiedono patch correttive, e vulnerabilità di configurazione che solo alcuni tempo può essere mitigata basata. Il raggiungimento di una costruzione sicura normale indurito è in realtà un programma di indurimento è perché fornisce un livello di sicurezza costante e fondamentale.
configurazione indurimento è una sfida particolarmente difficile in quanto il livello che può essere curata dipende dall’ambiente, le applicazioni e le pratiche di lavoro. Ad esempio, l’eliminazione di servizi web e ftp da un host sono buone, pratiche indurimento di base. Tuttavia, se l’host deve agire come un server web, allora questo non sarà una ragionevole misura di indurimento!
Allo stesso modo, se è necessario l’accesso remoto al PBX tramite la rete, allora avete bisogno di aprire le porte e servizi firewall consentono server ssh o terminale sull’host, se non, deve sempre essere rimosso o disattivato per proteggere l’host.
Invece, patch è una disciplina molto più semplice, con una regola generale che l’ultima versione è sempre il più sicuro (ma provare prima solo per assicurarsi che funziona!).
Procedure di configurazione indurimento
In un modo simile a cerotto dovrebbe essere fatto almeno una volta al mese, stringendo configurazione deve anche essere praticato regolarmente – no Si tratta di un esercizio di una volta
A differenza di patch, in cui nuove vulnerabilità ai pacchetti software sono abitualmente non scoprì poi risolti attraverso le patch più recenti, nuove impostazioni di configurazione. vulnerabilità basate vengono scoperti raramente. Ad esempio, il Benchmark CIS Server 2008 è stato aggiornato solo 3 volte, nonostante il sistema operativo dopo essere stato disponibile per quasi cinque anni. Il benchmark iniziale, la versione 1.0.0 è stato rilasciato nel marzo 2010 e poi aggiornato alla versione 1.1.0, nel luglio dello stesso anno. Poi c’è stato un recente aggiornamento alla versione 1.2.0 in settembre 2011.
Tuttavia, nonostante le nuove migliori pratiche di configurazione raramente introdotte, è di vitale importanza che la configurazione indurito i loro server Windows, host Linux e Unix e dispositivi di rete sono riviste periodicamente e le modifiche possono essere effettuate in qualsiasi momento che possa ledere la sicurezza intrinseca del dispositivo.
Se si considera che ogni lista di controllo in genere può comprendere tra i 200 ei 300 misure, assicurando che siano state applicate in modo coerente tutte le misure restrittive e continuamente deve essere un processo automatizzato.
Questo può essere fornito da scansione elettrodomestici vulnerabilità come Nessus e Qualys, tuttavia, questi sono limitati nella portata e la profondità dei controlli che possono essere fatte a meno che non sia dato accesso amministratore o root per l’host in prova. Naturalmente, in questo modo, questa introduce vulnerabilità di sicurezza supplementari realtà, come l’host è accessibile tramite la rete e c’è almeno un altro amministratore di account o di root in circolazione che potrebbero essere usati impropriamente.
Impostazioni di protezione avanzata – File Integrity Monitoring
Un altro limite di dispositivi di scansione è che possono prendere solo una valutazione un’istantanea del prodotto. Mentre questo è un buon modo per verificare la conformità di un dispositivo di configurazione migliore stagionatura utile checklist, non c’è modo di verificare che il file system non è stata compromessa, ad esempio, un trojan o altro malware.
Sintesi
file integrità continuo monitoraggio combinato con una continua serraggio configurazione di valutazione è l’unica vera soluzione per mantenere i sistemi sicuri. Mentre le liste di controllo di marca come benchmark CIS sono una grande fonte di indurimento migliori pratiche non sono l’unica opzione disponibile. In realtà, produttore fornito liste di controllo sono in genere più accurate fonte pratiche di mitigazione della vulnerabilità. Ricorda che puoi essere una grande scelta di liste di controllo che utilizzano termini e lingua diverse, ma alla fine c’è un solo modo per stringere qualsiasi sistema particolare. Ciò che è più importante è che le misure adeguate per curare l’ambiente, riducendo il saldo del rischio contro impegni operativi e funzionali applicano.