Archief
- De topics van lang geleden
Webserver beveiliging, waar te beginnen?
27-08-2003, 00:44 door Being Koen, 16 reacties
Vorig jaar heb ik een webserver aangeschaft waarop verschillende geavanceerde websites (in ASP en ASP.NET)draaien. De server is een Windows 2000 machine waarop naast IIS ook Microsoft Exchange en Microsoft SQL Server draaien. Aangezien we redelijk klein zijn (momenteel hosten we +/- 30 websites en 150 mailboxen) hebben we nooit echt naar geavanceerdere beveiligingsoplossingen gekeken. Uiteraard draaid er wel een virusscanner op de server en hebben we aan de hand van veel tutorials op internet onnodige zaken uitgeschakeld en dichtgetimmerd maar om problemen voor te zijn willen we naar andere beveiligingsalternatieve kijken zoals firewalls (hardwarematig), IDS en gateway security oplossingen.
De vraag is echter waarmee moeten we beginnen en wat is voldoende? We hebben al met verschillende partijen contact gehad o.a. over de symantec gateway security (prijs rond de 10.000 euro voor de simpelste versie), 3COM Superstack 3 firewall (+/- 3000 euro), 3com embedded firewall netwerkkaarten (+/- 600 euro incl software) en Cisco hostbased IDS software (+/- 2000 euro), maar waarmee moeten we beginnen? Helaas hebben we geen budget voor oplossingen van 10.000 euro zoals de symantec gateway security maar duidelijk is dat we ons moeten beschermen tegen virussen, spam en hackers. Heeft iemand advies hierover of weet iemand sites waar ik meer over het beveiligingen van webservers kan vinden met eventueel ook vergelijkingen en best practices?
Alvast bedankt!
De vraag is echter waarmee moeten we beginnen en wat is voldoende? We hebben al met verschillende partijen contact gehad o.a. over de symantec gateway security (prijs rond de 10.000 euro voor de simpelste versie), 3COM Superstack 3 firewall (+/- 3000 euro), 3com embedded firewall netwerkkaarten (+/- 600 euro incl software) en Cisco hostbased IDS software (+/- 2000 euro), maar waarmee moeten we beginnen? Helaas hebben we geen budget voor oplossingen van 10.000 euro zoals de symantec gateway security maar duidelijk is dat we ons moeten beschermen tegen virussen, spam en hackers. Heeft iemand advies hierover of weet iemand sites waar ik meer over het beveiligingen van webservers kan vinden met eventueel ook vergelijkingen en best practices?
Alvast bedankt!
Reacties (16)
27-08-2003, 09:16 door
TheGuru
IT Baseline Protection Manual
http://www.bsi.bund.de/gshb/english/etc/inhalt.htm
Kijk onder het kopje Data Transmission Systems. Voor het beheren van een firewall e.d. moet je goed weten wat je doet, je moet de netwerkprotocollen(IP,TCP, ICMP) kennen. Dat geldt voor elke technische oplossing die je kiest.
http://www.bsi.bund.de/gshb/english/etc/inhalt.htm
Kijk onder het kopje Data Transmission Systems. Voor het beheren van een firewall e.d. moet je goed weten wat je doet, je moet de netwerkprotocollen(IP,TCP, ICMP) kennen. Dat geldt voor elke technische oplossing die je kiest.
Je moet ook rekening houden met nieuwe ontwikkelingen op veiligheidsgebied. Houdt er rekening mee, dat er nieuwe gaten en nieuwe inbraakmethoden worden uitgevonden of ontdekt. Het team zal dan ook elke dag op de verschillende websites (zoals www. security.nl) moeten nagaan of er nieuwe gevaren op aan het duiken zijn.
Er bestaat in de beveiliging dan ook nooit een situatie waardoor je zegt: "Nu is alles in orde, jongens we kunnen nu wat gaan uitrusten". Zo'n houding is vaak de oorzaak van latere problemen. Hoe vaak hoor je dan ook niet dat men toch ergens is binnengekomen (virus, hackers) omdat men in die tijd heet zitten slapen?
Er moet altijd een beveiligings"team" werkzaam zijn. Iemand die het belangrijk vindt om de zaak goed in de gaten te houden. Het kan best zijn dat een belangrijk deel van de dag aan beveiliging en het evalueren van gevaren besteed moet worden. Dat is heel normaal in deze tijd, zoals je misschien al gemerkt hebt gedurende de zogenaamde "worm-week".
Ook beveiligingsspecialisten die huizen moeten beveiligen tegen inbraak en brand, moeten regelmatig en veelvuldig nagaan of hun theorieen moeten worden aangepast om het criminele tuig buiten te houden. Dit is ook in de digitale wereld zo.
Succes.
Er bestaat in de beveiliging dan ook nooit een situatie waardoor je zegt: "Nu is alles in orde, jongens we kunnen nu wat gaan uitrusten". Zo'n houding is vaak de oorzaak van latere problemen. Hoe vaak hoor je dan ook niet dat men toch ergens is binnengekomen (virus, hackers) omdat men in die tijd heet zitten slapen?
Er moet altijd een beveiligings"team" werkzaam zijn. Iemand die het belangrijk vindt om de zaak goed in de gaten te houden. Het kan best zijn dat een belangrijk deel van de dag aan beveiliging en het evalueren van gevaren besteed moet worden. Dat is heel normaal in deze tijd, zoals je misschien al gemerkt hebt gedurende de zogenaamde "worm-week".
Ook beveiligingsspecialisten die huizen moeten beveiligen tegen inbraak en brand, moeten regelmatig en veelvuldig nagaan of hun theorieen moeten worden aangepast om het criminele tuig buiten te houden. Dit is ook in de digitale wereld zo.
Succes.
De server is een Windows 2000 machine waarop naast IIS ook Microsoft Exchange en Microsoft SQL Server draaien.
Spendeer 300 euro aan een RedHat met een overdosis literatuur, en stap over op Linux. Met zo'n kleine userbase is een overstap geen halsbrekende zaak, en je bent uiteindelijk stukken goedkoper uit, omdat je een heleboel 'troep' niet meer hoeft te beschermen/patchen/uitzetten.
Do more with less, enzo , maar dan echt.
Mijn 0.02.
27-08-2003, 13:51 door
servies
Originally posted by GeneralFailure
Spendeer 300 euro aan een RedHat met een overdosis literatuur, en stap over op Linux.
Spendeer 300 euro aan een RedHat met een overdosis literatuur, en stap over op Linux.
Ik kan niet anders dan met instemming knikken. Een andere distributie zal het overigens ook wel doen.
De genoemde software combinatie is gedoemd om problemen te geven. Is het niet nu, dan is het wel in de (zeer) nabije toekomst.
Je kunt naar Chilisoft zoeken voor ASP ondersteuning op Linux etc.
27-08-2003, 15:10 door
Being Koen
Helaas is het gebruik van Linux geen oplossing daar we .net applicaties schrijven en Microsoft georienteerd zijn. Uiteraard bestaat er wel MONO waarmee .net internetapplicaties ook op linux gedraaid kunnen worden maar dat is nog maar toekomst muziek. Windows vs Linux is overigens een geheel andere discussie...
Tot nog toe heeft de combinatie W2k met Exchange en SQL nog nooit problemen opgeleverd maar de meest ideale situatie is het niet. Of een dergelijke combinatie gedoemd is te mislukken betwijfel ik omdat we absoluut niet de enige zijn en met goed systeembeheer veel afgevangen kan worden. We willen ons echter eerst focussen op verbetering van de beveiling en daarna pas uitbreiden naar 2 of meer servers.
Overigens patchen we natuurlijk wel op regelmatige basis maar of we daarmee niet andere gaten opgooien weten we niet.
Heeft er iemand ervaring met IDS en firewalls om een single webserver op W2k beter af te schermen? Of heeft er iemand ooit met Cisco IDS Sensor software gewerkt?
Tot nog toe heeft de combinatie W2k met Exchange en SQL nog nooit problemen opgeleverd maar de meest ideale situatie is het niet. Of een dergelijke combinatie gedoemd is te mislukken betwijfel ik omdat we absoluut niet de enige zijn en met goed systeembeheer veel afgevangen kan worden. We willen ons echter eerst focussen op verbetering van de beveiling en daarna pas uitbreiden naar 2 of meer servers.
Overigens patchen we natuurlijk wel op regelmatige basis maar of we daarmee niet andere gaten opgooien weten we niet.
Heeft er iemand ervaring met IDS en firewalls om een single webserver op W2k beter af te schermen? Of heeft er iemand ooit met Cisco IDS Sensor software gewerkt?
Je kan ook i.p.v. je te richten om op 1 server al je functionaliteit te richten het geheel splitsen.. Pak 2 pc's, gooi daar FreeBSD op (ja of linux mag ook) richt er 1 in als firewall/router/gateway/antivirus (http://www.astaro.com shiet me te binnen ineens, kan je ook klikken via een webinterface) en de ander als IDS met het gratis te krijgen snort. Ik denk dat je onder de 2000 euro komt..
28-08-2003, 09:18 door
Consultant
Waar begin je mee om je IIS webserver te beveiligen?
Allereerst zorg je ervoor dat de server de laatste service packs en security patches geinstalleerd heeft. Test bijvoorbeeld even met de gratis Microsoft tool Microsoft Baseline Security Analyzer. Vervolgens is de IIS lockdown tool een leuk tooltje om de IIS webserver een beetje dicht te zetten. Het eerste beveiligingsmechanisme voor de webserver zal een firewall moeten zijn met liefst nog iets van intelligentie als Intrusion Detection of Prevention. Voor lage budgetten kijk naar firewalls als Netscreen en Sonicwall. Voor intern zou je de server inderdaad nog eens uit kunnen rusten met de 3Com embedded firewall kaarten. Let wel: dit zijn simpele filters. Extra toeters en bellen kunnen speciale applicatiefirewalls zijn als Teros, Sanctum en KaVaDo (erg duur). AntiVirus(Trend, Symantec etc.) is noodzakelijk en een(Hostbased) Intrusion Detection Systeem (bijv. ISS) is aan te bevelen. Als alles eenmaal in plaats is is het aan te bevelen om naast een algemene penetratie test (bijv. ISS internet scanner, Eeye Retina) een speciale webscan te laten doen (bijv. Spydynamics WebInspect).
Allereerst zorg je ervoor dat de server de laatste service packs en security patches geinstalleerd heeft. Test bijvoorbeeld even met de gratis Microsoft tool Microsoft Baseline Security Analyzer. Vervolgens is de IIS lockdown tool een leuk tooltje om de IIS webserver een beetje dicht te zetten. Het eerste beveiligingsmechanisme voor de webserver zal een firewall moeten zijn met liefst nog iets van intelligentie als Intrusion Detection of Prevention. Voor lage budgetten kijk naar firewalls als Netscreen en Sonicwall. Voor intern zou je de server inderdaad nog eens uit kunnen rusten met de 3Com embedded firewall kaarten. Let wel: dit zijn simpele filters. Extra toeters en bellen kunnen speciale applicatiefirewalls zijn als Teros, Sanctum en KaVaDo (erg duur). AntiVirus(Trend, Symantec etc.) is noodzakelijk en een(Hostbased) Intrusion Detection Systeem (bijv. ISS) is aan te bevelen. Als alles eenmaal in plaats is is het aan te bevelen om naast een algemene penetratie test (bijv. ISS internet scanner, Eeye Retina) een speciale webscan te laten doen (bijv. Spydynamics WebInspect).
Helaas hebben we geen budget voor oplossingen van 10.000 euro zoals de symantec gateway security maar duidelijk is dat we ons moeten beschermen tegen virussen, spam en hackers.
Is het een idee om voor je W2K machine een *nix machine te zetten, waarop je oa firewall software draait. Bijvoorbeeld:
http://www.ipcop.org/ of http://www.clarkconnect.org/
Beiden kunnen gratis gebruikt worden. Er is vast een aanvullend AVus pakket voor te vinden.
btw. Ipcop lijkt er nu even uit te liggen.. hmmm.. is dat goed ;) Naja.. kijk er eens naar.
mzzl,
J
Originally posted by GeneralFailure
Spendeer 300 euro aan een RedHat met een overdosis literatuur, en stap over op Linux. Met zo'n kleine userbase is een overstap geen halsbrekende zaak, en je bent uiteindelijk stukken goedkoper uit, omdat je een heleboel 'troep' niet meer hoeft te beschermen/patchen/uitzetten.
Do more with less, enzo , maar dan echt.
Mijn 0.02.
Spendeer 300 euro aan een RedHat met een overdosis literatuur, en stap over op Linux. Met zo'n kleine userbase is een overstap geen halsbrekende zaak, en je bent uiteindelijk stukken goedkoper uit, omdat je een heleboel 'troep' niet meer hoeft te beschermen/patchen/uitzetten.
Do more with less, enzo , maar dan echt.
Mijn 0.02.
En ja hoor daar gaan we weer.......... Microsoft, brrrrr, slecht, ga over op *nix, goed veilig, nooit patchen........
Dat je hart hebt voor Linux of elk ander *nix systeem is bewonderswaardig, maar wanneer wordt deze discussie nu eens wat genuanceerder. Ook iedere *nix variant heeft last van security problemen en moeten regelmatig geupdate worden. Hoe dat de *nix / open source wereld met die patches omgaat doet daar niks aan af. Net zoals ik volledige aandacht besteed aan een windows systeem om alle facetten daarvan te beveiligen doe ik hetzelfde met *nix systemen. Zonder die aandacht en kennis van beveiliging is ieder systeem wat aan het Internet gehangen wordt zo lek als een mandje, misschien niet direct vandaag met de laatste installatie / patches maar binnen 1 a 2 maanden is er voor nagenoeg ieder systeem wel een patch te vinden.
100% veilig bestaat niet maar met de juiste aandacht en kennis en controle, controle en nog meer controle is ieder systeem zo veilig mogelijk te krijgen. Het probleem is vaak niet het OS maar onkunde danwel schijnveiligheid.
Just my 2 cents.
Sander.
Net zoals ik volledige aandacht besteed aan een windows systeem om alle facetten daarvan te beveiligen doe ik hetzelfde met *nix systemen.
Het spreekt voor zich dat je aandacht aan security besteed, al draai je een webserver op een Commodore 64 (r).
Maar ik wordt niet graag *gedwongen* updates, upgrades en nieuwe producten te implementeren omdat de *licentie voorwaarden* dat voorschrijven.
Afgezien nog van het grenzeloze vertrouwen dat ik ondertussen heb in MS's hotfixes en servicepacks. NOT.
Ik wil graag de source erbij kunnen pakken, en begrijpen wat er gebeurt.
Bij windows moet je helderziend zijn ;)
(En dan moet je alsnog betalen)
02-09-2003, 16:17 door
Poele
De standaard reactie 'ga over op *nix, Open*, *nux, etc.' wordt inderdaad vaak geopperd als oplossing voor alle problemen.
Dat kan technisch wel waar zijn, maar er zijn meer overwegingen om dit wel of niet te doen, en die liggen niet altijd op technisch vlak. Dus de standaard reactie is niet altijd een zinvolle reactie voor iemand die om een beveiligingsoplossing vraagt.
Meer nuance lijkt mij op zijn plaats.
Dat kan technisch wel waar zijn, maar er zijn meer overwegingen om dit wel of niet te doen, en die liggen niet altijd op technisch vlak. Dus de standaard reactie is niet altijd een zinvolle reactie voor iemand die om een beveiligingsoplossing vraagt.
Meer nuance lijkt mij op zijn plaats.
Originally posted by Poele
Dat kan technisch wel waar zijn, maar er zijn meer overwegingen om dit wel of niet te doen, en die liggen niet altijd op technisch vlak.
Om voor Microsoft te (blijven) kiezen ligt de oorzaak tussen de oren dus, waarvoor geen technisch draagvlak is, kan genuanceerd daaruit worden herleid.Dat kan technisch wel waar zijn, maar er zijn meer overwegingen om dit wel of niet te doen, en die liggen niet altijd op technisch vlak.
I.p.v. hier nou weer een nix vs windows discussie op te zetten kunnen jullie beter gewoon antwoord geven op zijn vraag.
Ik weet niet wat nu je infrastructuur is, maar ik neem aan iets als
internet - ISP modem/router - switch - netwerk
als je tussen je modem/router een Cisco PIX firewall zet (kost tussen de 600 en 800 euro ofzo) dan ben je al een heel eind.
Ik weet niet wat nu je infrastructuur is, maar ik neem aan iets als
internet - ISP modem/router - switch - netwerk
als je tussen je modem/router een Cisco PIX firewall zet (kost tussen de 600 en 800 euro ofzo) dan ben je al een heel eind.
Originally posted by Poele
De standaard reactie 'ga over op *nix, Open*, *nux, etc.' wordt inderdaad vaak geopperd als oplossing voor alle problemen.
De standaard reactie 'ga over op *nix, Open*, *nux, etc.' wordt inderdaad vaak geopperd als oplossing voor alle problemen.
Dit soort reacties zie je steeds vaker :) Het is jammer dat je blijkbaar *nix niet mag noemen, want dan ben je meteen een tegenstander van al het andere?
De oorspronkelijke vraag was of er een alternatief is voor een dure soft- / hardware firewall oplossing.
Ja die is er, zie een paar posts terug! Volg de links en oordeel dan.
Het betreft gratis en (bijna) out-of-the-box firewall oplossingen. Je krijgt goede kwaliteit, eenvoudige bediening, voor een leuke prijs.
btw. Persoonlijk ben ik benieuwd naar betere alternatieven. Hoe is bijv. eSmith?
mzzl,
J
Ik zou zelf kiezen voor een Cisco Pix firewall (hardware dus).
Omdat dit minder zorgen met zich mee brengt, betrefende onderhoud op een software oplossing.
bedoel niet alleen software onderhoud maar ook hardware onderhoud (pc waarvan b.v. hd crashed).
Software oplossingen hebben gewoon een extra point of failure.
Mocht je hier meer over willen weten stuur mij dan maar even een email dan kan ik je er wat meer over vertellen.
Niels.
Omdat dit minder zorgen met zich mee brengt, betrefende onderhoud op een software oplossing.
bedoel niet alleen software onderhoud maar ook hardware onderhoud (pc waarvan b.v. hd crashed).
Software oplossingen hebben gewoon een extra point of failure.
Mocht je hier meer over willen weten stuur mij dan maar even een email dan kan ik je er wat meer over vertellen.
Niels.
1. Blijf patchen. Het meeste exploits e.d. gaan via bugs. Neem een abo op een security mailing list van microsoft.
2. Op technet van microsoft kan je een aantal securitytools vinden voor IIS en Exchange. Tevens een aantal security tutorials.
3. Plaats een firewall en/of een filtering bridge. Deze komt tussen je inet verbinding en je server. Je kan kiezen voor bv. Cisco of Zyxel. Maar je kan ook voor Linux of Unix kiezen als je nog een servertje of PC over hebt.
Let wel dat je een Cisco sneller draaiend hebt dan bv een Linux bak. Bij een Linux bak moet je eerst het OS installeren, daarna patchen, firewall configureren, onnodige services verwijderen / uitschakelen. Voor beide systemen kan je professionals vinden. Aan jou de keuze wat het meest prettigst voor je is.
4. Laat alleen de services die je nodigt hebt voor je klanten naar inet toe. Als je klanten ,of wie dan ook, alleen www en pop mail nodig hebben, zet dan alleen die services via je firewall naar internet open. Een service die niet bereikbaar is is ook niet rechtstreeks te hacken.
5. Verdeel je services over meerdere servers. Je zou bijv. een aparte webserver , mailserver en sqlserver kunnen plaatsen. Hiermee verdeel je de last een beetje als je strak meer website's krijgt. En als bijv. je mail server plat gaat, draait de webserver verder.
Dit zou bijv. een goed plaatje kunnen zijn:
inet - router isp - firewall - "servers"
2. Op technet van microsoft kan je een aantal securitytools vinden voor IIS en Exchange. Tevens een aantal security tutorials.
3. Plaats een firewall en/of een filtering bridge. Deze komt tussen je inet verbinding en je server. Je kan kiezen voor bv. Cisco of Zyxel. Maar je kan ook voor Linux of Unix kiezen als je nog een servertje of PC over hebt.
Let wel dat je een Cisco sneller draaiend hebt dan bv een Linux bak. Bij een Linux bak moet je eerst het OS installeren, daarna patchen, firewall configureren, onnodige services verwijderen / uitschakelen. Voor beide systemen kan je professionals vinden. Aan jou de keuze wat het meest prettigst voor je is.
4. Laat alleen de services die je nodigt hebt voor je klanten naar inet toe. Als je klanten ,of wie dan ook, alleen www en pop mail nodig hebben, zet dan alleen die services via je firewall naar internet open. Een service die niet bereikbaar is is ook niet rechtstreeks te hacken.
5. Verdeel je services over meerdere servers. Je zou bijv. een aparte webserver , mailserver en sqlserver kunnen plaatsen. Hiermee verdeel je de last een beetje als je strak meer website's krijgt. En als bijv. je mail server plat gaat, draait de webserver verder.
Dit zou bijv. een goed plaatje kunnen zijn:
inet - router isp - firewall - "servers"
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
