Add to collection(s) Add to saved
  1. Engineering
  2. Elektrotechniek
  3. Microelectronics

1.4.1 Virtuele servers

advertisement 
Audit
KAPELLEROND 14/12 - 1651 LOT
CHAUSSÉE DE LA HULPE / TERHULPSESTEENWEG 166 - 1170 BRUXELLES / BRUSSEL
+32 (0) 476 95 18 66
WWW.KEYTECH.BE
Inleiding
Het is van noodzakelijk belang dat men minimum één maal per jaar een security audit gaat uitvoeren.
Idealiter zou zijn om een audit om de 4 maanden te doen.
De reden dat men deze audit dient uit te voeren is dat er binnen een bedrijf steeds veranderingen
gebeuren. Men gaat verschillende configuraties aanpassen, werknemers komen en gaan, nieuwe
klanten komen. Deze aanpassingen zijn voldoende om potentiële risico’s voor het systeem binnen te
halen.
Fases
Fase 1: Kader vastleggen
Om te kunnen starten met de audit moet men eerst enkele basiszaken weten zodat men voldoende
overzicht heeft over de organisatie.
-
Beschrijving van de organisatie
Locaties
Fysische vormgeving van de infrastructuur
Security policy
Firewall/netwerk configuratie regels
Wat is security Policy?
-
Waarom is bepaalde informatie belangrijk?
Business requirements op vlak van security?
Wat doet men om informatie veilig te bewaren?
Wat is de huidige structuur van mensen die verantwoordelijk zijn voor de gegevens?
Fase 2: Kennismaking met infrastructuur
Binnen een bedrijf dient ment verschillende risico’s rekening te houden waaronder Human threat
Analysis en Vulnerability Analysis.
Human threat Analysis
Onder Human Threat Analysis verstaat men de problemen die (onverwacht) veroorzaakt worden door
mensen.
Bijvoorbeeld: het verzamelen van beschermde gegevens door mensen die hier geen toegang tot
hebben, het vernietigen van data opslag systemen …
Belangrijk is om een lijst op te stellen met volgende puntjes:
-
Veelvoorkomende problemen
Hoofdpersonages interviewen in het bedrijf
Voorgaande problemen onderzoeken
2
Vulnerability Analysis
Vulnarability Analysis is een zwakte in het design van het systeem die men kan gebruiken om
gemakkelijk binnen te dringen in het systeem.
-
Voorgaande problemen
Voldoende regels omtrent passwoorden?
Fase 3: Review & Diagnosis
Hier gaan we de verkregen resultaten analyseren en beoordelen. Dit heeft betrekking op security
problemen, nieuwe security maatregelen, … . Het is eveneens belangrijk om kosten af te wegen t.o.v.
de voor- en nadelen.
Fase 4: Implementatie
Natuurlijke bedreigingen
-
Disaster Recovery Plan
Back-up Plan
Menselijke Bedreigingen
-
Passwoord security
Internet en mobiele toegang beveiliging
Mail beveiliging
3
Uitvoering
Fase 1. Kader vastleggen
1.1 Beschrijving van de organisatie
KeyTech is reeds verschillende jaren actief in verschillende branches binnen IT:
IT consultancy, web development, hosting en web design. Deze KMO heeft diverse klanten (KMO’s,
multinationals) die aanwezig zijn in verschillende domeinen.
1.2 Locaties
Een deel van de servers zijn gehost bij Bart Clabots thuis. Daar staan 2 servers die men via een switch
heeft verbonden met zowel een NAS ( Virtuele machines ) als de firewall die langs zijn WAN kant aan
een router hangt om op het internet te kunnen.
Alsook zijn er 2 kleine NAS’sen aanwezig. Eén met 2 TB die een klant gebruikt en een 2de waar backups van de klanten worden opgeslagen. Een van de servers heeft ook nog een cd aan de server
gekoppeld om back-ups van te maken.
Tot slot is er aan de switch ook nog een fysieke desktop aan toegevoegd, met IP 10.10.0.53. De
opdrachtgever heeft de bedoeling om op termijn het virtuele netwerk en het fysische netwerk op een
zelfde netwerk te plaatsen.
1.3 Fysische vormgeving van de infrastructuur
USB harde
schijf Backups
virtuele
servers
10.10.0.2
10.10.0.3
Switch
NAS Backup Klanten
NAS Virtuele Machines
Nas Klant 2TB
Router
WAN
Firewall
4
1.4 Informatie Servers
1.4.1 Virtuele servers
Kerio
CMS
Websites
Sharepoint
85.255.204.114
85.255.204.115
85.255.204.117
85.255.204.120
1.4.2 Fysische servers
IP
Manufacturer
Model
CPU
Processor
Virtual machines
CPU Usage
Memory Usage
Datastores
RAM
10.10.0.2
Fujitsu
Primergy RX300 S5
8 CPUs x 2.933 GHz
Intel Xeon CPU x5570 @ 2.93GHz
22
1538MHz
41135 MB
Datastore_iscsi, Datastore1, Datastore2
73718,84 MB
IP
Manufacturer
Model
CPU
Processor
Virtual machines
CPU Usage
Memory Usage
Datastores
RAM
10.10.0.3
Dell Inc
PowerEdge R300
4 CPUs x 2.333 GHz
Intel Xeon CPU L5410 @ 2.33GHz
4
487 MHz
6821 MB
Datastore_iscsi, Datastore1(1)
8183,61 MB
1.4.3 Wat doet men om informatie veilig te bewaren?
1.4.3.1 Data klanten
Op dit moment worden de meeste data van klanten zoals facturen en mogelijke scripting
opgeslagen op een centraal platform. Dit platform is bij de opdrachtgever: KeyOffice.
1.4.3.2 Servers Klanten
Van elke virtuele server van een klant wordt om de x aantal dagen een back-up gemaakt.
Deze back-ups worden op een NAS geplaatst die aan de servers gekoppeld zijn.
1.4.4 Wat is de huidige structuur van mensen die verantwoordelijk zijn voor de gegevens?
Er zijn twee personen die zich bezighouden met het onderhouden van de gegevens. Dit zijn Erik
Steenhouwer en Bart Clabots.
5
1.5 Security/policy
1.5.1
Waarom is bepaalde informatie belangrijk?
De klanten van de opdrachtgever verwachten dat de opdrachtgever klanteninformatie vertrouwelijk
bewaren. Deze gegevens zijn vooral persoonlijke bedrijfsgegevens zoals facturaties en dergelijke. Deze
gegevens worden op een centraal platform bijgehouden.
1.5.2
Business requirements op gebied van security
Om alle informatie vertrouwelijk te kunnen houden dient men rekening te houden met enkele
processen. Ook met potentiële inbrekers in het systeem dient men rekening te houden. Alsook
mogelijk schade aan de hardware.
1.5.2.1 Fysische security
Bij de opdrachtgever gaat het zowel om fysische hardware als virtuele hardware. Men dient
dit dus op te splitsen. De fysische beveiliging van de virtuele servers kan men niet zelf regelen,
gezien Telenet dit allemaal regelt. De beveiliging van de fysische hardware dient men wel
nauwlettend in het oog te houden. Het is belangrijk om bepaalde beveiligingsmaatregelen te
treffen. Enkele voorbeelden hiervan zijn:



Het plaatsen van camera
Het plaatsen van alarmsystemen
Enkele geautoriseerde personen toelaten tot de server room
1.5.2.2 Data Security
Het is belangrijk om alle data voldoende te beveiligen. Men kan deze het beste beveiligen door
enkel geautoriseerde personen toegang te geven tot vertrouwenswaardige gegevens. Voor
confidentiële gegevens hebben enkel het bestuur de gegevens nodig om te kunnen inloggen.
Alsook dient men er rekening mee te houden om spam, malware, spyware, network attacks
tegen te houden. Dit kan men bereiken door firewalls, security software en virus software te
installeren. Tot slot kan men ook zoveel mogelijk data encrypteren bij gegevensoverdracht.
1.5.2.3 Equipment security
Alle uitrustingen dienen ook beveiligd te worden. Het is van groot belang dat men sloten
plaatst op de uitrustingen zodat deze moeilijk gestolen kunnen worden.
1.5.2.4 Document security
Om de veiligheid van vertrouwelijke documenten te bewaren is het belangrijk om deze ook
voldoende te beveiligen. Ook het bewaren en niet verloren gaan van deze documenten zijn
van groot belang. Men dient deze documenten eerst en vooral te bewaren op een plaats waar
enkel geautoriseerde mensen toegang hebben. Men dient ook overal een back-up van te
maken die men beveiligd met passwoord encryptie. Om optimale zekerheid te hebben is het
6
van groot belang dat deze documenten enkel geraadpleegd worden in de voorziene ruimte
ervan.
1.6 Firewall/netwerk configuratie regels
1.6.1 Service Groups
Als firewall gebruikt men een Snapgear 580 network setup.
Als eerste zullen we de service groups onder de loep nemen. Men gebruikt deze om een naam te geven
aan een selectie van specifieke poorten of protocollen. Deze naam kan men gebruiken in de packet
filter regels. De service group kan ook gebruikt worden om gelijkaardige diensten te groeperen.
Zie bijlage Service Groups.
1.6.2 Adres definities
Alle
mogelijk
apparaten
met
elk
hun
bijhorende
address
definition.
Bij het overlopen van de regels en het vergelijken ervan met alle mogelijk virtuele devices merken we
op dat er enkele toestellen ontbreken. De volgende apparaten ontbreken in het address definition
plan:
DC
Dev_SQL
eCommerce
KeyBackup
Key-Ubuntu
SaCD
SP
SWSOURCES
vcenter
Zie bijlage Address definitions
1.6.3 Packet Filter Rules
Packet filter rules kunnen pakketten accepteren, afwijzen of negeren op basis van adressen, services
en interfaces. De eerste overeenkomende regel zal de actie voor het netwerk vastleggen. Men dient
dus rekening te houden met de orde van de regels.
Zie bijlage Packet Filter Rules
1.6.4 Anti-virus configuration
In de snapgear module kan men een Anti-Virus terugvinden, deze staat in dit geval op disabled maar
heeft wel een database mirror: Database.clamav.net. Elke dag zou dit programma op updates moeten
checken.
7
Bovendien heeft men nog andere functies die men kan instellen zoals:
Storage
POP Email
8
SMTP Email
Web
FTP
9
1.7 Probleemstellingen
Benaming Van Datastores: Na onderzoek is gebleken dat men verschillende datastores aangemaakt
heeft. Hier is het volgende probleem opgemerkt: Datastore 1 is twee maal terug te vinden, ook als
Datastore 1(1).
Gevaar van Back up situatie: De back-ups van de servers worden op dezelfde locatie genomen.
Wanneer de serverruimte brand zou vatten, worden alle back-ups en servers mee vernietigd. Daarom
is het belangrijk dat men de back-ups op een externe locatie dient te nemen. Ook wanneer men te
maken heeft met inbrekers dient men rekening te houden dat men alle back-ups kan/zal verliezen.
Preventie Back-ups: In de serverruimte is het dus van belang dat men een alarmsysteem en/of
camerasysteem installeert.
Address Definitions: Bij het controleren van de adresdefinities kan je concluderen dat niet alle virtuele
toestellen zijn opgenomen in het plan.
10
Fase 2: Kennismaking met infrastructuur
We dienen elke business processen apart te bekijken om veiligheidsmaatregelen te nemen.
2.1 Human threat Analysis
2.1.1
Veelvoorkomende problemen
Actueel zijn er geen problemen die veroorzaakt worden door de impact van menselijk niveau.
2.1.2
Hoofdpersonages interviewen in het bedrijf
Zijn er reeds probleem geweest van een persoon die van de gegevens misbruik gemaakt heeft?
Neen, Toen de opdrachtgever begonnen was met het bedrijf, hadden alle medewerkers toegang tot
het wachtwoord van admin accounts. Hier zijn ze nu van afgestapt, de reden hiervan was als iemand
het bedrijf verliet moest men steeds die admin account gaan aanpassen. Elke user heeft eigen account
en daar zijn rechten aan toegekend.
Hebt u confidentiële contracten opgesteld?
Bij het onderteken van het contract staat er in de clausule dat alle contracten confidentieel
gehouden moeten worden. Dit heeft als voordeel dat het bedrijf steeds recht in zijn schoenen staat
wanneer er problemen zijn met een werknemer die deze regels niet naleeft.
2.1.3
Voorgaande problemen onderzoeken
Aangezien het bedrijf nog geen voorgaande problemen op dit vlak ondervonden heeft, is deze stap
niet van toepassing.
2.1.4
Mogelijke Problemen
2.1.4.1 Keyoffice
Keyoffice is een centraal platform voor alle medewerkers van het bedrijf. Men kan hier terecht
voor alle contactgegevens van de bedrijven. Alsook vind men per bedrijf de verschillende
facturen terug. Verder kan men de kalenders raadplegen van alle collega’s. Maar vooral de
interne documenten zijn van groot belangrijk. Indien deze gelekt worden kan de concurrentie
hier grote schade mee aanrichten.
2.1.4.2 Users in Keyoffice
Amatulli Domenico
Clabots Bart
Deleu Peter
Ghiot Cédric
Haeldermans Aksel
Le bastard Guy
Mundorff Kris
Nuyten Johann
Steenhouwer Erik
Vracas Ryo Elefterios
Deze zijn allemaal gekend op de website van Keytech.be. Wanneer men alle users gaat
bekijken blijkt dat Lallemand Christian nog steeds toegang heeft tot het platform van Keyoffice.
Deze kan een bedreiging vormen indien deze niet meer te werk is gesteld bij Keytech.
11
2.2 Vulnerability Analysis
2.2.1
Voorgaande problemen
Buiten problemen met het back-up systeem zijn er geen grote problemen geweest binnen het
bedrijf. Hieronder enige uitleg bij de back-ups van KeyTech.
Analyse back-up KeyTech
KeyTech heeft momenteel geen uitgebreid back-upplan. Toch tracht men gegevens veilig te stellen.
Een virtuele server, genaamd KeyBackup, met IP 10.10.0.43 staat hiervoor in en draait fysiek op server
10.10.0.2. KeyTech maakt gebruik van Symantec Backup Exec 2010. Dit programma beheert alle backups die genomen zijn, of nog uit te voeren zijn. Hiermee kan men gemakkelijk een overzicht vinden
van welke servers er geback-upt moeten worden. Men kan ook aan job monitoring doen; het bekijken
van warnings of errors is eveneens mogelijk.
Het valt op dat er een verouderde versie wordt gebruikt van Symantec Backup Exec. De meest recente
versie die beschikbaar is komt uit 2012.
Dit is de huidige job setup. Kortom, de volgende servers zou men moeten back-uppen:








HR-Sys
KeyIIS
Key-PHP
Keytech_Kerio
Keytech_Sharepoint
Keytech01
Keytech33
SOB
Als back-up wordt er een snapshot genomen van de server. Dit betekent dat de gehele (virtuele) server
wordt gekopieerd in de staat waarin het zich op dat moment bevindt. Zo’n back-up omvat alle data,
programma’s en het besturingssysteem.
Afb. 1: Een overzicht van de failure-alerts (uit het back-upprogramma).
Het valt momenteel op dat er veel warnings en errors in het programma staan (zie afb. 1).
De oorzaak hiervan is dat de huidige configuratie enerzijds niet optimaal is ingesteld en anderzijds
verouderd is. Inactieve virtuele servers, nu gehost bij Telenet, probeert Symantec Backup Exec 2010
tevergeefs te back-uppen. Andere servers staan dan weer niet ingesteld om geback-upt te worden.
12
Het resultaat is dat een deel van de back-ups momenteel slecht of niet doorgaan, met als gevolg een
belangrijk risico op dataverlies.
Afb. 2: Een overzicht van alerts over het tekort aan opslagruimte (uit het back-upprogramma).
Er treedt ook nog een ander probleem op: er is een tekort aan opslag (zie afb. 2). Hoewel niet alles
wordt geback-upt, gaat er dus weldegelijk back-updata naar een opslagschijf.
2.2.2
Regels omtrent passwoorden
Binnen het bedrijf heeft iedere user een eigen wachtwoord. Het admin account is maar door enkele
personen bekend. Voor meer regels omtrent het kiezen en configureren van passwoorden verwijzen
wij naar het document Security, punt 1 Passwoorden.
Fase 3: Review & Diagnosis
Deze stap is een samenvatting van bovenstaande gegevens. Elke stap werd controleert en men kan
per stap de review terugvinden.
Fase 4: Implementatie
Deze stap zal aan de hand van de documentatie uitgevoerd worden tijdens de stage, in het tweede
semester.
13
Related documents
Met een gezond netwerk, een goed werkende organisatie!
Met een gezond netwerk, een goed werkende organisatie!
SENIOR FIREWALL- CONSULTANT
SENIOR FIREWALL- CONSULTANT
25% 18%
25% 18%
Bewustzijn cybercrime moet omhoog
Bewustzijn cybercrime moet omhoog
De techniek achter uw web site
De techniek achter uw web site
Virtuele patiënt helpt de huisarts
Virtuele patiënt helpt de huisarts
IC TS ecurity - Brinkman Uitgeverij
IC TS ecurity - Brinkman Uitgeverij
Server KP22 - Keyprocessor
Server KP22 - Keyprocessor
2015 1022 folder digitaal -lve -deelnemers print
2015 1022 folder digitaal -lve -deelnemers print
Geen diatitel
Geen diatitel
Voor een reële DRP-toestand verbindt de opdrachtnemer er zich toe
Voor een reële DRP-toestand verbindt de opdrachtnemer er zich toe
Information Ethics
Information Ethics
SBIR cyber security Projecttitel CyberDEW, een distributed early
SBIR cyber security Projecttitel CyberDEW, een distributed early
Project Initiation Documentation
Project Initiation Documentation
Download
advertisement