Lokálny systémový audit - Nethemba

Sieťová a systémová bezpečnosť

Lokálny systémový audit

01
Vhodné pre:
  • všetky servery, kde je veľa lokálnych používateľov
  • všade, kde je dôležitá lokálna bezpečnosť (napríklad ak relatívne nedôveryhodní ľudia majú lokálny prístup na dôveryhodné servery)
Rozsah výslednej správy:
5-50 strán
Rozsah testovania:
3-4 dní

Cieľom lokálneho systémového bezpečnostného auditu je kontrola lokálnej systémovej bezpečnosti daného OS v rozsahu:

  • Overenie existencie nepoužívaných služieb a balíčkov – nepoužívané služby a balíčky zvyšuje totiž množstvo všetkých ciest, ako je možné daný systém kompromitovať
  • Analýza zvláštneho chovania systému – kontrola “zvláštnych” procesov a sieťových spojení (“promiscous flag”), “zadných vrátok”, modifikovaných binárnych súborov, podozrivých záznamov v logoch, detekcia kernel rootkitov
  • Kontrola systémových suid/sgid aplikácií a ich prípadná eliminácia – suid/sgid aplikácie vlastnené “rootom” sú z hľadiska bezpečnosti kritické – ich zneužitie môže viesť ku kompromitácii celého systému
  • Overenie aktuálnosti použitých bezpečnostných záplat všetkých balíkov  a jadra – neudržovaný systém balíkov a staré jadro môže obsahovať veľké množstvo zraniteľností, ktoré dokáže potenciálny útočník zneužiť
  • Návrh vhodného AC prístupu riadenia – Unixový DAC (Discretionary Access Control) je v mnohých prípadoch nedostačujúci. Na Linuxe, BSD ako aj Solarise existujú robustnejšie prístupy riadenia založené na DTE a RBAC modeli (SELinux, SEBSD,Trusted Solaris). Overíme doterajší prístup riadenia a navrhneme bezpečnejší.
  • Overenie používateľov – overenie existujúcich používateľov, ich oprávnení, rolí, nastavení (napr. platnosť účtu), separácie do špeciálnych skupín, analýza použitých hashov hesiel a návrh bezpečnejších (blowfish), overenie možností vzdialeného root prihlásenia, používateľských cron taskov.
  • Zhodnotenie konfigurácie použitých služieb – chybná konfigurácia služby môže viesť ku kompromitovaniu celého systému. Analýza, či všetky TCP/UDP služby na prenos citlivých údajov (loginy, heslá, ..) používajú bezpečné šifrovanie a autentizáciu (SSL), kontrola, či všetky kritické služby bežia pod neprivilegovaným používateľom v “chroote”. V prípade, že daná implementácia služby je z hľadiska bezpečnosti nevhodná (napríklad obsahovala v minulosti veľa bezpečnostných zraniteľností), navrhneme jej bezpečnejšiu alternatívu
  • Kontrola bezpečného úložiska – overenie, či aplikácie používajú bezpečné úložisko (šifrovaný súborový systém), len povolené aplikácie pristupujú k zvoleným dátam, “boot manager” je zabezpečený heslom a sú nastavené bezpečné oprávnenie k súborom
  • Kontrola “host-based” firewallu – overenie, či je zapnutý a správne nakonfigurovaný “host-based” firewall, ktorý zvyšuje lokálnu bezpečnosť a komplikuje masové šírenie “wormov”.

Vlastnosti:

  • podporované sú všetky rozšírené operačné systémy
  • testovanie je v súlade s OSSTMM metodológiou, dôraz na fázy “Vulnerability Research and Verification (OSSTMM Section C/4)” a “Privacy Review (OSSTMM Section C/5)”
  • výsledkom je technická správa s manažérskym zhrnutím, všetkými odhalenými zraniteľnosťami a vhodnými odporučeniami