Host Security Configuration Assessment

Protection des serveurs critiques

Etapes suivantes :

Overview

Le service Foundstone Host Security Configuration Assessment permet de réaliser une évaluation de la configuration de sécurité des hôtes, plus précisément en analysant le niveau de sécurité des serveurs critiques de votre entreprise, véritable épine dorsale de votre infrastructure technologique. Nos consultants analysent les problèmes de sécurité au niveau des applications et des systèmes d'exploitation des environnements d'exploitation de votre entreprise. Ils vérifient les contrôles administratifs et techniques, identifient les failles réelles et potentielles et recommandent des contre-mesures spécifiques.

Les évaluations de la configuration de sécurité des hôtes revêtent une importance primordiale car elles permettent d'identifier des vulnérabilités qui ne peuvent être détectées à l'aide des évaluations du réseau. Ces analyses constituent le moyen le plus efficace d'évaluer de façon approfondie la sécurité des ressources critiques d'une entreprise.

Foundstone réalise des études Host Security Configuration Assessment pour les environnements Microsoft Windows et UNIX, et notamment des applications importantes telles que IIS, SQL Server et Apache. Nos consultants effectuent également des évaluations de la configuration des routeurs. Foundstone a réalisé des centaines d'études Host Security Configuration Assessment pour des systèmes hôtes appartenant à des environnements de production tels que les serveurs web de commerce électronique, les bases de données financières et les bastions Internet. Nous avons compilé un ensemble très complet de points d'audit en nous inspirant de l'expérience et des connaissances accumulées lors des tests d'intrusion ainsi que des normes sectorielles telles que les références CIS.

Notre base de connaissances étant constamment mise à jour avec les technologies émergentes, notre étude Host Security Configuration Assessment vérifie la présence des méthodes de configuration et des correctifs de sécurité les plus récents pour les applications et serveurs de dernière génération. Des consultants expérimentés identifient avec précision les sources de problèmes à haut risque et déterminent comment les résoudre au niveau des stratégies. Enfin, nos techniques ont recours à des scripts personnalisés qui peuvent être exécutés par vos administrateurs en vue de collecter les données à des fins d'évaluation.

Principaux avantages

  • Evaluation de la sécurité des serveurs critiques
  • Analyse de la sécurité au niveau des applications et des systèmes d'exploitation des environnements d'exploitation
  • Vérification des contrôles administratifs et techniques, identification des failles existantes et potentielles et recommandations proposant des contre-mesures spécifiques
  • Comparaisons des images standard par rapport aux références du secteur

Methodology

La méthodologie de Foundstone se fonde sur les directives avancées par des organismes publics et sur l'expérience de nos consultants. Foundstone a mis au point des outils pour automatiser la collecte des données. Nous utilisons ces scripts afin d'identifier plus facilement les configurations erronées présentant un risque élevé ou les omissions dans les builds des serveurs de votre entreprise. Mettant à profit notre expérience, nous testons le risque global de l'hôte au lieu de vérifier simplement une série de points recommandés par un fournisseur spécifique. Nous sommes ainsi en mesure d'identifier les contrôles qu'il est essentiel d'améliorer afin de limiter le risque couru par l'hôte.

Nous vérifions de façon exhaustive l'adéquation des contrôles de sécurité appliqués aux fonctionnalités répertoriées pour les différents systèmes d'exploitation et périphériques, et notamment :

  • Microsoft Windows 2000 et ultérieur
  • UNIX (y compris Solaris, HP-UX, Linux, Tru64 et AIX) ainsi que Novell
  • Applications spécifiques telles que IIS, SQL Server et Apache
  • Hôtes de commutation et routage

Hôtes Microsoft Windows et UNIX
Nous créons une mesure du risque comparable entre différents systèmes d'exploitation et applications. Chaque hôte est évalué en fonction des pratiques de sécurité établies grâce à notre méthodologie :

  • Gestion des comptes et sécurité
    • Mécanismes de stockage des mots de passe pour fournir les restrictions adéquates
    • Contrôles de gestion et de génération des mots de passe
    • Autorisations appropriées affectées aux comptes d'utilisateur
    • Comptes uniques pour tous les utilisateurs
    • Identification des stratégies des comptes de serveur ou de domaine pour les règles de mots de passe, les restrictions des périodes de connexion, la détection et le blocage des intrus
    • Tests de la stratégie de mots de passe à l'aide de craqueurs de mots de passe tels que LOphtcrack ou John the Ripper
  • Gestion des fichiers et sécurité
    • Autorisations appropriées pour les fichiers utilisateur, système, de données et d'application
    • Limitation des données exposées sur les partages
    • Accès aux partages limité aux utilisateurs et groupes appropriés
    • Surveillance de l'intégrité des fichiers (Tripwire, MD5 Checksum et autres)
    • Logiciels antivirus installés, à jour et opérationnels
  • Niveau de patch
    • Existence d'un environnement et d'une procédure de test des patchs avant leur déploiement sur les systèmes de production
    • Contrôle de l'application des patchs de sécurité au système d'exploitation
    • Contrôle de l'application des patchs de sécurité aux applications
  • Sécurisation des réseaux
    • Activation des protocoles limitée aux protocoles indispensables
    • Exécution des services limitée aux services liés aux activités de l'entreprise
    • Sécurisation adéquate des services courants (FTP, HTTP, NFS, services RPC, X Windows)
    • Activation du pare-feu de l'hôte ou d'un autre mécanisme de contrôle d'accès au réseau lorsque c'est nécessaire
    • Sécurisation des modems conforme à la stratégie établie
  • Journalisation et audit
    • Renforcement de l'audit des systèmes d'exploitation par défaut
    • Configuration de la journalisation pour les applications et sauvegarde des fichiers journaux
    • Analyse périodique des journaux pour identifier des activités malveillantes
    • Synchronisation de l'heure des systèmes avec un serveur central
  • Gestion générale de la sécurité
    • Vérification de la mise en œuvre du principe de droit d'accès minimal pour les applications
    • Vérification de l'existence d'une implémentation ou d'autorisations non sécurisées pour des fichiers exécutables et scripts de démarrage susceptibles de créer une vulnérabilité de type backdoor (porte dérobée)
    • Identification du niveau et du type de relations d'approbation entre les domaines
    • Identification du niveau et du type de relations d'approbation entre les systèmes individuels
  • Détection des intrusions précédentes
    • Recherche des menaces tels que les chevaux de Troie et backdoors
    • Contrôle des autorisations de fichier suspectes
    • Contrôle des comptes d'utilisateur suspects, par exemple un compte non audité, dépourvu d'un mot de passe ou doté de droits trop élevés
  • Contrôles externes (dans les cas applicables)
    • Sécurité physique
    • Stratégie de sauvegarde
    • Alimentation de secours
    • Extinctions d'incendie
    • Environnement (climatisation, humidité)

Evaluation des applications installées sur l'hôte — Serveurs web et de base de données
Foundstone évalue également l'installation et la configuration des principales applications, notamment Microsoft IIS et SQL Server. Ces applications présentent souvent un risque élevé pour le réseau en raison du nombre de vulnérabilités précédemment identifiées et de leur connectivité Internet. Ces évaluations incluent, outre les contrôles précités, une analyse des éléments suivants :

  • Configuration sécurisée
  • Séparation des privilèges
  • Pratiques recommandées
  • Journalisation et audit

Evaluation des hôtes de commutation et de routage
Ces évaluations sont d'abord effectuées selon la méthodologie décrite ci-dessus pour analyser la configuration de l'hôte sous-jacent. D'autres contrôles sont ensuite réalisés pour évaluer la fonction spécifique du routeur et du commutateur. La méthodologie se concentre sur des concepts de haut niveau en effectuant un suivi des points précis suivants :

  • Listes de contrôle d'accès (ACL) qui limitent le flux de paquets
  • Configurations destinées à bloquer ou à minimiser les attaques d'usurpation d'identité
  • Règles de filtrage qui limitent le trafic destiné au routeur ou au pare-feu
  • Contrôle des méthodes d'authentification pour l'accès local et distant et vérification de l'adéquation de ces contrôles
  • Vérification de l'activation de la sécurité par port afin d'éliminer la mise en miroir non autorisée, dans les cas applicables (routeurs Cisco)
  • Examen des mécanismes d'authentification pour les mises à jour des tables de routage
  • Examen des itinéraires, plus particulièrement des itinéraires statiques, pour des raisons de sécurité
  • Examen de l'adéquation et de la sécurité des configurations de journalisation
  • Vérification de l'installation des mises à jour logicielles récentes
  • Analyse des hôtes pour identifier les services inutiles et vérification de la configuration des services pour déterminer s'ils disposent de contrôles de sécurité appropriés

La méthodologie de Foundstone permet non seulement d'identifier les éléments problématiques à corriger pour diminuer le niveau de risque d'un hôte, mais elle fournit aussi des recommandations afin d'établir une base de référence pour le déploiement des serveurs. Ces recommandations destinées à limiter les risques protègent le système contre les vulnérabilités connues et éliminent souvent l'exposition aux exploits de type jour zéro, ce qui permet de limiter l'ampleur d'une violation de sécurité.