wat doet t.net aan beveiliging ?

Ik denk dat T.net niet heel graag al haar beveiligingsmaatregelen op straat gooit. Je moet het de hackers niet te makkelijk maken he. Security by obscurity...

Passwoord van de root server van T.net = Hk0N2iN

Probeer maar Kun je alle files hacken en cracken wat je maar wilt!

Maar wat is je doel van dit topic dan eik precies?

[ Voor 19% gewijzigd door Nik op 03-02-2005 21:19 ]

proller schreef op donderdag 03 februari 2005 @ 21:19:

Maar wat is je doel van dit topic dan eik precies?

Ik denk dat de TS wil leren van beveiliging van grotere en belangrijke servers, om later zelf toe te kunnen passen. Ik weet alleen niet of t.net dat wel zo graag wil delen Als je weet hoe ze beveiligd zijn, weet je ook of er mogelijke exploits te vinden zijn. Dus ik denk dat dit topic niet heel goed gaat lukken, maar je weet het natuurlijk nooit

Verwijderd schreef op donderdag 03 februari 2005 @ 21:17:
Ik denk dat T.net niet heel graag al haar beveiligingsmaatregelen op straat gooit. Je moet het de hackers niet te makkelijk maken he. Security by obscurity...

Security by obscurity is no security

Ik denk dat de beveiliging van de Tweakers.net vooral gebaseerd is op het draaien van een (iptables) firewall en het up-to-date houden van de software. Kernel updates alleen doen als er noodzakelijke updates in zitten, want als je bij elke wijziging opnieuw gaat compilen hou je niet veel uptime meer over voor de servers denk ik. En als iets eenmaal stabiel draait ben je natuurlijk ook wel voorzichtig met nieuwe versies.

[ Voor 7% gewijzigd door Tux op 03-02-2005 21:23 ]

Tux schreef op donderdag 03 februari 2005 @ 21:22:
[...]


Security by obscurity is no security

Ach ja, da's een kreet die je vaak hoort maar die eigenlijk kan noch wal raakt. Stap 1 in elke aanval is het verzamelen van informatie. Door deze info te posten (en sommige mensen doen dit inclusief versienummers etc) maak je het wel heel makkelijk. Je moet die regel meer lezen als "je moet de beveiliging niet laten afhangen van de ' geheimheid' van een systeem / informatie".

Bor_de_Wollef schreef op donderdag 03 februari 2005 @ 21:25:
[...]


Ach ja, da's een kreet die je vaak hoort maar die eigenlijk kan noch wal raakt. Stap 1 in elke aanval is het verzamelen van informatie. Door deze info te posten (en sommige mensen doen dit inclusief versienummers etc) maak je het wel heel makkelijk. Je moet die regel meer lezen als "je moet de beveiliging niet laten afhangen van de ' geheimheid' van een systeem / informatie".

Als een hacker achter informatie over een systeem wil komen, komt hij daar waarschijnlijk toch wel achter. Het schrikt hoogstens scriptkiddies een beetje af

Tux schreef op donderdag 03 februari 2005 @ 21:27:
[...]


Als een hacker achter informatie over een systeem wil komen, komt hij daar waarschijnlijk toch wel achter. Het schrikt hoogstens scriptkiddies een beetje af

Dat is natuurlijk nog maar de vraag. Ik benadrukte alleen maar de "leegheid" van die kreet. Het gaat in de beveiliging niet alleen om technische (it)beveiliging maar ook om procedures. Dat zijn gewoon dingen die je niet zo maar op tafel zou moeten leggen. Je eigen zwakheden aangeven is altijd dom.

[ Voor 5% gewijzigd door Bor op 03-02-2005 21:31 ]

Hellraizer schreef op donderdag 03 februari 2005 @ 21:15:
Een rare vraag natuurlijk, inzage geven in je beveiliging is nou niet echt iets wat je graag doet...

Ik bedoel deze vraag dan ook meer uit het oogpunt van hoe jullie je linux bakken etc. voorzien van anti-xxxxx zaken.. Gebruiken jullie een iptables firewall, iedere week een andere pass voor root, altijd de nieuwste kernels/apache/mysql etc etc..

Op een debian machine:

-Elke dag apt-get update en upgrade gebruiken om via apt geinstalleerde packages up to date te houden
-Subscription op debian-security mailing list om zo zelf gecompiled pakketten up to date te houden
-Kernel's altijd up to date houden
-Enkel debian stable draaien
-Telnet server verwijderen, enkel SSH gebruiken
-FTP server verwijderen, enkel SCP gebruiken
-Root login alleen vanaf local mogelijk maken (dus niet via SSH)
-Users die root rechten nodig hebben deze laten verkrijgen door het draaien van sudo
-Bij kernel exploits waar nog geen patch voor beschikbaar is SSH access beperken tot de admin group en de rest van de gebruikers buiten houden
-Met iptables de meeste poorten dichtgooien
-Via een cronjob dagelijks scannen op rootkits
-php in safe mode draaien
-phpinfo() disablen
-Apache signature uitzetten
-Userpasswords elke maand veranderen
-Root password van +30 karakters, bij niemand bekend, ligt in een kluis
-Via een cronjob elk uur een hash van het rootpassword vergelijken met de shadow file
-Logcheck draaien om rare events op te merken
-Systraq draaien om rare wijzigingen in configs te signaleren
-Elke aanval consequent melden bij CERT
-Nagios server controle uit laten voeren op bereikbaarheid van de server
-Plaatsing in een afgesloten en beveiligde ruimte

[ Voor 12% gewijzigd door Verwijderd op 03-02-2005 21:51 ]

Hoewel "security by obscurity" IMHO geen fatsoenlijke security is, betwijfel ik of de heren serveradmins daar al te veel over kwijt willen.

Een algemene discussie in B&V lijkt me ook leuk trouwens (als de BV mod het goed vindt dan).

Maar stap 1 hebben ze genomen: zorgen voor kennis bij de users \o/ <--- en ja dan vooral ook de mensen met de l33t3 knopjes

Anyhow, BV --> LA omdat ze hier vast niet lezen. Of het daar open blijft of er een "mind your own business" slot komt is aan hen

[ Voor 68% gewijzigd door F_J_K op 04-02-2005 09:25 . Reden: Duidelijker als ik er gewoon onder quote :+ ]

Bor_de_Wollef schreef op donderdag 03 februari 2005 @ 21:30:
[...]


Dat is natuurlijk nog maar de vraag. Ik benadrukte alleen maar de "leegheid" van die kreet. Het gaat in de beveiliging niet alleen om technische (it)beveiliging maar ook om procedures. Dat zijn gewoon dingen die je niet zo maar op tafel zou moeten leggen. Je eigen zwakheden aangeven is altijd dom.

Dat bedoelde ik ook. Een uitspraak als "iptables gebruiken we niet want blabla" (probleem met configuratie oid) werkt als stroop...

_{NOFI voor Kees, ACM en moto-moi natuurlijk aangezien zij zich er natuurlijk nooit zo af zouden maken}

[ Voor 15% gewijzigd door Verwijderd op 03-02-2005 21:46 ]

Wat wij zoal aan beveiliging doen is wel redelijk af te leiden uit posts die wij her en der doen, opzich is het geen geheim wat wij allemaal doen. Het is redelijk standaard; firewalls, ip-restricted access, passes van een fatsoenlijke lengte etc. In grote lijnen is het zo dat we zeker niet vergeten aan security te doen, maar we willen het geheel ook werkbaar houden.

standaard quote:

The only system which is truly secure is one which is switched off and unplugged, locked in a titanium lined safe, buried in a concrete bunker, and is surrounded by nerve gas and very highly paid armed guards. Even then, I wouldn't stake my life on it. -Gene Spafford

Verwijderd schreef op donderdag 03 februari 2005 @ 21:35:
[...]


Op een debian machine:

-Elke dag apt-get update en upgrade gebruiken om via apt geinstalleerde packages up to date te houden
-Subscription op debian-security mailing list om zo zelf gecompiled pakketten up to date te houden
-Kernel's altijd up to date houden
-Enkel debian stable draaien
-Telnet server verwijderen, enkel SSH gebruiken
-FTP server verwijderen, enkel SCP gebruiken
-Root login alleen vanaf local mogelijk maken (dus niet via SSH)
-Users die root rechten nodig hebben deze laten verkrijgen door het draaien van sudo
-Bij kernel exploits waar nog geen patch voor beschikbaar is SSH access beperken tot de admin group en de rest van de gebruikers buiten houden
-Met iptables de meeste poorten dichtgooien
-Via een cronjob dagelijks scannen op rootkits
-php in safe mode draaien
-phpinfo() disablen
-Apache signature uitzetten
-Userpasswords elke maand veranderen
-Root password van +30 karakters, bij niemand bekend, ligt in een kluis
-Via een cronjob elk uur een hash van het rootpassword vergelijken met de shadow file
-Logcheck draaien om rare events op te merken
-Systraq draaien om rare wijzigingen in configs te signaleren
-Elke aanval consequent melden bij CERT
-Nagios server controle uit laten voeren op bereikbaarheid van de server
-Plaatsing in een afgesloten en beveiligde ruimte

Als IT-auditor zeg ik: Ik zou willen dat al mijn klanten op deze manier met security omgingen.

Tijd voor een security-audit op het t.net serverpark?

-Userpasswords elke maand veranderen

Als je wilt dat gebruikers hun wachtwoord op een post-it gaan schrijven en op hun monitor plakken dan moet je dat vooral doen ja

Hellraizer schreef op donderdag 03 februari 2005 @ 21:49:

mail pasta {apeding} tweakers [punt] net even voor een leuke topicstart

die snap ik niet

Users van je systeem die nadenken schelen IMHO behoorlijk in je beveiliging. Als ik mijn password zou laten slingeren en half GoT een uurtje mijn knopjes en banrechten had, zou het best een chaos worden. Beveiliging stopt niet bij de firewall en de juiste patches

Niet dat dat nooit fout is gegaan bij een mod, maar toch

[ Voor 7% gewijzigd door F_J_K op 04-02-2005 09:26 ]

Kees schreef op donderdag 03 februari 2005 @ 22:47:

standaard quote:

[...]

Lol dus eigenlijk spreekt deze meneer zichzelf ook weer tegen. Ik blijf erbij 100% security bestaat niet!

Als IT-auditor zeg ik: Ik zou willen dat al mijn klanten op deze manier met security omgingen.

Dan ben je wel een slechte auditor. Sinds wanneer dient een auditor te geloven wat men zegt? Inspecties en controles, daar draait het om. Zo maar geloven wat de klant zegt is de doodsteek voor een goede audit.

[ Voor 42% gewijzigd door Bor op 04-02-2005 10:15 ]

F_J_K schreef op vrijdag 04 februari 2005 @ 09:25:
Users van je systeem die nadenken schelen IMHO behoorlijk in je beveiliging. Als ik mijn password zou laten slingeren en half GoT een uurtje mijn knopjes en banrechten had, zou het best een chaos worden. Beveiliging stopt niet bij de firewall en de juiste patches

Niet dat dat nooit fout is gegaan bij een mod, maar toch

_{wel toch Is een keer in de MED verteld: ReactID misbruik en de gevolgen}

Hellraizer schreef op vrijdag 04 februari 2005 @ 10:38:
[...]

uhm... kzou t graag doen maar waar moet de discussie pcies over gaan dan
[linux beveiling - pros/cons]

Ik denk dat je het beter algemener aan kan pakken
Waarom alleen over Linux, terwijl er meer OS'sen zijn
Zoiets: Hoe een site als Tweakers.net beveiligen, lijkt me een goede titel

[ Voor 5% gewijzigd door Outerspace op 04-02-2005 10:55 ]

't Grappige is, dat de laatste tijd de linux-systemen (over de rest kan ik niks zeggen) dusdanig veel veiliger geworden zijn, dat ik eigenlijk maar weinig (niets?) hoor van gehackte systeem-level zaken. Maar ik heb diverse exploitable zaken in allerlei php-applicaties (phpbb bijv.) gezien, met complete systeem-toegang aan toe...
En php in 'safe_mode' zetten is maar deels een oplossing om de risico's daarvan te verkleinen!

crisp schreef op vrijdag 04 februari 2005 @ 09:06:
[...]

Als je wilt dat gebruikers hun wachtwoord op een post-it gaan schrijven en op hun monitor plakken dan moet je dat vooral doen ja

Inderdaad, famous facts Extreem strong security kun je alleen in hele kleine groepen aan hele verantwoordelijke personen opleggen. Op een domain van 5000 users very strong passwords vereisen en na 24 dagen nieuw password dat niet mag lijken op de vorige hangt de hele toko vol me gele briefjes inderdaad, dat doe je alleen als extreem toegewijde sysadmin

outerspace schreef op vrijdag 04 februari 2005 @ 10:54:
[...]

_{wel toch Is een keer in de MED verteld: ReactID misbruik en de gevolgen}

Lees z'n zin nog eens

Er is me geloof ik door ACM uitgelegd dat het veiliger is om je PHP-bestanden te symlinken (oid) ipv ze in een 'gewone' directory te plaatsen. Zo konden stoute mensen minder schade aanrichten. Het fijne weet ik daar niet meer van, maar toentertijd klonk het heel logisch.

Bor_de_Wollef schreef op vrijdag 04 februari 2005 @ 10:13:
[...]
Dan ben je wel een slechte auditor. Sinds wanneer dient een auditor te geloven wat men zegt? Inspecties en controles, daar draait het om. Zo maar geloven wat de klant zegt is de doodsteek voor een goede audit.

Hoho, dit was de opzet. Het bestaan (zien of het inderdaad zo werkt) en de werking (heeft het op deze manier een langere tijd gefunctioneerd?) heb ik niet getoetst. Geloof nooit een systeembeheerder

Rafe schreef op vrijdag 04 februari 2005 @ 14:08:
Er is me geloof ik door ACM uitgelegd dat het veiliger is om je PHP-bestanden te symlinken (oid) ipv ze in een 'gewone' directory te plaatsen. Zo konden stoute mensen minder schade aanrichten. Het fijne weet ik daar niet meer van, maar toentertijd klonk het heel logisch.

Ik denk dat het iets met klokken en klepels is

Ik zal wel iets verteld hebben over het uit je webroot plaatsen van zoveel mogelijk van je files, omdat in geval van een configuratieprobleem apache php als plain text serveert en je niet wil dat mensen dan je files kunnen bekijken. Het gebruiken van symlinks helpt daar in principe niet tegen, want die kan apache in principe gewoon volgen en dan heb je hetzelfde resultaat.

Hellraizer schreef op donderdag 03 februari 2005 @ 21:15:
Een rare vraag natuurlijk, inzage geven in je beveiliging is nou niet echt iets wat je graag doet...

Ik bedoel deze vraag dan ook meer uit het oogpunt van hoe jullie je linux bakken etc. voorzien van anti-xxxxx zaken.. Gebruiken jullie een iptables firewall, iedere week een andere pass voor root, altijd de nieuwste kernels/apache/mysql etc etc..

Jullie (nouja, het serverpark) zijn voor menig tweaker een voorbeeld in vele vormen. Wellicht dat door inzage in jullie beveiliging een en ander voor ons ook makkelijker kan zijn

Dit ook natuurlijk omdat er in de FAQ nix over linux staat

hoop trouwz niet dat deez op slot moet omdat het google werk zou kunnen zijn...:(

Nah, het is veel simpeler. Yours truly komt je op je bek timmeren genadeloos corrigeren als je loopt te k*tten met t.net

Bor_de_Wollef schreef op vrijdag 04 februari 2005 @ 10:13:
[...]

Dan ben je wel een slechte auditor. Sinds wanneer dient een auditor te geloven wat men zegt? Inspecties en controles, daar draait het om. Zo maar geloven wat de klant zegt is de doodsteek voor een goede audit.

Dat is wel heel makkelijk geconcludeert natuurlijk Ik zie namelijk nergens staan dat hij nu uit hoofde van zijn functie DaJan feliciteerd met zijn setup, alleen maar dat hij dat een geweldige setup zou vinden?

zeef schreef op zondag 06 februari 2005 @ 15:19:
Nah, het is veel simpeler. Yours truly komt je op je bek timmeren genadeloos corrigeren als je loopt te k*tten met t.net

Hej! En ik dan? Ik mag toch met jou mee?

Paul Nieuwkamp schreef op zondag 06 februari 2005 @ 15:52:
[...]

Dat is wel heel makkelijk geconcludeert natuurlijk Ik zie namelijk nergens staan dat hij nu uit hoofde van zijn functie DaJan feliciteerd met zijn setup, alleen maar dat hij dat een geweldige setup zou vinden?

Zo lees ik het niet, maar goed, terug ontopic. Wat willen we als onderwerp voor het discussie topic? Alleen UNIX en Linux beveiliging of moet het breder worden? Het forum BV kan zowiezo wel wat imput gebruiken want verder als wat virussen (en av scanners) en wat adware komt het nog niet helaas.

Als er idd een topic komt over beveiliging in het algemeen, heb ik nog wel een aantal tipjes met betrekking tot het beveiligen van een Windows (web)server. Kort samengevat, hoe je er voor kan zorgen dat je je Windows installatie zonder firewall toch behoorlijk veilig rechtstreeks aan het internet kan hangen.

Echt stappenplannen etc lijken me in een discussie topic niet echt op zijn plaats. Iedereen kan zelf wel een hardening tutorial opzoeken denk ik. Het lijkt me juist handig te discussieren over wat je nu wel en wat je nu niet doet en waarom. Hoe gaat men bv met backups om? Wat doe je als het systeem toch is gehacked?

King_Louie schreef op zondag 06 februari 2005 @ 17:51:
Als er idd een topic komt over beveiliging in het algemeen, heb ik nog wel een aantal tipjes met betrekking tot het beveiligen van een Windows (web)server. Kort samengevat, hoe je er voor kan zorgen dat je je Windows installatie zonder firewall toch behoorlijk veilig rechtstreeks aan het internet kan hangen.

kan ik ook.. gewoon wel netwerkkabel erin, maar geen stroom erop.

Kees schreef op zondag 06 februari 2005 @ 21:51:
[...]
kan ik ook.. gewoon wel netwerkkabel erin, maar geen stroom erop.

Maar goed, zonder gein. Met IPSec, wat instellingen her en der en een beetje gezond verstand kun je een heel eind komen. Mijn Windows 2003 server hangt op deze manier al weer ruim een jaar zonder firewall aan het internet, en tot nu toe is er nog niets aan het handje.

[ Voor 41% gewijzigd door Victor op 06-02-2005 23:13 ]