Wat moet ik doen om mijn servercluster verder te beveiligen?

donderdag 10 augustus 2017 12:03

Acties:

0 Henk 'm!

Topicstarter

De vraag is relatief eenvoudig: wat moet ik doen om mijn servercluster verder te beveiligen?

Huidige situatie
Met behulp van wat zelfstudie heb ik recentelijk een servercluster opgezet bij DigitalOcean. Vanzelfsprekend zit ik niet te wachten op ongenode gasten en heb ik de nodige beveiligingsmaatregelen getroffen. Ook dat is geheel gebaseerd op zelfstudie. Ik heb de volgende zaken gedaan en ben even benieuwd naar jullie aanbevelingen hierover.

Servers worden gehost bij DigitalOcean
Alleen SSH en HTTP protocollen zijn actief. Toegang alleen mogelijk vanaf 2 IP-adressen
Beheer van firewall regels is uitsluitend mogelijk via DigitalOcean
Inlog is mogelijk met username / password of via een SSH Key
Toegang tot DigitalOcean account is uitsluitend mogelijk via 2FA
Toegang tot mailboxen is uitsluitend mogelijk via 2FA

Achter één van de IP-adressen draait een Windows server. Persoonlijk vermoed ik dat dit de zwakste schakel in de beveiliging is, aangezien we daar via RDP inloggen en aangezien de Windows Server natuurlijk gevoelig is voor Malware en Virussen. Echter, dan nóg kom je niet rechtstreeks bij het servercluster uit: je moet nog steeds eerst inloggen met username + password.

donderdag 10 augustus 2017 12:12

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik mis wat context over gebruik etc. Waar worden de machines voor gebruikt, door wie? Bijvoorbeeld: 'Toegang alleen mogelijk vanaf 2 IP-adressen' - bedoel je dat de FW alle verkeer van alle andere adressen dropped? Dat klopt niet met de rest vd beschrijving (zoals dat je mail hebt). Als daadwerkelijk alles wordt gedropped dan scheelt dat een boel, natuurlijk. Maar misschien bedoel je het anders.

Dan nog resteert sniffen. Waarom HTTP en niet HTTPS-only?

offtopic:
Ik zie niets over maatregelen zoals verdere hardening, patching, backup.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 10 augustus 2017 12:16

Acties:

0 Henk 'm!

Stoelpoot

Zoals @F_J_K inderdaad zegt: Waarom HTTP en niet HTTPS. Verder ziet het er wel goed uit als ik het zo zie. Is de RDP server van buitenaf bereikbaar? Die kan je e.v.t. achter een VPN hangen naar binnen. Verder is wachtwoordsterkte dan de zwakste schakel.

donderdag 10 augustus 2017 12:44

Acties:

0 Henk 'm!

dakathefox

Topicstarter

F_J_K schreef op donderdag 10 augustus 2017 @ 12:12:
Ik mis wat context over gebruik etc. Waar worden de machines voor gebruikt, door wie? Bijvoorbeeld: 'Toegang alleen mogelijk vanaf 2 IP-adressen'

De servers worden uitsluitend door onszelf gebruikt voor dataopslag van vertrouwelijke gegevens. Daarbij hebben we de omgeving redundant uitgevoerd en voorzien van een extra backupserver.

- bedoel je dat de FW alle verkeer van alle andere adressen dropped? Dat klopt niet met de rest vd beschrijving (zoals dat je mail hebt).

Ah, ik bedoelde het inderdaad anders. Wat je vaak ziet is dat 'men' een serveromgeving helemaal op slot heeft gegooid, maar vervolgens de inloggegevens in de mail heeft staan. En die mailomgeving wordt dan gehacked, waarna de rest een koud kunstje is. Maar omdat de mail buiten deze servers om afgehandeld wordt én voorzien is van 2FA valt die optie dus grotendeels af.
Er is dus inderdaad uitsluitend sprake van SSH / HTTP verkeer.

Dan nog resteert sniffen. Waarom HTTP en niet HTTPS-only?

Dat is inderdaad een goeie. Ik heb hier wel bij stilgestaan. HTTPS is snel te activeren.

offtopic:
Ik zie niets over maatregelen zoals verdere hardening, patching, backup.

Alles wordt periodiek onderhouden en dagelijks gebackupped. Verder staat er een absoluut minimum aan software op de servers. Geen controlpanels, MySQL, PHPMyAdmin en andere onzin. Gewoon een kale Linux bak, PHP7 en Apache.

donderdag 10 augustus 2017 13:12

Acties:

+1 Henk 'm!

.Maarten

Waarom geen vpn en de rest zoveel mogelijk dicht? Dus geen Apache ed open maar buiten maar alleen via de vpn.

dinsdag 22 augustus 2017 17:44

Acties:

0 Henk 'm!

kipppertje

Hoe heb je ingeregeld dat de server geüpdatet worden? Elke keer handmatig bijwerken is natuurlijk nogal foutgevoelig.

Maar het had ook zo gekunt

dinsdag 22 augustus 2017 17:55

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

mind123 schreef op donderdag 10 augustus 2017 @ 12:03:
Achter één van de IP-adressen draait een Windows server. Persoonlijk vermoed ik dat dit de zwakste schakel in de beveiliging is, aangezien we daar via RDP inloggen en aangezien de Windows Server natuurlijk gevoelig is voor Malware en Virussen.

Ik denk dat je je moet realiseren dat je gebrek aan kennis de zwakste schakel is, niet één van de operating systems die je draait. Alle componenten in je infrastructuur kennen vulnerabilities en moeten onderhouden en op de juiste manier afgeschermd worden. Dat geldt voor je firewall, je MFA-oplossing en zeker voor PHP, Apache en de Linux distro.

Je maakt je zorgen over de kwetsbaarheid door RDS maar heeft aan dat alleen HTTP en SSH naar het internet open staat. Op welke manier valt de server met RDS te benaderen dan?

[ Voor 3% gewijzigd door Jazzy op 22-08-2017 17:56 ]

Exchange en Office 365 specialist. Mijn blog.

dinsdag 22 augustus 2017 19:42

Acties:

0 Henk 'm!

kipppertje

Over het algemeen hoe minder er open staat naar het, hoe minder risico je loopt.
Laten we wel wezen, je bent waarschijnlijk niet een interessant target voor gerichte aanvallen, en het is goed te doen om ongerichte aanvallen te voorkomen (vooral als je geen werkplekken in je servercluster hebt en geen verouderde software draait).

Jazzy schreef op dinsdag 22 augustus 2017 @ 17:55:
[...]
Ik denk dat je je moet realiseren dat je gebrek aan kennis de zwakste schakel is
[..]
Je maakt je zorgen over de kwetsbaarheid door RDS maar [..]

RDS was toch iets met FM radio's en file info toch? Leg eens uit?

Maar het had ook zo gekunt

dinsdag 22 augustus 2017 22:25

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Remote Desktop Services, zo heet dat sinds Server 2008 R2 ofzo.

Exchange en Office 365 specialist. Mijn blog.

woensdag 23 augustus 2017 04:57

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

"De servers worden uitsluitend door onszelf gebruikt voor dataopslag van vertrouwelijke gegevens."

Dan mis ik nog een puntje in je lijst: zijn deze gegevens versleuteld? Zo ja, hoe is key-management, toegangsbeheer en auditing tot deze gegevens ingericht? Wellich handig om alvast in kaart te brengen met het oog op de nieuwe privacy wetgeving. Linkje: https://www.autoriteitper...ening-gegevensbescherming

Mochten je systemen niet gehackt worden dan loop je zonder encryptie nog altijd een theoretisch risico dat medewerkers van je hosting provider bij de informatie kunnen (en een derde persoon wellicht via social engineering).

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

woensdag 23 augustus 2017 08:57

Acties:

0 Henk 'm!

kipppertje

Jazzy schreef op dinsdag 22 augustus 2017 @ 22:25:
Remote Desktop Services, zo heet dat sinds Server 2008 R2 ofzo.

Ah, weer wat geleerd. Dacht dat dat nog steeds Remote Desktop Protocol heette.

Maar het had ook zo gekunt

zondag 3 september 2017 12:24

Acties:

0 Henk 'm!

phantom09

Welke windows versie gebruikt de server? Je kan de server voorzien van bitlocker.

Onderwerpen