Skocz do zawartości
SuperDaemon

[Wykonam] Audyt konfiguracji / bezpieczeństwa Twojego Serwera

Polecane posty

Dzień dobry,
Nazywam się Dominik Małowiecki i zawodowo zajmuję się Bezpieczeństwem IT
i Administracją Systemami Linux (RHCE, RHCSA itd:)
W ramach świątecznej promocji proponuję bezpłatny Audyt konfiguracji i zabezpieczeń Twojego serwera.
Jeżeli zauważyłeś nieprawidłową pracę serwera, wysoki load i co chwila wpadasz na spam listę problemem może być włamanie do serwera. Proponuję to sprawdzić!
Na czym polega audyt?
1. Pisemnie zobowiązuje się do zachowania poufności danych przechowywanych na Twoim serwerze.
2. Po ustaleniu terminu przeprowadzam audyt ustawień Twojego serwera (przyda się hasło do serwera).
3. W przypadku znalezienia problemów generuję raport z propozycją naprawy i wskazaniem, gdzie jest problem.
4. Audyt jest za darmo, jeżeli zdecydujesz się na dalszą współpracę przedstawię ci propozycję ile to może kosztować.
Wszystkich zainteresowanych lub niezdecydowanych zapraszam do poszukania informacji o mnie:

Profil na Linkedin:
Strona firmowa
aha prowadzę firmę, nie jakiś krzak więc na wszystko są faktury VAT :)
Tel:+48 501-970-445
Email: biuro[[@]]wdrozenia.com
Edytowano przez SuperDaemon (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

2. Po ustaleniu terminu przeprowadzam audyt ustawień Twojego serwera (przyda się hasło do serwera).

No to ja w ramach bezpłatnego audytu specjalnie dla Pana proponuję zainteresować się kluczami RSA, a nie prosić ludzi o przesyłanie haseł plain-textem. :)

A tak w ramach usługi, którą będzie Pan wykonywał to: zasugerować potencjalnym klientom, aby wyłączyli logowanie po haśle.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A tak z ciekawości w jaki sposób potrafisz wytłumaczyć laikowi co to są klucze rsa, jak ma się zalogować na serwer po ssh lub sftp o ile jest włączony i wkleić Twój klucz publiczny gdzie trzeba , zakładając że logowanie po kluczu jest włączone a authorized_keys ma prawidłowe uprawnienia i w ogóle ten plik akurat tak się nazywa ?

Zakładając oczywiście brak web klikacza który umożliwia wklejenie klucza po http ( co jest już oczywiście całkowicie bezpieczne)

U mnie tego typu próby kończą się zwykle na haśle smsem bo portfel online też jest problematyczny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No to ja w ramach bezpłatnego audytu specjalnie dla Pana proponuję zainteresować się kluczami RSA, a nie prosić ludzi o przesyłanie haseł plain-textem. :)

A tak w ramach usługi, którą będzie Pan wykonywał to: zasugerować potencjalnym klientom, aby wyłączyli logowanie po haśle.

 

Cześć Malu,

 

dziękuje za rady, możesz mi uwierzyć na słowo że hasła przysyłam w postaci bezpiecznej :)

Grzesiu bardzo trafnie napisał, sposób podpięcia zależy od preferencji klienta.

Hasło przesłane odzielnym kanałem np. smsem jest potrzebne tylko na kilka minut w celu instalacji klucza SSH, po czym następuje jego zmiana na random, a po skończonym audycie usuwam również klucz SSH.

 

Wszystkie zmiany w systemie zawarte są w raporcie, możesz sprawić za pomocą tripwire, find +md5sum lub innego tool-a czy nie zostało coś zmodyfikowane, ewentualnie snapshot i revert dla szczególnie nieufnych. Backdoorów nie zostawiam, bo na to jest paragraf, a czasami uda się taki znaleźć po poprzednim administratorze ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Witaj,

Jeżeli zauważyłeś nieprawidłową pracę serwera, wysoki load i co chwila wpadasz na spam listę problemem może być włamanie do serwera. Proponuję to sprawdzić!
Nieprawidłowa praca serwera i wysoki load bądź dodanie do "spam listy" to często problemy w błędnej konfiguracji, a nie z miejsca włamanie. Fajnie że wychodzisz z ofertą przeprowadzenia budżetowego testu zabezpieczeń, lecz chciałbym zapytać o kilka rzeczy, przy okazji dając Tobie możliwość szerszej reklamy na tym forum.
1) Na Twoim profilu linkedin który podałeś możemy przeczytać:

- Compliance audit;
- Penetration Testing;
Jaki byłby koszt przeprowadzenia testu penetracyjnego, powiedzmy 3ech serwerów webowych? Czy wykonywałeś już tego typu zlecenia i jakie posiadasz doświadczenie w tym zakresie?
2) Dalej na Twoim profilu linkedin możemy również przeczytać:
- web security (mod_evasive, mod_security, auditconsole, mod_qos, tripwire, fail2ban, denyhosts)
Czy uważasz że "mod_evasive" bądź "modsec" albo "fail2ban" bądź "denyhosts" (zwyczajnie instalowane z każdego repo apt-get/yum/pacman/whatever install denyhosts fail2ban) są to Twoim zdaniem narzędzia do zabezpieczania "web"? Co w przypadku gdy klient posiada nginx'a czy litespeed'a?
1. Pisemnie zobowiązuje się do zachowania poufności danych przechowywanych na Twoim serwerze.
Pisemnie jako firma czy osoba prywatna?
3. W przypadku znalezienia problemów generuję raport z propozycją naprawy i wskazaniem, gdzie jest problem.
Znaczy jeżeli znajdziesz podatność to wytłumaczysz na czym ona polega i w jaki sposób można ją wykorzystać?
Tripwire to zwykły integrity checker i nic więcej, w dodatku IMHO jeden z najgorszych. Czy mógłbyś zareklamować z jakich konkretnie rozwiązań do zabezpieczania bądź przeprowadzania audytu zabezpieczeń korzystasz (chociażby w odniesieniu do technologii RedHat'a)?
Z góry dziękuję za odpowiedź.
Pozdrawiam,
~ Spoofy
Edytowano przez Spoofy (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hej Spoofy,

 

Nieprawidłowa praca serwera i wysoki load bądź dodanie do "spam listy" to często problemy w błędnej konfiguracji, a nie z miejsca włamanie. Fajnie że wychodzisz z ofertą przeprowadzenia budżetowego testu zabezpieczeń, lecz chciałbym zapytać o kilka rzeczy, przy okazji dając Tobie możliwość szerszej reklamy na tym forum.

 

 

Dokładnie tak jak piszesz, winna leży najcześniej w złej konfiguracji serwera, dlatego przedmiotem audytu jest sprawdzenie przede wszystkim prawidłowej konfiguracji usług w tym min:
- konfiguracja SSL (ataki poodle, heartbleed);

- uprawnienia systemowe usług, suidy
- podatności w konkretnych usługach i poziom spatchowania
- odporność na ataki DOS
- detekcja rootkitów i tylnych furtek
- review logów
itd. itp (niekoniecznie chciałbym pisać o wszystkich punktach na forum ;)

 

Jaki byłby koszt przeprowadzenia testu penetracyjnego, powiedzmy 3ech serwerów webowych? Czy wykonywałeś już tego typu zlecenia i jakie posiadasz doświadczenie w tym zakresie?

 

 

Serwerów webowych czy aplikacji webowej?
Same serwery sprawdza się stosunkowo szybko, natomiast testy aplikacji wymagają przejrzenia dokumentacji (testy typu whitebox) oraz:
- rozpisania scenariuszy testowych;

- przeprowadzenie testów obciążeniowych;
- walidacji danych wejściowych via (xml, rest api interfaces etc. etc)
- analizy podatności xss, directory traversal, sql injection etc. etc....

Jednym słowem pracy jest od kilku dni do kilku dni tygodni (dla jednej lub kilku osób), koszty od kilku tysięcy do kilkudziesięciu złotych. Dlatego testów penetracyjnym tutaj nie reklamuję, a jedynie audyt konfiguracji / bezpieczeństwa serwera, który może być wstępem do nich.

 

 

 

Czy uważasz że "mod_evasive" bądź "modsec" albo "fail2ban" bądź "denyhosts" (zwyczajnie instalowane z każdego repo apt-get/yum/pacman/whatever install denyhosts fail2ban) są to Twoim zdaniem narzędzia do zabezpieczania "web"? Co w przypadku gdy klient posiada nginx'a czy litespeed'a?

 

Tak, uważam że większość softu wymaganego do zabezpieczenia serwera istnieje w środowisku opensource, inną kwestią jest np. czas wymagany do poprawnego ustawienia mod_security dla konkretnej aplikacji. W przypadku alternatywnych serwerów webowych polecam reverse proxy z przepisywaniem ruchu.
Duże firmy korzystają ze sprzętowych rozwiązań typu Web Application Firewall, których administracja jest nieporównywalnie prostsza, ale cena za appliance to mniej więcej tyle co roczny budżet IT w małej firmie.....

 

 

 

Pisemnie jako firma czy osoba prywatna?

Oczywiście jako legalnie zarejestrowania i funkcjonująca Polska firma.
Poprawność danych można sprawdzić w CEIDG.


 

Znaczy jeżeli znajdziesz podatność to wytłumaczysz na czym ona polega i w jaki sposób można ją wykorzystać?

Zgadza się, wraz z wyceną wprowadzenia zabezpieczeń.

Tripwire to zwykły integrity checker i nic więcej, w dodatku IMHO jeden z najgorszych.

 

 

Tripwire został przedstawiony jako produkt to sprawdzenia audytor-a i zmian przez niego wprowadzonych:

"Wszystkie zmiany w systemie zawarte są w raporcie, możesz sprawić za pomocą tripwire, find +md5sum lub innego tool-a czy nie zostało coś zmodyfikowane, ewentualnie snapshot i revert dla szczególnie nieufnych."

 

Czy mógłbyś zareklamować z jakich konkretnie rozwiązań do zabezpieczania bądź przeprowadzania audytu zabezpieczeń korzystasz (chociażby w odniesieniu do technologii RedHat'a)?

 

Znajomość narzędzi to słodka tajemnica audytora, dla klienta ważne są wyniki :P

 

Zapraszam do dalszej dyskusji i dziękuje za dotychczasowe pytania.

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×