AWS og Microsoft IT-Driftskonsulent
Denne oversigt blev frigivet fra National Technical Authority for Information Assurance (CESG), der er det statslige argentur i UK der rådgiver stat og statslige ageture om håndtering af informationer og informations-sikkerhed. De fleste burde allerede være rutineret i hvilken produkter der kan løse de enkelte opgaver, men kontakt mig gerne hvis i har behov for konkret rådgivning med udgangspunkt i de systemer i allerede har i dag.
Standard DNS trafik er ukrypteret og ofte anvendt sårbarhede ved udnyttelse af en man-in-the-middle sårbarhed. For at bekæmpe dette, gik de store browser-udviklere i gang med at finde på løsninger på denne sikkerheds udfordring. Mozilla var først på markedet med DNS-over-HTTPS (DoH) som de meget snart vil have enablet default, når deres browser installeres.
Hvis jeg kort skal forklare hvad DNS-over-HTTPS (DoH) er; så afvikles DNS foresprøgselen over HTTPS, der derved sikre det er TLS kryptering’s protokollen. Det betyder at det kun er browser sessionen der ved hvilket domæne der requestes.
Problem:
Anbefaling:
Indtil videre vil min anbefaling til erhverv være at formulere en strategi for sikker DNS (Cisco Umbrella er et godt produkt) og efterfølgende disable muligheden for at brugerne selv enabler DNS over HTTPS (DoH).
Sådan ser i om DNS over HTTPS (DoH) er enablet på klienten.
Google Chrome:
Dette er tilføjet start-genvejen:
--enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2F1.1.1.1%2Fdns-query/method/POST
Mozilla Firefox
Under: Tools -> Preferences -> General -> Network Settings -> Tryk Settings
Den 25-26 juni var jeg på vegne af KeyCore i Boston for at deltage i AWS re:Inforce 2019, der er den årlige AWS messe med fokus på sikkerhed og compliance. På turen var blev det til et interview med Dan Mygind for Version2.dk, der har valgt at citere mine svar i denne artikel omkring nogle generelle holdninger til AWS og sikkerhed.
Konklussion fra AWS re:Inforce 2019
Personligt ser jeg forsat ingen tekniske årsager til kunder ikke kan overholde alle sikkerheds og GDPR compliance krav ved at benytte AWS – kontakt mig gerne hvis man er uenig.
Det var en fornøjelse at deltage ved Bertram Dorn præsentationen, hvor kunder kunne danne sig et overblik over de tre ansvarsområder; AWS Manages, Shared and Customer Managed.
Der findes en lang række produkter der hjælper med at dokumentere og tracke, hvis man ønsker at minimere komplexitet og tidsforbrug. Men grundlæggende drejer det sin om at man som kunde skal forstå sit ansvar for at benytte/udvikle/tilpasse sin infrastruktur korrekt. Fredag kan jeg findes tilbage i KeyCore HQ igen.Husk: “Security is job zero” – også selv om du ikke benytter AWS 😉
Comments closedWindows 10 snakker hjem – hele tiden. Det giver alle med et sikkerhed- /privatlivsperspektiv myrekryp, at din Windows 10 står og siver data til Microsoft mere eller mindre konstant. Heldigvis er der folk i markedet der bruger meget tid på at undersøge og forhindre den slags. Flere er enda så flinke at de lægger løsningerne online.
Download links
Erhverv/AD: Auto IT telemetry group policy pack
Private: ShutUp10
Information:
Microsoft holder det ikke hemmeligt, og det er da heller ikke ulovligt (GDPR liderlige vil nok debattere det til verdens ende) men her er to af deres artikler der beskriver Windows 10 telemetry i detaljer.
– Windows diagnostic data i din virksomhed
– Administrer connections fra Windows
Der går nok ikke en uge i øjeblikket, hvor der ikke er en der forsøger at sælge dit et produkt ved at benytte GDPR som løftestang. Men hvad ville du sige hvis du gratis (eller for under 20.000,- hvis du er doven) kan blive GDPR compliant i forhold til at logge filadgang/tilgang/forsøg? og hvis du samtidigt får den suverænt bedste logning(IKKE SIEM) af event fra både filer, applikationer og eventlogs – hvad siger du så? Der er selvfølgeligt tale om The Elastic Stack som jeg har nævnt før – og det er stadig i Nagios versionen, for der koster support kun $3,995.- pr. år.
Nagios + Elastic Stack = Nagios Logserver. Glem alt om Solarwinds licensmodeller, tælle RAM eller EPS – der er INGEN skjulte udgifter!
Faktum: Hvad skal du logge for at overholde persondataforordning? Intet.
Problem: Til gengæld skal du kunne vise hvem har haft adgang til dokumenterne, eller om andre end de tiltænkte brugere har tilgået dokumenterne, og det er svært at fremvise hurtigt, hvis man ikke logger data. Så selv om der ikke er direkte krav til logning, så er det tæt på umuligt at overholde hvis du ikke har en aktiv logning kørende på serverne.
Løsningen er ganske enkelt at aktivere de indbyggede audit logging GPO settings i Windows (eller andre OS’er) og logge data til eventloggen. Derfra vil den lille applikation forwarde alle events til den lokale Logserver, der sortere og arkivere alle logs efter behov. En lille virtuel server med 4 kerner og 8 GB ram kunne uden problemer håndtere 2500 EPS som kom fra vores firewalls og ca. 130 servere.
Uden de store problemer kan du installere Centos 7 og Logserveren på 2-3 timer, og derefter rulle agenterne ud på alle maskiner enten via en GPO eller SCCM på et par timer… Mere kræver det ikke.
P.S.
Hvis der er nogen fra Logpoint der ringer til jer, så sig pænt nej tak – det er uden sidestykke det værste forsøg på et SIEM produkt jeg nogensinde har arbejdet med.
P.P.S
Hvis du er rigtig doven eller kræver noget intelligens, så kig på IBM QRadar og lad en af deres kvalificerede partnere stå for det (SecureDevice kan anbefales)
Hvis du er mødt af fejlen “you cannot access this shared folder because your organization security policies” når du forsøger at mappe et netværksdrev til din NAS eller en gammel server der hjemme, så er det fordi det efter MS update er markeret som “usikkert” hvis du benytter de gamle SMB v1 settings.
Workaround:
For at kunne tilgå dette igen, skal du rette din GPO til “enable insecure guest logons”. Du gør det via nedenstående GPO.
Vælg den rigtige Linux distro. Er det arbejde eller fritid? spil eller programmering? – man kan gøre det nemmere for sig selv, ved at afdække behovet inden man begyder at installere en af de mange forskellige versioner af Linux. Personligt startede jeg i sin tid med Ubuntu pga. det store community, hvor man kunne få kvalificeret hjælp til alle problemer. På et tidspunkt løb jeg ind i nogle driftsstabilitetsproblemer og var ikke glad for de reklamer der blev vist, så jeg skiftede til Fedora.
Lifecycle:
Windows 8.1 -> Ubuntu 12 -> Windows 10 -> Fedora 26 64bit -> Ubuntu 16.04LTS
Hardware: HP z440 Xeon E5-1620v3 3.5 GHz – 16GB RAM – Intel SSD Raid 1+0
Fedora kan ses som en form for frontrunner for RedHat Linux, der bla. er et at de mest anvendte OS’er til det armerikanske forsvar og offentlige instanser. Det gør der også er fokus på at få drivers til at virke ordenligt. En anden årsag var det var nemt for mig at installe Nagios Log server, da deres installationsscript er udviklet bla til RedHat og Fedora.
En uforudset udfordring for mig (fordi jeg ikke havde undersøgt det ordenligt) var de hyppigere updates og versions upgrades. Det kræver meget tid at vedligeholde – især hvis man har mange workstations.
Derfor er det de sidste måneder blevet mere åbenbart for mig, at jeg må tilbage til Ubuntu, da deres LTS version er blevet mere stabil og sikker. De udfordringer der var med 3.part. drivers tidligere, siges (jf. største forums)at være væk.
Læs mere om de forskellige Linux versioner her: https://distrowatch.com
Tips:
Wine giver brugere af Linux mulighed for at installere og afvikle windows applikationer – bla. spil og office. Det er ikke en emulator, men et kompatibilitetslag, der gør det muligt at afvikle Windows programkoder på en Linux, Mac eller BSD kerne.
Læs mere her: https://www.winehq.org/
