• 0

Wie heeft ervaring met Security Check website (extranet)

We gaan een extranet opleveren voor onze klanten. Aangezien hier alle facturen, klantgegevens en mogelijkheden tot verandering en publicatie van gegevens onder de klantnaam staat wil ik een goede securitycheck laten uitvoeren door externe. Heeft iemand ervaring met partijen, zo ja welke en wat voor positieve en negatieve ervaringen?

Vergelijk software CRM CMS ERP HRM-software. Lees meer over CRM-systemen / ERP

Link naar reactie

Aanbevolen berichten

17 antwoorden op deze vraag

  • 0

Hoi Dennis,

 

Systeem is php/mysql op linux server. Geen idee hoe de audit heet die ik wil. Ik wil dat mensen niet bij de klantgegevens kunnen komen. Thats it.

 

Linux dus. 8)

 

In dat geval is een een zeer degelijk openSource programma voor iedereen gratis ter beschikking:

Nessus. Zie http://www.nessus.org/nessus/

 

Als het opleveren van servers is wat jouw bedrijf doet, is het voor jou zeker de moeite waard hier eens kennis mee te gaan maken.

 

Een engelstalige demo over wat Nessus allemaal kan doen voor je:

http://cgi.tenablesecurity.com/demos/nessus32-intro/nessus32-intro.html

 

 

 

mvrgr

Liset Karman

 

 

Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar reactie
  • 0

Graag gedaan.

 

Word of warning: RTFM, ofwel; lees de (*) handleiding voordat je Nessus op een netwerk los laat.

Nessus gaat namelijk alle poorten scannen, en dat kan een DDOS veroorzaken.

 

mvrgr

Liset Karman

Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar reactie
  • 0

Liset, Nessus is een scanner wat bekende exploits kan vinden in software. Een PHP Security Audit is iets totaal anders, daarbij wordt de PHP code door een ervaren programmeur nagelopen, iets wat Nessus onmogelijk kan doen. Er zijn ontzettend veel tools die je kan inzetten om een server te beveiligen, maar dat heeft met de vraag in dit topic niets te maken.

Link naar reactie
  • 0

@Maarten,

 

De vraag was deze: "Ik wil dat mensen niet bij de klantgegevens kunnen komen. Thats it."

Nessus kan heel precies laten zien of en hoe dat kan, met behulp van de raportage van de scan die Nessus maakt.

Nessus kan dus heel erg grondig laten zien waar de eventuele lekken in de LinuxServer zitten.

Kijk anders zelf ook maar even naar de video.

 

Verder kan Nessus inderdaad controleren op alle bekende PHP exploids.

Een PHP programmeur die opdracht heeft te rapporteren (en niet te repareren) doet niet veel anders dat de hem of haar bekende exploids nalopen.

Of dat er zoveel zijn als Nessus kent, valt dan nog te bezien.

 

Of ben je met iets anders bezig dan de vraag van de klant zo goed mogelijk te beantwoorden ?

 

mvrgr

Liset Karman

 

 

Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar reactie
  • 0

Maar hoe weet nessus wie wat mag zien? Als mijn extranet allemaal pagina's bevat, hoe weet nessus dan dat de informatie die op dat moment getoond wordt wel of niet kritische bedrijfsgegevens zijn die bekeken mogen worden? Dat zijn zeer relevante onderdelen van een Security Check. (kun je bijv. stiekum bij de gegevens van een ander door met url parameters te spelen)

 

Ik wil best geloven dat het nutig is, maar dan als aanvulling, niet als alternatief.

Link naar reactie
  • 0

@Michiel,

 

Je kunt Nessus opties mee geven voordat de scan gemaakt wordt.

O.a. kun je Nessus de eigenschappen van bijvoorbeeld klant Jansen geven (login en passwd) waarna Nessus scant wat klant Jansen allemaal op het netwerk kan bekijken en benaderen.

 

Kijk even naar de video, daar leggen ze heel veel van de kunde van Nessus al uit.

Onder anderen jouw vraag komt er aan bod.

 

mvrgr

Liset Karman

Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar reactie
  • 0

@Michiel,

 

In de NessusRapportage krijg je te zien op welke server welke gegevens te benaderen zijn geweest, en welk risico dat eventueel mee brengt.

Dat laten ze op de video heel snel ook een aantal keer zien (rechter deel van het scherm).

 

Als je er meer over wilt weten kan ik je wel aan een aantal namen helpen van bedrijven die in Linux-voor-bedrijven gespecialiseerd zijn ?

 

Wat ik weet is uit de tijd dat ik een linuxUserGroep leidde richting LPI examens.

Niet van het zelf beveiligen van bedrijfsInformatie, daar kan ik je niet mee helpen.

 

mvrgr

Liset Karman

 

Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar reactie
  • 0

@ TvG; Kewl 8)

 

Afbeelding voor Michiel van de rapportage waar ik op doel (in deze video):

 

mvrgr,

Liset Karman

 

 

edit met betrekking tot deze screenDump:

@Michiel:

Op deze zelfde manier kan Nessus laten zien wat bijvoorbeeld het proces Excel toe staat op machine X in netwerk Y.

Aan wie dat toegestaan wordt kun je zien in de opties die je zelf in gesteld hebt voordat je de scan uit laat voeren.

nessusScreenDump.thumb.jpg.bb89cd03d0b76a23e72e3f9c1e47e291.jpg

Voorzitter van Stichting Witte Mus, een ANBI stichting die zich in zet voor het in Nederland van de rode lijst halen van de huismus. Onder anderen door de biotopen van de Huismus te herstellen, maar ook door adviezen aan LNV en particulieren, en door de eigen kolonie Huismussen in stand te houden.

Link naar reactie
  • 0

Nessus kan heel precies laten zien of en hoe dat kan, met behulp van de raportage van de scan die Nessus maakt.

Nessus kan dus heel erg grondig laten zien waar de eventuele lekken in de LinuxServer zitten.

Kijk anders zelf ook maar even naar de video.

 

Verder kan Nessus inderdaad controleren op alle bekende PHP exploids.

 

Nessus is een ontzettend waardevolle tool voor het controleren op bekende software problemen die zich op een server kunnen bevinden, maar helaas is dit ook het enige wat dergelijke programma's kunnen detecteren. Nessus heeft een soort van database met alle bekende problemen verzameld en controleert een server op deze problemen.

 

Helaas is Nessus onbruikbaar bij het controleren van beveiligingsproblemen in maatwerk software, de problemen die in maatwerksoftware kunnen voorkomen kunnen simpelweg niet in de database van Nessus komen. De enige betrouwbare manier om alle problemen in maatwerk software te achterhalen is alle code door een ervaren programmeur te achterhalen op fouten.

 

Verder is Nessus is natuurlijk wel waardevol voor het controleren van een systeem op bekende problemen, maar doordat Nessus alleen controleert aan de buitenkant van het systeem, kan het niet op tegen een handmatige audit die ook problemen op het systeem zelf kan achterhalen. Dergelijke audits zijn echter wel kostbaar, hoe ver je hier mee wilt gaan hangt af van je budget en van het risico wat je server loopt.

 

Link naar reactie
Gast
Dit topic is nu gesloten voor nieuwe reacties.
Hide Sidebar
  • Wil je onze Nieuwsflits ontvangen?
    Deze verzenden we elk kwartaal.

  • Wie is er online?
    8 leden, 242 Gasten

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 75.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.