Systeembeveiliging

Systeembeveiliging wordt steeds belangrijker. Veel gegevens, die vroeger alleen binnen het interne netwerk opgeslagen werden, moeten nu ook online beschikbaar zijn. Om af te dwingen dat gevoelige gegevens alleen  voor de eigen werknemers toegankelijk zijn, speelt beveiliging een grote rol. iDelft heeft ruime ervaring op het gebied van systeembeveiliging en op deze pagina presenteren we een aantal aanbevelingen (vaak in combinatie met het Drupal Content Management Framework).

Tip 1: Beveiligingsupdates

Zorg er voor dat beveiligingsupdates worden aangebracht op alle niveaus van het systeem: Het operating systeem, de beheersoftware (bijvoorbeeld cPanel), de Core Content Management Framework software (bijvoorbeeld Drupal), de configuratie, maar ook alle extra modules die gebruikt worden binnen uw specifieke omgeving. Twee vuistregels daarbij: Als u voor deze activiteiten niet expliciet een opdracht heeft gegeven, dan gebeuren ze niet of niet-frequent. Een tweede vuistregel is, dat minimaal elke maand updates moeten plaats vinden. Als dat niet gebeurt, dan is uw systeem waarschijnlijk niet goed beveiligd. Het is in dat kader goed om te weten, dat binnen de Drupal community een groot security team elke dag bezig is met beveiligingsissues en oplossingen (patches).

Tip 2: Goede gebruikersrollen

Geef medewerkers alleen toegang tot die delen van het systeem, die relevant zijn voor de betreffende functie. Het gaat dat niet alleen om toegang tot gegevens, maar ook om functionaliteiten om te kopiëren, te exporteren en te verwijderen. Dit soort functionaliteiten worden over het algemeen geregeld via gebruikersrollen. Goede gebruikersrollen zijn cruciaal voor het afschermen van gevoelige gegevens.

Tip 3: Goed wachtwoordenbeheer

Het instellen van een centraal wachtwoordbeleid helpt om systemen veiliger te maken. Zo'n wachtwoordbeleid regelt bijvoorbeeld de minimale grootte, de complexiteit en de levensduur van een wachtwoord en kan in Drupal automatisch worden afgedwongen.  

Hek

Tip 4: Two-factor authentication

Wilt u optimale zekerheid, dan is het te overwegen om naast gebruikersnamen en wachtwoorden een tweede laag aan te brengen om de toegang tot de systemen te beveiligen. Zo'n tweede laag wordt ook wel aangeduid als een tweede factor. Wij kunnen dit verzorgen binnen een Drupal omgeving waarbij de Google- of Microsoft authenticator een nummer genereert op een telefoon, die extra ingevoerd moet worden door de betreffende gebruiker. Dit is vooral zinvol voor gebruikers (rollen) met een hoog risicoprofiel zoals administrators.  

Tip 5: Goed gebruik van SSL certificaten

Inloggen op een website is tegenwoordig heel normaal, maar achter de schermen komt er nog wel het één en ander bij kijken. Het is noodzakelijk dat er geen onbevoegde gebruikers de afgeschermde gegevens kunnen bereiken. Secure Sockets Layer (SSL) is een veel gebruikte beveiligingstechniek die zorgt voor een versleutelde verbinding tussen de server en de client. Op deze manier kunnen eventuele kwaadwillenden de verbinding niet (of in ieder geval erg moeilijk) af tappen en zijn de gegevens tijdens het transport veilig tegen afluisteren. SSL certificaten zijn tegenwoordig feitelijk standaard nodig omdat browsers een waarschuwing afgeven als de SSL-certificaten niet aanwezig zijn. Wat veel organisaties zich niet realiseren, is dat deze certificaten kunnen verlopen. Goede monitoring is dus nodig en dat brengt ons bij de volgende tip.

Tip 6: Zorg voor een goede monitoring van de systemen

Eigenlijk moeten (beveiligings) issues gedetecteerd worden voordat het systeem echt gevaar loopt. Een verlopen SSL-certificaat, een plotselinge toename van inlogpogingen, een groot aantal opgevraagde webpagina's, geen netwerktoegang: een groot aantal parameters moet in de gaten gehouden en gevisualiseerd worden. Indien nodig, moet een engineer automatisch geïnformeerd worden. iDelft heeft ervaring met oudere monitoring software, zoals  Nagios, maar ook met nieuwe monitoring en visualisatiesoftware, zoals Elastic Kibana in combinatie met Beats. Kort samengevat is Kibana eigenlijk een compleet Data Analyse pakket, dat ook losgelaten kan worden op systeemlogs, die automatisch gepubliceerd worden.

Tip 7: Installeer extra beveiligingssoftware

Naast een solide firewall heeft een robuust systeem ook anti-virussoftware aan boord indien bestanden kunnen worden opgeladen. Ook draaien er - als het goed is- actieve softwarecompontenten die het aantal inlogpogingen maximeert en ook worden IP adressen op een zwarte lijst gezet op het moment dat de systemen vanuit deze IP-adressen worden overbelast. Wij maken gebruik van bijvoorbeeld Fail2Ban om dit af te dwingen. Tevens is het aan te raden om anti-spam maatregelen te treffen met ReCaptcha en Honeypot.

Tip 8: Caching

Vaak wordt caching toegepast om de performance (snelheid) van webpaginaweergave te optimaliseren. Indirect levert caching ook een bedrage aan de beveiliging van de systemen omdat overbelasting kan worden voorkomen. De truc is dat veelgevraagde webpagina's al klaar staan en direct worden uitgeserveerd zonder dat de server zwaar belast hoeft te worden. Met een goede caching in combinatie met een IP adres blokkeringsmechanisme kunnen eenvoudige Denial Of Service (DOS) aanvallen  het hoofd worden geboden. Bij een massale aanval vanuit duizenden servers is dit uiteraard niet mogelijk en dat brengt ons bij de volgende tip.

Tip 9: Implementeer een goede backup en overweeg een uitwijksysteem 

Better safe than sorry: Een backup moet op een andere fysieke locatie aanwezig zijn en een flinke periode terug gaan in de tijd. Een alternatief voor een gegevensbackup , is een volledig uitwijksysteem dat geactiveerd kan worden indien het hoofdsysteem gehacked of te zwaar belast wordt. 

Tip 10: Overweeg een Single-Sign On implementatie

Als er veel inlogmechanismes aanwezig zijn in een organisatie, dan kan het ook sneller misgaan in vergelijk met één Single-Sign-On (SSO) omgeving. iDelft heeft ervaring met het opzetten van een Single Sign-On implementatie ook in combinatie met Drupal. Hiermee kan het aantal accounts en wachtwoorden beperkt blijven. Op één centrale plaats worden de gebruikers beheerd in een IdP omgeving (IdP: Identity Provider), waar vervolgens de software gebruik van kan maken via SP's  (SP: Service Provider). Voor enkele projecten (bijvoorbeeld het Nikhef alumni portaal) heeft iDelft Drupal software werkend gemaakt in combinatie met een bestaande Single Sign-On omgeving. Met één druk op de knop kan zo een kwaadwillende gebruiker direct afgesloten worden van alle systemen.

Tot slot: De iDelft beveiligingsfilosofie

We geloven sterk dat je alleen door kennis en hands-on ervaring systeembeveiliging naar een hoger plan kan tillen, Het spreekt daarom vanzelf dat veel van de door iDelft geproduceerde software ook door ons gehost en onderhouden wordt. Daarbij worden de servers, de applicaties en de firewalls goed geconfigureerd zodat onbevoegden niet binnen kunnen dringen op de server of via Drupal met behulp van bijvoorbeeld XSS scripting. We implementeren geavanceerde softwarepakketten op de servers die web-verzoeken automatisch en volcontinue scannen en ingrijpen op het moment dat misbruik gesignaleerd wordt: kwantitatief (een groot aantal verzoeken), maar ook kwalitatief (bijvoorbeeld een gerichte aanval om binnen te dringen via een inlogscherm). Uiteraard worden formulieren ook afgeschermd om spammers tegen te houden. Samenvattend: Beveiliging kan alleen effectief zijn als er aandacht is voor bescherming op alle niveaus en onderdelen.

Neem contact met ons op als een korte en snelle security scan van de web-omgeving nodig is. We komen graag langs.