MARE system Kiel :: Security :: Monitoring :: Servermanagement

:: Security

Die Digitalisierung von Geschäfts- und Arbeitsabläufen in der freien Wirtschaft als auch in der öffentlichen Verwaltung, Anbindung an öffentliche Netze und Internetkommunikation ergeben einerseits eine wachsende Abhängigkeit vom störungsfreien Betrieb der IT als auch sich täglich wandelnde Bedrohungen mit potentiellen wirtschaftlichen Schäden.
Wir unterstützen Sie dabei, den richtigen Mix aus Verfügbarkeit, Sicherheit und Aufwand zu finden, um sowohl Datensicherheit (Vertraulichkeit und Integrität der Daten) als auch Betriebssicherheit (Verfügbarkeit der Dienste) zu garantieren.

"Informationen sind wichtige Werte für Unternehmen und Behörden und müssen daher angemessen geschützt werden. Die meisten Informationen werden heutzutage zumindest teilweise mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet. In Wirtschaft und Verwaltung bestreitet niemand mehr die Notwendigkeit, seine IT-Landschaft angemessen zu schützen. Daneben müssen aber auch Informationen in allen anderen Phasen von Geschäftsprozessen adäquat geschützt werden. Sicherheitsvorfälle wie die Offenlegung oder Manipulation von Informationen können weitreichende geschäftsschädigende Auswirkungen haben oder die Erfüllung von Aufgaben behindern und somit hohe Kosten verursachen. Die Praxis hat gezeigt, dass eine Optimierung des Sicherheitsmanagements oftmals die Informationssicherheit effektiver und nachhaltiger verbessert als Investitionen in Sicherheitstechnik. Massnahmen, die ursprünglich zur Verbesserung der Informationssicherheit umgesetzt wurden, können aber auch ausserhalb des Sicherheitszusammenhangs positive Auswirkungen haben und sich als gewinnbringend erweisen. Investitionen in Informationssicherheit können in vielen Fällen sogar mittelfristig zu Kosteneinsparungen beitragen. Als positive Nebeneffekte sind eine höhere Arbeitsqualität, Steigerung des Kundenvertrauens, Optimierung der IT-Landschaft und organisatorischer Abläufe sowie die Nutzung von Synergieeffekten durch bessere Integration des Informationssicherheitsmanagements in bestehende Strukturen zu erwarten." (1)

Sicherheit im Sinne von Betriebssicherheit und Datensicherheit hat in allen unseren Aktivitäten einen vorrangigen Stellenwert. Als Leitfaden dient uns, an die jeweiligen Bedürfnisse angepasst, der IT-Grundschutzkatalog des BSI und das Bundesdatenschutzgesetz (BDSG)

(1) Aus dem IT-Grundschutz-Standard 100-2 des BSI

:: Security-Audits & Penetration-Tests

Security-Audits sind notwendig, um die Sicherheit von Diensten und Infrastruktur festzustellen, oder aber um Schwachstellen zu finden, zu dokumentieren und abzustellen. Dabei werden Server, Netzwerk-Infrastuktur oder eine Webseite in Hinblick auf verschiedene Aspekte überprüft:

• generelle Server- und Infrastruktursicherheit
• Anforderungen an Datenschutz personenbezogener Daten
• Einbruchs- und Mißbrauchsmöglichkeiten
• Auswirkungen gefundener Probleme auf Geschäftstätigkeiten

Weiterhin können IT-Sicherheitsrichtlinien, Dokumentationen, Notfallpläne uvm, die für ein IT-abhängiges Unternehmen im Worst-Case überlebensnotwendig sind, auditiert werden.

Penetration-Tests werden oftmals als "Ethisches Hacking" bezeichnet, da sie das Ziel haben, Schwachstellen in Servern, Applikationen oder Netzwerken aufzufinden, dabei ohne die Intention, Schaden anrichten zu wollen.

Zur Durchführung der Tests und Audits werden eine Reihe anerkannter Standards und bewährter Tools eingesetzt:

• Open Source Security Testing Methodology Manual (OWASP/OSSTMM )
• OWASP Testing Guide
• NIST Technical Guide to Information Security Testing and Assessment
• W3AF / Nessus/OpenVAS, Metasploit u.a. Open-Source-Tools zum Erkennen von populären Sicherheitslücken
• manuelle Analyse auf eventuelle Schwachstellen und ggfs Einbruchsversuche

.:. Kompetenzen

.:. Whitepaper / Fallstudien / Dokumente

The listed documents and whitepapers are (c) copyright by the owners and published here with the permission or licensed by the authors, if not otherwise stated.

List of Whitepapers and Documents

• Webapplication Security Information und Howtos
• How to avoid that nasty linux kernel null_pointer dereference bugs
• OWASP Application Security Verification Standard (ASVS)
• Security Cheat-Sheet Collection from zeltser.org
• INTERNET PIZZO
• IPS FLEXIBLE RESPONSE
• Security / Incident / Sysadmin Cheat Sheets and References
• The Twelve Networking Truths
• Arbeiten mit Snort - Tutorials und Howtos
• Z0F5 - Security Research Zine
• NIST Technical Guide to Information Security Testing and Assessment
• Securing Wordpress Whitepaper
• OWASP Testing Guide V3
• Software Assurance Maturity Model (SAMM)
• SSL Server Rating Guide
• THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES
• Webserver-Security / linux-magazin.de
• AWS Security Whitepaper (engl.)
• Firewall / Astaro - Fallstudien

---

::

Webapplication Security Information und Howtos Die folgenden Links enthalten Whitepapers, Howtos und Best-Practice-Guides zu den Themen Entwicklung und Betrieb von Webapplicationen unter dem Gesichtspunkt Security und ist sowohl für Entwickler als auch für Systemadministartoren gedacht. The following links includes Whitepapers, Howtos and Best-Practice-Guides around development and serving webapplications in a secure manner and is ment for developers as well as systemadministrators Best Practice Guide for Webapplication-Firewalls(de) download Webapplication Security Information und Howtos Kategorien: [ security rootserver ]

---

::

How to avoid that nasty linux kernel null_pointer dereference bugs the following is an article about how to avoid security-problems in the linux-kernel due to null_pointer derefences bugs. Please note that this is still in development, as we gather new information. The How-To will be updated as soon as we get news to hear. download How to avoid that nasty linux kernel null_pointer dereference bugs Kategorien: [ security rootserver ]

---

::

OWASP Application Security Verification Standard (ASVS) The primary aim of the OWASP Application Security Verification Standard (ASVS) Project is to normalize the range in the coverage and level of rigor available in the market when it comes to performing Web application security verification using a commercially-workable open standard. The standard provides a basis for testing application technical security controls, as well as any technical security controls in the environment, that are relied on to protect against vulnerabilities such as Cross-Site Scripting (XSS) and SQL injection. This standard can be used to establish a level of confidence in the security of Web applications. more OWASP books online @ lulu.com download OWASP Application Security Verification Standard (ASVS) Kategorien: [ security it ]

---

::

Security Cheat-Sheet Collection from zeltser.org The following documents are security-related cheat-sheets, taken from zeltster.com, a very good resource for security-informations, both before an incident and after. This section covers actions to be taken bevore an incident; our DONT PANIC emergency-kit covers what to do AFTER a secruity-related incident. This compilation also covers webbased cheat-sheets for SQL/XSS-prevention. HOW TO SUCK AT INFORMATION SECURITY Security Architecture Cheat Sheet for Internet Applications Information Security Assessment RFP Cheat Sheet SQL Injection Prevention Cheat Sheet by OWASP XSS (Cross Site Scripting) Prevention Cheat Sheet by OWASP download Security Cheat-Sheet Collection from zeltser.org Kategorien: [ security it rootserver technic ]

---

::

INTERNET PIZZO Another very interesting suggestion from the Team @ snortattack.org on how to manage secure webservices through IPS (snort) and a proxy (NGINX). Intro From the paper: With the expression "Internet Pizzo" we may reference a system which is able to protect Internet services remotely; the Italian term "pizzo" (as "protection") is hereby used in an ironic and mocking form, far distant from its literal meaning, which refers to the fee that mobsters require to assure "protection". "Remote protection" is the peculiar and innovative feature of this system, i.e. the ability to protect services that are not physically close to the security infrastructure. We will show that, thanks to a "NGINX" proxy and featuring proper IPS/firewall protection, it’s feasible to extend a security perimeter beyond geographical boundaries. Original taken from snortattack.org download INTERNET PIZZO Kategorien: [ security rootserver technic ]

---

::

IPS FLEXIBLE RESPONSE The Team from SnortAttack.org comes up with some interesting whitepapers on how to use snort as an active Intrusion Prevention System (IPS). The Whitepaper IPS FLEXIBLE RESPONSE describes the following: (from the Document): The IPS acronym references an Intrusion Prevention System, i.e. a network security device. It monitors the network traffic flow in order to feature real-time malicious traffic blocking. An IPS can be implemented using a server wherein Snort software works as an IPS, while Iptables handles the more specific firewall tasks and, leveraging specific packages, creates packet queues to be analyzed by the system. Original taken from snortattack.org download IPS FLEXIBLE RESPONSE Kategorien: [ security it rootserver ]

---

::

Security / Incident / Sysadmin Cheat Sheets and References We compiled a list of security and incident-based cheat-sheets, questionaires, online.resources and response information as well as some (mostly *nix) systemadministration pocket reference cards for quick resonses in case of emergency. For more information you might consult your literature or ask the mighty brother download Security / Incident / Sysadmin Cheat Sheets and References Kategorien: [ security mare rootserver ]

---

::

The Twelve Networking Truths RFC1925 - The Twelve Networking Truths Network Working Group R. Callon, Editor Request for Comments: 1925 IOOF Category: Informational 1 April 1996 The Twelve Networking Truths Status of this Memo This memo provides information for the Internet community. This memo does not specify an Internet standard of any kind. Distribution of this memo is unlimited. Abstract This memo documents the fundamental truths of networking for the Internet community. This memo does not specify a standard, except in the sense that all standards must implicitly follow the fundamental truths. Acknowledgements The truths described in this memo result from extensive study over an extended period of time by many people, some of whom did not intend to contribute to this work. The editor merely has collected these truths, and would like to thank the networking community for originally illuminating these truths. download The Twelve Networking Truths Kategorien: [ security it ]

---

::	Arbeiten mit Snort - Tutorials und Howtos Artikelserie mit Tutorials zur Installation, Konfiguration, Tuning und Administration eines Snort-IDS-Sensornetzwerkes. download Arbeiten mit Snort - Tutorials und Howtos Kategorien: [ security mare technic ]

---

::

Z0F5 - Security Research Zine Grossartige Artikelserie über die Sicherheit in der Security-Industrie selbst, einige ihrer **STARS** wie Kevin Mitnick, Dan Kaminsky, Robert Lemos und gierige Hacker/Skiddie - Gruppen wie Anti-Sec, Blackhat-forum et.al. Wir spiegeln diesen Text, um uns immer wieder daran zu erinnern, die eigene Sicherheit hochzuhalten. The security scene is fucked. You have Dan Kaminsky lecturing you on how DNS poisoning will destroy life as we know it. You have Matasano harvesting talent and critiquing everyone, and then Ptacek can only announce the release of....a graphical firewall management client. There's kingcope killing bugs and dropping weaponized exploits while making no other contribution except putting a smile on the face of kiddies. There's iDefense and their competitors selling exploits and only doing research in how to make more exploits. There's Jeff Moss running a conference under the hideous misnomer "Blackhat Briefings" where the same researchers search for glory and present the same shit year after year. There are people who just live press release by press release. And on top of it all, somehow you STILL have not got rid of Kevin Mitnick. The industry cares about virtualization one year and iPhones the next, every year forgetting the lessons it should have picked up in the last. download Z0F5 - Security Research Zine Kategorien: [ security ]

---

::

NIST Technical Guide to Information Security Testing and Assessment Security-Testing-Guide des National Institute of Standards and Technology (NIST); sehr umfangreiche Sammlung von Techniken und Standards, zur Planung, Durchführung und Auswertung von Security-Tests. Aus dem Intro: This document is a guide to the basic technical aspects of conducting information security assessments. It presents technical testing and examination methods and techniques that an organization might use as part of an assessment, and offers insights to assessors on their execution and the potential impact they may have on systems and networks. For an assessment to be successful and have a positive impact on the security posture of a system (and ultimately the entire organization), elements beyond the execution of testing and examination must support the technical process. Suggestions for these activities—including a robust planning process, root cause analysis, and tailored reporting—are also presented in this guide. download NIST Technical Guide to Information Security Testing and Assessment Kategorien: [ security technic ]

---

::

Securing Wordpress Whitepaper Technisches Whitepaper, in dem Schritt für Schritt erklärt wird, wie eine Wordpress-Installationen abgesichert werden kann (en, 15 Seiten) Aus dem Intro: This paper provides you with all necessary information to improve the security for your blog. We try to describe the steps in an easy, understandable way without to much tech talk, so that you can easily follow them and you don’t run into problems with applying these changes to secure your blog. All information can be found on BlogSecurity.net; this paper serves as a compact guide to secure your blog. We will strive to keep this document updated, so check back regularly. If you have questions, problems, ideas or something else related to this paper, feel free to contact us. Links Originallink: blogsecurity.net/wordpress/wordpress-security-whitepaper download Securing Wordpress Whitepaper Kategorien: [ security ]

---

::	OWASP Testing Guide V3 OWASP Testing Guide: Umfangreiche Anleitung, um Webapplikationen und zugrundeliegende Server (Web/Datenbank-Server) umfangreich auf Schwachstellen zu testen und die Ergebnisse zu analysieren. download OWASP Testing Guide V3 Kategorien: [ security technic ]

---

::

Software Assurance Maturity Model (SAMM) OWASP veröffentlicht ein umfangreiches Framework, um Entwickler und Software-Verantwortliche dabei zu unterstützen, Software im Ansatz sicher zu entwickeln. Das Framework (SAMM) steht unter einer Open License und kann frei verwendet werden. Aus dem Intro: The Software Assurance Maturity Model (SAMM) is an open framework to help organizations for- mulate and implement a strategy for software security that is tailored to the specific risks facing the organization. The resources provided by SAMM will aid in: Evaluating an organization’s existing software security practices Building a balanced software security assurance program in well-defined iterations Demonstrating concrete improvements to a security assurance program Defining and measuring security-related activities throughout an organization download Software Assurance Maturity Model (SAMM) Kategorien: [ security technic ]

---

::	SSL Server Rating Guide Umfangreiches Handbuch von SSL Labs, um SSL-Serverkonfigurationen abzusichern und das Public-SSL-Server-Ranking zu verbessern. download SSL Server Rating Guide Kategorien: [ security technic ]

---

::

THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES OWASP - Liste der 10 kritischsten Angriffspunkte für Webapplikation. Die Liste wird seit 2004 unregelmäßig mit Hilfe des OWASP-Projektes aktualisiert. download THE TEN MOST CRITICAL WEB APPLICATION SECURITY VULNERABILITIES Kategorien: [ security technic ]

---

::

Webserver-Security / linux-magazin.de Webapplikationen sind meist beinahe schutzlos den Widrigkeiten des WWW ausgesetzt. Enthalten sie Fehler, hat das fatale Folgen. Das Apache-Modul Modsecurity schafft eine zusätzliche Knautschzone. download Webserver-Security / linux-magazin.de Kategorien: [ security rootserver technic ]

---

::

AWS Security Whitepaper (engl.) Amazon Web Services (AWS) delivers a highly scalable cloud computing platform with high availability and dependability, and the flexibility to enable customers to build a wide range of applications. This document is intended to answer customer questions such as "How does AWS help me ensure my data is secure?" Specifically, AWS physical and operational security processes are described for network and infrastructure under AWS' management, as well as service-specific security implementations. download AWS Security Whitepaper (engl.) Kategorien: [ security technic ]

---

::	Firewall / Astaro - Fallstudien Mehr als 100.000 Kunden vertrauen Astaro beim Schutz ihrer Unternehmensnetzwerke. Ausführlichere Informationen und Fallbeispiele dazu finden Sie auf der Astaro-Webseite. download Firewall / Astaro - Fallstudien Kategorien: [ security it ]

| PublicKey | Datenschutz | Impressum | AGB | Warum GNU/Linux? |

(c) copyright 2003 - 2011 MARE system Kiel
(Icons by DryIcons )