Tooling voor technische informatiebeveiliging

Er bestaat diverse applicaties om controles uit te voeren op de staat van de informatiebeveiliging. Onderstaand behandel ik een aantal nuttige tools die voor deze controles kunnen worden ingezet.

NMAP security scanner.

De basis functie van NMAP is om te detecteren op een systeem of firewall welke poorten er open staan. Dit geeft een idee welke applicaties er draaien en of deze worden afgeschermd. Middels diverse scripts die er beschikbaar zijn kan additionele informatie ingewonnen worden over de beveiliging van systemen. Een goede controle is het uitvoeren van een scan en de resultaten vergelijken met een voorgaande scan. Dit maakt dat er inzicht wordt verkregen in de veranderingen van je omgeving. NMAP kent een optie om de output in xml formaat te verkrijgen. Voordeel hiervan is dat deze in een database geladen kan worden waarmee de mogelijkheden voor analyse aanzienlijk toenemen.

Kwetsbaarheid scanners.

Kwetsbaarheid scanners als OpenVAS of Nessus gaan alweer een stap verder. Waar NMAP op poortniveau het werk doet duiken deze scanners dieper in de vooral software zoals webservers, databases, DNS etc. Deze scanners putten uit een grote database met bekende kwetsbaarheden en brengen op die manier kwetsbaarheden of misconfiguraties aan het licht. Tegenwoordig hebben deze scanners de mogelijkheid om resultaten van een voorgaande scan te vergelijken met de huidige scan. Dit scheelt veel tijd en bied focus op alleen de belangrijke bevindingen.

Applicatie scanners.

Als laatste stap in de “keten” bestaan de zogenaamde applicatie scanners. Deze zijn voornamelijk gericht op web applicaties. Waar de kwetsbaarheid scanners zich richten op de webserver zelf, richten deze scanners zich op hoe de applicatie is geprogrammeerd. Middels automatische scans, waarbij de applicatie scanner zelf de URL’s in de web applicatie in kaart brengt en volgt of via een handmatige methode worden hiermee zaken als XXS of SQL injecties ontdekt. Een betaalbare appliactie hiervoor en nog hoog aangeschreven ook is de BURP suite. (http://portswigger.net/burp). Voor meer informatiee over mogelijke web applicatie kwetsbaarheden zie de OWASP top-10: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

SSL scanner.

Als laatste wil het gebruik van een SSL scanner noemen. Dit omdat heel veel kwetsbaarheden betrekking hebben op websites en de configuratie daarvan. Logisch natuurlijk, want welk bedrijf of organisatie ontsluit niet zijn informatie via het internet. Onbetwist is toch wel de tooling die aangeboden wordt op de website van Qualys SSL labs : https://www.ssllabs.com/ssltest/

Is er geen mogelijkheid om vanaf het internet te scannen, zoals bovengenoemde tool dit kan realiseren, kijk dan eens naar bijvoorbeeld SSLscan (http://sourceforge.net/projects/sslscan/). Hiermee kan worden gecontroleerd welke encryptie algoritmes een webserver ondersteunt en op basis hiervan kan bepaald worden of daar onveilige protocollen tussen zitten. Vaak komt het gebruik van een onveilig protocol tevoorschijn na een scan met kwetsbaarheid scanner. Een SSL scanner geeft echter een scala aan detail informatie voor als je zeker wilt weten wat er mogelijk mis is. Het gaat niet alleen over de gebruikte encryptie protocollen, maar het geeft ook detail inzicht in het gebruikte SSL certificaat. Op dit laatste zijn ook steeds strengere eisen van toepassing vanuit de grote browsers als Internet Explorer, Chrome en Opera. Vooral Chrome loopt hierin naar mijn gevoel voorop.