FIREWALL AUDIT. FORTROLIGT & PERSONLIGT Side 1 af 34

Størrelse: px
Starte visningen fra side:

Download "FIREWALL AUDIT. FORTROLIGT & PERSONLIGT 2003-2015. Side 1 af 34"

Transkript

1 SAMPLE FIREWALL AUDIT FORTROLIGT & PERSONLIGT Side 1 af 34

2 Personligt & fortroligt Att.: Kontaktperson Kunde A/S Adresse Postnummer og By Kære Kontaktperson, Lyngby den 8. april 2015 >> Vedr. firewall audit Analysen er gennemført i tidsrummet mellem d. 15. og d. 8. april På findes der en detaljeret, teknisk rapport samt en kopi af dette følgebrev. Det skal bemærkes, at vi ikke har haft fysisk adgang til netværket og derfor ikke har haft mulighed for at undersøge de påpegede uhensigtsmæssigheder til bunds. >> Omfang Omfanget af dette firewall review er, at analysen af reglerne og opsætningen udføres off-line ved brug af udleverede konfigurations- og route filer for:, Cisco ASA Version 8.6(1)2, xxx.xxx.xxx.130, i alt 1 stk. Den gennemførte analyse afdækker bl.a. detektering af uhensigtsmæssigheder i: Redundante regler Konfliktende regler VPN og administrative service regler Klartekst protokoller ANY service-, source- og destination regler SSL regler Inaktive regler Regler uden kommentarer og logning Opsætning generelt (banner, syslog, kryptering, timeouts, syslog levels) Operativsystemet baseret på offentliggjorte sårbarheder Det er aftalt, at analysen ikke indeholder et check for hvor hyppigt reglerne anvendes baseret på logfiler. I denne analyse er det ligeledes aftalt, at Digicure har fået udleveret et opdateret netværksdiagram. Der er udført følgende analyse på enhederne: IPCURE type Intern Ekstern Web Penetration Wi-Fi Firewall Udført Tabel 1: Udførte opgaver. Slutteligt findes der en definition af risikoklassificeringen benyttet i denne analyse samt forbehold med henblik på analysens resultater. FORTROLIGT & PERSONLIGT Side 2 af 34

3 >> Overordnet analyseresultat Der er med den netop udførte IPCURE firewall analyse, samlet konstateret 36 uhensigtsmæssigheder, hvoraf 19 klassificeres under de alvorlige risikodefinitioner. Mængden og kritikaliteten af uhensigtsmæssigheder sammenholdt med antallet af analyserede firewalls betyder, at det samlede sikkerhedsniveau vurderes til at ligge under middel. Den yderst-kritiske uhensigtsmæssighed omhandler 9 regler, der tillader trafik fra Any Source To Any Destination And Any. Dette betyder, at en ondsindet angriber har mulighed for at sende arbritær trafik til alle tjenester bagved firewall en på de berørte 5 interfaces. Firewall en anvender et forældet IOS operativsystem, hvilke gør den sårbar overfor en række angreb. Der er 22 offentligt kendte sårbarheder, der er registreret i CVE (Common Vulnerabilities and Exposures) databasen, og de Yderst-kritiske sårbarheder omhandler Bypass af autentifikation samt Buffer Overflow angreb. Lykkes det at udnytte disse sårbarheder kan firewall en overtages af en ondsindet angriber på administrator niveau. Der finders regler, der tillader brugen af klartekst protokoller såsom FTP, Telnet, HTTP og SMTP. Konsekvensen ved at tillade dette er, at netværkstrafikken kan opsamles af uvedkommende og fortrolige oplysninger såsom brugernavn, kodeord, kreditkortoplysninger m.v. kan komme i forkerte hænder via et MiTM (Man-in-The-Middle) angreb. Firewall en er konfigureret med VPN aggressive mode, der muliggør at den udvekslede preshared key (PSK) kan opsamles og brydes offline. Lykkedes dette, vil angriberen kunne få adgang til tjenester bagved firewall en. Generelt er der mange regler, der er sat uhensigtsmæssigt op, primært er mange alt for brede, idet de tillader trafik mellem IP ranges og port ranges. Disse vide regler gør, at der potentielt er mange angrebsmuligheder for en ondsindet angriber. Det skal tilføjes, at før angreb kan udføres succesfuldt, kræves det at servicen også er sårbar. I de efterfølgende afsnit vil I kunne finde en mere detaljeret beskrivelse af eksempler på de enkelte uhensigtsmæssigheder samt finde en prioriteret handlingsplan for udbedring af disse som det anbefales at følge. Fordeling af uhensigtsmæssigheder Yderst kritisk 1 Kritisk 7 Høj 11 Medium 13 Lav 4 Total Figur 1: Overordnet uhensigtsmæssighedsfordeling på kategorier. Ovenstående figur viser en oversigt over antallet af uhensigtsmæssigheder fordelt på de forskellige risikodefinitioner. FORTROLIGT & PERSONLIGT Side 3 af 34

4 >> Uhensigtsmæssighedernes fordeling på risikogrupper Nedenstående tabel giver et overblik over fordelingen af uhensigtsmæssigheder. Uhensigtsmæssigheder pr. firewall Yderst kritisk Kritisk Høj Medium Lav Total Total Tabel 2: Uhensigtsmæssighedsfordeling pr. firewall Ovenstående tabel viser en oversigt over antallet af uhensigtsmæssigheder, der er konstateret med analysen samt deres respektive risikodefinitioner. Heraf kan det ses, hvor indsatsen bør prioriteres med det formål at få forbedret sikkerhedsniveauet mest muligt. Det skal bemærkes, at ikke alle uhensigtsmæssigheder er ofte grundet mængden ikke medtaget i dette følgebrev, hvorfor der henvises til den tekniske rapport hvori alle uhensigtsmæssigheder forefindes. >> Uhensigtsmæssighedsudvikling Siden forrige analyse, der blev udført (ingen tidligere analyser) er der konstateret følgende overordnede udvikling: Udvikling Yderst kritisk Kritisk Høj Medium Lav Total Udbedret Tilkommet Total Tabel 3: Uhensigtsmæssighedsudvikling Da der ikke tidligere er foretaget nogen sikkerhedsanalyse for Kunde A/S af den pågældende firewall, er det ikke muligt at beskrive en uhensigtsmæssighedsudvikling. Det er også derfor, at samtlige af de 36 detekterede uhensigtsmæssigheder fremstår som tilkommet. Normalt vil der i dette afsnit blive beskrevet hvilke uhensigtsmæssigheder, der er tilkommet samt hvilke, der er udbedret sammenlignet med forrige analyse. FORTROLIGT & PERSONLIGT Side 4 af 34

5 >>Anbefalinger Der blev med den udførte IPCURE firewall analyse konstateret 36 uhensigtsmæssigheder, hvoraf 19 er af kategorien Høj eller derover, og derfor må betragtes som alvorlige. Denne kategorisering kommer som følge af de konsekvenser uhensigtsmæssighederne kan have for systemerne eller brugerne deraf. Det anbefales derfor, udbedringen af disse uhensigtsmæssigheder prioriteres højt. Risiko Handling Lokation Yderst kritisk Begræns Any-Any regler til de specifikke enheder. Kritisk Opdater IOS operativsystemet til nyeste version. Kritisk Begræns adgange til administrative services. Kritisk Modificer reglerne for at begrænse adgang til klar-tekst services. Kritisk Tillad kun main mode for alle IPSec VPN forbindelser. Kritisk Sæt SSH timeout til maksimalt 10 minutter. Kritisk Sæt console session timeout til maksimalt 10 minutter. Kritisk Modificer reglerne for at begrænse adgang fra SRC IP range til Any DST og Any porte. Kritisk Aktiver unicast-rpf for at imødegå anti-spoofing. Høj Modificer reglerne for at begrænse adgang til potentielle database følsomme services. Høj Modificer reglerne for at begrænse adgang fra Any SRC til Any DST. Høj Modificer reglerne for at begrænse adgang fra SRC range til DST IP range og Any porte Høj Modificer reglerne for at begrænse adgang til Any DST og Any DST porte. Høj Modificer reglerne for at begrænse adgang fra en SRC IP range til Any DST og en port range. FORTROLIGT & PERSONLIGT Side 5 af 34

6 Høj Modificer reglerne for at begrænse adgang fra Any SRC til Any DST porte. Høj Tillad kun stærke cifre over 128 bit ved SSL kryptering. Høj Modificer reglerne for at begrænse adgang fra en SRC IP range til en DST IP range og en porte range. Høj Modificer reglerne for at begrænse adgang fra Any SRC til en porte range Høj Modificer reglerne for at begrænse adgang til en DST IP range og Any porte. Medium Aktiver NTP autentifikation. Medium Modificer reglerne for at begrænse adgang fra SRC IP range til Any DST. Medium Modificer reglerne for at begrænse typen af tilladte protokoller. Medium Modificer reglerne for at begrænse adgang fra SRC IP range til Any porte. Medium Modificer reglerne for at begrænse adgang til DST IP range og DST porte. Medium Modificer reglerne for at begrænse adgang fra Any SRC. Medium Modificer reglerne for at begrænse adgang til Any DST. Medium Modificer reglerne for at begrænse adgang fra en SRC IP range til DST port range. Medium Modificer reglerne for at begrænse adgang fra en SRC IP range til DST IP range. Medium Modificer reglerne for at begrænse adgang til Any DST porte. Medium Sæt logon banner med advarsel mod uautoriseret login forsøg. Lav Krypter alle syslog meddelelser. Lav Fjern inaktive regler. FORTROLIGT & PERSONLIGT Side 6 af 34

7 Lav Fjern overlappende regler. Lav Fjern ubenyttede objektgrupper. Tabel 4: Prioriteret handlingsplan Ovenstående tabel giver et samlet overblik over de udbedringer, det anbefales at udføre. I de efterfølgende afsnit vil der være uddybende beskrivelser samt konkrete anbefalinger til udbedring. Regler tillader adgang fra Any SRC til Any DST og Any Yderst kritisk uhensigtsmæssighed Det er blevet detekteret, at et antal netværks filter regler tillader pakker fra en vilkårlig host til en vilkårlig modtager host på alle porte. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Protokol SRC SRC DST DST Log 6 int01 Ja Any Any Any Any Any n/a 4 int02 Ja Any Any Any Any Any n/a 1-3 int03 Ja Any Any Any Any Any n/a 1-3 int04 Ja Any Any Any Any Any n/a 1 int05 Ja Any Any Any Any Any n/a Tabel 5: Extended ACL tillader trafik fra any SRC til any DST på any port hos Det anbefales, at reglen fjernes eller begrænses til kun at tillade need-to-have trafik mellem specificerede hosts og porte. Se guidelines for implementering af Access Control Lists på html FORTROLIGT & PERSONLIGT Side 7 af 34

8 Forældet IOS operativsystem Kritisk uhensigtsmæssighed Baseret på firewall ens IOS version er det detekteret, at der anvendes en forældet verion af IOS operativsystemet. Der er i alt fundet 22 sårbarheder, hvor de 3 alvorligste omhandler Bypass af autentifikation (CVE ) og to Buffer Overflows (CVE og CVE ). Se detaljer på hhv. og : 8.6(1)2 Figur 2: Forældet operativsystem Det anbefales at opgradere operativsystemet til nyeste version. Se for flere detaljer og for at hente nyeste tilgængelige IOS version. Regler tillader adgang til Administrative Services Kritisk uhensigtsmæssighed Der er detekteret regler, der håndterer typiske protokoller til administrations formål. Eksempler på sådanne standard porte er SSH (22/tcp), Telnet (23/tcp) og RDP (3389/tcp). Men også andre porte kan anvendes til administrative formål. I nedenstående tabeller er der ikke nævnt Http og Https, da disse fylder en del og der henvises derfor til den tekniske rapport desangående. R# Interface Aktiv Prot SRC SRC DST DST Log okol 5 int01 Ja TCP Any Any Any 22 n/a 129 int01 Ja TCP Any Any xxx.xxx.x 23 n/a xx.1 50 int06 Ja TCP xxx.xxx.xxx.237 Any xxx.xxx.x 3389 n/a xx int07 Ja TCP Barracuda (xxx.xxx.xxx.13) Any xxx.xxx.x xx n/a 51 int08 Ja TCP xxx.xxx.xxx.37 Any xxx.xxx.x xx.197 networ k03 (23) n/a Tabel 6: Eksempler på Extended ACL til administrative services på Det anbefales, at reglerne rettes til, så kun administrative brugers IP adresser har adgang til administrative services. Dette betyder, at reglerne skal begrænses til kun at tillade trafik: FORTROLIGT & PERSONLIGT Side 8 af 34

9 til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller - Regel nr. 2-3, 13-14, 16, 18-20, 23-25, 27-31, 33-34, 36-37, 39-42, 51-53, 63-68, 72-74, 76-78, 87-99, 103, , 115, 122, 126, , , , ,166 og på interface int01 - Regel nr. 2-3, 13-14, 16, 18-20, 23-25, 27-31, 33-34, 36-37, 39, 42-46, og 64 på interface int06 - Regel nr. 1-3, og på interface int09 - Regel nr. 3-4 og på interface int10 - Regel nr. 1, 3-4, 11-12, 19 og på interface int11 - Regel nr. 4 på interface int02 - Regel nr. 1-3 og 7 på interface int03 - Regel nr. 1-2 på interface int12 - Regel nr. 2-3 og 5 på interface int13 - Regel nr. 4 på interface int14 - Regel nr. 1-3 på interface int04 - Regel nr. 1 på interface int05 - Regel nr. 2, 5, 8, 17, og 28 på interface int15 - Regel nr. 4, 6, 12-14, 16, 2, 26, 28, 42 og 44 på interface int07 - Regel nr. 2, 5, 12, 18, 20-22, 24, 28, 31 og på interface int08 - Regel nr. 2 på interface int16 Regler tillader adgang til klar-tekst services Kritisk uhensigtsmæssighed Der er detekteret regler, der håndterer adgange til typiske klar-tekst services. Eksempler på sådanne standard services er Ftp (21/tcp), Smtp (25/tcp), Telnet (23/tcp), Http (80 og 8080/tcp), Pop3 (110/tcp). I nedenstående tabeller er der ikke nævnt Http, da denne fylder en del og der henvises derfor til den tekniske rapport desangående. R# Interface Aktiv Prot SRC SRC DST DST Log okol 109 int01 Ja TCP network08 Any Any 21 n/a xxx.xxx.xxx int01 Ja TCP Any Any xxx.xxx.xxx.1 23 n/a 15 int06 Ja TCP Any Any xxx.xxx.xxx n/a 5 int10 Ja TCP Any Any Any 21 n/a 8 int11 Ja TCP xxx.xxx.xxx.0 Any Any 110 n/a /24 13 int11 Ja TCP, Any Any network n/a UDP (xxx.xxx.xxx.11- xxx.xxx.xxx.12) Tabel 7: Eksempler på Extended ACL tillader adgang til klar-tekst hos Det anbefales generelt, at udskifte klar-tekst services med krypterede ditto der skal naturligvis tages højde for funktionaliten og anvendelsen af de enkelte services bagved. FORTROLIGT & PERSONLIGT Side 9 af 34

10 Reglerne bør rettes til, så kun bestemte IP adresser har adgang til specifikke klar-tekst services. Dette betyder, at reglerne skal begrænses til kun at tillade trafik : til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 1, 6, 10, 12, 17, 25-26, 28-29, 39-40, 42, 63-68, 72-74, 76-78, 89, 98, 103, , 122, , , , , 166 og på interface int01 - Regel nr. 2, 13-15, 17-20, 24, 27-30, 35-37, 42-43, 45, 48, og 64 på interface int06 - Regel nr. 1-3, og på interface int09 - Regel nr. 3, 5 og på interface int10 - Regel nr. 1, 4, 8-9, 11-13, 19 og på interface int11 - Regel nr. 4 på interface int02 - Regel nr. 1-3 og 7 på interface int03 - Regel nr. 1 på interface int12 - Regel nr. 2 og 5 på interface int13 - Regel nr. 4 på interface int14 - Regel nr. 1-3 på interface int04 - Regel nr. 1 på interface int05 - Regel nr. 2, 5, 8, 12, 14-15, 17, 19, og på interface int15 - Regel nr. 6, 12-13, 16, 19-21, 27-30, 33, 35-36, 38-40, 42 og 44 på interface int07 - Regel nr. 2, 6, 12, 18, 20-22, 24, 26, 28, 31 og på interface int08 - Regel nr. 2 på interface int16 FORTROLIGT & PERSONLIGT Side 10 af 34

11 VPN - Aggressive mode Kritisk uhensigtsmæssighed Det blev konstateret, at firewallen understøtter Aggressive mode, der gør det muligt for klienter at oprette forbindelse til serveren hurtigere. Selv samme Aggressive mode gør det samtidig muligt for angribere at udføre et offline bruteforce angreb mod den udvekslede PSK nøgle. Dette medføre at angriberen kan hente og forsøge at dekryptere PSK nøglen uden det vil blive opdaget. Visse VPN klienter kræver, at denne form for autentifikation er understøttet, hvorfor det anbefales, at I undersøger om dette er tilfældet med jeres konfiguration. Yderligere information omkring deaktivering og konsekvenserne heraf, kan læses på følgende link: #wp Auth DH Group Kryptering Hash Mode Iime (min.) PSK Group 2 (1024-bit) 3DES (168-bit) SHA1 Aggr 1440 Tabel 8: VPN aggressive mode er konfigureret på Det anbefales, at kun main mode anvendes når IPSEC VPN nøgleudvekslingen foregår. SSH - Time-out Kritisk uhensigtsmæssighed Den automatiske timeout værdi for SSH sessioner er sat uhensigtsmæssigt højt. Ved ufuldstændige afslutninger af SSH sessionen kan en ondsindet angriber potentielt overtage sessionen med tilhørende ofte administrative rettigheder. Der er i praksis tale om et MiTM (Man-in-The-Middle) angreb, hvor en åben session kompromitteres. ssh timeout 60 Figur 3: Høj SSH timeout værdi Det anbefales, at nedsætte værdien fra 60 minutter til 10 minutter. Se endvidere Ciscos Configuring Management Access på linket management.html FORTROLIGT & PERSONLIGT Side 11 af 34

12 Manglende konsol - Time-out Kritisk uhensigtsmæssighed Den automatisle timeout værdi ved konsol adgang er 0, hvilket betyder at sessionen ikke terminerer automatisk efter et antal minutter, men forbliver åben. Uvedkommende kan derfor uforvarrent få adgang til sessionen, der ofte anvendes til administrative opgaver. console timeout 0 Figur 4: Ingen konsol timeout Det anbefales, at sætte værdien til 10 minutter. Se endvicere Ciscos Configuring Management Access på linket management.html Regler tillader adgang fra SRC IP range til Any DST og Any Kritisk uhensigtsmæssighed Nedenstående regler tillader trafik fra IP adresse ranges til vilkårlige IP adresser og vilkårlige porte. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 5 int13 Ja TCP xxx.xxx.xxx. Any Any Any n/a 0/24 Tabel 9: Eksempel på Extended ACL regler, der tillader trafik fra SRC IP range til Any DST hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra til specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 5 på interface int13 FORTROLIGT & PERSONLIGT Side 12 af 34

13 Manglende antispoofing (Unicast Reverse Path Forwarding) Kritisk uhensigtsmæssighed Det er detekteret, at der ikke anvendes antispoofing filtre, der kan validere om trafikken kommer fra valide IP-adresser. Unicast RPF (Reverse Path Forwarding ) er selvlærende og detekterer selv forandringer i infrastrukturen. Det anbefales, at aktivere antispoofing filtret på alle eller dele af interfacene. Se endvicere Ciscos Unicast Reverse Path Forwarding på linket - Interfaces : int01, int02, int03, int05 Regler tillader adgang til følsomme Database Services Høj-risiko uhensigtsmæssighed Der er detekteret regler, der håndterer typiske adgange til database systemer. Eksempler på sådanne standard databaser er MSSQL (1433/tcp) og MySQL (3306/tcp). Men også andre porte kan anvendes til database services. I nedenstående tabeller er der kun nævnt MSSQL og MySQL. Pågrund af mængden, henvises der derfor til den tekniske rapport desangående. R# Interface Aktiv Protokol SRC SRC DST DST Log 3 int01 Ja TCP xxx.xxx.xxx.0 Any xxx.xxx.xxx n/a 13 int01 Ja TCP xxx.xxx.xxx.2 Any xxx.xxx.xxx n/a 136 int01 Ja TCP network08 Any xxx.xxx.xxx n/a xxx.xxx.xxx.0 (xxx.xxx.xxx. 0/12) 27 int15 Ja TCP xxx.xxx.xxx.3 Any xxx.xxx.xxx n/a 4 17 int07 Ja TCP xxx.xxx.xxx.2 Any xxx.xxx.xxx n/a 8 18 int07 Ja TCP xxx.xxx.xxx.2 Any xxx.xxx.xxx n/a 8 43 int08 Ja TCP xxx.xxx.xxx.4 Any xxx.xxx.xxx n/a 2 Tabel 10: Eksempler på Extended ACL til database services på Generelt er der observeret for mange regler, der tillader trafik til DST port Dette bør begrænses til specifikke porte. Det anbefales yderligere, at reglerne rettes til, så kun specifikke IP adresser har adgang til database services. Dette betyder, at reglerne skal begrænses til kun at tillade trafik : FORTROLIGT & PERSONLIGT Side 13 af 34

14 til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller - Regel nr. 3, 13 og 136 på interface int01 - Regel nr. 18 og 27 på interface int15 - Regel nr på interface int07 Regler tillader adgang fra Any SRC og Any DST Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra alle IP adresser til alle IP adresser, hvor begræsningen kan være portene og/eller protokoltypen (ICMP og UDP). Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Protokol SRC SRC DST DST Log 164 int01 Ja TCP Any Any Any 2776 n/a 8-9 int10 Ja TCP Any Any Any 53, 1935 n/a 20 int11 Ja TCP Any Any Any n/a 4 int03 Ja ICMP Any Any Any n/a n/a 1 int14 Ja TCP, UDP Any Any Any n/a Tabel 11: Eksempel på Extended ACL regler, der tillader trafik fra Any SRC til Any DST hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser og ikke ranges - har adgang. Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adresser - Regel nr. 5, 143, og 164 på interface int01 - Regel nr. 3-9 på interface int10 - Regel nr. 3-4, 7 og 20 på interface int11 - Regel nr. 4 på interface int03 - Regel nr. 1-3 på interface int12 - Regel nr. 2-4 på interface int13 - Regel nr. 1-4 på interface int14 - Regel nr. 1-2 på interface int16 FORTROLIGT & PERSONLIGT Side 14 af 34

15 Regler tillader adgang fra SRC IP range til DST IP range og Any DST porte Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik til og fra IP ranges til alle destinations porte. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot okol 122 int01 Ja TCP, UDP SRC network08 xxx.xxx.xxx.0 (xxx.xxx.xxx. 0/12) SRC Any DST xxx.xxx.xxx. 0/24 DST Any Tabel 12: Eksempel på Extended ACL regler, der tillader trafik til og fra IP ranges til Any DST port hos Log n/a Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser og ikke ranges - har adgang. Dette betyder, at reglerne skal begrænses til kun at tillade trafik : til specifikke modtager IP adresser fra til specifikke afsender IP adressers porte - Regel nr. 40, 122, 128, , 140 og 150 på interface int01 - Regel nr. 3, og på interface int09 - Regel nr. 7 på interface int03 Regler tillader adgang til Any DST og Any DST porte Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik til alle IP adresser og porte, hvor begrænsningen kan være afsender ip adressen. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Protokol SRC SRC DST DST Log 74 int01 Ja TCP network05 Any Any Any n/a (xxx.xxx.xxx.227) Tabel 13: Eksempel på Extended ACL regler, der tillader trafik til Any DST og DST port hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser og ikke ranges - har adgang. Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adressers porte via specifikke protokoller og for ICMP specificeres message typen FORTROLIGT & PERSONLIGT Side 15 af 34

16 - Regel nr. 74, 141, , 155 og på interface int01 - Regel nr. 1-2 på interface int09 - Regel nr. 1 og på interface int11 - Regel nr. 12 og 44 på interface int07 Regler tillader adgang fra SRC IP range til Any DST og en range Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra IP adresse ranges til vilkårlige IP adresser med en port range. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 127 int01 Ja TCP network08 Any Any n/a xxx.xxx.xxx.0 (xxx.xxx.xxx.0/1 2) 4004 Tabel 14: Eksempel på Extended ACL regler, der tillader trafik fra SRC IP range til Any DST hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 127 på interface int01 FORTROLIGT & PERSONLIGT Side 16 af 34

17 Regler tillader adgang fra Any SRC til Any DST port Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra alle IP adresser til vilkårlige porte på en specifik enhed. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Protokol SRC SRC DST DST 156 int01 Ja Any Any Any xxx.xxx.xxx.75 Any n/a Tabel 15: Eksempler på Extended ACL regler, der tillader trafik fra Any SRC til Any DST port hos Log Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser og ikke ranges - har adgang. Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr , 153 og 156 på interface int01 - Regel nr på interface int06 - Regel nr på interface int10 SSL svage cifre Høj-risiko uhensigtsmæssighed Under denne audit er det blevet konstateret, at der understøttes svage krypteringscifre med nøgler på mindre end 128 bit i forbindelse med sikring af HTTPS kommunikationen mellem klient og server. Krypteringscifre på mindre end 128 bit, vurderes ikke som værende sikre, da en determineret angriber vil kunne bryde krypteringen disse giver. Dette vil kunne gennemføres gennem bruteforce angreb, hvor alle kombinationer forsøges som følge af den regnekraft, der er tilgængelig for almindelige brugere i dag. Kryptering Autentifikation Nøgle længde SSLv2 SSLv3 TLSv1 3DES: SHA1: 168 bits Ja Ja Ja 56 bits Ja Ja Ja RC4: MD5: 40 bits Ja Ja Ja 56 bits Ja Ja Ja 64 bits Ja Ja Ja 128 bits Ja Ja Ja AES: SHA1: 128 bits Ja Ja Ja 192 bits Ja Ja Ja 256 bits Ja Ja Ja Tabel 16: Understøttelse af svage SSL-cifre på FORTROLIGT & PERSONLIGT Side 17 af 34

18 Det anbefales derfor, at krypteringscifre på mindre end 128 bit ikke supporteres. Regler tillader adgang fra SRC IP range til DST IP range og en range Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra IP adresse ranges til modtager IP adresser ranges. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 44 int01 Ja TCP xxx.xxx.xxx.0 Any xxx.xxx.x n/a /24 xx.0/ Tabel 17: Eksempel på Extended ACL regler, der tillader trafik fra SRC IP range til Any DST port hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser (og ikke ranges) har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 44 på interface int01 FORTROLIGT & PERSONLIGT Side 18 af 34

19 Regler tillader adgang fra Any SRC til DST portrange Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra IP ranges til modtagers portrange. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 168 int01 Ja TCP Any Any xxx.xxx.xxx. network06 (321, n/a ) Tabel 18:Eksempler på Extended ACL regler, der tillader trafik fra any SRC til DST portrange hos Det anbefales yderligere, at reglerne rettes til, så der kun er adgang til bestemte porte (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 168 på interface int01 Regler tillader adgang til DST IP range og Any Høj-risiko uhensigtsmæssighed Nedenstående regler tillader trafik til IP adresse ranges til vilkårlige IP adresser på vilkårlige porte. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 5 int15 Ja Any xxx.xxx.xxx.53 Any xxx.xxx.xx Any n/a x.0 (xxx.xxx.xx x.0/16) 42 Ja Any xxx.xxx.xxx.20 Any xxx.xxx.xx Any n/a int07 x.0 (xxx.xxx.xx x.0/16) Tabel 19: Eksempel på Extended ACL regler, der tillader trafik til DST IP range og Any DST porte hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser FORTROLIGT & PERSONLIGT Side 19 af 34

20 via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 5 på interface int15 - Regel nr. 42 på interface int07 NTP Manglende authentifikation Medium-risiko uhensigtsmæssighed Det er blevet detekteret, at NTP (Network Time Protocol) er konfigureret uden anvendelse af authentifikation ved opdatering af tiden. Hvis en ondsindet angriber kan ændre tiden vil det vanskeliggøre efterforskningsabejdet når forskellige logfiler skal analyseret. Endvidere lækker NTP også oplysninger om systemet. ntp server xxx.xxx.xxx.194 source Outside Figur 5: NTP uden autentifikation Det anbefales, at optionen med NTP autentifikation aktiveres ved: ntp authenticate ntp trusted-key key-id ntp authentication-key key-id md5 key-string ntp server ip-address key key-id Regler tillader adgang fra SRC IP range til Any DST Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra IP adresse ranges til vilkårlige IP adresser. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 36 int01 Ja TCP xxx.xxx.xxx.0 Any Any 7777 n/a (xxx.xxx.xxx.0/1 6) Tabel 20: Eksempel på Extended ACL regler, der tillader trafik fra SRC IP range til Any DST hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: FORTROLIGT & PERSONLIGT Side 20 af 34

21 til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message - Regel nr. 7, 22, 36, 53, 103, , , , 124, 126, 132,138 og 144 på interface int01 - Regel nr. 7-8 på interface int11 Regler tillader fra Any protokol type Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik via vilkårlige protokol typer (TCP, UDP, ICMP etc.). Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Protokol SRC SRC DST DST Log 156 int01 Ja Any Any Any xxx.xxx.xxx.75 Any n/a Tabel 21: Eksempel på Extended ACL regler, der tillader trafik fra Any protokol type hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adressers porte via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 10, 40, 128, 131, 139, 145, , 153, og 175 på interface int01 - Regel nr på interface int06 - Regel nr. 1-3, og på interface int09 - Regel nr. 1 og på interface int11 - Regel nr. 4 på interface int02 - Regel nr. 1 på interface int03 - Regel nr. 5 på interface int13 - Regel nr. 1 på interface int04 - Regel nr. 1 på interface int05 - Regel nr. 5 på interface int15 - Regel nr. 42 på interface int07 FORTROLIGT & PERSONLIGT Side 21 af 34

22 Regler tillader adgang fra SRC IP range til Any port Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra IP adresse ranges til modtager IP adressers vilkårlige porte. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Proto SRC SRC DST DST Log kol 10 int01 Ja Any network07 Any network06 ANY n/a xxx.xxx.xxx.0 (xxx.xxx.xxx. 0/12) (xxx.xxx.xxx.20) Tabel 22: Eksempel på Extended ACL regler, der tillader trafik fra SRC IP range til Any DST port hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 10 på interface int01 Regler tillader adgang til DST IP range og DST portrange Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik til modtagers IP ranges og portrange. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Inter face Aktiv Proto kol SRC SRC DST DST 60 int06 Ja UDP network08 Any xxx.xxx.xxx (xxx.xxx.xxx.1, /22 - xxx.xxx.xxx.254, 1710 xxx.xxx.xxx.243, xxx.xxx.xxx.153) Tabel 23: Extended ACL regler, der tillader trafik til DST IP range og DST portrange hos Log n/a Det anbefales yderligere, at reglerne rettes til, så der kun er adgang til bestemte porte (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser FORTROLIGT & PERSONLIGT Side 22 af 34

23 fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr på interface int06 - Regel nr. 20 på interface int15 Regler tillader adgang fra Any SRC Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra vilkårlige afsender IP adresser. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 79 int01 Ja TCP Any Any xxx.xxx.xxx n/a Tabel 24: Eksempel på Extended ACL regler, der tillader trafik fra Any SRC hos Det anbefales yderligere, at reglerne rettes til, så der kun er adgang til bestemte IP adresser (og ikke vilkårlige). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 18, 79-81, 129, og 167på interface int01 - Regel nr. 2, 4-6, 8-17, 20-25, 27-28, 3132, 35, 37-38, og på interface int06 - Regel nr og 14 på interface int10 - Regel nr. 2, 5-6 og på interface int11 - Regel nr. 1 på interface int02 FORTROLIGT & PERSONLIGT Side 23 af 34

24 Regler tillader adgang til Any DST Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik vilkårlige modtager IP adresser. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Protokol SRC SRC DST DST Log 171 int01 Ja TCP, UDP xxx.xxx.xxx.2 Any Any n/a 38 Tabel 25: Eksempel på Extended ACL regler, der tillader trafik til Any DST hos Det anbefales yderligere, at reglerne rettes til, så der kun er adgang til bestemte IP adresser (og ikke vilkårlige). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 20, 75, 110, 154 og på interface int01 - Regel nr. 5-6 og 8-10 på interface int03 - Regel nr. 1-2, 8, 17, 22 og 28 på interface int15 - Regel nr. 3-6, 13, 16, 19-21, og på interface int07 - Regel nr. 2, 5-6, 12 og på interface int08 Regler tillader adgang fra SRC IP range til DST port range Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra IP adresse ranges til modtager IP adressers port range. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 35 int01 Ja Any xxx.xxx.xxx.0 Any network n/a (xxx.xxx.xxx. 0/16) (xxx.xxx.xxx.1 5) 3800 Tabel 26: Eksempel på Extended ACL regler, der tillader trafik fra SRC IP range til Any DST port hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: FORTROLIGT & PERSONLIGT Side 24 af 34

25 fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 35 og 37 på interface int01 Regler tillader adgang fra SRC IP range til DST IP range Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik fra IP adresse ranges til modtager IP adresser ranges. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Prot SRC SRC DST DST Log okol 45 int01 Ja TCP network13 Any network n/a (xxx.xxx.xxx.0/ 24) (xxx.xxx.xxx.0/24) Tabel 27: Eksempel på Extended ACL regler, der tillader trafik fra SRC IP range til Any DST port hos Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser (og ikke ranges) har adgang til bestemte IP adresser (og ikke ranges). Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adresser via specifikke protokoller og for ICMP specificeres message typen - Regel nr. 45 og på interface int01 FORTROLIGT & PERSONLIGT Side 25 af 34

26 Regler tillader til Any DST port Medium-risiko uhensigtsmæssighed Nedenstående regler tillader trafik til vilkårlige porte. Dette udgør normalt en sikkerheds risiko, idet alt for åbne regler kan give en ondsindet angriber mange muligheder for at sætte forskellige angreb ind. R# Interface Aktiv Proto kol SRC SRC DST DST 67 int01 Ja Any network12 Any network11 Any (xxx.xxx.xxx.227) (xxx.xxx.xxx.50) Tabel 28: Eksempel på Extended ACL regler, der tillader trafik til Any porte hos Log n/a Det anbefales yderligere, at reglerne rettes til, så kun bestemte IP adresser har adgang til bestemte IP adressers bestemte porte. Dette betyder, at reglerne skal begrænses til kun at tillade trafik: til specifikke modtager IP adresser fra specifikke afsender IP adressers porte via specifikke protokoller og for ICMP specificeres message typen - Regel nr , og 139 på interface int01 - Regel nr. 23 på interface int15 FORTROLIGT & PERSONLIGT Side 26 af 34

27 Logon banner Medium-risiko uhensigtsmæssighed Det er blevet detekteret, at der ikke er konfigureret en banner tekst, der vises før logon foretages. Bannerets formål er at gøre opmærksom på konsekvensen ved uautoriserede logon forsøg. ############################################################## # Welcome to XXXXX # # # # All connections are monitored and recorded # # Disconnect IMMEDIATELY if you are not an authorized user! # # # # Unauthorized logon attempts will be handed over to the local law enforcement # ############################################################## Figur 6: Eksempel på et Logon banner Det anbefales, at anvende Message Of The Day (MOTD) banneret til at oplyse om konsekvensen ved uautoriseret forsøg på indtrængen i systemet. Banneret aktiveres ved: banner motd message-text Syslog konfiguration Lav-risiko uhensigtsmæssighed Der er detekteret, at sysloggen ikke krypterer meddelelser, der logges. En ondsindet angriber vil potentielt kunne opsnappe disse ukryterede meddelser når de transmitteres over netværket. Host Protokol Enhed xxx.xxx.xxx.2 UDP 514 Tabel 29: Syslog uden kryptering FORTROLIGT & PERSONLIGT Side 27 af 34

28 Inaktive regler Lav-risiko uhensigtsmæssighed Der er detekteret et antal inaktive regler på firewallen. Dette udgør i sig selv ingen sikkerhedsrisiko, men kan dog være udtryk for, at reglerne er midlertidig sat ud af funktion grundet eksempelvis forsøg eller midlertidige adgange. Nedenfor er angivet et eksempel på en inaktiv regel. R# Interface Aktiv Proto kol SRC SRC por t DST 1 int09 nej TCP xxx.xxx.xxx.26 Any xxx.xxx.xxx. 13 Tabel 30: Eksempel på inaktiv regel hos DST port Lo g n/a Det anbefales, at disse regler gennemgås og fjernes fra konfigurationen og dokumenteres andet steds f.eks. i et change management system inaktive regler Overlappende regler Lav-risiko uhensigtsmæssighed Der er detekteret et antal overlappende, redundante regler på firewallen. Dette udgør i sig selv ingen sikkerhedsrisiko, men kan øge chancen for at miste overblikket over hvilke regler, der gælder. R# Interface Aktiv Proto kol SRC 173 int01 Ja TCP xxx.xxx.xxx.11 8 SRC DST DST Log Any xxx.xxx.xxx.45 Any n/a Overlapper med følgende regel 175 int01 Ja ANY xxx.xxx.xxx.11 8 Any xxx.xxx.xxx.0/2 4 Tabel 31: Eksempel på overlappende regel på Any n/a Det anbefales, at alle disse regler gennemgås og redundans fjernes fra konfigurationen. Se Filter Rules Overlap Other Rules i den tekniske rapport overlappende regler FORTROLIGT & PERSONLIGT Side 28 af 34

29 Ubenyttede objekt grupper Lav-risiko uhensigtsmæssighed Der er konfigureret et antal ubenyttede objektgrupper på firewallen. Dette udgør i sig selv ingen sikkerhedsrisiko, men kan være en remenisens fra en tidligere konfigurations version. obj-xxx.xxx.xxx.0 address list; obj-xxx.xxx.xxx.19 address list; obj-xxx.xxx.xxx.18 address list; obj-xxx.xxx.xxx.0 address list; obj-xxx.xxx.xxx.0 address list; obj-xxx.xxx.xxx.24 address list; obj-xxx.xxx.xxx.37 address list; obj-xxx.xxx.xxx.22 address list; obj-xxx.xxx.xxx.0 address list; --- forkortet network01 network group; network02 network group. Figur 7: Ubenyttede objekt grupper Det anbefales, at de ubenyttede objektgrupper fjernes fra konfigurationen ubenyttede objektgrupper FORTROLIGT & PERSONLIGT Side 29 af 34

30 >> Andre observationer Der blev ikke fundet andre sikkerhedsmæssige observationer, der kunne have relevans for den netop gennemførte analyse. >> Appendiks A Konfiguration Nedenstående tabel viser de vigtigste af firewallens konfigurationsparametre. Afsnit Parameter Firewall Basic Name Device Cisco Adaptive Security Appliance Firewall ASA 8.6(1)2 Configuration Revision n/a Service SSH 22/tcp Telnet HTTP HTTPS SNMP IKE 23/tcp 80/tcp 443/tcp 161/udp 500/udp Logging Syslog xxx.xxx.xxx.2:514/udp Severity level Informational (6) Tabel 32: Firewall konfiguration. FORTROLIGT & PERSONLIGT Side 30 af 34

31 >> Appendiks B Netværkstegning Ingen yderligere dokumentation er udleveret af kunden. >> Appendiks C Ordforklaring Forkortelse Forklaring Link ACL CVE DST SRC Access Control List Common Vulnerability and Exposures, en database med kendte sårbarheder. Destination (modtager) Source (afsender) Tabel 33: Forkortelser. FORTROLIGT & PERSONLIGT Side 31 af 34

32 >> I øvrigt Det bemærkes slutteligt, at dette er et øjebliksbillede af sikkerhedssituationen på den analyserede enhed. Der findes kontinuerligt nye uhensigtsmæssigheder, hvormed det anbefales, at der jævnligt gennemføres firewall analyser på samtlige firewalls. På vores hjemmeside findes en elektronisk udgave af rapporten og følgebrevet. Disse indeholder links til internetsider med uddybende kommentarer, løsningsforslag samt programrettelser. Den elektroniske rapport kan være til stor gavn under fejlretningen af systemet. Har du i øvrigt nogle spørgsmål kan jeg kontaktes på telefon eller pr. på support@digicure.dk. Med venlig hilsen Digicure Testmanager Henrik Falkenthros Sikkerhedskonsulent hf@digicure.dk Rapport QA René Hansen Sikkerhedskonsulent rh@digicure.dk.. FORTROLIGT & PERSONLIGT Side 32 af 34

33 Risikodefinitioner: Digicure A/S er en 100 % uvildig analysevirksomhed. Nedenstående klassificeringer er derfor baseret på internationale og anerkendte industristandarder. Yderst kritisk Yderst kritiske (Level 5): Disse uhensigtsmæssigheder kan udgøre en significant sikkerheds trussel. Disse uhensigtsmæssigheder vil typisk have den effekt, at en hacker kan overtage enheden som administrator. Kritisk Kritiske (Level 4) Uhensigtsmæssigheder under denne defnition udgør også en signifikant trussel mod sikkerheden, dog med begrænset administrative rettigheder. Adgang på brugerniveau, muligheden for at udføre DoS (Denial of Service) angreb, alt for brede regler, der tillader trafik fra hele subnets etc. hører til under denne definition. Høj-risiko Høj risiko (Level 3) Disse uhensigtsmæssigheder har begrænset effect som deciderede sikkerhedstrusler. Det ville eksempelvis være læk af systeminformationer, en SNMP service med default community strings etc. Medium-risiko Medium risiko (Level 2) uhensigtsmæssighederne vil udgøre en lav sikkerhedstrussel. For eksempel vil en læk af brugernavne og systemers versioner høre til under denne definition. Lav-risiko Lav risiko (Level 1) Disse uhensigtsmæssigheder vil kun udgøre en meget lille om nogen - sikkerhedstrussel. Dette kunne være unødvendige services og ubetydelig information om systemerne. Metode, værktøjer og kompetencer: Digicure A/S anvender en lang række af værktøjer baseret på industristandarder og egenudviklede programmer. Disse værktøjer holdes løbende opdateret for at sikre at de nyeste uhensigtsmæssigheder detekteres. Alle detekterede uhensigtsmæssigheder opsamles i vores videns database, hvor de analyseres og behandles. Alle uhensigtsmæssigheder i følgebrevet er verificeret manuelt som foreskrevet i videns databasens manuelle verifikationstilgang. Den efterfølgende QA(Quality Assurance) proces foretages af vores højt kvalificerede IT sikkerhedskonsulenter, der sikrer, at rapporterne opnår højeste kvalitet. FORTROLIGT & PERSONLIGT Side 33 af 34

34 Metoder: I Digicure A/S sårbarhedsanalyser anvendes følgende metodikker: IPCURE Host discovery og IPCURE Web discovery Blotlægning af netværkskomponenter IP-adresser på aktivt udstyr og åbne porte/tjenester identificeres Blotlægning af webservere Skanninger af webadresser, samt blotlægning af sidens struktur, inklusiv antal filer og filstørrelser Udvidet discovery indeholder desuden detaljer om enhederne og webserverne Delta rapportering Afrapportering med teknisk rapport IPCURE Intern og IPCURE Ekstern Test for elementære angreb og/eller for målrettede angreb evt. med insider-viden og brugeradgang Kontrol af falske positiver ved manuel verifikation (Digicures videns database) Analyse af resultater Afrapportering med følgebrev og detaljeret teknisk rapport IPCURE Web Test for elementære angreb og/eller for målrettede angreb evt. med insider-viden og brugeradgang Kontrol af falske positiver ved manuel verifikation (Digicures videns database) Analyse af resultater Afrapportering med følgebrev og detaljeret teknisk rapport IPCURE Penetrations Test Kreative test med egen og/eller nyudviklede værktøjer til det specifikke system Test for elementære angreb og/eller for målrettede angreb evt. med insider-viden og brugeradgang Kontrol af falske positiver ved manuel verifikation (Digicures videns database) Analyse af resultater Afrapportering med følgebrev og detaljeret teknisk rapport IPCURE Firewall Review Analyse af firewallens opsætning og konfigurering Gennemgang af regelsættet for at finde uhensigtsmæssigheder såsom overlappende regler, for brede regler, inaktive regler etc. Vurdering af sikkerheden i firewallen baseret på operativsystemet. Analyse af resultater Afrapportering med følgebrev og detaljeret teknisk rapport Værktøjer: Digicures værktøjskasse udvides og opdateres hele tiden med anerkendte de-facto IT-sårbarheds standardværktøjer. Ydermere suppleres der også med egenudviklede skannings- og verifikationsværktøjer. Desuden anvendes diverse andre hacker- og opensource-værktøjer, hvor vi har haft adgang til at gennemgå værktøjets kildekode. Kompetencer: Digicures IT-sikkerhedskonsulenter bliver løbende uddannet på internationale kurser og workshops og besidder en række anerkendte certificeringer. Herved er der opnået mange spidskompetencer indenfor IT-sikkerhedsområdet. FORTROLIGT & PERSONLIGT Side 34 af 34

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018 Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,

Læs mere

Cisco ASA Introduktion & vejledning. Opsætning af DMZ-zone

Cisco ASA Introduktion & vejledning. Opsætning af DMZ-zone Cisco ASA 5505 Introduktion & vejledning Opsætning af DMZ-zone Hvad er en DMZ-zone??? En demilitariseret zone eller ingen mands land! http://en.wikipedia.org/wiki/dmz_%28computing%29 3-legged network DMZ

Læs mere

Sikkerhed i trådløst netværk

Sikkerhed i trådløst netværk Sikkerhed i trådløst netværk Når du opsætter et trådløst netværk betyder det at du kan benytte dit netværk uden at være forbundet med kabler, men det betyder også at andre kan gøre det samme, hvis du ikke

Læs mere

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.

Læs mere

Cisco ASA 5505. Vejledning. Opsætning af DMZ-zone

Cisco ASA 5505. Vejledning. Opsætning af DMZ-zone Cisco ASA 5505 Vejledning Opsætning af DMZ-zone Hvad er en DMZ-zone??? En demilitariseret zone eller ingen mands land! http://en.wikipedia.org/wiki/dmz_%28computing%29 3-legged network DMZ Dual firewall

Læs mere

Cisco ASA 5505. Vejledning. Opsætning af Site-to-Site VPN

Cisco ASA 5505. Vejledning. Opsætning af Site-to-Site VPN Cisco ASA 5505 Vejledning Opsætning af Site-to-Site VPN Hvad er et Site-to-Site VPN??? En sikker, krypteret tunnel til IP pakkerne hen over et usikkert netværk mellem to firma netværk! Eksempel fra Cisco:

Læs mere

Sentinel (Dynamisk IP) til ZyWALL (Statisk IP) VPN Tunnel

Sentinel (Dynamisk IP) til ZyWALL (Statisk IP) VPN Tunnel Sentinel (Dynamisk IP) til ZyWALL (Statisk IP) VPN Tunnel 1. Opsætning af ZyWALL VPN 2. Opsætning af SSH Sentinel Denne side giver en gennemgang af opsætning af VPN mellem Sentinel software klient v1.4

Læs mere

OPSÆTNING AF VPN TIL KUNDER

OPSÆTNING AF VPN TIL KUNDER KVALITETSDOKUMENT OPSÆTNING AF VPN TIL KUNDER 1/9 VERSIONSHISTORIK Dato Version Forfatter Handling 2015-02-10 3.1 JEK Brugergruppe skifte til ASA en 2016-06-27 3.2 VBD Ny dokument-skabelon INDHOLDSFORTEGNELSE

Læs mere

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland Indholdsfortegnelse: Indholdsfortegnelse:...1 Indledning:...3 Kort om Astaro Security Linux:...3 Hvad er en firewall?...4 Hvorfor skal man bruge en firewall?...4 Installation af Astaro Security Linux....5

Læs mere

ISA Server 2006 Del 5. Jesper Hanno Hansen Jphan@wmdata.dk

ISA Server 2006 Del 5. Jesper Hanno Hansen Jphan@wmdata.dk ISA Server 2006 Del 5 Jesper Hanno Hansen Jphan@wmdata.dk Agenda Overblik over sessionen Konfigurerer RDP publisering Konfigurerer Exchange Access (OWA, RPC http og EAS) Næste Webcast Overblik over sessionen

Læs mere

IP version 6. Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0.

IP version 6. Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0. IP version 6 Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0 Indhold ICMPv6 Neighbor Discovery Protocol Stateless Autoconfiguration 1 ICMPv6

Læs mere

Opbygning af firewall regler. Overvejelser med mere

Opbygning af firewall regler. Overvejelser med mere Denne guide er oprindeligt udgivet på Eksperten.dk Opbygning af firewall regler. Overvejelser med mere Denne artikel er ikke for masserne, Den handler ikke om opsætning af personlige firewalls som XP's

Læs mere

Produktspecifikationer Hosted Firewall Version 2.5

Produktspecifikationer Hosted Firewall Version 2.5 Side 1 af 7 1. INTRODUKTION TIL HOSTED FIREWALL... 3 2. TEKNISK OPBYGNING... 3 3. FIREWALL MODELLER... 4 3.1. LILLE FIREWALL... 4 3.2. MELLEM FIREWALL... 5 3.3. STOR FIREWALL... 5 4. KONFIGURATIONER FOR

Læs mere

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde Netværk, WAN teknik Introduktion til VPN WAN kredsløb Viborg A Odense B Roskilde Indhold Forudsætninger... 3 Introduktion til VPN... 3 VPN tunnel... 3 Site-to-site VPN tunnel... 4 Site-to-site VPN tunnel

Læs mere

Undgå DNS Amplification attacks

Undgå DNS Amplification attacks Undgå DNS Amplification attacks 29. november 2013 Til: Den it-sikkerhedsansvarlige Resumé Center for Cybersikkerhed har i den seneste tid set flere DDoS-angreb mod danske myndigheder og private virksomheder.

Læs mere

Basal TCP/IP fejlfinding

Basal TCP/IP fejlfinding Basal TCP/IP fejlfinding Dette notat beskriver en række enkle metoder til fejlfinding på TCP/IP problemer. Metoderne er baseret på kommandoer, som er en fast bestanddel af Windows. Notatet er opbygget

Læs mere

Teknisk beskrivelse til TDC Managed Firewall

Teknisk beskrivelse til TDC Managed Firewall Teknisk beskrivelse til TDC Managed Firewall Indhold 1. Firewall profiler for TDC Managed Firewall 2. White liste over printere 1. Firewall profiler for Managed Firewall Standard firewall profilerne bygger

Læs mere

WLAN sikkerhedsbegreber -- beskrivelse

WLAN sikkerhedsbegreber -- beskrivelse Denne guide er oprindeligt udgivet på Eksperten.dk WLAN sikkerhedsbegreber -- beskrivelse Indeholder en kort beskrivelse over de forskellige sikkerhedsværltøjer og standarder der findes for WLAN idag!

Læs mere

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Statsstøttet hackergruppe forsøger at kompromittere netværksudstyr i Danmark og resten af verden. Side 1 af 8 Indhold Hovedvurdering...

Læs mere

LUDUS Web Installations- og konfigurationsvejledning

LUDUS Web Installations- og konfigurationsvejledning LUDUS Web Installations- og konfigurationsvejledning Indhold LUDUS Web Installations- og konfigurationsvejledning... 1 1. Forudsætninger... 2 2. Installation... 3 3. Konfiguration... 9 3.1 LUDUS Databasekonfiguration...

Læs mere

Network management. - hvad sker der på mit netværk?! Netteknik 1

Network management. - hvad sker der på mit netværk?! Netteknik 1 Network management - hvad sker der på mit netværk?! Netteknik 1 Network management Network management (engelsk ord for netværksovervågning og -administration) er den brede betegnelse for styring og overvågning

Læs mere

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009!

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009! VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009! Det er blevet tid til at opdatere certifikater på alle servere som afvikler backup over

Læs mere

Netværk & elektronik

Netværk & elektronik Netværk & elektronik Oversigt Ethernet og IP teori Montering af Siteplayer modul Siteplayer teori Siteplayer forbindelse HTML Router (port forwarding!) Projekter Lkaa Mercantec 2009 1 Ethernet På Mars

Læs mere

CFCS Beretning Center for Cybersikkerhed.

CFCS Beretning Center for Cybersikkerhed. Center for Cybersikkerheds Beretning 2017 Center for Cybersikkerhed www.cfcs.dk 2 Cybertruslen - - - - - - - Center for Cybersikkerheds indsatser i 2017 - rådet. Det er centerets mission at styrke beskyttelsen

Læs mere

Ruko SmartAir. Updater installation

Ruko SmartAir. Updater installation Ruko SmartAir Updater installation Introduktion. Updateren er en speciel enhed som giver os mulighed for at tilføje, læse og skrive funktioner i en offline installation. Med læse og skrive funktionen kan

Læs mere

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks SOSIGW - Driftsvejledning for SOSIGW 1.0 Indeks Indeks... 1 Revisionshistorik... 2 Introduktion... 2 Kontrol af korrekt driftstilstand... 2 Ændring af statisk konfiguration... 2 Logfil... 2 Backup... 3

Læs mere

Introduktion til MPLS

Introduktion til MPLS Introduktion til MPLS Henrik Thomsen/EUC MIDT 2005 VPN -Traffic Engineering 1 Datasikkerhed Kryptering Data sikkerheds begreber Confidentiality - Fortrolighed Kun tiltænkte modtagere ser indhold Authentication

Læs mere

LUDUS Web Installations- og konfigurationsvejledning

LUDUS Web Installations- og konfigurationsvejledning LUDUS Web Installations- og konfigurationsvejledning Indhold LUDUS Web Installations- og konfigurationsvejledning... 1 1. Forudsætninger... 2 2. Installation... 3 3. Konfiguration... 8 3.1 LUDUS Databasekonfiguration...

Læs mere

Spillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP.05.00.DK.1.0

Spillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP.05.00.DK.1.0 SCP.05.00.DK.1.0 Indhold Indhold... 2 1 Formålet med retningslinjer for sårbarhedsscanning... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

FairSSL Fair priser fair support

FairSSL Fair priser fair support Vejledning til at konfiguration af flere websites, med deling af 1 SSL certifikat og fælles IP og port. Følgende vejledning beskriver hvordan man konfigurere IIS til at bruge host header på HTTPS sites.

Læs mere

Grundopsætning af router.

Grundopsætning af router. Opsætning af Edgerouter Lite (ERL3), til brug som router 1. Tilslut router med følgende forbindelser. eth0: Lokalt LAN (Din netværk) eth1: Global WAN (Internettet. Det store WWW) eth2: ikke tilsluttet

Læs mere

Introduktion OBS: Forberedelse

Introduktion OBS: Forberedelse Product: Cameras, NVRs, DVRs Page: 1 of 17 Introduktion Hik-Connect er en ny service introduceret af Hikvision, som integrerer det dynamiske Domain Name Service sammen med alarm push notifikation service.

Læs mere

Netservice Netservice-menuen giver dig mulighed for at opsætte og aktivere/deaktivere forskellige netfunktioner på kameraet.

Netservice Netservice-menuen giver dig mulighed for at opsætte og aktivere/deaktivere forskellige netfunktioner på kameraet. Netservice Netservice-menuen giver dig mulighed for at opsætte og aktivere/deaktivere forskellige netfunktioner på kameraet. Det giver mulighed for at opsætte PPPoE, NTP, e-mail, DDNS, UPnP og WiFi samt

Læs mere

MM Hul-Igennem-Test i Prod. Information til kunder

MM Hul-Igennem-Test i Prod. Information til kunder MM Hul-Igennem-Test i Prod Information til kunder Dokumentinformation Titel Dokumentplacering Dokumentejer Godkender Dokumentlog MM Hul-Igennem-Test i Prod, Information til kunder O:\GTS\CPR\Udvikling\2012

Læs mere

Projektopgave. Byg et netværk til gruppens nye firma!

Projektopgave. Byg et netværk til gruppens nye firma! Projektopgave Byg et netværk til gruppens nye firma! Hver gruppe skal selvstændigt opbygge et fysisk netværk som skal bruges i det videre Data H1 forløb til bl.a. fagene Serverteknologi I, Databaser og

Læs mere

Opsætning af klient til Hosted CRM

Opsætning af klient til Hosted CRM Opsætning af klient til Hosted CRM Dette dokument beskriver, hvordan der oprettes forbindelse til en Hosted CRM løsning hos TDC Hosting A/S Morten Skovgaard, 24. april 2006 1 Indledning... 2 2 Konfiguration

Læs mere

Trådløst LAN hvordan sikrer man sig?

Trådløst LAN hvordan sikrer man sig? Trådløst LAN hvordan sikrer man sig? Trådløse acces points er blevet så billige, at enhver der har brug for en nettilsluttet computer et andet sted end ADSL modemmet står, vil vælge denne løsning. Det

Læs mere

RELEASE AF AFTALESYSTEMET V3

RELEASE AF AFTALESYSTEMET V3 Forskerparken 10 5230 Odense M Tlf. +45 6543 2030 www.medcom.dk 16.08.2017 RELEASE AF AFTALESYSTEMET V3 Indhold Indhold... 1 Release af Aftalesystem v3... 2 Nye funktionaliteter i Aftalesystem v3... 3

Læs mere

TEKNISK INFO TIL BRUG FOR DECENTRAL KONFERENCESERVER VIA VDX

TEKNISK INFO TIL BRUG FOR DECENTRAL KONFERENCESERVER VIA VDX TEKNISK INFO TIL BRUG FOR DECENTRAL KONFERENCESERVER VIA VDX Indhold 1. Indledning... 1 2. Applianceserver, virtualiseringsplatform og hypervisor... 2 3. Mere om krav til hypervisor (fysisk server) og

Læs mere

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? Administrative systemer bundet op mod SRO systemer Hvad med gør vi med IT sikkerheden? Jørgen Jepsen IT-chef Ringkøbing-Skjern Forsyning A/S Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? at

Læs mere

Opsætning af MobilePBX med Kalenderdatabase

Opsætning af MobilePBX med Kalenderdatabase Opsætning af MobilePBX med Kalenderdatabase Dette dokument beskriver hvorledes der installeres Symprex Exchange Connector og SQL Server Express for at MobilePBX kan benytte kalenderadadgang via database

Læs mere

Netværksovervågning og -administration

Netværksovervågning og -administration Netværksovervågning og -administration Network management (eng. ord for netværksovervågning og administration) er den brede betegnelse for styring og overvågning af alle netværksenheder og brugere. Enhederne

Læs mere

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017) FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017) Page 1 of 12 Indhold 1 Adgang til FleeDa... 3 1.1 HW og SW forudsætninger... 3 1.2

Læs mere

Infrastruktur i hjemmet og begreber

Infrastruktur i hjemmet og begreber Infrastruktur i hjemmet og begreber Indholdsfortegnelse Ordliste... 2 Accesspoint... 2 DHCP... 2 DSL... 2 Ethernet... 2 Firewall... 2 Flatrate... 2 Hub... 3 IP... 3 IP-adresse... 3 IP-filtrering... 3 IP-forwarding...

Læs mere

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE vp.online 2011 01-10-2011 Indholdsfortegnelse 1 PROBLEMER MED AT SE VP.ONLINE... 3 2 BROWSER KONFIGURATION... 6 3 SKRIVEADGANG TIL DREV... 7 4 SESSION TIMEOUT

Læs mere

LUDUS Web Installations- og konfigurationsvejledning

LUDUS Web Installations- og konfigurationsvejledning LUDUS Web Installations- og konfigurationsvejledning Indhold LUDUS Web Installations- og konfigurationsvejledning... 1 1. Forudsætninger... 2 2. Installation... 3 3. Konfiguration... 9 3.1 LUDUS Databasekonfiguration...

Læs mere

Reducér risikoen for falske mails

Reducér risikoen for falske mails Reducér risikoen for falske mails Center for Cybersikkerhed 1 November 2017 Indledning Center for Cybersikkerhed oplever i stigende grad, at danske myndigheder og virksomheder udsættes for cyberangreb.

Læs mere

TEKNISK INFO TIL BRUG FOR ETABLERING AF DECENTRAL KONFERENCESERVER VIA VDX

TEKNISK INFO TIL BRUG FOR ETABLERING AF DECENTRAL KONFERENCESERVER VIA VDX TEKNISK INFO TIL BRUG FOR ETABLERING AF DECENTRAL KONFERENCESERVER VIA VDX Indhold 1. Indledning... 2 2. Applianceserver, virtualiseringsplatform og hypervisor... 2 3. Mere om krav til hypervisor (fysisk

Læs mere

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network (C) EC MID 2005 VLAN, runk & VP 2003 EC MID, Heh 1 VLAN: Virtual Local Area Network VLAN s er en logisk opdeling af enheder eller brugere VLAN s fungerer på OI lag 2 ( og 3 ) Opbygget af witche ( og Routere

Læs mere

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv.

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv. Oracle Information Rights Management (IRM) Oracle - Information Rights Management (IRM) er en nyere form for informationssikkerhedsteknologi, der kan sikre og spore fortrolige digitale data overalt hvor

Læs mere

Opsætning af Outlook til Hosted Exchange 2007

Opsætning af Outlook til Hosted Exchange 2007 Opsætning af Outlook til Hosted Exchange 2007 Sådan opsættes Outlook 2007 til Hosted Exchange 2007. Opdateret 29. december 2010 Indhold 1 Indledning... 2 2 Outlook 2007 klienten... 2 3 Automatisk opsætning

Læs mere

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1 SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...

Læs mere

SNMP Simple Network Management Protocol. Henrik Thomsen/EUC MIDT 2007

SNMP Simple Network Management Protocol. Henrik Thomsen/EUC MIDT 2007 SNMP Simple Network Management Protocol Henrik Thomsen/EUC MIDT 2007 Overvågning Network Management At overvåge kritiske netværksenheder System Management At overvåge kritiske servere Application Management

Læs mere

SSSystems.local. Netværk. Sikkerhed. Webserver

SSSystems.local. Netværk. Sikkerhed. Webserver SSSystems.local Netværk Vi har valgt at bygge vores netværk på en måde der sikre at trafik fra DMZ en ikke kan komme ned til vores LAN. Både ved hjælp af firewall regler og NAT. Men for at sikre at vi

Læs mere

Smartair 6.0. Installations guide

Smartair 6.0. Installations guide Smartair 6.0 Installations guide Indholdsfortegnelse 1 Indledning... 4 2 System Oversigt... 4 3 Installation... 5 3.1 System Krav... 5 3.2 Klargøring af installationen... 5 3.3 Afinstallere tidligere TS1000

Læs mere

General setup. General konfiguration. Rasmus Elmholt V1.0

General setup. General konfiguration. Rasmus Elmholt V1.0 General setup General konfiguration Rasmus Elmholt V1.0 Power Control Før man afbryder strømmen bør man lukke OS et ned > request system halt Hvis man vil genstarte: > request system reboot Prøv også:

Læs mere

KMD s tilgang til cybertrussler. Public

KMD s tilgang til cybertrussler. Public KMD s tilgang til cybertrussler Public SIMON THYREGOD Afdelingsleder, Information Security KMD, 2014 Civilingeniør, CISSP, CISM Information Security Manager Takeda, 2013 2014 Group Risk Consultant DONG

Læs mere

FairSSL Fair priser fair support

FairSSL Fair priser fair support Small Business Server 2003 Certifikat administration Følgende vejledning beskriver hvordan man vælger hvilke adresser der skal være i ens SBS 2003 SSL certifikat. For support og hjælp til anvendelsen af

Læs mere

Brugermanual. Wolfgang Wi-Fi Repeater

Brugermanual. Wolfgang Wi-Fi Repeater Brugermanual Wolfgang Wi-Fi Repeater Tak fordi du har valgt at købe en Wolfgang Wi-Fi Repeater. Vi opfordrer dig til at læse denne manual igennem inden produktet tages I brug. Information I denne brugervejledning

Læs mere

Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0

Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0 Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0 Denne vejledning viser dig punkt for punkt, hvordan du forbinder, samt starter en overførelse til og fra vores

Læs mere

Minimér risikoen for data-lækage i din virksomhed

Minimér risikoen for data-lækage i din virksomhed Minimér risikoen for data-lækage i din virksomhed Maj 2012 Jan Johannsen SE Manager, Nordics & Benelux 2011 Check Point Software Technologies Ltd. [Protected] All rights reserved. Agenda 1 Data lækage,

Læs mere

Router U270 funktionsbeskrivelse

Router U270 funktionsbeskrivelse Router U270 funktionsbeskrivelse Dashboard På oversigtssiden (Dashboard) kan brugeren se informationer om forskellige indstillinger og tilslutninger til routeren, for eksempel IP adresse, MAC adresser,

Læs mere

Version Dato Beskrivelse 1.0.0 26/11/2012 Initial version 1.2.0 05/03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet.

Version Dato Beskrivelse 1.0.0 26/11/2012 Initial version 1.2.0 05/03/2013 Tilføjet eksempel med Template Agent, generelt udvidet dokumentet. MOX og APOS2 Forord Dette dokument er en del af APOS version 2 manualerne. APOS version 2 (APOS2 herefter) er et organisation, klassifikation og personale system baseret på Sag & Dokument standarderne.

Læs mere

Advarsel: Den private nøglefil skal beskyttes.

Advarsel: Den private nøglefil skal beskyttes. Symantecs vejledning om optimal sikkerhed med pcanywhere Dette dokument gennemgår sikkerhedsforbedringerne i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan de vigtigste dele af forbedringerne

Læs mere

Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning

Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning 1. Lokalt installeret afleveringsprogram til stedprøver... 2 2. Systemkrav... 3 3. Netværksopsætning... 4 4. Installation

Læs mere

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017 Hackingens 5 faser Kim Elgaard, Solution Engineer, Dubex A/S 21. marts 2017 Agenda Angrebs vectorer Hackingens faser, samt beskyttelsen Hverdagseksempler Hvad kan vi gøre Praktiske anbefalinger Live demo

Læs mere

EasyIQ Opdatering 5.2.3 -> 5.4.0

EasyIQ Opdatering 5.2.3 -> 5.4.0 EasyIQ Opdatering 5.2.3 -> 5.4.0 Kunde: Forfatter: Thomas W. Yde Systemtech A/S Side: 1 af 17 1 Indholdsfortegnelse 2 GENERELT OMKRING FORUDSÆTNINGEN OG OPDATERINGS FORLØBET... 3 2.1 FORUDSÆTNINGER...

Læs mere

TCP & UDP. - de transportansvarlige på lag 4. Netteknik 1

TCP & UDP. - de transportansvarlige på lag 4. Netteknik 1 TCP & UDP - de transportansvarlige på lag 4 Netteknik 1 TCP & UDP TCP og UDP er begge netværksprotokoller til transport, med hver deres header-information i pakken (segmentet): TCP: 0 8 16 31 bit Sequence

Læs mere

System and Network Management

System and Network Management System and Network Management Mikael M. Hansen mhansen@cs.aau.dk 2.2.57 TOC Mine indlæg Dagens program: System and Network Management Intro Værktøjer Eksempler fra CS 2 14/2: 28/2: 4/3: 6/3: 11/3: 3/4:

Læs mere

UDP Server vejledning

UDP Server vejledning Det Danske Filminstitut byder velkommen til vores nye UDP Server. UDP Server vejledning Pligtaflevering - Version 1.4 Denne vejledning viser dig punkt for punkt, hvordan du forbinder, samt starter en overførelse

Læs mere

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net Indholdsfortegnelse 1. PRÆAMBEL... 2 2. DEFINITIONER... 2 3. PRODUKTBESKRIVELSE... 3 3.1 Kundeinstallation... 3 3.2 Provisionering / aktivering...

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Opsætning af forbindelse til Danmarks Statistik

Opsætning af forbindelse til Danmarks Statistik 23. april 2015 MTL Forskningsservice Opsætning af forbindelse til Danmarks Statistik Denne vejledning beskriver opsætning og logonprocedure fra Windowsmaskiner ved ekstern logon til DST s forskerservere

Læs mere

LAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS

LAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS LAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS INDHOLDSFORTEGNELSE Lab øvelse Konfiguration af DHCP på router...2 Topologi...2 Adresse Tabel...2 Formål...2 Baggrund...2 Udstyrs specifikation:...2

Læs mere

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april 2009. J.nr.: 4004 V0624 09

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april 2009. J.nr.: 4004 V0624 09 LUDUS WEB Installations- og konfigurations-vejledning Den 7. april 2009 J.nr.: 4004 V0624 09 CSC Scandihealth A/S, P.O. Pedersens Vej 2, DK-8200 Århus N Tlf. +45 3614 4000, fax +45 3614 7324, www.scandihealth.dk,

Læs mere

IP Modul report / Netværks software manual 1.0 Funktions beskrivelse:

IP Modul  report / Netværks software manual 1.0 Funktions beskrivelse: IP Modul E-mail report / Netværks software manual 1.0 Funktions beskrivelse: IP modulet anvendes til generering af e-mail alarm fra Fronti alarm-centraler samt fjernstyring af Fronti alarm-centraler via

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

Symantec - Data Loss Prevention

Symantec - Data Loss Prevention Symantec beskyttelse af data/dokumenter Beskrivelsen af Symantecs bud på tekniske løsninger. I beskrivelsen indgår tre følgende løsninger fra Symantec: - Data Loss Prevention - Disk eller ekstern device

Læs mere

Om ONEBox... 2 Faciliteter i ONEBox... 2 Overordnet teknisk overblik... 2 Multiple servere... 3 Backup... 4 Sikkerhed... 5 Domæner... 6 Web...

Om ONEBox... 2 Faciliteter i ONEBox... 2 Overordnet teknisk overblik... 2 Multiple servere... 3 Backup... 4 Sikkerhed... 5 Domæner... 6 Web... Om ONEBox... 2 Faciliteter i ONEBox... 2 Overordnet teknisk overblik... 2 Multiple servere... 3 Backup... 4 Sikkerhed... 5 Domæner... 6 Web... 7 Mail... 8 Fildeling... 9 Brugere og grupper...10 Teknisk

Læs mere

Forår 2012 - Firewalls

Forår 2012 - Firewalls Syddansk Universitet DM830 - Netværkssikkerhed Imada - Institut for matematik og datalogi Forår 2012 - Firewalls Forfatter: Daniel Fentz Johansen Alexei Mihalchuk Underviser: Prof. Joan Boyar Indhold 1

Læs mere

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? 1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er

Læs mere

Demonstration af overvågning med Dsniff

Demonstration af overvågning med Dsniff Velkommen til Demonstration af overvågning med Dsniff tirsdag 20. maj 2003 PROSA i samarbejde med Privatliv.net og IT-politisk forening version 1.0 Henrik Lund Kramshøj c copyright 2003 PROSA, Henrik Lund

Læs mere

Intrusion Part 1 of chapter 9 Frederik Alkærsig & Henrik Holmgren-Jensen

Intrusion Part 1 of chapter 9 Frederik Alkærsig & Henrik Holmgren-Jensen Intrusion Part 1 of chapter 9 Frederik Alkærsig & Henrik Holmgren-Jensen Intrusion Intruders Teknikker Intrusion Detection Audit Records Base Rate Fallacy Intrusion Er defineret som en uautoriseret adgang

Læs mere

beskrivelse af netværket på NOVI

beskrivelse af netværket på NOVI beskrivelse af netværket på NOVI Beskrivelse af netværket på NOVI - NOVInet Indledning Som lejer/beboer på NOVI har man mulighed for at få virksomhedens computere tilsluttet det fælles netværk i NOVI Park

Læs mere

DBox installationsmanual

DBox installationsmanual DBox installationsmanual Dokument version 1.24 12. marts 2014 DBox beskrivelse... 2 Tilslutningsprocedure... 3 Software... 4 Installation af DBox i klinik... 5 Installation af Osirix på Mac... 10 DBox

Læs mere

Datatekniker med infrastruktur som speciale

Datatekniker med infrastruktur som speciale Datatekniker med infrastruktur som speciale H4 infrastruktur indledning H4 varer ni uger. Alle fag er uddannelsesspecifikke fag. Opbygning Alle fag i hovedforløbet afvikles i selvstændige moduler. Eventuelle

Læs mere

VoIP. Voice over IP & IP-Telefoni. Lars Christensen & René Truelsen, Dec. 2004

VoIP. Voice over IP & IP-Telefoni. Lars Christensen & René Truelsen, Dec. 2004 VoIP Voice over IP & IP-Telefoni Lars Christensen & René Truelsen, Dec. 2004 Oversigt over foredrag VoIP I Dag Hvordan står tingene i dag? Netværksstrukturen for VoIP Benyttede VoIP-standarder/protokoller

Læs mere

Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det. Bo Lindhøj Artavazd Hakhverdyan May 21, 2012

Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det. Bo Lindhøj Artavazd Hakhverdyan May 21, 2012 Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det Bo Lindhøj Artavazd Hakhverdyan May 21, 2012 1 Contents 1 Introduktion 3 2 Hvad er et DDoS angreb? 3 2.1 Direkte angreb............................

Læs mere

IPT Netværk. IPT netværks protokoller. TDC IP telefoni Scale

IPT Netværk. IPT netværks protokoller. TDC IP telefoni Scale IPT Netværk IPT netværks protokoller TDC IP telefoni Scale IPT Netværk Services IP telefoner skal bruge noget konfiguration for at virke på et netværk Stor arbejdsbyde at taste alt informationen ind manuelt

Læs mere

Internet Protokollen. - IP er arbejdshesten på næsten alle netværk! Netteknik 1

Internet Protokollen. - IP er arbejdshesten på næsten alle netværk! Netteknik 1 Internet Protokollen - IP er arbejdshesten på næsten alle netværk! Netteknik 1 Internet Protocol (IP) Om IP protokollen generelt: Er arbejdsprotokollen i moderne netværks-kommunikation; al kommunikation

Læs mere

Hosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User

Hosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User Hosted CRM 2011 Outlook client connector setup guide Date: 2011-06-29 Version: 1 Author: anb Target Level: Customer Target Audience: End User Language: da-dk Page 1 of 16 LEGAL INFORMATION Copyright 2011

Læs mere

DPR lokal persondatabase. Checkliste for CPR migrering

DPR lokal persondatabase. Checkliste for CPR migrering DPR lokal persondatabase Checkliste for CPR migrering Dokumentinformation Titel DPR lokal persondatabase, Checkliste for CPR migrering Dokumentplacering Dokumentejer Lars Bolgann Godkender CSC Dokumentlog

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

IPv6 sameksistens med IPv4. af Laurent Flindt Muller & Jakob Pedersen

IPv6 sameksistens med IPv4. af Laurent Flindt Muller & Jakob Pedersen IPv6 sameksistens med IPv4 af Laurent Flindt Muller & Jakob Pedersen Gennemgangsplan: Network Address Translation Protocol Translation (NAT-PT) - Motivation - IPv4 NAT - NAT-PT - Stateless IP/ICMP Translation

Læs mere

Xenapps/Citrix klient opsætningsvejledning til Integra driftløsningen. Xenapps/Citrix basisport. Xenapps/Citrix Service. Xenapps/Citrix XML service

Xenapps/Citrix klient opsætningsvejledning til Integra driftløsningen. Xenapps/Citrix basisport. Xenapps/Citrix Service. Xenapps/Citrix XML service Integra klient opsætningsvejledning til Integra driftløsningen Hedensted Folkebibliotek Funktion Type Indhold Note Gruppe Hedensted Farm BibFarm3 Server Janne basisport Service XML service HTTPS 443 TCP

Læs mere

Installation og Drift. Aplanner for Windows Systemer Version 8.15.12

Installation og Drift. Aplanner for Windows Systemer Version 8.15.12 Installation og Drift Aplanner for Windows Systemer Version 8.15.12 Aplanner for Windows løsninger Anbefalet driftsopsætning Cloud løsning med database hos PlanAHead Alle brugere, der administrer vagtplaner

Læs mere

STOFA VEJLEDNING SAFESURF INSTALLATION

STOFA VEJLEDNING SAFESURF INSTALLATION STOFA VEJLEDNING SAFESURF INSTALLATION Denne vejledning gennemgår installationsproceduren af SafeSurf, og herefter de tilpasningsmuligheder man kan benytte sig af. Trin 1 Installationen starter med at

Læs mere

Teknisk guide til opsætning af SPF, DKIM og DMARC for at sikre optimale leveringsrater for s fra webcrm, ved brug af Mailjet.

Teknisk guide til opsætning af SPF, DKIM og DMARC for at sikre optimale leveringsrater for  s fra webcrm, ved brug af Mailjet. E-mail anti-spam Teknisk guide til opsætning af SPF, DKIM og DMARC for at sikre optimale leveringsrater for e-mails fra webcrm, ved brug af Mailjet. For at sikre jer optimal leveringssikkerhed for e-mails

Læs mere

LØNSEDDEL VIA E-MAIL MED EPOS LØN

LØNSEDDEL VIA E-MAIL MED EPOS LØN LØNSEDDEL VIA E-MAIL MED EPOS LØN KUNDEVEJLEDNING MARTS 2010 Indholdsfortegnelse 1 Indledning... 1 2 Opsætning... 1 2.1 Kryptering... 1 3 Opret e-mail-konto... 2 4 Brugertilknytning... 4 5 Opsætning på

Læs mere