Comment puis-je tester la sécurité de mon serveur ?

Il existe des services permettant de le faire, généralement commercialisés sous le nom d'analyse de conformité PCI-DSS. Ce n'est pas la panacée en matière d'analyse de sécurité, mais la conformité PCI-DSS exige un niveau de sécurité élevé.

C'est probablement un point de départ raisonnable. Mais attention. Ce n'est pas bon marché.

éditer : J'ai utilisé HackerGuardian dans le passé, et c'est sacrément bien. Après la première analyse gratuite, le prix est de 249 $ par an.

Vous pouvez commencer par utiliser nmap et vérifier quels ports/services sont ouverts.

Si vous voulez apprendre, vous pouvez jeter un coup d'oeil à http://www.hackthissite.org/ y http://www.hellboundhackers.org/ et jour après jour, apprenez à vous protéger des autres, mais gardez à l'esprit que le chemin sera long.

Les rapports sur les logiciels peuvent vous aider, mais ils ne vous protégeront que des scriptenfants, un bon hacker trouvera une faille et seul un autre humain pourra trouver et corriger (prévenir) le problème.

Ce logiciel coûte cher et il suffit de payer un professionnel pour avoir le rapport et la solution en même temps.

Donc, si votre serveur web est vraiment important, demandez de l'aide, c'est de l'argent bien dépensé (encore une fois, les sites ci-dessus).

Examinez chaque vecteur d'attaque.

Physique : Celui-ci est assez simple. Le serveur est-il dans un rack ? Est-il verrouillé ? Qui a la clé ? Quel est le niveau de sécurité de la clé ? Le serveur est-il dans une pièce ? La pièce est-elle verrouillée ? Les ports USB sont-ils accessibles ou activés ? etc.

S'il s'agit d'un commutateur, utilisez-vous la sécurité des ports ? etc.

Réseau : Moins simple, mais le plus courant. Testez vos ports en analysant tous les ports ouverts sur le serveur avec nmap ou wireshark ou autre. Déterminez le niveau de restriction de ces services réseau en fonction de la manière dont vous souhaitez qu'ils fonctionnent et de la vulnérabilité qu'ils vous apportent.

Par exemple ; un service http, restreindre qui a accès mais par sous-réseau ? par hôte ? par utilisateur ? Vérifiez les vulnérabilités communes ; l'indexation est-elle activée, etc.

Humain/Social : C'est un problème qui n'est pas facilement résolu par l'informatique, mais par les RH. Mais voici quelques mesures que vous pouvez prendre. Politique en matière de mots de passe : la vieille école de pensée consiste à changer régulièrement les mots de passe, mais cela semble forcer les utilisateurs finaux à choisir des mots de passe faibles. Générer des mots de passe pour les utilisateurs a tendance à les faire écrire. Vous devrez trouver la politique qui vous convient le mieux, mais vous pouvez opter pour l'éducation des utilisateurs finaux sur la façon de créer un mot de passe fort, mais faire en sorte que le mot de passe soit changé une fois par an ou jamais. Informez également les utilisateurs finaux sur la manière de gérer les mots de passe et de les garder secrets.

Est google à nouveau ?

Les applications listées dans le lien ci-dessus fournissent principalement des vérifications de type empreinte digitale pour des attaques monomodales bien définies - cela ne remplace pas une évaluation de sécurité appropriée, cependant l'exécution de nessus/nikto est un début, et l'élimination de ce qui peut sembler des problèmes inexploitables peut empêcher de multiples attaques vectorielles. (Cela permet également d'éliminer les problèmes les plus faciles à résoudre, ce qui vous permet d'être un peu plus sûr que toute personne que vous engagez pour tester la sécurité de manière appropriée doit mériter ses honoraires).

Je vérifie habituellement les permissions unix et c'est tout.

err, oui - il y a beaucoup plus de choses que vous devriez faire. Cette déclaration signifie-t-elle que vous avez un modèle de sécurité des permissions ? Est-il valide ? Qu'en est-il des autres accès au serveur (console, ssh, ftp...). Si vous n'avez pas déjà une politique de sécurité détaillée, il n'y a pas beaucoup d'intérêt à demander à quelqu'un de tester le système pour voir s'il est sécurisé. La politique doit couvrir des éléments tels que le déploiement de logiciels, l'identification et la mise en œuvre des correctifs des fournisseurs, les sauvegardes, la vérification des rootkits.