TL;DR basal sikkerhed skal checkes ved nytår

Længe siden sidst, håber alle sidder godt og har det rart. Lydsporet til dette indlæg er https://www.youtube.com/watch?v=39JerMg2IQE et gammelt mix, fordi jeg hørte det mens jeg skrev og det er lækkert mellow på en tirsdag.

Tiden nærmer sig december med hastige skridt, juletid, hygge med familien, og tilhørende stress over gaver, børnehavearrangementer, firmajulen - både den med børn og julefrokosten, plus overforbrug på alle punkter ... vi kan næsten allerede mærke det.

... og så vil jeg da lige bære ved til stressbålet

Jeg synes nemlig det er et godt tidspunkt, sådan omkring årsskiftet at rydde lidt op.

Nåede du alle de ting du ønskede i år?

Jeg var i starten af November inviteret ud til Supporters A/S i Roskilde, som bagefter opsummerede nogle af mine pointer i denne liste:

» Her er de vigtigste konklusioner vi arbejder efter i hverdagen og som vi gerne vil dele:

  • Fokuser på de grundlæggende ting: opdatering, backup og forebyggelse
  • Vurder hvorfor it-sikkerhed er vigtigt for jer og planlæg derefter
  • Hav en plan klar til når tingene går galt
  • Opdel sikkerhed i flere lag, så mere end et lag skal brydes for at få adgang til jeres data
  • Sørg for at tage dedikeret ejerskab for it-sikkerhed, det er en vigtig rolle i virksomheden
  • Indfør faste procedurer for kontrol, så fejlopsætninger spottes
  • Det er nemmere at hacke end de fleste tror«

Jeg var også til "Geant CLAW 2018 Crisis Management Workshop" her i November, og det var meget lærerigt.

Nogle af de vigtigste pointer fra den workshop var:

  • Træning er vigtigt, prøv en krise inden det er alvor, skrivebordsøvelse
  • En dårlig crisis plan er bedre end ingen plan
  • Printede materiale er vigtigt - man kan ikke antage at hverken email eller wiki/online dokumentation er tilgængeligt

Mr Old News

Nogle gamle hønisser nede bagved vil formentlig sige, det ved vi godt. Mange chefer vil måske endda sige, det har vi styr på. Fakta er desværre at meget få virksomheder vi støder på, private, offentlige, store, små, ingen nævnt - ingen glemt har helt styr på det basale!

Selv har jeg mest styr på backup, synes der bliver lavet backup jævnligt. Jeg har desværre også systemer der slet ikke er opdateret gennem længere tid OpenBSD 6.0 i DRIFT! :-( - specielt dumt fordi OpenBSD er så nemt at opdatere.

Jeg har også fucket mit eget SSL/TLS setup på web serveren op, men har lovet mig selv at se på det RSN, any day, soon! Måske imorgen. Det er så nemt med Lets encrypt https://letsencrypt.org/ men aligevel fik jeg fumlet i Nginx config, så den trænger til en oprydning.

Jeg mangler også at lavet noget adskillelse færdigt, så mit "office net" og "lab net" bliver holdt adskilt.

Mht. Lab udstyr så har jeg vist også efterhånden lidt for mange gamle dimser ... måske man burde smide nogle ud og registrere hvor resten er. Asset management er et stort problem for mange virksomheder, inkl support aftaler. Måske betales der endda support på ting som er forældede?

DMARC - nu er det jo endnu et år, så var det ikke på tide med Quarantine policy: p=quarantine eller Reject policy: p=reject - se https://dmarcian.com/ . Der er også en masse andre teknologier som jeg vil mene alle burde have styr på, eller være igang med: DNSSEC, DKIM, RPKI

Til gengæld har jeg søsat to nye kurser rettet mere mod blue team med Nmap og Suricata/Zeek - open source, find dem på kramse@Github. Jeg håber de kan medvirke til forbedring af sikkerheden og stabilitet flere steder. Så lidt positivt nyt er der også i 2018 :-D

Happy new year 2019

De råd jeg vil give, og prøve at følge selv for 2019 bliver:

  • Planen du laver skal være realistisk, estimeret 1 måned til en opgave, sæt deadline til 3
  • Følg op på fremskridt, husk at fejre når noget lykkedes, nyd hvis det tog kortere tid, hold pause
  • Opdater sikkerhedspolitik som seperat projekt - en måned hvor der ikke laves andre ændringer, fokus
  • Opdater dokumentation efter sikkerhedspolitik
  • Opdater automatisering efter dokumentation
  • Slet servere som ikke er automatiseret - really, die die die

Ensartet sikkerhed er bedre end Fort Knox på enkelte servere og ringe sikkerhed på andre.

Jeg har også et kæmpe projekt som begynder at forme sig, arve data videre til min søn. Jeg har jo fuld disk kryptering og jeg kan ikke forsvare at give min teenager kodeord til mine "produktionsdata". Så jeg har valgt en cloudprovider (Dropbox) som stedet hvor vi "deler data". Så jeg er i færd med at uploade, samle og kategorisere ~19 års billeder af ham og mig til den dag hvor ulykken kunne ske og jeg dør.

NB: altid farligt at anbefale produkter, men jeg bruger med fryd også Boxcryptor til at have hemmelige data på cloud diske https://www.boxcryptor.com/en/

Nå ja, et andet projekt hedder også sletning af data. Inspireret af GDPR burde jeg nok efterhånden slette lidt mere af det gamle.

Men hvad med jer?

Hvad kan I prale med blev implementeret i år, og hvad er I særligt kede af I ikke nåede?

Hvordan ser I 2019 - hvad brænder mest?

Kom gerne med input til min 2019, hvad jeg også skal se på, tak

PS Lidt pudsigt når man ser tilbage, så stødte jeg på et indlæg fra februar 2017, omkring open source, og ser at listen over produkter stadig er meget relevante. https://www.version2.dk/blog/modne-open-source-loesning-1073800 #Kali #Wireshark #Suricata #Bro - nu #Zeek #OpenBSD og så #Nmap

Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Jeg skal lede efter en ny firewall. Min gamle Cisco 5505 kan kun trække 100 Mbit/s, og nu har jeg fået 1000/1000 Mbit/s internetlinje.

Jeg skal overveje enten at rydde op eller købe nye diske til min NAS, efter de første 11 TB er på kanten af at være fyldt op.

Jeg skal se efter nye overvågningskameraer. De gamle generationer, der bare streamer i vilden sky til NAS'en, og laver bevægelseskendelse af alt fra blade til katte er måske noget forældede.

Jeg skal måske se på nyt wifi der hjemme, efter en hel stribe ældre Apple accesspoints og nogle gamle Linksys stadig spøger og giver wifi-signaler af yderst varierende kvalitet.

Jeg skal måske se på noget til sjovt sikkerhed til børn på netværket. Måske Disney Circle?

Jeg skal måske finde en ny mailserver, efter det gamle webhotel ikke rigtigt har fulgt med sikkerhedsudviklingen de senere år.. Men hvem har det? Office365 og Google?

Måske skal jeg skifte fra IPv4 til IPv6 på hjemmenetværket. Min ISP tilbyder det også. Men virker alting mon, eller bliver det noget bøvl? Tja.

Der er i hvert fald rigeligt at tage fat i.

Henrik Kramshøj Blogger

Ja, kender det. Når det så samtidig er på produktionsnetværket hjemme kan det være svært at få service vinduer :-D

Hvis jeg sådan uopfordret må komme med input, take it or leave it jeg får ingen sponsorpenge, men det virker for mig:

  • AP'er sværger jeg til Unifi nu. Det er så simpelt at komme igang med og kan udbygges nemt. Jeg har også brugt det på BornHack med stort held, og AP'erne kører videre selvom controller er slukket. Jeg bruger 3 APer så der er godt signal både indeni huset, forhave og baghave
  • Firewall/router Jeg har fiber og derfor std RJ45 Ethernet Så der anbefaler jeg en Turris Omnia router https://omnia.turris.cz/en/ eller en DIY med pfsense eller opnsense og hardware: PC Engines APU2C4 kan fås nogenlunde billigt NB: hvis man køber direkte er det faktureret fra Schweitz så udenfor EU! Der er lang levetid med open source og derfor bliver det i længden mere sikkert end eksempelvis en TP-Link TL-R600VPN - denne model nævnt specifikt fordi de praler med sikkerheden på den, og jeg igår læste om Remote Code execution sårbarheder og at web server kører som root på dem ... CPE'erne man køber færdige til en billig penge er ikke engang pengene værd i softwaren

Mht IPv6, just do it. Det er meget få problemer man oplever - er de erfaringer jeg har fra eget net, egne netværk andre steder og fra diverse konferencer hvor det har været afprøvet.

Ole Kaas

AP'er sværger jeg til Unifi nu. Det er så simpelt at komme igang med og kan udbygges nemt. Jeg har også brugt det på BornHack med stort held, og AP'erne kører videre selvom controller er slukket. Jeg bruger 3 APer så der er godt signal både indeni huset, forhave og baghave

Tilmed er prisen fornuftig og controller softwaren er til fri download. Man kan godt få noget der er billigere - men så ender vi hurtigt i kategorien "skrammel".

Jeg kunne godt tænke mig at køre Opensense (træt af min mikrotik) på .f.eks PC Engines bræt. Men jeg overvejer at gå "All In" på Unifi med deres Security Gateway og PoE switch der hver for sig koster en lille tusse med moms. APU2D4 koster 2500 svenske - men giver naturligvis en anden form for frihed.

Jeg har allerede en Unifi AP AC-Pro og det er sat op med 3 SSID/VLAN: "Guest" - til gæster og ungerne. "Operations" - hvor jeg selv roder rundt. "Video" - webcams, IoT enheder osv. - ingen Internet adgang herfra.

Log ind eller Opret konto for at kommentere