Phone icon +45 45 34 44 00
Search icon
Book møde

Documentation

6. Sikkert servermiljø

Ethvert website, applikation eller server skal integrere grundlæggende sikkerhedsforanstaltninger i overensstemmelse med bedste praksis – ikke kun for netværkskommunikation, men også for autentifikation og infrastruktur.

Sikring af kommunikationsnetværk

  • Implementér TLS version 1.2 eller 1.3 (som erstatter SSL) på alle websites og til dataoverførsler i dine mobilapplikationer, fx ved hjælp af Let’s Encrypt. Brug kun de nyeste versioner og kontroller korrekt implementering.

  • Gør brugen af TLS obligatorisk for alle sider på dit website og for dine mobilapplikationer.

  • Begræns kommunikationsporte til kun de nødvendige for applikationernes funktionalitet. Hvis adgang til en webserver kun er mulig via HTTPS-protokollen, bør kun porte 443 og 80 være tilgængelige, mens alle andre porte blokeres af firewall.

  • OWASP har publiceret forskellige cheatsheets for bl.a. korrekt implementering af TLS og sikring af webservices.

Sikring af autentifikation

  • Følg CNIL’s anbefalinger om adgangskoder. Husk især at begrænse antallet af loginforsøg.

  • Gem aldrig adgangskoder i klartekst. Hash dem med et anerkendt bibliotek, såsom bcrypt.

  • Hvis cookies bruges til autentifikation, anbefales det:

    • at tvinge brugen af HTTPS via HSTS;
    • at bruge secure-flagget;
    • at bruge HttpOnly-flagget.

  • Test de kryptografiske suiter på dine systemer og deaktiver forældede algoritmer (RC4, MD4, MD5 osv.). Anvend AES256 hvor muligt. Læs OWASP’s note om emnet.

  • Vedtag en specifik adgangskodepolitik for administratorer. Skift adgangskoder, når en administrator forlader organisationen eller ved mistanke om brud. Anvend stærk autentifikation, hvor muligt.

  • Begræns adgangen til administrationsværktøjer og interfaces til kvalificeret personale. Opfordr til brug af lavprivilegerede konti til daglige opgaver.

  • Fjernadgang til administrationsinterfaces skal være underlagt øgede sikkerhedsforanstaltninger. For interne servere kan det fx være en god løsning at implementere en VPN med stærk autentifikation af både bruger og arbejdsstation.

Sikring af infrastruktur

  • Tag regelmæssige, krypterede backups og test dem løbende. Dette er især vigtigt i tilfælde af ransomware-angreb, da backups ofte er den eneste mulighed for at gendanne systemer.

  • Minimer softwarestakken og for hvert element:

    • Installer kritiske opdateringer hurtigst muligt og planlæg automatiske ugentlige tjek;
    • Automatisér en sårbarhedsovervågning ved fx at abonnere på NVD Data Feeds.

  • Brug sårbarhedsscannere til kritiske processer for at identificere sikkerhedsbrud. Overvej også systemer til registrering og forebyggelse af angreb på kritiske systemer eller servere. Disse tests bør udføres regelmæssigt og før nye softwareversioner går i produktion.

  • Begræns eller forbyd fysisk og softwaremæssig adgang til diagnostik- og fjernkonfigurationsporte. Brug fx netstat-værktøjet til at liste åbne porte.

  • Beskyt databaser, der er tilgængelige fra internettet, ved at begrænse adgangen så meget som muligt (fx via IP-filtrering) og ved at ændre standardadministratorens adgangskode.

  • Gode praksisser inden for databaseadministration inkluderer:

    • Brug af nominative konti til databaseadgang og oprettelse af separate konti for hver applikation;
    • Fratagelse af administrative rettigheder fra bruger- og applikationskonti for at forhindre ændringer af databasens struktur (tabeller, views, procedurer osv.);
    • Implementering af beskyttelse mod SQL- og script-injektionsangreb;
    • Kryptering af både disk og database for at sikre data i hvile.

Book en web pentest

Find svagheder i web applikationerne

Book i dag