Les auditeurs QSA demandent à récupérer l’ensemble des versions de SSL de nos composants (Cipher Suite) et quand à plusieurs centaines d’équipements aussi bien réseaux, qu’applicatifs et autres consoles d’administrations, nous sommes vite confronté à une véritable problématique de temps. Les preuves ne sont valables que trois mois… Le parc étant vraiment hétérogène. J’ai demandé…
PCI DSS nous demande de conserver à jour l’ensemble des composants dont nos bibliothèques SSL. Nous avons tous subi la faille OpenSSL Heartbleed et j’ai constaté lors de l’audit d’un socle Linux que malgré une mise à jour régulière de celui-ci, aucune mise à jour de la librairie SSL n’était disponible lors de la commande…
La majorité des systèmes d’informations hébergent des systèmes dit Open (Unix, Unix-Like) et la méthode d’administration se fait via (Open)SSH. Un excellent protocole chiffré qui permet d’avoir accès à son serveur de façon sécurisé si on respecte quelques règles de bases. Pour PCI DSS, l’auditeur vérifiera que les serveurs SSH installés soient bien conformes à la…
Comment effacer un fichier de façon sécurisé sur une plateforme AIX et LinuxL’effacement des données en mode console (ssh, script…) ne doit pas être pris à la légère dans le contexte PCI DSS. Si vos équipements hébergent du PAN, il faut durcir certaines commandes de base et surtout la commande rm sur les systèmes Unix…
Suite à notre mise en conformité PCI DSS, je vous propose le guide de durcissement suivant sur le composant Apache hébergé sur un socle Linux. Ce billet permet de durcir votre composant à un niveau acceptable. N’oublions pas que le durcissement dépend énormément de la surface d’attaque que l’on souhaite exposer et surtout de la…
Depuis la construction de la plateforme compliant PCI et l’analyse de log, j’ai des erreurs récurrentes sur les composants DNS qui cherchent à joindre des services en IPv6. Le composant Bind9 écoute aussi sur l’IPv6 par defaut. Le réseau ne disposant pas de celui-ci on va forcer Bind9 à faire de l’Ipv4 only.
Lors de notre audit PCI DSS, les QSA vont prendre un certains nombres de preuves confidentielles de l’entreprise. Cette obligation de communiquer les preuves aux formats électroniques posent bien entendu les problèmes de confidentialité ainsi que la façon dont celles-ci vont être sauvegardés.
Durcir son serveur Mysql en 6 étapesDans la continuité de notre certification, nous constatons que le durcissement des composants des bases de données Open Source soulève des difficultés aux équipes de prod. MySQL n’échappe pas à la règle. Il faut durcir ce composant tout en permettant la continuité de la production. Ce guide de durcissement…
Pour répondre aux exigences PCI DSS du chapitre 2 et en particulier la 2.2.2, nous devons savoir quel sont les ports TCP/UDP ouverts sur nos serveurs. Je vous propose le billet suivant pour vos plateformes Linux. L’auditeur appréciera la concordance des résultats avec votre documentation.
Durcissement du composant Postfix pour répondre aux exigencesLe durcissement des composants Open Source est aussi une obligation dans une démarche PCI DSS. Je vous propose ce billet pour commencer votre guide de durcissement (Hardening) pour le composant Postfix (SMTP). Ce billet est à destination des équipes techniques et responsables de ceux-ci. Il arrive qu’une solution…
