Les auditeurs QSA demandent à récupérer l’ensemble des versions de SSL de nos composants (Cipher Suite) et quand à plusieurs centaines d’équipements aussi bien réseaux, qu’applicatifs et autres consoles d’administrations, nous sommes vite confronté à une véritable problématique de temps. Les preuves ne sont valables que trois mois… Le parc étant vraiment hétérogène. J’ai demandé…
PCI DSS nous demande de conserver à jour l’ensemble des composants dont nos bibliothèques SSL. Nous avons tous subi la faille OpenSSL Heartbleed et j’ai constaté lors de l’audit d’un socle Linux que malgré une mise à jour régulière de celui-ci, aucune mise à jour de la librairie SSL n’était disponible lors de la commande…
La majorité des systèmes d’informations hébergent des systèmes dit Open (Unix, Unix-Like) et la méthode d’administration se fait via (Open)SSH. Un excellent protocole chiffré qui permet d’avoir accès à son serveur de façon sécurisé si on respecte quelques règles de bases. Pour PCI DSS, l’auditeur vérifiera que les serveurs SSH installés soient bien conformes à la…
L’effacement des données en mode console (ssh, script…) ne doit pas être pris à la légère dans le contexte PCI DSS. Si vos équipements hébergent du PAN, il faut durcir certaines commandes de base et surtout la commande rm sur les systèmes Unix / Unix-Like (Linux, FreeBSD…). Dans mon cas malgré la présence d’un SAN…
Suite à notre mise en conformité PCI DSS, je vous propose le guide de durcissement suivant sur le composant Apache hébergé sur un socle Linux. Ce billet permet de durcir votre composant à un niveau acceptable. N’oublions pas que le durcissement dépend énormément de la surface d’attaque que l’on souhaite exposer et surtout de la…
Depuis la construction de la plateforme compliant PCI et l’analyse de log, j’ai des erreurs récurrentes sur les composants DNS qui cherchent à joindre des services en IPv6. Le composant Bind9 écoute aussi sur l’IPv6 par defaut. Le réseau ne disposant pas de celui-ci on va forcer Bind9 à faire de l’Ipv4 only.
