Automatisering av serversäkerhetsvalidering
2014 (Swedish)Independent thesis Basic level (degree of Bachelor), 10 credits / 15 HE credits
Student thesisAlternative title
Automation of server security validation (English)
Abstract [sv]
Det här examensarbetet utvärderar huruvida det finns ett verktyg som företaget Zetup kan använda i sin organisation då de söker ett koncept för att validera standardiserade och säkrade installationer av olika servrar. Valideringen av de här installationerna skall kunna automatiseras, verifieras fortlöpande under systemens livslängd och bör även gå att modifiera efter specifika förutsättningar.
Verktyget som valdes för utvärderingen var säkerhetsorganisationen Center for Internet Securitys CIS-CAT Benchmark Assessment Tool som använder sig av XML-filer, så kallade benchmarks, bestående av ett antal kontroller av huruvida ett målsystem är konfigurerat i konformitet med av säkerhetsorganisationen framtagna säkerhetskonfigurationer för maximal informationssäkerhet. En körning av CIS-CAT resulterar i ett HTML-dokument som tydligt, kategori för kategori, redovisar resultatet av alla kontroller och betygsätter konfigurationen av målsystemet. För ändamålet valde Zetup 22 krav att ställa på sin standardserver. För de flesta av de här kraven fanns redan kontroller och för de övriga fick nya kontroller skapas.
Inledningsvis kontrollerades det att servern faktiskt var konfigurerad i enlighet med rekommendationerna, sedan introducerades 10 fel för att verifiera om verktyget faktiskt hittade alla felkonfigurationer.
Utvärderingen visade att verktyget är väldigt användbart då CIS-CAT ganska enkelt gick att konfigurera efter organisationens egna förutsättningar och hittade alla introducerade fel. CIS-CAT uppfyller de av Zetup ställda kraven även om nackdelar också framkom. En stor fördel är att man med ett sådant här verktyg kan börja jobba proaktivt och upptäcka felkonfigurationer redan innan de påverkar ett system negativt. Nackdelar värda att nämnas är till exempel att verktyget lämnar en del att önska vad gäller felmeddelande vid felkonfigurering av benchmarks som inte alls är särskilt hjälpsamma. En annan nackdel är att det krävs en del resurser för att jobba med ett sådant här verktyg dels då benchmarks måste underhållas då nya krav framkommer och gamla försvinner men också för att någon måste gå igenom resultatet av alla körningar och åtgärda eventuella problem
Abstract [en]
This thesis evaluates whether there exists a tool that the corporation Zetup can use seeing that they search for a concept to validate standardized and secured installs of various servers. The validation of these installs should be able to be automated, verified continuously during a systems lifetime and should also be able to be modified for specific conditions.
The tool that was chosen for this evaluation was the security organization Center for Internet Security’s CIS-CAT Benchmark Assessment Tool which uses XML-files, so called benchmarks, consisting of a number of verifications which checks whether a target system is configured in conformity with security configurations that the Center for Internet Security has produced for maximal information security. A run of CIS-CAT results in a HTML-document which explicitly presents the result of each verification specified and grades the configuration of the target system. For this purpose, Zetup has chosen 22 requirements that their standard server should live up to. Most of these verifications were already configured, others had to be created.
Initially, it was verified that the server was configured in accordance with the recommendations. Then, 10 misconfigurations were introduced to verify that the tool actually could find all misconfigurations.
The evaluation showed that the tool is very useful. CIS-CAT was easily configured according to the organizations specific conditions and all introduced misconfigurations were found. CIS-CAT complies with the requirements Zetup has set although disadvantages also emerged. A great advantage is that with a tool such as this, you can start working proactively and discover misconfigurations before they affect a system negatively. Disadvantages worth mentioning are for example that the tool is not very helpful when it comes to error messages when misconfiguring the benchmark file. Another disadvantage is that a lot of resources are required when working with a tool like this; Benchmarks must be maintained and modified as new requirements emerge and old ones vanish. Also, someone must review the result of every run of CIS-CAT and fix each encountered misconfiguration
Place, publisher, year, edition, pages
2014. , p. 16
Keywords [en]
Information security, Linux, Security configuration, CIS-CAT
Keywords [sv]
Informationssäkerhet, Linux, Säkerhetskonfigurering, CIS-CAT
National Category
Computer and Information Sciences
Identifiers
URN: urn:nbn:se:hv:diva-6292Local ID: EXM301OAI: oai:DiVA.org:hv-6292DiVA, id: diva2:721779
Subject / course
Computer enigeering
Educational program
Nätverksteknik med IT-säkerhet
Supervisors
Examiners
2014-06-052014-06-052018-01-11Bibliographically approved