PCI DSS 2.0 y claves ssh

Navega tus respuestas
3

Sé la respuesta real al auditor.

Somos una empresa más pequeña con menos de 40 empleados en total que también cumple con el nivel 1 de PCI. Siempre hemos utilizado claves ssh en servidores internos. No puede ssh desde el exterior y tener autenticación de 2 factores en el vpn. Nuestro auditor siempre ha estado de acuerdo con nosotros usando ssh keys desde que dijo que somos una pequeña empresa. Desde la auditoría de 2012, hemos duplicado su tamaño y ahora quiere que usemos contraseñas para ssh a través de algo como LDAP.

Como administrador de sistemas, odio tener que ingresar e ingresar una contraseña todo el tiempo. ¿Hay algo que pueda volver y decirle que usar las teclas ssh es igual de seguro?

    
pregunta Mike 18.12.2013 - 01:28
fuente

3 respuestas

3

Debido a que su tienda ha duplicado el número de empleados, esto aumenta el riesgo de que alguien intencionalmente administre incorrectamente una o más claves SSH. El uso de claves SSH sin pasar por LDAP crea la vulnerabilidad de que alguien pueda, por ejemplo, establecer una conexión con la cuenta del sistema y extraer todos los datos del titular de la tarjeta de su base de datos, todo ello como un usuario autorizado y subvirtiendo la gestión de auditoría / acceso.

Ver 2.3, 3.6, 8.1.

También vea enlace

y

Best Práctica: "Una clave ssh por usuario" o "múltiples claves ssh por host"

    
respondido por el user35648 18.12.2013 - 05:39
fuente
3

Siempre tuve un problema con las claves SSH cuando era un QSA. Principalmente porque la gente básicamente los construye una vez y luego los ignora.

Como probador de penetración, hay muchas formas de acceder a los sistemas. Lo más fácil para mí siempre fue obtener acceso a un sistema de administración del sistema con las teclas ssh, o usar un navegador u otro exploit local (ataque de phishing) para extraer las teclas & correo electrónico o web / enviarlos si no puedo acceder directamente al sistema. O simplemente compre hardware antiguo que su personal está vendiendo con actualizaciones anuales; Estoy seguro de que no se borraron y a uno de ellos le queda una llave. Hay muchas formas de acceder a las claves.

Una vez que tuve las claves ssh tuve acceso a todo . Las mejores cuentas para encontrar fueron los administradores que ya no estaban con la empresa. Sin una administración central, es probable que esas cuentas aún estuvieran en el sistema.

Pregúntate esto. ¿Qué estás haciendo para administrar las claves y cuentas ssh en los sistemas? Si tiene cuentas del sistema local con sudo local y usa las teclas ssh para acceder, ¿qué debe hacer cuando alguien cambia los roles en la empresa o contrata a una nueva persona o alguien se retira? O peor, cuando tienes a alguien malintencionado que sabe que se está yendo, que construye previamente las cuentas y las teclas ssh antes de irse. ¿Cómo monitoreas y controlas eso?

Las claves SSH por lo general dejan sus sistemas como docenas o cientos, o por muchos que tenga de sistemas individuales.

Sí, las contraseñas son un dolor, pero muchos administradores en estos días; especialmente aquellos que están capacitados y reciben las herramientas adecuadas para construir contraseñas seguras.

También, con las teclas ssh, incluso con una frase de contraseña; ¿Cómo estás controlando eso? No hay manera de forzar el cambio de frase de contraseña de manera centralizada, ni siquiera una frase de contraseña segura. He visto muchas frases de contraseña de ssh con la contraseña como "a" o "contraseña" ...

Si realmente desea seguridad, debería buscar una solución de token basada en el radio; pero en cualquier caso, debería considerar tener sus cuentas administradas y controladas de forma centralizada. Winbind o incluso solo ldap se pueden usar para la verificación de la cuenta de usuario, así como para la correcta autorización del grupo de usuarios, de modo que pueda controlar adecuadamente el acceso a los sistemas.

No es una respuesta fácil; pero la pregunta que debe hacer es si desea esto para su comodidad o seguridad.

    
respondido por el David M. Zendzian 10.03.2015 - 15:21
fuente
3

Las claves SSH están bien, independientemente del tamaño de su empresa.

Profundicemos en el DSS PCI (extraído de la versión 3.0, pero también en 2.0): 

8.2 In addition to assigning a unique ID, ensure proper user-authentication management for non-consumer users and administrators on all system components by employing at least one of the following methods to authenticate all users:
*Something you know, such as a password or passphrase
*Something you have, such as a token device or smart card
*Something you are, such as a biometric.

"al menos": una de las 3 opciones anteriores está bien.

Guía oficial sobre "algo que tienes": 

 Note that a digital certificate is a valid option for “something you have” as long as it is unique for a particular user.

Conclusión:

Las claves SSH son compatibles siempre que cada SysAdmin tenga su propio par de claves.

En debe agregarse que las mejores prácticas (y por lo tanto, la exigencia de PCI DSS 2) requerirán proteger la clave privada con una contraseña segura.

    
respondido por el PCI Initiative 16.01.2014 - 15:55
fuente

Lea otras preguntas en las etiquetas

¿Debería la empresa proteger el esquema de base de datos al mismo nivel de los datos? Gestión de riesgos con análisis de código de software