Je hebt net eG Manager geïnstalleerd en je kan starten met het toevoegen van componenten, instellen van thresholds, configureren van dashboards, en zo veel meer. Maar voor je hieraan begint, bekijk je best eerst security hardening van eG Manager. Deze blogpost beschrijft een checklist met items die je best nakijkt om de beveiliging van eG Manager te verhogen.
Als je wil weten wat eG Enterprise te bieden heeft, neem zeker eens een kijkje op onze blogpost “eG Enterpsise IT monitoring en zijn unieke eigenschappen“.
Een aantal maatregelen zijn bij een nieuwe installatie reeds toegepast, en moet je dus alleen nakijken als je een bestaande installatie hebt of een upgrade uitvoert.
De hardening maatregelen zijn op te delen in 3 categoriëen:
Hieronder een oplijsting van de verschillende maatregelen per categorie, waarna we er verder op ingaan.
Er zijn ook een aantal standaard hardening settings die eG Enterprise per default heeft geactiveerd in de eG Manager. Deze vermelden we onderdaan mee ter info. Aangezien deze laatste categorie out-of-the-box zo geconfigureerd is, moet er ook niet verder naar gekeken worden.
Categorie | Maatregel |
Server hardening | Gebruik je de laatste versie van Java Deployment Kit (JDK)? |
Server hardening | Indien eG Manager en de database op hetzelfde systeem staan, worden alle externe connecties naar de database geblokkeerd door de firewall? |
Server hardening | Is de firewall op de eG Manager server geconfigureerd om alleen toegang te geven op de poort van eG Manager? |
Server hardening | Zijn de laatste service packs en patches toegepast op de eG Manager server? |
Encryptie | Is SSL geconfigureerd op eG Manager? |
Encryptie | Gebruikt eG Manager een sterke encryptie methode? |
Encryptie | Is TLS 1.2 ingeschakeld op eG Manager? |
Encryptie | Monitored de eG Agent applicaties die SSL gebruiken? Indien wel, is het SSL certificaat van die applicaties geïmporteerd in de JRE van de agent? |
Encryptie | Worden cookies die over HTTP verstuurd worden beveiligd? |
Toegang | Is het paswoord van de admin en supermonitor accounts gewijzigd? |
Toegang | Is account locking ingesteld? |
Toegang | Is audit logging ingeschakeld? |
Default hardening | TCP time stamp response vulnerability |
Default hardening | Click jacking |
Default hardening | Cross site scripting prevention |
Default hardening | Cross-Site Request Forgery (CSRF) security checks |
Default hardening | SQL injection prevention |
Server hardening
Gebruik je de laatste versie van Java Deployment Kit (JDK)?
Gebruik steeds de laatste ondersteunde versie van Java Deployment Kit. Voor eG Enterprise versie 7 is dit JDK 12.
![•n\java.exe -version
openjdk version "12.0.2" 019-07-16
t AdoptopenJDK (build 12.0.2+10)
openJDK 64-Bit server w AdoptopenJDK (build 12.ø.2+1e, mixed mode,
sharing)](https://www.nimble.be/wp-content/uploads/image-63.png)
Worden alle externe connecties naar de database geblokkeerd door de firewall?
eG Agents en users communiceren nooit rechtstreeks met de database. Alleen eG Manager doet dit. Zorg er dus voor dat alleen connecties vanaf eG Manager zijn toegestaan naar de database.
Is de firewall op de eG Manager server geconfigureerd om alleen toegang te geven op de poort van eG Manager?
Alle communicatie naar eG Manager gebeurt over 1 TCP poort. Configureer de firewall op de eG Manager server dus zodanig dat alleen communicatie naar deze ene poort is toegestaan.
Zijn de laatste service packs en patches toegepast op de eG Manager server?
Zorg dat het besturingssysteem waarop eG Manager draait steeds up to date is.
Encryptie
Is SSL geconfigureerd op eG Manager?
Versleutel alle verkeer tussen eG Manager en gebruikers. Gebruik ook steeds een eigen certificaat, getekend door een vertrouwde Certificate Authority, al dan niet in-house of extern.
Voor meer informatie hoe je SSL configureert in eG Manager neem je best een kijkje in de eG Installation Guide op https://www.eginnovations.com/documentation/eG-Installation-Guide/On-Windows.htm.
![Machine generated alternative text:
eG Innovations, Inc.
Website identification
Sectigo
has identified this site as
Antwerpen, Antwerp
Your connection to the server is encrypted.
View certificate
Should I trust this site?
Website permissions
You haven't set any permissions for this
site yet.
Media autoplay settings
O Sign in
eG Enterprise
nimble
Sign In
Foraot Password?](https://www.nimble.be/wp-content/uploads/image-64.png)
Gebruikt eG Manager een sterke encryptie methode?
eG Enterprise versie 7 is standaard geconfigureerd met een encryptie methode ondersteund door de recente browsers. Bij een nieuwe installatie kan je deze stap dus overslaan.
Recente versies van de meeste browsers staan geen verouderde encryptie methodes toe. In andere woorden, als eG Manager nog zo’n verouderde methode gebruikt, zal je niet kunnen connecteren met de web interface van eG Manager. Om dit te voorkomen, dien je eG Manager te configureren om een recente, ondersteunde encryptie methode te gebruiken.
Dit staat in het volgende XML bestand: <eG installatie map>\manager\tomcat\conf\server.xml . Zoek hierin de configuratie voor poort 7077 en zorg dat sslProtocol op TLS staat.
![server.xml - Notepad
File Edit Format View Help
Deftne a SSI Covate HTTP/I.I Connector on port
(Connector protocol -"ore . apache . coyote . httpll "
SLEnab1ed="true"
enableLookups-"false" acceptcount-"2eee" connectionTimeout-"3eeeee" socket. rxBufsize-"131e72"
socket. compression-
"force"
compressi blemimeType= "font /woff , font/woff2 , text/html , text/xml , text/plain , application/x- java- applet , application/octet -
stream, application/xml , text/ javascript , text/css , image/png, image/bmp , image/ jpeg, image/gif , application/pdf , appl ication/x
j avascript , application/ shoc knave - fl ash , appl i cat ion/ xhtml+xml , appl i cat ion/xml+xhtml
nocompressionUserAgents-"gozi11a, traviata" server-"eG manager" >
<SSLHostConfig honorCipherOrder="true"
ciphers-"TLS ECDHE_RSA WITH AES 256 Gcm SHA384,TLS ECDHE ECDSA WITH AES 256 Gcm SHA384,TLS ECDH ECDSA WITH AES 256 c,cm SHA384,TLS
RSA WITH AES 256 c,cm SHA384,TLS ECDHE RSA AES 128 GCM SHA2S6,TLS ECDHE RSA AES 256 CBC SHA3U,TLS ECDHE RSA ACS
CBC SHA256,TLS ECDHE RSA WITH AES 256 CBC SHA,TLS ECDHE RSA WITH AES 128 CBC SHA,TLS ECDHE RSA WITH AES 256 CBC SHA"
certificateverification="none" protocols="TLSv1.2" ss1Protoc01="TLS": <Certificate .
< /connector'>
A "Connector" represents an endpoint by which requests are received
and responses are returned. Documentation at .
Java HTTP connector: /docs/config/http.html
Java AJP Connector: / docs/config/ajp. html
APR (HTTP/AJP) connector: /docs/apr.html
Define a non-SSL/TLS HTTP/I.I Connector on port
8ø8ø
Windovvs (CRLF)
Ln 79, Col 14
100%](https://www.nimble.be/wp-content/uploads/image-65-1024x526.png)
Is TLS 1.2 ingeschakeld op eG Manager?
eG Enterprise versie 7 gebruikt standaard TLS 1.2, tenzij je upgrade vanaf versie 6. Bij een nieuwe installatie kan je deze stap dus overslaan.
Zorg dat de communicatie tussen eG Manager en je gebruikers steeds veilig verloopt via TLS 1.2.
Als je upgrade vanaf eG Enterprise v6, zorg dat je je agents eerst upgrade naar v7 voordat je TLS 1.2 activeert. Versie 6 agents moeten namelijk worden geconfigureerd om TLS 1.2 te gebruiken, terwijl versie 7 agents dit standaard mee ondersteunen.
Dit staat in het volgende XML bestand: <eG installatie map>\manager\tomcat\conf\server.xml . Zoek hierin de configuratie voor poort 7077 en zorg dat protocols op TLSv1.2 staat.
![server.xml - Notepad
File Edit Format View Help
l)ofinp a SSI (o oto Ill .1 (annortor on port
<connector executor-"tomcatThreadpool" protocol-
port-"7ø77"
SSiimpiemenLaLionNeme- urg.
SSLEnab1ed="true"
org.apache . coyote.http11.Http11Ni02protocol
connectionTimeout=" 3øøøøø" socket .
socket.txBufsize-"131Ø72" maxHttpHeadersize-"131W2" URIEncoding-"UTF-8" usesendfile-"false" tcpN0De1ay-"fa1se" compression-"
c ompressi bl emimeType= "font/woff , font/woff2 , text/ html , text/xml , text/ plain , application/x- java- applet , application/octet -
s tream , appli cation / xml , text/ javascript , text/css , image/ png, image/ bmp , image/ j peg, image/ gif , ication/ pdf , appl ication/ x -
javascript,application/javascript,application/json,application/x-shockwave flash, application/xhtml ixml , application/xml i xht
traviata" server="eG Manager" >
<SSLHostconfig
ciphers-"TLS ECDHE RSA WITH AES 256 GCM SHA384,TLS ECDHE ECDSA ALS SHAJ84, ILS ECDSA Ats SliAJ84, ILS
DH RSA WITH AES 256 Gcm SHA384,TLS ECDHE RSA WITH AES 128 Gcm SHA256,TLS ECDHE RSA WITH AES 256 CBC SHA384,TLS ECDHE RSA WITH AES 12
8 CBC SHA256,TLS ECDHE RSA WIT% ECDHE RSA WITH AES 128 CBC SHA,TLS ECDHE RSA WITH AES 256 CBC SHA"
certificateKeystoreFile=•
certificateKeyAlias= ; -
< 'connector >
A "Connector" represents an endpoint by which requests are received
and responses are returned. Documentation at :
Java HTTP Connector: /docs/config/http.html
Java Connector: /docs/config/ajp . html
APR (HTTP/AJP) connector: /docs/apr. html
Define a non-SSL/TLS HTTP/I.I Connector on port
8ø8ø
Windows (CRLF)
Ln 79, Col 14
100%](https://www.nimble.be/wp-content/uploads/image-66-1024x528.png)
Monitort de eG Agent applicaties die SSL gebruiken? Indien wel, is het SSL certificaat van die applicaties geïmporteerd in de JRE van de agent?
Om applicaties te monitoren die SSL gebruiken, moet je het SSL certificaat van de applicatie importeren in de JRE van de agent zodat deze het certificaat vertrouwt en de connectie kan maken.
De stappen om het certificaat van een applicatie te importeren in de JRE van de agent zijn dezelfde als die om het certificaat van de eG Manager te importeren. Je kan deze terugvinden in de eG Installation Guide op https://www.eginnovations.com/documentation/eG-Installation-Guide/Importing-SSL-Certificate-into-the-JRE-of-the-eG-Agent.htm.
Worden cookies die over HTTP verstuurd worden, beveiligd?
Om cookies te beveiligen, volg je deze stappen:
- Log aan op de eG Manager server.
- Ga naar de eG installatie map en dan verder naar manager\tomcat\conf.
- Open het context.xml bestand.
- Voeg het volgende toe onder de <WatchedResource> tags: <Context>useHttpOnly=”true” privileged=”true”</Context>
- Sla het bestand op en herstart de eG Manager services.
![](https://www.nimble.be/wp-content/uploads/image-72.png)
Toegangen beveiligen
Is het wachtwoord van de admin en supermonitor accounts gewijzigd?
Admin en supermonitor zijn accounts die bij elke installatie standaard worden aangemaakt, met een standaard wachtwoord. Zorg er dus voor dat het passwoord van deze accounts gewijzigd wordt om te voorkomen dat er misbruik gemaakt wordt van deze accounts.
Het wachtwoord van deze accounts wijzig je door aan te melden. De eerste keer dat je aanmeldt komt eG Manager vragen om een nieuw wachtwoord in te stellen.
![Machine generated alternative text:
Password Alert
You are logged in as admin. Your account has
a default password Please provide a new
password now
New Password
Confirm New Password
The supermonitor account has a default
password Please instruct the supermonitor
user to change the password for secunty
reasons.
Submit](https://www.nimble.be/wp-content/uploads/image-69.png)
Is account locking ingesteld?
Account locking zorgt ervoor dat wanneer er meerdere keren geprobeerd wordt om in te loggen op een bepaalde account, dat deze account tijdelijk geblokkeerd wordt. Dit om het raden naar passwoorden tegen te gaan.
De account is geblokkeerd voor een bepaalde, ingestelde tijd, of tot een administrator de account manueel deblokkeert.
Voor meer informatie neem je best een kijkje in Administering eG Enterprise op https://www.eginnovations.com/documentation/eG-Installation-Guide/On-Windows.htm.
![Machine generated alternative text:
MANAGER SETTINGS
General Settings
Manager Notification
Test Configuration
Threshold Configuration
Comma
nd Execution
ITSM/Collaboration Integration
Log settings
Auditing
Advanced Settings
Capacity Planning
Virtual Topology
Manager Model
Account Security
Account Lockout
Single Sign-On
Password Policy
ACCOUNT LOCKOUT
Account Lockout
This page enables the administrator to define the settings for the different activities performed by the eG manager.
Message Type
Enable account lockout?
Allowed login failure attempts
Lockout Strategy
Generic
Yes
3
@ Reset
Specific
C)
No
o
Time](https://www.nimble.be/wp-content/uploads/image-70-1024x401.png)
Is audit logging ingeschakeld
Als audit logging is ingeschakeld, wordt elke wijziging aan eG Enterprise gelogd. De audit logs bevatten details zoals wat er veranderd is, door wie en wanneer. Beheerders kunnen op deze manier snel achterhalen of er ongeauthorizeerde toegang of wijzigingen zijn gebeurd aan eG Enterprise.
Voor meer informatie neem je best een kijkje in Administering eG Enterprise op https://www.eginnovations.com/documentation/Admin/Audit-Logging.htm.
![Machine generated alternative text:
MANAGER SETTINGS
General Settings
Manager Notification
Test Configuration
Threshold Configuration
Comma
nd Execution
ITSM/Collaboration Integration
Auditing
Advanced Settings
AUDITING
Auditing
This page enables the administrator to define the settings for the different activities performed by the eG
Enable auditing
Include activities from the admin command line interface
Yes
Yes
C)
No
C;
No](https://www.nimble.be/wp-content/uploads/image-71-1024x263.png)
Algemene hardening configuraties
De eG Manager heeft van bij de installatie een aantal hardening settings. Deze vermelden we ter informatie. Aangezien dit Out-of-the-box settings zijn, moet daarvoor geen verdere configuratie gebeuren.
TCP time stamp response vulnerability
Normaal gezien antwoordt een server op elke TCP connectie aanvraag met een TCP timestamp. Hieruit zouden kwaadwillende personen kunnen afleiden hoe lang een server aan staat, wat mogelijks kan helpen bij toekomstige aanvallen. Meer zelfs, sommige besturingssystemen kunnen worden “gefingerprint” op basis van deze data.
Standaard staat “TCP time stamp response vulnerabilty” aangevinkt in eG Enterprise, zodat TCP timestamp antwoorden automatisch worden uitgezet.
Click jacking control
“Click jacking” is een techniek om een gebruiker op iets anders te laten klikken dan wat hij/zij denkt op te klikken, waardoor er mogelijks confidentiele informatie wordt onthuld, of de controle van hun computer wordt overgenomen.
Controle op Click jacking is standaard aangezet in eG Manager. Dit zorgt ervoor dat als een gebruiker op een iFrame in de eG user interface, dat link(s) naar een andere site of applicatie bevat, klikt, deze links automatisch geblokkeerd worden.
Cross site scripting attacks
Cross-site Scripting (XSS) is een aanval waar een aanvaller kwaadaardige code kan uitvoeren in een legitieme website of web applicatie.
eG Manager is standaard beveiligd tegen cross-site scripting aanvallen.
Cross-Site Request Forgery (CSRF) security checks
“Cross-Site Request Forgery” (CSRF) is een aanval waar een eindgebruiker ongewild acties uitvoert op een web applicatie waar hij/zij momenteel is op ingelogd. CSFR aanvallen zijn specifiek gericht op state-changing requests, en niet diefstal van data, vermits de aanvaller de respons op de nagemaakte aanvraag niet kan zien.
CSRF filters zijn standaard ingeschakeld in eG Manager.
SQL injection protection
SQL injectie is een aanval waarbij een aanvaller SQL code kan uitvoeren op de database van een web applicatie en zo deze web applicatie kan beheren.
eG Manager is standaard beveiligd tegen SQL injectie.
Besluit
eG Enterprise is een zeer volledige IT monitoring oplossing, waar vele componenten samen worden gemonitort. De eG Manager is de centrale spil in de hele omgeving. Het is dus erg belangrijk dat de manager zo goed mogelijk beveiligd wordt. In dit artikel overliepen we een checklist met maatregelen om de beveiliging van de eG Manager te verhogen.
Wil je na het lezen van dit artikel meer weten over eG Innovations, Full-Stack IT monitoring in het algemeen, of over een goed beheer van de moderne werkplek? Lees er gerust onze andere TechZone artikelen op na, of contacteer ons voor een vrijblijvend gesprek.