Vulnerability scans

Hi, our company has a 3rd party do vulnerability scans for as as part of our PCI compliance.

This is not critical, but the following items are on the firewall's external IP are in the report each time. Note this is the actual firewall, we are NOT doing NAT.

1. SSL Anonymous Diffie-Hellman Ciphers
recommendation: configure server to only allow higher-grade SSL

2. SSL Weak Encryption Algorithms
recommendation: configure server to only allow higher-grade SSL

3. HTTP TRACE method enabled
recommendation: disable trace method

I realize the impact of these issues is probably very low.

Thanks,
Barry

Thanks for the heads up. Being informed is everything, wouldn't you agree? [:)]

I'd appreciate it if someone from Astaro would acknowledge my message; otherwise I'll probably need to open a ticket.

Thanks,
Barry

Hey Barry, since you're my customer, would you like me to go ahead and open the case for you?

Sure Bruce, that'd be great.

As I said, these aren't (currently) critical as far as PCI goes, but they do keep changing the standards, and cleaning this up would make less work for us on our quarterly audits.

Thanks!
Barry

Who do you all recommend and any experiences good or bad with these services for Vulnerability Scans and PCI Compliance?
Thank you all in advance.

8 - Astaro 220's 7.104 and 7.201 (testing)

My employer has contracted with Ambiron, now known as TrustWave. Their scan product is TrustKeeper.
Ambiron was purchased by IBM about a year ago.

However, I can't recommend them; they're consulting is extremely expensive and only includes 1 3-hour call per quarter, and the scans are about $600 each (+ the retainer), and the scan reports do not include vital details such as the exact URL for a XSS vulnerability, etc.

Nessus would be fine, and I'm pretty sure TrustKeeper's product is based on Nessus, but they've over-customized the reports (omitting critical information).

Anyways, for most PCI levels, you have to have a 3rd party doing some of the scans, and they have to be PCI certified... I wish there was someone I could truly recommend.
The OWASP mailing lists might be a good place to inquire further.

Barry

I'll let you know in the coming months if I find someone worth a hoot that doesn't think the world revolves around their report findings, and charges like they own the world.  haha  Thanks Barry.

Yeah we use Trustkeeper as well. Pretty overpriced.

Bruce kindly opened a ticket with Astaro...

A. They may not fix this in 6.x... understandable. I've done some research on this for our other servers; it may be possible to 'hack' it though by adding:
SSLCipherSuite HIGH:!SSLv2:!ADH:!aNULL:!eNULL:!NULL
To the global section of the httpd.conf

B. They think some of the issues don't exist in v7, and will look into the others soon.
If anyone has seen these alerts with v7, please respond here.


Thanks,
Barry

Just a reminder guys; while I think the entry that Barry G. mentions here may work in Version 6, but do remember this may void your support and / or "kill" the box.  I'll be keeping up with this issue myself, there are some pen tests that we run against the box, I'll check to see if we have some that look at this "HTTP Trace" method.