This document discusses security considerations for the Moodle learning management system (LMS). It outlines how Moodle contains valuable user and course data that needs protection. An information security management system (ISMS) is crucial for applying security policies to identify protected assets, threats, vulnerabilities, and risks. Security involves securing the physical infrastructure that hosts Moodle, as well as technical measures within Moodle like access controls, encryption, authentication, and monitoring. Partnering with an experienced Moodle certified partner can help ensure a secure implementation.
2. PragoData Consulting
We are the certificate Moodle partner
How we could help you with Moodle?
• Analytic and consulting services, solution design, project
management
• Graphics, Moodle template, responsive design
• Upgrade or unification Moodle for Schools
• Customization and extension development for peace
• System integration
• Training accredited by the Ministry of Education, creating
tailor-made courses
• Hosting, operation, user support, outsourcing Moodle
23. 5. 2016, EUNIS 2016 2PragoData Consulting, s.r.o.
www.moodlepartner.cz
3. Security in LMS Moodle
LMS Moodle
• One of the most widespread systems in the world LMS
• Application across organizations of various types
• It Contains valuable asset
• User data
• The progress and results of the study, stamps, badges
• Courses that contain high value
• Quiz bank
Security threats, effort on disposal of assets
The need to integrate Moodle in the ISMS
23. 5. 2016, EUNIS 2016 3PragoData Consulting, s.r.o.
www.moodlepartner.cz
4. Security in LMS Moodle
Information Security Management System (ISMS)
• Crucial for the application of security policy
within the organization
• Identification of assets that should be protected
• Identification of threats and vulnerabilities
• Assessment of the risk
• Impact analysis
• Design and implementation of measures
23. 5. 2016, EUNIS 2016 4PragoData Consulting, s.r.o.
www.moodlepartner.cz
5. Security in LMS Moodle
Levels of information security LMS Moodle
• IS security must be understood comprehensively
• Object security
• Safety operational infrastructure
• Security of LMS Moodle
23. 5. 2016, EUNIS 2016 5PragoData Consulting, s.r.o.
www.moodlepartner.cz
6. Security in LMS Moodle
Object security
• Independence of Moodle in operational
infrastructure
• Solutions of object´s security
• Location data centers outside the flood area
• Access system for authorization of persons
• Fire and extinguishing system
• Redundant power supplies, redundancy
• Dust-free, constant temperature and humidity zero rate
• Cooling system, backup cooling
23. 5. 2016, EUNIS 2016 6PragoData Consulting, s.r.o.
www.moodlepartner.cz
7. Security in LMS Moodle
Security of operationaly infrastructure
• LMS Moodle is multiplatform system
• The benefits of virtualization, not only in terms of
safety
• Backup
• Mostly non-critical system
• Incremental backups / full backups
• DB, Moodledata, source codes
• storing backups
23. 5. 2016, EUNIS 2016 7PragoData Consulting, s.r.o.
www.moodlepartner.cz
8. Security in LMS Moodle
Security in LMS Moodle
• Setting permissions on files and directories
• Moodledata directory must be accessible over the web
• Web server must not have the right to write to the
source directory
• Database accessible only from the localhost
• The server runs only the necessary services
• Updates, patches
• Access to stored files only through API
23. 5. 2016, EUNIS 2016 8PragoData Consulting, s.r.o.
www.moodlepartner.cz
9. Security in LMS Moodle
Security in LMS Moodle
• Actuality of system
• Lifecycle support period and version
• Every six months a new version, support for 12 months. +
6 months
• Encryption of communication
• Thin client – server => HTTPS
• Passwords security
• One-way function using the so-called salt (64 characters)
• Setting password strength rules
• The escalation of efforts to "guess" passwords
23. 5. 2016, EUNIS 2016 9PragoData Consulting, s.r.o.
www.moodlepartner.cz
10. Security in LMS Moodle
Security in LMS Moodle
• Authentication methods
• LDAP, MS AD, Shibboleth, RADIUS, CAS
• plugins for more-factor authentication
• SSO
• E.G. over AD - NTLM, Kerberos or Shibboleth
• Alternatively, custom development
• Protecting e-mail address
• Protect forms – Captcha
• In GUI Moodle assembly "Security Overview"
23. 5. 2016, EUNIS 2016 10PragoData Consulting, s.r.o.
www.moodlepartner.cz
11. Security in LMS Moodle
Monitoring
• Monitoring over IPS / IDS
• Monitoring of servers (Zabbix, Cacti, Nagios)
• Monitoring of user´s activity in LMS
Moodle
• Log of changes of Moodle settings
• Detail log of each access to Moodle
• Logs could be shown in different storage
23. 5. 2016, EUNIS 2016 11PragoData Consulting, s.r.o.
www.moodlepartner.cz
12. Why Moodle with PragoData?
• The benefits of Certified Partnership
• Strong and stable company with an experienced
team
• Experience with the development and
implementation of complex solutions (Oriflame -
more than 500 thousand users, VW SK, CSI, Vysocina
Region ...)
• Commitment to sustainability solutions
• Experience with integration with many other systems
• Synergistic use of the experience with other activities
PDC - consulting services and Web applications, Web
IS, web graphics and 3D animation
1223. 5. 2016, EUNIS 2016 PragoData Consulting, s.r.o.
14. Thank you for your attention
Ing. Libor Soška
libor.soska@pragodata.cz
www.moodlemoot.cz
www.moodlepartner.cz
www.pragodata.cz
14
Editor's Notes
Díky rozšířenosti a opensource vyšší šance na odhalení bezpečnostních problémů
nachází uplatnění v mnoha typech organizací počínaje
veřejnou správou (ministerstva, kraje, obce, jimi zřizované nebo zakládané organizace),
školství (VŠ, SŠ a ZŠ),
komerční firmy působící v nejrůznějších oborech a sektorech trhu.
ISMS - systém řízení bezpečnosti informací
LMS Moodle tak, jako každý jiný informační systém ve společnosti, obsahuje informace, data a další cenná aktiva.
Jeho začlenění do systému řízení bezpečnosti informací (ISMS), by tedy mělo být samozřejmostí.
O informační bezpečností LMS Moodle lze hovořit ve třech základních rovinách, přičemž všechny tyto roviny musí být součástí bezpečnostní politiky organizace, jsou jimi:
Objektová bezpečnost řeší ochranu a oprávnění k přístupu k objektu, k HW infrastruktuře – Zcizení železa jako takového
Provoz moodle jak na fyzickém železe, tak ve virtualizované infrastruktuře, tak cloudové prostředí.
Jak „In-house“ datové centra, tak specializované „serverhousingy“.
MS Windows i Linux – nutné držet v aktualizovaném stavu
DB MS SQL, MySQL, Postgre, mariaDB
virtualizace serverů - poskytuje vyšší efektivitu využití HW při současném snížení nákladů
Možnost Clusteringu
Snadné zálohování a snímkování
Provoz LMS Moodle na virtuálním dedikovaném serveru, na kterém neběží žádné jiné webové prezentace či jiné projekty, eliminuje rizika sdíleného hostingu s agregací.
zálohování jednou denně inkrementální záloha a jednou týdně úplná image celého virtuálního serveru
Ukládání záloh – jiný server, NAS, geograficky oddělená lokalita
Soubory vložené do Moodle nejsou dostupné přímo, díky tomu nikdy neexistuje URL např. k nějakému docx dokumentu, ale vždy je soubor vrácen skrze Moodle až po ověření, zda daný uživatel k souborů má mít přístup – tedy zda je autentizován a autorizován
LMS Moodle je léty prověřen silnou komunitou a dlouhodobým vývojem, stabilně testován a laděn, čímž jsou bezpečnostní rizika minimalizována. Vývojáři LMS Moodle kladou velký důraz na bezpečnost kódu. Nejen, že publikují známé bezpečnostní chyby, ale i jejich řešení a opravné balíčky.
SSL by mělo být v dnešní době standardem, veškerou komunikaci mezi klientem a aplikačním serverem Moodle lze šifrovat, zamezení Phishingu a především SSL chrání proti odposlechnutí komunikace – tedy útočník nemá možnost odchytit např. jméno/heslo uživatele, který se právě přihlašuje.
Amatéři útočí na systémy, profesionálové útočí na lidi.
Solení hesel – všechna hesla mají stejnou délku 64 znaků, dvě stejná hesla=různé hashe
Lze nastavit počet pokusů, po kterých odejde SuperAdminovi info, že se něco děje
ochrana e-mailových adres pomocí JavaScriptu znemožňujícím vyčíst emailové adresy ve zdrojovém kódu stránky.
Při SSO řešení není potřeba do Moodle zadávat jméno/heslo
Sestava „Přehled zabezpečení“ – zobrazuje základní info typu, zda je povolen výpis PHP chyb, zapisovatelný soubor config.php, registrace bez ověření, potvrzení změny e-mailové adresy, … Lze to brát jako kontrola nejzákladnějších nastavení
Intrusion Detection/Prevention Systém
Lze dohledat, kdo a jakou změnu v nastavení udělal
Z logu je vidět, kdo, kdy co + info typu IP adresa
V rámci GUI Moodle se lze dostat k logů v rámci Sestav a to konkrétně
– Protokoly – vidět jednotlivé „akce“ uživatele
Změny nastavení
Aktuální protokoly – onlinmožné e zobrazovaní přístupů
Logy se ukládají do db – je zvolit jinou db, než do které je Moodle nainstalován