Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Transkrypt

1 Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Open Source Day 2013

2 O mnie Leszek Miś IT Security Architect RHCA/RHCSS Instruktor/egzaminator Red Hat Lider projektu Web Gateway (wallf.pl) Skupiam się głównie na: Linux Security & forensics Web Security SELinux Pentesty SSO

3 Linux Polska - Security Web Gateway: modsecurity Testy penetracyjne Hardening systemów i usług: SELinux Splunk/Puppet Wsparcie lokalne Szkolenia

4 Agenda Krótkie wprowadzenie do produktu Komercyjny LB/WG czy naprawdę jest Ci niezbędny? Kierunki rozwoju Podsumowanie

5 - wprowadzenie Kompleksowy ekosystem dla infrastruktury aplikacji internetowych HA A-A- 4 moduły : Proxy-Auth Load Balancer Web Application Firewall Single Sign On

6 - wprowadzenie Rozwijany i utrzymywany od 2011r. przez zespół architektów Linux Polska Referencyjne wdrożenia rozwiązania w środowiskach ponad 20k użytkowników: Aktywnych ~20 aplikacji w integracji SSO Nowe dodawane regularnie Lokalne wsparcie techniczne

7 Komercyjny LB/WG czy naprawdę jest Ci niezbędny? HA Wydajność Nieograniczone możliwości Cena Platforma sprzętowa według potrzeb Selektywnie wybrane projekty open source Łatwa integracja Wysoki poziom bezpieczeństwa Wirtualne patchowanie aplikacji Pełna kastomizacja konfiguracji Nowa funkcjonalność na żądanie Kompetencje Lokalny support Skalowalność

8 SSO Central Authentication Service

9 SPNEGO-based SSO: Logowanie do komputera w domenie Klient to IE/Firefox CAS+Kerberos

10 Zmiana tożsamości użytkownika: Master LOGIN -> wiele uprawnień LDAP: _USER = Leszek.Miś _MAPS = ID123,MAP456 ID456,MAP789 CAS+mod_auth_cas+SAML/AUTH = Require ldap-group CN=ITSec,DC=linuxpolska,DC=pl Obsługa WS/strona pośrednicząca Aplikacja: HTTP USER/HTTP MAPS

11 LDAP Password Policy Enforcement: Wygasanie konta Okresowa zmiana hasła Blokowanie konta po X nieudanych próbach Dwuskładnikowe formularze zmiany i resetu hasła (mail+sms) Siła hasła oraz kontrola historii haseł Pełna integracja z AD/RH Directory Server/IPA

12 WAF: modsecurity (vs OWASP Top 10) Od niedawna dostępny także dla: Nginx (jest też naxsi oraz ngx_lua based) Microsoft IIS Blacklist: OWASP Modsecurity Core Rule Set Whitelist learning mode: Modprofiler/WebApplicationProfiler/REMO

13

14 Wirtualne patchowanie i integracja z DAST: ZAP, Arachni, RPC LUA API Bramka typu Intrusion Prevention dla protokołu HTTP (Reverse Proxy) Ochrona przed błędami typu 0-day dla aplikacji webowych Geolokalizacja Ochrona antywirusowa dla uploadów Content Security Policy

15 WAF modsecurity: wykrywanie i ochrona panelów logowania przed atakami typu bruteforce

16 Dostarczane funkcjonalności WAF: wykrywanie i blokowanie połączeń z sieci wykrywanie równoległych sesji użytkownika pochodzących z różnych adresów IP WebHoneyPot Ujednolicone komunikaty o błędach Kontrola wycieku informacji: informacje wrażliwe, stack trace, dumpy

17 dashboard oparty o Splunk: aktywne śledzenie zdarzeń i incydentów analiza, korelacja i łączenie zachowań użytkowników i komponentów

18

19

20

21 Szkolenia Web Gateway - instalacja, konfiguracja, zarządzanie. Mod_security skuteczne zabezpieczenie aplikacji webowych.

22 Podsumowanie Webaplikacje to biznesowy fundament Bezpieczeństwo to priorytet $$$ - oszczędności Kontakt z Klientem na najwyższym poziomie Gwarancja zadowolenia referencje

23 Dziękuję za uwagę Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Open Source Day 2013