Portal Security - ModSec Enterprise

Transkrypt

1 Portal Security - ModSec Enterprise Leszek Miś Security Architect RHCA, RHCSS lm@linuxpolska.pl 1

2 O firmie Linux Polska Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia i migracje Testy penetracyjne/audyty bezpieczeństwa Szkolenia autoryzowane i autorskie 2

3 Wprowadzenie do websecurity Aplikacje webowe są niebezpieczne: Każdy posiada stronę/aplikację internetową Każda strona/aplikacja posiada błąd Skanowanie/enumeracja/fuzzing Zaawansowane metody ataków (OWASP Top 10) Firewall sieciowy jest niewystarczający 3

4 Wprowadzenie do websecurity Premier.gov.pl Mon.gov.pl Policja.org.pl Sejm.gov.pl Knf.gov.pl Arimr.gov.pl Abw.gov.pl Pip.gov.pl Platforma.org Psl.org.pl i wiele, wiele innych... 4

5 Recepta Produkt firmy Linux Polska Sp. Z o.o. o nazwie: ModSec Enterprise 5

6 Mod_security Najczęściej wykorzystywany WAF na świecie (ponad 10k instalacji w roku 2008) Moduł do serwera Apache + zbiór reguł (core rules) + narzędzia Dobrze udokumentowany Przeźroczysty dla aplikacji Minimalizacja możliwości wykorzystania podatności Eliminuje całe klasy/rodziny ataków 6

7 Możliwości Wykrywanie ataków: OWASP Top 10: SQLi i Blind SQLi XSS RCE, LCE, LFI, RFI i LDAP injection HTTP Response Splitting Denial of service Wiele innych Roboty, crawlery, skanery Malware 7

8 Możliwości Pełne rozumienie protokołu HTTP Analiza żądań (GET,POST,HEAD) oraz wszystkich nagłówków wysyłanych przez klienta Zaawansowane logowanie zdarzeń HTTPS filtering (terminacja SSL) Techniki anti-evasion 8

9 Możliwości Każdy vhost może korzystać z dedykowanego zbioru reguł Analiza nagłówków Analiza ciasteczek Analiza zmiennych środowiskowych Analiza wyjścia skryptów Analiza POST Analiza zmiennych systemowych Analiza zmiennych aplikacji 9

10 Możliwości Podjęcie akcji: Odrzucenie żądania z kodem błędu Odrzucenie żądania z przekierowaniem Uruchomienie zewnętrznych poleceń Logowanie obsługiwanych żądań Informowanie o incydentach 10

11 Możliwości Zmiana nagłówka serwera Apache Środowisko chroot Wstrzykiwanie kontentu Geolokalizacja (blokowanie oraz LB ruchu) Pausowanie odpowiedzi Wykrywanie wycieku numerów kart kredytowych (zgodność z PCI DSS) Skanowanie uploadowanych plików (AV) Tryb debug 11

12 Zalety Wirtualne patchowanie Bramka typu Intrusion Prevention dla protokołu HTTP (Reverse Proxy) Możliwość szybkiej modyfikacji reguł Ochrona przed błędami typu 0-day dla aplikacji webowych 12

13 Architektura Mod_security jako Reverse Proxy: Zewnętrzna ochrona aplikacji Pojedyńczy punkt dostępu do aplikacji (HA) Zwiększona wydajność Izolacja sieciowa Load Balancing 13

14 Narzędzia Mechanizm zdalnego logowania zdarzeń Graficzne narzędzie do analizy zdarzeń Graficzne narzędzie do generowanie reguł mod_security Narzędzie do wysyłania logów w celu przeprowadzenia analizy powłamaniowej i wyprodukowania wirtualnej łatki 14

15 Oferta Linux Polska Instalacja i konfiguracja rozwiązania Dostarczanie najnowszego zbioru reguł w postaci pliku RPM wraz z dedykowanymi narzędziami do zarządzania Asysta przy przystosowaniu reguł dla potrzeb Klienta Usługa tworzenia wirtualnego patcha Profilowanie aplikacji: Positive security model (DROP policy) Negative security model Zaawansowane testy penetracyjne (OWASP Testing Guide) 3-dniowe szkolenie techniczne w formie warsztatów Wsparcie techniczne 15

16 Oferta Linux Polska ModSec Enterprise Virtual Appliance: Dedykowana maszyna wirtualna gotowa do natychmiastowego uruchomienia produkcyjnego Wysoki poziom bezpieczeństwa systemu i serwera Apache standard CIS Najnowsze reguły i narzędzia do zarządzania Aktualizowany na bieżąco system RHEL 6 w wersji OEM Możliwość łączenia wielu maszyn w klaster HA/LB 16

17 Podsumowanie Dziękuję za uwagę. 17