Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. Open Source Day 2013
O mnie Leszek Miś IT Security Architect RHCA/RHCSS Instruktor/egzaminator Red Hat Lider projektu Web Gateway (wallf.pl) Skupiam się głównie na: Linux Security & forensics Web Security SELinux Pentesty SSO
Linux Polska - Security Web Gateway: modsecurity Testy penetracyjne Hardening systemów i usług: SELinux Splunk/Puppet Wsparcie lokalne Szkolenia
Agenda Krótkie wprowadzenie do produktu Komercyjny LB/WG czy naprawdę jest Ci niezbędny? Kierunki rozwoju Podsumowanie
- wprowadzenie Kompleksowy ekosystem dla infrastruktury aplikacji internetowych HA A-A- 4 moduły : Proxy-Auth Load Balancer Web Application Firewall Single Sign On
- wprowadzenie Rozwijany i utrzymywany od 2011r. przez zespół architektów Linux Polska Referencyjne wdrożenia rozwiązania w środowiskach ponad 20k użytkowników: Aktywnych ~20 aplikacji w integracji SSO Nowe dodawane regularnie Lokalne wsparcie techniczne
Komercyjny LB/WG czy naprawdę jest Ci niezbędny? HA Wydajność Nieograniczone możliwości Cena Platforma sprzętowa według potrzeb Selektywnie wybrane projekty open source Łatwa integracja Wysoki poziom bezpieczeństwa Wirtualne patchowanie aplikacji Pełna kastomizacja konfiguracji Nowa funkcjonalność na żądanie Kompetencje Lokalny support Skalowalność
SSO Central Authentication Service
SPNEGO-based SSO: Logowanie do komputera w domenie Klient to IE/Firefox CAS+Kerberos
Zmiana tożsamości użytkownika: Master LOGIN -> wiele uprawnień LDAP: _USER = Leszek.Miś _MAPS = ID123,MAP456 ID456,MAP789 CAS+mod_auth_cas+SAML/AUTH = Require ldap-group CN=ITSec,DC=linuxpolska,DC=pl Obsługa WS/strona pośrednicząca Aplikacja: HTTP USER/HTTP MAPS
LDAP Password Policy Enforcement: Wygasanie konta Okresowa zmiana hasła Blokowanie konta po X nieudanych próbach Dwuskładnikowe formularze zmiany i resetu hasła (mail+sms) Siła hasła oraz kontrola historii haseł Pełna integracja z AD/RH Directory Server/IPA
WAF: modsecurity (vs OWASP Top 10) Od niedawna dostępny także dla: Nginx (jest też naxsi oraz ngx_lua based) Microsoft IIS Blacklist: OWASP Modsecurity Core Rule Set Whitelist learning mode: Modprofiler/WebApplicationProfiler/REMO
Wirtualne patchowanie i integracja z DAST: ZAP, Arachni, RPC LUA API Bramka typu Intrusion Prevention dla protokołu HTTP (Reverse Proxy) Ochrona przed błędami typu 0-day dla aplikacji webowych Geolokalizacja Ochrona antywirusowa dla uploadów Content Security Policy
WAF modsecurity: wykrywanie i ochrona panelów logowania przed atakami typu bruteforce
Dostarczane funkcjonalności WAF: wykrywanie i blokowanie połączeń z sieci wykrywanie równoległych sesji użytkownika pochodzących z różnych adresów IP WebHoneyPot Ujednolicone komunikaty o błędach Kontrola wycieku informacji: informacje wrażliwe, stack trace, dumpy
dashboard oparty o Splunk: aktywne śledzenie zdarzeń i incydentów analiza, korelacja i łączenie zachowań użytkowników i komponentów
Szkolenia Web Gateway - instalacja, konfiguracja, zarządzanie. Mod_security skuteczne zabezpieczenie aplikacji webowych.
Podsumowanie Webaplikacje to biznesowy fundament Bezpieczeństwo to priorytet $$$ - oszczędności Kontakt z Klientem na najwyższym poziomie Gwarancja zadowolenia referencje
Dziękuję za uwagę Leszek Miś, RHCA,RHCSS,Sec+ lm@linuxpolska.pl Linux Polska Sp. z o.o. Open Source Day 2013