Scalable and under control open cloud architecture



Podobne dokumenty
Modsecurity czy Twój WAF to potrafi? Leszek Miś Linux Polska Sp. z o.o.

Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department Linux Polska Sp. z o.o.

Open(Source) Web Application Security Project

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Portal Security - ModSec Enterprise

Bezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia OWASP OWASP The OWASP Foundation

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

Czy Twój WAF to potrafi? modsecurity.

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Bezpieczeństwo systemów internetowych

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

Bezpieczeństwo aplikacji internetowych

Testy penetracyjne webaplikacji.

Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, Warszawa tel: , faks:

Advanced Internet Information Services Management (IIS 8)

Webapplication Security Pentest Service

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Warstwa ozonowa bezpieczeństwo ponad chmurami

CYBEROAM Unified Treatment Management, Next Generation Firewall

INSTYTUT IMMUNOLOGII I TERAPII DOŚWIADCZALNEJ im. Ludwika Hirszfelda Polska Akademia Nauk

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Masterclass: Internet Information Services Management (IIS 8.5 / 8 / 7.5)

TelCOMM Wymagania. Opracował: Piotr Owsianko Zatwierdził: IMIĘ I NAZWISKO

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

The OWASP Foundation Session Management. Sławomir Rozbicki.

OWASP Day - Spring of Code 2k7 OWASP The OWASP Foundation

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Czy OMS Log Analytics potrafi mi pomóc?

Standard aplikacji WWW Urzędu Miasta Olsztyna

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

OWASP OWASP. The OWASP Foundation Mariusz Burdach Prevenity

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Integracja istniejącej infrastruktury do nowego systemu konwersja protokołów

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Wybrane ataki na urządzenia sieciowe Secure Michał Sajdak, Securitum sekurak.pl

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

4 Web Forms i ASP.NET Web Forms Programowanie Web Forms Możliwości Web Forms Przetwarzanie Web Forms...152

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

17-18 listopada, Warszawa

Wybrane problemy bezpieczeństwa w urządzeniach sieciowych SEConference Michał Sajdak, Securitum sekurak.pl

Najskuteczniejsze sposoby zabezpieczania baz danych, w jaki sposób je monitorować oraz jak audytować

Kim jesteśmy? PCSS i MIC. Paweł Berus, Zespół Bezpieczeństwa PCSS

Dlaczego my? HARMONOGRAM SZKOLEŃ kwiecień - czerwiec ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje RODO / GDPR

Wektory ataków vs. systemy zabezpieczeń. Sebastian Krystyniecki Systems Engineer Poland Ukraine Belarus. April 4, 2014

Dlaczego my? HARMONOGRAM SZKOLEŃ październik - grudzień ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje

Kontrola dostępu do kodu i własności intelektualnej w Zintegrowanej Architekturze. Copyright 2012 Rockwell Automation, Inc. All rights reserved.

Platforma dostępności Veeam dla rozwiązań Microsoft. Mariusz Rybusiński Senior System Engineer Veeam Microsoft MVP

Masterclass: Advanced Internet Information Services Management (IIS 8.5 / 8 / 7.5)

HARMONOGRAM SZKOLEŃ styczeń - marzec 2017

Marzena Kanclerz. Microsoft Channel Executive. Zachowanie ciągłości procesów biznesowych. z Windows Server 2012R2

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Dlaczego my? HARMONOGRAM SZKOLEŃ lipiec - wrzesień ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje

Program szkolenia: Bezpieczny kod - podstawy

Zabbix -Monitoring IT bez taśmy klejącej. Paweł Tomala Barcamp 15 czerwca 2015

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Dlaczego my? HARMONOGRAM SZKOLEŃ kwiecień - czerwiec ACTION Centrum Edukacyjne. Autoryzowane szkolenia. Promocje

Drobne błędy w portalach WWW

Web Services. Bartłomiej Świercz. Łódź, 2 grudnia 2005 roku. Katedra Mikroelektroniki i Technik Informatycznych. Bartłomiej Świercz Web Services

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Konfiguracja aplikacji ZyXEL Remote Security Client:

Technologie internetowe ASP.NET Core. Paweł Rajba

WAF (Web Application Firewall)

Programowanie w Internecie

Bezpieczeństwo IT z Open Source na nowo

KATALOG SZKOLEŃ. Kod szkolenia Nazwa szkolenia Czas trwania. QC370 ALM Quality Center Scripting 11.x 2

Program szkolenia: REST i Microservices w PHP

Obrona przed SQL-injection w aplikacjach Java/JEE

Parametry wydajnościowe systemów internetowych. Tomasz Rak, KIA

Why do I need a CSIRT?

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

2. Zastosowanie standardu Wi-Fi w systemach AMR... 21

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Safe Hosting idea ultrabezpiecznego systemu hostingowego

IBM PureSystems Czy to naprawdę przełom w branży IT?

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

Wykład 8. Temat: Hakerzy, wirusy i inne niebezpieczeństwa. Politechnika Gdańska, Inżynieria Biomedyczna. Przedmiot:

SIP: Session Initiation Protocol. Krzysztof Kryniecki 16 marca 2010

Opis przedmiotu zamówienia. (zwany dalej OPZ )

IT Security vs GameDev. IGK'8 2011, Siedlce / Poland

Jak zabezpieczyć aplikacje przed włamaniami?

Terminarz Szkoleń ACTION CE

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Nowe produkty w ofercie Red Hat

Rozwiązania internetowe iplanet

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

Anatomy of an attack.. Cel: firma Aupticon Branża: technologie, R&D, self-driving cars

Szkolenia certyfikacyjne i biznesowe Red Hat i JBoss współpraca z Partnerami

Collaborate more Budowa i utrzymanie taniej, wydajnej, bezpiecznej infrastruktury IT

Complete Patch Management

From OLAMP to enterprise e-commerce.

SMART NETWORK SECURITY SOLUTIONS

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Marek Pyka,PhD. Paulina Januszkiewicz

Transkrypt:

Scalable and under control open cloud architecture considering security standards. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ lm@linuxpolska.pl Linux Polska Sp. z o.o. 1

#whoami 2 Leszek Miś: IT Security Architect RHCA/RHCSS/Sec+ Instruktor/egzaminator Red Hat Splunk Certified Architect Lider projektu WALLF Web Gateway Skupiam się głównie na: Linux/Web/Cloud Security SELinux/WAF/SSO IdM/Domena ilnuksow Pentesty

O firmie Linux Polska 3 Podstawowa działalność spółki: Wsparcie lokalne dla systemów Open Source Wdrożenia i migracje Bezpieczeństwo IT Szkolenia autoryzowane i autorskie

Agenda 4 Web (in)security OWASP Infrastructure as code Secure reverse Proxy

Web (in)security 5 Aplikacje webowe jako cel czyli zagrożenia kryją się wszędzie: Aplikacja Protokół Implementacja HTTP Język/Framework Konfiguracja System operacyjny

Web (in)security Rzeczywistość weryfikuje: Zimbra: priv_esc poprzez LFI: 6 /res/i18nmsg,ajxmsg,zmsg,zmmsg,ajxkeys,zmkeys,zdmsg,ajx%20templatemsg.js.zgz? v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml OSSIM: SQL Injection Apache Struts: RCE F5 BigIQ priv_esc JIRA: directory traversal Katello: users/update_roles I wiele, wiele innych...

Web (in)security 7 Problem z patchowaniem podatności: Wysoki koszt Kod źródłowy firmy zewnętrznej Ograniczony kontrakt/umowa Brak zasobów Brak skillsów SDLC -> TST->ACC->PROD Niedostępność aplikacji Inne?

Web (in)security 8 Cross Site Scripting ClickJacking SQL Injection MitB LDAP Injection Open Redirect XPATH Injection DOS/DDOS XML Injection Cross Site Request Forgery (CSRF) Blind SQLi Information/Path Dislosure Time based SQLi Encoding Remote Command Execution Server Side Includes Injection Local File Inlusion Bruteforce Remote File Inclusion Buffer overflow Session Hijacking Misconfiguration HTTP Response Spliiting Forced browsing Sniffing/Spoofing Drive by Download

OWASP 11

OWASP Open Web Application Security Project Misja: Poprawa stanu bezpieczeństwa aplikacji Make application security visible so that people and organizations can make informed decisions about true application security risk Projekty dokumentacja, narzędzia Edukacja Współpraca (rządy, inne organizacje, twórcy standardów) 12

Wybrane projekty OWASP DETECT PROTECT LIFE-CYCLE Documentation Top10 ASVS Testing Guide Code Review Guide Development Guide OpenSAMM Secure Coding Practices Quick Reference Tools WebScarab ESAPI WebGoat Zed Attack Proxy AppSensor Education Project JBroFuzz ModSecurity Core Ruleset https://www.owasp.org/index.php/category:owasp_project 13

OWASP Top 10 14 Zbiór 10 najistotniejszych, kluczowych błędów w zabezpieczeniach aplikacji internetowych: A1 Injection A2 Broken Auth and Session MGMT A3 XSS A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 CSRF A9 Known vulns A10 Unvalidated Redirects and Forwards

OWASP ASVS Security Verification Standard Testing guide księga testów Appsensor WAF wszyty w appkę ESAPI Enterprise Security API Broken Web Application poligon 15

Infrastructure as code 16

Infrastructure as code 17 Problem dt. spójności infrastruktury: Na których systemach zmiana została wprowadzona? Czy pojawiła się na wszystkich systemach? Czy została zaaplikowana tylko na tych systemach na których było to niezbędne? Co z systemami, które w tym czasie były niedostępne? Co z nowymi systemami, które dodamy do naszej infrastruktury?

Infrastructure as code Zgodność ze standardami Powtarzalność: Weryfikacja: 18 enforcing Współdzielenie: kontrola wersji Gwarancja poprawności: skalowalność TST->ACC->PROD Aktualność konfiguracji: ready for audit

Infrastructure as code 19

Infrastructure as code 20 Abstrakcja-> Oczekiwany status: SSL Cipher list Error handling/output filtering Antibrute force mechanism Secure flags for cookies STIG compliance

Infrastructure as code <% if @mod_security -%> SecRuleEngine <%= @mod_security %> <% end -%> vhost.conf.erb: <%= scope.function_template(['wallf/apache/_secureheaders.er b']) -%> 21

Infrastructure as code 22 Antibrute force

Infrastructure as code 23 SSL

Infrastructure as code 24 SSL: Sslscan ssllabs

Infrastructure as code 25 Error Handling modsecurity_crs_50_outbound.conf

Infrastructure as code 26 Header manipulation: unset X-Powered-By unset Server set X-XSS-Protection: "1; mode=block"' set Header always set X-Frame-Options SAMEORIGIN

Infrastructure as code 27 Secure cookies: HttpOnly Secure Path=

Secure Web Gateway -> Open Source <- OWASP 29

Secure Web Gateway - co jest istotne? Hardened Linux distro Isolation HA Separation LB/Clustering Scalability WAF Monitoring SSL configuration Caching Access Control Performance tuning Change Mgmt 2FA Logging Mgmt Auditing Incident Response Mgmt 30

WAF 31 Architektura

WAF Fazy filtrowania: Każda transakcja przechodzi przez 5 faz filtrowania: 32 1: Request headers 2: Request body 3: Response headers 4: Response body 5: Logging

WAF Ochrona przed atakami i integracja z DAST (Arachni,ZAP) Filtrowanie żądań 0-day protection 34 Dynamiczne wstrzykiwanie - modyfikacja danych wychodzących w locie Wirtualne patchowanie

WAF 35 Wirtualny patch w uproszczonym przypadku: Ograniczenie Request_Body_Size Wykrywanie powtarzających się payloadów Ograniczenie ilości ARGS Weryfikacja/filtrowanie wartości ARGS Analiza i filtrowanie RESPONSE_BODY

WAF tryby pracy Negative security model: SecRule REQUEST_FILENAME @contains /owa/scriptname.asx chain, phase:1,block,log,msg:'xss na mojej appce' SecRule ARGS:parameter @pm < > ( ) -- Positive security model: SecRule REQUEST_FILENAME @contains /owa/scriptname.asx chain, phase:1,block,log,msg:'xss na mojej appce' SecRule ARGS:parameter!@rx ^\w+$ 36

WAF 37 Przykładowe reguły: SecRule REQUEST_URI "@detectsqli" "id:152,log,deny" SecRule REQUEST_BODY "@detectxss" "id:12345,log,deny" SecRule REQUEST_HEADERS:User-Agent "@pm WebZIP WebCopier Webster WebStripper... SiteSnagger CheeseBot" "id:166" SecRule ARGS:foo "!@streq bar" "id:176"

WAF 38 Modsecurity to tylko silnik: Apache Nginx IIS Musimy go naładować : Tworzenie dedykowanych reguł od podstaw per aplikacja Wykorzystanie gotowych reguł OWASP CRS Hybryda czyli połączenie reguł CRS z własnymi regułami typu whitelist

WAF modsecurity CRS HTTP Protection - detecting violations of the HTTP protocol and a locally defined usage policy. Real-time Blacklist Lookups - utilizes 3rd Party IP Reputation HTTP Denial of Service Protections - defense against HTTP Flooding and Slow HTTP DoS Attacks. Common Web Attacks Protection - detecting common web application security attack. Automation Detection - Detecting bots, crawlers, scanners and other surface malicious activity. Integration with AV Scanning for File Uploads - detects malicious files uploaded through the web application. Tracking Sensitive Data - Tracks Credit Card usage and blocks leakages. Trojan Protection - Detecting access to Trojans horses. Identification of Application Defects - alerts on application misconfigurations. Error Detection and Hiding - Disguising error messages sent by the server. 39

WAF 40 Reguły OWASP CRS podzielone są na: base_rules experimental_rules optional_rules slr_rules Dostosowanie reguł CRS per aplikacja: SecRuleRemoveById SecRuleRemoveByMsg SecRuleRemoveByTag (Konsola)

WAF advanced HMAC Content Security Policy Webhoneypots LUA JSON/XML AV Scanning GEO/IP reputation BEEF czyli Attack the attacker: 41 Browser as Pentester's gateway

Podsumowanie WAF = ubezpieczenie Krytyczność reverse proxy Podejście devopsowe do zarządzania bezpieczeństwem WAF_Mgmt jako element Change_Mgmt Zasoby OWASP jako wzorce do naśladowania Open source Some people, wether vemdors or customers, believe in "auto learning mode". My experiance with such systems is that the (generated) rule set becomes unmanageable after a couple of time. - Achim Hoffman - OWASP 43

Dziękuję za uwagę. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ lm@linuxpolska.pl Linux Polska Sp. z o.o. 45

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres