Sichere Webarchitekturen in der Cloud
•
0 gostou•1,005 visualizações
Die vielen Pressemeldungen über durch Hackerangriffe verlorene Daten machen es deutlich: Anbieter von Webapplikationen befinden sich im Fadenkreuz der Angreifer. Speziell wer kritische Daten bearbeitet, muss sich schützen, und dieser Schutz hört nicht beim Design der Software auf. Dieser Talk zeigt, wie man vom Kernel beginnend bis zur Kommunikation in der Cloud schon in der Architektur der Applikation dafür sorgt, dass die Angreifer sich lieber eine tiefer hängende Frucht als neues Ziel suchen.
Recomendados
Mais conteúdo relacionado
Destaque
Destaque (13)
Mais de Johann-Peter Hartmann
Mais de Johann-Peter Hartmann (20)
Sichere Webarchitekturen in der Cloud
- 1. S!"#$r$ Ar"#!%$&%'r Cloud Donnerstag, 18. Oktober 12
- 4. M,( -'"&$. ... Donnerstag, 18. Oktober 12
- 5. O)p/, *,/ /!.* 0, 2 M!((!).$. P,+1$.%*,%$. '.* 10 M!((!).$. N'2$r*,%$. Donnerstag, 18. Oktober 12
- 6. W$r .'2% Paypal? Donnerstag, 18. Oktober 12
- 7. W$r z,#(% !1 I.%$r.$% 1!% /$!.$r Kreditkarte? Donnerstag, 18. Oktober 12
- 8. P,3,(-A"")'.%: 8$ Donnerstag, 18. Oktober 12
- 9. Kr$*!%&,r%$ 1!% CVC2: 25$ Donnerstag, 18. Oktober 12
- 10. 90% ,(($r W$4!%$/ #,b$. S$"'r!%+-Pr)b($1$ Donnerstag, 18. Oktober 12
- 11. 70% ,(($r S)5w,r$$.%w!"&('.- p,//!$r% !1 W$b Donnerstag, 18. Oktober 12
- 12. 17 Millionen S)5w,r$-D$v$()p$r Donnerstag, 18. Oktober 12
- 13. 102.000.000.000 L!.$/ )f C)*$/Y$,r Donnerstag, 18. Oktober 12
- 14. 1 B'- 1000 LOC Donnerstag, 18. Oktober 12
- 15. 1% 6p()!%,b($ Donnerstag, 18. Oktober 12
- 16. 100.000 .$'$ S$"'r!%+-I//'$/ pr) J,#r Donnerstag, 18. Oktober 12
- 17. 100.000 .$'$ S$"'r!%+-I//'$/ pr) J,#r Oops! Donnerstag, 18. Oktober 12
- 18. 96% ,(($r A.-r!ff$ w,r$. .!"#% /$#r &)1p(8!$r% Donnerstag, 18. Oktober 12
- 19. 85% ,(($r H,"&/ w'r*$. $r/% .,"# 1$#r ,(/ $!.$r W)"#$ $.%*$"&% Donnerstag, 18. Oktober 12
- 20. 92% w'r*$. v). $!.$r Donnerstag, 18. Oktober 12 *r!%%$. P,r%$! $.%*$"&%
- 21. 194$ S"#,*$. pr) R$")r* !1 M!%%$(. Donnerstag, 18. Oktober 12
- 23. FUD: "#$"& Tr)2*$1 -!b%/ z' 90% ,'"# b$! E'"# S$"'r!%+-Pr)b($1$. Donnerstag, 18. Oktober 12
- 24. S!"#$r$ W$b,r"#!%$&%'r$. WebTechCon 2012 C()'* !."('*$*! Donnerstag, 18. Oktober 12
- 25. H!, !"# b!. J)#,... I"# b!. Grü.*$r '.* CTO v). M,+9)w$r. W!r 1,"#$. &)1p(8!$r%$ W$4!%$/. Donnerstag, 18. Oktober 12
- 26. E!. .$'$r Sp!$($r: die Cloud Donnerstag, 18. Oktober 12
- 27. C()'* J$1,.* ,.*$r$/ %rä-% *!$ W,r%'.-/&:%$.! Donnerstag, 18. Oktober 12
- 28. C()'* K$!.$ S+/%$1$ 1$#r !./%,((!$r$., $!.f,"# $!. I1,-$ ,'f/$2$.! Donnerstag, 18. Oktober 12
- 29. C()'* M,( $b$. 12 z'/ä2(!"#$ M,/"#!.$. #)"#f,#r$. Donnerstag, 18. Oktober 12
- 30. C()'* ... ,'f B,/!/ $!.$/ D$f,'(%- I1,-$/ 1!% $*!/%r! Donnerstag, 18. Oktober 12
- 31. C()'* ... -$&(!"&% & *'r"#-$/%,r%$%! Donnerstag, 18. Oktober 12
- 32. Admins G O A Y AW Donnerstag, 18. Oktober 12
- 33. C()'* Keine Updates Donnerstag, 18. Oktober 12
- 34. C()'* Kein Deinstallieren Donnerstag, 18. Oktober 12
- 35. C()'* Keine Firewall Donnerstag, 18. Oktober 12
- 36. D,/ -$#% )& ... weil sich das AMI drum kümmert! Donnerstag, 18. Oktober 12
- 37. C()'* 98% ,(($r W!.*)w/-AMI/ /!.* 6p()!%,b($ Donnerstag, 18. Oktober 12
- 38. C()'* 58% ,(($r L!.;-AMI/ /!.* 6p()!%,b($ Donnerstag, 18. Oktober 12
- 39. S%!11% *,/ *$.. ,'"#? Donnerstag, 18. Oktober 12
- 40. Pr)b!$r$. > S%'*!$r$. Donnerstag, 18. Oktober 12
- 42. nmap -P0 -pr!,&, 1$1","#$, 1).-)*b, r$*!/,1337, 1$1b,/$, ",//,.*r,, .$)40 ... amazon-cloud H!p/%$r-S",. Donnerstag, 18. Oktober 12
- 43. 20 Sekunden ... offene MongoDB, wenig Daten 40 Sekunden ... offener Admin BitNami-Image 70 Sekunden ... )ff$.$r M$1C,"#$ W))#)))! H!p/%$r-S",. Donnerstag, 18. Oktober 12
- 44. )ff$.$r M$1C,"#$ E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//- L)-!&-E.%!%ä%$.. Donnerstag, 18. Oktober 12
- 45. )ff$.$r M$1C,"#$ Facebook-Profile: - E-Mail - Freunde - Fanseiten ... E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//- L)-!&-E.%!%ä%$.. Donnerstag, 18. Oktober 12
- 46. )ff$.$r M$1C,"#$ Kein Schutz PHP-Serialized Data Modifizierbar(!) E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//- L)-!&-E.%!%ä%$.. Donnerstag, 18. Oktober 12
- 47. )ff$.$r M$1C,"#$ Logins mit Klartext-Passworten Personenbezogene Daten MySQL-Datenbank-Login E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//- L)-!&-E.%!%ä%$.. Donnerstag, 18. Oktober 12
- 48. MySQL-Pr<+ ,(/ ManInTheMiddle Donnerstag, 18. Oktober 12
- 49. )ff$.$r M$1C,"#$ 10.000.000 Nutzerdaten 1.000.000 Payment-Transaktionen E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//- L)-!&-E.%!%ä%$. v)r *$r M+SQL-DB. Donnerstag, 18. Oktober 12
- 50. Donnerstag, 18. Oktober 12
- 51. 1996 Donnerstag, 18. Oktober 12
- 52. 2007 Donnerstag, 18. Oktober 12
- 53. 2012 Donnerstag, 18. Oktober 12
- 54. C()'* /p,r% W,r%'.-/&:%$. Donnerstag, 18. Oktober 12
- 55. C()'* ... ,b$r .!"#% b$! Security Donnerstag, 18. Oktober 12
- 56. C()'* Security Donnerstag, 18. Oktober 12
- 57. Eigenes 1 Image Donnerstag, 18. Oktober 12
- 62. C('/%$r-S$%'p/ VLAN hinter Amazon-LB Donnerstag, 18. Oktober 12
- 63. C('/%$r-S$%'p/ Eigenes VPN SSL-verschlüsselt Donnerstag, 18. Oktober 12
- 64. C('/%$r-S$%'p/ Firewalling für IPs Donnerstag, 18. Oktober 12
- 65. C()'* sexy Donnerstag, 18. Oktober 12
- 66. Donnerstag, 18. Oktober 12
- 67. P'pp$% & C#$f benutzen, und die Cloud wird wieder sexy. Donnerstag, 18. Oktober 12 DevOps
- 68. Donnerstag, 18. Oktober 12
- 69. Donnerstag, 18. Oktober 12
- 70. OS Strip it B!.,r!$/ D!$./%$ Donnerstag, 18. Oktober 12
- 71. Firewall: Ports und IPs! Donnerstag, 18. Oktober 12
- 72. (I"# 1,- *,/ w,/ 0$2% &)11%.) Donnerstag, 18. Oktober 12
- 73. (!r-$.*w!$ .!$1,.* ,.*$r$/) Donnerstag, 18. Oktober 12
- 74. (*,=q, $/ !/% %r)2*$1 -$!() Donnerstag, 18. Oktober 12
- 75. K$r.$(b,/!$r%$ S!"#$r#$!% Mandantory Access Control: nur das erlauben, was tatsächlich gebraucht wird Donnerstag, 18. Oktober 12
- 76. L))&! I%‘/ $,/+! /var/log/myapp/app.log w AppAr1)r N) 1)r$ LFI! Donnerstag, 18. Oktober 12
- 77. AppAr1)r 1 Applikation im Testlauf profilen 2 erwünschte Aktionen erlauben 3 im Betrieb auf diese limitieren Donnerstag, 18. Oktober 12
- 78. 1)*_,pp,r1)r Profile nach Applikation Profile nach Url Donnerstag, 18. Oktober 12
- 79. root@precise64:/etc/apparmor.d# /etc/init.d/apache2 stop root@precise64:/etc/apparmor.d# aa-genprof /usr/sbin/apache2 Profiling: /usr/lib/apache2/mpm-prefork/apache2 ... [(S)can system log for AppArmor events] / (F)inish 8<------------------------ /etc/init.d/apache2 start 8<------------------------ Profile: /usr/lib/apache2/mpm-prefork/apache2 Capability: net_bind_service Severity: 8 [1 - #include <abstractions/nis>] 2 - capability net_bind_service [(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish *A* Donnerstag, 18. Oktober 12
- 80. Profile: /usr/lib/apache2/mpm-prefork/apache2 Capability: setgid Severity: 9 [(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish *A* Profile: /usr/lib/apache2/mpm-prefork/apache2 Path: /etc/apache2/conf.d/charset Mode: r Severity: 3 1 - /etc/apache2/conf.d/charset [2 - /etc/apache2/conf.d/*] [(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts *G* Donnerstag, 18. Oktober 12
- 81. # vi /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2 /usr/lib/apache2/mpm-prefork/apache2 { #include <abstractions/apache2-common> #include <abstractions/base> #include <abstractions/nameservice> #include <abstractions/nis> #include <abstractions/php5> capability net_bind_service, capability setgid, ... Donnerstag, 18. Oktober 12
- 82. SEL!.; Sorry, i am not smart enough. Go ask someone else. Donnerstag, 18. Oktober 12
- 83. M+SQL mysql_secure_installation Donnerstag, 18. Oktober 12
- 84. M+SQL Config-Files: skip-networking set-variable=local-infile=0 MySQl-Konfiguration: RENAME USER root TO new_user; GRANT ALL PRIVILEGES ON *.* Donnerstag, 18. Oktober 12
- 85. If +)' ,r$ ... Y)' /#)'(* '/$ ... Old School mod_security New School Varnish Firewall Mitt Romney Kommerzielle Firewall W$b App(!",%!). F!r$w,((/ Donnerstag, 18. Oktober 12
- 86. V,r.!/# >r$w,(( '.* 1)*_/$"'r!%+ /!.* "))(, w$!( ... ★ sie nutzen die gleichen Rulesets ★ es gibt sehr viele davon ★ Quellen: zB OWASP https://github.com/SpiderLabs/owasp-modsecurity-crs Donnerstag, 18. Oktober 12
- 87. In PHP implementiertes Intrusion Detection System analog zu mod_security I. *$r App(!&,%!). r$,-!$r$. Donnerstag, 18. Oktober 12
- 88. 5 Steps to Cloud Age Security 1 Infrastruktur automatisieren 2 System strippen 3 Firewall konfigurieren 4 Applikation mit AppArmor profilen 5 Varnish Firewall vor der Applikation nutzen Donnerstag, 18. Oktober 12
- 89. Just do it. E!.f,"# 1,"#$.! Donnerstag, 18. Oktober 12
- 90. Just do it. O*$r './ 1,"#$. (,//$. #,r%1,..@1,+9)w$r.*$ Donnerstag, 18. Oktober 12