Invasão e proteção de servidores JBoss - FLISOL 2009

3.087 visualizações

Publicada em

Publicada em: Tecnologia
1 comentário
4 gostaram
Estatísticas
Notas
  • Um bom material que explica passo a passo as questões que talvez tenham sido discutidas nesta apresentação está publicado num artigo que escrevi em http://blog.paulojeronimo.info/2009/05/hackeando-o-jboss-as.html
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
Sem downloads
Visualizações
Visualizações totais
3.087
No SlideShare
0
A partir de incorporações
0
Número de incorporações
21
Ações
Compartilhamentos
0
Downloads
19
Comentários
1
Gostaram
4
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Invasão e proteção de servidores JBoss - FLISOL 2009

  1. 1. Invasão e proteção de Servidores JBoss Paulo Renato Security Specialist & GNU/Linux LPIC -1 | LPIC – 2 w w w .3w .com.br ay
  2. 2. Apresentação Paulo Renato Lopes Seixas - Especialista em projetos de redes corporativas e ambientes para consolidação da virtualização; - Graduado em Sistemas de Informação pela Universidade Estadual de Goiás; - Implementação de soluções para reduções de custos em TI, projetos de Redes e Treinamentos especializados utilizando Software Livre, tais como GNU/Linux para Segurança de Redes como Firewall, Pen-Test e Segurança de redes baseado na norma ISO 27002 (antiga ISO/IEC 17799); - Gerente de Redes; - Certificado LPIC-2 (Linux Professional Institute Nível 2); w w w .3w .com.br ay
  3. 3. Invasão Vs Proteção w w w .3w .com.br ay
  4. 4. O que é o JBoss? • Jboss Application Server (Jboss AS) • É um servidor de aplicação Java w w w .3w .com.br ay
  5. 5. O que é um servidor de aplicação ? » É uma plataforma que coordena todas as atividades e serviços da infra estrutura da minha aplicação. É uma plataforma de integração que provê: • Um contêiner para aplicações; • Serviços para aplicações que necessitam de realizar deploy no servidor; • Uma interface padrão para comunicação com outros serviços; • Integrar múltiplos serviços no servidor de aplicação; w w w .3w .com.br ay
  6. 6. Qual é o papel do Sys Admin JBoss ? » Configuração, monitoramento e tuning do Servidor de Aplicação » Vários protocolos de acesso (HTTP, HTTPS, AJP, JRMP) • Serviços de Segurança no Servidor de Aplicação (autenticação e autorização), monitorar a performance, varias configurações de tuning. » Configuração de integração back-end. Configuração de conexão pool e tuning para banco de dados, LDAP e outras informações de sistema. w w w .3w .com.br ay
  7. 7. Estrutura do AS JBoss w w w .3w .com.br ay
  8. 8. Hacking the JBoss .... » Palavras chaves: Mbeans, JMX-Console, Web-console, jboss.admin, jboss.deployment * ScanEnabled=True (Hot-deployment) , ● ScanPeriod » Google hacking URLList, inurl:"8080/jmx-console" ● void addurl(), intitle:"MBean Inspector" ● void removeurl() +site:com ● void scan() » DeploymentScanner w w w .3w .com.br ay
  9. 9. Protegendo o JBoss » DS conf/login-config.xml * Autenticação deploy/management/console- mgr.sar/web-console/WEB- INF/classes conf/propos (jmx-console) Jboss-web.xml,roles.properties, users.properties w w w .3w .com.br ay
  10. 10. Protegendo o JBoss • Habilitar domínio de segurança deploy/management/console-mgr.sar/web- console/WEB-INF/jboss-web.xml /deploy/jmx-console.war/WEB-INF/jboss-web.xml Por último, habilitar elementos de security servlet . * /deploy/management/console- mgr.sar/web-console/WEB- INF/web.xml * /deploy/jmx-console.war/WEB- INF/web.xml w w w .3w .com.br ay
  11. 11. Protegendo o JBoss » Palavras chaves: Jboss- web.xml,roles.properties, users.properties ● Autentição em modo texto ● LDAP w w w .3w .com.br ay
  12. 12. Vulnerabilidades Onde você mesmo imagina existirá um ..... Acredite: Você pode ser o próximo !!! w w w .3w .com.br ay
  13. 13. Invasão e proteção de Servidores JBoss Dúvidas ??? w w w .3w .com.br ay
  14. 14. Conclusão Em vez de adotar a frase: “Já está bom”, adote esta : “O bom é inimigo do ótimo” Não é possível ter 100% de segurança, mas devemos assegurar o máximo que pudermos ! w w w .3w .com.br ay
  15. 15. Invasão e proteção de Servidores JBoss Contato Profissional: www.3way.com.br paulorenato@3way.com.br • Obrigado !!! • Contato Pessoal • blog.netsolution.eti.br • paulorenato@netsolution.eti.br w w w .3w .com.br ay •

×