Más contenido relacionado Más de Johann-Peter Hartmann (20) Sichere Webarchitekturen in der Cloud1. S!"#$r$
Ar"#!%$&%'r
Cloud
Donnerstag, 18. Oktober 12
5. O)p/, *,/ /!.* 0,
2 M!((!).$. P,+1$.%*,%$.
'.*
10 M!((!).$. N'2$r*,%$.
Donnerstag, 18. Oktober 12
6. W$r .'2%
Paypal?
Donnerstag, 18. Oktober 12
7. W$r z,#(% !1 I.%$r.$% 1!% /$!.$r
Kreditkarte?
Donnerstag, 18. Oktober 12
10. 90%
,(($r W$4!%$/ #,b$.
S$"'r!%+-Pr)b($1$
Donnerstag, 18. Oktober 12
11. 70%
,(($r S)5w,r$$.%w!"&('.-
p,//!$r% !1 W$b
Donnerstag, 18. Oktober 12
12. 17 Millionen
S)5w,r$-D$v$()p$r
Donnerstag, 18. Oktober 12
14. 1 B'-
1000 LOC
Donnerstag, 18. Oktober 12
15. 1%
6p()!%,b($
Donnerstag, 18. Oktober 12
16. 100.000
.$'$ S$"'r!%+-I//'$/ pr) J,#r
Donnerstag, 18. Oktober 12
17. 100.000
.$'$ S$"'r!%+-I//'$/ pr) J,#r
Oops!
Donnerstag, 18. Oktober 12
18. 96%
,(($r A.-r!ff$ w,r$. .!"#% /$#r &)1p(8!$r%
Donnerstag, 18. Oktober 12
19. 85%
,(($r H,"&/ w'r*$. $r/% .,"# 1$#r
,(/ $!.$r W)"#$ $.%*$"&%
Donnerstag, 18. Oktober 12
20. 92% w'r*$. v). $!.$r
Donnerstag, 18. Oktober 12
*r!%%$. P,r%$! $.%*$"&%
23. FUD: "#$"&
Tr)2*$1 -!b%/ z' 90% ,'"# b$! E'"# S$"'r!%+-Pr)b($1$.
Donnerstag, 18. Oktober 12
25. H!, !"# b!.
J)#,...
I"# b!. Grü.*$r '.*
CTO v). M,+9)w$r.
W!r 1,"#$. &)1p(8!$r%$
W$4!%$/.
Donnerstag, 18. Oktober 12
27. C()'*
J$1,.* ,.*$r$/ %rä-%
*!$ W,r%'.-/&:%$.!
Donnerstag, 18. Oktober 12
28. C()'*
K$!.$ S+/%$1$ 1$#r
!./%,((!$r$., $!.f,"# $!.
I1,-$ ,'f/$2$.!
Donnerstag, 18. Oktober 12
29. C()'*
M,( $b$. 12 z'/ä2(!"#$
M,/"#!.$. #)"#f,#r$.
Donnerstag, 18. Oktober 12
30. C()'*
... ,'f B,/!/ $!.$/ D$f,'(%-
I1,-$/ 1!% $*!/%r!
Donnerstag, 18. Oktober 12
31. C()'*
... -$&(!"&% &
*'r"#-$/%,r%$%!
Donnerstag, 18. Oktober 12
32. Admins
G O
A Y
AW
Donnerstag, 18. Oktober 12
33. C()'*
Keine
Updates
Donnerstag, 18. Oktober 12
34. C()'*
Kein
Deinstallieren
Donnerstag, 18. Oktober 12
35. C()'*
Keine
Firewall
Donnerstag, 18. Oktober 12
36. D,/ -$#% )& ...
weil sich das AMI drum
kümmert!
Donnerstag, 18. Oktober 12
37. C()'*
98% ,(($r W!.*)w/-AMI/ /!.* 6p()!%,b($
Donnerstag, 18. Oktober 12
38. C()'*
58% ,(($r L!.;-AMI/ /!.* 6p()!%,b($
Donnerstag, 18. Oktober 12
40. Pr)b!$r$.
>
S%'*!$r$.
Donnerstag, 18. Oktober 12
42. nmap -P0 -pr!,&, 1$1","#$, 1).-)*b, r$*!/,1337, 1$1b,/$,
",//,.*r,, .$)40 ... amazon-cloud
H!p/%$r-S",.
Donnerstag, 18. Oktober 12
43. 20 Sekunden ... offene MongoDB, wenig Daten
40 Sekunden ... offener Admin BitNami-Image
70 Sekunden ... )ff$.$r M$1C,"#$
W))#)))!
H!p/%$r-S",.
Donnerstag, 18. Oktober 12
44. )ff$.$r M$1C,"#$
E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP-
App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//-
L)-!&-E.%!%ä%$..
Donnerstag, 18. Oktober 12
45. )ff$.$r M$1C,"#$
Facebook-Profile:
- E-Mail
- Freunde
- Fanseiten ...
E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP-
App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//-
L)-!&-E.%!%ä%$..
Donnerstag, 18. Oktober 12
46. )ff$.$r M$1C,"#$
Kein Schutz
PHP-Serialized Data
Modifizierbar(!)
E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP-
App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//-
L)-!&-E.%!%ä%$..
Donnerstag, 18. Oktober 12
47. )ff$.$r M$1C,"#$
Logins mit Klartext-Passworten
Personenbezogene Daten
MySQL-Datenbank-Login
E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP-
App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//-
L)-!&-E.%!%ä%$..
Donnerstag, 18. Oktober 12
49. )ff$.$r M$1C,"#$
10.000.000 Nutzerdaten
1.000.000 Payment-Transaktionen
E!. S)"!,( M$*!, S%,r%'p ,'/ *$. USA, $!.$ PHP-
App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B'/!.$//-
L)-!&-E.%!%ä%$. v)r *$r M+SQL-DB.
Donnerstag, 18. Oktober 12
54. C()'*
/p,r%
W,r%'.-/&:%$.
Donnerstag, 18. Oktober 12
55. C()'*
... ,b$r .!"#% b$!
Security
Donnerstag, 18. Oktober 12
56. C()'*
Security
Donnerstag, 18. Oktober 12
57. Eigenes
1
Image
Donnerstag, 18. Oktober 12
63. C('/%$r-S$%'p/
Eigenes VPN
SSL-verschlüsselt
Donnerstag, 18. Oktober 12
65. C()'*
sexy
Donnerstag, 18. Oktober 12
67. P'pp$% & C#$f benutzen,
und die Cloud wird wieder sexy.
Donnerstag, 18. Oktober 12
DevOps
70. OS
Strip it
B!.,r!$/ D!$./%$
Donnerstag, 18. Oktober 12
71. Firewall:
Ports und IPs!
Donnerstag, 18. Oktober 12
72. (I"# 1,- *,/ w,/ 0$2% &)11%.)
Donnerstag, 18. Oktober 12
75. K$r.$(b,/!$r%$
S!"#$r#$!%
Mandantory Access Control:
nur das erlauben, was
tatsächlich gebraucht wird
Donnerstag, 18. Oktober 12
76. L))&! I%‘/ $,/+!
/var/log/myapp/app.log w
AppAr1)r N) 1)r$ LFI!
Donnerstag, 18. Oktober 12
77. AppAr1)r
1 Applikation im Testlauf profilen
2 erwünschte Aktionen erlauben
3 im Betrieb auf diese limitieren
Donnerstag, 18. Oktober 12
78. 1)*_,pp,r1)r
Profile nach Applikation
Profile nach Url
Donnerstag, 18. Oktober 12
79. root@precise64:/etc/apparmor.d# /etc/init.d/apache2 stop
root@precise64:/etc/apparmor.d# aa-genprof /usr/sbin/apache2
Profiling: /usr/lib/apache2/mpm-prefork/apache2
...
[(S)can system log for AppArmor events] / (F)inish
8<------------------------
/etc/init.d/apache2 start
8<------------------------
Profile: /usr/lib/apache2/mpm-prefork/apache2
Capability: net_bind_service
Severity: 8
[1 - #include <abstractions/nis>]
2 - capability net_bind_service
[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish
*A*
Donnerstag, 18. Oktober 12
80. Profile: /usr/lib/apache2/mpm-prefork/apache2
Capability: setgid
Severity: 9
[(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish
*A*
Profile: /usr/lib/apache2/mpm-prefork/apache2
Path: /etc/apache2/conf.d/charset
Mode: r
Severity: 3
1 - /etc/apache2/conf.d/charset
[2 - /etc/apache2/conf.d/*]
[(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t /
(F)inish / (O)pts
*G*
Donnerstag, 18. Oktober 12
81. # vi /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2
/usr/lib/apache2/mpm-prefork/apache2 {
#include <abstractions/apache2-common>
#include <abstractions/base>
#include <abstractions/nameservice>
#include <abstractions/nis>
#include <abstractions/php5>
capability net_bind_service,
capability setgid,
...
Donnerstag, 18. Oktober 12
82. SEL!.;
Sorry, i am not smart enough.
Go ask someone else.
Donnerstag, 18. Oktober 12
83. M+SQL
mysql_secure_installation
Donnerstag, 18. Oktober 12
84. M+SQL
Config-Files:
skip-networking
set-variable=local-infile=0
MySQl-Konfiguration:
RENAME USER root TO new_user;
GRANT ALL PRIVILEGES ON *.*
Donnerstag, 18. Oktober 12
85. If +)' ,r$ ... Y)' /#)'(* '/$ ...
Old School mod_security
New School Varnish Firewall
Mitt Romney Kommerzielle Firewall
W$b App(!",%!). F!r$w,((/
Donnerstag, 18. Oktober 12
86. V,r.!/# >r$w,(( '.* 1)*_/$"'r!%+ /!.* "))(, w$!( ...
★ sie nutzen die gleichen Rulesets
★ es gibt sehr viele davon
★ Quellen: zB OWASP
https://github.com/SpiderLabs/owasp-modsecurity-crs
Donnerstag, 18. Oktober 12
87. In PHP implementiertes
Intrusion Detection System
analog zu mod_security
I. *$r App(!&,%!). r$,-!$r$.
Donnerstag, 18. Oktober 12
88. 5 Steps to Cloud Age Security
1 Infrastruktur automatisieren
2 System strippen
3 Firewall konfigurieren
4 Applikation mit AppArmor profilen
5 Varnish Firewall vor der Applikation nutzen
Donnerstag, 18. Oktober 12
89. Just do it.
E!.f,"# 1,"#$.!
Donnerstag, 18. Oktober 12
90. Just do it.
O*$r './ 1,"#$. (,//$.
#,r%1,..@1,+9)w$r.*$
Donnerstag, 18. Oktober 12