Invasão e proteção de servidores JBoss - FLISOL 2009
1. Invasão e proteção
de Servidores JBoss
Paulo Renato
Security Specialist & GNU/Linux
LPIC -1 | LPIC – 2
w w
w .3w .com.br
ay
2. Apresentação
Paulo Renato Lopes Seixas
- Especialista em projetos de redes corporativas e
ambientes para consolidação da virtualização;
- Graduado em Sistemas de Informação pela Universidade
Estadual de Goiás;
- Implementação de soluções para reduções de custos em
TI, projetos de Redes e Treinamentos especializados
utilizando Software Livre, tais como GNU/Linux para
Segurança de Redes como Firewall, Pen-Test e Segurança
de redes baseado na norma ISO 27002 (antiga ISO/IEC 17799);
- Gerente de Redes;
- Certificado LPIC-2 (Linux Professional Institute Nível 2);
w w
w .3w .com.br
ay
4. O que é o JBoss?
• Jboss Application Server (Jboss AS)
• É um servidor de aplicação Java
w w
w .3w .com.br
ay
5. O que é um servidor de
aplicação ?
» É uma plataforma que coordena todas
as atividades e serviços da infra
estrutura da minha aplicação.
É uma plataforma de integração que provê:
• Um contêiner para aplicações;
• Serviços para aplicações que necessitam de
realizar deploy no servidor;
• Uma interface padrão para comunicação com
outros serviços;
• Integrar múltiplos serviços no servidor de
aplicação;
w w
w .3w .com.br
ay
6. Qual é o papel do Sys Admin
JBoss ?
» Configuração, monitoramento e tuning
do Servidor de Aplicação
» Vários protocolos de acesso (HTTP,
HTTPS, AJP, JRMP)
• Serviços de Segurança no Servidor de Aplicação
(autenticação e autorização), monitorar a
performance, varias configurações de tuning.
» Configuração de integração back-end.
Configuração de conexão pool e tuning
para banco de dados, LDAP e outras
informações de sistema.
w w
w .3w .com.br
ay
8. Hacking the JBoss ....
» Palavras chaves:
Mbeans, JMX-Console, Web-console,
jboss.admin,
jboss.deployment
* ScanEnabled=True (Hot-deployment) ,
●
ScanPeriod » Google hacking
URLList, inurl:"8080/jmx-console"
●
void addurl(), intitle:"MBean Inspector"
●
void removeurl() +site:com
●
void scan()
» DeploymentScanner
w w
w .3w .com.br
ay
9. Protegendo o JBoss
» DS
conf/login-config.xml
* Autenticação
deploy/management/console-
mgr.sar/web-console/WEB-
INF/classes
conf/propos (jmx-console)
Jboss-web.xml,roles.properties,
users.properties
w w
w .3w .com.br
ay
10. Protegendo o JBoss
• Habilitar domínio de segurança
deploy/management/console-mgr.sar/web-
console/WEB-INF/jboss-web.xml
/deploy/jmx-console.war/WEB-INF/jboss-web.xml
Por último, habilitar elementos de
security servlet .
* /deploy/management/console-
mgr.sar/web-console/WEB-
INF/web.xml
* /deploy/jmx-console.war/WEB-
INF/web.xml
w w
w .3w .com.br
ay
11. Protegendo o JBoss
» Palavras chaves:
Jboss-
web.xml,roles.properties,
users.properties
●
Autentição em modo texto
●
LDAP
w w
w .3w .com.br
ay
14. Conclusão
Em vez de adotar a frase:
“Já está bom”, adote esta :
“O bom é inimigo do ótimo”
Não é possível ter 100% de segurança, mas devemos
assegurar o máximo que pudermos !
w w
w .3w .com.br
ay
15. Invasão e proteção
de Servidores JBoss
Contato Profissional:
www.3way.com.br
paulorenato@3way.com.br
• Obrigado !!!
• Contato Pessoal
• blog.netsolution.eti.br
• paulorenato@netsolution.eti.br
w w
w .3w .com.br
ay •