SlideShare una empresa de Scribd logo

20230208-webinar_IDP_resiliente.pdf

R
Random794412

20230208-webinar_IDP_resiliente

Internet
1 de 36
Descargar para leer sin conexión
IDP resiliente: strategie per rendere più affidabile il sistema di autenticazione Simone Lanzarini Giacomo Santi 8 Febbraio 2023
Il Consorzio CINECA 115 Enti: • 2 Ministeri, • 70 Università italiane, • 43 Istituzioni pubbliche Nazionali
La soluzione SSO CINECA Basata sullaversione più recente di Shibboleth IDP con integrazioni per: Gestione cambio password Gateway SPID/CIE/Eidas/Edugain 2FA basata su TOTP (upcoming) Supporto OIDC
Un po' di numeri... Milioni di login/anno 120 2500 Service Provider unici 15 Milioni di login/anno con SPID Identity Provider gestiti 70
Tante applicazioni dipendono dal sistema di autenticazione cosa succede se si ferma il SSO?
l'IDP deve essere RESILIENTE
Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano indisponibilità fonte dati disastro
Errore umano Vanno intraprese tutte le strategie per minimizzarlo, ma il rischio non potrà mai essere azzerato Occorre dotarsi di strumenti che consentano di mitigare l'impatto di un errore umano: Git come sorgente delle configurazioni (tracking changes, version control) (*) https://www.gocd.org/ Automazione degli update mediante pipeline (*)
Gestione configurazioni con GIT Versionamento delle configurazioni su GIT:
Gestione configurazioni con GIT
Gestione configurazioni con GIT Struttura della idp_home sulle macchine:
Deploy con GoCD Deploy di: • Configurazioni • Pagine velocity • War mediante pipelineGoCD
Gestione rilascio con GIT e GoCD
Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Attivazione account lockout su ldap (1) • PRO: controllo centralizzato, non aggirabile • CONTRO: • elevato rischio di subire DOS o sabotaggi verso utenti mirati • non efficace su altre fonti dati (Active Directory, DB) (1) https://linux.die.net/man/5/slapo-ppolicy Adottare tecniche di IP ban (2) • PRO: mette al riparo anche rispetto ad altre tipologiedi attacco • CONTRO: • elevato rischio di subire DOS • configurazione non banale (2) https://phoenixnap.com/kb/apache-mod-evasive
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Adozione di un captcha nella pagina di login • PRO: sempliceda implementare • CONTRO: • peggioramento dell'esperienza utente • alcune soluzioni sono a pagamento
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth (*) • CARATTERISTICHE: • Strategia di lockout di default basata sullacoppia username/ indirizzo IP • Possibilitàdi definire altre politiche custom • Basato sugli storageServicenativi di Shibboleth IDP (inMemory, DB, ecc) (*) https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631611/PasswordAuthnConfiguration#Advanced-Features
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password (*) https://shibboleth.net/sites/release/java-identity-provider/4.1.0/idp-authn-impl/apidocs/net/shibboleth/idp/authn/impl/StorageBackedAccountLockoutManager.html Nome Parametro Significato counterInterval intervallotemporaledopo il qualeil contatoreviene resettato maxAttempts numero massimo di tentativifallitinellafinestra temporale lockoutDuration duratadel lockout per la coppiausername/IP extendLockoutDuration estensione del lockoutDuration nel caso persistano i tentativi duranteil periodo di lockout Account lockout Shibboleth - Parametri di configurazione(*)
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth - Come si attiva: Basta aggiungere questo bean al file conf/global.xml <bean id="shibboleth.authn.Password.AccountLockoutManager" parent="shibboleth.StorageBackedAccountLockoutManager" p:maxAttempts="5" p:counterInterval="PT5M" p:lockoutDuration="PT5M" p:extendLockoutDuration="false" />
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth - Funzionamento: 2023-02-07 16:57:23,591 - INFO [net.shibboleth.idp.authn.impl.StorageBackedAccountLockoutManager:255] - [127.0.0.1] - Lockout threshold reached for 'sbadato@cineca.it!127.0.0.1', invalid count is 5 2023-02-07 16:57:23,591 - INFO [net.shibboleth.idp.authn.impl.ValidateCredentials:172] - [127.0.0.1] - Profile Action ValidateCredentials: Account locked out, aborting authentication
Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth • PRO: • Sempliceda attivare • Efficace su tutte le fonti di autenticazione(LDAP, AD, DataBase) • CONTRO: • Complicato definire politiche di lockout alternative (documentazionecarente) • Non protegge le applicazioni che fanno bind direttamente su LDAP
Accesso malevolo: La password è stata scoperta / trafugata Attivazione 2FA basata su TOTP • Supportata nativamente su Shibboleth IDP v4 (*) • Secret (cifrato) su LDAP gestito tramite attribute-resolver https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/1376878877/TOTP <AttributeDefinition xsi:type="Decrypted" dataSealerRef="totp.DataSealer" id="ateneoTokenSeed"> <InputDataConnector ref="myLDAP" attributeNames="ateneoTokenSeed" /> <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.16983.300.1.10.1" friendlyName="ateneoTokenSeed" /> </AttributeDefinition> E' necessarioimplementare un sistema di enrollment degli utenti e di gestione del seed
Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
Indisponibilità fonte dati: tecnologie diverse infrastrutture diverse Data Center diversi team diversi
Indisponibilità fonte dati: L' attribute-resolver NON ha un global timeout necessità di reperire dato velocità di login
Indisponibilità fonte dati: Connection Timeout Query Timeout • Facilmente calcolabile • Indipendente dalla tipologiadi fonte dati • Indipendente dal carico sullafonte dati stessa • Dipendente dalla tipologiadi fonte dati • Dipendente dal carico sullafonte dati stessa TO DO: minimizzare TO DO: fare tuning
Esempio: LDAP in cascata Indisponibilità fonte dati: ldapURL = ldaps://ldap1:636 ldaps://ldap2:636 ldaps://ldap3:636 I timeout si sommano!! se ok SOLO ldap3 si DEVE attendere Timeout ldap1 e ldap2 ldapURL = ldaps://ldapproxy123:636 ldap1 ldap3 ldap2 ldapproxy123
Esempio2: indisponibilità AD e Timeout Indisponibilità fonte dati: autenticazione e reperimento attributi reperimento UN SOLO attributo AD non raggiungibile connectionTimeout = 3s MINIMO 3s per completare un login IDP lento per l'utente finale
Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
Il disastro: Application Server down ... … High availability <Proxy balancer://idp_cluster> BalancerMember ajp://idpXX route=*** ping=3 retry=15 BalancerMember ajp://idpXX+1 route=*** route=*** ping=3 status=+H ProxySet stickysession=JSESSIONID|jsessionid ProxySet lbmethod=byrequests </Proxy> WebServer idpXX IdpXX+1 WebServer
Caso2: Data Center down ... Il disastro: … il Global Load Balancing idpXX IdpXX+1 WebServer WebServer myidp.mydc1.mydomain.io idpYY IdpYY+1 WebServer WebServer myidp.mydc2.mydomain.io myidp.mydomain.io master to replica
Il Global Load Balancing … quali criticità? Il disastro: probe efficaci MA sicure • /idp/ • /idp/status • /idp/profile/admin/resolvertest (*) (*) https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631852/AACLI certezza che tutti gli ambienti siano allineati strumento di gestione e versioning delle configurazioni
Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
GRAZIE
Q&A

Recomendados

Mfa.intro
Mfa.introMfa.intro
Mfa.introLuigi Perrone
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
L'impatto dei Servizi Applicativi
L'impatto dei Servizi ApplicativiL'impatto dei Servizi Applicativi
L'impatto dei Servizi Applicativimichelemanzotti
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpaceDotNetMarche
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.
Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.
Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.Stefano Bianchini
 

Recomendados

Mfa.intro
Mfa.introMfa.intro
Mfa.introLuigi Perrone
 
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...
(in)Sicurezza nella PA - Gianluca Varisco, Cybersecurity del Team per la Tras...Team per la Trasformazione Digitale
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
L'impatto dei Servizi Applicativi
L'impatto dei Servizi ApplicativiL'impatto dei Servizi Applicativi
L'impatto dei Servizi Applicativimichelemanzotti
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpaceDotNetMarche
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.
Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.
Sicurezza Php (giugno 2010) Stefano Bianchini presso Ce.Se.N.A.Stefano Bianchini
 
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
 
ASP.NET MVC3 - Tutti i compiti del Controller
ASP.NET MVC3 - Tutti i compiti del ControllerASP.NET MVC3 - Tutti i compiti del Controller
ASP.NET MVC3 - Tutti i compiti del ControllerManuel Scapolan
 
Hp Secure Mail
Hp Secure MailHp Secure Mail
Hp Secure Mailat MicroFocus Italy ❖✔
 
Ambiente neoassunti 2015/2016
Ambiente neoassunti 2015/2016Ambiente neoassunti 2015/2016
Ambiente neoassunti 2015/2016Istituto Nazionale di Documentazione, Innovazione e Ricerca Educativa
 
September 2010 - Gatein
September 2010 - GateinSeptember 2010 - Gatein
September 2010 - GateinJBug Italy
 
Modernize Legacy Systems with Kubernetes
Modernize Legacy Systems with KubernetesModernize Legacy Systems with Kubernetes
Modernize Legacy Systems with KubernetesGiulio Roggero
 
HTML5 Security
HTML5 SecurityHTML5 Security
HTML5 SecuritySimone Onofri
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...DotNetMarche
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
 
Hackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriHackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriCodemotion
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Stefano Sanna
 
Single Sign on e OpenID
Single Sign on e OpenIDSingle Sign on e OpenID
Single Sign on e OpenIDThomas Basciutti
 
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVOROSVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVOROZanatta Davide
 
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPA
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPAWebinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPA
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPAPar-Tec S.p.A.
 
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...LeonardoSimonini
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischioMario Mancini
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3claudiodigiovanni
 

Más contenido relacionado

Similar a 20230208-webinar_IDP_resiliente.pdf

CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...walk2talk srl
 
ASP.NET MVC3 - Tutti i compiti del Controller
ASP.NET MVC3 - Tutti i compiti del ControllerASP.NET MVC3 - Tutti i compiti del Controller
ASP.NET MVC3 - Tutti i compiti del ControllerManuel Scapolan
 
September 2010 - Gatein
September 2010 - GateinSeptember 2010 - Gatein
September 2010 - GateinJBug Italy
 
Modernize Legacy Systems with Kubernetes
Modernize Legacy Systems with KubernetesModernize Legacy Systems with Kubernetes
Modernize Legacy Systems with KubernetesGiulio Roggero
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersGianluca Magalotti
 
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...DotNetMarche
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Codemotion
 
Hackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriHackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriCodemotion
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Stefano Sanna
 
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVOROSVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVOROZanatta Davide
 
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPA
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPAWebinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPA
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPAPar-Tec S.p.A.
 
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...LeonardoSimonini
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischioMario Mancini
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 

Similar a 20230208-webinar_IDP_resiliente.pdf (20)

CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
CCI2017 - Security Best Practices e novità in Windows Server 2016 - Ermanno G...
 
ASP.NET MVC3 - Tutti i compiti del Controller
ASP.NET MVC3 - Tutti i compiti del ControllerASP.NET MVC3 - Tutti i compiti del Controller
ASP.NET MVC3 - Tutti i compiti del Controller
 
Hp Secure Mail
Hp Secure MailHp Secure Mail
Hp Secure Mail
 
Ambiente neoassunti 2015/2016
Ambiente neoassunti 2015/2016Ambiente neoassunti 2015/2016
Ambiente neoassunti 2015/2016
 
September 2010 - Gatein
September 2010 - GateinSeptember 2010 - Gatein
September 2010 - Gatein
 
Modernize Legacy Systems with Kubernetes
Modernize Legacy Systems with KubernetesModernize Legacy Systems with Kubernetes
Modernize Legacy Systems with Kubernetes
 
HTML5 Security
HTML5 SecurityHTML5 Security
HTML5 Security
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
 
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
CQRS ed Event Sourcing su Windows Azure: Applicazioni Distribuite, Scalabilit...
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
 
Hackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone OnofriHackers vs. Developers: HTML5 Security by Simone Onofri
Hackers vs. Developers: HTML5 Security by Simone Onofri
 
Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018Mobile Security su Android - LinuxDay 2018
Mobile Security su Android - LinuxDay 2018
 
Single Sign on e OpenID
Single Sign on e OpenIDSingle Sign on e OpenID
Single Sign on e OpenID
 
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVOROSVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO
SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO
 
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPA
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPAWebinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPA
Webinar 6 ottobre 2020 - Sicurezza e Compliance a misura di RPA
 
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
Presentazione Analisi delle dipendenze architetturali dei servizi di autentic...
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo Chirivì
 
Owasp parte3
Owasp parte3Owasp parte3
Owasp parte3
 

20230208-webinar_IDP_resiliente.pdf

  • 1. IDP resiliente: strategie per rendere più affidabile il sistema di autenticazione Simone Lanzarini Giacomo Santi 8 Febbraio 2023
  • 2. Il Consorzio CINECA 115 Enti: • 2 Ministeri, • 70 Università italiane, • 43 Istituzioni pubbliche Nazionali
  • 3. La soluzione SSO CINECA Basata sullaversione più recente di Shibboleth IDP con integrazioni per: Gestione cambio password Gateway SPID/CIE/Eidas/Edugain 2FA basata su TOTP (upcoming) Supporto OIDC
  • 4. Un po' di numeri... Milioni di login/anno 120 2500 Service Provider unici 15 Milioni di login/anno con SPID Identity Provider gestiti 70
  • 5. Tante applicazioni dipendono dal sistema di autenticazione cosa succede se si ferma il SSO?
  • 6. l'IDP deve essere RESILIENTE
  • 7. Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano indisponibilità fonte dati disastro
  • 8. Errore umano Vanno intraprese tutte le strategie per minimizzarlo, ma il rischio non potrà mai essere azzerato Occorre dotarsi di strumenti che consentano di mitigare l'impatto di un errore umano: Git come sorgente delle configurazioni (tracking changes, version control) (*) https://www.gocd.org/ Automazione degli update mediante pipeline (*)
  • 9. Gestione configurazioni con GIT Versionamento delle configurazioni su GIT:
  • 11. Gestione configurazioni con GIT Struttura della idp_home sulle macchine:
  • 12. Deploy con GoCD Deploy di: • Configurazioni • Pagine velocity • War mediante pipelineGoCD
  • 13. Gestione rilascio con GIT e GoCD
  • 14. Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
  • 15. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password
  • 16. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Attivazione account lockout su ldap (1) • PRO: controllo centralizzato, non aggirabile • CONTRO: • elevato rischio di subire DOS o sabotaggi verso utenti mirati • non efficace su altre fonti dati (Active Directory, DB) (1) https://linux.die.net/man/5/slapo-ppolicy Adottare tecniche di IP ban (2) • PRO: mette al riparo anche rispetto ad altre tipologiedi attacco • CONTRO: • elevato rischio di subire DOS • configurazione non banale (2) https://phoenixnap.com/kb/apache-mod-evasive
  • 17. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Adozione di un captcha nella pagina di login • PRO: sempliceda implementare • CONTRO: • peggioramento dell'esperienza utente • alcune soluzioni sono a pagamento
  • 18. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth (*) • CARATTERISTICHE: • Strategia di lockout di default basata sullacoppia username/ indirizzo IP • Possibilitàdi definire altre politiche custom • Basato sugli storageServicenativi di Shibboleth IDP (inMemory, DB, ecc) (*) https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631611/PasswordAuthnConfiguration#Advanced-Features
  • 19. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password (*) https://shibboleth.net/sites/release/java-identity-provider/4.1.0/idp-authn-impl/apidocs/net/shibboleth/idp/authn/impl/StorageBackedAccountLockoutManager.html Nome Parametro Significato counterInterval intervallotemporaledopo il qualeil contatoreviene resettato maxAttempts numero massimo di tentativifallitinellafinestra temporale lockoutDuration duratadel lockout per la coppiausername/IP extendLockoutDuration estensione del lockoutDuration nel caso persistano i tentativi duranteil periodo di lockout Account lockout Shibboleth - Parametri di configurazione(*)
  • 20. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth - Come si attiva: Basta aggiungere questo bean al file conf/global.xml <bean id="shibboleth.authn.Password.AccountLockoutManager" parent="shibboleth.StorageBackedAccountLockoutManager" p:maxAttempts="5" p:counterInterval="PT5M" p:lockoutDuration="PT5M" p:extendLockoutDuration="false" />
  • 21. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth - Funzionamento: 2023-02-07 16:57:23,591 - INFO [net.shibboleth.idp.authn.impl.StorageBackedAccountLockoutManager:255] - [127.0.0.1] - Lockout threshold reached for 'sbadato@cineca.it!127.0.0.1', invalid count is 5 2023-02-07 16:57:23,591 - INFO [net.shibboleth.idp.authn.impl.ValidateCredentials:172] - [127.0.0.1] - Profile Action ValidateCredentials: Account locked out, aborting authentication
  • 22. Accesso malevolo: Tentativi ripetuti di login finalizzati a scoprire la password Account lockout Shibboleth • PRO: • Sempliceda attivare • Efficace su tutte le fonti di autenticazione(LDAP, AD, DataBase) • CONTRO: • Complicato definire politiche di lockout alternative (documentazionecarente) • Non protegge le applicazioni che fanno bind direttamente su LDAP
  • 23. Accesso malevolo: La password è stata scoperta / trafugata Attivazione 2FA basata su TOTP • Supportata nativamente su Shibboleth IDP v4 (*) • Secret (cifrato) su LDAP gestito tramite attribute-resolver https://shibboleth.atlassian.net/wiki/spaces/IDPPLUGINS/pages/1376878877/TOTP <AttributeDefinition xsi:type="Decrypted" dataSealerRef="totp.DataSealer" id="ateneoTokenSeed"> <InputDataConnector ref="myLDAP" attributeNames="ateneoTokenSeed" /> <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.16983.300.1.10.1" friendlyName="ateneoTokenSeed" /> </AttributeDefinition> E' necessarioimplementare un sistema di enrollment degli utenti e di gestione del seed
  • 24. Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
  • 26. Indisponibilità fonte dati: L' attribute-resolver NON ha un global timeout necessità di reperire dato velocità di login
  • 27. Indisponibilità fonte dati: Connection Timeout Query Timeout • Facilmente calcolabile • Indipendente dalla tipologiadi fonte dati • Indipendente dal carico sullafonte dati stessa • Dipendente dalla tipologiadi fonte dati • Dipendente dal carico sullafonte dati stessa TO DO: minimizzare TO DO: fare tuning
  • 28. Esempio: LDAP in cascata Indisponibilità fonte dati: ldapURL = ldaps://ldap1:636 ldaps://ldap2:636 ldaps://ldap3:636 I timeout si sommano!! se ok SOLO ldap3 si DEVE attendere Timeout ldap1 e ldap2 ldapURL = ldaps://ldapproxy123:636 ldap1 ldap3 ldap2 ldapproxy123
  • 29. Esempio2: indisponibilità AD e Timeout Indisponibilità fonte dati: autenticazione e reperimento attributi reperimento UN SOLO attributo AD non raggiungibile connectionTimeout = 3s MINIMO 3s per completare un login IDP lento per l'utente finale
  • 30. Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
  • 31. Il disastro: Application Server down ... … High availability <Proxy balancer://idp_cluster> BalancerMember ajp://idpXX route=*** ping=3 retry=15 BalancerMember ajp://idpXX+1 route=*** route=*** ping=3 status=+H ProxySet stickysession=JSESSIONID|jsessionid ProxySet lbmethod=byrequests </Proxy> WebServer idpXX IdpXX+1 WebServer
  • 32. Caso2: Data Center down ... Il disastro: … il Global Load Balancing idpXX IdpXX+1 WebServer WebServer myidp.mydc1.mydomain.io idpYY IdpYY+1 WebServer WebServer myidp.mydc2.mydomain.io myidp.mydomain.io master to replica
  • 33. Il Global Load Balancing … quali criticità? Il disastro: probe efficaci MA sicure • /idp/ • /idp/status • /idp/profile/admin/resolvertest (*) (*) https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631852/AACLI certezza che tutti gli ambienti siano allineati strumento di gestione e versioning delle configurazioni
  • 34. Cosa può compromettere il servizio di SSO? comportamento malevolo errore umano disastro indisponibilità fonte dati
  • 36. Q&A