odpoledne se seznamem ii - provozní bezpečnost
Post on 11-Jul-2015
1.638 Views
Preview:
TRANSCRIPT
Štefan Šafár, bezpečnostní administrátor
Bezpečnost ?
www.seznam.cz
Obsah
• Bezpečnost v různých fázích vývoje software
• Návrh / Analýza
• Vývoj / Testování
• Provoz / Maintenance
• Co jsme za poslední rok řešili
• Co v provozu připravujeme
www.seznam.cz
Jak uchopit bezpečnost
• SDLC – Systems development life-cycle
• CLASP
• Microsoft SDL
• BSIMM2
• OWASP OpenSAMM
www.seznam.cz
Návrh / Analýza
• Modelování / Analýza rizik
• DEMO
www.seznam.cz
Vývoj / Testování
• Školení programátorů – jazyky?
• Code review – náročné na čas?
• Whitebox testování – Lint (statická analýza)
– http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis
• Whitebox testování – Dynamická analýza
– http://en.wikipedia.org/wiki/Dynamic_program_analysis
• Greybox?
• Blackbox testování – automatické
– Acunetix, Netsparker, IBM Appscan, HP Webinspect, …
• Blackbox testování – manuální
– Distribuce Kali, BlackArch…
www.seznam.cz
www.seznam.cz
www.seznam.cz
Provoz / Maintenance
• Management balíčků / verzí
• Scanner zranitelností
– Nessus, OpenVAS, …
• Dostatečně výkonný firewall
• Web Application Firewall
– Škálování? Udržování? SSL?
• SSL
– Ukončování? Algoritmy? Preference šifer?
www.seznam.cz
DoS – 03/2013
www.seznam.cz
DDoS 03/2013
www.seznam.cz
Salt stack – key generation
• Systém na hromadnou správu serverů
• V pythonu – snadná implementace vlastních skriptů
• Rychlejší než puppet hlavně díky 0MQ
• 0MQ nepodporovalo crypto, napsali si vlastní
www.seznam.cz
Salt stack – key generation
• Systém na hromadnou správu serverů
• V pythonu – snadná implementace vlastních skriptů
• Rychlejší než puppet hlavně díky 0MQ
• 0MQ nepodporovalo crypto, napsali si vlastní
• Implementace RSA, generování klíčů, atd
• e=1
www.seznam.cz
Salt stack – key generation
• Systém na hromadnou správu serverů
• V pythonu – snadná implementace vlastních skriptů
• Rychlejší než puppet hlavně díky 0MQ
• 0MQ nepodporovalo crypto, napsali si vlastní
• Implementace RSA, generování klíčů, atd
• e=1
• d=1
• c = me (mod n), m = cd (mod n)
www.seznam.cz
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW
www.seznam.cz
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW
• „Vypněte cipher 0 nainstalováním nejnovějšího firmware“
• „Vypněte IPMI a SNMP, pokud je nepoužíváte“
• „Instalujte Urgentní upgrade hned jak je to možné“
• „Provozujte BMC v oddělené management síti a
nenechávejte je otevřené do internetu“
• http://fish2.com/ipmi/cipherzero.html
www.seznam.cz
iDRAC – root shell
• Společnost DELL – management rozhraní serveru
• Uživatel root defaultně povolen
• Možnost přepnout login shell
• http://fish2.com/ipmi/dell/secret.html
www.seznam.cz
www.seznam.cz
Co připravujeme / máme
• CSIRT tým
– http://napoveda.seznam.cz/csirt
• Trusted Introducer – accredited status
• SSL + PFS + HSTS pro (snad) všechny služby
• Bezpečná VLAN v NIXu
www.seznam.cz
Štefan Šafár, stefan.safar@firma.seznam.cz
Děkuji za pozornost
top related