odpoledne se seznamem ii - provozní bezpečnost
TRANSCRIPT
![Page 1: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/1.jpg)
Štefan Šafár, bezpečnostní administrátor
Bezpečnost ?
![Page 2: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/2.jpg)
www.seznam.cz
Obsah
• Bezpečnost v různých fázích vývoje software
• Návrh / Analýza
• Vývoj / Testování
• Provoz / Maintenance
• Co jsme za poslední rok řešili
• Co v provozu připravujeme
![Page 3: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/3.jpg)
www.seznam.cz
Jak uchopit bezpečnost
• SDLC – Systems development life-cycle
• CLASP
• Microsoft SDL
• BSIMM2
• OWASP OpenSAMM
![Page 4: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/4.jpg)
www.seznam.cz
Návrh / Analýza
• Modelování / Analýza rizik
• DEMO
![Page 5: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/5.jpg)
www.seznam.cz
Vývoj / Testování
• Školení programátorů – jazyky?
• Code review – náročné na čas?
• Whitebox testování – Lint (statická analýza)
– http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis
• Whitebox testování – Dynamická analýza
– http://en.wikipedia.org/wiki/Dynamic_program_analysis
• Greybox?
• Blackbox testování – automatické
– Acunetix, Netsparker, IBM Appscan, HP Webinspect, …
• Blackbox testování – manuální
– Distribuce Kali, BlackArch…
![Page 6: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/6.jpg)
www.seznam.cz
![Page 7: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/7.jpg)
www.seznam.cz
![Page 8: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/8.jpg)
www.seznam.cz
Provoz / Maintenance
• Management balíčků / verzí
• Scanner zranitelností
– Nessus, OpenVAS, …
• Dostatečně výkonný firewall
• Web Application Firewall
– Škálování? Udržování? SSL?
• SSL
– Ukončování? Algoritmy? Preference šifer?
![Page 9: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/9.jpg)
www.seznam.cz
DoS – 03/2013
![Page 10: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/10.jpg)
www.seznam.cz
DDoS 03/2013
![Page 11: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/11.jpg)
www.seznam.cz
Salt stack – key generation
• Systém na hromadnou správu serverů
• V pythonu – snadná implementace vlastních skriptů
• Rychlejší než puppet hlavně díky 0MQ
• 0MQ nepodporovalo crypto, napsali si vlastní
![Page 12: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/12.jpg)
www.seznam.cz
Salt stack – key generation
• Systém na hromadnou správu serverů
• V pythonu – snadná implementace vlastních skriptů
• Rychlejší než puppet hlavně díky 0MQ
• 0MQ nepodporovalo crypto, napsali si vlastní
• Implementace RSA, generování klíčů, atd
• e=1
![Page 13: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/13.jpg)
www.seznam.cz
Salt stack – key generation
• Systém na hromadnou správu serverů
• V pythonu – snadná implementace vlastních skriptů
• Rychlejší než puppet hlavně díky 0MQ
• 0MQ nepodporovalo crypto, napsali si vlastní
• Implementace RSA, generování klíčů, atd
• e=1
• d=1
• c = me (mod n), m = cd (mod n)
![Page 14: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/14.jpg)
www.seznam.cz
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW
![Page 15: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/15.jpg)
www.seznam.cz
IPMI – cipher 0
• Součást specifikace IPMI
• ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit
user list
• Různé reakce výrobců HW
• „Vypněte cipher 0 nainstalováním nejnovějšího firmware“
• „Vypněte IPMI a SNMP, pokud je nepoužíváte“
• „Instalujte Urgentní upgrade hned jak je to možné“
• „Provozujte BMC v oddělené management síti a
nenechávejte je otevřené do internetu“
• http://fish2.com/ipmi/cipherzero.html
![Page 16: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/16.jpg)
www.seznam.cz
iDRAC – root shell
• Společnost DELL – management rozhraní serveru
• Uživatel root defaultně povolen
• Možnost přepnout login shell
• http://fish2.com/ipmi/dell/secret.html
![Page 17: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/17.jpg)
www.seznam.cz
![Page 18: Odpoledne se Seznamem II - Provozní bezpečnost](https://reader038.vdocuments.pub/reader038/viewer/2022100606/55a0726c1a28ab39498b4625/html5/thumbnails/18.jpg)
www.seznam.cz
Co připravujeme / máme
• CSIRT tým
– http://napoveda.seznam.cz/csirt
• Trusted Introducer – accredited status
• SSL + PFS + HSTS pro (snad) všechny služby
• Bezpečná VLAN v NIXu