Markus ManzkeSLAC 2014 / Berlin

13.03.2014

Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014

"If you spend more on coffee than on IT security, then you will be hacked."

-- Richard A. Clark / 2002

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 2

Intro

● Über mich12 Jahre als SysAdmin und System-Architekt für webbasierte Infrastrukturvon klein bis mittel(stands)großMitarbeit in div. OSS-Projekten (Emerging Threats, Icinga, Naxsi, Nginx)Vorträge/Artikel: CeBIT, OWASP, ix, ADMIN-MAGAZIN, Barcamps

● MARE system (Kiel)http://www.mare-system.de/Hosting-Provider für Ecommerce-Infrastruktur

● 8ackhttp://www.8ack.deSecurity-Information und News, von Profis für Profis

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 3

Inhalt

● Webserver-Header Analyse, Probleme, Best Practices

● Content Security Policy et alneue Userschutz-Technologie

● WebsocketsEinsatzgebiete, DOs & DONTs

● Reverse Proxy Einsatzgebiete & Best Practices

● WebApplicationFirewallsEinsatzszenarien, Überblick und Vergleich populärer Open-Source-LösungenLayer 7 DDoS - Schutz

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 4

Web-Security: Grundsätzliche Probleme

● Problem:24/7, Accept: World & DogAbhängig von Appservern, Libs, Frameworks, Appliances: kleine Ursache, große Wirkungkomplex, vernetzt & verwoben (OAuth)Verteidigung: 24/7, GrundrauschenAngreifer: kann warten und die Route wählen, ausgereifte Toolbox, Scanner

● LösungWissenPolicy + ArchitekturDisziplinGlück

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 5

Webserver-Header

● verräterische HeaderAppServer-Leakslazy Admins / EastereggsInfrastruktur-Leaks

● Analyse-ToolsShodan/zmap/masscanConsole-Output

● Todo:Attack-Surface minimierenHeader-Check Header-Hygiene

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 6

Attacke!

● Angriffsvorbereitung via Header-Analyse

● Bsp1: zentraler Schul-Proxy Iowa/Arrowhead5 Minuten bis zum potentiellen Exploit

● Bsp2: myXYZ.de10 Minuten bis zum potentiellen Exploit

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 7

Userschutz durch Security-Header

● Content Security Policy (CSP)XSS/Script-Injection-Schutz Definieren der Quellen für Script, Fonts, Grafiken, Iframes Whitelist-AnsatzLearning-Mode / Reporting

● X-Frame-OptionsClickjacking-SchutzSAMEORIGIN / DENY / ALLOW

● X-Content-Type-Options/X-XSS-ProtectionSchützt vor XSS und Mime-Sniffing

● Cross Origin Resource Sharing (CORS)Aufbrechen der Same-Origin-Policy (scriptbasierte XMLHttpRequests)

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 8

Userschutz durch Security-Header

● Strict-Transport-Security (HSTS, SSL/TLS)zwingt den Browser auf HTTPS

● CookiesHTTPOnly / Secure

● Proerhöhter Userschutz (XSS, Clickjacking, Session-Stealing, SSL erzwingen)

● ContraBrowserabhängigImplementierungsaufwand (might break stuff)

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 9

Websockets

● WebsocketsTCP over HTTPbidirektionale Verbindung Server ↔ Client (2-Way-Push)kein HTTP-Overhead

● DONTstatische Inhalte, CSS; JS; HTML

● DOdynamische Daten innerhalb der Webapp (vulgo: AJAX-Requests)

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 10

Websockets

● Sicherheit … Sicherheit?eigenes Security-Modell implementieren

keine HTTP/IP-Restriktionen

keine Session/Cookies

alles noch sehr Alpha

WS-Server eigene Instanzen

keine WAF/IDS-Abdeckung momentan

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 11

Reverse Proxy

● Reverse Proxy Best PracticesHeader-Kontrolle / Verstecken der Infrastruktur

Loadbalancing + Performance

Abfangen von Requests vor Appservern (Static/Cache)

Cookie-Mangling: Secure / HTTPOnly

Hotpatching / serverseitige Workarounds(CVE 2014-0050 Tomcat DDoS)

WAF / Limit-Filter

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 12

WebApplicationFirewalls

● WAF – Protect your InterwebsSchutz vor SchmutzWhite/BlacklistingSignatur-basiertProfiling - browserbasierte Webapps - APIsHotpatching

● ContraImplementierungChange-Managementunbekannte Angriffsvektorenimmer einen Schritt hinterherPerformance

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 13

WebApplicationFirewalls

● Mod-SecurityApacheausgereiftCore-Rule-Setsehr komplexhoher Aufwand für Regeln + Whitelisting

● NaxsiNginxstabilCore-Rule-SeteinfachLearning-Mode, Reporting-Tool,Whitelisting

● Lua-WAFNginxProfile, Logik, all you can Script

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 14

Layer 7 DDoS

● Layer 7 DDoSlegitime RequestsApp-Server überfluten → Ressourcen verbrauchenca 20% der DDoS-Attacken sind L7-Attacken (Imperva)Bots werden intelligenter

● SchutzmaßnahmenMonitoring + NotfallplanJS-Canary/CookieRatelimits (bedingt) Request-Shaping (bedingt)IP-Block vs Request-Block

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 15

SSL + TLS

● SSL + TLSAuthentizität der Verbindung Transport-Verschlüsselungganz oder garnichtHSTSSPDYPFS

● ContraPerformanceKompatibilitätmight break stuff

● Toolstestssl.shssllabs.com

SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 16

Fragen?