slac berlin 2014: headers, websockets + more: webserver und … · 2016-05-09 · markus manzke...
TRANSCRIPT
Markus ManzkeSLAC 2014 / Berlin
13.03.2014
Headers, Websockets + More: Webserver und Webapp-Sicherheit im Jahre 2014
"If you spend more on coffee than on IT security, then you will be hacked."
-- Richard A. Clark / 2002
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 2
Intro
● Über mich12 Jahre als SysAdmin und System-Architekt für webbasierte Infrastrukturvon klein bis mittel(stands)großMitarbeit in div. OSS-Projekten (Emerging Threats, Icinga, Naxsi, Nginx)Vorträge/Artikel: CeBIT, OWASP, ix, ADMIN-MAGAZIN, Barcamps
● MARE system (Kiel)http://www.mare-system.de/Hosting-Provider für Ecommerce-Infrastruktur
● 8ackhttp://www.8ack.deSecurity-Information und News, von Profis für Profis
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 3
Inhalt
● Webserver-Header Analyse, Probleme, Best Practices
● Content Security Policy et alneue Userschutz-Technologie
● WebsocketsEinsatzgebiete, DOs & DONTs
● Reverse Proxy Einsatzgebiete & Best Practices
● WebApplicationFirewallsEinsatzszenarien, Überblick und Vergleich populärer Open-Source-LösungenLayer 7 DDoS - Schutz
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 4
Web-Security: Grundsätzliche Probleme
● Problem:24/7, Accept: World & DogAbhängig von Appservern, Libs, Frameworks, Appliances: kleine Ursache, große Wirkungkomplex, vernetzt & verwoben (OAuth)Verteidigung: 24/7, GrundrauschenAngreifer: kann warten und die Route wählen, ausgereifte Toolbox, Scanner
● LösungWissenPolicy + ArchitekturDisziplinGlück
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 5
Webserver-Header
● verräterische HeaderAppServer-Leakslazy Admins / EastereggsInfrastruktur-Leaks
● Analyse-ToolsShodan/zmap/masscanConsole-Output
● Todo:Attack-Surface minimierenHeader-Check Header-Hygiene
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 6
Attacke!
● Angriffsvorbereitung via Header-Analyse
● Bsp1: zentraler Schul-Proxy Iowa/Arrowhead5 Minuten bis zum potentiellen Exploit
● Bsp2: myXYZ.de10 Minuten bis zum potentiellen Exploit
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 7
Userschutz durch Security-Header
● Content Security Policy (CSP)XSS/Script-Injection-Schutz Definieren der Quellen für Script, Fonts, Grafiken, Iframes Whitelist-AnsatzLearning-Mode / Reporting
● X-Frame-OptionsClickjacking-SchutzSAMEORIGIN / DENY / ALLOW
● X-Content-Type-Options/X-XSS-ProtectionSchützt vor XSS und Mime-Sniffing
● Cross Origin Resource Sharing (CORS)Aufbrechen der Same-Origin-Policy (scriptbasierte XMLHttpRequests)
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 8
Userschutz durch Security-Header
● Strict-Transport-Security (HSTS, SSL/TLS)zwingt den Browser auf HTTPS
● CookiesHTTPOnly / Secure
● Proerhöhter Userschutz (XSS, Clickjacking, Session-Stealing, SSL erzwingen)
● ContraBrowserabhängigImplementierungsaufwand (might break stuff)
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 9
Websockets
● WebsocketsTCP over HTTPbidirektionale Verbindung Server ↔ Client (2-Way-Push)kein HTTP-Overhead
● DONTstatische Inhalte, CSS; JS; HTML
● DOdynamische Daten innerhalb der Webapp (vulgo: AJAX-Requests)
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 10
Websockets
● Sicherheit … Sicherheit?eigenes Security-Modell implementieren
keine HTTP/IP-Restriktionen
keine Session/Cookies
alles noch sehr Alpha
WS-Server eigene Instanzen
keine WAF/IDS-Abdeckung momentan
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 11
Reverse Proxy
● Reverse Proxy Best PracticesHeader-Kontrolle / Verstecken der Infrastruktur
Loadbalancing + Performance
Abfangen von Requests vor Appservern (Static/Cache)
Cookie-Mangling: Secure / HTTPOnly
Hotpatching / serverseitige Workarounds(CVE 2014-0050 Tomcat DDoS)
WAF / Limit-Filter
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 12
WebApplicationFirewalls
● WAF – Protect your InterwebsSchutz vor SchmutzWhite/BlacklistingSignatur-basiertProfiling - browserbasierte Webapps - APIsHotpatching
● ContraImplementierungChange-Managementunbekannte Angriffsvektorenimmer einen Schritt hinterherPerformance
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 13
WebApplicationFirewalls
● Mod-SecurityApacheausgereiftCore-Rule-Setsehr komplexhoher Aufwand für Regeln + Whitelisting
● NaxsiNginxstabilCore-Rule-SeteinfachLearning-Mode, Reporting-Tool,Whitelisting
● Lua-WAFNginxProfile, Logik, all you can Script
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 14
Layer 7 DDoS
● Layer 7 DDoSlegitime RequestsApp-Server überfluten → Ressourcen verbrauchenca 20% der DDoS-Attacken sind L7-Attacken (Imperva)Bots werden intelligenter
● SchutzmaßnahmenMonitoring + NotfallplanJS-Canary/CookieRatelimits (bedingt) Request-Shaping (bedingt)IP-Block vs Request-Block
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 15
SSL + TLS
● SSL + TLSAuthentizität der Verbindung Transport-Verschlüsselungganz oder garnichtHSTSSPDYPFS
● ContraPerformanceKompatibilitätmight break stuff
● Toolstestssl.shssllabs.com
SLAC Berlin, 13.03.2014 http://www.mare-system.de/slac 16
Fragen?