Your SlideShare is downloading. ×
Sichere Webarchitekturen in der Cloud
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Sichere Webarchitekturen in der Cloud

417
views

Published on

Die vielen Pressemeldungen über durch Hackerangriffe verlorene Daten machen es deutlich: Anbieter von Webapplikationen befinden sich im Fadenkreuz der Angreifer. Speziell wer kritische Daten …

Die vielen Pressemeldungen über durch Hackerangriffe verlorene Daten machen es deutlich: Anbieter von Webapplikationen befinden sich im Fadenkreuz der Angreifer. Speziell wer kritische Daten bearbeitet, muss sich schützen, und dieser Schutz hört nicht beim Design der Software auf. Dieser Talk zeigt, wie man vom Kernel beginnend bis zur Kommunikation in der Cloud schon in der Architektur der Applikation dafür sorgt, dass die Angreifer sich lieber eine tiefer hängende Frucht als neues Ziel suchen.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
417
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. S!"#$r$ Ar"#!%$&%r CloudDonnerstag, 18. Oktober 12
  • 2. C()*-S$"r!%+Donnerstag, 18. Oktober 12
  • 3. C()*-S$"r!%+Donnerstag, 18. Oktober 12
  • 4. M,( -"&$. ...Donnerstag, 18. Oktober 12
  • 5. O)p/, *,/ /!.* 0, 2 M!((!).$. P,+1$.%*,%$. .* 10 M!((!).$. N2$r*,%$.Donnerstag, 18. Oktober 12
  • 6. W$r .2% Paypal?Donnerstag, 18. Oktober 12
  • 7. W$r z,#(% !1 I.%$r.$% 1!% /$!.$r Kreditkarte?Donnerstag, 18. Oktober 12
  • 8. P,3,(-A"").%: 8$Donnerstag, 18. Oktober 12
  • 9. Kr$*!%&,r%$ 1!% CVC2: 25$Donnerstag, 18. Oktober 12
  • 10. 90% ,(($r W$4!%$/ #,b$. S$"r!%+-Pr)b($1$Donnerstag, 18. Oktober 12
  • 11. 70% ,(($r S)5w,r$$.%w!"&(.- p,//!$r% !1 W$bDonnerstag, 18. Oktober 12
  • 12. 17 Millionen S)5w,r$-D$v$()p$rDonnerstag, 18. Oktober 12
  • 13. 102.000.000.000 L!.$/ )f C)*$/Y$,rDonnerstag, 18. Oktober 12
  • 14. 1 B- 1000 LOCDonnerstag, 18. Oktober 12
  • 15. 1% 6p()!%,b($Donnerstag, 18. Oktober 12
  • 16. 100.000 .$$ S$"r!%+-I//$/ pr) J,#rDonnerstag, 18. Oktober 12
  • 17. 100.000 .$$ S$"r!%+-I//$/ pr) J,#r Oops!Donnerstag, 18. Oktober 12
  • 18. 96% ,(($r A.-r!ff$ w,r$. .!"#% /$#r &)1p(8!$r%Donnerstag, 18. Oktober 12
  • 19. 85% ,(($r H,"&/ wr*$. $r/% .,"# 1$#r ,(/ $!.$r W)"#$ $.%*$"&%Donnerstag, 18. Oktober 12
  • 20. 92% wr*$. v). $!.$rDonnerstag, 18. Oktober 12 *r!%%$. P,r%$! $.%*$"&%
  • 21. 194$ S"#,*$. pr) R$")r* !1 M!%%$(.Donnerstag, 18. Oktober 12
  • 22. 1.920.000.000$Donnerstag, 18. Oktober 12
  • 23. FUD: "#$"& Tr)2*$1 -!b%/ z 90% ,"# b$! E"# S$"r!%+-Pr)b($1$.Donnerstag, 18. Oktober 12
  • 24. S!"#$r$ W$b,r"#!%$&%r$. WebTechCon 2012 C()* !."(*$*!Donnerstag, 18. Oktober 12
  • 25. H!, !"# b!. J)#,... I"# b!. Grü.*$r .* CTO v). M,+9)w$r. W!r 1,"#$. &)1p(8!$r%$ W$4!%$/.Donnerstag, 18. Oktober 12
  • 26. E!. .$$r Sp!$($r: die CloudDonnerstag, 18. Oktober 12
  • 27. C()* J$1,.* ,.*$r$/ %rä-% *!$ W,r%.-/&:%$.!Donnerstag, 18. Oktober 12
  • 28. C()* K$!.$ S+/%$1$ 1$#r !./%,((!$r$., $!.f,"# $!. I1,-$ ,f/$2$.!Donnerstag, 18. Oktober 12
  • 29. C()* M,( $b$. 12 z/ä2(!"#$ M,/"#!.$. #)"#f,#r$.Donnerstag, 18. Oktober 12
  • 30. C()* ... ,f B,/!/ $!.$/ D$f,(%- I1,-$/ 1!% $*!/%r!Donnerstag, 18. Oktober 12
  • 31. C()* ... -$&(!"&% & *r"#-$/%,r%$%!Donnerstag, 18. Oktober 12
  • 32. Admins G O A Y AWDonnerstag, 18. Oktober 12
  • 33. C()* Keine UpdatesDonnerstag, 18. Oktober 12
  • 34. C()* Kein DeinstallierenDonnerstag, 18. Oktober 12
  • 35. C()* Keine FirewallDonnerstag, 18. Oktober 12
  • 36. D,/ -$#% )& ... weil sich das AMI drum kümmert!Donnerstag, 18. Oktober 12
  • 37. C()* 98% ,(($r W!.*)w/-AMI/ /!.* 6p()!%,b($Donnerstag, 18. Oktober 12
  • 38. C()* 58% ,(($r L!.;-AMI/ /!.* 6p()!%,b($Donnerstag, 18. Oktober 12
  • 39. S%!11% *,/ *$.. ,"#?Donnerstag, 18. Oktober 12
  • 40. Pr)b!$r$. > S%*!$r$.Donnerstag, 18. Oktober 12
  • 41. H!p/%$r-S",.Donnerstag, 18. Oktober 12
  • 42. nmap -P0 -pr!,&, 1$1","#$, 1).-)*b, r$*!/,1337, 1$1b,/$, ",//,.*r,, .$)40 ... amazon-cloud H!p/%$r-S",.Donnerstag, 18. Oktober 12
  • 43. 20 Sekunden ... offene MongoDB, wenig Daten 40 Sekunden ... offener Admin BitNami-Image 70 Sekunden ... )ff$.$r M$1C,"#$ W))#)))! H!p/%$r-S",.Donnerstag, 18. Oktober 12
  • 44. )ff$.$r M$1C,"#$ E!. S)"!,( M$*!, S%,r%p ,/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B/!.$//- L)-!&-E.%!%ä%$..Donnerstag, 18. Oktober 12
  • 45. )ff$.$r M$1C,"#$ Facebook-Profile: - E-Mail - Freunde - Fanseiten ... E!. S)"!,( M$*!, S%,r%p ,/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B/!.$//- L)-!&-E.%!%ä%$..Donnerstag, 18. Oktober 12
  • 46. )ff$.$r M$1C,"#$ Kein Schutz PHP-Serialized Data Modifizierbar(!) E!. S)"!,( M$*!, S%,r%p ,/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B/!.$//- L)-!&-E.%!%ä%$..Donnerstag, 18. Oktober 12
  • 47. )ff$.$r M$1C,"#$ Logins mit Klartext-Passworten Personenbezogene Daten MySQL-Datenbank-Login E!. S)"!,( M$*!, S%,r%p ,/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B/!.$//- L)-!&-E.%!%ä%$..Donnerstag, 18. Oktober 12
  • 48. MySQL-Pr<+ ,(/ ManInTheMiddleDonnerstag, 18. Oktober 12
  • 49. )ff$.$r M$1C,"#$ 10.000.000 Nutzerdaten 1.000.000 Payment-Transaktionen E!. S)"!,( M$*!, S%,r%p ,/ *$. USA, $!.$ PHP- App(!&,%!). 1!% M$1","#$ ,(/ C,"#$ für B/!.$//- L)-!&-E.%!%ä%$. v)r *$r M+SQL-DB.Donnerstag, 18. Oktober 12
  • 50. Donnerstag, 18. Oktober 12
  • 51. 1996Donnerstag, 18. Oktober 12
  • 52. 2007Donnerstag, 18. Oktober 12
  • 53. 2012Donnerstag, 18. Oktober 12
  • 54. C()* /p,r% W,r%.-/&:%$.Donnerstag, 18. Oktober 12
  • 55. C()* ... ,b$r .!"#% b$! SecurityDonnerstag, 18. Oktober 12
  • 56. C()* SecurityDonnerstag, 18. Oktober 12
  • 57. Eigenes 1ImageDonnerstag, 18. Oktober 12
  • 58. 2UpdateseinspielenDonnerstag, 18. Oktober 12
  • 59. 3UnsinndeinstallierenDonnerstag, 18. Oktober 12
  • 60. 4FirewallkonfigurierenDonnerstag, 18. Oktober 12
  • 61. C(/%$r-S$%p/Donnerstag, 18. Oktober 12
  • 62. C(/%$r-S$%p/ VLAN hinter Amazon-LBDonnerstag, 18. Oktober 12
  • 63. C(/%$r-S$%p/ Eigenes VPN SSL-verschlüsseltDonnerstag, 18. Oktober 12
  • 64. C(/%$r-S$%p/ Firewalling für IPsDonnerstag, 18. Oktober 12
  • 65. C()* sexyDonnerstag, 18. Oktober 12
  • 66. Donnerstag, 18. Oktober 12
  • 67. Ppp$% & C#$f benutzen, und die Cloud wird wieder sexy.Donnerstag, 18. Oktober 12 DevOps
  • 68. Donnerstag, 18. Oktober 12
  • 69. Donnerstag, 18. Oktober 12
  • 70. OS Strip it B!.,r!$/ D!$./%$Donnerstag, 18. Oktober 12
  • 71. Firewall: Ports und IPs!Donnerstag, 18. Oktober 12
  • 72. (I"# 1,- *,/ w,/ 0$2% &)11%.)Donnerstag, 18. Oktober 12
  • 73. (!r-$.*w!$ .!$1,.* ,.*$r$/)Donnerstag, 18. Oktober 12
  • 74. (*,=q, $/ !/% %r)2*$1 -$!()Donnerstag, 18. Oktober 12
  • 75. K$r.$(b,/!$r%$ S!"#$r#$!%Mandantory Access Control: nur das erlauben, was tatsächlich gebraucht wirdDonnerstag, 18. Oktober 12
  • 76. L))&! I%‘/ $,/+! /var/log/myapp/app.log w AppAr1)r N) 1)r$ LFI!Donnerstag, 18. Oktober 12
  • 77. AppAr1)r 1 Applikation im Testlauf profilen 2 erwünschte Aktionen erlauben 3 im Betrieb auf diese limitierenDonnerstag, 18. Oktober 12
  • 78. 1)*_,pp,r1)r Profile nach Applikation Profile nach UrlDonnerstag, 18. Oktober 12
  • 79. root@precise64:/etc/apparmor.d# /etc/init.d/apache2 stop root@precise64:/etc/apparmor.d# aa-genprof /usr/sbin/apache2 Profiling: /usr/lib/apache2/mpm-prefork/apache2 ... [(S)can system log for AppArmor events] / (F)inish 8<------------------------ /etc/init.d/apache2 start 8<------------------------ Profile: /usr/lib/apache2/mpm-prefork/apache2 Capability: net_bind_service Severity: 8 [1 - #include <abstractions/nis>] 2 - capability net_bind_service [(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish *A*Donnerstag, 18. Oktober 12
  • 80. Profile: /usr/lib/apache2/mpm-prefork/apache2 Capability: setgid Severity: 9 [(A)llow] / (D)eny / Audi(t) / Abo(r)t / (F)inish *A* Profile: /usr/lib/apache2/mpm-prefork/apache2 Path: /etc/apache2/conf.d/charset Mode: r Severity: 3 1 - /etc/apache2/conf.d/charset [2 - /etc/apache2/conf.d/*] [(A)llow] / (D)eny / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts *G*Donnerstag, 18. Oktober 12
  • 81. # vi /etc/apparmor.d/usr.lib.apache2.mpm-prefork.apache2 /usr/lib/apache2/mpm-prefork/apache2 { #include <abstractions/apache2-common> #include <abstractions/base> #include <abstractions/nameservice> #include <abstractions/nis> #include <abstractions/php5> capability net_bind_service, capability setgid, ...Donnerstag, 18. Oktober 12
  • 82. SEL!.; Sorry, i am not smart enough. Go ask someone else.Donnerstag, 18. Oktober 12
  • 83. M+SQL mysql_secure_installationDonnerstag, 18. Oktober 12
  • 84. M+SQL Config-Files: skip-networking set-variable=local-infile=0 MySQl-Konfiguration: RENAME USER root TO new_user; GRANT ALL PRIVILEGES ON *.*Donnerstag, 18. Oktober 12
  • 85. If +) ,r$ ... Y) /#)(* /$ ... Old School mod_security New School Varnish Firewall Mitt Romney Kommerzielle Firewall W$b App(!",%!). F!r$w,((/Donnerstag, 18. Oktober 12
  • 86. V,r.!/# >r$w,(( .* 1)*_/$"r!%+ /!.* "))(, w$!( ... ★ sie nutzen die gleichen Rulesets ★ es gibt sehr viele davon ★ Quellen: zB OWASP https://github.com/SpiderLabs/owasp-modsecurity-crsDonnerstag, 18. Oktober 12
  • 87. In PHP implementiertes Intrusion Detection System analog zu mod_security I. *$r App(!&,%!). r$,-!$r$.Donnerstag, 18. Oktober 12
  • 88. 5 Steps to Cloud Age Security 1 Infrastruktur automatisieren 2 System strippen 3 Firewall konfigurieren 4 Applikation mit AppArmor profilen 5 Varnish Firewall vor der Applikation nutzenDonnerstag, 18. Oktober 12
  • 89. Just do it. E!.f,"# 1,"#$.!Donnerstag, 18. Oktober 12
  • 90. Just do it. O*$r ./ 1,"#$. (,//$. #,r%1,..@1,+9)w$r.*$Donnerstag, 18. Oktober 12
  • 91. D,.&$!Donnerstag, 18. Oktober 12
  • 92. D,.&$!Donnerstag, 18. Oktober 12
  • 93. Quellen:http://de.slideshare.net/saumilshah/2012-the-end-of-the-world http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdfhttp://securityevaluators.com/files/papers/0daymarket.pdfhttps://www.owasp.org/images/1/1c/ASDC12-State_of_Web_Security.pdfhttp://de.slideshare.net/guesta84549/hack-in-the-box-dubai-04172008https://conference.hitb.org/hitbsecconf2009kl/materials/D2T2%20-%20The%20Grugq%20and%20Fyodor%20Yarochkin%20-%20From%20Russia%20with%20Love%20dot%20EXE.pdfhttps://conference.hitb.org/hitbsecconf2012ams/materials/D2T1%20-%20Marco%20Balduzzi%20-%20SatanCloud.pdfDonnerstag, 18. Oktober 12

×