• Save
Invasão e proteção de servidores JBoss - FLISOL 2009
Upcoming SlideShare
Loading in...5
×
 

Invasão e proteção de servidores JBoss - FLISOL 2009

on

  • 3,309 views

 

Statistics

Views

Total Views
3,309
Views on SlideShare
3,298
Embed Views
11

Actions

Likes
3
Downloads
19
Comments
1

2 Embeds 11

http://www.linkedin.com 9
http://www.lmodules.com 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
  • Um bom material que explica passo a passo as questões que talvez tenham sido discutidas nesta apresentação está publicado num artigo que escrevi em http://blog.paulojeronimo.info/2009/05/hackeando-o-jboss-as.html
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Invasão e proteção de servidores JBoss - FLISOL 2009 Invasão e proteção de servidores JBoss - FLISOL 2009 Presentation Transcript

  • Invasão e proteção de Servidores JBoss Paulo Renato Security Specialist & GNU/Linux LPIC -1 | LPIC – 2 w w w .3w .com.br ay
  • Apresentação Paulo Renato Lopes Seixas - Especialista em projetos de redes corporativas e ambientes para consolidação da virtualização; - Graduado em Sistemas de Informação pela Universidade Estadual de Goiás; - Implementação de soluções para reduções de custos em TI, projetos de Redes e Treinamentos especializados utilizando Software Livre, tais como GNU/Linux para Segurança de Redes como Firewall, Pen-Test e Segurança de redes baseado na norma ISO 27002 (antiga ISO/IEC 17799); - Gerente de Redes; - Certificado LPIC-2 (Linux Professional Institute Nível 2); w w w .3w .com.br ay
  • Invasão Vs Proteção w w w .3w .com.br ay
  • O que é o JBoss? • Jboss Application Server (Jboss AS) • É um servidor de aplicação Java w w w .3w .com.br ay
  • O que é um servidor de aplicação ? » É uma plataforma que coordena todas as atividades e serviços da infra estrutura da minha aplicação. É uma plataforma de integração que provê: • Um contêiner para aplicações; • Serviços para aplicações que necessitam de realizar deploy no servidor; • Uma interface padrão para comunicação com outros serviços; • Integrar múltiplos serviços no servidor de aplicação; w w w .3w .com.br ay
  • Qual é o papel do Sys Admin JBoss ? » Configuração, monitoramento e tuning do Servidor de Aplicação » Vários protocolos de acesso (HTTP, HTTPS, AJP, JRMP) • Serviços de Segurança no Servidor de Aplicação (autenticação e autorização), monitorar a performance, varias configurações de tuning. » Configuração de integração back-end. Configuração de conexão pool e tuning para banco de dados, LDAP e outras informações de sistema. w w w .3w .com.br ay
  • Estrutura do AS JBoss w w w .3w .com.br ay
  • Hacking the JBoss .... » Palavras chaves: Mbeans, JMX-Console, Web-console, jboss.admin, jboss.deployment * ScanEnabled=True (Hot-deployment) , ● ScanPeriod » Google hacking URLList, inurl:"8080/jmx-console" ● void addurl(), intitle:"MBean Inspector" ● void removeurl() +site:com ● void scan() » DeploymentScanner w w w .3w .com.br ay
  • Protegendo o JBoss » DS conf/login-config.xml * Autenticação deploy/management/console- mgr.sar/web-console/WEB- INF/classes conf/propos (jmx-console) Jboss-web.xml,roles.properties, users.properties w w w .3w .com.br ay
  • Protegendo o JBoss • Habilitar domínio de segurança deploy/management/console-mgr.sar/web- console/WEB-INF/jboss-web.xml /deploy/jmx-console.war/WEB-INF/jboss-web.xml Por último, habilitar elementos de security servlet . * /deploy/management/console- mgr.sar/web-console/WEB- INF/web.xml * /deploy/jmx-console.war/WEB- INF/web.xml w w w .3w .com.br ay
  • Protegendo o JBoss » Palavras chaves: Jboss- web.xml,roles.properties, users.properties ● Autentição em modo texto ● LDAP w w w .3w .com.br ay
  • Vulnerabilidades Onde você mesmo imagina existirá um ..... Acredite: Você pode ser o próximo !!! w w w .3w .com.br ay
  • Invasão e proteção de Servidores JBoss Dúvidas ??? w w w .3w .com.br ay
  • Conclusão Em vez de adotar a frase: “Já está bom”, adote esta : “O bom é inimigo do ótimo” Não é possível ter 100% de segurança, mas devemos assegurar o máximo que pudermos ! w w w .3w .com.br ay
  • Invasão e proteção de Servidores JBoss Contato Profissional: www.3way.com.br paulorenato@3way.com.br • Obrigado !!! • Contato Pessoal • blog.netsolution.eti.br • paulorenato@netsolution.eti.br w w w .3w .com.br ay •