SlideShare a Scribd company logo

Odpoledne se Seznamem II - Provozní bezpečnost

Download as PPTX, PDF
C
chaplin06
1 of 19
Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
www.seznam.cz
www.seznam.cz
Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
DoS – 03/2013 www.seznam.cz
DDoS 03/2013 www.seznam.cz
Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
www.seznam.cz
Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz
Děkuji za pozornost Štefan Šafár, stefan.safar@firma.seznam.cz www.seznam.cz

Recommended

MicroPython IoT vlaxa
MicroPython IoT vlaxaMicroPython IoT vlaxa
MicroPython IoT vlaxa
Vladan Laxa
 
Cheat sheet python_vlaxa
Cheat sheet python_vlaxaCheat sheet python_vlaxa
Cheat sheet python_vlaxa
Vladan Laxa
 
Nejčastější webové zranitelnosti
Nejčastější webové zranitelnostiNejčastější webové zranitelnosti
Nejčastější webové zranitelnosti
cCuMiNn
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
MarketingArrowECS_CZ
 
Trendy a nové možnosti test automation
Trendy a nové možnosti test automationTrendy a nové možnosti test automation
Trendy a nové možnosti test automation
Ondřej Machulda
 
Zonky QA Meetup
Zonky QA MeetupZonky QA Meetup
Zonky QA Meetup
damovsky
 
Product API in MallGroup
Product API in MallGroupProduct API in MallGroup
Product API in MallGroup
Jan Blaško
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konference
Vladimír Smitka
 

Recommended

MicroPython IoT vlaxa
MicroPython IoT vlaxaMicroPython IoT vlaxa
MicroPython IoT vlaxa
Vladan Laxa
 
Cheat sheet python_vlaxa
Cheat sheet python_vlaxaCheat sheet python_vlaxa
Cheat sheet python_vlaxa
Vladan Laxa
 
Nejčastější webové zranitelnosti
Nejčastější webové zranitelnostiNejčastější webové zranitelnosti
Nejčastější webové zranitelnosti
cCuMiNn
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
MarketingArrowECS_CZ
 
Trendy a nové možnosti test automation
Trendy a nové možnosti test automationTrendy a nové možnosti test automation
Trendy a nové možnosti test automation
Ondřej Machulda
 
Zonky QA Meetup
Zonky QA MeetupZonky QA Meetup
Zonky QA Meetup
damovsky
 
Product API in MallGroup
Product API in MallGroupProduct API in MallGroup
Product API in MallGroup
Jan Blaško
 
Bezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konferenceBezpečnost Wordpressu - 4. WP konference
Bezpečnost Wordpressu - 4. WP konference
Vladimír Smitka
 
vSphere automation workshop python
vSphere automation workshop pythonvSphere automation workshop python
vSphere automation workshop python
Vladan Laxa
 
ORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM developmentORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM development
BrnoPHP
 
Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Pavel Růžička
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Vladimír Smitka
 
Výběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí clouduVýběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí cloudu
Jan Kodera
 
Asynchronně v PHP
Asynchronně v PHPAsynchronně v PHP
Asynchronně v PHP
Josef Kříž
 
Michal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživateleMichal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživatele
LTP-portal-cz
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitněJiří Mareš
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPress
Vladimír Smitka
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?
Radim Klaška
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
Michal ZOBEC
 
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Martin Cerveny
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Security Session
 
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Marek Kocan
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikTUESDAY Business Network
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
Tomas Moser
 
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOTMikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Adam Hořčica
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Péhápkaři
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devu
Vašek Purchart
 

More Related Content

Similar to Odpoledne se Seznamem II - Provozní bezpečnost

vSphere automation workshop python
vSphere automation workshop pythonvSphere automation workshop python
vSphere automation workshop python
Vladan Laxa
 
ORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM developmentORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM development
BrnoPHP
 
Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Pavel Růžička
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Vladimír Smitka
 
Výběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí clouduVýběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí cloudu
Jan Kodera
 
Asynchronně v PHP
Asynchronně v PHPAsynchronně v PHP
Asynchronně v PHP
Josef Kříž
 
Michal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživateleMichal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživatele
LTP-portal-cz
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitněJiří Mareš
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPress
Vladimír Smitka
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?
Radim Klaška
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
Michal ZOBEC
 
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Martin Cerveny
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Kuba Břečka
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Security Session
 
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Marek Kocan
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikTUESDAY Business Network
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
Tomas Moser
 
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOTMikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Adam Hořčica
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Péhápkaři
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devu
Vašek Purchart
 

Similar to Odpoledne se Seznamem II - Provozní bezpečnost (20)

vSphere automation workshop python
vSphere automation workshop pythonvSphere automation workshop python
vSphere automation workshop python
 
ORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM developmentORM Designer: Speed up your ORM development
ORM Designer: Speed up your ORM development
 
Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)Rich Internet Applications 2009 (Czech)
Rich Internet Applications 2009 (Czech)
 
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
Bezpečnost WP, tipy pro každého - wordCamp Praha 2015
 
Výběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí clouduVýběr vhodných technologii pro startup v prostředí cloudu
Výběr vhodných technologii pro startup v prostředí cloudu
 
Asynchronně v PHP
Asynchronně v PHPAsynchronně v PHP
Asynchronně v PHP
 
Michal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživateleMichal Konečný - Systém Archivematica z pohledu uživatele
Michal Konečný - Systém Archivematica z pohledu uživatele
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
 
Výkon WordPress
Výkon WordPressVýkon WordPress
Výkon WordPress
 
Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?Hacknutý Drupal web. A co teď?
Hacknutý Drupal web. A co teď?
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
 
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
Czech Oracle Solaris Administrators Day 2011 - Solaris Express (OpenSolaris)
 
Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]Dark Side of iOS [mDevCamp 2013]
Dark Side of iOS [mDevCamp 2013]
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
 
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí Flowmon – chytré řešení pro monitorování a bezpečnost sítí
Flowmon – chytré řešení pro monitorování a bezpečnost sítí
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
 
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
PSUG 2 - 2024-04-15: Proactive IT Monitoring & Dynamic Asset Management (Czech)
 
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOTMikro­kontrolér s Wi-Fi za $3! nejen pro IOT
Mikro­kontrolér s Wi-Fi za $3! nejen pro IOT
 
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
Vašek Purchart - Optimalizace Symfony na devu (2. sraz přátel Symfony v Praze)
 
Optimalizace Symfony na devu
Optimalizace Symfony na devu Optimalizace Symfony na devu
Optimalizace Symfony na devu
 

Odpoledne se Seznamem II - Provozní bezpečnost

  • 1. Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
  • 2. Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
  • 3. Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
  • 4. Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
  • 5. Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
  • 8. Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
  • 11. Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
  • 12. Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
  • 13. Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
  • 14. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
  • 15. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
  • 16. iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
  • 18. Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz
  • 19. Děkuji za pozornost Štefan Šafár, stefan.safar@firma.seznam.cz www.seznam.cz