Sigurnost web aplikacija / web

servisa

Tihomir.Katic@verso.hr
Boris.Senker@verso.hr
Agenda

» Stanje u svijetu i Hrvatskoj

» Izvori i tipovi napada
» Web ranjivosti
» Metode zaštite
» Pregled alata
Stanje u svijetu

» 20-30 mlr. indeksiranih web stranica

» Web glavno bojište
› Porast broja web poslovnih aplikacija
› Trojanci
› Ranjivosti web preglednika
› Jednostavnost napada
› HTTP najizloženiji servis (portovi 80, 443)
› 78% napada - web tehnologije (www.cenzic.com,
2009)
Stanje u svijetu

Porast Symantecovih antivirusnih definicija, Izvor: Symantec, 2009.

Stanje u Hrvatskoj

» Nekoliko hackerskih skupina

› Mijenjanje sadržaja web stranica
› Onemogućavanje pristupa - DDoS
~ Index.hr, Monitor.hr

» Napadi se ne prijavljuju
› Jedino ih napadači prijavljuju
Stanje u Hrvatskoj
» Domaća “hack” scena
› uglavnom “početnici”
» Prvo organiziranije djelovanje
› prosinac 2004. “rat” sa Srbijom
Sigurnosni zahtjevi web aplikacija

» Autentikacija
» Autorizacija
» Povjerljivost
» Integritet podataka
» Dostupnost
Izvori napada

» Lokalni korisnici
› Povećanje ovlasti, osveta,
znatiželja,...
» Udaljeni korisnici
› Profit, zabava, natjecanje,
politički motivirani, ideološki
motivirani, “učenje”, dr.
Tipovi napada

» Neovlaštena promjena sadržaja (eng. deface)

» Neovlaštena autentikacija / pristup resursima
» Phishing
» Pharming
» SQL injection
» DoS, DDoS
» XS napadi
» Pregledavanje direktorija / datoteka
Tipovi napada

Udio napada (2009 g.)

Izvor: www.cenzic.com
Izvori ranjivosti

» Mrežna konfiguracija
» Operacijski sustav
» Korišteni web poslužitelj i moduli
» Web preglednici
» Web aplikacije
» Neoprezni korisnici
Metode zaštite

» Redovita nadogradnja zakrpama

» Mrežne i aplikacijske komponente zaštite
» Primjenjivanje sigurnosnih politika
» Kontrola programskog koda
» Testiranja sigurnosti
› Skeniranje ranjivosti
› Penetracijska testiranja
› Procjena sigurnosti
Pregled alata za zaštitu Web
aplikacija i servisa
Cisco IPS

» Intrusion Prevention uređaj

› aktivno ili pasivno nadzire promet
» Dolazi sa više od 4,000 signature-a
› SQL Injection
› Directory Traversal
› Cross Site Scripting
› Failed Authentication Attempt
› ...
» Visoka propusnost (300 Mbps do 4 Gbps)
» Integracija s ostalim mrežnim uređajima (ASA-e, usmjerivači),
blokiranje napadača
» Centralizirana konfiguracija i nadzor
Cisco IPS Product Portfolio
 Cisco IPS Product Portfolio
IPS Security Services Module (AIP SSM)
• Provides full-featured IPS and IDS services
for protection of critical network assets
• Available in two models: SSM-10 and SSM-20
• Delivers up to 450 Mbps of IPS throughput
• Has thumbscrews for easy insertion/removal
• 10/100/1000 out-of-band management port
• Supported on ASA 5510, 5520, and 5540
Cisco Traffic Anomaly Detector
Cisco Anomaly Guard
» Zaštita od DDoS napada za service provider-e i
velika poduzeća
» “Behavioral Analysys”
› promatranjem prometa utvrđuje njegove
karakteristike
› prilikom pojave anomalije aktivira se zaštita (Guard)
› filtrira i odbacuje zlonamjerni promet, regularni vraća
u mrežu
 Cisco Traffic Anomaly Detector
Cisco Anomaly Guard
Sumnjiv promet!

Preusmjeravanje OK

Internet SP mreža Korisnik

Cisco
Cisco Traffic
Anomaly
Anomaly Detector
Guard
Zaštita korisnika Web servisa
Blue Coat Proxy SG
» Blue Coat Proxy SG serija uređaja (SG 200, 510, 810, 8100)
› Web proxy
~ Presretanje HTTP, HTTPS (forward and reverse), FTP, MAPI, Telnet,
Socks, P2P, IM (AOL, Yahoo, MSN), MMS & RTSP, QuickTime,
Caching prometa
› Content Security
~ Kontrola P2P, file transfer i Webmail prometa
~ Pomaže da zloćudni kod ostane izvan, a intelektualno vlasništvo unutar
tvrtke
› Content Filtering
~ Integrirano URL filtriranje omogućava kontrolu pristupa Web sadržaju po
kategorijama (čak i ako je promet SSL kriptiran)
~ Podrška renomiranih vendora za URL filtriranje
› Web Virus Scanning
~ Integracija sa Blue Coat AV rješenjima ili 3rd Party AV rješenjima
korištenjem ICAP protokola
› Instant Messaging Control
~ upravljanje i bilježenje aktivnosti - AOL, MSN i Yahoo
Zaštita korisnika Web servisa
Cisco Ironport Web Security Appliance

» Cisco Ironport Web Security Appliances (S160,

360, 660)
› Web proxy
~ Presretanje HTTP, HTTPS, FTP protokola, Caching
prometa
~ Dozvoljava duboku analizu prometa što izuzetno
pogoduje otkrivanju malware-a
› Policy enforcement
~ Cisco Ironport Web Usage kontrola pruža zaštitu od
povrede politike korištenja web-a kroz kombinaciju URL-
filtriranja i dinamičku kategorizaciju odredišta
Zaštita korisnika Web servisa
Cisco Ironport Web Security Appliance
› Višeslojna te multi-vendor Malware zaštita
~ Integrirani nadzor svih portova i detekcija aplikacija koje koriste port 80
~ Web rReputation filtri daju efikasan vanjski sloj anti-malware zaštiti
analizirajući svaki zahtjev korisnika uspoređujući ga sa reputacijom odredišta
~ Cisco IronPort Anti-malware sistem omogućava više anti-malware
mehanizama istodobno na jednom uređaju
› Svestrana mogućnost izvještaja i upravljanja
~ Izvještaji o povredama politike pristupa, blokiranim i propuštenim
odredištima po korisniku i općenito
~ Mogućnost integracije sa LDAP ili ActiveDirectory daje mogućnost
višestruke authentikacije korisnika i kreiranje politike za pojedine grupe
korisnika
Provjera i certificiranje
sigurnosti Web servisa
Vulnerability Scanning

» Automatizirani postupak, alat tipa Nessus

› “Network Scanning”, “Port Scanning”
› Prikupljanje banner-a
› Automatizirana obrada prikupljenih informacija
› Neki alati pokušavaju iskoristiti ranjivosti (“exploit”)
» Izvještaj o potencijalnim ranjivostima
› Mogući “false positive”-i
Penetration Testing

» Mnogo šire ispitivanje od vulnerability scanning-

a
» Stručnjak se postavlja u ulogu “hackera”
» Pokušava naći način da iskoristi ranjivosti
uočene tijekom skeniranja
» Prednost: detaljniji testovi, pouzdaniji rezultati
» Rizik: moguć utjecaj na sustave
Certificiranje

» Certified Secure
(www.certifiedsecure.com)
» Međunarodni industrijski certifikat
» Pouzdana provjera sigurnosti vlastitih
javnih web servisa
» Odličan dokaz o sigurnosti za korisnike,
partnere, revizore...

» Testiranje i izdavanje certifikata u

Hrvatskoj – Mrežne tehnologije Verso