1Barracuda Networks Confidential1 Web Alkalmazások védelme hackerekkel és sérülékenységekkel szemben Barracuda Web Application Firewalls.

Slides:



Advertisements
Hasonló előadás
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Advertisements

TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
4/1/2015 Cloud computing Dr. Bakonyi Péter.. 4/1/2015Cloud computing 2 Cloud definició A cloud vagy felhő egy platform vagy infrastruktúra Az alkalmazások.
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
“Information volume is growing worldwide at a minimum rate of 59% annually with 15% of that data as structured data and the rest comprised of new complex.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
ADATSZERZÉS, INFORMÁCIÓ HASZNOSULÁS Biztonságtudatos vállalati kultúra Készítette: Jasenszky Nándor egyetemi szakoktató NKE NBI TEH tanszék.
T ű zvédelmi M ű szaki Irányelv Fire Protection Technical Guideline Azonosító: TvMI 6.1: Beépített t ű zoltó berendezések tervezése, telepítése.
A kártyanyomtatás fortélyai Csákvári Krisztián Kártya és címke gyártás
E-BANKING SUMMIT március 3. Biztonságos kommunikáció biztosítása a pénzintézetek és a hatóságok között Szabó Katalin Termékmenedzsment osztályvezető.
IBM Software Group ® Tartalomkezelés és egységes hozzáférés a vállalati adatvagyonhoz Kovács László IBM SWG.
Beruházási és finanszírozási döntések kölcsönhatásai 1.
Melyik agyféltekéje domináns? – teszt Pillantson a pörgő lányra! Merre forog? Az óramutató járásának megfelelően vagy azzal ellentétesen ?  Ha úgy.
1 Számítógép Hálózatok A hálózatok kialakulása, alapfogalmak Készítette: Csökmei István Péter ( CsIP ) Szegedi Tudományegyetem Természettudományi Kar levelező.
INTERNETES BÖNGÉSZ Ő K Készítette: Horváth Tünde.
JAX-RS: JAVA API FOR RESTFUL WEB SERVICES. REST ARCHITEKTÚRÁJÚ WEBSZOLGÁLTATÁSOK LÉTREHOZÁSÁRA HASZNÁLJUK. AZ 1.1-ES VERZIÓTÓL KEZDVE A JAX-RS HIVATALOS.
BINARIT TIMESHEET Több, mint munkaidő nyilvántartás Virág Zsolt (BINARIT Informatikai Kft.)„Hogyan legyek milliomos?” konferencia – BKIK ( )
A vállalatok marketingtevékenysége és a Magyar Marketing Szövetség megítélése Kutatási eredmények az MMSZ részére (2008. július)
GUARDING YOUR BUSINESS ■ Linux disztribúciók és FreeBSD az upstream szemszögéből Czanik Péter Community manager syslog-ng upstream.
BEST-INVEST Független Biztosításközvetítő Kft.. Összes biztosítási díjbevétel 2004 (600 Mrd Ft)
Work-based Learning in CVET Az ALFA KISOSZ Érdekvédő és Képző Egyesület szerepe a projekt megvalósításában Előadó: Czibula Zoltán igazgató ALFAKÉPZŐ.
Nagyméretű állományok küldése
11/2/2017 Horváth Botond, Dunaújvárosi Főiskola, Informatika Biztonság Labor Konzulens Dr. Leitold Ferenc, Hadarics Kálmán “Nemcsak azokkal a sebezhetőségekkel.
Az „első lépés” TÁMOP
Magasabb szintű switch-elési technológiák L3, L4 switching, policy
„Bank a felhőben, avagy a bárányfelhők hallgatnak”
WE PROVIDE SOLUTIONS.
Innováció a vezetési tanácsadásban
Alkalmazási réteg protokolljai
Bevezető az EndNote X6-ba
Az Európai Uniós csatlakozás könyvtári kihívásai
ResearcherID bemutatása
A dinamikus WEB alkalmazásának lehetőségei a mezőgazdaságban
Test Automation Kurzus Intro
Web technológia alapjai
CSOPORT - A minőségellenőrök egy megfelelő csoportja
Piaci kockázat tőkekövetelménye
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1
Az információs társadalom joga
ADAT ÉS TECHNOLÓGIA ORIENTÁLT MARKETING TEVÉKENYSÉG, VÉGE A MEGÉRZÉSEK ÉS AZ ÉRZELMI ALAPÚ DÖNTÉSHOZATALNAK.
A Hálózat és Az internet
Számítógépes Hálózatok
Számítógépes vírusok.
CONTROLLING ÉS TELJESÍTMÉNYMENEDZSMENT DEBRECENI EGYETEM
A nagyváradi villamosok megbízhatósági modellezése
Tájékoztató az Önkormányzati ASP Projektről
Túlfeszültség védelem a hálózaton
A villamos installáció problémái a tűzvédelem szempontjából
Dr. Varga Beatrix egy. docens
Környezeti Kontrolling
Készletek kezelése építőipari logisztikai feladatok során
TÁRGYI ESZKÖZÖK ELSZÁMOLÁSA
A Nation Library of Medicine és adatbázisai
Interaktív Adatmenedzsment Kft.
Publikációs stratégia Szakirodalmi forrásanyagok használata MTMT
Microsoft SQL licenselés a gyakorlatban
Adatbázisok használata
Az Ericsson Magyarország első negyedszázada
SQL jogosultság-kezelés
Dr. Vasas Lívia, PhD december
Microsoft eszközpályázat
A MEDLINE/PubMed JÖVŐJÉRŐL a szemantikus web tükrében
IT hálózat biztonság Összeállította: Huszár István
Áramlástan mérés beszámoló előadás
TELE-OPERATOR® UTS v.18 Mobil internet szolgáltatások hálózatsemlegességét ellenőrző mérőrendszer működése Gyártó: COMPU-CONSULT Kft. Ügyvezető: dr.
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
ALSONANA INTERNATIONAL FORUM
Három gyors kérdés Ki az aki minden szolgáltatásnál mindig teljesen külön jelszót használ? Ki az aki minden jelenleg használatos jelszaváról meg tudja.
Előadás másolata:

1Barracuda Networks Confidential1 Web Alkalmazások védelme hackerekkel és sérülékenységekkel szemben Barracuda Web Application Firewalls

2 Tartalom Szükség –Web alapú alkalmazások biztonsága –PCI megfelelőség Megoldás a Barracuda Networkstől –Termék paletta –Biztonsági funkciók –Forgalom menedzsment –Alkalmazási lehetőségek Barracuda Networks Confidential

3 Támadás: Defacement Defacement : Az eredeti web oldalt lecserélik valami teljesen másra. Barracuda Networks Confidential

4 Támadás Cross Site Scripting : Rosszindulatú scripteket helyeznek el az oldalon, ami akár felhasználói információkat lophat el vagy hamis oldalt jelenít meg. Például: Az ügyfél a hackernek adta meg banki adatait a bank helyett ! Barracuda Networks Confidential

5 Web Hacking: News IIS Apache 500,000 domains, including UN sites attacked (Mar 2008) Department of Homeland Security Web site hacked. Microsoft’s UK domain attacked by hackers. Displays child waving Saudi Arabia’s flag. 45 million credit/debit card numbers stolen at TJMaxx. Loss > 135M+ (Nov, 2007) 18 Million records stolen from Korean auction site Auction.co.kr using CSRF attack. (April 2008) Barack Obama’s site redirected by hackers to hillaryclinton.com. (April 2008) Brazilian banking site allows users to views receipts intended for others using session prediction. (Jan 2008) Hacker steals Social Security numbers from Ohio court site, by manipulating predictable identifier parameters. (Dec 2007) If its on the Web; it’s a good target Barracuda Networks Confidential

6 Keresési eredmény … Barracuda Networks Confidential 6 Több, mint találat ‘How to hack website’ !!

7 Mi a probléma eredete? Barracuda Networks Confidential 7 Confidential Data Customized Application Code Rushed to Production Written Before Security was a Priority A támadások 75%-a itt összpontosul (Gartner) A támadások 75%-a itt összpontosul (Gartner) Network Operating Systems Database Servers Operating Systems Application Servers Operating Systems Web Servers Network Firewall IDS IPS SQL Injection Parameter Tampering Cross-Site Scripting Other Attacks

8 IP address TCP port HTTP header Cookie URL Form data Denial of Service (DoS) Distributed DoS SYN flood Ping of death TCP session hijacking Packet fragmentation Web Applications A támadások abban az adatfolyamban vannak, amelyet át kell engedjenek! Port 80/443 traffic goes through Miért nem segítenek a hagyományos tűzfalak? Barracuda Networks Confidential

9 Következmény Üzemeltetésben Leállás Lecserélik a weblapot Spam link Adat szivárgás Web Applications Hírnév Értékesítés csökkenése Zsarolás Ügyfelek felé Személyes adatok elvesztése Adat szivárgás Worms / Malware Phishing Barracuda Networks Confidential

10 Megoldás: Layer 7 ( OSI ) Web Applications Port 80/443 átmegy Tűzfal a hálózati forgalmat blokkolja Barracuda Web Application Firewall A megoldás: Barracuda Web Application Firewall Értelmezi a web forgalmat Aktívan blokkolja a problémás kéréseket Láthatóvá teszi az alkalmazás szintű folyamatokat Véd az általános támadások ellen Enyhíti az illetéktelen hozzáférés kockázatát Gyorsítja az alkalmazást Barracuda Networks Confidential

11 Barracuda Web Application Firewall Product Line 11 Barracuda Web App Firewall 660 Barracuda Web App Firewall 460 Barracuda Web App Firewall Mbps 1-5 servers Barracuda Networks Confidential Barracuda Web App Firewall 860 Barracuda Web App Firewall Gbps Servers

12 Előnyök Biztonság Megfelelőség PCI HIPPA GLBA Terhelés elosztás Gyorsítás Felügyelet Barracuda Networks Confidential

13 Session Control TCP Session Termination SSL Termination HTTP Protocol Normalization & Compliance FTP Compliance HTTP Header Re-Write URL Translation URL Rate Control Security Assurance Application Cloaking AAA White List Forms Protection Cookie Protection Data Theft Protection Dynamic Learning SQL & OS CMD Injection XSS Attack Protection Custom Black List: REGEX Availability Assurance Caching GZIP Compression TCP Connection Pooling SSL Cryptographic Offload, Backend Encryption Layer 7 Content Switching Load Balancing Server & App Health Checking with Failover Users Web Applications TerminateSecureAccelerate Centralized Control Barracuda Networks Confidential

14 Barracuda Web Application Firewall Architecture Egy pontban védekezhetünk a kimenő és bejövő adatforgalom esetén Barracuda Networks Confidential

15 Biztonság: Elrejtés Támadó első feladata: Felmérni a hálózat gyengeségeit  Milyen web szervert, adatbázist, alkalmazást használnak?  Milyen verziót, hibajavításokat vagy ismert hibát tartalmaz? Az elrejtés / elfedés minden információt amit támadásokra lehetne használni elrejt. Hiba kódok, HTTP header, IP címek elrejtése Barracuda Networks Confidential

16 Biztonság: Inbound Web Applications Port 80/443 forgalom Protocol validation Cross Site Scripting protection SQL injection OS command injection Cross Site Request Forgery Cookie tampering protection enhancements Request Limits checks Enhanced URL / Parameter protection Brute force protection Session Tracking Response body rewrite Virus checks for file uploads URL Scan Trusted hosts Integrated XML firewall Barracuda Networks Confidential

17 Web szerverek védelme Web Applications Adat ellenőrzés Protokollok Karakter bevitel Adat méret Érvényes válaszok Paraméter típusok Felhasználók Barracuda Networks Confidential

18 Titkosított forgalom Web Applications Visszafejti az adatforgalmat mielőtt a biztonsági házirendet alkalmazná Barracuda Web Application Firewall átveszi az SSL forgalom titkosítását Mentesíti a szervert, hogy más feladatot is elláthasson Barracuda Networks Confidential

19 Tranzakciók biztonsága… Web Applications Cookie: Price=$1000 Cookie: Price=$1050 Meggátolja az alkalmazásnak szánt adatok megváltoztatását Cookie titkosítás Buy : Laptop $1000 $1050 Checkout : $10 Add : Cover Barracuda Networks Confidential

20 Automatizált támadások elleni védelem… Web Applications Kolátozott számú próbálkozást engedélyez egy helyről Kizárja a jelszó kitalálásával próbálkozó klienseket Bejövő kérések számának korlátozása Kolátozott számú próbálkozást engedélyez csak 3 probálkozás Barracuda Networks Confidential

21 Securing Web Services and XML data XML structure checks –Document Size –Recursive XML entities WS-I basic assertions SOAP Validation Enforce a XML Structure –WSDL –XML Schema

22 Web szerver válaszában is ellenőriz Web Applications  Bankkártya adatok  Személyi adatok  Egyedi sablonok Barracuda Networks Confidential

23 Hozzáférés ellenőrzés Authentication Authorization LDAP / RADIUS integration Single Sign On Local User Database Estore application Admin Portal Authentication / Authorization Administrator Customers LDAP / RADIUS Database Barracuda Networks Confidential

24 Top 10 threats … ThreatProtection Mechanism 1Un-validated InputLearns accepted application logic to validate incoming and outgoing session content for legitimate application behavior 2Broken Access ControlSets up and enforces authorization and access control policies to authenticate user access 3Broken Authentication and Session Management Automatically encrypts session cookies and assigns unique session-IDs to ensure secure user sessions 4Cross-Site Scripting (XSS) Attacks Validates user input by terminating session and inspecting incoming requests 5Buffer OverflowsRejects any file from in invalid Web page and limits total Web request length across applications 6Injection FlawsInspects each request to the Web application for malicious code and blocks the request prior to reaching 7Improper Error HandlingCloaks details of Web application infrastructure 8Insecure StorageFilters and intercepts outbound traffic and also blocks or masks attempts to access sensitive information. 9Application Denial of Service (DoS) Monitors and controls the amount of queries to the same URL from a single user and queues the requests while allowing legitimate Web site Access 10Insecure Configuration Management Acts as the DMZ to proxy inbound and outbound Web traffic to neutralize any configuration vulnerabilities Barracuda Networks Confidential

25 Hatékonyság és gyorsítás TCP Pooling – Több késér egyetlen kapcsolatba fogása SSL titkosítás átvállalása Internet Alkalmazások terheltségének vizsgálata Hibatűrés Barracuda Networks Confidential

26 Forgalom menedzsment Cache Image Server HR Server Partner Portal Content Switching Barracuda Networks Confidential

27 Gain visibility Dashboard of daily/hourly traffic Comprehensive logging –Web attacks –Access to the Web applications –Administrative changes Extensive reporting –View online –Schedule delivery via Export Logs –Syslog –FTP Barracuda Networks Confidential

28 Tipikus telepítés Barracuda Networks Confidential

29 Non-proxy WAFs expose server operating systems and TCP stacks directly to the Internet You need a proxy based WAF to: Web Address Translation – Non-proxies can not re-write URLs Cloaking – Non-proxies do not Cloak SSL – Non-proxies SSL is VERY slow Cookie security – Non-proxies do not protect against ID theft L7 Rate Control – Non-proxies do not protect against DoS Authentication and Authorization – Non-proxies can not do AAA Data Theft Protection – Non-proxies can not mask outbound data Response time acceleration – Non-proxies can not accelerate Proxy vs. Non-proxy: a fundamental difference in Security Capabilities Barracuda Networks Confidential

30 Application Developers Data Center Architects Operations Team Spend less time fretting over security. Spend more time developing new business logic. Compliance is delivered from the infrastructure, not the developers. Service the demands from the developers and auditors while assuring the applications are available and secure. Deliver the controls for application assurance. Enable a service-oriented dialog between developers and ops. Auditors & Regulators App Proxy Benefits the Whole Team Barracuda Networks Confidential

31 Achieve compliance PCI – DSS –Any entity who accepts credit cards or is a part of processing credit card transactions need to secure their applications HIPAA –Organizations that store or access patient data are required to secure their online applications dealing with such information GLBA –All third-party vendors and service providers that maintain, transact or process customer data are required to secure customer data from being leaked Barracuda Networks Confidential

32 PCI DSS: What is It? PCI DSS : Stands for Payment Card Industry Data Security Standard guidelines to help organizations prevent credit card fraud. Who needs to be compliant –Any merchant who accepts credit cards –Any merchant that plays any part in the processing of the credit card Why do they care –Credit card vendors will limit the liability support for the non-compliant merchant –Non-compliant merchants will either face monthly fines or be charged higher commissions on transactions Section 6.6 states all Web-facing applications need to be protected by either: –Custom code reviews by approved scanning vendor (ASV) –Web application firewalls Barracuda Networks Confidential

33 Nem lehetne csak úgy simán kijavítani a kódot? Minden1.000 sor kód 15 kritikus hibát tartalmaz (U.S. Dept. of Defense) Átlagos biztonsági hibának a detektálása 75 perc (5-year Pentagon Study) Átlagos alkalmazás 150, ,000 sor kódot tartalmaz (Software Magazine) Dilemma: Biztonság vagy funkcionalitás? / időre / EREDMÉNY 84 és 562 hét közé tehető a hibajavítás egy alkalmazás esetében, nem beszélve az újonan bekerülő hibákról Barracuda Networks Confidential

34 PCI Data Security Standard (PCI DSS) Merchant Level Credit Card Transaction per year 420K 320K – 1M 21M – 6M 16M+ Few thousands for Level 4 Stringency/Cost of compliance Security breach will result in a business requiring Level 1 compliance Barracuda Networks Confidential

35 PCI DSS és a Barracuda Web Application Firewall Barracuda Web Application Firewall kielégíti a PCI DSS követelményeit –Web alkalmazások számára egy biztonsági réteget képez –Web forgalmat proxy-ként átvezeti a web szerver számára –SSL titkosítást végez –Blokkolja a 10 legelterjedtebb támadási módszert –Monitoring, logolás, felügyelet –Gyorsan frissíti a támadások felismeréséért felelős adatbázisát Kártya kibocsátók és bank kártyás adatokkal dolgozó vállalatok számára elengedhetetlen Barracuda Networks Confidential

36 Barracuda’s Value Proposition Barracuda Web Application Controllers and Web Application Firewalls offer the easiest to use, best of the breed protection capabilities at the most affordable cost With more than devices deployed around the globe Barracuda has the advantage of viewing various trends in security as they emerge A dedicated security analysis team keeps track of all emerging threats to ensure security for all our customers. Energize updates and Instant Replacement programs provide our discerning customers with all support to ensure reliable functioning of their devices. Barracuda Networks Confidential

37 Additional info on Re-directing In the online demo go to Websites > Allow/Deny. Select the Edu service and click on the add button on the right hand side. The Create ACL pop up window appears this is where you would configure the Extended Match field based on the Header User-Agent co MSIE 7.0 as an example. URL ACL Name – IE Redirect Enable URL ACL – Yes Host Match – You can leave it as *. URL Match – Self explanatory Extended Match - Header User-Agent co MSIE 7.0 Extended Match Seq – 1 Action – Redirect Deny Response – NA Response Page – NA Redirect URL – This will be the URL that they want to redirect the IE user to. Based on any part of the request we can easily Allow, Deny, Process, or Re-Direct the request

38 Köszönöm