Γιώργος Σπηλιώτης IT Consultant



Σχετικά έγγραφα
Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές

Τείχος Προστασίας Εφαρμογών Διαδικτύου

Ενότητα 1: HTTP, Clients και Servers. (Web, το θεμέλιο του Σημασιολογικού Ιστού)

Web Application Firewall

Web and HTTP. Βασικά Συστατικά: Web Server Web Browser HTTP Protocol

Τεχνολογίες Ανάπτυξης Εφαρμογών στο WEB

CVE the SSL Heartbleed bug. SSL Renegotiation Attack

Τεχνολογίες ιαδικτύου

Διάλεξη 7 η - Networks

ΔΙΚΤΥΑ. Διδάσκοντες: Π. Αγγελάτος, Δ. Ζήνδρος Επιμέλεια διαφανειών: Π. Αγγελάτος Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών

ΠΡΟΣΟΧΗ: Οι απαντήσεις πολλαπλής επιλογής µόνο πάνω στο ΦΥΛΛΟ ΑΠΑΝΤΗΣΕΩΝ

Εργαστήριο 3. Εγκατάσταση LAMP Stack στο AWS

wget --post-file meme.jpg :9646

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Προγραμματισμός Ιστοσελίδων (Web Design)

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) ADVANCED σχεδιασμός ιστοσελίδας ΕΚΔΟΣΗ 1.0. Σόλωνος 108,Τηλ Φαξ

Βασικές Έννοιες Web Εφαρμογών

Τεχνολογίες Διαδικτύου

Δίκτυα Υπολογιστών Επίπεδο Εφαρμογής Ιωάννης Κορίνθιος Δρ. Ηλεκτρολόγος Μηχανικός ΕΜΠ

ΕΡΓΑΣΤΗΡΙΑΚΗ ΑΣΚΗΣΗ #3 Στρώµα ικτύου:ip Πρωτόκολλο και Πρωτόκολλα ροµολόγησης

Κεφάλαιο 13. Έλεγχος πρόσβασης με Firewall

Δίκτυα Υπολογιστών ΙΙ (Ασκήσεις Πράξης)

2. Ασφάλεια Web Εφαρμογών 3. Αντιμετώπιση επιθέσεων τύπου Denial- of- Service (DoS & DDoS)

Ρυθµ θ ίσ ί ε σ ις ς e-mai a l i dsp s ei e ra r i a a.gr g

Ιόνιο Πανεπιστήµιο. ίκτυα Η/Υ. Επίπεδο Εφαρµογής. Ενότητα Θ. Υπηρεσίες Internet. ρ. Ε. Μάγκος

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ BOTNETS. Τεχνικές ανίχνευσης και απόκρυψης. Ασημάκης Σιδηρόπουλος. Επιβλέπων: Καθηγητής Γεώργιος Πολύζος

Connected Threat Defense

Τεχνολογίες Διαδικτύου. Server Side Scripting I PHP

Έξυπνες τεχνικές firewalling & traffic shaping Topaloudis Michail mojiro.com

Injection Attacks. Protocol Host FilePath. field1=valuex&field2=valuey. Query String. Web server HTTP GET.

Εργαστήριο ικτύων Υπολογιστών 6η ιάλεξη: Ασφάλεια δικτύων

ΘΕΜΑ ΠΤΥΧΙΑΚΗΣ : ΜΗΧΑΝΙΣΜΟΙ ΣΥΛΛΟΓΗΣ ΣΤΟΙΧΕΙΩΝ ΣΤΟ ΔΙΑΔΥΚΤΙΟ (COOKIES)

WEB SECURITY. Διαφάνειες: Δημήτρης Καρακώστας Διονύσης Ζήνδρος. Εθνικό Μετσόβιο Πολυτεχνείο Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΔΙΟΙΚΗΤΙΚΗΣ ΕΠΙΣΤΗΜΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ. Τεχνολογίες και Εφαρμογές Διαδικτύου

16REQ

Ρυθμίσεις εγκατάστασης ονόματος χώρου σε πίνακα ελέγχου plesk

α) η καταγραφή και η σύλληψη της δικτυακής κίνησης (capture) και β) η ανάλυση της δικτυακής κίνησης.

Εργαστηριακή Άσκηση 1 Δικτύωση στα Microsoft Windows Wireshark: Αναλυτής Πρωτοκόλλων

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΛΑΜΑΤΑΣ (ΠΑΡΑΡΤΗΜΑ ΣΠΑΡΤΗΣ) ΤΜΗΜΑ ΤΕΧΝΟΛΟΓΙΑΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Θέματα Προγραμματισμού Διαδικτύου Εισαγωγή - Πρωτόκολλα

Μηχανή αναζήτησης βασισμένη σε AJAX και Soundex. Πτυχιακή Εργασία

Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή Πιστοποίησης Χρηστών (Radius Server)

Ασφάλεια Πληροφοριακών Συστημάτων

Εργαλεία ανάπτυξης εφαρμογών internet Ι

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

Connected Threat Defense

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΙΟΙΚΗΤΙΚΗΣ ΕΠΙΣΤΗΜΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ. Ηλεκτρονικό Εμπόριο

ΗY335: Δίκτυα Υπολογιστών Χειμερινό Εξάμηνο Τμήμα Επιστήμης Υπολογιστών Πανεπιστήμιο Κρήτης Διδάσκουσα: Μαρία Παπαδοπούλη

Εργαστηριακή Άσκηση 1 Δικτύωση στα Microsoft Windows Wireshark: Αναλυτής Πρωτοκόλλων

Για το μέρος αυτό της άσκησης θα υλοποιήσετε μια εφαρμογή κελύφους η οποία θα χρησιμοποιείται ως εξής:

Επίπεδο δικτύου IP Forwading κτλ

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

του Φυλ ΚΟΡΥΜΒΟΣ Α.Ε. TALENT

Voice over IP: Απειλές, Ευπάθειες και Αντίµετρα

Υπολογιστές και ίκτυα Η/Υ.

Διαβούλευση για την ηλεκτρονική υποβολή αποδείξεων

ΟΔΗΓΟΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ ΑΣΦΑΛΕΙΑΣ WEBMAIL ΤΕΙ ΚΑΛΑΜΑΤΑΣ

Το πρωτόκολλο HTTP 1

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) ADVANCED διαχείριση επικοινωνιακών συστημάτων ΕΚΔΟΣΗ 1.0. Σόλωνος 108,Τηλ Φαξ

DDoS (Denial of Service Attacks)

Οδηγός ανάγνωσης αποστολής

Υλοποίηση Δικτυακών Υποδομών και Υπηρεσιών: Εξυπηρετητής Apache

Παρακολούθηση υπηρεσιών Cloud μέσω IDS

«ΠΡΟΓΡΑΜΜΑ ΑΝΑΠΤΥΞΗΣ ΤΗΣ ΒΙΟΜΗΧΑΝΙΚΗΣ ΕΡΕΥΝΑΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΣΕ ΝΕΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ (ΠΑΒΕΤ-ΝΕ-2004)»

Επίπεδο Μεταφοράς. (ανεβαίνουμε προς τα πάνω) Εργαστήριο Δικτύων Υπολογιστών Τμήμα Μηχανικών Η/Υ και Πληροφορικής

Στρατηγικές Ασφάλειας

Προγραμματισμός και Συστήματα στον Παγκόσμιο Ιστό Ενότητα 1: Εισαγωγή. Καθ. Ιωάννης Γαροφαλάκης Πολυτεχνική Σχολή Μηχανικών Η/Υ & Πληροφορικής

Cloud Computing with Google and Microsoft. Despoina Trikomitou Andreas Diavastos Class: EPL425

Κεφάλαιο 2. Πηγές δεδομένων του Honeynet

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

ΤΜΗΜΑ ΕΚΠΑΙΔΕΥΤΙΚΗΣ ΥΠΟΛΟΓΙΣΤΙΚΗΣ ΥΠΟΔΟΜΗΣ ΜΗΧΑΝΟΓΡΑΦΙΚΟ ΚΕΝΤΡΟ

ΚΕΦΑΛΑΙΟ 3 ICMP Echo Spoofing

Κρυπτογραφία: POODLE, BREACH

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

Ασφάλεια Υπολογιστών Και Δικτύων. Προσομοίωση επίθεσης σε ευπαθές σε SQL Injection σύστημα και απόκτηση κονσόλας διαχειριστή

ΕΒΔΟΜΑΔΙΑΙΟΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΠΡΟΜΗΘΕΙΩΝ ΓΕΝ/Α4

Τι είναι το Cloud; Είναι κάτι διαφορετικό ανάλογα ποιος το βλέπει. Administrator Technical Salesman MarkeHng Boss User

Περί δικτύων. Δρ. Ματθαίος Πατρινόπουλος

Φορολογική Βιβλιοθήκη. Θανάσης Φώτης Προγραμματιστής Εφαρμογών

Openshift. Βασίλειος Καραβασίλης Μονάδα Αριστείας ΕΛΛΑΚ ΕΤΕΠΗ 16/07/2014

Ασφάλεια με ανοιχτό λογισμικό / φιλοσοφία και εφαρμογές. Μαμαλάκης Γιώργος Ευστρατίου Παναγιώτης Καραμήτας Χαρίτων

ΣΥΝΔΕΣΗ ΚΑΤΑΓΡΑΦΙΚΟΥ ΣΤΟ INTERNET

Πρόβλεμα Online Gaming με modem Thomson και Speedtouch

Εισαγωγή στους Υπολογιστές

Υπηρεσίες Πανελληνίου Σχολικού Δικτύου 16 - Φιλοξενία Ιστοσελίδων

Snort. A multi-mode packet analysis tool 3-1. Ασφάλεια Δικτύων, Τμήμα Πληροφορικής, Ο.Π.Α.,

Ηλεκτρονικό Εμπόριο. Κωδικός Πακέτου ACTA - CEC 010 Certified E-Commerce Consultant Τίτλος Πακέτου

ΔΝΓΔΙΚΣΙΚΔ ΑΠΑΝΣΗΔΙ 3 εο ΓΡΑΠΣΗ ΔΡΓΑΙΑ

Κρυπτογραφία: HTTPS και web κρυπτογραφία

ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ

Εξοικείωση με τις εντολές ipconfig και ping

Το πρωτόκολλο ΗΤΤΡ (HyperText Transfer Protocol)

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Client server Peer-to-peer (Οµότιµα ίκτυα)

ΤΜΗΜΑ ΤΗΛΕΠΛΗΡΟΦΟΡΙΚΗΣ Κ ΔΙΟΙΚΗΣΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΣΠΟΥΔΑΣΤΗ ΠΑΠΑΓΙΑΝΝΟΥΛΗ ΒΑΣΙΛΕΙΟΥ

ΑΣΦΑΛΕΙΑ ΣΤΟ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ LINUX

PROXY SERVER. Άριστη πύλη διαχωρισμού μεταξύ του εσωτερικού δικτύου και του Internet.

ΚΕΦΑΛΑΙΟ 4. Τεχνική Ανίχνευσης του. Πτυχιακή Εργασία Σελίδα 95

Αν Ναι, δείτε πως με το λογισμικό axes μπορείτε!

Transcript:

Γιώργος Σπηλιώτης IT Consultant

Έκτακτη Είδηση! HEARTBleed OpenSSL v.1.0.1 έως v.1.0.1f Apache & Nginx περίπου 60% των sites Ζητάμε echo 64bytes για Block 1 byte Λάθος κατά το implementation του echo Τι δεδομένα μπορούμε να ανακτήσουμε; Private Keys Unencrypted requests Ελέγξτε πρώτα το site με την υπηρεσία της Qualys SSL labs Αλλάξτε passwords ΤΩΡΑ!

WAF - Τι είναι; Firewall σε επίπεδο 7 (layer 7). «Καταλαβαίνει» το πρωτόκολλο της εφαρμογής (http). Προσπαθεί να εντοπίσει επιθέσεις στο επίπεδο του πρωτοκόλλου HTTP: Λάθη στην εκτέλεση του πρωτοκόλλου (protocol anomalies). Obfuscated arguments: Base64 encoded SQL injections XSS attacks Γνωστά trojan Known Application misconfigurations Μεταβολή εξερχόμενων errors

WAF Σε ποιους απευθύνεται Σε οποιονδήποτε προβάλει ένα internetfacing application: Webmail. Εταιρικές σελίδες. Cloud applications. Forum. Web hosting. Σε όσους θέλουν να καταλάβουν/ αναλύσουν ενδεχόμενα attacks: Honeypots. Real-time blocking. Blacklist notifications.

Μα έχω καλό firewall! Layer 3 & 4 μόνο. IPs & ports. Statefull firewall το πολύ μέχρι το επίπεδο transport. Attack layer

(D)DOS επιπέδου 7 Σκοπός: να εξαντλήσει τους πόρους εξυπηρέτησης του συστήματος (π.χ. Web Servers) Χωρίς την ανάγκη botnet ή amplification attack, λιγότερα connections low bandwidth/high efficiency Δύσκολο να εντοπιστεί η επίθεση (φυσιολογικά connections) higher obscurity

Με εμένα θα ασχοληθούν; Αύξηση κατά 43% ετησίως των Layer 7 επιθέσεων. Πολύ εξειδικευμένες επιθέσεις. Προσπερνούν εύκολα τα firewall/ids. Με χαμηλά resources πετυχαίνουν το μέγιστο αποτέλεσμα. Δύσκολος ο εντοπισμός άρα μπορούν να είναι ενεργές για πολλές ώρες/μέρες.

Slowloris: Normal request GET /docs/walkme/settings.txt?callback=fixedcallback&_=1393170097705 HTTP/1.1 Host: www.example.com Connection: keep-alive Cache-Control: max-age=0 Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36 Referer: https://www.example.com/frameset.phtml?.sess=ooytr87hhcwhomvmknj4-mchjyy. Accept-Encoding: gzip,deflate,sdch Accept-Language: en-us,en;q=0.8 Cookie: timestamp=oeu9840008804r0.21094444304705; id=vyfjzpzmu5h7tk4krwgual%3a2013

Slowloris: Slow request GET /docs/walkme/settings.txt?callback=fixedcallback&_=1393170097705 HTTP/1.1 Host: www.example.com Connection: keep-alive Cache-Control: max-age=0 Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36 Referer: https://www.example.com/frameset.phtml?.sess=ooytr87hhcwhomvmknj4-mchjyy. Accept-Encoding: gzip,deflate,sdch Accept-Language: en-us,en;q=0.8 Cookie: timestamp=oeu9840008804r0.21094444304705; id=vyfjzpzmu5h7tk4krwgual%3a2013 SlowHeader: 123..

Slowloris: mitigation HTTP timeout: header completion (IIS) Περιορισμός των ταυτόχρονων συνδέσεων ανά IP Περιορισμός των διαδοχικών requests ανά IP mod_security directive (>= v2.5.13) SecReadStateLimit 5

HTTP POST DDOS attack Εκμεταλλευόμαστε ότι το POST request έχει Content-Length (δηλαδή «σώμα»). POST request πριν το authentication: Login prompt. Registration form (forum). Δημοσκοπήσεις (poll). Page/Site settings.

Slow POST: Πως γίνεται POST /cgi/login.cgi HTTP/1.1 Host: www.example.com Connection: keep-alive Cache-Control: max-age=0 Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.117 Safari/537.36 Content-Length: 10000 &System_ID=123456. &Account_ID=1234567. &password=123456789....

HTTP POST DDOS attack Αν κάνουμε enforce timeout με βάση το content-length πόσο θα ήταν αυτό; Οι mobile users δεν έχουν πάντα μεγάλο bandwidth. HTTP/1.1 & chunked-encoding = άγνωστο Content Length. Περιορισμοί με βάση το IP; Ανάλυση κάθε δυνατού POST της εφαρμογής και του μέγιστου χρόνου (speed floor);

HTTP POST DDOS attack Ονομάζεται και RUDY attack (από το όνομα του script: R-U-Dead-Yet) Έτοιμο script https://code.google.com/p/slowhttptest/ IIS 7 >20.000 connections ανεξάρτητα από το hardware [rapid fail protection sandbox] Apache >10.000 connections [default config]

Slow HTTP POST: mitigation Mod_security: SecWriteStateLimit Apache + mod_security: mod_reqtimeout: RequestReadTimeout header=30, body=30 mod_security: SecRule RESPONSE_STATUS "@streq 408" \ "phase:5,t:none,nolog,pass, \ setvar:ip.slow_dos_counter=+1,expirevar:ip.slow_dos_cou nter=60" SecRule IP:SLOW_DOS_COUNTER "@gt 5" \ "phase:1,t:none,log,drop, \ msg:'client Connection Dropped due to high # of slow DoS alerts'"

Συμπεράσματα Χρήση Web Application Firewall. Καλή γνώση του WAF & fast response. Μεγάλη ορατότητα της δικτυακής κίνησης και εργαλεία ανάλυσης. Όχι σε plug, play & forget λύσεις της αγοράς. Χρήση CDN όπου είναι δυνατόν. DNS switching με ελάχιστο χρόνο propagation (< 5mins). DarkIPs για διαχωρισμό των IP της φυσιολογικής κίνησης.