Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές

Σχετικά έγγραφα
Web Application Firewall

14PROC

16REQ

Τείχος Προστασίας Εφαρμογών Διαδικτύου

Γιώργος Σπηλιώτης IT Consultant

Ασφάλεια Πληροφοριακών Συστημάτων

«ΠΡΟΓΡΑΜΜΑ ΑΝΑΠΤΥΞΗΣ ΤΗΣ ΒΙΟΜΗΧΑΝΙΚΗΣ ΕΡΕΥΝΑΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΣΕ ΝΕΕΣ ΕΠΙΧΕΙΡΗΣΕΙΣ (ΠΑΒΕΤ-ΝΕ-2004)»

Επισκόπηση προβλημάτων ασφαλείας, απειλών και κακόβουλων επιθέσεων αντίμετρα hands on lab/training module

GDPR : Περιστατικά Παραβίασης Προσωπικών Δεδομένων 8 μήνες μετά

Φορολογική Βιβλιοθήκη. Θανάσης Φώτης Προγραμματιστής Εφαρμογών

Connected Threat Defense

Αντικείμενο της πρόσκλησης είναι η συλλογή προσφορών για προμήθεια router τύπου Peplink balance 580 με τα παρακάτω τεχνικά χαρακτηριστικά: Software

Β. Μάγκλαρης 30/11/2015

2. Ασφάλεια Web Εφαρμογών 3. Αντιμετώπιση επιθέσεων τύπου Denial- of- Service (DoS & DDoS)

Σύγχρονες Απειλές & Προστασία. Γιάννης Παυλίδης Presales & Tech Support Engineer

Έργο: ΥπΕΠΘ - Τεχνικός Σύμβουλος Υποέργο 17: «Υποστήριξη Συστημάτων Τεχνικής Στήριξης Σχολικών Εργαστηρίων»

Οι Σύγχρονες απειλές απαιτούν έξυπνη προστασία!

Connected Threat Defense

WEB SECURITY. Διαφάνειες: Δημήτρης Καρακώστας Διονύσης Ζήνδρος. Εθνικό Μετσόβιο Πολυτεχνείο Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών

Injection Attacks. Protocol Host FilePath. field1=valuex&field2=valuey. Query String. Web server HTTP GET.

Εργαστήριο ικτύων Υπολογιστών 6η ιάλεξη: Ασφάλεια δικτύων

Application Security. Dimitris Mitropoulos

Network Address Translation (NAT)

Μετάφραση: Καζακώνης Αναστάσιος ΙΟΥΝΙΟΣ 2005

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

ΜΕΤΑΠΤΥΧΙΑΚΗ ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Εγκατάσταση & Παραµετροποίηση Εξυπηρετητή Πιστοποίησης Χρηστών (Radius Server)

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

ΕΒΔΟΜΑΔΙΑΙΟΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΠΡΟΜΗΘΕΙΩΝ ΓΕΝ/Α4

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

Εισαγωγή στα Πληροφοριακά Συστήματα. Ενότητα 11: Αρχιτεκτονική Cloud

Affiliate Marketing. Σωτηρόπουλος Γιώργος Co-founder & Client Services Director

ΕΒΔΟΜΑΔΙΑΙΟΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΣ ΠΡΟΜΗΘΕΙΩΝ ΓΕΝ/Α4

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) ADVANCED σχεδιασμός ιστοσελίδας ΕΚΔΟΣΗ 1.0. Σόλωνος 108,Τηλ Φαξ

Σκοπιµότητα των firewalls

Πανεπιστήμιο Πειραιώς Τμήμα Πληροφορικής

Αν Ναι, δείτε πως με το λογισμικό axes μπορείτε!

ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΜΣ ΕΠΙΣΤΗΜΗΣ ΥΠΟΛΟΓΙΣΤΩΝ. Διπλωματική Εργασία Μεταπτυχιακού Διπλώματος Ειδίκευσης

Web and HTTP. Βασικά Συστατικά: Web Server Web Browser HTTP Protocol

Ασφάλεια με ανοιχτό λογισμικό / φιλοσοφία και εφαρμογές. Μαμαλάκης Γιώργος Ευστρατίου Παναγιώτης Καραμήτας Χαρίτων

ΤΕΧΝΙΚΕΣ ΕΠΙΘΕΣΗΣ (1/8)

Α.Μ.: 41/2018 ΤΕΧΝΙΚΗ ΕΚΘΕΣΗ

Β. Μάγκλαρης.

15PROC

Επισυνάπτονται: ΠΑΡΑΡΤΗΜΑ Α Γενικοί όροι πρόσκλησης εκδήλωσης ενδιαφέροντος (σελ. 2) ΠΑΡΑΡΤΗΜΑ Β Τεχνικές προδιαγραφές του έργου (σελ.

DDoS (Denial of Service Attacks)

Voice over IP: Απειλές, Ευπάθειες και Αντίµετρα

CVE the SSL Heartbleed bug. SSL Renegotiation Attack

Cryptography and Network Security Chapter 22. Fifth Edition by William Stallings

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS. Β. Μάγκλαρης

Βασικές Έννοιες Web Εφαρμογών

Ηλεκτρονική Διακυβέρνηση

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΒΑΛΑΣ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΛΟΓΙΣΤΚΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

ΠΑΡΑΡΤΗΜΑ Β - ΠΛΗΡΟΦΟΡΙΑ & ΤΕΧΝΙΚΕΣ ΠΡΟΔΙΑΓΡΑΦΕΣ

Πανεπιστήμιο Πειραιώς Τμήμα Πληροφορικής

Τεχνολογίες Ανάπτυξης Εφαρμογών στο WEB

Εφαρμογή Βάσης Δεδομένων για την Εθελοντική Αιμοδοσία στο ΑΤΕΙ-Θ

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

1. Εισαγωγή. Περιγραφή Μαθήματος. Ιστορική Αναδρομή. Ορισμοί Ηλεκτρονικού Εμπορίου

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

Antonis Stamatopoulos Commercial Director. AI Attacks & Incident Lifecycle Management

Ευπάθειες Διαδικτυακών Εφαρμογών & Web Εξυπηρετητών

Εργαλεία ανάπτυξης εφαρμογών internet Ι

Έξυπνες τεχνικές firewalling & traffic shaping Topaloudis Michail mojiro.com

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

MUM ATHENS, GREECE 2015

κανονιστικό πλαίσιο για άδειες, φάσμα, πρότυπα το παράδειγμα του GSM UMTS: ολόκληρο σύστημα, όχι μόνο τεχνολογία

OWASP TOP TEN. Μετάφραση: Καζακώνης Αναστάσιος

2 o Infocom Security. Η εξέλιξη και το μέλλον των επιθέσεων παρείσδυσης. 5 Απριλίου 2012

Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness. Presented by: Elli Panagi

Ασφάλεια Τηλεπικοινωνιακών Συστημάτων

Αλίκη Λέσση. CNS&P Presales Engineer

Cryptography and Network Security Chapter 16. Fifth Edition by William Stallings

IBM Trusteer Fraud Protection

Ρύθµιση του Ασύρµατου Ευρυζωνικού ροµολογητού.

PortSip Softphone. Ελληνικά Ι English 1/20

EΠΙΣΗΜΑΝΣΗ ΑΠΟΡΡΗΤΟΥ (PRIVACY NOTICE)

Εισαγωγή στο Ethical Hacking. Καλώς Ήρθατε!!

Προγραμματισμός ΙΙ (Java) 6. Διαχείριση δεδομένων

(Endpoint) Η ΑΥΞΑΝΟΜΕΝΗ ΑΝΑΓΚΗ ΓΙΑ ΑΣΦΑΛΕΙΑ ΣΥΣΚΕΥΗΣ ΧΡΗΣΤΗ ΠΡΟΣΤΑΣΙΑ ENDPOINT. Endpoint Security Solutions

ΑΠΟ ΤΟΥΣ ΕΞΥΠΗΡΕΤΗΤΕΣ ΙΑ ΙΚΤΥΟΥ ΣΤΙΣ ΚΙΝΗΤΕΣ ΥΠΗΡΕΣΙΕΣ. ρ. Μάριος ικαιάκος

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

Πύλη Φαρμακευτικών Υπηρεσιών Υπουργείου Υγείας Κύπρου. System Architecture Overview

ΙΤ Infrastructures. Cyber Security Presentation

Λογισμικό Open Source στις Υπηρεσίες των Βιβλιοθηκών του Πανεπιστημίου Αθηνών

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

COSMOS BUSINESS SYSTEMS SECURITY SOLUTIONS. Η Cosmos Business Systems υποστηρίζει τους πελάτες σε όλες τις ανάγκες ασφάλειας.

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ BOTNETS. Τεχνικές ανίχνευσης και απόκρυψης. Ασημάκης Σιδηρόπουλος. Επιβλέπων: Καθηγητής Γεώργιος Πολύζος

ΔΕΔΟΜΕΝΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

File Transfer Protocol

Κεφάλαιο 2. Πηγές δεδομένων του Honeynet

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

Τεχνολογίες Παγκόσμιου Ιστού. 1η διάλεξη

(C) 2010 Pearson Education, Inc. All rights reserved.

Δυνατότητα επέκτασης για υποστήριξη ξεχωριστής διεπαφής χρήστη για φορητές συσκευές

Frontend optimizations. Θεοδόσης Σουργκούνης

Εθνικό Δίκτυο Έρευνας και Τεχνολογίας - ΕΔΕΤ

Transcript:

Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές Barracuda Web Application Firewall Καλοχριστιανάκης Αντώνης Διευθυντής Πωλήσεων Digital SIMA

Ανατομία Web επίθεσης Οι Web επιθέσεις δε διαφέρουν ουσιαστικά από το κοινό έγκλημα Κάποιοι είναι θύματα από τύχη...... κάποιοι έχουν στοχευθεί Επιλογή στόχου Ανάλυση ασφάλειας Εκμετάλλευση του Προβλήματος

SQL Basics Ο χρήστης εισάγει δεδομένα σε μία φόρμα σε μία web σελίδα Αυτή η τιμή μετατρέπεται από την εφαρμογή σε ένα SQL statement Account Detail Your Account: Enter your account Number 5672 SUBMIT select acct-detail from acct-master WHERE acct= 5672

Απλή SQL Injection Καθώς το 1=1 είναι πάντα αληθές, όλες οι εγγραφές του acct-master επιλέγονται και ανακτώνται - - δηλώνει σχόλιο στην SQL Account Detail Your Account: Enter your account Number 5672' OR 1 = 1 -- SUBMIT select acct-detail from acct-master WHERE acct= 5672' OR 1 = 1

Επίθεση Cross-Site Scripting (XSS) 3 1 Ο Hacker τοποθετεί ένα κακόβουλο script σε ένα POST που αποθηκεύεται στη web σελίδα του server Το Script συλλέγει credentials ή εμπιστευτικές πληροφορίες τις οποίες στέλνει στο hacker Web Server 2 Όταν ο ανυποψίαστος χρήστης επισκέπτεται τη σελίδα, κατεβάζει το script το οποίο εκτελείται στο browser

Επίθεση Slow Client Ο Hacker στέλνει πολλά ημιτελή αιτήματα HTTP Τα αιτήματα μένουν ανοικτά μέσω πολύ αργού keepalive traffic

Κατηγορίες επιθέσεων σε Layer 7 Input Injection SQL patterns, scripts, metacharacters Virus, Malware Session Attacks Cookie attacks, Cross Site Request Forgery (CSRF) Denial of Service Length violations, buffer overflows Traffic based Forceful Browsing Accessing unauthorized resources Hidden parameter violations

www.owasp.org

Το Web Application Firewall της Barracuda προστατεύει συνολικά από απειλές σε Layer 7

IPS και Network Firewalls σε Layer7 Ασφάλεια IPS/FW 1. Injection attack protection (XSS, SQL) Περιορισμένη 2. Normalize Encoded Traffic ΟΧΙ 3. Inspect HTTPS traffic ΟΧΙ 4. Session tampering/hijacking/riding protection ΟΧΙ 5. Forceful Browsing Prevention ΟΧΙ 6. Data Theft protection, Cloaking ΟΧΙ 7. Brute-force protection ΟΧΙ 8. Web Services Projection ΟΧΙ 9. Application Layer DDoS Protection ΟΧΙ 10. Rate Control Protection ΟΧΙ

WAF & Network Firewall: συμπληρωματική προστασία DDoS

Τυπική Εγκατάσταση Και στις δύο υλοποιήσεις μπορούμε να έχουμε δύο συσκευές σε Υψηλή διαθεσιμότητα Inline μεταξύ του firewall και των servers σε Proxy ή Bridge mode Out of line ως one armed proxy

Πως λειτουργεί το Barracuda WAF Packet 1 Packet 2 Packet 3 Packet 4 Packet 5 Το stream τερματίζεται, τα πακέτα ανασυντίθενται και ελέγχονται πριν προωθηθούν Attack BLOCKED! Barracuda Web Application Firewall eth1 eth2 Application & Backend Servers

Έλεγχοι ασφάλειας σε Layer 7 Cloaks Application Error Codes Web Server Errors Credit Card Numbers SSN Numbers Εισερχόμενη Κίνηση (Προστασία σε επιθέσεις layer 7) Εξερχόμενη Κίνηση (Προστασία διαρροής δεδομένων)

Ενσωματώνονται 4 μηχανισμοί Application Security OWASP Top 10 and beyond XML firewall, Cookie Security Positive Security Model DDoS and Bot protection Integrated Anit Virus Vulnerability scanner integration Acceleration SSL-Offloading TCP-Pooling Caching Compression Rate Control Connection Multiplexing Identity and Access Management Authentication & Authorization Single Sign On SSL Client Certificates One Time Passwords LDAP/AD, Kerberos, CA-Siteminder RADIUS, RSA SecureID Traffic Management Load Balancing Session Persistence Health Monitors Content Routing Content Rewrite Instant SSL

WAF Models

WAF Features

Customize Experience based on Client and Devices http://www.site.com http://www.site.com/main Main Site http://www.site.com http://www.site.com/mobile Content Routing URL Rewrite Rate Control IPv6/IPv4 Mobile Site

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια