Absicherung eines produktiven Webservers und Entdeckung von Angreifern.

  • Published on
    06-Apr-2015

  • View
    104

  • Download
    0

Transcript

Folie 1 Absicherung eines produktiven Webservers und Entdeckung von Angreifern Folie 2 Absicherung eines Webservers mit E-Mail Doppelte Firewall (DMZ) Validierung der Benutzereingaben Entdeckung von Angreifern (Intrusion Detection) Logdateianalyse Verhaltensanalyse (Heuristik) Folie 3 Konfiguration FW01 Von Internet HTTP (80), HTTPS (443), SMTP (25) Von DMZ SMTP (25), DNS (53) Konfiguration FW02 Von DMZ - Von LAN HTTP (80), HTTPS (443) POP3 (110), IMAP(143), SMTP (25), SSH (22), FTP (20, 21) Folie 4 Alle Benutzereingaben werden validiert, bevor sie verarbeitet werden. Problem: SQL-Injection Logik in der Applikation: $Authentisiert = "SELECT Username FROM Users WHERE Username = '$stringUsername' AND Password = '$stringPassword'"; Der Angreifer gibt als Login und Password jeweils ' OR ''=' ein. $Authentisiert = "SELECT Username FROM Users WHERE Username = '' OR ''='' AND Password = '' OR ''=''"; Prfung ist immer "true" und gibt den ersten Namen der Tabelle "Users" zurck Lsung: Eingabevalidierung Erlaubt werden nur Buchstaben und Zahlen als Benutzername und Passwort. Login: Password: Webmail Folie 5 Access Denied (403) heisst: jemand hat einen Zugriff versucht Not Found (404) heisst: jemand hat versucht, die Seite aufzurufen Viele offene Verbindungen Verdacht auf SYN-Flood Folie 6 Problem: Durch die Logdateianalyse lassen sich nur geblockte Dateien herausfiltern Angriffe knnen aber auch erfolgreich sein Lsung: Verhaltensanalyse auf Aufflligkeiten Anmeldung erfolgt aus einem vllig anderen Land als beim letzten Mal in 24h Sessionnumer bleibt gleich, auch wenn der Browser gewechselt wird neue Session ntig Rasant ansteigender Datenverkehr Verhaltensanalyse ist eine Heuristik und kann Fehlalarme produzieren, weil: Benutzer kann auf Reisen sein Benutzer kann fr eine Prsentation viele Dateien bentigen