tls monitoring, david ordyan and mikhail aksenov

Безопасность TLS в роще доменов

OWASP RUSSIA

#owasp_ru

Безопасность чего?

Безопасность сервера•Известные уязвимости ППО

Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде

Безопасность клиента•Канал связи

Безопасность клиента•Канал связи•Управление поведением браузера

Проверки - проверочки

•OPENSSL VERSION

•CIPHER SUITES

•PROTOCOL FEATURES

•CERTIFICATE EXPIRE

Уязвимости TLS по годам

1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018

Уровень угрозы

CVE ID Vulnerability Type(s) CVSS Score

CVE-2016-0705 DoS Mem. Corr. 10.0

CVE-2016-0799 DoS Overflow 10.0

CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0

CVE-2016-6309 DoS Exec Code 10.0

CVE-2016-0798 DoS 7.8

CVE-2016-2109 DoS 7.8

CVE-2016-6304 DoS 7.8

CVE-2016-6308 DoS 7.1

Но мы ведь обновляемся!

* По данным SSL Pulse

Насколько хорошо мы обновляемся

RC4 28,5% ProtocolDowngrade

CVE-2016-21077,7%

DROWN 6,5% CVE-2014-02244,7%

POODLE 2,1%

Кто виноват ?

Что делать ?

• Уметь быстро проверить

• Иметь актуальные данные

• Видеть общую картину

• Получать уведомления

Требования к платформе

•Расширяемая

•Удобный интерфейс доступа к данным

•Визуализация

•Возможность интеграции с сервисам уведомлений

Расскажем про платформу

МодульностьЕдиное хранилище данных + интерфейс + интеграция

нотификации

Как работает

ElasticSearch

KibanaWeb-UI

HTTP 9200

TARGET80,443

80,443

Qualis API

DNSZoneTransfer

TLS SCANER

HTTP Headers Scanner

NotificationsController

Domains Crawler

ElasticSearch

KibanaWeb-UI

TCPTCP

Domains Crawler

NotificationsController

HTTP Headers Scanner

TLS SCANNER

Реализация проверки

Elastic

Scanner

Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами

HTTP-заголовки

•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options

•Content-Security-Policy•Strict-Transport-Security•Public-Key-Pins

Должно быть включено у всех!

•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options

Придется подумоть

•Content-Security-Policy

•Strict-Transport-Security

•Public-Key-Pins

Было

Стало

Планы развития

• Мониторинг сетевых портов• Интеграция с Remedy• Посылка SMS• Аутентификация

Контакты

Михаил Аксёнов mikhailaksenow@ya.ru

Ордян Давидdavid.ordyan@algis.hk@Kukumberbatch

GitHub проекта:https://github.com/dordyan/tls-monitoring

tls monitoring, david ordyan and mikhail aksenov

Internet

mikhail zherebtsov

il rottame d'oro - aksenov

best practices and applications of...

mikhail gorbachev

mikhail bashkanov

Επιθέσεις ενδιάμεσου στο...

mikhail lomonosov

tls 3571- 35120 draft.indd, page 1-12 @ normalize ( tls

aksenov auc2008

fabric mill · fabrics fit for a castle, yet priced for a...

mikhail antonov cv

9 imagerie -...

ayuda rápida del operador tls-300 tls-350 tls-350r

mikhail naumov

kernel tls and hardware tls offload in freebsd 13 by ... tls...

mikhail .tal's.winning.chess.combinations

chernyavskiy mikhail

mikhail naemi

scapy tls: a scriptable tls 1.3 stack

mikhail bashkanov