tls monitoring, david ordyan and mikhail aksenov
TRANSCRIPT
Безопасность TLS в роще доменов
OWASP RUSSIA
#owasp_ru
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи•Управление поведением браузера
Проверки - проверочки
•OPENSSL VERSION
•CIPHER SUITES
•PROTOCOL FEATURES
•CERTIFICATE EXPIRE
Уязвимости TLS по годам
0
5
10
15
20
25
30
35
40
1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018
Уровень угрозы
CVE ID Vulnerability Type(s) CVSS Score
CVE-2016-0705 DoS Mem. Corr. 10.0
CVE-2016-0799 DoS Overflow 10.0
CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0
CVE-2016-2842 DoS Overflow 10.0
CVE-2016-6309 DoS Exec Code 10.0
CVE-2016-0798 DoS 7.8
CVE-2016-2109 DoS 7.8
CVE-2016-6304 DoS 7.8
CVE-2016-6303 DoS Overflow 7.5
CVE-2016-6308 DoS 7.1
Но мы ведь обновляемся!
* По данным SSL Pulse
Насколько хорошо мы обновляемся
0
5000
10000
15000
20000
25000
30000
35000
40000
45000
RC4 28,5% ProtocolDowngrade
23,2%
CVE-2016-21077,7%
DROWN 6,5% CVE-2014-02244,7%
POODLE 2,1%
Кто виноват ?
Что делать ?
• Уметь быстро проверить
• Иметь актуальные данные
• Видеть общую картину
• Получать уведомления
Требования к платформе
•Расширяемая
•Удобный интерфейс доступа к данным
•Визуализация
•Возможность интеграции с сервисам уведомлений
Расскажем про платформу
МодульностьЕдиное хранилище данных + интерфейс + интеграция
нотификации
Как работает
ElasticSearch
KibanaWeb-UI
HTTP 9200
TARGET80,443
80,443
Qualis API
DNSZoneTransfer
TLS SCANER
HTTP Headers Scanner
NotificationsController
Domains Crawler
ElasticSearch
KibanaWeb-UI
TCPTCP
TCP
TCP
Domains Crawler
NotificationsController
HTTP Headers Scanner
TLS SCANNER
Реализация проверки
Elastic
Scanner
Node2
Scanner
Node1
Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами
HTTP-заголовки
•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options
•Content-Security-Policy•Strict-Transport-Security•Public-Key-Pins
Должно быть включено у всех!
•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options
Придется подумоть
•Content-Security-Policy
•Strict-Transport-Security
•Public-Key-Pins
Было
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи•Управление поведением браузера
Стало
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи•Управление поведением браузера
Ooops
Планы развития
• Мониторинг сетевых портов• Интеграция с Remedy• Посылка SMS• Аутентификация
Контакты
Михаил Аксёнов [email protected]
Ордян Давид[email protected]@Kukumberbatch
GitHub проекта:https://github.com/dordyan/tls-monitoring