Upload File

tls monitoring, david ordyan and mikhail aksenov

  • Home
  • Internet
  • TLS monitoring, David Ordyan and Mikhail Aksenov
26
Безопасность TLS в роще доменов OWASP RUSSIA #owasp_ru

Upload: owasp-russia

Post on 12-Apr-2017

98 views

Category:

Internet


2 download

Report

TRANSCRIPT

Page 1: TLS monitoring, David Ordyan and Mikhail Aksenov

Безопасность TLS в роще доменов

OWASP RUSSIA

#owasp_ru

Page 2: TLS monitoring, David Ordyan and Mikhail Aksenov

Безопасность чего?

Безопасность сервера•Известные уязвимости ППО

Page 3: TLS monitoring, David Ordyan and Mikhail Aksenov

Безопасность чего?

Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде

Page 4: TLS monitoring, David Ordyan and Mikhail Aksenov

Безопасность чего?

Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде

Безопасность клиента•Канал связи

Page 5: TLS monitoring, David Ordyan and Mikhail Aksenov

Безопасность чего?

Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде

Безопасность клиента•Канал связи•Управление поведением браузера

Page 6: TLS monitoring, David Ordyan and Mikhail Aksenov

Проверки - проверочки

•OPENSSL VERSION

•CIPHER SUITES

•PROTOCOL FEATURES

•CERTIFICATE EXPIRE

Page 7: TLS monitoring, David Ordyan and Mikhail Aksenov

Уязвимости TLS по годам

0

5

10

15

20

25

30

35

40

1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018

Page 8: TLS monitoring, David Ordyan and Mikhail Aksenov

Уровень угрозы

CVE ID Vulnerability Type(s) CVSS Score

CVE-2016-0705 DoS Mem. Corr. 10.0

CVE-2016-0799 DoS Overflow 10.0

CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0

CVE-2016-2842 DoS Overflow 10.0

CVE-2016-6309 DoS Exec Code 10.0

CVE-2016-0798 DoS 7.8

CVE-2016-2109 DoS 7.8

CVE-2016-6304 DoS 7.8

CVE-2016-6303 DoS Overflow 7.5

CVE-2016-6308 DoS 7.1

http://www.cvedetails.com/cve/CVE-2016-0705/
http://www.cvedetails.com/cve/CVE-2016-0799/
http://www.cvedetails.com/cve/CVE-2016-2108/
http://www.cvedetails.com/cve/CVE-2016-2842/
http://www.cvedetails.com/cve/CVE-2016-6309/
http://www.cvedetails.com/cve/CVE-2016-0798/
http://www.cvedetails.com/cve/CVE-2016-2109/
http://www.cvedetails.com/cve/CVE-2016-6304/
http://www.cvedetails.com/cve/CVE-2016-6303/
http://www.cvedetails.com/cve/CVE-2016-6308/
Page 9: TLS monitoring, David Ordyan and Mikhail Aksenov

Но мы ведь обновляемся!

* По данным SSL Pulse

Page 10: TLS monitoring, David Ordyan and Mikhail Aksenov

Насколько хорошо мы обновляемся

0

5000

10000

15000

20000

25000

30000

35000

40000

45000

RC4 28,5% ProtocolDowngrade

23,2%

CVE-2016-21077,7%

DROWN 6,5% CVE-2014-02244,7%

POODLE 2,1%

Page 11: TLS monitoring, David Ordyan and Mikhail Aksenov

Кто виноват ?

Page 12: TLS monitoring, David Ordyan and Mikhail Aksenov

Что делать ?

• Уметь быстро проверить

• Иметь актуальные данные

• Видеть общую картину

• Получать уведомления

Page 13: TLS monitoring, David Ordyan and Mikhail Aksenov

Требования к платформе

•Расширяемая

•Удобный интерфейс доступа к данным

•Визуализация

•Возможность интеграции с сервисам уведомлений

Page 14: TLS monitoring, David Ordyan and Mikhail Aksenov

Расскажем про платформу

МодульностьЕдиное хранилище данных + интерфейс + интеграция

нотификации

Page 15: TLS monitoring, David Ordyan and Mikhail Aksenov

Как работает

ElasticSearch

KibanaWeb-UI

HTTP 9200

TARGET80,443

80,443

Qualis API

DNSZoneTransfer

TLS SCANER

HTTP Headers Scanner

NotificationsController

Domains Crawler

Page 16: TLS monitoring, David Ordyan and Mikhail Aksenov

ElasticSearch

KibanaWeb-UI

TCPTCP

TCP

TCP

Domains Crawler

NotificationsController

HTTP Headers Scanner

TLS SCANNER

Page 17: TLS monitoring, David Ordyan and Mikhail Aksenov

Реализация проверки

Elastic

Scanner

Node2

Scanner

Node1

Page 18: TLS monitoring, David Ordyan and Mikhail Aksenov

Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами

Page 19: TLS monitoring, David Ordyan and Mikhail Aksenov

HTTP-заголовки

•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options

•Content-Security-Policy•Strict-Transport-Security•Public-Key-Pins

Page 20: TLS monitoring, David Ordyan and Mikhail Aksenov

Должно быть включено у всех!

•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options

Page 21: TLS monitoring, David Ordyan and Mikhail Aksenov

Придется подумоть

•Content-Security-Policy

•Strict-Transport-Security

•Public-Key-Pins

Page 22: TLS monitoring, David Ordyan and Mikhail Aksenov

Было

Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде

Безопасность клиента•Канал связи•Управление поведением браузера

Page 23: TLS monitoring, David Ordyan and Mikhail Aksenov

Стало

Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде

Безопасность клиента•Канал связи•Управление поведением браузера

Page 24: TLS monitoring, David Ordyan and Mikhail Aksenov

Ooops

Page 25: TLS monitoring, David Ordyan and Mikhail Aksenov

Планы развития

• Мониторинг сетевых портов• Интеграция с Remedy• Посылка SMS• Аутентификация

Page 26: TLS monitoring, David Ordyan and Mikhail Aksenov

Контакты

Михаил Аксёнов [email protected]

Ордян Давид[email protected]@Kukumberbatch

GitHub проекта:https://github.com/dordyan/tls-monitoring

mailto:[email protected]
mailto:[email protected]
https://twitter.com/Kukumberbatch
https://github.com/dordyan/tls-monitoring

Mikhail Naumov

Mikhail zherebtsov

SSL/TLS - pub.rodiscipline.elcom.pub.ro/asi/slides/ssl-tls-rev1.7.pdfPartea 2: TLS Transport Layer Security (TLS) • TLS este versiunea IETF de SSL. • Ultima versiune de SSL v

TLS-N: Non-repudiation over TLS Enabling Ubiquitous ... · TLS-N: Non-repudiation over TLS Enabling Ubiquitous Content Signing Hubert Ritzdorf, Karl Wüst, Arthur Gervais, Guillaume

Happiness MIKHAIL

Scapy TLS: A scriptable TLS 1.3 stack

Mikhail Bakhtin

Il rottame d'oro - Aksenov

Mikhail Bashkanov

TLS-450/TLS-450PLUS Consoles

Aksenov Auc2008

Mikhail Lomonosov

Mikhail Antonov CV

Ayuda rápida del operador TLS-300 TLS-350 TLS-350R

Mikhail Fedorovich

Mikhail gorbachev

Presentazione Gilbarco Assopetroli...TLS-350 migrazionea TLS4 / TLS-450PLUS TLS-450 migrazionea TLS-450PLUS-CONFIDENTIAL - Confidential – No permission to copy or distribute t his

Aksenov Yu g Levidova m m Nachalnye Uroki Po Zhivopisi i Gra

Επιθέσεις ενδιάμεσου στο πρωτόκολλο TLS...Επιθέσεις ενδιάμεσου στο πρωτόκολλο TLS 1.Το πρωτόκολλο TLS 1.1

TLS 3571- 35120 draft.indd, page 1-12 @ Normalize ( TLS

Chernyavskiy Mikhail

Klarin Mikhail

TLS-450/TLS-450PLUS Consoles - Veeder

Vilja- ja öljykasvikokeiden tuloksia 2015...3 Miika Hartikainen 22.3.2016 0 200 400 600 800 1000 1200 1400, C TLS 1981-2010 TLS 2008 TLS 2009 TLS 2010 TLS 2011 TLS 2012 TLS 2013 TLS

SSL/TLS 작동 원리 가시성 확보 및1. ssl/tls 의 정의 및 작동 원리 1) ssl/tls 개요 2) ssl/tls 동작 3) ssl/tls 차이점 2. ssl/tls 가시성 확보의 필요성

Mikhail Nikolayev

Mikhail .Tal's.winning.chess.combinations

Bakunin, Mikhail, 1814-1876marx.libcom.org/files/Bakunin, Mikhail, 1814-1876.pdf · anarchism, Mikhail Bakunin. Mikhail Alexandrovich Bakunin Born May 18 (May 30 OS), 1814 Pryamukhino,

Mikhail Botvinnik

9 Imagerie - canceropole-gso.org · Mtp Mtp Bdx Tls Mtp Lim Mtp Mtp Mtp Tls ls Tls Tls Tls Tls Tls Bdx Lim Tls tp im Tls Bdx Bdx Bdx Bdx Bdx Mtp Lim Mtp Mtp Mtp Mtp Tls Tls Nîm Tls

New BASICLOGO EXM, TLS - JUNG PUMPEN · 2019. 5. 6. · EXM, TLS AD 8 ExME, TLS AD 12 ExME, TLS AD 25 ExM, TLS AD 46 ExM, TLS AD 610 ExM, TLS BD 25 ExM, TLS BD 46 ExM, TLS BD 610

fabric mill · fabrics fit for a castle, yet priced for a cottage tm tls-jbt443c tls-jbt443f tls-jbt443b tls-jbt443e tls-jbt443j. tails - jabot tls-jbt443k page 12 fabric mill fabrics

Mikhail Epstein

Kernel TLS and hardware TLS offload in FreeBSD 13 by ... TLS and... · 5-20% CPU reduction in Netflix unencrypted workloads Describes a TLS record entirely, including TLS header,

Poland mikhail gorbaczev