Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"TLS monitoring", David Ordyan and Mikhail Aksenov

"TLS monitoring", David Ordyan and Mikhail Aksenov

OWASP Russia Meetup #5

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

December 04, 2017
Tweet

Transcript

  1. Безопасность TLS в роще доменов OWASP RUSSIA #owasp_ru

  2. Безопасность чего? Безопасность сервера •Известные уязвимости ППО

  3. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

  4. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи
  5. Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

    Безопасность клиента •Канал связи •Управление поведением браузера
  6. Проверки - проверочки •OPENSSL VERSION •CIPHER SUITES •PROTOCOL FEATURES •CERTIFICATE

    EXPIRE
  7. Уязвимости TLS по годам 0 5 10 15 20 25

    30 35 40 1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018
  8. Уровень угрозы CVE ID Vulnerability Type(s) CVSS Score CVE-2016-0705 DoS

    Mem. Corr. 10.0 CVE-2016-0799 DoS Overflow 10.0 CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0 CVE-2016-2842 DoS Overflow 10.0 CVE-2016-6309 DoS Exec Code 10.0 CVE-2016-0798 DoS 7.8 CVE-2016-2109 DoS 7.8 CVE-2016-6304 DoS 7.8 CVE-2016-6303 DoS Overflow 7.5 CVE-2016-6308 DoS 7.1
  9. Но мы ведь обновляемся! * По данным SSL Pulse

  10. Насколько хорошо мы обновляемся 0 5000 10000 15000 20000 25000

    30000 35000 40000 45000 RC4 28,5% Protocol Downgrade 23,2% CVE-2016-2107 7,7% DROWN 6,5% CVE-2014-0224 4,7% POODLE 2,1%
  11. Кто виноват ?

  12. Что делать ? • Уметь быстро проверить • Иметь актуальные

    данные • Видеть общую картину • Получать уведомления
  13. Требования к платформе •Расширяемая •Удобный интерфейс доступа к данным •Визуализация

    •Возможность интеграции с сервисам уведомлений
  14. Расскажем про платформу Модульность Единое хранилище данных + интерфейс +

    интеграция нотификации
  15. Как работает ElasticSearch Kibana Web-UI HTTP 9200 TARGET 80,443 80,443

    Qualis API DNS ZoneTransfer TLS SCANER HTTP Headers Scanner Notifications Controller Domains Crawler
  16. ElasticSearch Kibana Web-UI TCP TCP TCP TCP Domains Crawler Notifications

    Controller HTTP Headers Scanner TLS SCANNER
  17. Реализация проверки Elastic Scanner Node2 Scanner Node1

  18. Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами

  19. HTTP-заголовки •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  20. Должно быть включено у всех! •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options

  21. Придется подумоть •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

  22. Было Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера
  23. Стало Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность

    клиента •Канал связи •Управление поведением браузера
  24. Ooops

  25. Планы развития • Мониторинг сетевых портов • Интеграция с Remedy

    • Посылка SMS • Аутентификация
  26. Контакты Михаил Аксёнов mikhailaksenow@ya.ru Ордян Давид david.ordyan@algis.hk @Kukumberbatch GitHub проекта:

    https://github.com/dordyan/tls-monitoring