"TLS monitoring", David Ordyan and Mikhail Aksenov

Slide 1

Slide 1 text

Безопасность TLS в роще доменов OWASP RUSSIA #owasp_ru

Slide 2

Slide 2 text

Безопасность чего? Безопасность сервера •Известные уязвимости ППО

Slide 3

Slide 3 text

Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде

Slide 4

Slide 4 text

Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность клиента •Канал связи

Slide 5

Slide 5 text

Безопасность чего? Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность клиента •Канал связи •Управление поведением браузера

Slide 6

Slide 6 text

Проверки - проверочки •OPENSSL VERSION •CIPHER SUITES •PROTOCOL FEATURES •CERTIFICATE EXPIRE

Slide 7

Slide 7 text

Уязвимости TLS по годам 0 5 10 15 20 25 30 35 40 1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018

Slide 8

Slide 8 text

Уровень угрозы CVE ID Vulnerability Type(s) CVSS Score CVE-2016-0705 DoS Mem. Corr. 10.0 CVE-2016-0799 DoS Overflow 10.0 CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0 CVE-2016-2842 DoS Overflow 10.0 CVE-2016-6309 DoS Exec Code 10.0 CVE-2016-0798 DoS 7.8 CVE-2016-2109 DoS 7.8 CVE-2016-6304 DoS 7.8 CVE-2016-6303 DoS Overflow 7.5 CVE-2016-6308 DoS 7.1

Slide 9

Slide 9 text

Но мы ведь обновляемся! * По данным SSL Pulse

Slide 10

Slide 10 text

Насколько хорошо мы обновляемся 0 5000 10000 15000 20000 25000 30000 35000 40000 45000 RC4 28,5% Protocol Downgrade 23,2% CVE-2016-2107 7,7% DROWN 6,5% CVE-2014-0224 4,7% POODLE 2,1%

Slide 11

Slide 11 text

Кто виноват ?

Slide 12

Slide 12 text

Что делать ? • Уметь быстро проверить • Иметь актуальные данные • Видеть общую картину • Получать уведомления

Slide 13

Slide 13 text

Требования к платформе •Расширяемая •Удобный интерфейс доступа к данным •Визуализация •Возможность интеграции с сервисам уведомлений

Slide 14

Slide 14 text

Расскажем про платформу Модульность Единое хранилище данных + интерфейс + интеграция нотификации

Slide 15

Slide 15 text

Как работает ElasticSearch Kibana Web-UI HTTP 9200 TARGET 80,443 80,443 Qualis API DNS ZoneTransfer TLS SCANER HTTP Headers Scanner Notifications Controller Domains Crawler

Slide 16

Slide 16 text

ElasticSearch Kibana Web-UI TCP TCP TCP TCP Domains Crawler Notifications Controller HTTP Headers Scanner TLS SCANNER

Slide 17

Slide 17 text

Реализация проверки Elastic Scanner Node2 Scanner Node1

Slide 18

Slide 18 text

Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами

Slide 19

Slide 19 text

HTTP-заголовки •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

Slide 20

Slide 20 text

Должно быть включено у всех! •X-XSS-Protection •X-Content-Type-Options •X-Frame-Options

Slide 21

Slide 21 text

Придется подумоть •Content-Security-Policy •Strict-Transport-Security •Public-Key-Pins

Slide 22

Slide 22 text

Было Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность клиента •Канал связи •Управление поведением браузера

Slide 23

Slide 23 text

Стало Безопасность сервера •Известные уязвимости ППО •Уязвимости в коде Безопасность клиента •Канал связи •Управление поведением браузера

Slide 24

Slide 24 text

Ooops

Slide 25

Slide 25 text

Планы развития • Мониторинг сетевых портов • Интеграция с Remedy • Посылка SMS • Аутентификация

Slide 26

Slide 26 text

Контакты Михаил Аксёнов [email protected] Ордян Давид [email protected] @Kukumberbatch GitHub проекта: https://github.com/dordyan/tls-monitoring