Abstract image of a woman sitting on books and studying on a laptop

Odpoledne se Seznamem II - Provozní bezpečnost

Download as PPTX, PDF
C
chaplin06
1 of 19
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
www.seznam.cz
www.seznam.cz
Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
DoS – 03/2013 www.seznam.cz
DDoS 03/2013 www.seznam.cz
Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
www.seznam.cz
Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz
Děkuji za pozornost Štefan Šafár, stefan.safar@firma.seznam.cz www.seznam.cz

More Related Content

PDF
MicroPython IoT vlaxa
Vladan Laxa
 
PDF
Cheat sheet python_vlaxa
Vladan Laxa
 
PDF
Nejčastější webové zranitelnosti
cCuMiNn
 
PDF
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Security Session
 
PPTX
Wordcamp Praha 2015 - další útržky z prezentace
Vladimír Smitka
 
PDF
Jak nám pomůže ochrana perimetru
MarketingArrowECS_CZ
 
PDF
OS & App Security
Michal ZOBEC
 
PPTX
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Jaroslav Prodelal
 
MicroPython IoT vlaxa
Vladan Laxa
 
Cheat sheet python_vlaxa
Vladan Laxa
 
Nejčastější webové zranitelnosti
cCuMiNn
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Security Session
 
Wordcamp Praha 2015 - další útržky z prezentace
Vladimír Smitka
 
Jak nám pomůže ochrana perimetru
MarketingArrowECS_CZ
 
OS & App Security
Michal ZOBEC
 
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Jaroslav Prodelal
 

Similar to Odpoledne se Seznamem II - Provozní bezpečnost (20)

PDF
Informační bezpečnost
CEINVE
 
PPTX
Bezpečnost Wordpressu - 4. WP konference
Vladimír Smitka
 
PPTX
TNPW2-2016-04
Lukáš Vacek
 
PDF
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Security Session
 
PPTX
TNPW2-2013-06
Lukáš Vacek
 
PPTX
TNPW2-2014-04
Lukáš Vacek
 
PPTX
Bezpečnost na webu
Miloš Janda
 
ODP
Kolik webových útoků znáš...
Michal Špaček
 
PPTX
TNPW2-2012-06
Lukáš Vacek
 
PPTX
WordCamp Brno 2017 - rychlý a bezpečný web
Vladimír Smitka
 
PPTX
5. inf. bezpecnost
Martin Soucek
 
ODP
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
 
PDF
Před čím vás Nette ani Symfony neochrání
Filip Procházka
 
PPTX
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
Alena Zalejská
 
PDF
O2 Firewally nové generace
Milan Petrásek
 
PPTX
Best practice v testování zranitelností
Risk Analysis Consultants, s.r.o.
 
PPTX
Prezentace - základy bezpečnosti
Brilo Team
 
PPT
4320 vzdaleny pristup_k_serveru_net_ware
pisaceku
 
PPTX
Co je kybernetická bezpečnost?
Jiří Peterka
 
PDF
PSUG 6 - 2025-04-14 - Splunk Data Normalization, Detection Engineering, EdgeHub
Tomas Moser
 
Informační bezpečnost
CEINVE
 
Bezpečnost Wordpressu - 4. WP konference
Vladimír Smitka
 
TNPW2-2016-04
Lukáš Vacek
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Security Session
 
TNPW2-2013-06
Lukáš Vacek
 
TNPW2-2014-04
Lukáš Vacek
 
Bezpečnost na webu
Miloš Janda
 
Kolik webových útoků znáš...
Michal Špaček
 
TNPW2-2012-06
Lukáš Vacek
 
WordCamp Brno 2017 - rychlý a bezpečný web
Vladimír Smitka
 
5. inf. bezpecnost
Martin Soucek
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
 
Před čím vás Nette ani Symfony neochrání
Filip Procházka
 
OCHRANA PŘED POKROČILÝMI FORMAMI MALWARE
Alena Zalejská
 
O2 Firewally nové generace
Milan Petrásek
 
Best practice v testování zranitelností
Risk Analysis Consultants, s.r.o.
 
Prezentace - základy bezpečnosti
Brilo Team
 
4320 vzdaleny pristup_k_serveru_net_ware
pisaceku
 
Co je kybernetická bezpečnost?
Jiří Peterka
 
PSUG 6 - 2025-04-14 - Splunk Data Normalization, Detection Engineering, EdgeHub
Tomas Moser
 
Ad

Odpoledne se Seznamem II - Provozní bezpečnost

  • 1. Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
  • 2. Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
  • 3. Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
  • 4. Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
  • 5. Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
  • 8. Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
  • 11. Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
  • 12. Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
  • 13. Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
  • 14. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
  • 15. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
  • 16. iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
  • 18. Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz