Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Zabezpečení Domino HTTP Josef Honc, M-COM 11. 11. 2014.

Podobné prezentace


Prezentace na téma: "Zabezpečení Domino HTTP Josef Honc, M-COM 11. 11. 2014."— Transkript prezentace:

1 Zabezpečení Domino HTTP Josef Honc, M-COM

2 Hlavní partneři a prezentátoři

3  Základní typy útoků a ochrana proti nim  Přístup k serveru  Komunikační protokoly Zabezpečení domino HTTP serveru

4 Znemožnění poskytování služby (DoS) Přetížení pomocí DDoS, případně zneužití zranitelnosti služby nebo protokolu Získání neoprávněného přístupu k serveru resp. datům Uživatelské přístupové údaje – jméno, heslo, session cookie Zachycení a následné dešifrování přenášených dat Cookie: Zneužití zranitelností služeb, starších šifrovacích protokolů a algoritmů (CRIME, BEAST/Lucky13, BREACH, Heartbleed, Poodle) Heslo: Social engineering, Phishing, brute force Základní typy útoků

5 Jak se proti útokům chránit Aktualizace Nastavení „Best Practices“ Testování

6  Enforce server access settings  Use more secure Internet Passwords  Internet password lockout  Ochrana internetových hesel pomocí xACL  Vynucení složitosti internetových hesel  Nastavení cache pro změnu HTTP hesla Zabezpečení přístupu k serveru

7 Enforce Server Access Settings

8 Use more secure Internet Passwords

9 Use more secure Internet Passwords

10 Use more secure Internet Passwords

11 Internet password lockout

12 Ochrana internetových hesel pomocí xACL Configuring xACLs to protect Internet Password fields in the Domino Directory

13 Od verze za podmínek: ID Vault – včetně povolení pro iNotes UserID uloženo v poštovní databázi Heslo je změněno pomocí uživatelských předvoleb v iNotes Vynucení složitosti internetových hesel How to implement a Custom Password Policy for iNotes users

14 HTTP server udržuje v platnosti staré heslo 48 hod Cache nastavena z důvodu konsistence při replikaci Notes.ini: HTTP_Pwd_Change_Cache_Hours=0 Nastavení cache pro změnu HTTP hesla Can the time in which a changed Internet password is cached ever be modified

15  Kryptografické protokoly  Šifrovací algoritmy  Optimalizace nastavení HTTP serveru Zabezpečení přenosové vrstvy

16 Domino podporuje nativně pouze SSL 3.0 (SSL2.0 standardně deaktivován) Podpora pro TLS1.0 v 9.0.1FP2HF384 (vydán ) IBM HTTP Server podporuje TLS 1.2 (Domino 9.0.x Windows) Kryptografické protokoly Defined ProtocolYear SSL 1.0n/a SSL SSL TLS TLS TLS TLS 1.3TBD https://www.trustworthyinternet.org/ssl-pulse/ https://en.wikipedia.org/wiki/Transport_Layer_Security

17 Šifrovací algoritmy

18 SSL 3.0 Selfsigned certifikát pomocí certsrv.nsf (512b public key, MD5 hash) Výchozí šifrovací algoritmy Výchozí konfigurace Domino

19 Test konfigurace SSL

20 Platný certifikát 2048 bit SHA1

21 Povolení silnějších šifer

22 Povolení silnějších šifer

23 SSL_DISABLE_RENEGOTIATE=1

24 FP2IF1

25 FP2IF1 – silnější šifry

26 Domino FP2 IF1 / Domino 9.0 IF6 Notes FP2 IF2 Kyrtool (KYRTool_9x_ClientServer) – import klíču a certifikátů z PEM do KYR Podpora SHA-2 v Notes/Domino 9.x Planned SHA-2 deliveries for IBM Domino 9.x

27 + Podpora TLS1.2 Založen na Apache Součástí Domino 9.0.x na OS Windows -Nepodporuje Perfect Forward Secrecy IBM HTTP server Is it possible to run IBM HTTP Server (IHS) on the same computer as a Domino server?

28 IBM HTTP Server

29 IBM HTTP server

30 LoadModule rewrite_module modules/mod_rewrite.so RewriteEngine on #presmerovani HTTP na HTTPS RewriteCond %{SERVER_PORT}=80 RewriteRule ^(.*) https://%{SERVER_NAME}%{REQUEST_URI} [R,L] #zakazani metod TRACK a TRACE RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule.* - [F] RewriteCond %{REQUEST_METHOD} ^TRACK RewriteRule.* - [F] SSLEnable SSLProtocolDisable SSLv2 SSLProtocolDisable SSLv3 #nastaveni HSTS Header always set Strict-Transport-Security "max-age= ; includeSubDomains„ # preferovane sifrovaci alogoritmy SSLCipherSpec ALL NONE SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA SSLCipherSpec ALL SSL_RSA_WITH_3DES_EDE_CBC_SHA KeyFile c:\IBM\Domino\ihs\sutol2.kdb SSLDisable Konfigurační úpravy v domino.conf

31 IBM HTTP server

32 Apache HTTP server Nginx Pound Reverse proxy Alternativní řešení reverzní proxy

33 Nginx - default

34 Nginx – po ladění

35 Zakázání metod TRACE: HTTPDisableMethods=TRACE Skrytí identifikace HTTP serveru: DominoNoBanner=1 Vyšší zabezpečení Domino HTTP

36 Zabezpečení Session Cookie

37 M-COM s.r.o. Josef Honc Web:http://www.m-com.cz Děkujeme za pozornost


Stáhnout ppt "Zabezpečení Domino HTTP Josef Honc, M-COM 11. 11. 2014."

Podobné prezentace


Reklamy Google