Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Zabezpečení Domino HTTP Josef Honc, M-COM 11. 11. 2014.

Podobné prezentace


Prezentace na téma: "Zabezpečení Domino HTTP Josef Honc, M-COM 11. 11. 2014."— Transkript prezentace:

1 www.sutol.cz Zabezpečení Domino HTTP Josef Honc, M-COM 11. 11. 2014

2 www.sutol.cz Hlavní partneři a prezentátoři

3 www.sutol.cz  Základní typy útoků a ochrana proti nim  Přístup k serveru  Komunikační protokoly Zabezpečení domino HTTP serveru

4 www.sutol.cz Znemožnění poskytování služby (DoS) Přetížení pomocí DDoS, případně zneužití zranitelnosti služby nebo protokolu Získání neoprávněného přístupu k serveru resp. datům Uživatelské přístupové údaje – jméno, heslo, session cookie Zachycení a následné dešifrování přenášených dat Cookie: Zneužití zranitelností služeb, starších šifrovacích protokolů a algoritmů (CRIME, BEAST/Lucky13, BREACH, Heartbleed, Poodle) Heslo: Social engineering, Phishing, brute force Základní typy útoků

5 www.sutol.cz Jak se proti útokům chránit Aktualizace Nastavení „Best Practices“ Testování

6 www.sutol.cz  Enforce server access settings  Use more secure Internet Passwords  Internet password lockout  Ochrana internetových hesel pomocí xACL  Vynucení složitosti internetových hesel  Nastavení cache pro změnu HTTP hesla Zabezpečení přístupu k serveru

7 www.sutol.cz Enforce Server Access Settings

8 www.sutol.cz Use more secure Internet Passwords

9 www.sutol.cz Use more secure Internet Passwords

10 www.sutol.cz Use more secure Internet Passwords

11 www.sutol.cz Internet password lockout

12 www.sutol.cz Ochrana internetových hesel pomocí xACL Configuring xACLs to protect Internet Password fields in the Domino Directory http://www.ibm.com/support/docview.wss?rs=0&uid=swg21244808 http://www.ibm.com/support/docview.wss?rs=0&uid=swg21244808

13 www.sutol.cz Od verze 8.5.1 za podmínek: ID Vault – včetně povolení pro iNotes UserID uloženo v poštovní databázi Heslo je změněno pomocí uživatelských předvoleb v iNotes Vynucení složitosti internetových hesel How to implement a Custom Password Policy for iNotes users http://www.ibm.com/support/docview.wss?uid=swg21330456 http://www.ibm.com/support/docview.wss?uid=swg21330456

14 www.sutol.cz HTTP server udržuje v platnosti staré heslo 48 hod Cache nastavena z důvodu konsistence při replikaci Notes.ini: HTTP_Pwd_Change_Cache_Hours=0 Nastavení cache pro změnu HTTP hesla Can the time in which a changed Internet password is cached ever be modified http://www.ibm.com/support/docview.wss?uid=swg21084375 http://www.ibm.com/support/docview.wss?uid=swg21084375

15 www.sutol.cz  Kryptografické protokoly  Šifrovací algoritmy  Optimalizace nastavení HTTP serveru Zabezpečení přenosové vrstvy

16 www.sutol.cz Domino podporuje nativně pouze SSL 3.0 (SSL2.0 standardně deaktivován) Podpora pro TLS1.0 v 9.0.1FP2HF384 (vydán 3.11.2014) IBM HTTP Server podporuje TLS 1.2 (Domino 9.0.x Windows) Kryptografické protokoly Defined ProtocolYear SSL 1.0n/a SSL 2.01995 SSL 3.01996 TLS 1.01999 TLS 1.12006 TLS 1.22008 TLS 1.3TBD https://www.trustworthyinternet.org/ssl-pulse/ https://en.wikipedia.org/wiki/Transport_Layer_Security

17 www.sutol.cz Šifrovací algoritmy

18 www.sutol.cz SSL 3.0 Selfsigned certifikát pomocí certsrv.nsf (512b public key, MD5 hash) Výchozí šifrovací algoritmy Výchozí konfigurace Domino

19 www.sutol.cz Test konfigurace SSL

20 www.sutol.cz Platný certifikát 2048 bit SHA1

21 www.sutol.cz Povolení silnějších šifer

22 www.sutol.cz Povolení silnějších šifer

23 www.sutol.cz SSL_DISABLE_RENEGOTIATE=1

24 www.sutol.cz 9.0.1 FP2IF1

25 www.sutol.cz 9.0.1 FP2IF1 – silnější šifry

26 www.sutol.cz Domino 9.0.1 FP2 IF1 / Domino 9.0 IF6 Notes 9.0.1 FP2 IF2 Kyrtool (KYRTool_9x_ClientServer) – import klíču a certifikátů z PEM do KYR Podpora SHA-2 v Notes/Domino 9.x Planned SHA-2 deliveries for IBM Domino 9.x http://www.ibm.com/support/docview.wss?uid=swg21418982

27 www.sutol.cz + Podpora TLS1.2 Založen na Apache 2.2.8 Součástí Domino 9.0.x na OS Windows -Nepodporuje Perfect Forward Secrecy IBM HTTP server Is it possible to run IBM HTTP Server (IHS) on the same computer as a Domino server? http://www-01.ibm.com/support/docview.wss?uid=swg21612316http://www-01.ibm.com/support/docview.wss?uid=swg21612316

28 www.sutol.cz IBM HTTP Server

29 www.sutol.cz IBM HTTP server

30 www.sutol.cz LoadModule rewrite_module modules/mod_rewrite.so RewriteEngine on #presmerovani HTTP na HTTPS RewriteCond %{SERVER_PORT}=80 RewriteRule ^(.*) https://%{SERVER_NAME}%{REQUEST_URI} [R,L] #zakazani metod TRACK a TRACE RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule.* - [F] RewriteCond %{REQUEST_METHOD} ^TRACK RewriteRule.* - [F] SSLEnable SSLProtocolDisable SSLv2 SSLProtocolDisable SSLv3 #nastaveni HSTS Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains„ # preferovane sifrovaci alogoritmy SSLCipherSpec ALL NONE SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 SSLCipherSpec TLSv12 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_GCM_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_256_GCM_SHA384 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA256 SSLCipherSpec ALL TLS_RSA_WITH_AES_128_CBC_SHA SSLCipherSpec ALL TLS_RSA_WITH_AES_256_CBC_SHA SSLCipherSpec ALL SSL_RSA_WITH_3DES_EDE_CBC_SHA KeyFile c:\IBM\Domino\ihs\sutol2.kdb SSLDisable Konfigurační úpravy v domino.conf

31 www.sutol.cz IBM HTTP server

32 www.sutol.cz Apache HTTP server Nginx Pound Reverse proxy Alternativní řešení reverzní proxy

33 www.sutol.cz Nginx - default

34 www.sutol.cz Nginx – po ladění

35 www.sutol.cz Zakázání metod TRACE: HTTPDisableMethods=TRACE Skrytí identifikace HTTP serveru: DominoNoBanner=1 http://www-01.ibm.com/support/docview.wss?uid=swg21109279 Vyšší zabezpečení Domino HTTP

36 www.sutol.cz Zabezpečení Session Cookie

37 www.sutol.cz M-COM s.r.o. Josef Honc Email:josef.honc@m-com.cz Web:http://www.m-com.cz Děkujeme za pozornost


Stáhnout ppt "Zabezpečení Domino HTTP Josef Honc, M-COM 11. 11. 2014."

Podobné prezentace


Reklamy Google