Post on 07-Feb-2018
transcript
LC1: Wie Hacker bei Angriffen auf die Firmeninfrastruktur vorgehen – eine Live-Demonstration Thomas Roth, Lanworks Marcus Jäger, Citrix Systems
Agenda
1. Vorstellung
2. Einleitung IT-Sicherheit (Thomas Roth)
3. Live-Demonstration von verschiedenen Angriffsszenarien
4. Wie schützt man sich?
5. Vorstellung NetScaler als Web Application Firewall (Marcus Jäger)
6. Live-Demonstration: (Thomas Roth)
Wie ich die Sicherheit von Umgebungen trotz verwundbarer Software durch ein
All-Round-Talent wie NetScaler schützen lässt
Thomas Roth
Thomas Roth ist ein international gefragter und anerkannter Security Spezialist. Andere würden das
vielleicht etwas despektierlich einen "Hacker" nennen. Er ist Mitglied im Computer Chaos Club und hat
im letzten Jahr weltweite Bekanntheit erlangt, als er als erster die Amazon Cloud benutzt hat, um
Algorithmen für Passwörter zu knacken. Bei uns arbeitet er als Consultant für Security und Software
Engineering
Das neue System Engineering Team "Datacenter & Cloud", geboren Januar 2011
Systems Engineers Datacenter & Cloud Server Virtualisation
- Jens Brunsen
- Christian Ferber
- Frank Kohler (Team Lead)
Systems Engineers Datacenter & Cloud Networking
- Peter Leimgruber
- Phuc Tran
- Marcus Jäger
5 wesentliche Begriffe zum Load Balancing
1. VServer: Nimmt Anfragen der Clients entgegen (14)
2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (17)
3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+)
4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+)
5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)
TCP Backend
Fu
ll P
roxy
TCP Client
Der "Full Proxy"
Ansatz
ermöglicht einen
deutlich höheren
Funktionumfang!
Schlüsseltechnologien für Anwendungsbereitstellung
Verfügbarkeit Performance Sicherheit
• Load Balancing
Information auf Layer 3 (IP) / Layer 4 (TCP/UDP) entscheiden, auf welche Services weitergeleitet wird
• Content Switching
Information auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP…) entscheiden auf welche Gruppe von Backend-Services weitergeleitet wird
• Surge Protection + Sure Connect
Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue)
• Global Server Load Balancing (GSLB)
Verteilung des Verkehrs durch intelligente Namensauflösung des NetScalers
P2P
B2C
B2B
NetScaler Surge Protection
100%
0%
REQUESTS
SURGE
QUEUE
100%
0%
REQUESTS
Mit NetScaler Surge Protection
Ohne NetScaler – Server-Überlastung
Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue)
Schlüsseltechnologien für Anwendungsbereitstellung
Verfügbarkeit Performance Sicherheit
• TCP Offload
Befreit Server vom Verbindungs-Management
• HTTP Compression
Daten-Komprimierung vor Daten-Auslieferung
• Integrated Caching
NetScaler als Caching Instanz im Netzwerk
• Erweiterte TCP-Optimierung
Wesentlich effizientere Verbindungen durch TCP-Windows Scaling, SACK und TCP-Buffering
• SSL Offload
Übernimmt CPU intensive Entschlüsselungs-Aufgaben für Backend-Server
P2P
B2C
B2B
… ermöglichen die Isolation von kritischen Applikationen und Objekten
AppExpert Rate Controls
User(s)
• IP Address
• IP Range/Subnet
• Cookie Value
• Wildcards
• Any header
or payload…
Object
• Vserver IP
• URL/URI
• Image
• File
• Any header
or payload…
Time Rate
• Requests
• Packets
• Bandwidth
• Measured in
milliseconds
• Throttle
• Invoke Policy • Responder
• Rewrite
• Cache
• etc.
• Alert • Log
• Trap
Action
Schlüsseltechnologien für Anwendungsbereitstellung
Verfügbarkeit Performance Sicherheit
• Schutz auf Application Layer
Schutz vor Datendiebstahl und Ausnutzung von Sicherheitslöchern
• DoS-Abwehr
DoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen
• Filtering, Rewriting und Responder
NetScaler als „Simultan Dolmetscher" - Granularer Filter in Hin- und Rückrichtung. HTTP+TCP Inhalte können modifiziert, direkt beantwortet oder umgeleitet werden.
• SSL-VPN (AGEE)
Verschlüsselung, Authentifizierung, Autorisierung und Endgeräte-Scan VOR dem Einlass in das Netzwerk für Zugriff via ICAoSSL, Clientless oder Full-VPN
P2P
B2C
B2B
Der Hacker versucht Folgendes:
http://www.example.com/users/changepassword.html
http://www.example.com/users/resetpassword.html
http://www.example.com/users/passwordlist.html
Wenn der Hacker erfolgreich ist, hat er Zugriff auf
die Infrastrucktur…
Hacker Der Hacker sieht folgende URL:
http://www.example.com/users/forgotpassword.html
Datenbank Web Services
Applikation (XML)
Web Applikation
(HTML)
Forceful Browsing – Allow/Deny URL
Citrix Application Firewall limitiert die
Eingabe Parameter für:
Form Fields
URLs
Cookies
Hacker
Buffer Overflow Attacke
Internet
Applikations Server
Application
Gain application
Privileges
Platform
Gain platform
Privileges
OS
Gain root
Server access
Buffer Overflow Attacken
SQL injection Attacke: Versuch eine Sicherheitslücke auszunutzen, um sich mit SQL-Befehlen
(Metazeichen) Zugang über die Anwendung auf die Datenbank zu verschaffen.
Ziel ist, an sensible Daten zu gelangen oder diese zu verändern.
User = bob
User = bob’ OR ‘1=1 Database Web Services
Application (XML)
Web Application
(HTML)
Zugang zu Datenbanken via Web Applikationenen
Command und SQL Injection
Ahnungsloser Benutzer lädt das Script
herunter und führt es aus.
Der Hacker schleust <böse scripts> in eine verwundbare
Webapplikation.
Das Script fängt die Benutzer-
Informationen ab und sendet
diese direkt dem Hacker Database Web Services
Application (XML)
Web Application
(HTML)
3
1
2
Cross-Site Scripting (XSS)
Webserver sendet das Client Cookie
Client Citrix Application Firewall
Applikations Infrastrucktur
Database Web Services
Application (XML)
Web Application
(HTML)
Der Client sendet das Cookie zurück zum Server
Citrix Web Application Firewall prüft, ob das Cookie auf dem Weg nicht verändert wurde.
Cookie Tampering and Poisoning – Cookie Consistency
Hacker erlangt unautorisierten Zugang
Webapplikation übermittelt die User Daten
Database Web Services
Application (XML)
Web Application
(HTML) MaxCard
XXXX XXX XXXX
Identity Theft Attacks – Credit Card + Safe Object
Negativ
•Schneller aktiver
Schutz vor
bekannten Angriffen
•Erfordert Pflege von
Signaturen
Positiv
•Schutz vor Day-0
Angriffen
•Erfordert Lernen
der Applikations
Strukturen
Optimaler Schutz durch Kombination beider Security Ansätze
Web Application Firewall - Hybrid Security Model
Hybrid Schutz vor bekannten
und unbekannten
Angriffen mit über
1200 "on board"-
Signaturen
Optimaler Schutz durch 19 Methoden (Security Checks) der NetScaler Web Application Firewall (WAF)
durch “URL-Closure“
bi-direktional
bi-direktional
bi-direktional
Import von WSDL und
XML Schema Files
… sorgen für optimale Information beim Anpassen der Signaturen…
WAF: Referenz Links in bislang über 1200 Signaturen
• Die neue Signatur kann
vor der Übernahme
überprüft werden
• Detail-Ansicht welche
Signatur sich geändert
hat oder neu
hinzugekommen ist
• Geänderte Signaturen
können durch
Umschalten zwischen
ALT und NEU verglichen
werden
• Filter steuern, was zur
besseren Übersicht
ausgeblendet wird
OK =
Übernahme der
Signatur
WAF: Das Update einer Signatur wird zum Kinderspiel
Durch Scans generierte Signaturen (Cenzic) lassen sich im NetScaler verwenden
WAF: Scanner für Applikations-Sicherheitslücken
Geschützte Website
Startet regelmäßige Scans
Import der Signaturen
in NetScaler
• Verhindert Mitlesen oder Fälschen von Cookie Informationen
• Verschlüsselt Applikations/Server Cookies und entschlüsselt von Client geschickt Cookies
• Verschlüsselt alle Application Cookies (persistente, nicht-persistente)
• AES-192 Verschlüsselung
Schutz vor Cookie Attacken – Cookie-Verschlüsselung
• Ersetzt alle Server Cookies durch einen einzigen "Web Application Firewall Session Cookie"
• Am Client ist nur das WAF Cookie sichtbar
• Anwendbar nur auf Session Cookies (nicht-persistente)
Schutz vor Cookie Attacken – Proxy Cookies
• HTTP Only Flag – Cookie ist für JavaScript nicht angreifbar
• Secure Flag – Cookie wird nur für HTTPS URLs bereitgestellt
• Beide Attribute werden zum Set-Cookie Header hinzugefügt
Schutz vor Cookie Attacken – Flag Cookies
ohne Rewrite mit Rewrite
HTTP/1.x 200 OK
Content-Type: text/html
Content-Location: http://192.168.66.33/index.htm
Last-Modified: Fri, 09 May 2008 14:11:01 GMT
Accept-Ranges: bytes
Etag: "98d5983deb1c81:2fb"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Tue, 10 Jun 2008 21:23:52 GMT
Cache-Control: private
Content-Encoding: gzip
Content-Length: 77
----------------------------------------------------------
HTTP/1.x 200 OK
Content-Type: text/html
Content-Location: http://192.168.66.33/index.htm
Last-Modified: Tue, 10 Jun 2008 14:36:27 GMT
Accept-Ranges: bytes
Etag: "50fa565d7cbc81:2fb"
X-Powered-By: ASP.NET
Date: Tue, 10 Jun 2008 21:28:11 GMT
mjg-header: hallo-welt-2008...!
Cache-Control: private
Content-Encoding: gzip
Content-Length: 97
----------------------------------------------------------
INSERT_AFTER
REPLACE_ALL
INSERT_BEFORE
ohne Rewrite mit Rewrite
DELETE_HTTP_HEADER
INSERT_HTTP_HEADER
Rewrite – NetScaler als „Simultan Dolmetscher“ in Hin-(Request) und Rückrichtung (Response)
• Erhöhung der Sicherheit durch Verbergen von internen Informationen (vergleichbar einem IP-NAT auf Layer-7)
• Wechselnde oder historisch gewachsene Applikations-URLs werden zum Kinderspiel
• User wird unabhängig von • Applikations-Änderungen
• Infrastruktur-Änderungen
URL Transformation – vereinfachte Konfiguration beim Rewrite von URLs
http://AbCo/finance/default.asp
http://mktg/default.asp http://OldCo/cgi-bin/...
www.abc.de/corpinfo/
www.abc.de/products/
www.abc.de/empl/...
Rewrite – NetScaler als „Simultan Dolmetscher“ in Hin-(Request) und Rückrichtung (Response)
Mit dem "Rewrite Action Evaluator" wird der Test von von Rewrite Konfigurationen zum Kinderspiel…
Action-Type “Redirect“:
Action-Type “Respond with“:
Responder – NetScaler gibt direkt Antwort oder ist FILTER ungewollter Anfragen
Der NetScalers verarbeitet für die Antwort sowohl statische als auch dynamische Inhalte aus dem Client Request für die Bildung von HTTP-Header und –Body.
Policy-Type “DROP/RESET“:
Application Templates
• Ermöglicht applikationsnahe NetScaler Konfiguration
• Funktionen: Import, Export …
• Angabe von VServer-IP und Backend-Service-IP erfolgt beim Import
• Vereinfachung und Portierbarkeit der Konfiguration für 6 Basis Funktionen
• Templates z.Z. verfügbar für EasyCall, OWA, Sharepoint, SAP NetWeaver, Oracle, Gereric Web-App…
• http://community.citrix.com/display/ns/AppExpertTemplates
Appl.Template Name
Public Endpoint
(CS-VServer)
Application Unit (RegEX-defined part of traffic)
Backend-Service
& Feature Policy
Monitor
… Visualizer auch für GSLB, Network, WAF…
Visualizer - Run-time View
NetScaler unterbindet die Umleitung von Traffic durch Fälschung von DNS-Cache Einträgen durch zusätzliche DNS-Authentisierung
DNSSEC: Schutz vor "DNS Cache Poisoning"
Wo ist mytravel.net?
Answer: 74.125.229.9 Antwort: 74.125.229.9
Also, www.bank.com –
12.1.2.3 (cache poisoning)
Logon zu bank.com
bank.com
Risiko bei Eingabe der
Anmeldeinformationen
• Ermöglicht Einblick in das Applikations-
Verhalten
• Cloud-Ready – Kein SPAN-Port/Network-TAP
erforderlich
• Troubleshooting bei schlechter
Applikations-Performance
• Erkennen von DoS-Attacken auf Application
Layer
• Nutzt vorhandene Ressourcen
• Auswahlmöglichkeit an untersch. Lösungen:
AppFlow (aka IPFIX)
NetScaler SDX - die Multi-Mandanten Lösung
• NetScaler VPX on XenServer
• Instanzen, keine Partitionen • Memory, CPU Isolation
• Separierung aller Entitäten
• Version/Lifecycle Unabhängigkeit
• Netzwerk Isolation
• Separate Lizensierung
• Integrierte Service VM, kein XenCenter
NetS
cale
r P
erf
orm
an
ce
100Gbps
40Gbps
20Gbps
1Gbps
100’s Apps / Multi-tenancy Applications
1 10 2 3
10Gbps
MPX5500
500Mb
1Gb
MPX 7500
MPX 9500
3Gb
5Gb
MPX 10500
MPX 12500
8Gb
MPX 15500
15Gb
ENTERPRISE
SERVICE PROVIDER/TELCO/CLOUD + INTERNET
CENTRIC
SMB (ISV)
MPX 19500
MPX 21500
MPX 17500
20Gb
35Gb
50Gb
VPX 200
VPX 1000
VPX 10
NetScaler MPX und VPX Produktlinie
VPX 3000
Pay-as-You-Grow
http://www.citrix.com/English/ps2/products/subfeature.asp?contentID=2300447
Passt sich nahtlos in jedes Backend ein
• Hardware- oder Software-Appliance • Hypervisor-unabhängig: XenServer, VMware, Hyper-V
• „Pay-as-you-grow“-Lizensierung
• Gleicher Funktionsumfang, Konfiguration und GUI
NetScaler
MPX
Appliances
NetScaler VPX
für
XenServer
NetScaler VPX
für
Vmware
NetScaler VPX
für
Hyper-V
Beschleunigung
Verfügbarkeit
Offload
Sicherheit ESX / ESXi
3.5 / 4.0
• Ihre Meinung ist uns wichtig. Bitte nehmen Sie sich einige Minuten Zeit, unseren Online Feedbackbogen auszufüllen. Den Link dazu erhalten Sie einige Tage nach der Veranstaltung.
• Im Anschluss an den Fragebogen haben Sie Zugriff auf die Downloadseite der Präsentationen.
Feedback und Präsentationen