LC1: Wie Hacker bei Angriffen auf die Firmeninfrastruktur vorgehen eine Live-Demonstration. Thomas Roth, Lanworks Marcus Jäger, Citrix Systems

Transkript

1 LC1: Wie Hacker bei Angriffen auf die Firmeninfrastruktur vorgehen eine Live-Demonstration Thomas Roth, Lanworks Marcus Jäger, Citrix Systems

2 Agenda 1. Vorstellung 2. Einleitung IT-Sicherheit (Thomas Roth) 3. Live-Demonstration von verschiedenen Angriffsszenarien 4. Wie schützt man sich? 5. Vorstellung NetScaler als Web Application Firewall (Marcus Jäger) 6. Live-Demonstration: (Thomas Roth) Wie ich die Sicherheit von Umgebungen trotz verwundbarer Software durch ein All-Round-Talent wie NetScaler schützen lässt

3 Thomas Roth Thomas Roth ist ein international gefragter und anerkannter Security Spezialist. Andere würden das vielleicht etwas despektierlich einen "Hacker" nennen. Er ist Mitglied im Computer Chaos Club und hat im letzten Jahr weltweite Bekanntheit erlangt, als er als erster die Amazon Cloud benutzt hat, um Algorithmen für Passwörter zu knacken. Bei uns arbeitet er als Consultant für Security und Software Engineering

4 Das neue System Engineering Team "Datacenter & Cloud", geboren Januar 2011 Systems Engineers Datacenter & Cloud Server Virtualisation - Jens Brunsen - Christian Ferber - Frank Kohler (Team Lead) Systems Engineers Datacenter & Cloud Networking - Peter Leimgruber - Phuc Tran - Marcus Jäger

5 Citrix NetScaler Das Schweizer Messer für Ihre IT-Infrastruktur

6 Full Proxy 5 wesentliche Begriffe zum Load Balancing TCP Client TCP Backend Der "Full Proxy" Ansatz ermöglicht einen deutlich höheren Funktionumfang! 1. VServer: Nimmt Anfragen der Clients entgegen (14) 2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (17) 3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+) 4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+) 5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)

7 Citrix NetScaler in 3 Funktions Kategorien

8 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B P2P Verfügbarkeit Performance Sicherheit Load Balancing Information auf Layer 3 (IP) / Layer 4 (TCP/UDP) entscheiden, auf welche Services weitergeleitet wird Content Switching Information auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP ) entscheiden auf welche Gruppe von Backend- Services weitergeleitet wird Surge Protection + Sure Connect Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue) Global Server Load Balancing (GSLB) Verteilung des Verkehrs durch intelligente Namensauflösung des NetScalers

9 NetScaler Surge Protection Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue) Ohne NetScaler Server-Überlastung REQUESTS 100% 0% Mit NetScaler Surge Protection 100% REQUESTS SURGE QUEUE 0%

10 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B P2P Verfügbarkeit Performance Sicherheit TCP Offload Befreit Server vom Verbindungs-Management HTTP Compression Daten-Komprimierung vor Daten-Auslieferung Integrated Caching NetScaler als Caching Instanz im Netzwerk Erweiterte TCP-Optimierung Wesentlich effizientere Verbindungen durch TCP-Windows Scaling, SACK und TCP-Buffering SSL Offload Übernimmt CPU intensive Entschlüsselungs-Aufgaben für Backend-Server

11 AppExpert Rate Controls ermöglichen die Isolation von kritischen Applikationen und Objekten User(s) Rate Time Object Action IP Address IP Range/Subnet Cookie Value Wildcards Any header or payload Requests Packets Bandwidth Measured in milliseconds Vserver IP URL/URI Image File Any header or payload Throttle Invoke Policy Responder Rewrite Cache etc. Alert Log Trap

12 Schlüsseltechnologien für Anwendungsbereitstellung B2C B2B P2P Verfügbarkeit Performance Sicherheit Schutz auf Application Layer Schutz vor Datendiebstahl und Ausnutzung von Sicherheitslöchern DoS-Abwehr DoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen Filtering, Rewriting und Responder NetScaler als Simultan Dolmetscher" - Granularer Filter in Hin- und Rückrichtung. HTTP+TCP Inhalte können modifiziert, direkt beantwortet oder umgeleitet werden. SSL-VPN (AGEE) Verschlüsselung, Authentifizierung, Autorisierung und Endgeräte-Scan VOR dem Einlass in das Netzwerk für Zugriff via ICAoSSL, Clientless oder Full-VPN

13 Forceful Browsing Allow/Deny URL Hacker Der Hacker sieht folgende URL: Der Hacker versucht Folgendes: Wenn der Hacker erfolgreich ist, hat er Zugriff auf die Infrastrucktur Web Applikation (HTML) Web Services Applikation (XML) Datenbank

14 Buffer Overflow Attacken Buffer Overflow Attacke Internet Hacker Citrix Application Firewall limitiert die Eingabe Parameter für: Form Fields URLs Cookies Application Gain application Privileges Platform Gain platform Privileges OS Gain root Server access Applikations Server

15 Command und SQL Injection Zugang zu Datenbanken via Web Applikationenen User = bob Web Application (HTML) User = bob OR 1=1 Web Services Application (XML) Database SQL injection Attacke: Versuch eine Sicherheitslücke auszunutzen, um sich mit SQL-Befehlen (Metazeichen) Zugang über die Anwendung auf die Datenbank zu verschaffen. Ziel ist, an sensible Daten zu gelangen oder diese zu verändern.

16 Cross-Site Scripting (XSS) 1 Der Hacker schleust <böse scripts> in eine verwundbare Webapplikation. 3 Das Script fängt die Benutzer- Informationen ab und sendet diese direkt dem Hacker Web Application (HTML) Web Services Application (XML) Database 2 Ahnungsloser Benutzer lädt das Script herunter und führt es aus.

17 Cookie Tampering and Poisoning Cookie Consistency Citrix Web Application Firewall prüft, ob das Cookie auf dem Weg nicht verändert wurde. Webserver sendet das Client Cookie Web Application (HTML) Client Citrix Application Firewall Web Services Application (XML) Database Applikations Infrastrucktur Der Client sendet das Cookie zurück zum Server

18 Identity Theft Attacks Credit Card + Safe Object Hacker erlangt unautorisierten Zugang MaxCard XXXX XXX XXXX Webapplikation übermittelt die User Daten Web Application (HTML) Web Services Application (XML) Database

19 Web Application Firewall - Hybrid Security Model Optimaler Schutz durch Kombination beider Security Ansätze Positiv Schutz vor Day-0 Angriffen Erfordert Lernen der Applikations Strukturen Hybrid Schutz vor bekannten und unbekannten Angriffen mit über 1200 "on board"- Signaturen Negativ Schneller aktiver Schutz vor bekannten Angriffen Erfordert Pflege von Signaturen

20 Optimaler Schutz durch 19 Methoden (Security Checks) der NetScaler Web Application Firewall (WAF) bi-direktional durch URL-Closure bi-direktional bi-direktional Import von WSDL und XML Schema Files

21 WAF: Referenz Links in bislang über 1200 Signaturen sorgen für optimale Information beim Anpassen der Signaturen

22 WAF: Das Update einer Signatur wird zum Kinderspiel Die neue Signatur kann vor der Übernahme überprüft werden Detail-Ansicht welche Signatur sich geändert hat oder neu hinzugekommen ist Geänderte Signaturen können durch Umschalten zwischen ALT und NEU verglichen werden Filter steuern, was zur besseren Übersicht ausgeblendet wird OK = Übernahme der Signatur

23 WAF: Scanner für Applikations-Sicherheitslücken Durch Scans generierte Signaturen (Cenzic) lassen sich im NetScaler verwenden Startet regelmäßige Scans Geschützte Website Import der Signaturen in NetScaler

24 Schutz vor Cookie Attacken Cookie-Verschlüsselung Verhindert Mitlesen oder Fälschen von Cookie Informationen Verschlüsselt Applikations/Server Cookies und entschlüsselt von Client geschickt Cookies Verschlüsselt alle Application Cookies (persistente, nicht-persistente) AES-192 Verschlüsselung

25 Schutz vor Cookie Attacken Proxy Cookies Ersetzt alle Server Cookies durch einen einzigen "Web Application Firewall Session Cookie" Am Client ist nur das WAF Cookie sichtbar Anwendbar nur auf Session Cookies (nicht-persistente)

26 Schutz vor Cookie Attacken Flag Cookies HTTP Only Flag Cookie ist für JavaScript nicht angreifbar Secure Flag Cookie wird nur für HTTPS URLs bereitgestellt Beide Attribute werden zum Set-Cookie Header hinzugefügt

27 PCRE-RegEx lernen und im RegEx-Editor bearbeiten PCRE - Perl Compatible Regular Expressions

28 Reporting / Monitoring

29 Weitere Schutzmechanismen der NetScaler-Plattform im Sinne einer WAF

30 Rewrite NetScaler als Simultan Dolmetscher in Hin-(Request) und Rückrichtung (Response) ohne Rewrite mit Rewrite INSERT_BEFORE REPLACE_ALL ohne Rewrite HTTP/1.x 200 OK Content-Type: text/html Content-Location: Last-Modified: Fri, 09 May :11:01 GMT Accept-Ranges: bytes Etag: "98d5983deb1c81:2fb" Server: Microsoft-IIS/6.0 X-Powered-By: ASP.NET Date: Tue, 10 Jun :23:52 GMT Cache-Control: private Content-Encoding: gzip Content-Length: INSERT_AFTER DELETE_HTTP_HEADER INSERT_HTTP_HEADER mit Rewrite HTTP/1.x 200 OK Content-Type: text/html Content-Location: Last-Modified: Tue, 10 Jun :36:27 GMT Accept-Ranges: bytes Etag: "50fa565d7cbc81:2fb" X-Powered-By: ASP.NET Date: Tue, 10 Jun :28:11 GMT mjg-header: hallo-welt ! Cache-Control: private Content-Encoding: gzip Content-Length:

31 URL Transformation vereinfachte Konfiguration beim Rewrite von URLs Erhöhung der Sicherheit durch Verbergen von internen Informationen (vergleichbar einem IP-NAT auf Layer-7) Wechselnde oder historisch gewachsene Applikations-URLs werden zum Kinderspiel User wird unabhängig von Applikations-Änderungen Infrastruktur-Änderungen

32 NetScaler hilft bei der ERSTELLUNG und der PRÜFUNG der Expression mit dem Evaluator

33 Rewrite NetScaler als Simultan Dolmetscher in Hin-(Request) und Rückrichtung (Response) Mit dem "Rewrite Action Evaluator" wird der Test von von Rewrite Konfigurationen zum Kinderspiel

34 Responder NetScaler gibt direkt Antwort oder ist FILTER ungewollter Anfragen Der NetScalers verarbeitet für die Antwort sowohl statische als auch dynamische Inhalte aus dem Client Request für die Bildung von HTTP-Header und Body. Action-Type Redirect : Action-Type Respond with : Policy-Type DROP/RESET :

35 Application Templates Ermöglicht applikationsnahe NetScaler Konfiguration Funktionen: Import, Export Angabe von VServer-IP und Backend- Service-IP erfolgt beim Import Vereinfachung und Portierbarkeit der Konfiguration für 6 Basis Funktionen Templates z.z. verfügbar für EasyCall, OWA, Sharepoint, SAP NetWeaver, Oracle, Gereric Web-App AppExpertTemplates

36 Visualizer - Run-time View Appl.Template Name Public Endpoint (CS-VServer) Application Unit (RegEX-defined part of traffic) Backend-Service & Feature Policy Monitor Visualizer auch für GSLB, Network, WAF

37 DNSSEC: Schutz vor "DNS Cache Poisoning" NetScaler unterbindet die Umleitung von Traffic durch Fälschung von DNS-Cache Einträgen durch zusätzliche DNS-Authentisierung Wo ist mytravel.net? Answer: Antwort: Also, (cache poisoning) Logon zu bank.com bank.com Risiko bei Eingabe der Anmeldeinformationen

38 AppFlow (aka IPFIX) Ermöglicht Einblick in das Applikations- Verhalten Cloud-Ready Kein SPAN-Port/Network-TAP erforderlich Troubleshooting bei schlechter Applikations-Performance Erkennen von DoS-Attacken auf Application Layer Nutzt vorhandene Ressourcen Auswahlmöglichkeit an untersch. Lösungen:

39 ... und noch mehr wissenswertes über den NetScaler...

40 NetScaler SDX - die Multi-Mandanten Lösung NetScaler VPX on XenServer Instanzen, keine Partitionen Memory, CPU Isolation Separierung aller Entitäten Version/Lifecycle Unabhängigkeit Netzwerk Isolation Separate Lizensierung Integrierte Service VM, kein XenCenter

41 NetScaler Performance NetScaler MPX und VPX Produktlinie 100Gbps 40Gbps SERVICE PROVIDER/TELCO/CLOUD + INTERNET CENTRIC MPX MPX Gb 20Gbps ENTERPRISE MPX Gb 35Gb MPX Gbps MPX Gb 15Gb SMB (ISV) MPX 9500 MPX Gb 1Gbps VPX 1000 MPX Gb 1Gb VPX 3000 VPX 200 MPX5500 VPX Mb Applications 100 s Apps / Multi-tenancy

42 Pay-as-You-Grow

43 Passt sich nahtlos in jedes Backend ein Hardware- oder Software-Appliance Hypervisor-unabhängig: XenServer, VMware, Hyper-V Pay-as-you-grow -Lizensierung Gleicher Funktionsumfang, Konfiguration und GUI NetScaler MPX Appliances NetScaler VPX für XenServer NetScaler VPX für Vmware NetScaler VPX für Hyper-V Beschleunigung Verfügbarkeit Offload Sicherheit ESX / ESXi 3.5 / 4.0

44 Feedback und Präsentationen Ihre Meinung ist uns wichtig. Bitte nehmen Sie sich einige Minuten Zeit, unseren Online Feedbackbogen auszufüllen. Den Link dazu erhalten Sie einige Tage nach der Veranstaltung. Im Anschluss an den Fragebogen haben Sie Zugriff auf die Downloadseite der Präsentationen.

45