tls monitoring, david ordyan and mikhail aksenov
TRANSCRIPT
![Page 1: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/1.jpg)
Безопасность TLS в роще доменов
OWASP RUSSIA
#owasp_ru
![Page 2: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/2.jpg)
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО
![Page 3: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/3.jpg)
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
![Page 4: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/4.jpg)
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи
![Page 5: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/5.jpg)
Безопасность чего?
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи•Управление поведением браузера
![Page 6: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/6.jpg)
Проверки - проверочки
•OPENSSL VERSION
•CIPHER SUITES
•PROTOCOL FEATURES
•CERTIFICATE EXPIRE
![Page 7: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/7.jpg)
Уязвимости TLS по годам
0
5
10
15
20
25
30
35
40
1998 2000 2002 2004 2006 2008 2010 2012 2014 2016 2018
![Page 8: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/8.jpg)
Уровень угрозы
CVE ID Vulnerability Type(s) CVSS Score
CVE-2016-0705 DoS Mem. Corr. 10.0
CVE-2016-0799 DoS Overflow 10.0
CVE-2016-2108 DoS Exec Code Overflow Mem. Corr. 10.0
CVE-2016-2842 DoS Overflow 10.0
CVE-2016-6309 DoS Exec Code 10.0
CVE-2016-0798 DoS 7.8
CVE-2016-2109 DoS 7.8
CVE-2016-6304 DoS 7.8
CVE-2016-6303 DoS Overflow 7.5
CVE-2016-6308 DoS 7.1
![Page 9: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/9.jpg)
Но мы ведь обновляемся!
* По данным SSL Pulse
![Page 10: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/10.jpg)
Насколько хорошо мы обновляемся
0
5000
10000
15000
20000
25000
30000
35000
40000
45000
RC4 28,5% ProtocolDowngrade
23,2%
CVE-2016-21077,7%
DROWN 6,5% CVE-2014-02244,7%
POODLE 2,1%
![Page 11: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/11.jpg)
Кто виноват ?
![Page 12: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/12.jpg)
Что делать ?
• Уметь быстро проверить
• Иметь актуальные данные
• Видеть общую картину
• Получать уведомления
![Page 13: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/13.jpg)
Требования к платформе
•Расширяемая
•Удобный интерфейс доступа к данным
•Визуализация
•Возможность интеграции с сервисам уведомлений
![Page 14: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/14.jpg)
Расскажем про платформу
МодульностьЕдиное хранилище данных + интерфейс + интеграция
нотификации
![Page 15: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/15.jpg)
Как работает
ElasticSearch
KibanaWeb-UI
HTTP 9200
TARGET80,443
80,443
Qualis API
DNSZoneTransfer
TLS SCANER
HTTP Headers Scanner
NotificationsController
Domains Crawler
![Page 16: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/16.jpg)
ElasticSearch
KibanaWeb-UI
TCPTCP
TCP
TCP
Domains Crawler
NotificationsController
HTTP Headers Scanner
TLS SCANNER
![Page 17: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/17.jpg)
Реализация проверки
Elastic
Scanner
Node2
Scanner
Node1
![Page 18: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/18.jpg)
Рассказываем как устроен интерфейс, показываем картинки с Alexa доменами
![Page 19: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/19.jpg)
HTTP-заголовки
•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options
•Content-Security-Policy•Strict-Transport-Security•Public-Key-Pins
![Page 20: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/20.jpg)
Должно быть включено у всех!
•X-XSS-Protection•X-Content-Type-Options•X-Frame-Options
![Page 21: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/21.jpg)
Придется подумоть
•Content-Security-Policy
•Strict-Transport-Security
•Public-Key-Pins
![Page 22: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/22.jpg)
Было
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи•Управление поведением браузера
![Page 23: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/23.jpg)
Стало
Безопасность сервера•Известные уязвимости ППО•Уязвимости в коде
Безопасность клиента•Канал связи•Управление поведением браузера
![Page 24: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/24.jpg)
Ooops
![Page 25: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/25.jpg)
Планы развития
• Мониторинг сетевых портов• Интеграция с Remedy• Посылка SMS• Аутентификация
![Page 26: TLS monitoring, David Ordyan and Mikhail Aksenov](https://reader031.vdocuments.mx/reader031/viewer/2022030312/58ed9dc51a28ab210c8b458f/html5/thumbnails/26.jpg)
Контакты
Михаил Аксёнов [email protected]
Ордян Давид[email protected]@Kukumberbatch
GitHub проекта:https://github.com/dordyan/tls-monitoring