FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt

613 Aufrufe

Veröffentlicht am

Die "FileMaker-Gemeinde" hat oftmals noch das Gefühl, wir sind keine Zielgruppe und wähnt sich in Sicherheit. FileMaker selbst bietet alle technischen Voraussetzungen, um die Sicherheit der Daten zu gewährleisten. Doch oftmals weiss ein Anwender nicht, welche Vorkehrungen er treffen muss, um seine Dateien oder den FileMaker Server vor Angriffen zu schützen. Im Vortrag werden verschiedene Techniken und Vorkehrungen gezeigt, um sich vor "Angriffen" zu schützen.
Was muss ich für Lokale Dateien einstellen? Wieso ist eine geöffnete FMServer_Sample Datei unter Umständen wie eine offene Eingangstüre zum FileMaker Server. Server Plug-Ins mit FileSystem Zugriff können für Angriffe installiert und genutzt werden. Nichts wogegen man sich nicht schützen könnte, aber gewusst wie und wo einstellen. Es sind Tipps und Tricks für den Einsteiger bis hin zum Server Administrator enthalten.
Der Vortrag ist als Sicherheits-Checkliste und nicht als Hack-Anleitung zu verstehen.

Veröffentlicht in: Technologie
0 Kommentare
2 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
613
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
4
Aktionen
Geteilt
0
Downloads
46
Kommentare
0
Gefällt mir
2
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt

  1. 1. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com FileMaker Sicherheit, Sicherheit, Sicherheit Was man alles beachten muss, um seine oder die Datenbanken des Kunden vor unbefugtem Zugriff zu schützen. JA, dies vorweg, FileMaker Pro ist sicher.
  2. 2. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Über mich • Alexis Gehrt alexis@database-designs.ch • Matura, ETH Zürich - Elektro Ingenieur Studium • Apple Distributor Schweiz (vor Apple Schweiz) • Macintosh Software Distribution • Dort seit ca. 1992 FileMaker Entwickler (inhouse) • Im Jahr 2000 Database Designs als Einzelfirma gegründet. • Mit-Organisator vom St. Galler 4-Ländereck FM-Stammtisch • Kunden: Industrie, Goldschmiede, Medizin, Handel
  3. 3. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Hobbies • Mountain Biken / Bike Guide Ausser in diesem Sommer… 😞
  4. 4. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Quellen (engl.) • FileMaker Talk von Matt Navarre und Matt Petrowsky https://itunes.apple.com/ch/podcast/security-security- security!/id294672686?i=335432140&l=en&mt=2 • Security Webinar von FMAcademy dbservices https://www.youtube.com/watch?v=hoTqx6JD2O8 • DevCon 2014 - COR002 - Rosemary Tietge - Security: The Threat Landscape and the FileMaker Platform • DevCon 2015 - COR008 - Ronnie Rios - Security: Inside and Out • https://community.filemaker.com/docs/DOC-6139 • http://info2.filemaker.com/ NAFMSecurity_video_reg.html
  5. 5. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Das Umfeld • Sony Hack • Ashley-Madison • http://www.zone-h.org • http://map.norsecorp.com • https://cybermap.kaspersky.com • http://www.informationisbeautiful.net/visualizations/worlds-biggest-data- breaches-hacks/
  6. 6. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Das Umfeld • Die FileMaker Gemeinde “denkt” wir sind ja eine kleine Gruppe, aber auch in “unseren” Datenbanken können sich interessante Informationen befinden. • Der Port 5003 ist einfacher gescannt, als man meint • Generell IT Sicherheit Regeln wie die “Grossen”
  7. 7. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Ich “garantiere” Euch… • Der “Klassiker” wenn man einem Kollegen chattet… “Mann, mein Laptop ist weg gekommen mit allen Daten und Fotos… und mein Backup ist 2 Wochen alt.” • Was passiert? Alle prüfen gleich mal den Status ihrer TimeMachine 😉 • Ich “garantiere” Euch, es wird so mancher nach dem Vortrag dringend mal auf seinen Server schauen müssen.
  8. 8. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Lokale Dateien • Lokaler Zugriff auf eine Datei ist immer ein höheres Risiko, als auf einem Server. • http://www.lostpassword.com/filemaker.htm tauscht gleich das ganze Schliesssystem aus (Zylinder & Schlüssel)
  9. 9. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Admin entfernen • Immer eine Datenexport Option drin haben. • Heikel bzw. “Die volle Paranoia” • UND/ODER eine “geheime” verlinkte Datei (Siehe auch externe Verlinkung)
  10. 10. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Externe Verlinkung • War bis ca. FM 11 ein Problem! • Die Dateien werden via interne Datei IDs verlinked
  11. 11. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Problem: Gast Konto • Das Gast Konto hat immer “Lese” Rechte auf alle Tabellen und ist daher eher ungeeignet
  12. 12. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Low Level User • Leere Begrüssungs Tabelle mit Welcome Screen • Keine Weiteren Rechte
  13. 13. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Privilegien Sets • Immer daran denken für “neue” Layouts keine Zugriff einschalten.
  14. 14. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Felder verschlüsseln mit BaseElements • Das Plug-In ist gratis und Server fähig! • BE Dokumentation: https://github.com/GoyaPtyLtd/BaseElements-Plugin/wiki/FunctionsRunScript Funktion • Einzelne Felder verschlüsseln • https://www.dbservices.com/articles/filemaker-encryption-with-baseelements/ • Funktionen: BE_Encrypt_AES BE_Decrypt_AES
  15. 15. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Passwort Standards • Die Länge des Passworts spielt ein Rolle bei “brute force” Attacks • Für Firmen: • Der Server unterstützt Open Directory und Active Directory. so können einfacher Passwort Standards sichergestellt werden. • Hinweis: Ein Admin kann mit genügend “Hack-Energie” eine Sicherheitsgruppe simulieren und sich so Zugang verschaffen. Quelle: FMAcademy/dbservices
  16. 16. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com [Full Access] Konten • Bis uns mit FileMaker 13 konnte jemand kurz an Ihrem Bildschirm ein [Full Access] Konto einrichten und die Security gleich mit diesem Konto bestätigen -> FileMaker 14
  17. 17. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Passwort im Schlüsselbund • Automatisches Speichern des Passworts im Schlüsselbund. • Ab FileMaker Pro 14 für Windows eine “neue” Funktion, für Mac erstmal “sperren” möglich.
  18. 18. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Skripte • ScriptNames (Get(FileName)) im DataViewer • Jeder Script kann von einem Plug-In gestartet werden. • fmp URL Protokoll fmp://$/Datenbank.fmp12?script=Geheim • BE_ExecuteScript ( scriptName {; fileName ; parameter } ) • Skripte auf spez. Funktionen blockieren nur Server Get(ApplicationVersion) “Guard Clause” - Test zu Beginn des Skripts Allow User Abort [ Off ]
 If [ PatternCount ( Get(ApplicationVersion) ; "SERVER" ) = 0 ] Exit Script [ ] End If • PatternCount(Get(ApplicationVersion); ”ProAdvanced”) > 0 und Get(AccountPrivilegeSetName) ≠ “[Full Access] -> blockieren
  19. 19. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Zugriffsrechte Skripte • Zwar aufwändig, aber je nach Umgebung und Sicherheit eine Arbeit, die sich lohnt • FileMaker kontrolliert, wer einen Skript ausführen darf. • Nicht zugelassene Scripte sind gar nicht erst sichtbar.
  20. 20. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Versteckte Layouts • Ein Layout verstecken reicht nicht aus • LayoutNames tell application "FileMaker Pro Advanced" go to layout "Alle_Daten" of window "Datenbankname" end tell • Auch hier FileMaker Privilegien verwenden
  21. 21. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Globale Variablen • Achtung: Globale $$ Variablen für Navigation • Globale Variablen können im DataViewer instanziert werden: Evaluate ("Let ( $$Zugriff = "Admin" ; "" )”) • Ein berechnetes Feld (Unstored) Get(AccountName) ist nicht bearbeitbar.
  22. 22. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Table View • Achtung: In Table View können Felder ohne Layoutmode eingeblendet werden • Ebenso können Feldwerte im DataViewer angezeigt werden
  23. 23. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Die FileMaker Security Layer • Die ultimative Autorität ist nur das Privilegen Set und das was wirklich funktioniert. • Denken Sie auch an ODBC, XML Publishing und Execute SQL als Hintertüre auch wenn Sie Daten z.B. per Layout Zugriff sperren • Export Rechte nicht vergessen Quelle: FMAcademy/dbservices
  24. 24. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com FileMaker Server • Zugriff nur via das FileMaker eigene Protokoll über Port 5003, ggf. Ports 80, 443 für WebDirect • Server Administration 16000-16001 lasse ich bei meinem Server nur mit VPN- Verbindung/hinter der FireWall zu. • VPN für iOS
  25. 25. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com FileMaker Server • DMZ Setup (Bild Wikipedia) https://de.wikipedia.org/wiki/Demilitarized_Zone FM Server in DMZ Port 5003
  26. 26. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Sharing Optionen • Eine Datei kann so zwar “unsichtbar” gemacht werden. • ABER kein Versteck ist auf immer sicher. • Zuerst autorisieren, dass der User die Datenbank sehen kann
  27. 27. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Server und SSL • SSL Einschalten • FMS 14 unterstützt: TLS 1.2 (Transport Layer Security) • Dies verschlüsselt den Traffic im Netz • WireShark https://www.wireshark.org tcp.port = 5003 WLAN Modul (Riverbed AirPcap Adapter for Microsoft Windows)
  28. 28. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Weitere Server Einstellungen • Seit FMS 14 auch https für progressive Downloads • Ports können geändert werden. • Inaktive Benutzer trennen einschalten
  29. 29. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com FMServer_Sample • Das Problem bzw. eine mögliche Eingangstüre für einen versierten FileMaker Entwickler !!! Offen mit nur “Admin” • Dem Admin einen Streich spielen und ein Container Feld so lange füllen, bis der Server den Dienst quittiert, weil die Festplatte voll ist. • Perform Script on Server -> Test für Plug-Ins, die unter Umständen schon installiert sind. Get(InstalledFMPlugins). Ab Version 13.
  30. 30. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Server Plug-Ins • Testen, ob der Admin es erlaubt hat, Plug-Ins zu installieren. • Install Plug-In (Perform Script on Server) • z.B. BaseElements Plug-In ist gratis und Server fähig!
  31. 31. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Perform Script on Server & Plug-Ins • Bedingung für dies alles ist, dass auf einem Server entweder Plug-Ins installiert werden können oder Plug- Ins mit FileSystem Zugriff installiert werden können. • Die Sandbox des FileMaker Servers : Das Plug-In läuft innerhalb der 'fmserver' Rechte aber mit etwas tricksen kann man den Pfad des Data/Backup/Ordners errechnen So kann man auch die im Host “unsichtbaren” Dateien sehen. BE kann auch direkt die Dateien zippen und als FTP verschicken oder in ein MedienFeld kopieren. Dann hat man wieder direkten Zugriff auf die Datei selbst.
  32. 32. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com EAR • Encryption At Rest (FileMaker Pro, Server und GO) • Verschlüsselung der einzelnen Daten-Blöcke auf der Festplatte • Einzig die Daten im Speicher/RAM sind entschlüsselt. • 256-Bit AES • Übrigens die “smarte” Variante für Cloud Backups (Wir erinnern uns an die Thematik von lokalen Dateien. Der Cloud Provider hat theoretisch lokalen Zugriff auf die Dateien)
  33. 33. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com EAR • Passwort nicht im FileMaker Server speichern - je nach Sicherheitstandards -> DBs bleiben nach einem Neustart geschlossen
  34. 34. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Fragen ?
  35. 35. Alexis Gehrt FileMaker Sicherheit, Sicherheit, Sicherheit FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vielen Dank unseren Sponsoren Danke für das Bewerten dieses Vortrages

×