vSphere automation workshop python
Die SlideShare-Präsentation wird heruntergeladen.
×
Hier ansehen
Weitere Verwandte Inhalte
Ähnlich wie Odpoledne se Seznamem II - Provozní bezpečnost (20)
Aktuellste (20)
Odpoledne se Seznamem II - Provozní bezpečnost
- 1. Bezpečnost ? Štefan Šafár, bezpečnostní administrátor
- 2. Obsah • • • • • • Bezpečnost v různých fázích vývoje software Návrh / Analýza Vývoj / Testování Provoz / Maintenance Co jsme za poslední rok řešili Co v provozu připravujeme www.seznam.cz
- 3. Jak uchopit bezpečnost • • • • • SDLC – Systems development life-cycle CLASP Microsoft SDL BSIMM2 OWASP OpenSAMM www.seznam.cz
- 4. Návrh / Analýza • Modelování / Analýza rizik • DEMO www.seznam.cz
- 5. Vývoj / Testování • Školení programátorů – jazyky? • Code review – náročné na čas? • Whitebox testování – Lint (statická analýza) – http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis • Whitebox testování – Dynamická analýza – http://en.wikipedia.org/wiki/Dynamic_program_analysis • Greybox? • Blackbox testování – automatické – Acunetix, Netsparker, IBM Appscan, HP Webinspect, … • Blackbox testování – manuální – Distribuce Kali, BlackArch… www.seznam.cz
- 6. www.seznam.cz
- 7. www.seznam.cz
- 8. Provoz / Maintenance • Management balíčků / verzí • Scanner zranitelností – Nessus, OpenVAS, … • Dostatečně výkonný firewall • Web Application Firewall – Škálování? Udržování? SSL? • SSL – Ukončování? Algoritmy? Preference šifer? www.seznam.cz
- 9. DoS – 03/2013 www.seznam.cz
- 10. DDoS 03/2013 www.seznam.cz
- 11. Salt stack – key generation • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní www.seznam.cz
- 12. Salt stack – key generation • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 www.seznam.cz
- 13. Salt stack – key generation • • • • • • • • Systém na hromadnou správu serverů V pythonu – snadná implementace vlastních skriptů Rychlejší než puppet hlavně díky 0MQ 0MQ nepodporovalo crypto, napsali si vlastní Implementace RSA, generování klíčů, atd e=1 d=1 c = me (mod n), m = cd (mod n) www.seznam.cz
- 14. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW www.seznam.cz
- 15. IPMI – cipher 0 • Součást specifikace IPMI • ipmitool -I lanplus -C 0 -H 10.0.0.1 -U admin -P FluffyWabbit user list • Různé reakce výrobců HW • „Vypněte cipher 0 nainstalováním nejnovějšího firmware“ • „Vypněte IPMI a SNMP, pokud je nepoužíváte“ • „Instalujte Urgentní upgrade hned jak je to možné“ • „Provozujte BMC v oddělené management síti a nenechávejte je otevřené do internetu“ • http://fish2.com/ipmi/cipherzero.html www.seznam.cz
- 16. iDRAC – root shell • • • • Společnost DELL – management rozhraní serveru Uživatel root defaultně povolen Možnost přepnout login shell http://fish2.com/ipmi/dell/secret.html www.seznam.cz
- 17. www.seznam.cz
- 18. Co připravujeme / máme • CSIRT tým – http://napoveda.seznam.cz/csirt • Trusted Introducer – accredited status • SSL + PFS + HSTS pro (snad) všechny služby • Bezpečná VLAN v NIXu www.seznam.cz
- 19. Děkuji za pozornost Štefan Šafár, stefan.safar@firma.seznam.cz www.seznam.cz
