TRANSPORT LAYER SECURITY WAAROM EN HOE?

Transcriptie

1

2 TRANSPORT LAYER SECURITY WAAROM EN HOE? Maarten Smeets Integratie consultant

3 EVEN VOORSTELLEN Over Maarten Integratie consultant bij AMIS sinds 2014 Veel certificeringen SOA, BPM, MCS, Java, SQL, PL/SQL, etc Enthousiast blogger Diverse interesses: Security, Continuous Delivery, Performance

4 TRANSPORT LAYER SECURITY WAAROM WAT WAARMEE ACHTERGROND ONE-WAY EN TWO-WAY TWO-WAY BINNEN SOA SUITE ORACLE CLOUD

5 WAAROM

6 WAAROM Wetgeving Wet Bescherming Persoonsgegevens (Wbp) Algemene Verordening Gegevensbescherming (AVG of GDPR) vanaf mei 2018 Artikel 6 lid 4 sub e: "Rechtmatigheid van de verwerking De verwerkingsverantwoordelijke houdt rekening met het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering Artikel 32 lid 1 sub a: "Beveiliging van de verwerking De verwerkingsverantwoordelijke en de verwerker treffen maatregelen zoals de pseudonimisering en versleuteling van persoonsgegevens

7 NORA / EAR WAAROM: OVERHEID Europese Richtlijn Bescherming Persoonsgegevens Wet Bescherming Persoonsgegevens (WBP) Algemene Verordening Gegevensbescherming (AVG) Beveiligingsvoorschrift (BVR) Voorschrift Informatiebeveiliging (VIR) Baseline Informatiebeveiliging (BIR) Baseline Informatiebeveiliging handrijking

8

9 TRANSPORT LAYER SECURITY WAT BEREIK JE ERMEE? Onweerlegbaarheid berichtenuitwisseling Veiligheid en betrouwbaarheid door symmetrische cryptografie Integriteit door gebruik message authentication codes (MAC) Identificatie Authenticatie door publieke sleutel cryptografie Autorisatie

10 APPLICATIE BEVEILIGING BEVEILIGING WELKE OVER HTTP(S) LOOPT HTTP OAuth Basic authentication REST/JSON JSON Web Tokens JSON Object Signing and Encryption SOAP/XML SAML WS-Security Leuk, maar (meestal) - Plaintext wachtwoorden over de lijn - Plaintext usernames over de lijn - Herbruikbare tokens worden uitgewisselt Lost dat op!

11 APPLICATIE BEVEILIGING VS TLS Performance Transport security is veel sneller (in de orde van 10x) dan security op berichtinhoud Granulariteit Transport beveiliging is (meestal) op host niveau Applicatie beveiliging kan veel specifieker ingericht worden Genericiteit Transport beveiliging overstijgt protocolniveau. Kan op b.v. HTTP, SMTP, T3 Applicatiesecurity is specifiek voor platform en applicatie

12 WAT IS TRANSPORT LAYER SECURITY Applicatie laag (HTTP, LDAP) TLS/SSL laag Handshake Protocol Alert Protocol Record laag Change Cipher Spec Protocol Transport laag (TCP, UDP) Netwerk laag (IP)

13 TRANSPORT LAYER SECURITY WAARMEE Op de loadbalancer Bijvoorbeeld op een F5 product Oracle Traffic Director Op de webserver / applicatie server Oracle HTTP Server WebLogic Server Met een API gateway product API Platform Cloud Service API Gateway

14 TRANSPORT LAYER SECURITY VERSIES Netscape IETF TLS versie Uitgekomen Belangrijkste kwetsbaarheden SSL 1 Niet Nooit vrijgegeven vanwege teveel issues SSL DROWN SSL POODLE TLS BEAST TLS CBC, Sweet32 TLS Logjam, FREAK, Heartbleed (OpenSSL) TLS 1.3 TBD

15 TRANSPORT LAYER SECURITY JAVA TLS 1.2 is ondersteund vanaf Oracle JDK 6u121 JRockit R Voor de beste cipher suites moet je installeren Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files JCE kan je zowel op JRockit als op Oracle JDK installeren Zie Oracle support Doc ID In nieuwe versies van Java is installeren van JCE niet meer nodig (default) 6u191, 7u181, 8u171, 9

16 TRANSPORT LAYER SECURITY CONCEPTEN Handshake Certificaten Keystores Cipher suites

17 TRANSPORT LAYER SECURITY DE HANDSHAKE Client en server bespreken hoe ze de beveiligde verbinding gaan opzetten Ze kiezen een TLS versie Ze kiezen de beste cipher suite welke zowel cliënt als server ondersteunen Wisselen handtekeningen van certificaten uit en controleren deze Bepalen een symmetrische sleutel voor encryptie/decryptie

18 TRANSPORT LAYER SECURITY DE HANDSHAKE Ik kan Nederlands Fries Ik kan Spaans Engels Fries Spaans of Engels zou ik liever hebben maar dat kan je niet. We gaan Fries praten. Client Server

19 VEILIGHEID EN BETROUWBAARHEID SYMMETRISCHE CRYPTOGRAFIE Encryptie Decryptie Lorem ipsum dolor sit amet, consectetur adipiscing elit. Integer nec odio 画開リむな稿料ざぎぱる尚継たいぼ東作ハレ宇眠ほ態泰ヒ主三ネハノヌ済昇ソ Lorem ipsum dolor sit amet, consectetur adipiscing elit. Integer nec odio Originele data Versleutelde data Originele data

20 SYMMETRISCHE CRYPTOGRAFIE Uitdaging Hoe kom je tot een gedeelde sleutel terwijl iemand mee kan luisteren?

21 TRANSPORT LAYER SECURITY CERTIFICATEN EN VERTROUWEN

22 TRANSPORT LAYER SECURITY WAT ZIT ER IN EEN CERTIFICAAT

23 TRANSPORT LAYER SECURITY CERTIFICATEN EN VERTROUWEN

24 TRANSPORT LAYER SECURITY CERTIFICATEN INTREKKEN Certificate Revocation List Online Certificate Status Protocol

25 TRANSPORT LAYER SECURITY KEYSTORES IN WEBLOGIC SERVER

26 TRANSPORT LAYER SECURITY CIPHER SUITES Sleutel uitwisseling Handtekening Bulk encryptie algoritme Bericht authenticatie algoritme TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

27 TRANSPORT LAYER SECURITY CIPHER SUITES ECDHE en DHE hebben de voorkeur boven ECDH ivm forward secrecy DH heeft de voorkeur boven RSA ivm computerkracht nodig voor breken sleutel GCM heeft de voorkeur boven CBC ivm integriteitscontrole bij GCM en niet bij CBC Prioriteer op de grootte van de cipher en MAC (minimaal AES_256, SHA256) Alleen cipher suites zonder DSA, DSS zonder NULL met keys groter dan 128 zonder DES zonder MD5, IDEA, RC4 Voorbeeld van een goede ciphersuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 Kijk naar wat de cliënt aan kan Neem performance mee in de keuze

28 TRANSPORT LAYER SECURITY 1 2 One way Two way

29 TRANSPORT LAYER SECURITY ONE WAY De cliënt stuurt geen certificaat die de server kan controleren De server stuurt een certificaat wat de cliënt kan controleren

30 TRANSPORT LAYER SECURITY TWO WAY De cliënt stuurt een certificaat welke de server kan controleren. De server stuurt een certificaat wat de cliënt kan controleren

31 TWO WAY SSL IN SOA SUITE 1 2 Composites Service Bus

32 COMPOSITES Composite identity keystore configureren Dit is domein breed. Niet per service in te richten! Keystore password en key password configureren CSF entries onder map SOA toevoegen Composite reference configureren voor 2-way SSL <property name= oracle.soa.two.way.ssl.enabled >true</property> Vertrouw de publieke sleutel Zet deze zelf in de truststore of via een CA

33 SERVICE BUS PKICredentialMapper Maak een PKICredentialMapper in WebLogic Console Definieer de te gebruiken keystore en keystore wachtwoord ServiceKeyProvider Maak een ServiceKeyProvider in je project (of op een algemene plaats) Deze gebruikt de PKICredentialMapper. Bevat een verwijzing naar de key alias

34 TLS IN DE ORACLE CLOUD 1 2 IaaS en Compute gebaseerde PaaS Niet Compute gebaseerde PaaS en SaaS

35 ORACLE CLOUD IAAS EN COMPUTE GEBASEERDE PAAS Services waar de klant toegang heeft tot de VM Bijvoorbeeld Java Cloud Service, Database Cloud Service bring your own host name policy Klant is zelf verantwoordelijk voor een certificaat aanvragen bij een autoriteit en installeren in de desbetreffende cloud service

36 ORACLE CLOUD NIET COMPUTE GEBASEERDE PAAS EN SAAS Services als ICS, SOACS, Mobile Cloud Service, Document Cloud Service, Sales Cloud, ERP Cloud Oracle biedt een (wildcard) certificaat per cloud service per regio Cipher suites zijn preconfigured en niet configurabel

37 ORACLE CLOUD CIPHER SUITES TLS 1.0 wordt ondersteund Mogelijk kwetsbaar voor POODLE en BEAST TLS 1.2 GCM cipher suites worden niet ondersteund. Deze bieden integrity checking Verscheidene SHA cipher suites (naast SHA256). Kwetsbaar voor collision attacks TLS_RSA_WITH_3DES_EDE_CBC_SHA Is een zwakke cipher suite

38 TRANSPORT LAYER SECURITY WAAROM EN HOE? Waarom Wetgeving Pas toe waar vertrouwelijke gegevens over de lijn gaan Hoe Organiseer je certificaatbeheer! Forceer TLS 1.2 Denk na over de te gebruiken cipher suites Denk bij je Cloud Services ook na wat je hier moet en kan doen!

39 PERSOONSGEGEVENS ZOMAAR WAT VRAGEN Persoonsgegevens? Wat zijn precies persoonsgegevens? Weet je waar je aan moet voldoen als je iets doet met persoonsgegevens? Heb je PIA s laten uitvoeren en verwerkingscontracten opgesteld? Wat kan je ermee? Wordt gelogd wie met welk doel welke gegevens raadpleegt? (dus niet alleen binnen je applicatie) Is het mogelijk persoonsgegevens uit alle systemen te verwijderen? Waar staan ze? Worden persoonsgegevens gecached? Maak je backups van persoonsgegevens? Wat staat er in logfiles of infrastructuur? Wie kunnen bij de persoonsgegevens?

40

41 COMPOSITES CONFIGUREER DE COMPOSITE IDENTITY KEYSTORE Integratie loket 3 oktober 2017

42 COMPOSITES CONFIGUREER KEYSTORE PASSWORD EN KEY PASSWORD

43 COMPOSITES CONFIGUREER REFERENCE Gebruik een HTTPS endpoint Voeg een property toe aan de binding van een reference voor 2-way SSL

44 SERVICE BUS PKICREDENTIALMAPPER

45 SERVICE BUS PKICREDENTIALMAPPER

46 SERVICE BUS SERVICEKEYPROVIDER

47 SERVICE BUS SERVICEKEYPROVIDER