Zijn Uw webapplicaties wel veilig?

Vergelijkbare documenten
4Passief: n Afluisteren. n Geen gegevens gewijzigd of vernietigd. n Via de routers van WAN. n Via draadloze verbindingen. 4Fysieke afsluiting

Hoe complex zijn Oracle software stacks?

Security web services

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Ontsluiten iprova via Internet Voorbeeld methoden

Transport Layer Security. Presentatie Security Tom Rijnbeek

Enterprise SSO Manager (E-SSOM) Security Model

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

VERVANGING VAN DE VERTROUWENSKETEN VAN DE CERTIFICATEN VAN DE REGISTRATIEAUTORITEIT

DigiD SSL. Versie Datum 16 augustus 2010 Status Definitief

UZI-pas in gebruik. Maarten Schmidt Risk en Security manager 22 november Remco Schaar Consultant UL Transaction Security service

1945, eerste DC. Eigen logo

De toekomst van Oracle Forms

4Problemen met zakendoen op Internet

Het aanmaken en installeren van een ZOVAR Servercertificaat onder IIS6

Handleiding Inloggen met SSL VPN

De webpagina kan niet worden weergegeven

DigiNotar certificaten

Weblogic 10.3 vs IAS

Desktop Single Sign-On Enterprise Single Sign-On

Bijlage I. 2. Kies : Weergave op kleine pictogrammen. 3. Kies Java en de tab General : Kamer van Koophandel Nederland

Insecurities within automatic update systems

Het beheer van Oracle Fusion Middleware Infrastructuren

ICT en de digitale handtekening. Door Peter Stolk

SuperOffice Systeemvereisten

Werken zonder zorgen met uw ICT bij u op locatie

Certificaten: Aanmaak en beheer

CREËER UW EIGEN ONLINE WERKPLEK MET WORKSPACE 365

Perceptive Process. Technische Specificaties. Versie: 3.4.x

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Responsive web applicaties op Oracle

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK #PQRITG18 #PQRITG18

Certs 101. Een introductie in Digitale Certificaten. J. Wren Hunt oktober 2004 Copyright, 1996 Dale Carnegie & Associates, Inc.

Technische architectuur Beschrijving

Single sign on kan dé oplossing zijn

VPN Remote Dial In User. DrayTek Smart VPN Client

Infrastructuur en platformen

Bijlage I. 2. Kies : Weergave op kleine pictogrammen. 3. Kies Java en de tab General : Kamer van Koophandel Nederland

Externe Toegang installeren en gebruiken onder Mac OS X

Single Sign On. voor. Residentie.net en Denhaag.nl

Aandachtspunten PKIoverheid

ICT HANDLEIDING TELEWERKEN. Versie 2010

Secure Sockets in Java

ICT HANDLEIDING TELEWERKEN. Versie 2010

A-PDF Split DEMO. Samoera Jacobs, Delphine Duprez, Peter Maes, Peter Strickx V-ICT-OR - 24 januari 2006

DNSSEC College. Arjen Zonneveld. Jelte Jansen. DHPA Techday, 21 mei 2015

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Perceptive Process. Technische Specificaties. Versie: 3.9.x

Tetra Industriële Security

Public Key Infrastructure PKI door de ogen van een auditor

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december admin@surfnet.nl

Crypto, Certificaten, SSL, PKI What can possibly go wrong? ISC2 cryptonight 10 juni 2014

GERACC.net suite Systeemsoftware- en hardwarevereisten

Document. Name: Systemhound 2007 Getting started guide. Created: Roel van Baaren Raxco Software 7 April Revisions:

Perceptive Process. Technische Specificaties. Versie: 3.7.x

Informatica Pagina 1 van 13. Versiedatum 16/06//2014. Te herzien op

Veilig en. Waarom en via een beveiligde verbinding? U vertrouwt de verbinding met de server van InterNLnet niet

Oracle Cloud, slim bekeken!

1. Wat heb je nodig? Hoe werkt het? Multifactor authenticatie Verbinding maken... 2

Methode 1: HTML5 Browser-based toegang

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

SAML & FEDERATED IDENTITIES. The Single Sign-on provider

HANDLEIDING EXTERNE TOEGANG CURAMARE

Perceptive Process Design & Enterprise Ondersteunde platformen

MSSL Dienstbeschrijving

SPACE ProAccess 3.0. Voor nadere toelichting kan contact opgenomen worden met SALTO.

RIZIV INAMI. eid Gebruikersgids voor PC

SYSTEEMVEREISTEN TRACK VERZUIM 4

Thuiswerken. Auteur: Peter de Silva Datum laatste wijziging:

Beveiligingsbeleid. Online platform Perflectie

DE IDENTITEITSKAART EN FIREFOX

De FAS (Federal Authentication Service) Peter Strick SmartCities IDM workshop 07/05/2009

Acht stappen voor JSF

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

Introductie Veiligheidseisen Exploiten Conclusie. Browser security. Wouter van Dongen. RP1 Project OS3 System and Network Engineering

SURFconext Cookbook. Het koppelen van LimeSurvey aan SURFconext. Versie: 1.0. Datum: 4 december admin@surfnet.nl

informatica. cryptografie. overzicht. hoe & wat methodes belang & toepassingen moderne cryptografie

Handleiding Inloggen Cloudteq Basic

Technische data. Versie dec

Michiel Snoep Remote Access / SSL. 14 april 2005 GvIB, De Kuip Rotterdam

Oracle Application Server Portal Oracle Gebruikersgroep Holland Oktober 2003

Handleiding DigiD koppeling

Trust & Identity Innovatie

1 Client/Server. 2 Geschiedenis. 3 Toekomst

Delft-FEWS & Web Services

IAAS - QUICK START GUIDE

INHOUDSOPGAVE IMUIS INSTALLEREN 2 WINDOWS 2. WINDOWS SERVER 2008 r2 4 UITGAANDE VERBINDINGEN 5 INSTALLATIE IMUISONLINE.MSI 5 SSL CERTIFICAAT 5

TRANSPORT LAYER. LEAKFREE IT Security made simple SECURITY WHITEPAPER

IAAS HANDLEIDING - SOPHOS FIREWALL

Het gebruik van OSB ebms contracten in complexe infrastructuren

Beveiligen van PDF documenten (deel 3)

Dobiss webserver - Configuratie

OPENTEXT RIGHTFAX 16.4

ALLES WAT U MOET WETEN OVER. HUPRA s CLOUDWERKPLEK. Werken waar en wanneer u maar wilt!

Infrastructuur en platformen

Technical Deep Dive Microsoft Dynamics CRM 4.0. Dennis Schut

Handleiding Installeren Thuiswerkportaal

Handleiding Sportlink Club

Bijlage I. 2. Kies : Weergave op kleine pictogrammen. 3. Kies Java en de tab General : Kamer van Koophandel Nederland

Transcriptie:

Zijn Uw webapplicaties wel veilig? Transfer Café December 2014 Spreker(s) : Datum : E-mail : Peter de Vaal, Martin Hol 15 december 2014 pdevaal@transfer-solutions.com, mhol@transfer-solutions.com WWW.TRANSFER-SOLUTIONS.COM

Onderwerpen Veilige communicatie: SSL Netwerkarchitectuur: Aanbevelingen Java: Is het veilig? Identity Management 2

VEILIGE COMMUNICATIE: SSL 3

Cryptografie voor het web Garantie voor privacy Versleuteling van gegevens over het netwerk Authenticatie: Ken de andere partij Versleuteling De zender versleutelt de gegevens De ontvanger ontsleutelt Authenticatie Server Gebruiker of client (Vendor van) Client software SSL / TLS is de(!) standaard 4

Cryptografie: Algoritmen Hash onomkeerbare encryptie. Bijv: MD5, SHA Gebruik: Digitale handtekening voor een certificaat Symmetric Key 1 sleutel voor de/encryptie. Bijv. (3)DES, AES Gebruik: Versleutelen dataverkeer Asymmetric Key Pair: 2 sleutels voor de/encryptie. Bijv. RSA, ECC Gebruik: Uitwisselen symmetric key Validatie certificaten 5

Cryptografie: Certificaten Server certificaat Authenticatie van de server Client certificaat Authenticatie van de gebruiker Code Signing certificaat Authenticatie van (gedownloade) client software Self-signed certificaten Met tooling zelf geproduceerde certificaten Worden nooit per definitie vertrouwd Zelf root CA plaatsen op clients Nooit voor internet/extranet gebruiken! 6

PKI: Public Key Infrastructure Private en Public Key (Asymmetric key pair) Op zichzelf geen bewijs van authenticiteit Digital Certificate Authenticiteit van de public key 7

Authenticatie (1) 8

Authenticatie (2) Controle Certification Path (a.k.a. Certificate Chain) Certificate Authority (CA) Top van de hierarchie CA s Trust Anchor (Self-Signed Root Certificate) is aanwezig in de Truststore van de validator Voorbeelden: VeriSign, Thawte, GlobalSign Mogelijk een aantal Intermediairs 9

SSL/TLS: Protocol SSL: Secure Sockets Layer Protocol toevoeging aan standaard protocols zoals: TCP/IP, HTTP, LDAP, SMTP etc. Doel: dataversleuteling en authenticatie Versies: 1.0, 2.0 en 3.0, allen van vorige eeuw TLS: Transport Layer Protocol Nieuwe naam voor SSL, zelfde principe Versies: 1.0 (1999), 1.1 (2006), 1.2 (2008) 1.3 (specificatie fase, okt 2014) TLS 1.0 verschilt weinig van SSL 3 10

SSL/TLS: Protocol 1. Handshake (cipher negotiation) Bepalen van algoritmen en parameters (Cypher) Server authenticatie Client genereert shared key en wisselt deze uit 2. Authenticatie Enkelzijdig: Alleen server authenticeert zich 2-zijdig: Zowel client als server authenticeert zich Root CA certificaat (trust) nodig op client Browsers bevatten root CA van alle bekende CAs Niet-browser clients: Moeten zelf root CA plaatsen 3. Communicatie middels shared keys 11

SSL/TLS: Tools Beheer van certificates, keys, csr s: OpenSSL (incl. TLS) JDK's Keytool Div. grafische tools (Bijv. KeyStore Explorer) Oracle: orapki, wlst, kss:// Online Tools: https://www.sslshopper.com Check CSR Check Certificate Check Site Certificate Format Converter 12

Certificaten: Formaten Certificate Formats PEM ( Base-64, handig mee te nemen) DER ( Digitaal ) Certificate File formaten: *.CRT *.CER *.KEY *.P7B *.PEM 13

Certificate stores Tweeledig gebruik: Identity Keystore: Bevat authenticatie keys Trust Keystore: Bevat CA certificaten Bijv. cacerts (truststore van de JRE) Goede praktijk: Deze varianten altijd scheiden Java Keystore (*.jks) PKCS12 Oracle Wallet Beheer: orapki (commandline), Wallet Manager (9i, 10g, 11g), WLST, Enterprise Manager (12c) 14

Ontwikkelingen SSLv3 Einde, POODLE attack Browser ondersteuning SSLv3: Firefox: verwijderd per december 2014 Chrome, Safari: Alleen fall-back IE: Disabled Oudere browserversies blijven kwetsbaar! Oracle Middleware: SSLv3 verwijderd in 12c TLS 1.0: Ook gekraakt (8 dec 2014) Minder kwetsbaar dan SSLv3 Maar moet zo snel mogelijk uitgeschakeld worden SHA1 -> SHA2 Nederlandse Overheid vereist SHA2 15

This seems like a good moment to reiterate that everything less than TLS 1.2 with an AEAD cipher suite is cryptographically broken https://www.imperialviolet.org/2014/12/08/poodleagain.html 16

Oracle WebLogic Certicom SSL-implementatie Verouderde default implementatie t/m 11G Geen SHA2 Desupported in 12C JSSE In 12C de enige implementatie In 11G enige optie voor Clients van SHA2 WebSites WebServices Oracle Service Bus 17

Oracle Webtier Oracle HTTP Server 11g Ondersteuning van SSLv3 en TLS 1.0 Oracle WebCache 10g/11g Ondersteuning van SSLv3 en TLS 1.0 10g: clienthello v2 niet standaard ondersteund Oracle HTTP Server 12c Ondersteuning van TLS 1.0, 1.1 en 1.2 SSLv3 verwijderd 18

Beveiliging oudere servers met TLS 1.2 Oracle 10g en 11g producten ondersteunen geen TLS 1.2 Oplossing: Oracle HTTP Server (OHS) 12c Zet dit product in als reverse proxy Routeer naar OHS11g of gebruik als vervanger van OHS 11g en routeer direct naar WebLogic 11g 19

NETWERKARCHITECTUUR 20

Uw netwerk en het web Netwerk zones: Internet DMZ Applicatie zone Data zone Intranet: Gebruikers/kantoor zone Extranet: Toegang tot het intranet via internet via VPN en/of SSL authenticatie Tussen alle zones staan firewalls 21

Klassieke 3-lagenarchitectuur Clients Applicatie- of Web-Server Data

Meer-lagenarchitectuur met DMZ Clients SSL: HTTPS Reverse Proxy, Load-balancer of Webserver HTTP Applicatieservers Data

Voor een veilig intranet Toegang vanaf internet uitsluitend via DMZ Geef nooit rechtstreeks toegang tot servers in intranet zones Open uitsluitend standaard poorten: 80 en 443 Vermijdt andere poorten, zoals LDAP(s), zoek alternatieven via HTTPS (bijv. webservices) Toegang vanaf LAN (kantoor netwerk) Bij voorkeur via DMZ, evt. via applicatiezone Geen rechtstreekse toegang tot datazone! 24

Wel of niet SSL? Altijd SSL tot DMZ SSL tussen interne zones: Altijd waar wachtwoorden over het netwerk gaan (LDAP, SSO) Verder niet nodig voor de meeste toepassingen Geeft alleen enorme overhead (performance, configuratie inspanning, dure consultants, slecht of niet gedocumenteerde architectuur, verlopende certificaten etc. etc.) SSL NOOIT door ontwikkelaars laten implementeren. Gebruik alleen standaard technologie! 25

JAVA EN VEILIGHEID 26

Is Java nu veilig of niet? Java werd gezien als grootste lek in beveiliging Is dit altijd zo, of in bepaalde situaties? Sinds Java 7 update 40 is Java veilig Maar blijf nieuwe updates installeren Gebruik geen oude Java versies meer op clients 3 typen gebruik van Java: Runtime voor toepassingen op client Runtime voor applicatieservers Applicaties vanaf internet via browser of Java webstart 27

Java op de client Java Applicaties op een client Gebruikt de Java Runtime Engine (JRE) Applicaties zijn zelf geïnstalleerd Applicaties hebben vaak geen internetverbinding Je hebt dus zelf controle over veiligheid 28

Java op de server Java Applicatieserver Uitvoerend hart van de applicatieserver Die is meestal afgeschermd met firewalls Toegang vanaf internet via een DMZ Toegang naar internet via een proxyserver Je hebt veiligheid zelf in de hand 29

Java via internet Rich User Interface Internet toepassingen (RUI) Werken via de webbrowser of Java Webstart Maakt gebruik van de Java plug-in van de browser, en een op de client geïnstalleerde JRE naar keuze Programmacode komt van de webserver via internet De webbrowser plug-in is toegangspoort tot de client Programmas geven (soms) volledig toegang tot de client aan de server Zonder extra maatregelen dus erg onveilig! Java plug-in versies van voor 7 update 40 dus NIET MEER GEBRUIKEN op clients! Oudere JREs mogen nog wel aanwezig zijn, maar de browser moet altijd de nieuwste plug-in versie hebben 30

Wat zijn de maatregelen voor RUIs? Vanaf Java 7 update 40: Moet alle programmacode van een digitale handtekening voorzien zijn, gezet met een geldig CA certificaat Moet in de manifest file van de applicatie de rechten van de applicatie aangegeven zijn Kan in de manifest file aangegeven worden vanaf welk internetdomein de applicatie uitgevoerd mag worden 31

Wat zijn de gevolgen hiervan? Internetsites met niet vertrouwde Java RUIs kunnen niet meer gestart worden Er kunnen in het Java controlpanel uitzonderingen opgenomen worden, maar telkens moet deze opnieuw bevestigd worden bij opnieuw starten Dit voorkomt onbedoeld starten van malafide Java software via de browser En Uw eigen RUI software? Voorbeeld is: Oracle Forms applicaties Ook die moet dus van een handtekening voorzien worden 32

Wat te doen met 3 rd party software? Leverancier vragen om een gesignde versie Is vaak niet mogelijk of kost geld Oude Java versie (6) plug-in blijven gebruiken Zeer af te raden De webbrowser en dus de Java plug-in heeft toegang tot Internet. Met Java 6 plug-in is het risico groot dat malafide sites door gebruikers bezocht worden en schade veroorzaken Gebruik maken van een Deployment Rule Set Hiermee kan de desktopbeheerder het gebruik van (websites met) RUIs reguleren 33

Deployment Rule Set File met regels over toegang tot RUIs Beschrijft uitzonderingen per applicatie, zoals toegang zonder signature, toegang met oudere JRE etc. XML file ingepakt in een JAR file De JAR moet gesigned zijn Wordt geplaatst op de client Dus gedistribueerd door desktopbeheerder 34

Hoe beheer ik mijn DRS? Java SE Advanced (of Suite) licentie Java 8 SE Advanced Beheertool Beheer van alle Java applicaties en RUIs op clients in een organisatie Eenvoudig beheer van de DRS en automatisch pushen naar clients Kan ook DRS voor Java 7 clients maken 35

Kan ik self-signed certificaten gebruiken? Java RUIs met self-signed certificaten Was de standaard t/m Java 6 Oracle Forms had hier een utility voor (sign_webutil.sh) In Java 7 wordt self-signed niet meer geaccepteerd Work-around: Voeg het root CA toe aan de cacerts file van de JRE Dit moet voor alle clients gedaan worden 36

IDENTITY MANAGEMENT 37

Identity Management: Doel Authenticatie van gebruikers Toegangscontrole Beheer van identiteiten en authorisaties (Identity Governance) 38

Belangrijkste software Directory Services: LDAP Voorbeelden: Microsoft Active Directory Oracle Internet Directory Oracle Unified Directory Doel: Authenticatie m.b.v. username/password Single Sign On services Voorbeelden: Oracle Access Manager IBM Tivoli Webseal Doel: Centrale authenticatie en toegangscontrole 39

Authenticatie met een wachtwoord Wachtwoord policies Vereisten aan formaat: Controle op gebruik hoofdletters, leestekens, bestaande woorden etc. Te veeleisend is onveiliger dan zonder voorwaarden: veel mensen gaan het wachtwoord oipschrijven Redelijke voorwaarden: Minimum lengte 6, Minimaal 1 hoofdletter en 1 cijfer Geldigheidsduur: Na hoeveel tijd vernieuwen Te kort is onveiliger dan geen: veel mensen gaan het wachtwoord opschrijven Redelijke termijn: 4 maanden 40

Andere authenticatie methoden SSL certificaat Token (RSA) Hardware: TouchID, irisscan etc. Externe authenticatie, bijv. Facebook, Google, Apple Multi-level authenticatie: Combinatie van authenticatiemethoden evt. afhankelijk van de situatie 41

Best Practices Single Sign On Alleen als toegang tot vele toepassingen nodig is, bijv. vanuit en bedrijfsportaal Via Windows Native Authentication: Alleen voor vaste werkplekken in kantooromgeving (uitstervend?) Gebruik standaard inlogfaciliteit Bouw niet voor elke applicatie een inlogscherm Oracle: Gebruik OPSS framework Authenticeer tegen LDAP, niet tegen database of XML files 42

Oracle producten Directory Servers Oracle Internet Directory Betrouwbaar, maar vereist Oracle DB Oracle Virtual Directory Vereist andere DS en/of DB. Geeft flexibiliteit Directory Server Enterprise Edition SUN product, wordt nog veel gebruikt Oracle Unified Directory Beoogde opvolger van alle voorgaande Werkt met embedded Berkeley DB Is Java SE based, toegang via WebLogic (ODSM) Ongeevenaarde performance Nog niet alle Oracle producten zijn gecertificeerd 43

Oracle producten Oracle Platform Security Services (OPSS) Standaard component van Fusion Middleware In WebLogic licentie Authenticatie Keystore Management log-in federatie (SAML) 44

Oracle producten Oracle Access Management Zeer veelzijdig product Enige concurrent van IBM Tivoli Access Manager Dure licentie Basic licentie als onderdeel van ias, Forms-Reports en WebLogic Suite licenties, maar enorme installatie overhead voor dat doel Oracle Identity Manager Identity Governance Vereist SOA Suite voor workflow Alleen voor corportae Identity Management (>10.000 werknemers) 45

V r a g e n A n t w o o r d e n CONSULTING MANAGED SERVICES EDUCATION WWW.TRANSFER-SOLUTIONS.COM 46

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback