Developers' mDay 2017. - Boris Vezmar SuperAdmins
•
2 likes•69 views
Simple sysadmin defence tips every dev should know
Recommended
Recommended
More Related Content
More from mCloud
More from mCloud (20)
Developers' mDay 2017. - Boris Vezmar SuperAdmins
- 2. Ko smo mi?
- 3. Ko sam ja? • Boris Vezmar • Senior NOC engineer / Systems Admin • Strani klijenti i hosting kompanije • Security matters
- 4. Simple sysadmin defence tips every dev should know Zašto je ovo bitno? ◦ Srećni klijenti ◦ Srećni klijenti klijenata ◦ 90% problema lako rešeno ◦ Bezbedniji web Šta možete uraditi? ◦ Detektovati ◦ Banovati ◦ Eskivirati ◦ Preduprediti Kome je bitno? ◦ Developeri ◦ Webmasteri ◦ Sysadmini
- 5. Rešenja • Detekcija i banovanje (fail2ban, mod_evasive) • Detekcija i izbegavanje (mod_reqtimeout, mod_security) • Prevencija “iz korena” (firewall / iptables) • Osnovna prevencija eksternim servisima (CDN)
- 6. FAIL2BAN • Traži napadače po patternima uz pomoć regex-a • Jails, filter, actions • Pretražuje i prati logove, traži patterne i primenjuje neku akciju • Najkorisniji jailovi • Primer
- 10. MOD_EVASIVE • Štiti od malih do srednjih web based D(DOS) napada • Apache modul sa lakom instalacijom • Pregleda saobraćaj, analizira konekcije i banuje prekršioce • Dobra početna konfiguracija • Mane (Apache 2.2 vs 2.4) • Primer
- 11. MOD_EVASIVE
- 12. MOD_SECURITY • Open Source WAF • Apache modul čija je konfiguracija u /conf.d • Pregleda saobraćaj, koristi RegEx i pravila • Ne banuje već blokira izvršavanje • Dobra početna konfiguracija (OWASP) • Primer
- 13. MOD_SECURITY
- 14. MOD_REQTIMEOUT • Sprečava slow loris i slične slow http based napade na Apache • Dolazi sa Apache web serverom od verzije 2.2 • Onemogućava beskonačne konekcije • Koju akciju primenjuje?
- 15. MOD_REQTIMEOUT
- 16. Firewall • Loši (invalid) paketi • iptables -t mangle -A PREROUTING -m conntrack --ctstate INVALID -j DROP • Novi paketi koji nisu SYN • iptables -t mangle -A PREROUTING -p tcp ! --syn -m conntrack --ctstate NEW -j DROP • Paketi sa čudnim flegovima • iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP • iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP • iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP • Spufovani paketi (sa privatnih mreža na javnom interfejsu) • iptables -t mangle -A PREROUTING -s 192.168.0.0/16 -j DROP • iptables -t mangle -A PREROUTING -s 10.0.0.0/8 -j DROP
- 17. Firewall • Ograničite broj konekcija po IP-u • iptables -A INPUT -p tcp -m connlimit --connlimit-above 80 -j REJECT -- reject-with tcp-reset • Ograničite broj novih TCP konekcija po sekundi po IP-u • iptables -A INPUT -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s -- limit-burst 20 -j ACCEPT • iptables -A INPUT -p tcp -m conntrack --ctstate NEW -j DROP • SYN_FLOOD (emergency) • iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 3 -j REJECT
- 19. Proširite resurse po potrebi
- 20. Proširite resurse po potrebi
- 21. Nećete sami? • Šta je CDN? • Ko se brine o svemu tome? • Šta time dobijate? • Kako radi? • Edge lokacije, keširanje, aplikacije i analitika • Integrisane komponente i zaštita • OK OK, kod koga otići?
- 22. Cloudflare • Lak interfejs • Besplatan za lične sajtove i blogove • Integrisana osnovna DOS zaštita u free paketu • Dobar DNS menadžment i brz DNS • Dosta edge lokacija • Stalna poboljšanja
- 23. Hvala na pažnji!