LC1: Wie Hacker bei Angriffen auf die Firmeninfrastruktur vorgehen – eine Live-Demonstration Thomas Roth, Lanworks Marcus Jäger, Citrix Systems

Agenda

1. Vorstellung

2. Einleitung IT-Sicherheit (Thomas Roth)

3. Live-Demonstration von verschiedenen Angriffsszenarien

4. Wie schützt man sich?

5. Vorstellung NetScaler als Web Application Firewall (Marcus Jäger)

6. Live-Demonstration: (Thomas Roth)

Wie ich die Sicherheit von Umgebungen trotz verwundbarer Software durch ein

All-Round-Talent wie NetScaler schützen lässt

Thomas Roth

Thomas Roth ist ein international gefragter und anerkannter Security Spezialist. Andere würden das

vielleicht etwas despektierlich einen "Hacker" nennen. Er ist Mitglied im Computer Chaos Club und hat

im letzten Jahr weltweite Bekanntheit erlangt, als er als erster die Amazon Cloud benutzt hat, um

Algorithmen für Passwörter zu knacken. Bei uns arbeitet er als Consultant für Security und Software

Engineering

Das neue System Engineering Team "Datacenter & Cloud", geboren Januar 2011

Systems Engineers Datacenter & Cloud Server Virtualisation

- Jens Brunsen

- Christian Ferber

- Frank Kohler (Team Lead)

Systems Engineers Datacenter & Cloud Networking

- Peter Leimgruber

- Phuc Tran

- Marcus Jäger

Das Schweizer Messer für Ihre IT-Infrastruktur

Citrix NetScaler

5 wesentliche Begriffe zum Load Balancing

1. VServer: Nimmt Anfragen der Clients entgegen (14)

2. Service (Backend): Netzwerk Endpunkt an den der NetScaler weiter leitet (17)

3. Monitor: Prüft periodisch die Funktion des Backend-Services (29+)

4. Load Balancing Methode: Auswahl des Services zur Weiterleitung (15+)

5. Persistence (Stickiness): Client wird immer an selben Service geleitet (9+)

TCP Backend

Fu

ll P

roxy

TCP Client

Der "Full Proxy"

Ansatz

ermöglicht einen

deutlich höheren

Funktionumfang!

Citrix NetScaler – in 3 Funktions Kategorien

Schlüsseltechnologien für Anwendungsbereitstellung

Verfügbarkeit Performance Sicherheit

• Load Balancing

Information auf Layer 3 (IP) / Layer 4 (TCP/UDP) entscheiden, auf welche Services weitergeleitet wird

• Content Switching

Information auf Layer 7 (HTTP, FTP, DNS, RADIUS, TCP, UDP…) entscheiden auf welche Gruppe von Backend-Services weitergeleitet wird

• Surge Protection + Sure Connect

Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue)

• Global Server Load Balancing (GSLB)

Verteilung des Verkehrs durch intelligente Namensauflösung des NetScalers

P2P

B2C

B2B

NetScaler Surge Protection

100%

0%

REQUESTS

SURGE

QUEUE

100%

0%

REQUESTS

Mit NetScaler Surge Protection

Ohne NetScaler – Server-Überlastung

Server arbeiten effektiver: Vermeidung von Lastgrenzen und Warteschlangen (Surge Queue)

Schlüsseltechnologien für Anwendungsbereitstellung

Verfügbarkeit Performance Sicherheit

• TCP Offload

Befreit Server vom Verbindungs-Management

• HTTP Compression

Daten-Komprimierung vor Daten-Auslieferung

• Integrated Caching

NetScaler als Caching Instanz im Netzwerk

• Erweiterte TCP-Optimierung

Wesentlich effizientere Verbindungen durch TCP-Windows Scaling, SACK und TCP-Buffering

• SSL Offload

Übernimmt CPU intensive Entschlüsselungs-Aufgaben für Backend-Server

P2P

B2C

B2B

… ermöglichen die Isolation von kritischen Applikationen und Objekten

AppExpert Rate Controls

User(s)

• IP Address

• IP Range/Subnet

• Cookie Value

• Wildcards

• Any header

or payload…

Object

• Vserver IP

• URL/URI

• Image

• File

• Any header

or payload…

Time Rate

• Requests

• Packets

• Bandwidth

• Measured in

milliseconds

• Throttle

• Invoke Policy • Responder

• Rewrite

• Cache

• etc.

• Alert • Log

• Trap

Action

Schlüsseltechnologien für Anwendungsbereitstellung

Verfügbarkeit Performance Sicherheit

• Schutz auf Application Layer

Schutz vor Datendiebstahl und Ausnutzung von Sicherheitslöchern

• DoS-Abwehr

DoS-Schutz durch Full-Proxy-Architekur, Verhinderung von HTTP-DoS-Angriffen

• Filtering, Rewriting und Responder

NetScaler als „Simultan Dolmetscher" - Granularer Filter in Hin- und Rückrichtung. HTTP+TCP Inhalte können modifiziert, direkt beantwortet oder umgeleitet werden.

• SSL-VPN (AGEE)

Verschlüsselung, Authentifizierung, Autorisierung und Endgeräte-Scan VOR dem Einlass in das Netzwerk für Zugriff via ICAoSSL, Clientless oder Full-VPN

P2P

B2C

B2B

Der Hacker versucht Folgendes:

http://www.example.com/users/changepassword.html

http://www.example.com/users/resetpassword.html

http://www.example.com/users/passwordlist.html

Wenn der Hacker erfolgreich ist, hat er Zugriff auf

die Infrastrucktur…

Hacker Der Hacker sieht folgende URL:

http://www.example.com/users/forgotpassword.html

Datenbank Web Services

Applikation (XML)

Web Applikation

(HTML)

Forceful Browsing – Allow/Deny URL

Citrix Application Firewall limitiert die

Eingabe Parameter für:

Form Fields

URLs

Cookies

Hacker

Buffer Overflow Attacke

Internet

Applikations Server

Application

Gain application

Privileges

Platform

Gain platform

Privileges

OS

Gain root

Server access

Buffer Overflow Attacken

SQL injection Attacke: Versuch eine Sicherheitslücke auszunutzen, um sich mit SQL-Befehlen

(Metazeichen) Zugang über die Anwendung auf die Datenbank zu verschaffen.

Ziel ist, an sensible Daten zu gelangen oder diese zu verändern.

User = bob

User = bob’ OR ‘1=1 Database Web Services

Application (XML)

Web Application

(HTML)

Zugang zu Datenbanken via Web Applikationenen

Command und SQL Injection

Ahnungsloser Benutzer lädt das Script

herunter und führt es aus.

Der Hacker schleust <böse scripts> in eine verwundbare

Webapplikation.

Das Script fängt die Benutzer-

Informationen ab und sendet

diese direkt dem Hacker Database Web Services

Application (XML)

Web Application

(HTML)

3

1

2

Cross-Site Scripting (XSS)

Webserver sendet das Client Cookie

Client Citrix Application Firewall

Applikations Infrastrucktur

Database Web Services

Application (XML)

Web Application

(HTML)

Der Client sendet das Cookie zurück zum Server

Citrix Web Application Firewall prüft, ob das Cookie auf dem Weg nicht verändert wurde.

Cookie Tampering and Poisoning – Cookie Consistency

Hacker erlangt unautorisierten Zugang

Webapplikation übermittelt die User Daten

Database Web Services

Application (XML)

Web Application

(HTML) MaxCard

XXXX XXX XXXX

Identity Theft Attacks – Credit Card + Safe Object

Negativ

•Schneller aktiver

Schutz vor

bekannten Angriffen

•Erfordert Pflege von

Signaturen

Positiv

•Schutz vor Day-0

Angriffen

•Erfordert Lernen

der Applikations

Strukturen

Optimaler Schutz durch Kombination beider Security Ansätze

Web Application Firewall - Hybrid Security Model

Hybrid Schutz vor bekannten

und unbekannten

Angriffen mit über

1200 "on board"-

Signaturen

Optimaler Schutz durch 19 Methoden (Security Checks) der NetScaler Web Application Firewall (WAF)

durch “URL-Closure“

bi-direktional

bi-direktional

bi-direktional

Import von WSDL und

XML Schema Files

… sorgen für optimale Information beim Anpassen der Signaturen…

WAF: Referenz Links in bislang über 1200 Signaturen

• Die neue Signatur kann

vor der Übernahme

überprüft werden

• Detail-Ansicht welche

Signatur sich geändert

hat oder neu

hinzugekommen ist

• Geänderte Signaturen

können durch

Umschalten zwischen

ALT und NEU verglichen

werden

• Filter steuern, was zur

besseren Übersicht

ausgeblendet wird

OK =

Übernahme der

Signatur

WAF: Das Update einer Signatur wird zum Kinderspiel

Durch Scans generierte Signaturen (Cenzic) lassen sich im NetScaler verwenden

WAF: Scanner für Applikations-Sicherheitslücken

Geschützte Website

Startet regelmäßige Scans

Import der Signaturen

in NetScaler

• Verhindert Mitlesen oder Fälschen von Cookie Informationen

• Verschlüsselt Applikations/Server Cookies und entschlüsselt von Client geschickt Cookies

• Verschlüsselt alle Application Cookies (persistente, nicht-persistente)

• AES-192 Verschlüsselung

Schutz vor Cookie Attacken – Cookie-Verschlüsselung

• Ersetzt alle Server Cookies durch einen einzigen "Web Application Firewall Session Cookie"

• Am Client ist nur das WAF Cookie sichtbar

• Anwendbar nur auf Session Cookies (nicht-persistente)

Schutz vor Cookie Attacken – Proxy Cookies

• HTTP Only Flag – Cookie ist für JavaScript nicht angreifbar

• Secure Flag – Cookie wird nur für HTTPS URLs bereitgestellt

• Beide Attribute werden zum Set-Cookie Header hinzugefügt

Schutz vor Cookie Attacken – Flag Cookies

PCRE-RegEx lernen und im RegEx-Editor bearbeiten

PCRE - Perl Compatible Regular Expressions

Reporting / Monitoring

Weitere Schutzmechanismen der NetScaler-Plattform im Sinne einer WAF

ohne Rewrite mit Rewrite

HTTP/1.x 200 OK

Content-Type: text/html

Content-Location: http://192.168.66.33/index.htm

Last-Modified: Fri, 09 May 2008 14:11:01 GMT

Accept-Ranges: bytes

Etag: "98d5983deb1c81:2fb"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Tue, 10 Jun 2008 21:23:52 GMT

Cache-Control: private

Content-Encoding: gzip

Content-Length: 77

----------------------------------------------------------

HTTP/1.x 200 OK

Content-Type: text/html

Content-Location: http://192.168.66.33/index.htm

Last-Modified: Tue, 10 Jun 2008 14:36:27 GMT

Accept-Ranges: bytes

Etag: "50fa565d7cbc81:2fb"

X-Powered-By: ASP.NET

Date: Tue, 10 Jun 2008 21:28:11 GMT

mjg-header: hallo-welt-2008...!

Cache-Control: private

Content-Encoding: gzip

Content-Length: 97

----------------------------------------------------------

INSERT_AFTER

REPLACE_ALL

INSERT_BEFORE

ohne Rewrite mit Rewrite

DELETE_HTTP_HEADER

INSERT_HTTP_HEADER

Rewrite – NetScaler als „Simultan Dolmetscher“ in Hin-(Request) und Rückrichtung (Response)

• Erhöhung der Sicherheit durch Verbergen von internen Informationen (vergleichbar einem IP-NAT auf Layer-7)

• Wechselnde oder historisch gewachsene Applikations-URLs werden zum Kinderspiel

• User wird unabhängig von • Applikations-Änderungen

• Infrastruktur-Änderungen

URL Transformation – vereinfachte Konfiguration beim Rewrite von URLs

http://AbCo/finance/default.asp

http://mktg/default.asp http://OldCo/cgi-bin/...

www.abc.de/corpinfo/

www.abc.de/products/

www.abc.de/empl/...

NetScaler hilft bei der ERSTELLUNG und der PRÜFUNG der Expression mit dem Evaluator

Rewrite – NetScaler als „Simultan Dolmetscher“ in Hin-(Request) und Rückrichtung (Response)

Mit dem "Rewrite Action Evaluator" wird der Test von von Rewrite Konfigurationen zum Kinderspiel…

Action-Type “Redirect“:

Action-Type “Respond with“:

Responder – NetScaler gibt direkt Antwort oder ist FILTER ungewollter Anfragen

Der NetScalers verarbeitet für die Antwort sowohl statische als auch dynamische Inhalte aus dem Client Request für die Bildung von HTTP-Header und –Body.

Policy-Type “DROP/RESET“:

Application Templates

• Ermöglicht applikationsnahe NetScaler Konfiguration

• Funktionen: Import, Export …

• Angabe von VServer-IP und Backend-Service-IP erfolgt beim Import

• Vereinfachung und Portierbarkeit der Konfiguration für 6 Basis Funktionen

• Templates z.Z. verfügbar für EasyCall, OWA, Sharepoint, SAP NetWeaver, Oracle, Gereric Web-App…

• http://community.citrix.com/display/ns/AppExpertTemplates

Appl.Template Name

Public Endpoint

(CS-VServer)

Application Unit (RegEX-defined part of traffic)

Backend-Service

& Feature Policy

Monitor

… Visualizer auch für GSLB, Network, WAF…

Visualizer - Run-time View

NetScaler unterbindet die Umleitung von Traffic durch Fälschung von DNS-Cache Einträgen durch zusätzliche DNS-Authentisierung

DNSSEC: Schutz vor "DNS Cache Poisoning"

Wo ist mytravel.net?

Answer: 74.125.229.9 Antwort: 74.125.229.9

Also, www.bank.com –

12.1.2.3 (cache poisoning)

Logon zu bank.com

bank.com

Risiko bei Eingabe der

Anmeldeinformationen

• Ermöglicht Einblick in das Applikations-

Verhalten

• Cloud-Ready – Kein SPAN-Port/Network-TAP

erforderlich

• Troubleshooting bei schlechter

Applikations-Performance

• Erkennen von DoS-Attacken auf Application

Layer

• Nutzt vorhandene Ressourcen

• Auswahlmöglichkeit an untersch. Lösungen:

AppFlow (aka IPFIX)

... und noch mehr wissenswertes über den NetScaler...

NetScaler SDX - die Multi-Mandanten Lösung

• NetScaler VPX on XenServer

• Instanzen, keine Partitionen • Memory, CPU Isolation

• Separierung aller Entitäten

• Version/Lifecycle Unabhängigkeit

• Netzwerk Isolation

• Separate Lizensierung

• Integrierte Service VM, kein XenCenter

NetS

cale

r P

erf

orm

an

ce

100Gbps

40Gbps

20Gbps

1Gbps

100’s Apps / Multi-tenancy Applications

1 10 2 3

10Gbps

MPX5500

500Mb

1Gb

MPX 7500

MPX 9500

3Gb

5Gb

MPX 10500

MPX 12500

8Gb

MPX 15500

15Gb

ENTERPRISE

SERVICE PROVIDER/TELCO/CLOUD + INTERNET

CENTRIC

SMB (ISV)

MPX 19500

MPX 21500

MPX 17500

20Gb

35Gb

50Gb

VPX 200

VPX 1000

VPX 10

NetScaler MPX und VPX Produktlinie

VPX 3000

Pay-as-You-Grow

http://www.citrix.com/English/ps2/products/subfeature.asp?contentID=2300447

Passt sich nahtlos in jedes Backend ein

• Hardware- oder Software-Appliance • Hypervisor-unabhängig: XenServer, VMware, Hyper-V

• „Pay-as-you-grow“-Lizensierung

• Gleicher Funktionsumfang, Konfiguration und GUI

NetScaler

MPX

Appliances

NetScaler VPX

für

XenServer

NetScaler VPX

für

Vmware

NetScaler VPX

für

Hyper-V

Beschleunigung

Verfügbarkeit

Offload

Sicherheit ESX / ESXi

3.5 / 4.0

• Ihre Meinung ist uns wichtig. Bitte nehmen Sie sich einige Minuten Zeit, unseren Online Feedbackbogen auszufüllen. Den Link dazu erhalten Sie einige Tage nach der Veranstaltung.

• Im Anschluss an den Fragebogen haben Sie Zugriff auf die Downloadseite der Präsentationen.

Feedback und Präsentationen