1. Trang chủ
  2. » Giáo Dục - Đào Tạo

DETECT ATTACK AND SECURING SSL/TLS - Lê Quốc Nhật Đông

28 139 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 28
Dung lượng 705,79 KB

Nội dung

SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 28 DETECT ATTACK AND SECURING SSL/TLS Lê Quốc Nhật Đông Hoa Sen University & Lac Tien JSC lequocnhatdong@msdnvietnam.net SECURITY BOOTCAMP 2012 | Make yourself to be an expert! About me2 + Student at Hoa Sen University 28 + Work for Lac Tien JSC + FOSS Experience: Linux Server + Programmer: Python/Perl/Shell + Developer of Webscan Project facebook.com/nguyenduonghieu.std linkedin.com/in/lequocnhatdong Insert an artribary text like your topic name, personal info, SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! www.ssllabs.com/ssltest 28 webscan.com.vn/ssllab SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Các kĩ thuật detect khắc phục lỗ hỏng + BEAST Attack + CRIME Attack 28 + Man-in-the-Middle SSL Attack + SSL DoS Attack + Strict Transport Security + Perfect Forward Secrecy SECURITY BOOTCAMP 2012 | Make yourself to be an expert! BEAST: A Surprising Cryto Attack Against HTTPS + Là kĩ thuật khai thác thành công điểm yếu chế mã hóa khối (CBC – Block Cipher) 28 + Mục tiêu decrypt HTTPS request đọc cookie (chứa session ID) có HTTPS request + Attacker cài agent vào browser victim Agent có khả yêu cầu browser thực request HTTP đọc nội dung request Agent đơn giản đoạn code javascript, cài vào browser theo cách công XSS SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 28 Demo detect BEAST Vulnerable SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Defense with BEAST Attack 10 Để chống lại BEAST Attack, cần thực bước bảo mật sau: + Vơ hiệu hóa tất Block Cipher AES_CBC ưu tiên Stream Cipher RC4 + Đặt chế độ thỏa thuận ưu tiên cho String Cipher (như RC4-SHA, RC4-MD5, ) 28 + Sử dụng giao thức bảo mật TLSv1.1 TLSv1.2 thay cho TLSv1.0 + Tắt giao thức SSL 2.0 phiên OpenSSL cũ + Hạn chế dạng công Cross Site Scripting (XSS) nhắm vào máy chủ + Apache, mod_ssl OpenSSL phải cập nhật phiên SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Perfect Forward Secrecy 14 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Toàn giải thuật cụ thể DH (Diffie-Hellman) là: - Một số nguyên tố p 15 phần tử t thuộc Zp , p t công khại 1> Bên A chọn số nguyên tố Ra (0<=Ra<=p-2), giữ kín Ra 2> A tính: Ca= ( t ^ Ra ) mod p, Gửi Ca cho B 3> B chọn số nguyên tố Rb (0<=Rb<=p-2), giữ kín Rb 28 4> B tính: Cb= ( t ^ Rb ) mod p, gửi Cb cho A 5> Lúc này, A có Ra Cb; B có Rb Ca A tính K = ( Cb ^ Ra ) mod p B tính K = ( Ca ^ Rb ) mod p Trong đó: + Ra, Rb: khoá riêng + Ca,Cb: khoá chung Với giá trị Ra Rb làm ngẫu nhiên theo thời gian định tính giây, ta gọi giải thuật Ephemeral Diffie-Hellman (EDH DHE) SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Trong phiên OpenSSL16 1.0.0 cập nhật ECDHE DHE, ta sử dụng lệnh sau: $ openssl ciphers ECDH Trong tập tin /etc/apache2/mods-available/ssl.conf, thay đổi thành sau: 28 SSLCipherSuite "ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:RC4:HIGH:! MD5:!aNULL:!EDH:!AESGCM" Để kiểm tra server mạng Internet có hỗ trợ Forward Secrecy hay khơng, thực lệnh: $ echo GET | openssl s_client -tls1 -cipher ECDH -connect google.com:443 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 17 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 18 hoạt động hai trình duyệt máy chủ hỗ trợ + CRIME Attacke TLS compression SPDY + Hoạt động với tất phiên TLS tất Cipher Suites 28 + Hoạt động tính HSTS cài đặt sẵn SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Cách để ngăn chặn CRIME vơ hiệu hóa TLS Compression áp dụng 19 vá SPDY máy chủ máy khách Trình duyệt web (browser) cần phải thực nâng cấp phiên 28 Từ phía máy chủ, cần thay đổi tập tin php.ini sau: zlib.output_compression = Off echo “export OPENSSL_NO_DEFAULT_ZLIB=1” >>/etc/apache2/httpd.conf SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Để detect CRIME Attack hướng server, ta thực câu lệnh openssl 20 $ echo GET | openssl s_client -connect mobivi.vn:443 -state-showcerts 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! SSL DoS Attack 21 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 22 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 23 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 24 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! Trong tập tin cấu hình ssl.conf nên thiết lập sau: 25 SSLInsecureRenegotiation off Thiết lập rule iptables sau: iptables -A LIMIT_SSL \ 28 -p tcp dport 443 \ syn -m state state NEW \ -m hashlimit \ hashlimit-above 120/minute hashlimit-burst 20 \ hashlimit-mode srcip hashlimit-name ssl-conn \ -j DROP SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 26 28 Man-in-the-Middle Attack SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 27 28 SECURITY BOOTCAMP 2012 | Make yourself to be an expert! 28 THANKS FOR LISTENING 28

Ngày đăng: 11/06/2018, 17:19

TỪ KHÓA LIÊN QUAN

w