© Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH...
Transcript of © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH...
![Page 1: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/1.jpg)
© Materna GmbH 2014 www.materna.de 2
![Page 2: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/2.jpg)
Wer ist Materna?
© Materna GmbH 2014 www.materna.de 3
Gegründet 1980
1.400 Mitarbeiter
Umsatz 2013: 158 Mio. €
Dortmund
Düsseldorf
Bad Vilbel
Göppingen
Erlangen
München
Dresden
Bremen Hamburg
BerlinWolfsburg
FI
SE
DK
PL
SK
ITCH AT
UKNL
DECZ
Gründer.
Helmut an de Meulen Dr. Winfried Materna
![Page 3: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/3.jpg)
Wer ist Frank Pientka?
Dipl.-Informatiker (TH Karlsruhe)
Software Architect in Dortmund
iSAQB-Gründungsmitglied
heise.de/developer/Federlesen-Kolumne
Über 20 Jahre IT-ErfahrungVeröffentlichungen und Vorträge zu:
Datenbanken, Applikations- und Portalserver
© Materna GmbH 2014 www.materna.de 4
![Page 4: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/4.jpg)
Sicherheitslücke im Herzen des Internets 8.April 2014
© Materna GmbH 2014 www.materna.de 5
noch mehr Herzbluten …
![Page 5: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/5.jpg)
https://www.openssl.org/about/roadmap.html
objectives for improvement RT Backlog Incomplete/incorrect documentation Library complexity Inconsistent coding style Lack of code review No clear release plan No clear platform strategy
© Materna GmbH 2014 www.materna.de 6
![Page 6: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/6.jpg)
Freier Zugriff auf Industrieanlagen (FU Berlin 24.02.2014)
© Materna GmbH 2014 www.materna.de 7
![Page 7: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/7.jpg)
© Materna GmbH 2014 www.materna.de 8
![Page 8: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/8.jpg)
OWASP Top 10 2013
© Materna GmbH 2014 www.materna.de 9
2013-A1 – Injection
2013-A2 – Broken Authentication and Session Management
2013-A3 – Cross Site Scripting (XSS)
2013-A4 – Insecure Direct Object References
2013-A5 – Security Misconfiguration
2013-A6 – Sensitive Data Exposure
2013-A7 – Missing Function Level Access Control
2013-A8 – Cross-Site Request Forgery (CSRF)
2013-A9 – Using Known Vulnerable Components (NEW)
2013-A10 – Unvalidated Redirects and Forwards
Risk Rating Methodology
![Page 9: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/9.jpg)
Welcher Anwendungsserver wird eingesetzt?
© Materna GmbH 2014 www.materna.de 10
Java tools and technologiesreport 2014 RebelLabs
![Page 10: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/10.jpg)
Welcher Anwendungsserver wird eingesetzt?
© Materna GmbH 2014 www.materna.de 11
2,6%
3,0%
4,3%
4,0%
3,5%
9,0%
32,1%
2,5%
3,6%
4,9%
5,1%
6,6%
8,6%
33,6%
2,5%
3,9%
4,3%
4,0%
4,3%
8,2%
29,9%
2,4%
3,0%
5,3%
3,8%
7,2%
11,8%
32,6%
Oracle WebLogic
Glassfish
Other (specify)
IBM WebSphere
Jetty
JBoss
Apache Tomcat
2014201320122011
Eclipse Community Survey June 2014
![Page 11: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/11.jpg)
Apache Tomcat Versionen
© Materna GmbH 2014 www.materna.de 12
Veröffentlicht Servlet/ JSP Spec Tomcat Version Java, EL Version
2013 3.1 2.3 8.0.x (8.0.12) JRE 1.7+(8), EL 3.0, TLS 1.2, JDBC 4.1
2010 3.0 2.2 7.0.x (7.0.55) JRE 1.6+(8), EL 2.2, TLS 1.0, JDBC 4.0
2006 2.5 2.1 6.0.x (6.0.41) JRE 1.5+(8), EL 2.1, TLS 1.0, JDBC 3.0
2004 2.4 2.0 5.5.36 (EOL) JDK 1.4+, EL 1.0, TLS 1.0, JDBC 2.1
![Page 12: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/12.jpg)
Welche Tomcat-Schwachstellen? (cvedetails.com)
© Materna GmbH 2014 www.materna.de 14
>95%
![Page 13: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/13.jpg)
Entwicklung der Tomcat-Schwachstellen? (cvedetails.com)
© Materna GmbH 2014 www.materna.de 15
![Page 14: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/14.jpg)
Tomcat Sicherheit
© Materna GmbH 2014 www.materna.de 16
http://tomcat.apache.orghttp://tomcat.apache.org/security.htmlhttp://tomcat.apache.org/tomcat-8.0-doc/security-howto.htmlhttp://docs.oracle.com/javase/7/docs/technotes/guides/security/http://www.mulesoft.com/improving-apache-tomcat-security-step-step-guidehttps://www.owasp.org/index.php/Securing_tomcathttps://bugs.openjdk.java.net/browse/JDK
![Page 15: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/15.jpg)
Tomcat-Überblick: Sicherheits-Kontext
© Materna GmbH 2014 www.materna.de 17
Benutzer
Entwickler
http/s
http/s, file
http/s, file, rmi, jmx
Administrator
logging: catalina.loglocalhost.yymmdd.loglocalhost_access_loglogging properties
Rollen: manager-guimanager-scriptmanager-jmxmanager-status
config: catalina.policycatalina.propertiescontext.xmltomcat-users.xmlweb,xml
Konfiguration
DB
LDAP
File
Tomcat
![Page 16: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/16.jpg)
Tomcat Komponenten
Tomcat Server
ServiceEngine (Catalina)
Connector (Coyote) HostContextContextContext
Realm
LoggerLoggerLogger
Connector (AJP)
Connector (SSL/ APR)
LoggerLoggerLoggerLoggerLoggerLogger
Valve
Valve
Valve
© Materna GmbH 2014 www.materna.de 18
NIO/BIO
Upgrade-HeaderSPDY/APRhttp://... -> https://... -> https//…:443WebSocket-NIO
http://... -> ws://https://... -> wss://
![Page 17: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/17.jpg)
Sicherheit - aber wie?
Ebenen der Sicherheit CVE-Bedrohungsarten, OWASP-Kategorien kennen Verschlüsselung, Chiffren, Algorithmen, Zertifikate Java, Policy, JCA, lange Schlüssel Authentifizierung, Autorisierung, Passwort Hashing Konfiguration abspecken (Tarnen, Fläche verkleinern, entfernen) Filtern (CsrfPreventionFilter, RemoteAddrValve) Aktualisierung ALLER Komponenten
© Materna GmbH 2014 www.materna.de 19
Host
Network
Java
Application Server
Application
![Page 18: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/18.jpg)
Host
Network
Java
Application Server
Application
Wie überwachen?
JMX Ressourcen-Verbrauch, Grenzwerte Logdateien auswerten Auffälligkeiten, Fehlercodes Manager Console Konfiguration, Ressourcen, Anwendungen Jar-Versionen überprüfen CVEchecker, CVE Dependency-Check SSL/TLS ciphersuites anzeigen, überprüfen cipherscan
© Materna GmbH 2014 www.materna.de 20
![Page 19: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/19.jpg)
Sicherheit von Anfang an - abspecken
Installationsdatei verifizieren md5sum -c apache-tomcat-8.0.8.zip.md5
Aktuelle Versionen (Tomcat, Java, JDBC, HTTP, mod_jk) Aufräumen: webapps, lib, conf (Hotdeployment, Devmode,
Shutdown) Konfiguration anpassen: server.xml, web.xml Testen
© Materna GmbH 2014 www.materna.de 21
Host
Network
Java
Application Server
Application
![Page 20: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/20.jpg)
Host
Network
Java
Application Server
Application
Tarnen, täuschen - Produktversion verschleiern
CATALINA_HOME/lib jar xf catalina.jar org/apache/catalina/util/ServerInfo.propertiesServerInfo.properties server.info=Apache server.number=0.0.0.0jar uf catalina.jar org/apache/catalina/util/ServerInfo.properties
CATALINA_HOME/conf/server.xml <Connector port="8080" ... server="Apache" />
Testen: version.[sh|bat]telnet localhost/index 8080, wget https://localhost:8443
© Materna GmbH 2014 www.materna.de 22
![Page 21: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/21.jpg)
Host
Network
Zugriff für Webanwendungen kontrollieren: Wer, Wie , Was?
Tomcat ServerEngine (Catalina)
HostContext
RealmRealmRealm
BASIC (RFC-2617)
FORM based (RFC-2617)
DIGEST
CLIENT-CERT
Authentifizierung & Authorisierung
Benutzer, Passwort
• JNDI • File• LDAP• JDBC•...
Security Rolle
BenutzerPasswortRolle
© Materna GmbH 2014 www.materna.de 23
Application ServerApplication
![Page 22: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/22.jpg)
2013-A2 Broken Authentication: Verschlüsselte Passwörter gestern & heute
digest.sh -a SHA-512 secretsecret:2bb80d537b1da3e38bd30361aa855686bde0eacd7162fef6a25fe97bf527a25b<tomcat-users> <role rolename="manager-gui"/> <user username="admin" password="2bb80d537b1da3e38bd30361aa855686bde0eacd7162fef6a25fe97bf527a25b" roles="manager-gui"/> </tomcat-users><Realm className="org.apache.catalina.realm.MemoryRealm" digest="SHA-512" /><Realm className="org.apache.catalina.realm.LockOutRealm"
resourceName="UserDatabase„ />
© Materna GmbH 2014 www.materna.de 24
ApplicationRealm
![Page 23: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/23.jpg)
OWASP Top 10 für Entwickler-2013: A8 Cross-Site Request Forgery
© Materna GmbH 2014 www.materna.de 25
https://www.owasp.org/index.php/Germany/Projekte/Top_10_fuer_Entwickler-2013/A8-Cross-Site_Request_Forgery_%28CSRF%29
Application Tomcat 6,7,8: org.apache.catalina.filters.CsrfPreventionFilter JSF 2.2 HTTP POST: javax.faces.ViewState hidden field with random token HTTP GET protected-views in WEB-INF/faces-config.xml URLs have the new javax.faces.Token URL parameter
< JSF 2.2 org.owasp.csrfguard.CsrfGuardFilter 3.0
![Page 24: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/24.jpg)
XSS-Angriffe: JSESSIONID als HttpOnly in Cookie statt URL zeitbegrenzt
Seit Servlet 3.0 WEB-INF/web.xml<session-config>
<session-timeout>30</session-timeout><cookie-config>
<http-only>true</http-only></cookie-config><tracking-mode>COOKIE</tracking-mode>
</session-config>
© Materna GmbH 2014 www.materna.de 26
Tomcat 6 in CATALINA_BASE/conf/context.xml, ab Tomcat 7 default<?xml version="1.0" encoding="UTF-8"?><Context path="/myWebApplicationPath" useHttpOnly="true">HTTP Strict Transport Security (HSTS) (RFC 6797) Bug 54618
Application ServerApplication
![Page 25: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/25.jpg)
http://jeremylong.github.io/DependencyCheck
© Materna GmbH 2014 www.materna.de 27
catalina.jar (cpe:/a:apache:tomcat:7.0.48, cpe:/a:apache_software_foundation:tomcat:7.0.48) : CVE-2013-0346jasper.jar (cpe:/a:apache:tomcat:7.0.48, cpe:/a:apache_software_foundation:tomcat:7.0.48) : CVE-2013-0346tomcat-api.jar (cpe:/a:apache:tomcat:7.0.48, cpe:/a:apache_software_foundation:tomcat:7.0.48, cpe:/a:apache_tomcat:apache_tomcat:7.0.48) : CVE-2013-0346tomcat-i18n-fr.jar (cpe:/a:apache:tomcat:7.0.48, cpe:/a:apache_software_foundation:tomcat:7.0.48, cpe:/a:apache_tomcat:apache_tomcat:7.0.48, cpe:/a:nfr:nfr:7.0.48) : CVE-2013-0346tomcat-jdbc.jar (cpe:/a:apache:tomcat, cpe:/a:apache_software_foundation:tomcat:1.1.0.1, cpe:/a:apache_tomcat:apache_tomcat:1.1.0.1) : CVE-2013-2185, CVE-2009-2696, CVE-2007-5461, CVE-2002-0493
Application
![Page 26: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/26.jpg)
Java-Policies anwenden
conf catalina.properties catalina.policy
// These permissions apply to the servlet API classes// and those that are shared across all class loaders// located in the "lib" directorygrant codeBase "file:${catalina.home}/lib/-" {
permission java.security.AllPermission;};// The permissions granted to the context WEB-INF/classes directorygrant codeBase "file:${catalina.base}/webapps/ROOT/WEB-INF/classes/-" { };
© Materna GmbH 2014 www.materna.de 29
Java
![Page 27: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/27.jpg)
Sichere Ausführung mit Java-Security-Manager
catalina commands: debug -security Debug with security manager run -security Start in current window with security manager start -security Start in separate window with security manager
Beispiel: catalina run -security
© Materna GmbH 2014 www.materna.de 30
Java
![Page 28: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/28.jpg)
SSL der gefährlichste Code der Welt!!!TLS 1.2 erste Wahl – seit 2008 bis heute
© Materna GmbH 2014 www.materna.de 31
Mindeststandard des BSI nach § 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung
![Page 29: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/29.jpg)
https://www.trustworthyinternet.org/ssl-pulse
© Materna GmbH 2014 www.materna.de 32
Protocol Support April/Mai 2014
Key StrengthDistributionCiphers weaker than 128 bits
![Page 30: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/30.jpg)
Längere Schlüssel mit JCE
Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files Downloadcp local_policy.jar US_export_policy.jar jre/lib/security DES = 64 (nachher: 2147483647) Triple DES = 128 (nachher: 2147483647) AES = 128 (nachher: 2147483647=unlimited=256) Blowfish = 128 (nachher: 2147483647) RSA = 2147483647
jre\lib\security\java.security: jdk.tls.disabledAlgorithms=MD5, SHA1, DSA, RSA keySize < 2048securerandom.source=file:/dev/urandom (SHA1PRNG, NativePRNGNonBlocking, Windows-PRNG)
© Materna GmbH 2014 www.materna.de 33
Java
![Page 31: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/31.jpg)
Java Cryptography Architecture Standard Algorithm Name Documentation for JDK 8
© Materna GmbH 2014 www.materna.de 34
![Page 32: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/32.jpg)
Welche Chiffren?
openssl versionopenssl ciphers -vopenssl ciphers -V ‚EECDH+ECDSA+AESGCMEECDH+aRSA+ECDSA+SHA256EECDH+aRSA+RC4EDH+aRSAEECDHRC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS‘
TLS_ECDHE_RSA_WITH_RC4_128_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
© Materna GmbH 2014 www.materna.de 35
Network
![Page 33: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/33.jpg)
Schwache Chiffren & SSL 2.0 deaktivieren, lange Schlüssel verwenden
server.xml<connector port=„8443" maxhttpheadersize="8192" address="127.0.0.1" enablelookups="false" disableuploadtimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol=„TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA" keystoreFile="mydomain.key" keystorePass="password" truststoreFile="mytruststore.truststore" truststorePass="password"/>java -Djavax.net.debug=help MyApp
© Materna GmbH 2014 www.materna.de 36
Kontrolle: http://localhost:8080/manager/text/sslConnectorCiphersNetwork
<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true„ scheme="https" secure="true„ SSLCertificateFile="servercert.pem" SSLCertificateKeyFile="privkey.pem" SSLPassword="password" clientAuth="false" sslProtocol="TLS" />
![Page 34: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/34.jpg)
Sicherheitsneuerungen in Java 8
© Materna GmbH 2014 www.materna.de 37
JEP Title114 TLS Server Name Indication (SNI) Extension
115 AEAD CipherSuites
121 Stronger Algorithms for Password-Based Encryption
123 Configurable Secure Random-Number Generation
124 Enhance the Certificate Revocation-Checking API
129 NSA Suite B Cryptographic Algorithms
130 SHA-224 Message Digests
131 PKCS#11 Crypto Provider for 64-bit Windows
164 Hardware Acceleration on Intel and AMD processors
166 Overhaul JKS-JCEKS-PKCS12 Keystores
Java
![Page 35: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/35.jpg)
Bereiche der Sicherheitsneuerungen in Java 8
© Materna GmbH 2014 www.materna.de 38
Crypto
Authentication
Acc
ess
Con
trol
Secure CommunicationP
KI
115
113
114
121123
124
129 130
131
140
166
JEP = JDK Enhancement-Proposal
![Page 36: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/36.jpg)
Secure Sockets Layer (SSL) mit Tomcat auf zwei Wegen
Zwei Konnektoren:1. JSSE protocol="org.apache.coyote.http11.Http11NioProtocol“ (TLS 1.x)2. OpenSSL 1.0.1h/i (Bug 56844)-> 1.1.31, APR 1.5.1
protocol="org.apache.coyote.http11.Http11AprProtocol“ (nur TLS 1.0, Bug 53952 support TLS 1.1 & 1.2)
Zwei Keystore-Formate: JKS (Java KeyStore): java keytool PKCS12 (Public Key Cryptography Personal Information Exchange Syntax): OpenSSL
© Materna GmbH 2014 www.materna.de 40
Host
Network
Java
![Page 37: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/37.jpg)
SSL Report: datenabgabe.dpma.de (194.59.120.31)
© Materna GmbH 2014 www.materna.de 44
![Page 38: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/38.jpg)
Apache https / Tomcat mit OpenSSL 1.0 Chiffrensammlung+Schlüssellänge
© Materna GmbH 2014 www.materna.de 45
![Page 39: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/39.jpg)
http://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers
© Materna GmbH 2014 www.materna.de 46
![Page 40: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/40.jpg)
https://www.ssllabs.com/ssltest/viewMyClient.html
© Materna GmbH 2014 www.materna.de 47
![Page 41: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/41.jpg)
Fazit: Apache Tomcat aber sicher!
Wie groß ist die Bedrohung? Ist SSL wirklich sicher? Tomcat ist bedroht! Sicherheit von Anfang an: default is faul(t) Mehrstufige Verteidungsstrategie! Der Weg ist das Ziel
© Materna GmbH 2014 www.materna.de 48
![Page 42: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/42.jpg)
Sind Sie sicher?Muss ich das jetzt auch noch tun …Muss ich das jetzt auch noch tun …
© Materna GmbH 2014 www.materna.de 49
![Page 43: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/43.jpg)
Ausblick – Kryptokalypse?
2014 wird IST das Jahr der Kryptographie TLS 1.2 ist sicher, wenn Client&Server korrekt eingestellt! Clients hinken bei Sicherheit Server hinterher Sicherheit kostet! (Zeit&Geld&Performance Ruf) Kenne deine Systeme, Angreifer und Waffen!
© Materna GmbH 2014 www.materna.de 50
Host
Network
Java
Application Server
Application
![Page 44: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/44.jpg)
Weitere Infos Tomcat 8 Dokumentation
http://tomcat.apache.org/tomcat-80-doc/security-howto.html, http://wiki.apache.org/tomcatq/FAQ/Security
OWASP-Empfehlungen für Tomcat https://www.owasp.org/index.php/Securing_tomcat
SSL/TLS Deployment Best Practices, Ivan Ristić, v1.3, 2013 https://wiki.mozilla.org/Security/Server_Side_TLS http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#Debug BSI Sicherheitsuntersuchung des Apache Jakarta Tomcat, 2006 CIS Apache Tomcat 5.5/6.x Server Security Benchmark v1.0.0, 2009 Tomact aber sicher, Frank Pientka, JavaSpektrum 04/2014
© Materna GmbH 2014 www.materna.de 51
![Page 45: © Materna GmbH 2014 2 · Sicherheitslücke im Herzen des Internets 8.April 2014 © Materna GmbH 2014 5 noch mehr Herzbluten …](https://reader035.fdocument.pub/reader035/viewer/2022081408/607144ead1ecf243d03260b2/html5/thumbnails/45.jpg)
© Materna GmbH 2014 www.materna.de 52