FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
-
Upload
verein-fm-konferenz -
Category
Technology
-
view
820 -
download
4
Transcript of FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FileMaker Sicherheit, Sicherheit, Sicherheit
Was man alles beachten muss, um seine oder die Datenbanken des Kunden vor unbefugtem Zugriff zu schützen.
JA, dies vorweg, FileMaker Pro ist sicher.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Über mich
• Alexis Gehrt [email protected]
• Matura, ETH Zürich - Elektro Ingenieur Studium
• Apple Distributor Schweiz (vor Apple Schweiz)
• Macintosh Software Distribution
• Dort seit ca. 1992 FileMaker Entwickler (inhouse)
• Im Jahr 2000 Database Designs als Einzelfirma gegründet.
• Mit-Organisator vom St. Galler 4-Ländereck FM-Stammtisch
• Kunden: Industrie, Goldschmiede, Medizin, Handel
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Hobbies
• Mountain Biken / Bike Guide
Ausser in diesem Sommer…
😞
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Quellen (engl.)• FileMaker Talk von Matt Navarre und Matt Petrowsky
https://itunes.apple.com/ch/podcast/security-security-security!/id294672686?i=335432140&l=en&mt=2
• Security Webinar von FMAcademy dbservices
https://www.youtube.com/watch?v=hoTqx6JD2O8
• DevCon 2014 - COR002 - Rosemary Tietge - Security: The Threat Landscape and the FileMaker Platform
• DevCon 2015 - COR008 - Ronnie Rios - Security: Inside and Out
• https://community.filemaker.com/docs/DOC-6139
• http://info2.filemaker.com/NAFMSecurity_video_reg.html
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Das Umfeld
• Sony Hack
• Ashley-Madison
• http://www.zone-h.org
• http://map.norsecorp.com
• https://cybermap.kaspersky.com
• http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Das Umfeld
• Die FileMaker Gemeinde “denkt” wir sind ja eine kleine Gruppe, aber auch in “unseren” Datenbanken können sich interessante Informationen befinden.
• Der Port 5003 ist einfacher gescannt, als man meint
• Generell IT Sicherheit Regeln wie die “Grossen”
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Ich “garantiere” Euch…
• Der “Klassiker” wenn man einem Kollegen chattet… “Mann, mein Laptop ist weg gekommen mit allen Daten und Fotos… und mein Backup ist 2 Wochen alt.”
• Was passiert? Alle prüfen gleich mal den Status ihrer TimeMachine 😉
• Ich “garantiere” Euch, es wird so mancher nach dem Vortrag dringend mal auf seinen Server schauen müssen.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Lokale Dateien
• Lokaler Zugriff auf eine Datei ist immer ein höheres Risiko, als auf einem Server.
• http://www.lostpassword.com/filemaker.htm
tauscht gleich das ganze Schliesssystem aus (Zylinder & Schlüssel)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Admin entfernen
• Immer eine Datenexport Option drin haben.
• Heikel bzw. “Die volle Paranoia”
• UND/ODER eine “geheime” verlinkte Datei (Siehe auch externe Verlinkung)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Externe Verlinkung• War bis ca. FM 11 ein Problem!
• Die Dateien werden via interne Datei IDs verlinked
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Problem: Gast Konto
• Das Gast Konto hat immer “Lese” Rechte auf alle Tabellen und ist daher eher ungeeignet
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Low Level User
• Leere Begrüssungs Tabelle mit Welcome Screen
• Keine Weiteren Rechte
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Privilegien Sets• Immer daran denken für “neue” Layouts keine Zugriff einschalten.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Felder verschlüsseln mit BaseElements
• Das Plug-In ist gratis und Server fähig!
• BE Dokumentation:
https://github.com/GoyaPtyLtd/BaseElements-Plugin/wiki/FunctionsRunScript Funktion
• Einzelne Felder verschlüsseln
• https://www.dbservices.com/articles/filemaker-encryption-with-baseelements/
• Funktionen:
BE_Encrypt_AES
BE_Decrypt_AES
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Passwort Standards
• Die Länge des Passworts spielt ein Rolle bei “brute force” Attacks
• Für Firmen:
• Der Server unterstützt Open Directory und Active Directory. so können einfacher Passwort Standards sichergestellt werden.
• Hinweis: Ein Admin kann mit genügend “Hack-Energie” eine Sicherheitsgruppe simulieren und sich so Zugang verschaffen. Quelle: FMAcademy/dbservices
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
[Full Access] Konten
• Bis uns mit FileMaker 13 konnte jemand kurz an Ihrem Bildschirm ein [Full Access] Konto einrichten und die Security gleich mit diesem Konto bestätigen
-> FileMaker 14
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Passwort im Schlüsselbund
• Automatisches Speichern des Passworts im Schlüsselbund.
• Ab FileMaker Pro 14 für Windows eine “neue” Funktion, für Mac erstmal “sperren” möglich.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Skripte
• ScriptNames (Get(FileName)) im DataViewer
• Jeder Script kann von einem Plug-In gestartet werden.
• fmp URL Protokoll
fmp://$/Datenbank.fmp12?script=Geheim
• BE_ExecuteScript ( scriptName {; fileName ; parameter } )
• Skripte auf spez. Funktionen blockieren nur Server Get(ApplicationVersion)
“Guard Clause” - Test zu Beginn des Skripts
Allow User Abort [ Off ] If [ PatternCount ( Get(ApplicationVersion) ; "SERVER" ) = 0 ]
Exit Script [ ]
End If
• PatternCount(Get(ApplicationVersion); ”ProAdvanced”) > 0 und Get(AccountPrivilegeSetName) ≠ “[Full Access] -> blockieren
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Zugriffsrechte Skripte• Zwar aufwändig, aber je
nach Umgebung und Sicherheit eine Arbeit, die sich lohnt
• FileMaker kontrolliert, wer einen Skript ausführen darf.
• Nicht zugelassene Scripte sind gar nicht erst sichtbar.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Versteckte Layouts• Ein Layout verstecken reicht nicht aus
• LayoutNames
tell application "FileMaker Pro Advanced" go to layout "Alle_Daten" of window "Datenbankname" end tell
• Auch hier FileMaker Privilegien verwenden
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Globale Variablen
• Achtung: Globale $$ Variablen für Navigation
• Globale Variablen können im DataViewer instanziert werden:
Evaluate ("Let ( $$Zugriff = \"Admin\" ; \"\" )”)
• Ein berechnetes Feld (Unstored) Get(AccountName) ist nicht bearbeitbar.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Table View
• Achtung: In Table View können Felder ohne Layoutmode eingeblendet werden
• Ebenso können Feldwerte im DataViewer angezeigt werden
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Die FileMaker Security Layer
• Die ultimative Autorität ist nur das Privilegen Set und das was wirklich funktioniert.
• Denken Sie auch an ODBC, XML Publishing und Execute SQL als Hintertüre auch wenn Sie Daten z.B. per Layout Zugriff sperren
• Export Rechte nicht vergessen
Quelle: FMAcademy/dbservices
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FileMaker Server
• Zugriff nur via das FileMaker eigene Protokoll über Port 5003, ggf. Ports 80, 443 für WebDirect
• Server Administration 16000-16001 lasse ich bei meinem Server nur mit VPN-Verbindung/hinter der FireWall zu.
• VPN für iOS
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FileMaker Server• DMZ Setup (Bild Wikipedia)
https://de.wikipedia.org/wiki/Demilitarized_Zone
FM Server in DMZ
Port 5003
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Sharing Optionen
• Eine Datei kann so zwar “unsichtbar” gemacht werden.
• ABER kein Versteck ist auf immer sicher.
• Zuerst autorisieren, dass der User die Datenbank sehen kann
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Server und SSL• SSL Einschalten
• FMS 14 unterstützt:
TLS 1.2 (Transport Layer Security)
• Dies verschlüsselt den Traffic im Netz
• WireShark
https://www.wireshark.org
tcp.port = 5003
WLAN Modul (Riverbed AirPcap Adapter for Microsoft Windows)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Weitere Server Einstellungen
• Seit FMS 14 auch https für progressive Downloads
• Ports können geändert werden.
• Inaktive Benutzer trennen einschalten
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FMServer_Sample
• Das Problem bzw. eine mögliche Eingangstüre für einen versierten FileMaker Entwickler !!!
Offen mit nur “Admin”
• Dem Admin einen Streich spielen und ein Container Feld so lange füllen, bis der Server den Dienst quittiert, weil die Festplatte voll ist.
• Perform Script on Server
-> Test für Plug-Ins, die unter Umständen schon installiert sind. Get(InstalledFMPlugins).
Ab Version 13.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Server Plug-Ins
• Testen, ob der Admin es erlaubt hat, Plug-Ins zu installieren.
• Install Plug-In (Perform Script on Server)
• z.B. BaseElements Plug-In ist gratis und Server fähig!
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Perform Script on Server & Plug-Ins• Bedingung für dies alles ist, dass auf
einem Server entweder Plug-Ins installiert werden können oder Plug-Ins mit FileSystem Zugriff installiert werden können.
• Die Sandbox des FileMaker Servers :
Das Plug-In läuft innerhalb der 'fmserver' Rechte aber mit etwas tricksen kann man den Pfad des Data/Backup/Ordners errechnen
So kann man auch die im Host “unsichtbaren” Dateien sehen. BE kann auch direkt die Dateien zippen und als FTP verschicken oder in ein MedienFeld kopieren. Dann hat man wieder direkten Zugriff auf die Datei selbst.
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
EAR
• Encryption At Rest (FileMaker Pro, Server und GO)
• Verschlüsselung der einzelnen Daten-Blöcke auf der Festplatte
• Einzig die Daten im Speicher/RAM sind entschlüsselt.
• 256-Bit AES
• Übrigens die “smarte” Variante für Cloud Backups (Wir erinnern uns an die Thematik von lokalen Dateien. Der Cloud Provider hat theoretisch lokalen Zugriff auf die Dateien)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
EAR• Passwort nicht im
FileMaker Server speichern - je nach Sicherheitstandards
-> DBs bleiben nach einem Neustart geschlossen
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Fragen ?
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Vielen Dank unseren Sponsoren
Danke für das Bewerten dieses Vortrages