fmk2015: filemaker sicherheit sicherheit sicherheit by alexis gehrt
TRANSCRIPT
![Page 1: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/1.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FileMaker Sicherheit, Sicherheit, Sicherheit
Was man alles beachten muss, um seine oder die Datenbanken des Kunden vor unbefugtem Zugriff zu schützen.
JA, dies vorweg, FileMaker Pro ist sicher.
![Page 2: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/2.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Über mich
• Alexis Gehrt [email protected]
• Matura, ETH Zürich - Elektro Ingenieur Studium
• Apple Distributor Schweiz (vor Apple Schweiz)
• Macintosh Software Distribution
• Dort seit ca. 1992 FileMaker Entwickler (inhouse)
• Im Jahr 2000 Database Designs als Einzelfirma gegründet.
• Mit-Organisator vom St. Galler 4-Ländereck FM-Stammtisch
• Kunden: Industrie, Goldschmiede, Medizin, Handel
![Page 3: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/3.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Hobbies
• Mountain Biken / Bike Guide
Ausser in diesem Sommer…
😞
![Page 4: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/4.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Quellen (engl.)• FileMaker Talk von Matt Navarre und Matt Petrowsky
https://itunes.apple.com/ch/podcast/security-security-security!/id294672686?i=335432140&l=en&mt=2
• Security Webinar von FMAcademy dbservices
https://www.youtube.com/watch?v=hoTqx6JD2O8
• DevCon 2014 - COR002 - Rosemary Tietge - Security: The Threat Landscape and the FileMaker Platform
• DevCon 2015 - COR008 - Ronnie Rios - Security: Inside and Out
• https://community.filemaker.com/docs/DOC-6139
• http://info2.filemaker.com/NAFMSecurity_video_reg.html
![Page 5: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/5.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Das Umfeld
• Sony Hack
• Ashley-Madison
• http://www.zone-h.org
• http://map.norsecorp.com
• https://cybermap.kaspersky.com
• http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
![Page 6: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/6.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Das Umfeld
• Die FileMaker Gemeinde “denkt” wir sind ja eine kleine Gruppe, aber auch in “unseren” Datenbanken können sich interessante Informationen befinden.
• Der Port 5003 ist einfacher gescannt, als man meint
• Generell IT Sicherheit Regeln wie die “Grossen”
![Page 7: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/7.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Ich “garantiere” Euch…
• Der “Klassiker” wenn man einem Kollegen chattet… “Mann, mein Laptop ist weg gekommen mit allen Daten und Fotos… und mein Backup ist 2 Wochen alt.”
• Was passiert? Alle prüfen gleich mal den Status ihrer TimeMachine 😉
• Ich “garantiere” Euch, es wird so mancher nach dem Vortrag dringend mal auf seinen Server schauen müssen.
![Page 8: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/8.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Lokale Dateien
• Lokaler Zugriff auf eine Datei ist immer ein höheres Risiko, als auf einem Server.
• http://www.lostpassword.com/filemaker.htm
tauscht gleich das ganze Schliesssystem aus (Zylinder & Schlüssel)
![Page 9: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/9.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Admin entfernen
• Immer eine Datenexport Option drin haben.
• Heikel bzw. “Die volle Paranoia”
• UND/ODER eine “geheime” verlinkte Datei (Siehe auch externe Verlinkung)
![Page 10: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/10.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Externe Verlinkung• War bis ca. FM 11 ein Problem!
• Die Dateien werden via interne Datei IDs verlinked
![Page 11: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/11.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Problem: Gast Konto
• Das Gast Konto hat immer “Lese” Rechte auf alle Tabellen und ist daher eher ungeeignet
![Page 12: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/12.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Low Level User
• Leere Begrüssungs Tabelle mit Welcome Screen
• Keine Weiteren Rechte
![Page 13: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/13.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Privilegien Sets• Immer daran denken für “neue” Layouts keine Zugriff einschalten.
![Page 14: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/14.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Felder verschlüsseln mit BaseElements
• Das Plug-In ist gratis und Server fähig!
• BE Dokumentation:
https://github.com/GoyaPtyLtd/BaseElements-Plugin/wiki/FunctionsRunScript Funktion
• Einzelne Felder verschlüsseln
• https://www.dbservices.com/articles/filemaker-encryption-with-baseelements/
• Funktionen:
BE_Encrypt_AES
BE_Decrypt_AES
![Page 15: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/15.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Passwort Standards
• Die Länge des Passworts spielt ein Rolle bei “brute force” Attacks
• Für Firmen:
• Der Server unterstützt Open Directory und Active Directory. so können einfacher Passwort Standards sichergestellt werden.
• Hinweis: Ein Admin kann mit genügend “Hack-Energie” eine Sicherheitsgruppe simulieren und sich so Zugang verschaffen. Quelle: FMAcademy/dbservices
![Page 16: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/16.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
[Full Access] Konten
• Bis uns mit FileMaker 13 konnte jemand kurz an Ihrem Bildschirm ein [Full Access] Konto einrichten und die Security gleich mit diesem Konto bestätigen
-> FileMaker 14
![Page 17: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/17.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Passwort im Schlüsselbund
• Automatisches Speichern des Passworts im Schlüsselbund.
• Ab FileMaker Pro 14 für Windows eine “neue” Funktion, für Mac erstmal “sperren” möglich.
![Page 18: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/18.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Skripte
• ScriptNames (Get(FileName)) im DataViewer
• Jeder Script kann von einem Plug-In gestartet werden.
• fmp URL Protokoll
fmp://$/Datenbank.fmp12?script=Geheim
• BE_ExecuteScript ( scriptName {; fileName ; parameter } )
• Skripte auf spez. Funktionen blockieren nur Server Get(ApplicationVersion)
“Guard Clause” - Test zu Beginn des Skripts
Allow User Abort [ Off ] If [ PatternCount ( Get(ApplicationVersion) ; "SERVER" ) = 0 ]
Exit Script [ ]
End If
• PatternCount(Get(ApplicationVersion); ”ProAdvanced”) > 0 und Get(AccountPrivilegeSetName) ≠ “[Full Access] -> blockieren
![Page 19: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/19.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Zugriffsrechte Skripte• Zwar aufwändig, aber je
nach Umgebung und Sicherheit eine Arbeit, die sich lohnt
• FileMaker kontrolliert, wer einen Skript ausführen darf.
• Nicht zugelassene Scripte sind gar nicht erst sichtbar.
![Page 20: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/20.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Versteckte Layouts• Ein Layout verstecken reicht nicht aus
• LayoutNames
tell application "FileMaker Pro Advanced" go to layout "Alle_Daten" of window "Datenbankname" end tell
• Auch hier FileMaker Privilegien verwenden
![Page 21: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/21.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Globale Variablen
• Achtung: Globale $$ Variablen für Navigation
• Globale Variablen können im DataViewer instanziert werden:
Evaluate ("Let ( $$Zugriff = \"Admin\" ; \"\" )”)
• Ein berechnetes Feld (Unstored) Get(AccountName) ist nicht bearbeitbar.
![Page 22: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/22.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Table View
• Achtung: In Table View können Felder ohne Layoutmode eingeblendet werden
• Ebenso können Feldwerte im DataViewer angezeigt werden
![Page 23: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/23.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Die FileMaker Security Layer
• Die ultimative Autorität ist nur das Privilegen Set und das was wirklich funktioniert.
• Denken Sie auch an ODBC, XML Publishing und Execute SQL als Hintertüre auch wenn Sie Daten z.B. per Layout Zugriff sperren
• Export Rechte nicht vergessen
Quelle: FMAcademy/dbservices
![Page 24: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/24.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FileMaker Server
• Zugriff nur via das FileMaker eigene Protokoll über Port 5003, ggf. Ports 80, 443 für WebDirect
• Server Administration 16000-16001 lasse ich bei meinem Server nur mit VPN-Verbindung/hinter der FireWall zu.
• VPN für iOS
![Page 25: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/25.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FileMaker Server• DMZ Setup (Bild Wikipedia)
https://de.wikipedia.org/wiki/Demilitarized_Zone
FM Server in DMZ
Port 5003
![Page 26: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/26.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Sharing Optionen
• Eine Datei kann so zwar “unsichtbar” gemacht werden.
• ABER kein Versteck ist auf immer sicher.
• Zuerst autorisieren, dass der User die Datenbank sehen kann
![Page 27: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/27.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Server und SSL• SSL Einschalten
• FMS 14 unterstützt:
TLS 1.2 (Transport Layer Security)
• Dies verschlüsselt den Traffic im Netz
• WireShark
https://www.wireshark.org
tcp.port = 5003
WLAN Modul (Riverbed AirPcap Adapter for Microsoft Windows)
![Page 28: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/28.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Weitere Server Einstellungen
• Seit FMS 14 auch https für progressive Downloads
• Ports können geändert werden.
• Inaktive Benutzer trennen einschalten
![Page 29: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/29.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
FMServer_Sample
• Das Problem bzw. eine mögliche Eingangstüre für einen versierten FileMaker Entwickler !!!
Offen mit nur “Admin”
• Dem Admin einen Streich spielen und ein Container Feld so lange füllen, bis der Server den Dienst quittiert, weil die Festplatte voll ist.
• Perform Script on Server
-> Test für Plug-Ins, die unter Umständen schon installiert sind. Get(InstalledFMPlugins).
Ab Version 13.
![Page 30: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/30.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Server Plug-Ins
• Testen, ob der Admin es erlaubt hat, Plug-Ins zu installieren.
• Install Plug-In (Perform Script on Server)
• z.B. BaseElements Plug-In ist gratis und Server fähig!
![Page 31: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/31.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Perform Script on Server & Plug-Ins• Bedingung für dies alles ist, dass auf
einem Server entweder Plug-Ins installiert werden können oder Plug-Ins mit FileSystem Zugriff installiert werden können.
• Die Sandbox des FileMaker Servers :
Das Plug-In läuft innerhalb der 'fmserver' Rechte aber mit etwas tricksen kann man den Pfad des Data/Backup/Ordners errechnen
So kann man auch die im Host “unsichtbaren” Dateien sehen. BE kann auch direkt die Dateien zippen und als FTP verschicken oder in ein MedienFeld kopieren. Dann hat man wieder direkten Zugriff auf die Datei selbst.
![Page 32: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/32.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
EAR
• Encryption At Rest (FileMaker Pro, Server und GO)
• Verschlüsselung der einzelnen Daten-Blöcke auf der Festplatte
• Einzig die Daten im Speicher/RAM sind entschlüsselt.
• 256-Bit AES
• Übrigens die “smarte” Variante für Cloud Backups (Wir erinnern uns an die Thematik von lokalen Dateien. Der Cloud Provider hat theoretisch lokalen Zugriff auf die Dateien)
![Page 33: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/33.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
EAR• Passwort nicht im
FileMaker Server speichern - je nach Sicherheitstandards
-> DBs bleiben nach einem Neustart geschlossen
![Page 34: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/34.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Fragen ?
![Page 35: FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt](https://reader034.vdocuments.net/reader034/viewer/2022042619/588071fe1a28ab64028b56ad/html5/thumbnails/35.jpg)
Alexis GehrtFileMaker Sicherheit, Sicherheit, Sicherheit
FileMaker Konferenz 2015 Hamburgwww.filemaker-konferenz.com
Vielen Dank unseren Sponsoren
Danke für das Bewerten dieses Vortrages