See Project - Segurança em Cloud Computing FLISOL GO 2010

See Project – Segurança em Cloud Computing

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Havendo olhos suficientes, todos os erros são óbvios" By Eric S. Raymond

Quem sou eu ?

● Entusiasta do movimento Software Livre.● “ “ “ Ethical Hacking.● Iniciou a carreira como sysadmin *nix em 2000.● Desenvolvedor PHP e JAVA(j2se) desde 2005.● Conectiva Linux 1 e 2, LPIC 1, Novell CLA.● Mantenedor do See Project.● Sócio diretor da Synack Tecnologia.● Futuro Security Researcher e Kernel Developer

(fulltime). :)

O que é o See Project ?

● See == Security Environment;● Plataforma (middleware) para gerência de ativos

distribuídos na nuvem;● Open Source, sob licença GNU GPL V2;● Possibilita Gerência Centralizada;● *NIX, SOA, JAVA e Criptografia;● Desenvolvimento Seguro;● Compatível com diversos compliances;● Possibilidade de diversos frontend's por diferentes

players de infosec;

Mas por que ?Soluções Open Source com o mesmo objetivo ?

● Webmin → NÃO. ●Untangle → NÃO.● PfSense → NÃO.

● Smoothwall → NÃO.● Shorewall → NÃO.

● IPCOP → NÃO.● Vyatta → NÃO.● Endian → NÃO.

● Virtualmin → NÃO.●Firewall Builder, Xfwall, dcfirewall, proxwall, isp-

fw, ispconfig → NÃO! NÃO e NÃO!

Mas por que não ?

● Todas, por serem Open Source merecem respeito, mas elas não me satisfizeram.

● Ponto de vista pessoal;● Ponto de vista técnico;

Recursos do See Project

See Network See Firewall See Webfilter See VPN See Name

See Mail See Web See Ids See Ips See Waf See Flow

See Monitor See Daf See Siem See Ftp See Backup See Access

Cloud Computing: A Base

TCP/IP(...IPV6...), Virtualização, Computação Distribuída/Clusterização, High Availability, SOA e Web 2.0/3.0.

{}Suítes de Escritórios, ERP's, CRM's, SAD's,

GED's, BPM's e BI's.{}

BGP, ZFS, KVM, XEN, GFS, GlusterFS, iSCSI, OCFS, Hadoop, NoSQL, Eucalyptus.

Cloud Computing: Características

● Segurança;● Elasticidade;● Computação Autônoma;● Agilidade;● Redução de custo;● Opex X Capex;

Cloud Computing: Modelo de Serviços

● SAAS;● PAAS;● IAAS;● BAAS;● EAAS;● Security As A Service;

Cloud Computing: Topologias

● Públicas;● Privadas;● Comunitárias;● Hibridas;

RESTful

● Segurança;● Padrão;● Simplicidade;● Facilidade;● Interoperabilidade;

A Segurança

● Técnica (Profissionais e Hackers);● Gestão (Politicas e Metodologias);● Cultural (Conscientizar e Educar);

Segurança em Camadas

Serviços, Negócios e Pessoas Gestão, Cultura e Conformidades. SDLC, OWASP(CLASSP, OpenSAMM, ASVS, ESAPI).

Aplicação DLP(W,D,)AFHIDSNIDSIPSVPNProxyFirewallHoneypotsSystem Hardening

Transporte

Internet

Rede

Ownando o See

● Footprinting;● Sniffing, Data Tampering, Replay-Attack's,

MITM;● Brute Force, (X/D)DOS;● Escalonamento de privilégios;● Code Injection;● Parsing Attack's;

Protegendo o See

● Fake Banner, Flex Routing;● SSL, Certificação digital, Criptografia no

payload, Custodia compartilhada de chaves e Tokens de sessão;

● WADL(XSD);● Autenticação/RBAC/Politica de acesso;● SeeD sem root;● Chroot/Jail;

See Frontend

● Web 3.0;● Integrações:

● Ferramentas de atendimento(helpdesk).● Ferramentas de gerenciamento de risco.● Ferramentas de avalização de

vulnerabilidades.● Ferramentas de gestão de vulnerabilidades.

See Backend aKa SeeD

● Microkernel;● Segregação de funcionalidades;● Baixo acoplamento;● Atualização modular e interrupta;

● RESTful;● Restlet, Grizzly(NIO);

● Embarcação;

● P2P/Proxy reverso;

● IDS Ativo;

● Artefatos de dados em XML;

● Artefatos configurações em YML;

Diagrama de pacotes

Diagrama de distribuição

Topologia de redes simples

Em cloud, e a DMZ ?

Restlet: Versões

● GWT;● GAE;● Android;● Java SE;● Java EE;

Restlet: Extensões

Atom Crypto FileUpload FreeMarker Grizzly GWT HTTP Client JAAS

Jackson JavaMail JAXB JAX-RS(JSR-311) JDBC Jetty JiBX

JSON Lucene Net Netty OData RDF ROME Servlet Simple slf4j

Spring SSL Velocity WADL XDB XML XStream

Restlet: Diagrama

See Project, show me!

● See Network;● See Webfilter;● See Firewall;

Mais antes, o parser...

● Objetos Java ↔ Xml (JSON!)● Atributos XML ↔ Atributos Java!● Busca, tradução e preenchimento

dinâmico.● Xpath + Reflection!

… A orientação a objetos!

● Reutilização;● Organização;● Compartilhamento e Replicação;● Simplicidade;● Facilidade;● Exemplo:

● @nome_elemento[nome_atributo]

See Network

● Redes, Sub-Redes, Ips e Portas;● Cliente DNS, Hosts e host.conf;● Interfaces;● Tabelas de roteamento;● Rules;● Rotas;● Load Balance;

See Network: Exemplo 1

See Network: Exemplo 2

See Webfilter

● Abstração do Squid e SquidGuard.● Proxy, Cache e Anti-Vírus. ● Lista Branca e Lista Negra Categorizada ; ● Grupos de Usuários e Sites. ● Intervalos de horários para liberação. ● Integração com Active Directory, LDAP e MySQL. ● Modo Transparente. ● Balanceamento de Carga.

See Firewall

● SLF - See Language Firewall.

● DMZ Virtual(!= Virtual DMZ/VMWare)

● Abstração do iptables(mas previsto outros como pf/ipfw), flexível.

● Até 80% menor em números de regras com a mesma efetividade!

● Politicas padrões.

● Cadeias personalizadas.

● Stateless/Stateful Inspection.

● Full NAT(Mascaramento, NAT 1x1, DNAT e SNAT).

● Níveis e mensagens de log.

● Load Balance, QOS, Traffic Shapping e Fail Over.

See Firewall: Rule Template

<PROGRAM><TABLE><CHAIN><PROTOCOL><INPUT_INTERFACE><OUTPUT_INTERFACE><SOURCE_IP><DESTINATION_IP><SOURCE_PORT><DESTINATION_PORT><SIZE_LIMIT><ICMP_TYPE><PACKET_STATE><TCP_FLAG><CONNECTION_LIMIT><TIME_LIMIT><PACKET_PAYLOAD><PARTIAL_RULE><TARGET><LOG_LEVEL><LOG_MESSAGE><TO_IP><TO_PORT><PA

CKET_MARK>

See Firewall: SLF 1

See Firewall: SLF 2

See Firewall: SLF 3

Sustentabilidade

● Comercial● Judicial● Social ↔ Comunidade ↔ Colaboração● Tecnológica

Datas Importantes

● 24/05/2010:

● Lançamento da Release Candidate 1.0;● “ Site;● “ Controle de versão Público;● “ Wiki;● “ Maillist;

● Meados de Junho/Julho:● Lançamento da versão 1.0;● Documentação do desenvolvedor;

● ??/??/????:

● Aprovação de palestras do FISL 11;

Fique por dentro

http://www.sourceforge.net/projects/seeproject/

http://code.google.com/p/seeproject/

http://groups.google.com.br/group/seeproject/

http://github.com/marcelomf/seeproject/

http://www.seeproject.net/

+ contatos no último slide.

Muito Obrigado!

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Conheço muitos que não puderam quando deviam, porque não quiseram quando podiam." By François Rabelais