43
See Project – Segurança em Cloud Computing Marcelo Machado Fleury marcelomf[noSpam]gmail[ponto]com http://marcelomf.blogspot.com http://www.slideshare.com/marcelomf http://twitter.com/marcelomf ...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP... "Havendo olhos suficientes, todos os erros são óbvios" By Eric S. Raymond

See Project - Segurança em Cloud Computing FLISOL GO 2010

Embed Size (px)

DESCRIPTION

Apresentação do See Project no FLISOL-GO 2010.

Citation preview

Page 1: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Project – Segurança em Cloud Computing

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Havendo olhos suficientes, todos os erros são óbvios" By Eric S. Raymond

Page 2: See Project - Segurança em Cloud Computing FLISOL GO 2010

Quem sou eu ?

● Entusiasta do movimento Software Livre.● “ “ “ Ethical Hacking.● Iniciou a carreira como sysadmin *nix em 2000.● Desenvolvedor PHP e JAVA(j2se) desde 2005.● Conectiva Linux 1 e 2, LPIC 1, Novell CLA.● Mantenedor do See Project.● Sócio diretor da Synack Tecnologia.● Futuro Security Researcher e Kernel Developer

(fulltime). :)

Page 3: See Project - Segurança em Cloud Computing FLISOL GO 2010

O que é o See Project ?

● See == Security Environment;● Plataforma (middleware) para gerência de ativos

distribuídos na nuvem;● Open Source, sob licença GNU GPL V2;● Possibilita Gerência Centralizada;● *NIX, SOA, JAVA e Criptografia;● Desenvolvimento Seguro;● Compatível com diversos compliances;● Possibilidade de diversos frontend's por diferentes

players de infosec;

Page 4: See Project - Segurança em Cloud Computing FLISOL GO 2010

Mas por que ?Soluções Open Source com o mesmo objetivo ?

● Webmin → NÃO. ●Untangle → NÃO.● PfSense → NÃO.

● Smoothwall → NÃO.● Shorewall → NÃO.

● IPCOP → NÃO.● Vyatta → NÃO.● Endian → NÃO.

● Virtualmin → NÃO.●Firewall Builder, Xfwall, dcfirewall, proxwall, isp-

fw, ispconfig → NÃO! NÃO e NÃO!

Page 5: See Project - Segurança em Cloud Computing FLISOL GO 2010

Mas por que não ?

● Todas, por serem Open Source merecem respeito, mas elas não me satisfizeram.

● Ponto de vista pessoal;● Ponto de vista técnico;

Page 6: See Project - Segurança em Cloud Computing FLISOL GO 2010
Page 7: See Project - Segurança em Cloud Computing FLISOL GO 2010
Page 8: See Project - Segurança em Cloud Computing FLISOL GO 2010

Recursos do See Project

See Network See Firewall See Webfilter See VPN See Name

See Mail See Web See Ids See Ips See Waf See Flow

See Monitor See Daf See Siem See Ftp See Backup See Access

Page 9: See Project - Segurança em Cloud Computing FLISOL GO 2010

Cloud Computing: A Base

TCP/IP(...IPV6...), Virtualização, Computação Distribuída/Clusterização, High Availability, SOA e Web 2.0/3.0.

{}Suítes de Escritórios, ERP's, CRM's, SAD's,

GED's, BPM's e BI's.{}

BGP, ZFS, KVM, XEN, GFS, GlusterFS, iSCSI, OCFS, Hadoop, NoSQL, Eucalyptus.

Page 10: See Project - Segurança em Cloud Computing FLISOL GO 2010

Cloud Computing: Características

● Segurança;● Elasticidade;● Computação Autônoma;● Agilidade;● Redução de custo;● Opex X Capex;

Page 11: See Project - Segurança em Cloud Computing FLISOL GO 2010

Cloud Computing: Modelo de Serviços

● SAAS;● PAAS;● IAAS;● BAAS;● EAAS;● Security As A Service;

Page 12: See Project - Segurança em Cloud Computing FLISOL GO 2010

Cloud Computing: Topologias

● Públicas;● Privadas;● Comunitárias;● Hibridas;

Page 13: See Project - Segurança em Cloud Computing FLISOL GO 2010

RESTful

● Segurança;● Padrão;● Simplicidade;● Facilidade;● Interoperabilidade;

Page 14: See Project - Segurança em Cloud Computing FLISOL GO 2010

A Segurança

● Técnica (Profissionais e Hackers);● Gestão (Politicas e Metodologias);● Cultural (Conscientizar e Educar);

Page 15: See Project - Segurança em Cloud Computing FLISOL GO 2010

Segurança em Camadas

Serviços, Negócios e Pessoas Gestão, Cultura e Conformidades. SDLC, OWASP(CLASSP, OpenSAMM, ASVS, ESAPI).

Aplicação DLP(W,D,)AFHIDSNIDSIPSVPNProxyFirewallHoneypotsSystem Hardening

Transporte

Internet

Rede

Page 16: See Project - Segurança em Cloud Computing FLISOL GO 2010

Ownando o See

● Footprinting;● Sniffing, Data Tampering, Replay-Attack's,

MITM;● Brute Force, (X/D)DOS;● Escalonamento de privilégios;● Code Injection;● Parsing Attack's;

Page 17: See Project - Segurança em Cloud Computing FLISOL GO 2010

Protegendo o See

● Fake Banner, Flex Routing;● SSL, Certificação digital, Criptografia no

payload, Custodia compartilhada de chaves e Tokens de sessão;

● WADL(XSD);● Autenticação/RBAC/Politica de acesso;● SeeD sem root;● Chroot/Jail;

Page 18: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Frontend

● Web 3.0;● Integrações:

● Ferramentas de atendimento(helpdesk).● Ferramentas de gerenciamento de risco.● Ferramentas de avalização de

vulnerabilidades.● Ferramentas de gestão de vulnerabilidades.

Page 19: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Backend aKa SeeD

● Microkernel;● Segregação de funcionalidades;● Baixo acoplamento;● Atualização modular e interrupta;

● RESTful;● Restlet, Grizzly(NIO);

● Embarcação;

● P2P/Proxy reverso;

● IDS Ativo;

● Artefatos de dados em XML;

● Artefatos configurações em YML;

Page 20: See Project - Segurança em Cloud Computing FLISOL GO 2010

Diagrama de pacotes

Page 21: See Project - Segurança em Cloud Computing FLISOL GO 2010

Diagrama de distribuição

Page 22: See Project - Segurança em Cloud Computing FLISOL GO 2010

Topologia de redes simples

Page 23: See Project - Segurança em Cloud Computing FLISOL GO 2010

Em cloud, e a DMZ ?

Page 24: See Project - Segurança em Cloud Computing FLISOL GO 2010

Restlet: Versões

● GWT;● GAE;● Android;● Java SE;● Java EE;

Page 25: See Project - Segurança em Cloud Computing FLISOL GO 2010

Restlet: Extensões

Atom Crypto FileUpload FreeMarker Grizzly GWT HTTP Client JAAS

Jackson JavaMail JAXB JAX-RS(JSR-311) JDBC Jetty JiBX

JSON Lucene Net Netty OData RDF ROME Servlet Simple slf4j

Spring SSL Velocity WADL XDB XML XStream

Page 26: See Project - Segurança em Cloud Computing FLISOL GO 2010

Restlet: Diagrama

Page 27: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Project, show me!

● See Network;● See Webfilter;● See Firewall;

Page 28: See Project - Segurança em Cloud Computing FLISOL GO 2010

Mais antes, o parser...

● Objetos Java ↔ Xml (JSON!)● Atributos XML ↔ Atributos Java!● Busca, tradução e preenchimento

dinâmico.● Xpath + Reflection!

Page 29: See Project - Segurança em Cloud Computing FLISOL GO 2010

… A orientação a objetos!

● Reutilização;● Organização;● Compartilhamento e Replicação;● Simplicidade;● Facilidade;● Exemplo:

● @nome_elemento[nome_atributo]

Page 30: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Network

● Redes, Sub-Redes, Ips e Portas;● Cliente DNS, Hosts e host.conf;● Interfaces;● Tabelas de roteamento;● Rules;● Rotas;● Load Balance;

Page 31: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Network: Exemplo 1

Page 32: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Network: Exemplo 2

Page 33: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Webfilter

● Abstração do Squid e SquidGuard.● Proxy, Cache e Anti-Vírus. ● Lista Branca e Lista Negra Categorizada ; ● Grupos de Usuários e Sites. ● Intervalos de horários para liberação. ● Integração com Active Directory, LDAP e MySQL. ● Modo Transparente. ● Balanceamento de Carga.

Page 34: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Firewall

● SLF - See Language Firewall.

● DMZ Virtual(!= Virtual DMZ/VMWare)

● Abstração do iptables(mas previsto outros como pf/ipfw), flexível.

● Até 80% menor em números de regras com a mesma efetividade!

● Politicas padrões.

● Cadeias personalizadas.

● Stateless/Stateful Inspection.

● Full NAT(Mascaramento, NAT 1x1, DNAT e SNAT).

● Níveis e mensagens de log.

● Load Balance, QOS, Traffic Shapping e Fail Over.

Page 35: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Firewall: Rule Template

<PROGRAM><TABLE><CHAIN><PROTOCOL><INPUT_INTERFACE><OUTPUT_INTERFACE><SOURCE_IP><DESTINATION_IP><SOURCE_PORT><DESTINATION_PORT><SIZE_LIMIT><ICMP_TYPE><PACKET_STATE><TCP_FLAG><CONNECTION_LIMIT><TIME_LIMIT><PACKET_PAYLOAD><PARTIAL_RULE><TARGET><LOG_LEVEL><LOG_MESSAGE><TO_IP><TO_PORT><PA

CKET_MARK>

Page 36: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Firewall: SLF 1

Page 37: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Firewall: SLF 2

Page 38: See Project - Segurança em Cloud Computing FLISOL GO 2010

See Firewall: SLF 3

Page 39: See Project - Segurança em Cloud Computing FLISOL GO 2010
Page 40: See Project - Segurança em Cloud Computing FLISOL GO 2010

Sustentabilidade

● Comercial● Judicial● Social ↔ Comunidade ↔ Colaboração● Tecnológica

Page 41: See Project - Segurança em Cloud Computing FLISOL GO 2010

Datas Importantes

● 24/05/2010:

● Lançamento da Release Candidate 1.0;● “ Site;● “ Controle de versão Público;● “ Wiki;● “ Maillist;

● Meados de Junho/Julho:● Lançamento da versão 1.0;● Documentação do desenvolvedor;

● ??/??/????:

● Aprovação de palestras do FISL 11;

Page 42: See Project - Segurança em Cloud Computing FLISOL GO 2010

Fique por dentro

http://www.sourceforge.net/projects/seeproject/

http://code.google.com/p/seeproject/

http://groups.google.com.br/group/seeproject/

http://github.com/marcelomf/seeproject/

http://www.seeproject.net/

+ contatos no último slide.

Page 43: See Project - Segurança em Cloud Computing FLISOL GO 2010

Muito Obrigado!

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Conheço muitos que não puderam quando deviam, porque não quiseram quando podiam." By François Rabelais