Upload
marcelo-machado-fleury
View
2.543
Download
3
Embed Size (px)
DESCRIPTION
Apresentação do See Project no FLISOL-GO 2010.
Citation preview
See Project – Segurança em Cloud Computing
Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com
http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf
http://twitter.com/marcelomf
...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...
"Havendo olhos suficientes, todos os erros são óbvios" By Eric S. Raymond
Quem sou eu ?
● Entusiasta do movimento Software Livre.● “ “ “ Ethical Hacking.● Iniciou a carreira como sysadmin *nix em 2000.● Desenvolvedor PHP e JAVA(j2se) desde 2005.● Conectiva Linux 1 e 2, LPIC 1, Novell CLA.● Mantenedor do See Project.● Sócio diretor da Synack Tecnologia.● Futuro Security Researcher e Kernel Developer
(fulltime). :)
O que é o See Project ?
● See == Security Environment;● Plataforma (middleware) para gerência de ativos
distribuídos na nuvem;● Open Source, sob licença GNU GPL V2;● Possibilita Gerência Centralizada;● *NIX, SOA, JAVA e Criptografia;● Desenvolvimento Seguro;● Compatível com diversos compliances;● Possibilidade de diversos frontend's por diferentes
players de infosec;
Mas por que ?Soluções Open Source com o mesmo objetivo ?
● Webmin → NÃO. ●Untangle → NÃO.● PfSense → NÃO.
● Smoothwall → NÃO.● Shorewall → NÃO.
● IPCOP → NÃO.● Vyatta → NÃO.● Endian → NÃO.
● Virtualmin → NÃO.●Firewall Builder, Xfwall, dcfirewall, proxwall, isp-
fw, ispconfig → NÃO! NÃO e NÃO!
Mas por que não ?
● Todas, por serem Open Source merecem respeito, mas elas não me satisfizeram.
● Ponto de vista pessoal;● Ponto de vista técnico;
Recursos do See Project
See Network See Firewall See Webfilter See VPN See Name
See Mail See Web See Ids See Ips See Waf See Flow
See Monitor See Daf See Siem See Ftp See Backup See Access
Cloud Computing: A Base
TCP/IP(...IPV6...), Virtualização, Computação Distribuída/Clusterização, High Availability, SOA e Web 2.0/3.0.
{}Suítes de Escritórios, ERP's, CRM's, SAD's,
GED's, BPM's e BI's.{}
BGP, ZFS, KVM, XEN, GFS, GlusterFS, iSCSI, OCFS, Hadoop, NoSQL, Eucalyptus.
Cloud Computing: Características
● Segurança;● Elasticidade;● Computação Autônoma;● Agilidade;● Redução de custo;● Opex X Capex;
Cloud Computing: Modelo de Serviços
● SAAS;● PAAS;● IAAS;● BAAS;● EAAS;● Security As A Service;
Cloud Computing: Topologias
● Públicas;● Privadas;● Comunitárias;● Hibridas;
RESTful
● Segurança;● Padrão;● Simplicidade;● Facilidade;● Interoperabilidade;
A Segurança
● Técnica (Profissionais e Hackers);● Gestão (Politicas e Metodologias);● Cultural (Conscientizar e Educar);
Segurança em Camadas
Serviços, Negócios e Pessoas Gestão, Cultura e Conformidades. SDLC, OWASP(CLASSP, OpenSAMM, ASVS, ESAPI).
Aplicação DLP(W,D,)AFHIDSNIDSIPSVPNProxyFirewallHoneypotsSystem Hardening
Transporte
Internet
Rede
Ownando o See
● Footprinting;● Sniffing, Data Tampering, Replay-Attack's,
MITM;● Brute Force, (X/D)DOS;● Escalonamento de privilégios;● Code Injection;● Parsing Attack's;
Protegendo o See
● Fake Banner, Flex Routing;● SSL, Certificação digital, Criptografia no
payload, Custodia compartilhada de chaves e Tokens de sessão;
● WADL(XSD);● Autenticação/RBAC/Politica de acesso;● SeeD sem root;● Chroot/Jail;
See Frontend
● Web 3.0;● Integrações:
● Ferramentas de atendimento(helpdesk).● Ferramentas de gerenciamento de risco.● Ferramentas de avalização de
vulnerabilidades.● Ferramentas de gestão de vulnerabilidades.
See Backend aKa SeeD
● Microkernel;● Segregação de funcionalidades;● Baixo acoplamento;● Atualização modular e interrupta;
● RESTful;● Restlet, Grizzly(NIO);
● Embarcação;
● P2P/Proxy reverso;
● IDS Ativo;
● Artefatos de dados em XML;
● Artefatos configurações em YML;
Diagrama de pacotes
Diagrama de distribuição
Topologia de redes simples
Em cloud, e a DMZ ?
Restlet: Versões
● GWT;● GAE;● Android;● Java SE;● Java EE;
Restlet: Extensões
Atom Crypto FileUpload FreeMarker Grizzly GWT HTTP Client JAAS
Jackson JavaMail JAXB JAX-RS(JSR-311) JDBC Jetty JiBX
JSON Lucene Net Netty OData RDF ROME Servlet Simple slf4j
Spring SSL Velocity WADL XDB XML XStream
Restlet: Diagrama
See Project, show me!
● See Network;● See Webfilter;● See Firewall;
Mais antes, o parser...
● Objetos Java ↔ Xml (JSON!)● Atributos XML ↔ Atributos Java!● Busca, tradução e preenchimento
dinâmico.● Xpath + Reflection!
… A orientação a objetos!
● Reutilização;● Organização;● Compartilhamento e Replicação;● Simplicidade;● Facilidade;● Exemplo:
● @nome_elemento[nome_atributo]
See Network
● Redes, Sub-Redes, Ips e Portas;● Cliente DNS, Hosts e host.conf;● Interfaces;● Tabelas de roteamento;● Rules;● Rotas;● Load Balance;
See Network: Exemplo 1
See Network: Exemplo 2
See Webfilter
● Abstração do Squid e SquidGuard.● Proxy, Cache e Anti-Vírus. ● Lista Branca e Lista Negra Categorizada ; ● Grupos de Usuários e Sites. ● Intervalos de horários para liberação. ● Integração com Active Directory, LDAP e MySQL. ● Modo Transparente. ● Balanceamento de Carga.
See Firewall
● SLF - See Language Firewall.
● DMZ Virtual(!= Virtual DMZ/VMWare)
● Abstração do iptables(mas previsto outros como pf/ipfw), flexível.
● Até 80% menor em números de regras com a mesma efetividade!
● Politicas padrões.
● Cadeias personalizadas.
● Stateless/Stateful Inspection.
● Full NAT(Mascaramento, NAT 1x1, DNAT e SNAT).
● Níveis e mensagens de log.
● Load Balance, QOS, Traffic Shapping e Fail Over.
See Firewall: Rule Template
<PROGRAM><TABLE><CHAIN><PROTOCOL><INPUT_INTERFACE><OUTPUT_INTERFACE><SOURCE_IP><DESTINATION_IP><SOURCE_PORT><DESTINATION_PORT><SIZE_LIMIT><ICMP_TYPE><PACKET_STATE><TCP_FLAG><CONNECTION_LIMIT><TIME_LIMIT><PACKET_PAYLOAD><PARTIAL_RULE><TARGET><LOG_LEVEL><LOG_MESSAGE><TO_IP><TO_PORT><PA
CKET_MARK>
See Firewall: SLF 1
See Firewall: SLF 2
See Firewall: SLF 3
Sustentabilidade
● Comercial● Judicial● Social ↔ Comunidade ↔ Colaboração● Tecnológica
Datas Importantes
● 24/05/2010:
● Lançamento da Release Candidate 1.0;● “ Site;● “ Controle de versão Público;● “ Wiki;● “ Maillist;
● Meados de Junho/Julho:● Lançamento da versão 1.0;● Documentação do desenvolvedor;
● ??/??/????:
● Aprovação de palestras do FISL 11;
Fique por dentro
http://www.sourceforge.net/projects/seeproject/
http://code.google.com/p/seeproject/
http://groups.google.com.br/group/seeproject/
http://github.com/marcelomf/seeproject/
http://www.seeproject.net/
+ contatos no último slide.
Muito Obrigado!
Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com
http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf
http://twitter.com/marcelomf
...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...
"Conheço muitos que não puderam quando deviam, porque não quiseram quando podiam." By François Rabelais