35
See Project – Segurança em Cloud Computing v2 Marcelo Machado Fleury marcelomf[noSpam]gmail[ponto]com http://marcelomf.blogspot.com http://www.slideshare.com/marcelomf http://twitter.com/marcelomf ...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP... "Havendo olhos suficientes, todos os erros são óbvios" By Eric S. Raymond

See project - Segurança em Cloud Computing v2 FISL 11 2010

Embed Size (px)

DESCRIPTION

Palestra realizada em 24/07/2010 na PUC-RS, no evento FISL 11. Demo de 7min do projeto: http://www.youtube.com/watch?v=aQk7ZiMdi5Y Mais sobre o projeto: http://marcelomf.blogspot.com/

Citation preview

Page 1: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Project – Segurança em Cloud Computing v2

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Havendo olhos suficientes, todos os erros são óbvios" By Eric S. Raymond

Page 2: See project - Segurança em Cloud Computing v2 FISL 11 2010

O que é o See Project ?

● See == Security Environment;● Plataforma (middleware) para gerência de ativos

distribuídos na nuvem;● Open Source, sob licença GNU GPL V2;● Possibilita Gerência Centralizada;● *NIX, SOA, JAVA e Criptografia;● Desenvolvimento orientado a segurança;● Compatível com diversos compliances;● Possibilidade de diversos frontend's por diferentes

players de infosec;

Page 3: See project - Segurança em Cloud Computing v2 FISL 11 2010

A Segurança

● Técnica (Profissionais e Hackers);● Gestão (Politicas e Metodologias);● Cultural (Conscientizar e Educar);

Page 4: See project - Segurança em Cloud Computing v2 FISL 11 2010

Mas por que ?Soluções Open Source com o mesmo objetivo ?

● Webmin → NÃO. ●Untangle → NÃO.● PfSense → NÃO.

● Smoothwall → NÃO.● Shorewall → NÃO.

● IPCOP → NÃO.● Vyatta → NÃO.● Endian → NÃO.

● Virtualmin → NÃO.●Firewall Builder, Xfwall, dcfirewall, proxwall, isp-

fw, ispconfig → NÃO! NÃO e NÃO!

Page 5: See project - Segurança em Cloud Computing v2 FISL 11 2010

Mas por que não ?

● Todas, por serem Open Source merecem respeito, mas elas não me satisfizeram.

● Ponto de vista pessoal;● Ponto de vista técnico;

Page 6: See project - Segurança em Cloud Computing v2 FISL 11 2010

Recursos do See Project

See Network See Firewall See Webfilter See VPN See Name

See Mail See Web See Ids See Ips See Waf See Flow

See Monitor See Daf See Siem See Ftp See Backup See Control

Page 7: See project - Segurança em Cloud Computing v2 FISL 11 2010

Problemas na nuvem

● Muitos vendors, pouca interoperabilidade entre vendors.

● Problemas;● Segurança no hypervisor;● Segurança a nível de rede/sistema operacional;● Responsabilidade judicial;

Page 8: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Cloud;

● SAAS → See Control(frontend);● PAAS → SeeD(middleware);● IAAS;● Security As A Service;

Page 9: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Control(Frontend)

● Web 2.0(jquery/ui);● Framework php symfony 1.4(MVC, ORM...)● Certificação digital● RBAC● Integrações:

● Ferramentas de atendimento(helpdesk).● Ferramentas de gerenciamento de risco.● Ferramentas de avalização de

vulnerabilidades.● Ferramentas de gestão de vulnerabilidades.

Page 10: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Guard DB

Page 11: See project - Segurança em Cloud Computing v2 FISL 11 2010

See DB

Page 12: See project - Segurança em Cloud Computing v2 FISL 11 2010

Middleware See aKa SeeD

● Microkernel;● Segregação de funcionalidades;● Baixo acoplamento;● Atualização modular e interrupta;

● RESTful → Restlet, Grizzly(NIO);● IPC(Inter Process Communication) → RMI;● Embarcação;● Centralização de chamadas externas;● IDS Ativo;● Artefatos de dados e configurações em XML;

Page 13: See project - Segurança em Cloud Computing v2 FISL 11 2010

Ownando o See

● Footprinting;● Sniffing, Data Tampering, Replay-Attack's,

MITM;● Brute Force, (X/D)DOS;● Escalonamento de privilégios;● Code Injection;● Parsing Attack's;

Page 14: See project - Segurança em Cloud Computing v2 FISL 11 2010

Protegendo o See

● Fake Banner;● SSL/Certificação digital;● WADL(XSD);● Autenticação/RBAC/Politica de

acesso;● SeeD com IPC(RMI);

Page 15: See project - Segurança em Cloud Computing v2 FISL 11 2010

Diagrama de pacotes

Page 16: See project - Segurança em Cloud Computing v2 FISL 11 2010

Diagrama de distribuição

Page 17: See project - Segurança em Cloud Computing v2 FISL 11 2010

Topologia de redes simples

Page 18: See project - Segurança em Cloud Computing v2 FISL 11 2010

Em cloud, e a DMZ ?

Page 19: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Project, show me!

● See Control;● See Network;● See Firewall;● See Webfilter;

Page 20: See project - Segurança em Cloud Computing v2 FISL 11 2010

Mais antes, o parser...

● Objetos Java ↔ Xml (JSON!)● Atributos XML ↔ Atributos Java!● Busca, tradução e preenchimento

dinâmico.● Xpath + Reflection!

Page 21: See project - Segurança em Cloud Computing v2 FISL 11 2010

… A orientação a objetos!

● Reutilização;● Organização;● Compartilhamento e replicação de objetos;● Simplicidade;● Facilidade;● Exemplo:

● @nome_elemento[nome_atributo]

Page 22: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Webfilter

● Abstração do Squid.● Proxy, Cache e Anti-Vírus. ● Lista Branca e Lista Negra ; ● Grupos de Usuários e Sites. ● Intervalos de horários para liberação. ● Integração com Active Directory, LDAP e MySQL. ● Modo Transparente. ● Balanceamento de Carga.

Page 23: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Network

● Redes, Sub-Redes, Ips e Portas;● Cliente DNS, Hosts e host.conf;● Interfaces;● Tabelas de roteamento;● Rules;● Rotas;● Load Balance;

Page 24: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Network: Exemplo 1

Page 25: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Network: Exemplo 2

Page 26: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Firewall

● SLF - See Language Firewall.● Abstração do iptables(mas previsto outros como pf/ipfw),

flexível.● Até 80% menor em números de regras com a mesma

efetividade!● Politicas padrões.● Cadeias personalizadas.● Stateless/Stateful Inspection.● Full NAT(Mascaramento, NAT 1x1, DNAT e SNAT).● Níveis e mensagens de log.● Load Balance, QOS, Traffic Shapping e Fail Over.

Page 27: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Firewall: Rule Template

<PROGRAM><TABLE><CHAIN><PROTOCOL><INPUT_INTERFACE><OUTPUT_INTERFACE><SOURCE_IP><DESTINATION_IP><SOURCE_PORT><DESTINATION_PORT><SIZE_LIMIT><ICMP_TYPE><PACKET_STATE><TCP_FLAG><CONNECTION_LIMIT><TIME_LIMIT><PACKET_PAYLOAD><PARTIAL_RULE><TARGET><LOG_LEVEL><LOG_MESSAGE><TO_IP><TO_PORT><PA

CKET_MARK>

Page 28: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Firewall: SLF 1

Page 29: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Firewall: SLF 2

Page 30: See project - Segurança em Cloud Computing v2 FISL 11 2010

See Firewall: SLF 3

Page 31: See project - Segurança em Cloud Computing v2 FISL 11 2010
Page 32: See project - Segurança em Cloud Computing v2 FISL 11 2010

Sustentabilidade

● Financeira● Social ↔ Comunidade ↔ Colaboração● Tecnológica

Page 33: See project - Segurança em Cloud Computing v2 FISL 11 2010

Datas Importantes

● Até o final do ano com certeza!:● Lançamento da Release Candidate

1.0;● “ Site;● Lançamento da versão 1.0;

Page 34: See project - Segurança em Cloud Computing v2 FISL 11 2010

Fique por dentro

http://github.com/marcelomf/seeproject/

http://www.sourceforge.net/projects/seeproject/

http://code.google.com/p/seeproject/

http://groups.google.com.br/group/seeproject/

http://www.seeproject.net/

+ contatos no último slide.

Page 35: See project - Segurança em Cloud Computing v2 FISL 11 2010

Muito Obrigado!

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Conheço muitos que não puderam quando deviam, porque não quiseram quando podiam." By François Rabelais