SlideShare uma empresa Scribd logo
1 de 31
Importância do monitoramento de rede para
reconhecimento de eventos e detecção de incidentes
Werneck Costa - Analista de suporte - CAERN
RNP-MeSeg2017
https://meseg.rnp.br/web/meseg2017
RNP - MeSeg 2017 - Werneck Costa 2
Sobre este material
• Desenvolvido exclusivamente para ser usado
no MeSeg 2017 (RNP);
• Pode ser utilizado, distribuído, ou exibido
livremente, conservando e citando a autoria.
RNP - MeSeg 2017 - Werneck Costa 3
About me
• Bacharel em Sistemas de informação pelo
UNI-RN;
• Especialista em redes de computadores pelo
UNI-RN;
• Especialista Zabbix (Specialist e Professional);
• Instrutor/professor;
• Analista de suporte na CAERN.
Segurança
• Sensação?
• Realidade?
• Utopia?
RNP - MeSeg 2017 - Werneck Costa 4
Segurança no Desktop
RNP - MeSeg 2017 - Werneck Costa 5
Segurança no Desktop
RNP - MeSeg 2017 - Werneck Costa 6
De onde vem estas pragas?
• Algo centralizado?
• Algo organizado?
• Algo aleatório?
RNP - MeSeg 2017 - Werneck Costa 7
De onde vem estas pragas?
• Depende!
RNP - MeSeg 2017 - Werneck Costa 8
RNP - MeSeg 2017 - Werneck Costa 9
RNP - MeSeg 2017 - Werneck Costa 10
RNP - MeSeg 2017 - Werneck Costa 11
RNP - MeSeg 2017 - Werneck Costa 12
RNP - MeSeg 2017 - Werneck Costa 13
O que fazer?
• Proteção pré-desktop:
– Download (proxy/webfilter);
– Links ou anexos de e-mails (AntiSpam/antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 14
O que fazer?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 15
Funciona?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 16
RNP - MeSeg 2017 - Werneck Costa 17
Então, no desktop não tem jeito?
• Na verdade, um conjunto de ações:
– Utilização de AntiSpam centralizado “pré-
desktop”;
– Sistema de detecção, alerta e monitoramento de
vulnerabilidades (Manoel Bezerra da Costa Neto);
– Implementando segurança com Zabbix (análise de
checksum e lista e atualizações Windows).
RNP - MeSeg 2017 - Werneck Costa 18
Só desktop?
RNP - MeSeg 2017 - Werneck Costa 19
RNP - MeSeg 2017 - Werneck Costa 20
O arquivo está hospedado em algum
lugar...
• O dono/admin do hospedeiro sabe disso?
– Acho que não...
• O dono/admin do hospedeiro é malicioso?
– Acho que não...
• O dono/admin sabe como isso aconteceu?
– Acho que não...
RNP - MeSeg 2017 - Werneck Costa 21
Vamos entender melhor
• Um cliente/desktop comprometido
– tem potencial para infectar toda a sua rede
“horizontalmente”;
• Um servidor comprometido
– tem potencial para infectar * toda a internet
RNP - MeSeg 2017 - Werneck Costa 22
* Guardadas as devidas proporções, claro...
Então temos um problema maior do
que o imaginado!
RNP - MeSeg 2017 - Werneck Costa 23
Então, no servidor não tem jeito?
• Sistemas centralizadores de Logs
– Pegam ações “de fora pra dentro” (acessos);
• IDS (padrão)
– Pegam comportamentos baseados em padrões;
• WAF
– Pegam SQLi, XSS, Transversal Directory e etc...
RNP - MeSeg 2017 - Werneck Costa 24
E contra a ação dos “serumaninhos”?
RNP - MeSeg 2017 - Werneck Costa 25
Um dos erros mais comuns
• Que levam à hospedagem de arquivos
maliciosos
– É o vício do chmod 777 /var/www/app
RNP - MeSeg 2017 - Werneck Costa 26
Então, qual a proposta?
• Criar itens e triggers no Zabbix, para monitorar
arquivos e diretórios com permissão 777;
• Tomando como base o “dump” dos
VirtualHosts ativos num servidor Apache.
– /usr/sbin/apache2ctl -S
RNP - MeSeg 2017 - Werneck Costa 27
Prática
• O Zabbix não possui este tipo de
monitoramento nativo;
• Utilização do recurso de UserParameter;
– Com LLD
• Criação de template específico pra os itens
recuperados.
RNP - MeSeg 2017 - Werneck Costa 28
RNP - MeSeg 2017 - Werneck Costa 29
Complementação do trabalho
• DNS:
– Serial da zona, quantidade de RRs, respostas a
domínios públicos...
• Servidor de e-mails
– Filas, atividades maliciosas (quantidade de
mensagens enviadas)...
RNP - MeSeg 2017 - Werneck Costa 30
Contatos
werneck.costa@gmail.com
Telegram: https://t.me/WerneckCosta
https://neckcosta.wordpress.com
RNP - MeSeg 2017 - Werneck Costa 31

Mais conteúdo relacionado

Mais procurados

Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Tchelinux
 
Gerência de redes com Zabbix: conhecendo a ferramenta
Gerência de redes com Zabbix: conhecendo a ferramentaGerência de redes com Zabbix: conhecendo a ferramenta
Gerência de redes com Zabbix: conhecendo a ferramenta
Aécio Pires
 
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
 Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In... Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
Zabbix BR
 

Mais procurados (19)

Apresentação Software Freedom Day 2017 - Natal/RN - Algumas soluções F.O.S.S ...
Apresentação Software Freedom Day 2017 - Natal/RN - Algumas soluções F.O.S.S ...Apresentação Software Freedom Day 2017 - Natal/RN - Algumas soluções F.O.S.S ...
Apresentação Software Freedom Day 2017 - Natal/RN - Algumas soluções F.O.S.S ...
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
 
Gerência de redes com Zabbix: conhecendo a ferramenta
Gerência de redes com Zabbix: conhecendo a ferramentaGerência de redes com Zabbix: conhecendo a ferramenta
Gerência de redes com Zabbix: conhecendo a ferramenta
 
Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com Zabbix
 
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SPUserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
UserParameter vs Zabbix Sender - 2º ZABBIX MEETUP DO INTERIOR-SP
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
 
Palestra Zabbix no 12 Geinfo (2013)
Palestra Zabbix no 12 Geinfo (2013)Palestra Zabbix no 12 Geinfo (2013)
Palestra Zabbix no 12 Geinfo (2013)
 
Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?
 
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
 Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In... Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
Zabbix?!? Sou Dev, o que eu tenho a ver com isso?!? - 3º Zabbix Meetup do In...
 
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
 
Monitoramento de ativos com zabbix
Monitoramento de ativos com zabbixMonitoramento de ativos com zabbix
Monitoramento de ativos com zabbix
 
Monitoramento Inteligente utilizando o ZABBIX
Monitoramento Inteligente utilizando o ZABBIXMonitoramento Inteligente utilizando o ZABBIX
Monitoramento Inteligente utilizando o ZABBIX
 
Zabbix meetup RJ: Integrações e opensource
Zabbix meetup RJ: Integrações e opensourceZabbix meetup RJ: Integrações e opensource
Zabbix meetup RJ: Integrações e opensource
 
Zabbix e caso de uso na SER-PB
Zabbix e caso de uso na SER-PBZabbix e caso de uso na SER-PB
Zabbix e caso de uso na SER-PB
 
Monitorando ativos com Zabbix
Monitorando ativos com ZabbixMonitorando ativos com Zabbix
Monitorando ativos com Zabbix
 
Projeto Zabbix: Conhecendo a ferramenta
Projeto Zabbix: Conhecendo a ferramentaProjeto Zabbix: Conhecendo a ferramenta
Projeto Zabbix: Conhecendo a ferramenta
 
FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0
FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0
FLISOL-Jaguaruana/CE - 2013 - Monitoramento com Software Livre - Zabbix 2.0
 
Integração do Zabbix com Grafana
Integração do Zabbix com GrafanaIntegração do Zabbix com Grafana
Integração do Zabbix com Grafana
 
Comunidade Zabbix Brasil - Zabbix Conference LatAM - André Déo
Comunidade Zabbix Brasil - Zabbix Conference LatAM - André DéoComunidade Zabbix Brasil - Zabbix Conference LatAM - André Déo
Comunidade Zabbix Brasil - Zabbix Conference LatAM - André Déo
 

Semelhante a Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança

Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Zabbix, Zenoss ou Padora: Quem vai ganhar esta briga
Zabbix, Zenoss ou Padora: Quem vai ganhar esta brigaZabbix, Zenoss ou Padora: Quem vai ganhar esta briga
Zabbix, Zenoss ou Padora: Quem vai ganhar esta briga
ecd2010
 
Apresentação werneck costa zabbix network conference
Apresentação werneck costa zabbix   network conferenceApresentação werneck costa zabbix   network conference
Apresentação werneck costa zabbix network conference
Fernanda Goz
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
Carlos Serrao
 

Semelhante a Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança (20)

Segurança em Rails
Segurança em RailsSegurança em Rails
Segurança em Rails
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
OpenVAS - Scanner em Vulnerabilidades Open Source (fork Nessus GPL2)
 
Zabbix para iniciantes
Zabbix para iniciantesZabbix para iniciantes
Zabbix para iniciantes
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
FreeBsd com Alta Disponibilidade
FreeBsd com Alta DisponibilidadeFreeBsd com Alta Disponibilidade
FreeBsd com Alta Disponibilidade
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Desenvolvimento Web com Software Livre
Desenvolvimento Web com Software LivreDesenvolvimento Web com Software Livre
Desenvolvimento Web com Software Livre
 
Zabbix, Zenoss ou Padora: Quem vai ganhar esta briga
Zabbix, Zenoss ou Padora: Quem vai ganhar esta brigaZabbix, Zenoss ou Padora: Quem vai ganhar esta briga
Zabbix, Zenoss ou Padora: Quem vai ganhar esta briga
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
 
Apresentação werneck costa zabbix network conference
Apresentação werneck costa zabbix   network conferenceApresentação werneck costa zabbix   network conference
Apresentação werneck costa zabbix network conference
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 
Gambiarra e PHP. Por que você deveria usar um WAF?
Gambiarra e PHP. Por que você deveria usar um WAF?Gambiarra e PHP. Por que você deveria usar um WAF?
Gambiarra e PHP. Por que você deveria usar um WAF?
 
Hardware servidores
Hardware servidoresHardware servidores
Hardware servidores
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 

Último

Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Dirceu Resende
 

Último (11)

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
[ServiceNow] Upgrade de versão - 2ª edição (Revisada, atualizada e ampliada)
 
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINASCOI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
COI CENTRO DE OPERAÇÕES INDUSTRIAIS NAS USINAS
 
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
Apresentação Power Embedded - Descubra uma nova forma de compartilhar relatór...
 
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo PagliusiPalestras sobre Cibersegurança em Eventos - Paulo Pagliusi
Palestras sobre Cibersegurança em Eventos - Paulo Pagliusi
 
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docxATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
ATIVIDADE 1 - GESTÃO DE PESSOAS E DESENVOLVIMENTO DE EQUIPES - 52_2024.docx
 
Apostila e caderno de exercicios de WORD
Apostila e caderno de exercicios de  WORDApostila e caderno de exercicios de  WORD
Apostila e caderno de exercicios de WORD
 
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdfFrom_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
From_SEH_Overwrite_with_Egg_Hunter_to_Get_a_Shell_PT-BR.pdf
 
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIAEAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
EAD Curso - CIÊNCIA DE DADOS NA INDÚSTTRIA
 
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docxATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
ATIVIDADE 1 - CÁLCULO DIFERENCIAL E INTEGRAL II - 52_2024.docx
 
Entrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo PagliusiEntrevistas, artigos, livros & citações de Paulo Pagliusi
Entrevistas, artigos, livros & citações de Paulo Pagliusi
 

Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança

  • 1. Importância do monitoramento de rede para reconhecimento de eventos e detecção de incidentes Werneck Costa - Analista de suporte - CAERN RNP-MeSeg2017 https://meseg.rnp.br/web/meseg2017
  • 2. RNP - MeSeg 2017 - Werneck Costa 2 Sobre este material • Desenvolvido exclusivamente para ser usado no MeSeg 2017 (RNP); • Pode ser utilizado, distribuído, ou exibido livremente, conservando e citando a autoria.
  • 3. RNP - MeSeg 2017 - Werneck Costa 3 About me • Bacharel em Sistemas de informação pelo UNI-RN; • Especialista em redes de computadores pelo UNI-RN; • Especialista Zabbix (Specialist e Professional); • Instrutor/professor; • Analista de suporte na CAERN.
  • 4. Segurança • Sensação? • Realidade? • Utopia? RNP - MeSeg 2017 - Werneck Costa 4
  • 5. Segurança no Desktop RNP - MeSeg 2017 - Werneck Costa 5
  • 6. Segurança no Desktop RNP - MeSeg 2017 - Werneck Costa 6
  • 7. De onde vem estas pragas? • Algo centralizado? • Algo organizado? • Algo aleatório? RNP - MeSeg 2017 - Werneck Costa 7
  • 8. De onde vem estas pragas? • Depende! RNP - MeSeg 2017 - Werneck Costa 8
  • 9. RNP - MeSeg 2017 - Werneck Costa 9
  • 10. RNP - MeSeg 2017 - Werneck Costa 10
  • 11. RNP - MeSeg 2017 - Werneck Costa 11
  • 12. RNP - MeSeg 2017 - Werneck Costa 12
  • 13. RNP - MeSeg 2017 - Werneck Costa 13
  • 14. O que fazer? • Proteção pré-desktop: – Download (proxy/webfilter); – Links ou anexos de e-mails (AntiSpam/antivírus); – Educação dos usuários. RNP - MeSeg 2017 - Werneck Costa 14
  • 15. O que fazer? • Proteção desktop: – Proteção/trava de portas físicas (USB); – Links ou anexos de e-mails (antivírus); – Educação dos usuários. RNP - MeSeg 2017 - Werneck Costa 15
  • 16. Funciona? • Proteção desktop: – Proteção/trava de portas físicas (USB); – Links ou anexos de e-mails (antivírus); – Educação dos usuários. RNP - MeSeg 2017 - Werneck Costa 16
  • 17. RNP - MeSeg 2017 - Werneck Costa 17
  • 18. Então, no desktop não tem jeito? • Na verdade, um conjunto de ações: – Utilização de AntiSpam centralizado “pré- desktop”; – Sistema de detecção, alerta e monitoramento de vulnerabilidades (Manoel Bezerra da Costa Neto); – Implementando segurança com Zabbix (análise de checksum e lista e atualizações Windows). RNP - MeSeg 2017 - Werneck Costa 18
  • 19. Só desktop? RNP - MeSeg 2017 - Werneck Costa 19
  • 20. RNP - MeSeg 2017 - Werneck Costa 20
  • 21. O arquivo está hospedado em algum lugar... • O dono/admin do hospedeiro sabe disso? – Acho que não... • O dono/admin do hospedeiro é malicioso? – Acho que não... • O dono/admin sabe como isso aconteceu? – Acho que não... RNP - MeSeg 2017 - Werneck Costa 21
  • 22. Vamos entender melhor • Um cliente/desktop comprometido – tem potencial para infectar toda a sua rede “horizontalmente”; • Um servidor comprometido – tem potencial para infectar * toda a internet RNP - MeSeg 2017 - Werneck Costa 22 * Guardadas as devidas proporções, claro...
  • 23. Então temos um problema maior do que o imaginado! RNP - MeSeg 2017 - Werneck Costa 23
  • 24. Então, no servidor não tem jeito? • Sistemas centralizadores de Logs – Pegam ações “de fora pra dentro” (acessos); • IDS (padrão) – Pegam comportamentos baseados em padrões; • WAF – Pegam SQLi, XSS, Transversal Directory e etc... RNP - MeSeg 2017 - Werneck Costa 24
  • 25. E contra a ação dos “serumaninhos”? RNP - MeSeg 2017 - Werneck Costa 25
  • 26. Um dos erros mais comuns • Que levam à hospedagem de arquivos maliciosos – É o vício do chmod 777 /var/www/app RNP - MeSeg 2017 - Werneck Costa 26
  • 27. Então, qual a proposta? • Criar itens e triggers no Zabbix, para monitorar arquivos e diretórios com permissão 777; • Tomando como base o “dump” dos VirtualHosts ativos num servidor Apache. – /usr/sbin/apache2ctl -S RNP - MeSeg 2017 - Werneck Costa 27
  • 28. Prática • O Zabbix não possui este tipo de monitoramento nativo; • Utilização do recurso de UserParameter; – Com LLD • Criação de template específico pra os itens recuperados. RNP - MeSeg 2017 - Werneck Costa 28
  • 29. RNP - MeSeg 2017 - Werneck Costa 29
  • 30. Complementação do trabalho • DNS: – Serial da zona, quantidade de RRs, respostas a domínios públicos... • Servidor de e-mails – Filas, atividades maliciosas (quantidade de mensagens enviadas)... RNP - MeSeg 2017 - Werneck Costa 30