Apresentação aplicada no MeSeg RNP 2017, visando aplicar conceitos de detecção de problemas de segurança (do lado do servidor), aplicando a plataforma de monitoramento Zabbix.
Comunidade Zabbix Brasil - Zabbix Conference LatAM - André Déo
Semelhante a Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
Semelhante a Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança (20)
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança
1. Importância do monitoramento de rede para
reconhecimento de eventos e detecção de incidentes
Werneck Costa - Analista de suporte - CAERN
RNP-MeSeg2017
https://meseg.rnp.br/web/meseg2017
2. RNP - MeSeg 2017 - Werneck Costa 2
Sobre este material
• Desenvolvido exclusivamente para ser usado
no MeSeg 2017 (RNP);
• Pode ser utilizado, distribuído, ou exibido
livremente, conservando e citando a autoria.
3. RNP - MeSeg 2017 - Werneck Costa 3
About me
• Bacharel em Sistemas de informação pelo
UNI-RN;
• Especialista em redes de computadores pelo
UNI-RN;
• Especialista Zabbix (Specialist e Professional);
• Instrutor/professor;
• Analista de suporte na CAERN.
14. O que fazer?
• Proteção pré-desktop:
– Download (proxy/webfilter);
– Links ou anexos de e-mails (AntiSpam/antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 14
15. O que fazer?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 15
16. Funciona?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 16
18. Então, no desktop não tem jeito?
• Na verdade, um conjunto de ações:
– Utilização de AntiSpam centralizado “pré-
desktop”;
– Sistema de detecção, alerta e monitoramento de
vulnerabilidades (Manoel Bezerra da Costa Neto);
– Implementando segurança com Zabbix (análise de
checksum e lista e atualizações Windows).
RNP - MeSeg 2017 - Werneck Costa 18
21. O arquivo está hospedado em algum
lugar...
• O dono/admin do hospedeiro sabe disso?
– Acho que não...
• O dono/admin do hospedeiro é malicioso?
– Acho que não...
• O dono/admin sabe como isso aconteceu?
– Acho que não...
RNP - MeSeg 2017 - Werneck Costa 21
22. Vamos entender melhor
• Um cliente/desktop comprometido
– tem potencial para infectar toda a sua rede
“horizontalmente”;
• Um servidor comprometido
– tem potencial para infectar * toda a internet
RNP - MeSeg 2017 - Werneck Costa 22
* Guardadas as devidas proporções, claro...
23. Então temos um problema maior do
que o imaginado!
RNP - MeSeg 2017 - Werneck Costa 23
24. Então, no servidor não tem jeito?
• Sistemas centralizadores de Logs
– Pegam ações “de fora pra dentro” (acessos);
• IDS (padrão)
– Pegam comportamentos baseados em padrões;
• WAF
– Pegam SQLi, XSS, Transversal Directory e etc...
RNP - MeSeg 2017 - Werneck Costa 24
25. E contra a ação dos “serumaninhos”?
RNP - MeSeg 2017 - Werneck Costa 25
26. Um dos erros mais comuns
• Que levam à hospedagem de arquivos
maliciosos
– É o vício do chmod 777 /var/www/app
RNP - MeSeg 2017 - Werneck Costa 26
27. Então, qual a proposta?
• Criar itens e triggers no Zabbix, para monitorar
arquivos e diretórios com permissão 777;
• Tomando como base o “dump” dos
VirtualHosts ativos num servidor Apache.
– /usr/sbin/apache2ctl -S
RNP - MeSeg 2017 - Werneck Costa 27
28. Prática
• O Zabbix não possui este tipo de
monitoramento nativo;
• Utilização do recurso de UserParameter;
– Com LLD
• Criação de template específico pra os itens
recuperados.
RNP - MeSeg 2017 - Werneck Costa 28
30. Complementação do trabalho
• DNS:
– Serial da zona, quantidade de RRs, respostas a
domínios públicos...
• Servidor de e-mails
– Filas, atividades maliciosas (quantidade de
mensagens enviadas)...
RNP - MeSeg 2017 - Werneck Costa 30