Palestra realizada em 27 de abril de 2013 no Festival Latino Americano de Instalación de Software Libre em Salvador

1. Criando um appliance Open Source para mitigarCriando um appliance Open Source para mitigar
vulnerabilidades de serviços e aplicaçõesvulnerabilidades de serviços e aplicações

2. Alexandro 'Alexos' Silva
Consultor iBliss Segurança & Inteligência
http://br.linkedin.com/in/alexandrosilva

3. O que proteger?
✔ Dados;
✔ Aplicações;
✔ Serviços;
✔ Sistema.

4. Proteção?!?
✔ Políticas e normas;
✔ Conscientização;
✔ Ferramentas:
✔ Firewall;
✔ IDS/IPS;
✔ Antivírus.

5. *Avast,Karpersky e GData

6. Ambiente Hostil

8. Cenário

9. Cenário Proposto

10. Features - Proteção
Aplicações Web
Serviços*
Sistema**
*pop/imap proxy
**limitado

11. Multiplataforma
Windows
Unix
Mac
Switchs, routers, firewalls.

12. Load Balance

13. Resposta Automática

14. Virtual Patching

15. Identificação e
rastreabilidade de
ameaças

16. Totalmente customizável

17. Limitações
No Log No Protection
Blacklist-based
Limitações

18. ATR vs WAF
✔ Não protege somente aplicações Web;
✔ Cliente/Servidor;
✔ Administração centralizada;
✔ Escalável.

20. Addons

21. server {
listen 80;
server_name hackme.home;
access_log /var/log/nginx/hackme.access.log main;
error_log /var/log/nginx/hackme.error.log;
location / {
proxy_pass http://192.168.0.18:80;
proxy_next_upstream error timeout invalid_header http_500 http_502
http_503 http_504;
proxy_redirect off;
proxy_buffering off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

22. TCP_PORTS="514"
UDP_PORTS="111"
BLOCK_UDP="1"
BLOCK_TCP="1"

23. <decoder name="portsentry">
<program_name>^portsentry</program_name>
</decoder>
<decoder name="portsentry-attackalert">
<parent>portsentry</parent>
<prematch>attackalert: TCP SYN/Normal scan from host: </prematch>
<regex offset="after_prematch">(S+)/S+ to (S+) port: (d+)$</regex>
<order>srcip,protocol,dstport</order>
</decoder>
…

24. <database_output>
<hostname>localhost</hostname>
<username>ossec</username>
<password>password</password>
<database>ossec</database>
<type>mysql</type>
</database_output>
…
<group name="attack,sqlinjection,">
<rule id="160001" level="6">
<if_sid>31100</if_sid>
<url>=%27|select%2B|insert%2B|%2Bfrom%2B|%2Bwhere%2B|%2Bunion%2B</url>
<description>SQL injection attempt.</description>
</rule>
<rule id="160002" level="6">
<if_sid>31100</if_sid>
<url>%EF%BC%87|%EF%BC%87|%EF%BC%87|%2531|%u0053%u0045</url>
<description>SQL injection attempt.</description>
</rule>
</group>

25. Hands on babe!
Demo

26. http://alexos.org
alexos@alexos.org