O documento descreve a criação de um appliance open source destinado a mitigar vulnerabilidades em serviços e aplicações. Ele abrange aspectos de proteção, incluindo dados, aplicações e serviços, e apresenta uma série de ferramentas e configurações para aprimorar a segurança. Ademais, menciona limitações e funcionalidades do sistema, como personalização e escalabilidade.

1. Criando um appliance Open Source para mitigarCriando um appliance Open Source para mitigar
vulnerabilidades de serviços e aplicaçõesvulnerabilidades de serviços e aplicações

2. Alexandro 'Alexos' Silva
Consultor iBliss Segurança & Inteligência
http://br.linkedin.com/in/alexandrosilva

3. O que proteger?
✔ Dados;
✔ Aplicações;
✔ Serviços;
✔ Sistema.

4. Proteção?!?
✔ Políticas e normas;
✔ Conscientização;
✔ Ferramentas:
✔ Firewall;
✔ IDS/IPS;
✔ Antivírus.

5. *Avast,Karpersky e GData

6. Ambiente Hostil

8. Cenário

9. Cenário Proposto

10. Features - Proteção
Aplicações Web
Serviços*
Sistema**
*pop/imap proxy
**limitado

11. Multiplataforma
Windows
Unix
Mac
Switchs, routers, firewalls.

12. Load Balance

13. Resposta Automática

14. Virtual Patching

15. Identificação e
rastreabilidade de
ameaças

16. Totalmente customizável

17. Limitações
No Log No Protection
Blacklist-based
Limitações

18. ATR vs WAF
✔ Não protege somente aplicações Web;
✔ Cliente/Servidor;
✔ Administração centralizada;
✔ Escalável.

20. Addons

21. server {
listen 80;
server_name hackme.home;
access_log /var/log/nginx/hackme.access.log main;
error_log /var/log/nginx/hackme.error.log;
location / {
proxy_pass http://192.168.0.18:80;
proxy_next_upstream error timeout invalid_header http_500 http_502
http_503 http_504;
proxy_redirect off;
proxy_buffering off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

22. TCP_PORTS="514"
UDP_PORTS="111"
BLOCK_UDP="1"
BLOCK_TCP="1"

23. <decoder name="portsentry">
<program_name>^portsentry</program_name>
</decoder>
<decoder name="portsentry-attackalert">
<parent>portsentry</parent>
<prematch>attackalert: TCP SYN/Normal scan from host: </prematch>
<regex offset="after_prematch">(S+)/S+ to (S+) port: (d+)$</regex>
<order>srcip,protocol,dstport</order>
</decoder>
…

24. <database_output>
<hostname>localhost</hostname>
<username>ossec</username>
<password>password</password>
<database>ossec</database>
<type>mysql</type>
</database_output>
…
<group name="attack,sqlinjection,">
<rule id="160001" level="6">
<if_sid>31100</if_sid>
<url>=%27|select%2B|insert%2B|%2Bfrom%2B|%2Bwhere%2B|%2Bunion%2B</url>
<description>SQL injection attempt.</description>
</rule>
<rule id="160002" level="6">
<if_sid>31100</if_sid>
<url>%EF%BC%87|%EF%BC%87|%EF%BC%87|%2531|%u0053%u0045</url>
<description>SQL injection attempt.</description>
</rule>
</group>

25. Hands on babe!
Demo

26. http://alexos.org
alexos@alexos.org