See Project - Segurança em Cloud Computing FLISOL GO 2010
1. See Project – Segurança em Cloud
Computing
Marcelo Machado Fleury
marcelomf[noSpam]gmail[ponto]com
http://marcelomf.blogspot.com
http://www.slideshare.com/marcelomf
http://twitter.com/marcelomf
...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER,
#MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...
"Havendo olhos suficientes, todos os erros são óbvios"
By Eric S. Raymond
2. Quem sou eu ?
● Entusiasta do movimento Software Livre.
● “ “ “ Ethical Hacking.
● Iniciou a carreira como sysadmin *nix em 2000.
● Desenvolvedor PHP e JAVA(j2se) desde 2005.
● Conectiva Linux 1 e 2, LPIC 1, Novell CLA.
● Mantenedor do See Project.
● Sócio diretor da Synack Tecnologia.
● Futuro Security Researcher e Kernel Developer
(fulltime). :)
3. O que é o See Project ?
● See == Security Environment;
● Plataforma (middleware) para gerência de ativos
distribuídos na nuvem;
● Open Source, sob licença GNU GPL V2;
● Possibilita Gerência Centralizada;
● *NIX, SOA, JAVA e Criptografia;
● Desenvolvimento Seguro;
● Compatível com diversos compliances;
● Possibilidade de diversos frontend's por diferentes
players de infosec;
4. Mas por que ?
Soluções Open Source com o mesmo objetivo ?
● Webmin → NÃO.
●Untangle → NÃO.
● PfSense → NÃO.
● Smoothwall → NÃO.
● Shorewall → NÃO.
● IPCOP → NÃO.
● Vyatta → NÃO.
● Endian → NÃO.
● Virtualmin → NÃO.
●Firewall Builder, Xfwall, dcfirewall, proxwall, isp-
fw, ispconfig → NÃO! NÃO e NÃO!
5. Mas por que não ?
● Todas, por serem Open Source merecem
respeito, mas elas não me satisfizeram.
● Ponto de vista pessoal;
● Ponto de vista técnico;
6.
7.
8. Recursos do See Project
See Network See Firewall
See Webfilter See VPN See Name
See Mail See Web See Ids
See Ips See Waf See Flow
See Monitor See Daf See Siem
See Ftp See Backup See Access
9. Cloud Computing: A Base
TCP/IP(...IPV6...), Virtualização,
Computação Distribuída/Clusterização,
High Availability, SOA e Web 2.0/3.0.
{}
Suítes de Escritórios, ERP's, CRM's, SAD's,
GED's, BPM's e BI's.
{}
BGP, ZFS, KVM, XEN, GFS, GlusterFS,
iSCSI, OCFS, Hadoop, NoSQL, Eucalyptus.
14. A Segurança
● Técnica (Profissionais e Hackers);
● Gestão (Politicas e Metodologias);
● Cultural (Conscientizar e Educar);
15. Segurança em Camadas
Serviços, Negócios e Pessoas Gestão, Cultura e
Conformidades. SDLC,
OWASP(CLASSP, OpenSAMM,
ASVS, ESAPI).
Aplicação DLP
(W,D,)AF
Transporte HIDS
NIDS
IPS
Internet
VPN
Proxy
Rede Firewall
Honeypots
System Hardening
16. Ownando o See
● Footprinting;
● Sniffing, Data Tampering, Replay-Attack's,
MITM;
● Brute Force, (X/D)DOS;
● Escalonamento de privilégios;
● Code Injection;
● Parsing Attack's;
17. Protegendo o See
● Fake Banner, Flex Routing;
● SSL, Certificação digital, Criptografia no
payload, Custodia compartilhada de chaves e
Tokens de sessão;
● WADL(XSD);
● Autenticação/RBAC/Politica de acesso;
● SeeD sem root;
● Chroot/Jail;
18. See Frontend
● Web 3.0;
● Integrações:
● Ferramentas de atendimento(helpdesk).
● Ferramentas de gerenciamento de risco.
● Ferramentas de avalização de
vulnerabilidades.
● Ferramentas de gestão de vulnerabilidades.
19. See Backend aKa SeeD
● Microkernel;
● Segregação de funcionalidades;
● Baixo acoplamento;
● Atualização modular e interrupta;
● RESTful;
● Restlet, Grizzly(NIO);
● Embarcação;
● P2P/Proxy reverso;
● IDS Ativo;
● Artefatos de dados em XML;
● Artefatos configurações em YML;
33. See Webfilter
● Abstração do Squid e SquidGuard.
● Proxy, Cache e Anti-Vírus.
● Lista Branca e Lista Negra Categorizada ;
● Grupos de Usuários e Sites.
● Intervalos de horários para liberação.
● Integração com Active Directory, LDAP e MySQL.
● Modo Transparente.
● Balanceamento de Carga.
34. See Firewall
● SLF - See Language Firewall.
● DMZ Virtual(!= Virtual DMZ/VMWare)
● Abstração do iptables(mas previsto outros como pf/ipfw), flexível.
● Até 80% menor em números de regras com a mesma efetividade!
● Politicas padrões.
● Cadeias personalizadas.
● Stateless/Stateful Inspection.
● Full NAT(Mascaramento, NAT 1x1, DNAT e SNAT).
● Níveis e mensagens de log.
● Load Balance, QOS, Traffic Shapping e Fail Over.
40. Sustentabilidade
● Comercial
● Judicial
● Social ↔ Comunidade ↔ Colaboração
● Tecnológica
41. Datas Importantes
● 24/05/2010:
● Lançamento da Release Candidate 1.0;
● “ Site;
● “ Controle de versão Público;
● “ Wiki;
● “ Maillist;
● Meados de Junho/Julho:
● Lançamento da versão 1.0;
● Documentação do desenvolvedor;
● ??/??/????:
● Aprovação de palestras do FISL 11;
43. Muito Obrigado!
Marcelo Machado Fleury
marcelomf[noSpam]gmail[ponto]com
http://marcelomf.blogspot.com
http://www.slideshare.com/marcelomf
http://twitter.com/marcelomf
...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER,
#MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...
"Conheço muitos que não puderam quando deviam, porque não
quiseram quando podiam." By François Rabelais