See Project – Segurança em Cloud Computing v2

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Havendo olhos suficientes, todos os erros são óbvios" By Eric S. Raymond

O que é o See Project ?

● See == Security Environment;● Plataforma (middleware) para gerência de ativos

distribuídos na nuvem;● Open Source, sob licença GNU GPL V2;● Possibilita Gerência Centralizada;● *NIX, SOA, JAVA e Criptografia;● Desenvolvimento orientado a segurança;● Compatível com diversos compliances;● Possibilidade de diversos frontend's por diferentes

players de infosec;

A Segurança

● Técnica (Profissionais e Hackers);● Gestão (Politicas e Metodologias);● Cultural (Conscientizar e Educar);

Mas por que ?Soluções Open Source com o mesmo objetivo ?

● Webmin → NÃO. ●Untangle → NÃO.● PfSense → NÃO.

● Smoothwall → NÃO.● Shorewall → NÃO.

● IPCOP → NÃO.● Vyatta → NÃO.● Endian → NÃO.

● Virtualmin → NÃO.●Firewall Builder, Xfwall, dcfirewall, proxwall, isp-

fw, ispconfig → NÃO! NÃO e NÃO!

Mas por que não ?

● Todas, por serem Open Source merecem respeito, mas elas não me satisfizeram.

● Ponto de vista pessoal;● Ponto de vista técnico;

Recursos do See Project

See Network See Firewall See Webfilter See VPN See Name

See Mail See Web See Ids See Ips See Waf See Flow

See Monitor See Daf See Siem See Ftp See Backup See Control

Problemas na nuvem

● Muitos vendors, pouca interoperabilidade entre vendors.

● Problemas;● Segurança no hypervisor;● Segurança a nível de rede/sistema operacional;● Responsabilidade judicial;

See Cloud;

● SAAS → See Control(frontend);● PAAS → SeeD(middleware);● IAAS;● Security As A Service;

See Control(Frontend)

● Web 2.0(jquery/ui);● Framework php symfony 1.4(MVC, ORM...)● Certificação digital● RBAC● Integrações:

● Ferramentas de atendimento(helpdesk).● Ferramentas de gerenciamento de risco.● Ferramentas de avalização de

vulnerabilidades.● Ferramentas de gestão de vulnerabilidades.

See Guard DB

See DB

Middleware See aKa SeeD

● Microkernel;● Segregação de funcionalidades;● Baixo acoplamento;● Atualização modular e interrupta;

● RESTful → Restlet, Grizzly(NIO);● IPC(Inter Process Communication) → RMI;● Embarcação;● Centralização de chamadas externas;● IDS Ativo;● Artefatos de dados e configurações em XML;

Ownando o See

● Footprinting;● Sniffing, Data Tampering, Replay-Attack's,

MITM;● Brute Force, (X/D)DOS;● Escalonamento de privilégios;● Code Injection;● Parsing Attack's;

Protegendo o See

● Fake Banner;● SSL/Certificação digital;● WADL(XSD);● Autenticação/RBAC/Politica de

acesso;● SeeD com IPC(RMI);

Diagrama de pacotes

Diagrama de distribuição

Topologia de redes simples

Em cloud, e a DMZ ?

See Project, show me!

● See Control;● See Network;● See Firewall;● See Webfilter;

Mais antes, o parser...

● Objetos Java ↔ Xml (JSON!)● Atributos XML ↔ Atributos Java!● Busca, tradução e preenchimento

dinâmico.● Xpath + Reflection!

… A orientação a objetos!

● Reutilização;● Organização;● Compartilhamento e replicação de objetos;● Simplicidade;● Facilidade;● Exemplo:

● @nome_elemento[nome_atributo]

See Webfilter

● Abstração do Squid.● Proxy, Cache e Anti-Vírus. ● Lista Branca e Lista Negra ; ● Grupos de Usuários e Sites. ● Intervalos de horários para liberação. ● Integração com Active Directory, LDAP e MySQL. ● Modo Transparente. ● Balanceamento de Carga.

See Network

● Redes, Sub-Redes, Ips e Portas;● Cliente DNS, Hosts e host.conf;● Interfaces;● Tabelas de roteamento;● Rules;● Rotas;● Load Balance;

See Network: Exemplo 1

See Network: Exemplo 2

See Firewall

● SLF - See Language Firewall.● Abstração do iptables(mas previsto outros como pf/ipfw),

flexível.● Até 80% menor em números de regras com a mesma

efetividade!● Politicas padrões.● Cadeias personalizadas.● Stateless/Stateful Inspection.● Full NAT(Mascaramento, NAT 1x1, DNAT e SNAT).● Níveis e mensagens de log.● Load Balance, QOS, Traffic Shapping e Fail Over.

See Firewall: Rule Template

<PROGRAM><TABLE><CHAIN><PROTOCOL><INPUT_INTERFACE><OUTPUT_INTERFACE><SOURCE_IP><DESTINATION_IP><SOURCE_PORT><DESTINATION_PORT><SIZE_LIMIT><ICMP_TYPE><PACKET_STATE><TCP_FLAG><CONNECTION_LIMIT><TIME_LIMIT><PACKET_PAYLOAD><PARTIAL_RULE><TARGET><LOG_LEVEL><LOG_MESSAGE><TO_IP><TO_PORT><PA

CKET_MARK>

See Firewall: SLF 1

See Firewall: SLF 2

See Firewall: SLF 3

Sustentabilidade

● Financeira● Social ↔ Comunidade ↔ Colaboração● Tecnológica

Datas Importantes

● Até o final do ano com certeza!:● Lançamento da Release Candidate

1.0;● “ Site;● Lançamento da versão 1.0;

Fique por dentro

http://github.com/marcelomf/seeproject/

http://www.sourceforge.net/projects/seeproject/

http://code.google.com/p/seeproject/

http://groups.google.com.br/group/seeproject/

http://www.seeproject.net/

+ contatos no último slide.

Muito Obrigado!

Marcelo Machado Fleurymarcelomf[noSpam]gmail[ponto]com

http://marcelomf.blogspot.comhttp://www.slideshare.com/marcelomf

http://twitter.com/marcelomf

...#GOPHP, #GOJAVA, #PSL-GO, #ASL-GO, #GTER, #MASOCH-L, #FUG-BR, #CISSP-BR, #OWASP...

"Conheço muitos que não puderam quando deviam, porque não quiseram quando podiam." By François Rabelais