Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Importância do monitoramento de rede para
reconhecimento de eventos e detecção de incidentes
Werneck Costa - Analista de s...
RNP - MeSeg 2017 - Werneck Costa 2
Sobre este material
• Desenvolvido exclusivamente para ser usado
no MeSeg 2017 (RNP);
•...
RNP - MeSeg 2017 - Werneck Costa 3
About me
• Bacharel em Sistemas de informação pelo
UNI-RN;
• Especialista em redes de c...
Segurança
• Sensação?
• Realidade?
• Utopia?
RNP - MeSeg 2017 - Werneck Costa 4
Segurança no Desktop
RNP - MeSeg 2017 - Werneck Costa 5
Segurança no Desktop
RNP - MeSeg 2017 - Werneck Costa 6
De onde vem estas pragas?
• Algo centralizado?
• Algo organizado?
• Algo aleatório?
RNP - MeSeg 2017 - Werneck Costa 7
De onde vem estas pragas?
• Depende!
RNP - MeSeg 2017 - Werneck Costa 8
RNP - MeSeg 2017 - Werneck Costa 9
RNP - MeSeg 2017 - Werneck Costa 10
RNP - MeSeg 2017 - Werneck Costa 11
RNP - MeSeg 2017 - Werneck Costa 12
RNP - MeSeg 2017 - Werneck Costa 13
O que fazer?
• Proteção pré-desktop:
– Download (proxy/webfilter);
– Links ou anexos de e-mails (AntiSpam/antivírus);
– Ed...
O que fazer?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Edu...
Funciona?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Educaç...
RNP - MeSeg 2017 - Werneck Costa 17
Então, no desktop não tem jeito?
• Na verdade, um conjunto de ações:
– Utilização de AntiSpam centralizado “pré-
desktop”;...
Só desktop?
RNP - MeSeg 2017 - Werneck Costa 19
RNP - MeSeg 2017 - Werneck Costa 20
O arquivo está hospedado em algum
lugar...
• O dono/admin do hospedeiro sabe disso?
– Acho que não...
• O dono/admin do ho...
Vamos entender melhor
• Um cliente/desktop comprometido
– tem potencial para infectar toda a sua rede
“horizontalmente”;
•...
Então temos um problema maior do
que o imaginado!
RNP - MeSeg 2017 - Werneck Costa 23
Então, no servidor não tem jeito?
• Sistemas centralizadores de Logs
– Pegam ações “de fora pra dentro” (acessos);
• IDS (...
E contra a ação dos “serumaninhos”?
RNP - MeSeg 2017 - Werneck Costa 25
Um dos erros mais comuns
• Que levam à hospedagem de arquivos
maliciosos
– É o vício do chmod 777 /var/www/app
RNP - MeSeg...
Então, qual a proposta?
• Criar itens e triggers no Zabbix, para monitorar
arquivos e diretórios com permissão 777;
• Toma...
Prática
• O Zabbix não possui este tipo de
monitoramento nativo;
• Utilização do recurso de UserParameter;
– Com LLD
• Cri...
RNP - MeSeg 2017 - Werneck Costa 29
Complementação do trabalho
• DNS:
– Serial da zona, quantidade de RRs, respostas a
domínios públicos...
• Servidor de e-ma...
Contatos
werneck.costa@gmail.com
Telegram: https://t.me/WerneckCosta
https://neckcosta.wordpress.com
RNP - MeSeg 2017 - We...
Upcoming SlideShare
Loading in …5
×

Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança

1,400 views

Published on

Apresentação aplicada no MeSeg RNP 2017, visando aplicar conceitos de detecção de problemas de segurança (do lado do servidor), aplicando a plataforma de monitoramento Zabbix.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramento para reconhecimento de eventos e detecção de incidentes de segurança

  1. 1. Importância do monitoramento de rede para reconhecimento de eventos e detecção de incidentes Werneck Costa - Analista de suporte - CAERN RNP-MeSeg2017 https://meseg.rnp.br/web/meseg2017
  2. 2. RNP - MeSeg 2017 - Werneck Costa 2 Sobre este material • Desenvolvido exclusivamente para ser usado no MeSeg 2017 (RNP); • Pode ser utilizado, distribuído, ou exibido livremente, conservando e citando a autoria.
  3. 3. RNP - MeSeg 2017 - Werneck Costa 3 About me • Bacharel em Sistemas de informação pelo UNI-RN; • Especialista em redes de computadores pelo UNI-RN; • Especialista Zabbix (Specialist e Professional); • Instrutor/professor; • Analista de suporte na CAERN.
  4. 4. Segurança • Sensação? • Realidade? • Utopia? RNP - MeSeg 2017 - Werneck Costa 4
  5. 5. Segurança no Desktop RNP - MeSeg 2017 - Werneck Costa 5
  6. 6. Segurança no Desktop RNP - MeSeg 2017 - Werneck Costa 6
  7. 7. De onde vem estas pragas? • Algo centralizado? • Algo organizado? • Algo aleatório? RNP - MeSeg 2017 - Werneck Costa 7
  8. 8. De onde vem estas pragas? • Depende! RNP - MeSeg 2017 - Werneck Costa 8
  9. 9. RNP - MeSeg 2017 - Werneck Costa 9
  10. 10. RNP - MeSeg 2017 - Werneck Costa 10
  11. 11. RNP - MeSeg 2017 - Werneck Costa 11
  12. 12. RNP - MeSeg 2017 - Werneck Costa 12
  13. 13. RNP - MeSeg 2017 - Werneck Costa 13
  14. 14. O que fazer? • Proteção pré-desktop: – Download (proxy/webfilter); – Links ou anexos de e-mails (AntiSpam/antivírus); – Educação dos usuários. RNP - MeSeg 2017 - Werneck Costa 14
  15. 15. O que fazer? • Proteção desktop: – Proteção/trava de portas físicas (USB); – Links ou anexos de e-mails (antivírus); – Educação dos usuários. RNP - MeSeg 2017 - Werneck Costa 15
  16. 16. Funciona? • Proteção desktop: – Proteção/trava de portas físicas (USB); – Links ou anexos de e-mails (antivírus); – Educação dos usuários. RNP - MeSeg 2017 - Werneck Costa 16
  17. 17. RNP - MeSeg 2017 - Werneck Costa 17
  18. 18. Então, no desktop não tem jeito? • Na verdade, um conjunto de ações: – Utilização de AntiSpam centralizado “pré- desktop”; – Sistema de detecção, alerta e monitoramento de vulnerabilidades (Manoel Bezerra da Costa Neto); – Implementando segurança com Zabbix (análise de checksum e lista e atualizações Windows). RNP - MeSeg 2017 - Werneck Costa 18
  19. 19. Só desktop? RNP - MeSeg 2017 - Werneck Costa 19
  20. 20. RNP - MeSeg 2017 - Werneck Costa 20
  21. 21. O arquivo está hospedado em algum lugar... • O dono/admin do hospedeiro sabe disso? – Acho que não... • O dono/admin do hospedeiro é malicioso? – Acho que não... • O dono/admin sabe como isso aconteceu? – Acho que não... RNP - MeSeg 2017 - Werneck Costa 21
  22. 22. Vamos entender melhor • Um cliente/desktop comprometido – tem potencial para infectar toda a sua rede “horizontalmente”; • Um servidor comprometido – tem potencial para infectar * toda a internet RNP - MeSeg 2017 - Werneck Costa 22 * Guardadas as devidas proporções, claro...
  23. 23. Então temos um problema maior do que o imaginado! RNP - MeSeg 2017 - Werneck Costa 23
  24. 24. Então, no servidor não tem jeito? • Sistemas centralizadores de Logs – Pegam ações “de fora pra dentro” (acessos); • IDS (padrão) – Pegam comportamentos baseados em padrões; • WAF – Pegam SQLi, XSS, Transversal Directory e etc... RNP - MeSeg 2017 - Werneck Costa 24
  25. 25. E contra a ação dos “serumaninhos”? RNP - MeSeg 2017 - Werneck Costa 25
  26. 26. Um dos erros mais comuns • Que levam à hospedagem de arquivos maliciosos – É o vício do chmod 777 /var/www/app RNP - MeSeg 2017 - Werneck Costa 26
  27. 27. Então, qual a proposta? • Criar itens e triggers no Zabbix, para monitorar arquivos e diretórios com permissão 777; • Tomando como base o “dump” dos VirtualHosts ativos num servidor Apache. – /usr/sbin/apache2ctl -S RNP - MeSeg 2017 - Werneck Costa 27
  28. 28. Prática • O Zabbix não possui este tipo de monitoramento nativo; • Utilização do recurso de UserParameter; – Com LLD • Criação de template específico pra os itens recuperados. RNP - MeSeg 2017 - Werneck Costa 28
  29. 29. RNP - MeSeg 2017 - Werneck Costa 29
  30. 30. Complementação do trabalho • DNS: – Serial da zona, quantidade de RRs, respostas a domínios públicos... • Servidor de e-mails – Filas, atividades maliciosas (quantidade de mensagens enviadas)... RNP - MeSeg 2017 - Werneck Costa 30
  31. 31. Contatos werneck.costa@gmail.com Telegram: https://t.me/WerneckCosta https://neckcosta.wordpress.com RNP - MeSeg 2017 - Werneck Costa 31

×