Marcos Aurelio Rodrigues

SnortCP

2010-01-18T14:27:00.000-02:00

Sexta-Feira conseguir obter êxito em mais um certificação, consegui obter êxito no SnortCP (Snort Certified Professional) Exam , prova de conhecimento sobre o Snort IDS/IPS. A prova é realizada online.

http://www.sourcefire.com/services/education#snortcp

[]s
Marcos

Suricata IDS

2010-01-03T21:38:00.000-02:00

Nesse final de ano foi lançado em versão teste do Suritcata IDS, esse IDS que trás algumas novidades como por exemplo:

Multi-threading

Detecção automática de protocolos

Suporte GZIP

Biblioteca HTTP Independente.

Esse IDS promete, já que em sua equipe se encontram desenvolvedores do Emerging Threats, Modsecurity.

O Suricata além de recursos novos também oferece suporte as regras de Snort. Quem puder testar e dar feedback, os desenvolvedores agradecem.

Anuncio:

http://www.openinfosecfoundation.org/

Download:

http://openinfosecfoundation.org/index.php/download-suricata

[]s

Marcos

Assinatura de email versus bom senso

2009-09-22T22:31:00.000-03:00

Quando comecei a participar de listas de discussão, comecei a ver que alguns dos participantes usavam assinaturas para colocar as certificações que tinham. Confesso, achava o máximo, pensava: Legal, o cara e CCNA, nossa, aquele outro e CISSP, esse aqui é CISA.

Tirei minhas certificações, por um tempo coloquei no email, CISSP, CCNA, MCSO, Security+.

Porém comecei a reparar nos exageros (pelo menos em meu ponto de vista), como apresentação da graduação, pessoas com mais de 6 certificações na assinatura, tem pessoas que enviam email com a assinatura maior que o texto da mensagem. Qual o motivo para isso? Alguem me explica? Claro...além de puro e velho marketing...

Por isso prefiro:

[]s

Marcos

PCN Suino

2009-06-01T18:54:00.000-03:00

Um tempo atrás foi a gripe aviária, agora a gripe suina, sem falar da Dengue, que é até um caso curioso, pois aqui no Brasil acho que deviamos ficar mais preocupados com a dengue do que com a gripe suina. Aqui estou expressando apenas minha opnião, pois vi em listas de discussão profissionais discutindo a crise da gripe suina no México com a elaboração de uma Plano de Continuidade de Negócio. Sinceramente tentar relacionar um epidemia como o caso da gripe suina a um PCN, eu acho no minimo curioso. Sejamos sincero, diante de uma epidemia alguem iria ignorar o conselho dos governos de ficar em casa? Eu não iria!!!

Que PCN iria cobrir uma epidemia, se nem governos com recursos "infinitos" consegue lidar com isso, então achar que fez ou tentar fazer um PCN a prova de epidemia so pode ser ilusão.

Quem sabe com o Papai Novel fazendo a analise de risco, tudo pode dar certo.

[]s
Marcos

Conficker - Atacou? Não atacou?

2009-04-06T22:08:00.000-03:00

Depois do alvoroço do dia 1 de Abril (eu não aguentava mais ler sobre o Conficker), todos agora se perguntam, cade o "bichinho"?

Para quem não sabe onde ele esta, pode olhar os mapas:
http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionDistribution

O que me surpreende nisso tudo é que o fix da Microsoft que corrige a falha explorada pelo Conficker foi lançada a praticamente 6 meses (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx), se todo mundo fizesse o minimo e mantivesse o SO atualizado...

[ ]s,
Marcos

Metricas...invertendo o resultado!!!

2009-03-24T22:45:00.000-03:00

Em tecnologia, segurança, todos gostam de falar de números, gestores, desenvolvedores, analistas, todos! Adoram expor números, fiz um aplicativo que suporta X conexões por segundo, meu IDS depois que coloquei bloqueou tantas tentativas de ataque, meu antivirus e o melhor, detectou X+Y vírus. Fica a pergunta, será que se mudarmos as frases o resultado ainda continua bom?

Você consegue responder:

Quantos ataques seu IDS deixou passsar?

Quantos vírus não foram detectados pelo seu antivirus?

Não consegue responder? É talvez o resultado agora não seja tão bom quanto você achava que era...

[]s
Marcos

ProxyStrike V2.0 released

2009-03-18T21:17:00.000-03:00

Mais um Web Application Proxy, a versao 2.0 do ProxyStrike foi disponibilizada. Este tipo de ferramenta é muito util pra realizar testes de aplicações Web, trabalha como um proxy transparente permitindo que você façã a manipulação e análise de requests feito pelo seu browser enquanto você acessa o site a ser analisado, ainda não testei o ProxyStrike mas as features parecem interessantes:

Plugin engine (Create your own plugins!)
Request interceptor
Request diffing
Request repeater
Automatic crawl process
Save/restore session
Http request/response history
Request parameter stats
Request parameter values stats
Request url parameter signing and header field signing
Use of an alternate proxy (tor for example ;D )
Sql attacks (plugin)
Server Side Includes (plugin)
Xss attacks (plugin)
Attack logs
Export results to HTML or XML

http://www.edge-security.com/proxystrike.php

[]s
Marcos

Apache - Segmentation Fault

2009-02-17T23:54:00.000-03:00

Um dos principais pontos quando realizamos tunning de Apache é definir quantidade de processos, quantidade de processos em espera, quantidade de requisições por segundo que ele irá tratar, keepalive entre outras. Porém por vezes esquecemos que por trás do Apache possuímos um sistema operacional, que também deve ser configurado para atender a demanda, algumas variáveis que você pode setar no kernel do Linux para melhorar o desempenho podem ser encontradas em meu antigo post http://deigratia33.blogspot.com/2007/12/linux-como-melhorar-o-desempenho-em.html. Mas para aqueles que estão instalando um servidor Apache com um kernel 2.6.28 um recado, nesta versão de kernel foi adicionado um limite através do epoll que faz com que o número padrão de instancias para um mesmo usuário seja de 128.

Quando setamos um número superior a 128 para os processos do Apache e este tentar carregar mais processos, os processos filhos irão ser encerrados com erros de Segmentation Fault e causando problemas de timeout e perda de conexões. Esse erro é principalmente notado quando trabalhado com o módulo de multiprocessamento do Apache prefork. Não vem muito ao caso explicar agora a sua diferença para o módulo Worker, porém com o prefork, o Apache cria processos independentes que são de certa forma isoladas, ja com o worker o Apache utiliza sistema de thread.

Para evitar que os processos do Apache caiam em um situação de alta demanda, façã o seguinte:

systctl - w fs.epoll.max_user_instances=2000

Onde 2000 é um número maior que o MaxClients.

De certo, sempre que fizermos atualizações devemos nos atentar aos changelogs para evitar estes tipos de transtornos, mas claro que as vezes algo passa batido.

Link para a mensagem sobre a implentação do epoll no Kernel.
http://lkml.indiana.edu/hypermail/linux/kernel/0812.0/01183.html

[]s
Marcos

CISSP Exam

2009-01-15T23:30:00.000-02:00

Para quem não conhece, a CISSP e uma das mais cobiçadas certificações de segurança da informação, não só no Brasil mas também no mundo. O Certified Information Systems Security Professional (CISSP) é mantido pelo ISC2, que é um orgão que tem como objetivo avaliar profissionais que trabalham com segurança da Informação.

A CISSP é dividida em 10 dominios:
Access Control
Application Security
Business Continuity and Disaster Recovery Planning
Cryptography
Information Security and Risk Management
Legal, Regulations, Compliance and Investigations
Operations Security
Physical (Environmental) Security CISSP
Security Architecture and Design
Telecommunications and Network Security

Pois bem, no dia 13 de Dezembro, decidi arriscar e participar de mais um desafio, tentar tirar a tão falada CISSP. A prova foi localizada na região da Berrini, em São Paulo. Cheguei pra fazer a prova com um pouco de sono, mas acordei bem, acordei tranquilo. Vi algumas pessoas que já tinha cruzado quando participei do grupo de estudos no começo do ano, infelizmente abandonei o grupo ainda no começo do ano (Mas recomendo que quem quiser tirar o CISSP, o grupo pode ajudar), após um período de espera subimos pra fazer a prova, acho que eu não poderia estar mais tranquilo do que naquele dia. A prova é bem complicada, e cansativa (6 Horas) mas nada que levantar e pegar uma água não melhore as coisas, tanto que quando percebi tinha terminado a prova, e o melhor; tinha tempo ainda pra uma revisão bem tranquila. Como tenho habito de marcar as questões que estou em duvida para ver se não mudei de ideia, comecei a ler novamente questão por questão, até que entreguei a prova.

Bom, não é o tipo de prova que você sabe o resultado de cara, então relaxei e aguardei. Foi então que no dia 24 de Dezembro, nos preparando para a noite de Natal, ajudando "minha muié" a fazer a comida, dei uma escapulida e vim pro Notebook, nerd é uma praga mesmo! Acessei meus emails e li uma mensagem de alguém da lista do CISSPBR dizendo que havia passado na prova, comecei a olhar mais emails, e também achei um email do ISC2, e não é que nele estava escrito "Congratulations", passei também, chamei minha namorada e mostrei o email, sabe que ela até esqueceu de me dar bronca e me deus os parabéns.

Bom, não acho que pessoas certificadas são melhores profissionais que pessoas não certificadas, mas pelo menos pra mim quando estudo com foco em alguma coisa, em algo especifico, é mais fácil. Acredito que o que você aprendeu para obter uma certificação é mais valido do que a própria certificação, por isso quanto mais difícil ela mais você vai estudar.

Por isso agora, to querendo algo bem complexo para fazer, vamos ver o que arrumo.

[]s
Marcos

Como se manter atualizado

2008-12-17T23:29:00.000-02:00

No momento em que decidi trabalhar com tecnologia, eu sabia que estava escolhendo uma profissão que se eu parasse de estudar ou de me atualizar eu não conseguiria mais progredir. Fico triste quando vejo que pessoas ligadas a tecnologia não perceberam o mesmo, não se atualizam, não estudam e não são curiosos. Bom, talvez não gostem do que fazem, não gostam de tecnologia, não é o meu caso, eu adoro que faço, lógico que trabalho é trabalho, se fosse a melhor coisa do mundo não teria este nome. Mas sei lá, adoro o que faço, muitas vezes meu passa tempo é ler manuais, livros.
Como parte da profissão, uma pessoa de tecnologia deve se manter atualizado, e muitos não conseguem fazer isso, é óbvio que 100% antenado é dificil, é muita informação, por isso selecione seu conteúdo, mapeie suas áreas de atuação, as apliações com que você trabalha, já imaginou que horrivel seria seu chefe lhe informar de alguma vulnerabilidade, ou da liberação de um novo fix?

Bom, acho que algumas coisas devem ser feitas como parte do dia a dia, pegar um copo de café logo que chega no escritório e começar ler listas de discussões, talvez participar respondendo, ou um IRC, faça uso de FEEDS diversos, sempre que puder compareça em eventos, confêrencias, workshops. Pesquise a solução de um problema antes de perguntar a alguém, mesmo que você não encontre a solução, pesquisando você já aprendeu algo. Jamais pense que você sabe tudo e conhece tudo sobre algo, se fizer isso você irá parar de aprender.

[]s
Marcos

OSSECBR

2008-09-07T22:02:00.000-03:00

Rodrigo Montoro (Sp0oKeR) e eu criamos uma lista de discussão para usuários do OSSEC no Brasil. A lista é um começo para criação de uma comunidade de usuários OSSEC no Brasil, que pra quem não sabe o OSSEC é projeto de um Brasileiro, Daniel Cid.

Apesar da aquisição do projeto OSSEC pela Third Brigade o projeto continua sendo OpenSource (GPL).

Para se inscrever na lista:

http://tech.groups.yahoo.com/group/ossecbr/

Rodrigo Montoro (Sp0oKeR) and I created a maillistlist for users of OSSEC in Brazil. The list is a start to creating a community of users OSSEC in Brazil, who does not know the OSSEC is a project of a Brazilian, Daniel Cid.

Despite the acquisition of the project by the Third Brigade OSSEC the project remains OpenSource (GPL).

To sign up on the list:

http://tech.groups.yahoo.com/group/ossecbr/

Marcos

DNSCurve

2008-09-07T20:58:00.000-03:00

Após o DNSSEC, agora é a vez de aparecer o DNSCurve. Ao contrario do DNSSEC o DNSCurve também garante confidencialidade, e eles faz isso através de criptografia de curve eliptica (DNSSEC utiliza RSA). Ainda não dediquei algum tempo a entender seriamente seu funcionamento porém pelo que vi, a sua implementação é mais simples que a do DNSSEC.

Basicamente o DNSCurve criptografa os pacotes DNS, não sendo necessário fazer modificações em seu arquivos de hosts e nem fazer o armazenamento de chaves no servidor, ele criptografa acrescentando mais dados no pacote, enviando a informação junto o FQDN.

Claro, para utilizar o seu servidor DNS tem que ter suporte ao DNSCurve.

Vamos ver que mais informação conseguiremos sobre ele.

After DNSSEC, is now the turn of the DNSCurve appear. Unlike the DNSSEC the DNSCurve also ensures confidentiality, and it do it through the elliptic-curve cryptography (DNSSEC uses RSA). Not yet devoted some time to think seriously abouts its operation, but I tink its implementation is simpler than DNSSEC.

Basically the DNSCurve encrypts the DNS packages, it is not necessary to make changes in hosts files and neither storage keys on the server, it do the encryption adding more data in the package, sending the information with the FQDN.

Of course, to use it, the DNS server must have support DNSCurve.

Let's see what more information we discover about it.

http://dnscurve.org/

Marcos Aurelio

Openswan-BR

2008-08-11T22:47:00.000-03:00

Meu amigo Felipe criou uma lista de discussão sobre Openswan, essa é uma inciativa legal pois apesar de muitos usarem VPN em Linux, poucos escrevem documentação e discutem sobre o assunto, em menos de um mês a lista já esta com mais de cem cadastrados.

Para partificpar basta se cadastrar em:
http://br.groups.yahoo.com/group/openswan-br/

My friend Felipe created a list of discussion about Openswan, a great initiative because even though many people use VPN on Linux, few discuss and write documentation about it, in less than a month the list has more than one hundred registered.

To join simply register at:
http://br.groups.yahoo.com/group/openswan-br/

Marcos Aurélio

Scrum - Gerenciamento de Projetos Agil/ Agile Project Management

2008-07-01T22:55:00.000-03:00

Sai um pouco do meu foco e comecei a lidar com organização, implantação de sistemas, coordenação. Senti a necessidade então de aplicar algum mecanismo, processo de controle no que fazia, melhor controlar minha agenda, lidar com o conflito entre mulher e trabalho, afinal quem não sofre com isso? Pois é, sou mais um mortal que sofre.
Comecei a procurar então por algo que me ajudasse. Foi então que cheguei ao Scrum. Uma metodologia simples e objetiva. Ainda estou fazendo meus estudos sobre a metodologia, sobre projetos, porém até agora estou bastante satisfeito com o que vi e apliquei.
O Scrum não é somente para projetos de software, ele na verdade é um processo ágil de desenvolvimento de produto ou administração de qualquer trabalho iterativo e incremental. Ele é bem versátil, acredito que este é o grande sucesso do Scrum, facilidade, simplicidade, objetividade.
De forma bem resumida após você analisar os requisitos e prioridades do projeto (Product Backlog) junto ao dono do produto final (Product Owner) você planeja o seu projeto em releases (Sprint) de no máximo 30 dias e atividades pertencendo a estes releases, e a cada dia você faz uma breve reunião (Daily Scrum) que não passa de 30 minutos e fazendo as mesmas perguntas :

"O que eu fiz desde a última reunião do Scrum?" (Ontem)

O que eu irei fazer antes da próxima reuniáo do Scrum? (Hoje)

O que me impede de fazer meu trabalho da maneira mais eficiente possível?

I changed a bit of my focus and started to deal with organization and deployment of systems and coordination. Then I felt the need to apply any mechanism, process control, to better control my schedule, dealing with the conflict between women and work, after all who does not suffer with it? Yes, I am one more human suffering.
Then I started to look for something that helped me. It was then that I came to Scrum. A simple and objective methodology. I am still doing my studies of the methodology on projects, but so far I am very happy with what I saw and applied.
The Scrum is not only for projects of software, it is indeed an agile process of developing product or managing any iterative and incremental work. He is very versatile, I believe that this is the great success of Scrum, ease, simplicity, objectivity.
In order and resumed after you examine the requirements and priorities of the project (Product Backlog) with the owner of the final product (Product Owner) you plan your project in releases (Sprint) to a maximum of 30 days and activities belonging to these releases, and every day you make a brief meeting (Daily Scrum) that no more than 30 minutes and doing the same questions:

"What have I done since the last Scrum meeting? (Yesterday)"
"What will I do before the next Scrum meeting? (Today)"
"What prevents me from performing my work as efficiently as possible?"

Para saber mais sobre o Srum:
To learn more about Srum:

SCRUM Alliance
Control Chaos
Agile Alliance

Marcos Aurélio

Hardening Checklists

2008-05-19T22:01:00.000-03:00

Quando fazemos um hardening de servidor, é muito util que tenhamos um checklist de passos que devemos executar para que não deixemos nossos sistemas vulneráveis. Isso evita esquecimento de determinada configuração e ajuda no planejamento da construção de ferramentas automatizadas. No Linux, gosto de criar RPM para esta tarefa, criando um RPM de baseline para Servidor WEB, Servidor MySQL, Sistema Básico, Servidor de Virtualização, entre outros.
Mas o mais importante além da leitura do guia, é saber interpreta-lo, não adianta aplicar uma correção que irá parar o nosso sistema, geralmente os baselines generalizam, cabe a você decidir o que é interessante de ser implantado e fazer o seu próprio baseline e checklist.
De qualquer forma aqui vai alguns dos checklists que costumo usar para hardening.

When we do a server's hardening, is very useful to have a checklist of steps that we must run to not let our systems vulnerable. This avoids oblivion of particular configuration and help planning the construction of automated tools. In Linux, I like to create RPM for this task, creating a baseline for RPM Web Server, MySQL Server, Base System, server virtualization, among others.
But the most important addition to reading the guide, is how we interpret it, not apply a fix that will stop our system, usually the baselines widespread, it is up to you decide what is interesting to be fixed and make your own baseline and checklist.
Anyway, here there are some of the checklists that i usually use for hardening.

NIST (Special Publications)
Guide to Computer Security Log Management (SP800-92)
Guide to Secure Web Services (SP800-95)

NSA (Security Configuration Guides)
Guide to the Secure Configuration of Red Hat Enterprise Linux 5

Microsoft Baseline Security Analyzer

Voce pode encontrar mais guias:
You can find more guides:

SEI Publications
Sans - Security Consensus Operational Readliness Evaluation
OWASP Project

Marcos Aurélio

WPA + OpenBSD

2008-04-22T22:51:00.001-03:00

Apos o FISL estava lendo meus feeds, estou feliz que poderei retornar a usar o OpenBSD no meu notebook. O suporte a WPA que era uma das carencias do OpenBSD foi acrescentado, obrigado Damien Bergamini.

After the FISL i was reading my feeds, i am glad that I can return to using OpenBSD in my notebook. Support for WPA who was one of the deficiencies of the OpenBSD has been added, thank you Damien Bergamini.

http://undeadly.org/cgi?action=article&sid=20080416195151

Marcos Aurélio (DEiGrAtiA-33)

FISL 9.0

2008-04-22T22:15:00.001-03:00

Mais uma vez o FISL deu o que falar. E a segunda vez que participo do FISL e a primeira que dou palestra. o Evento muito bom, grandes nomes do mundo Open Source, otimas palestras. E claro a curtiçao foi muito importante.

Fiquei surpreso durante a apresentacao do OWASPBR, que foi a primeira do Sabado, pelo numero de pessoas presentes, fiz a introducao do projeto o OWASP, e o Leonardo fez apresentacao do Top Ten, foi bem legal, pena o tempo ser curto e pena so ter outro desse ano que vem.

Once again the FISL was great. The second time i went to FISL and the first lecture i gave. Great event, great names of the Open Source world, great lectures. And of course the fun was very important.

I was surprised during the OWASPBR lecture , which was the first of Saturday, the number of people present, I made the introduction of the OWASP project, and Leonardo showed the Top Ten, was very nice, unfortunetly the time being so short and unfortunately another that only next year.

Marcos Aurélio (DEiGrAtiA-33)

Security+

2008-04-16T10:28:00.000-03:00

Prova de Security+

Segunda-Feira, dia 14/04/2008 foi dia de mais uma conquista, após estudar e pagar US$251 fiz a prova da Comptia Security+. Para quem não conhece a Comptia é o maior centro de certificações vendor-neutral no mundo. Possui variados tipos de certificações para a área de TI, optei por fazer a única prova focada em segurança, Comptia Security+. Apesar do pouco reconhecimento que possui no Brasil, gosto de traçar objetivos passo a passo e este era um.
Diferente da MCSO, onde o foco maior e em gestão de SI, o foco da Security+ é a parte de tecnologia computacional. Para aqueles que pretendem tentar faze-la, recomendo o livro Security+ Study Guide de Ido Dubrawsky, Jeremy Faircloth, Michael Gregg, Eli Faskha, da Syngress. Quanto a nível de dificuldade não vou entrar nos méritos, o que é facil pra você pode não ser facil pra mim, certo?

Os objetivos da prova são bem variados, tipos de IDS, firewall, vírus, controle de acessos, tratamento de incidentes e forense. Tem alguns tópicos sobre ánalise de risco (ARO, SLE, ALE), politica de segurança organizacional, plano de continuidade de negócios. Mais informações sobre a Comptia e a Security+:
http://certification.comptia.org/security/default.aspx

Obs. Obrigado a BRC pelo livro :)

Security+ Exam

Monday, 04/14/2008 was a day of one more conquest, after studying and pay US$251 i made the test of the Comptia Security+. For those who do not know the Comptia, it is the largest centre of vendor-neutral certifications in the world. It has various types of certifications for the IT area, i chose to make a single focused on security, Comptia Security+. Despite the fact it has little recognition in Brazil, i like to trace goals step by step and this was one.
Unlike the MCSO, where the focus is management of SI, the focus of Security+ is computer technology. For those who want to try it, I recommend the book Security+ Study Guide, Ido Dubrawsky, Jeremy Faircloth, Michael Gregg, Eli Faskha, Syngress. About the level of the exam, I will not talk about it, which is easy to you may not be easy for me, right?

The objectives are very varied, types of IDS, firewall, virus, access control, treatment of incidents and forense. There are some topics about risk analysis (ARO, SLE, ALE), organizational security policy, business continuity plan.

More information about the Comptia and Security+:
http://certification.comptia.org/security/default.aspx

PS. Thanks to BRC for the book :)

Marcos Aurélio (DEiGrAtiA-33)

OWASP-BR FISL

2008-03-25T20:58:00.001-03:00

Foi confirmada a presença do evento comunitário do Owasp-BR no Fisl 9.0 que acontecerá nos dias 17,18 e 19 de Abril em Porto Alegre.

A palestra do Owasp-BR irá acontecer no dia 19 de Abril as 9:00.

A palestra será apresentada por Leonardo Cavallari Militellie e eu, trazendo informações sobre o grupo e principalmente falando sobre as principais vulnerabilidades Web. Durante a palestra tentaremos fugir um pouco da "mesmisse" e realmente mostrar aonde falhas acontecem, mostrando o erro e mostrando como deveria ser protegido.

O OWASP-BR apesar de ainda pouco divulgado no Brasil, é um ótimo lugar para desenvolvedores Web e Administradores de Sistemas voltados para Serviços WEB.

Obs. Outra palestra interessante será a da Comunidade Snort-BR que acontecerá no dia 18.

It was confirmed the presence of the event community of Owasp-BR at Fisl 9.0 that will happen on April 17 18,19 in Porto Alegre.

The apresentation of Owasp-BR will happen on April 19 at 9:00 AM .

The lecture will be presented by Leonardo Cavallari Militellie and I, bringing information about the group and speaking mainly on the main Web vulnerabilities During the lecture we try to escape a little of the "annoyance" and really show where failures occur, showing the error and showing how to be protected.

Though the OWASP-BR is still somewhat disclosed in Brazil, it is a great place for developers and Web Systems Administrators oriented to Web Services.

PS. Another interesting lecture will be the Community Snort-BR taht will happen on April 18.

Marcos Aurélio (DEiGrAtiA-33)

Comunidade Snort-BR/Snort-BR Comunity

2008-03-25T20:42:00.000-03:00

Afim de levantar e aprimorar o uso do Snort e IDSs no Brasil, a comunidade Snort-BR esta sendo reformulada, trazendo um site mais dinâmico, permitindo posts de usuarios registrados para que a troca de conhecimento seja cada vez maior, fazendo com que especialistas do Brasil doem um pouco de seu conhecimento sobre este poderoso IDS com pessoas iniciantes.

O Snort e disponibilizado pela Sourcefire sob a licença GPL, havendo alguns repositórios gratuitos para atualização de regras e podendo ser até mesmo integrado com Antivirus.

Uma ótima noticia também é o lançamento de uma confêrencia Snort no Brasil. Vamos esperar.

In order to raise and improve the use of Snort and IDSs in Brazil, the Snort-BRcommunity has been recast, bringing a more dynamic site , allowing posts to registered users for the increasing and exchange of knowledge, making the Brazil experts give a bit of their knowledge about this powerful IDS with beginners.

The Snort is provided by Sourcefire under the GPL license, with some free repositories for updating rules and can even be integrated with Antivirus.

A great news is also the launching of a Snort Brazil's Conference. Let's wait.

www.snort.org.br

Marcos Aurélio (DEiGrAtiA-33)

Alta Disponibilidade Firewall - OpenBSD - CARP

2008-02-21T08:47:00.000-03:00

O CARP permite que um grupo de hosts compartilhe um único endereço ip. Na configuração de um sistema de Firewall Redundante utilizando o carp, configuramos um servidor que será utilizado como master e um ou mais servidor como slave. Quem na verdade responde as requisições ARP1 é host master, ele responde as requisições do endereço IP compartilhado.
Um ambiente comum na utilização do CARP e criando um pool de hosts, atuando e colocando o endereço IP compartilhado como gateway padrão dos segmentos. O servidor configurado como master trabalha fazendo anúncios em rede local, comunicando aos hosts de backup que ele ainda esta no ar, caso esses anúncios deixem de ser recebidos pelos servidores de backup, o servidor com o "ID" mais baixo, advbase e advskew, assumirão a responsabilidade de manter a comunicação da LAN ativa.
Para incrementar segurança dentro da rede o CARP pode fazer uso de senha na sua comunicação através do uso de SHA12.

Configurando o CARP

Tido como um dos sistemas operacionais mais seguros que existe, senão o mais seguro, o OpenBSD, traz suporte nativo ao protocolo, por isso para este artigo demonstrarei como criar um grupo de disponibilidade utilizando um OpenBSD 4.1.
Cada grupo de redundância é representado por uma interface virtual carp.
Dentro de um firewall utilizando OpenBSD com PF, devemos autorizar a transmissão dos pacotes, para isso acrescente as regras de firewall.

pass out on $carp_dev proto carp keep state

Posteriormente
#pfctl -f /etc/pf.conf

Na configuração do CARP os seguinte parâmetros são necessários:
- carpN
O nome da interface, onde N é o número da interface, por exemplo carp5
- vhid
Como pode existir mais de um grupo carp dentro do mesmo segmento, se faz necessário um valor único correspondente a identificação do grupo.
- senha
A senha utilizada para conversar com outros membros do mesmo grupo, a mesma senha deve ser usada em todos os servidores.
- carpdev
Identifica qual a interface real a ser utilizada para realizar a comunicação entre os hosts, caso omitido o carp tentará descobrir qual interface usar através do endereço ip e mascara.
- advbase
Especifica com que freqüência o carp ira anunciar que faz parte de um determinado grupo de carp.
- advskew
Define a prioridade do servidor nos anúncios CARP.
- estado
Força o estado de interface em um pré determinado estado, podendo ser init, backup e master
- endereço ip
Endereço ip compartilhado pelos grupo carp
- mascara de rede
A mascara de rede do ip compartilhado

Dentro do OpenBSD podemos definir ainda mais alguns modos de operação para o carp através do uso do sysctl, dentre eles:

- net.inet.carp.allow
Aceita entrada de pacotes CARP.

- net.inet.carp.log
Faz logs de pacotes CARP.

Para fazer a configuração dos parâmetros basta executar no console do sistema como root:

#systcl -w net.inet.carp.allow=1

O valor "1" habilita o item e o valor "0" desabilita. Opcionalmente você pode verificar sua atual configuração executando:
#sysctl -a

Após habilitar o carp devemos então configurar as interfaces nos hosts

- Criar a interface
#ifconfig carp1 create

- Realizamos a configuração da interface em um dos servidores
#ifconfig carp1 vhid 1 pass SeNha carpdev rtl0 advskew 50 \
192.168.0.1 netmask 255.255.255.0

Agora vamos a configuração do outro host, vamos realizar os mesmos passos.
- Criamos a interface
#ifconfig carp1 create

- Realizamos a configuração da interface, porém o device agora é diferente, repare
#ifconfig carp1 vhid 1 pass SeNha carpdev ne0 advskew 50 \
192.168.0.1 netmask 255.255.255.0

Para poder ver o status da interface basta executar o ifconfig novamente, desta vez sem parâmetros

#ifconfig carp1

Para cada interface que deseja deixar disponibilidade basta criar carp1, carp2.

PFsync

Até agora configuramos o failover, porém em ambiente crítico de firewall, precisamos manter as conexões, os estados das transmissões dos pacotes, para que a precisão na troca de servidores seja feita da maneira menos perceptível possível. Para isso faremos uso do PFsync. Por padrão ele envia multicast na rede fazendo com que todos recebam pacotes que podem ser lidos e transformados sem problemas, por isso é necessário a utilização de uma mecanismos mais seguro de transmissão. O ipsec é um destes modos, através dele podemos fazer com que o os envios multicast possam fazer envios em unicast.

- Habilita interface de failover
#sysctl -w net.inet.carp.preempt=1

- Configurar a interface de pfsync
# ifconfig ne1 192.168.200.1 netmask 255.255.255.0
# ifconfig pfsync0 syncdev em1
# ifconfig pfsync0 up

No site do OpenBSD que alias é muito bem documentado podemos encontrar maiores informações.

OpenBSD - http://www.openbsd.org/faq/faq6.html#CARP

Marcos Aurélio (DEiGrAtiA-33)

SOMAP - Security Officers Management & Analysis Project

2008-02-06T20:58:00.000-02:00

Para aqueles que necessitam de um software para gestão de risco, ou até mesmo um guideline para fazer um dos principais processos de analise de segurança da sua empresa, existe um projeto suiço bem interessante que segue a linha da iso 27000, possui uma ótima ferramenta chamada SOBF - Security Office Best Friend, feita em Java e também uma versão Web Client que roda em cima do Tomcat.
O SOMAP utiliza uma base ja cadastrada de vulnerabilidades e ameaças, ORIMOR Open Risk Model Repository, esta base esta naturalmente em inglês mas pode ser facilmente traduzido para a linguagem desejada.

Através dele você passará desde o cadastro de ativos até o relatório final de riscos.

http://www.somap.org

Marcos Aurélio (DEiGrAtiA-33)

Gestao de TI - GLPI Project

2008-01-27T22:41:00.000-02:00

Geralmente o custo de aplicações para a gestão de TI é bem elevado, possui softwares excelentes no mercado. Em uma pesquisa acabei me deparando com o GLPI, software de origem francesa que une em uma só plataforma, inventario de software e hardware, helpdesk, gerencia de projetos, e é capaz de integrar perfeitamente com o OCS Invetory, outro software de origem francesa, que é capaz de gerar ótimos relatórios de inventário de ativos de rede.

O GLPI (www.glpi-project.org) é muito interessante, possui inumeros plugins, autenticação em servidores LDAP entre outros. Licença GPL.

Screenshots:
http://www.glpi-project.org/spip.php?article42

Marcos Aurélio (DEiGrAtiA-33)

SOA - Web Services

2008-01-22T22:30:00.000-02:00

Muito se houve falar em arquitetura de serviços, serviços web, xml, soap, mas na realidade esta na boca de muita profissionais, e pouco se sabe a respeito.
SOA é uma nova tecnologia de desenvolvimento que é um Web Service. É um processo de negócio que é capaz de prover interoperabilidade entre diferentes tipos de sistemas operacionais e linguagens, é uma evolução dos sistema distribuidos e modulares.
A SANS Institute divulgou em seu site um boa leitura para melhor entendimento do que seria um SOA, passando por XML, SOAP, UDDI e as outras siglas, que podem acreditar, um dia alguem vai te perguntar a respeito, afinal é tendência!!!

http://www.sans.edu/resources/securitylab/secure_web.php

Marcos Aurélio (DEiGrAtiA-33)

Proxy - Cache, Forward, Reverse, TCP...

2007-12-26T13:03:00.000-02:00

Proxy são sistemas utilizados para melhorar a segurança e o desempenho da rede. Eles atuam fazendo um filtro das requisições entre clientes e servidores. O tipo de proxy mais conhecido hoje em dia são os proxies de HTTP que trabalham fazendo filtro das conexões, controles de acesso, e cache das conexões que melhoram a disponibilidade de banda através do cache proxies. Imagine que ao invés de um cliente fazer acesso a um servidor diretamente, o cliente deve fazer o pedido ao proxy, a conexão irá ficar ativa com o proxy e não com a servidor, e o proxy sim fará a conexão com servidor.
Imagine a rede da sua empresa, onde uma estação faria acesso sem proxy, fizesse um acesso a página http://deigratia33.blogspot.com, com apenas uma sistema de NAT estático a estação irá obter a página sem filtro ou proteção alguma, irá fazer o download de todos os dados necessários da página. Se uma outra estação fizesse o mesmo acesso a esta página, todo o download da página teria que ser refeito, passando novamente por um processo de NAT e um consumo de banda desnecessário.
Além deste tipo de controle um proxy possui protocolos específicos para melhorar o desempenho quando trabalahando em pool.

Cache Proxy
O cache proxy faz com que o consumo de banda de internet diminua, evitando acessos redundantes, fazendo uma cópia do acesso no servidor proxy. Geralmente o proxy cache irá ser habilitado em conjunto com o Forward Proxy, que é o tipo mais comum.
Em uma rede que trabalha com cache proxy, ao primeiro acesso à página o proxy irá fazer a leitura da página e irá fazer uma cópia em disco, após esta copia ser realizada ele irá retornar a requisição ao cliente que solicitou. Porém quando uma estação qualquer fizer acesso novamente ele irá procurar em seu "banco de dados" se ele possui uma cópia recente da página, se sim, ao invés de fazer novamente o acesso a internet, ele irá devolver a página para estação cliente de uma forma mais rápida e sem fazer acesso a internet. Caso ele possua página, porém segundo ele a página está desatualizada ele irá buscar a atualização da página, caso não possua a página ele ira fazer o download da página.

Forward Proxy
O Forward proxy "apenas" encaminha a conexão para o servidor de destino, mas se você quiser ele pode fazer algumas coisas a mais. Forward proxy é o tipo mais comum de proxy, ele trabalha em conjunto com um firewall, fazendo com que pedidos dos clientes alcancem seus destinos, porém ele faz algo que um firewall convencional não faz. Ele poderá abrir um pacote da pilha TCP/IP, e olhar seu content-type por exemplo, que é um campo que terá a informação por exemplo sobre o tipo de arquivo que esta sendo feito o download, fazer um controle de acesso através de domínio, ip, tipo de arquivo, tamanho do arquivo e outros muitos filtros.
Exemplo, você pode fazer com que um cliente que acesse um site seja bloqueado por estar acessando um domínio bloqueado, você poderia fazer isso no firewall? Sim, algumas situações, imagine que o IP deste domínio mudasse ou tivesse muitos ips. Então você poderia bloquear por exemplo somente o domínio ou sufixo gov.br, sem precisar ficar fazendo milhares de regras e acls no firewall. Dependendo do sistemas de proxy você poderia fazer um bloqueio por Mime-Type, ou seja não adianta troca a extensão de um arquivo, pois ele vai identificar e bloquear, o Mime-Type irá identificar doc como doc, não adianta mudar pra xls.

Reverse Proxy
Assim como um Forward Proxy, ele trabalha em conjunto com um firewall, mas a diferença é que este não precisa ser configurado pelo cliente, na verdade o cliente não vai nem saber que ele existe (Existe o proxy transparente, que não precisa de configuração do cliente, mas é outra discussão). Em um ambiente com proxy reverso ele irá fazer mais ou menos o que um PAT faria, porém ele fará controles que o forward proxy faria, poderá fazer load balance. O reverse proxy é ideal para proteção de aplicações WEB, onde temos um pool de servidor Web, através de controle de acessos e filtros em camada de aplicação (Protocolo HTTP).
Geralmente um Reverse Proxy irá fazer justamente papel inverso ao de um Forward Proxy, ao invés de encaminhar requisições de dentro pra fora, ele fara de fora pra dentro.

Handshake Proxy
O handshake proxy é uma proteção a nível de handshake TCP, comparada ao que um stateful firewall faria. Ele trabalha no firewall. Ao fazer um NAT, um firewall que não tem regras de conexão, precisará ter uma regra de ida e uma de volta, pois como o TCP é orientado a conexão, a cada pacote que passa através do firewall, teremos um pacote de volta, que necessitará de uma regra permitindo a passagem. Atualmente a maioria dos firewall possuem mecanismos que aceitam um pacote de volta desde que este possua uma conexão estabelecida.
O handshake proxy faz com que o cliente ao solicitar a passagem pelo firewall, a conexão fique estabelecida com o firewall ao invés de encaminhar diretamente a conexão ao servidor de destino, uma vez a conexão estabelecida com o firewall, o firewall irá fazer a conexão com o servidor de destino, ou seja a conexão é tratada, os pacotes não são enviados conforme eles vem, evitando por exemplo um ataque de Syn Flood pois um pacote forjado não conseguirá fazer o handshake.
O TCP Handshake, steful firewall e handshake proxy é um assunto que merece um post a parte, que certamente farei...

Um sistema proxy, ao contrário do que muita gente pensa não é so pra HTTP, pode ser SMTP, POP entre outros.

Marcos Aurélio (DEiGrAtiA-33)

Linux - Como melhorar o desempenho em rede

2007-12-17T09:04:00.000-02:00

O kernel do Linux possui uma série de variaveis que podem ser modificadas para melhorar a performance do sistema. Quando falamos de melhorar de performance e mexer em váriaveis de sistemas, no caso iremos e mexer no proc filesystem, devemos tomar cuidado, sendo que a melhor forma é sempre analisar, avaliar as
alterações que fazemos, o que pode melhorar o meu servidor, pode nao melhorar o seu.

Quando o servidor esta conversando com alguma aplicação, fazendo um NAT, trabalhando como um firewall ele esta armazenando todas estas informações em RAM, por isso a limitação, ele tem que compartilhar esta RAM com outros dispositivos do sistema, por isso as vezes surge um certo congestionamento, e por isso ele tem que atribuir limite para os trabalhos de rede.

Aqui vai umas dicas de como melhorar o desempenho de um sistema Linux, para trabalho em rede, principalmente como Firewall.

Todas as váriaveis abaixo estão localizada em "/proc/sys", para modifica-las, vamos fazer através do comando sysctl, ao invés de ficar distribuindo echo pelo sistema.

net.core.rmem_max
net.core.wmem_max

Esta váriavel diz ao sistema o tamanho máximo de leitura e escrita para sockets, podemos tentar dobrar estas váriaveis por exemplo, por padrão o seu sistema estará com 128Kb (Calculo feito pelo proprio sistema no boot, baseado em sua memória RAM):

sysctl -w net.core.rmem_max=256000 >> /etc/sysctl.conf
sysctl -w net.core.wmem_max=256000 >> /etc/sysctl.conf

Obs. Esta váriavel esta disponível também caso voce deseja aumentar apenas o buffer da pilha TCP/IP. Basta alterar o caminho para:

net.ipv4.wmem_max
net.ipv4.rmem_max

net.core.netdev_max_backlog

Este parametro diz ao sistema o número maximo de pacotes que podem ser enfileirados para entregar ao device de rede. Caso a sua rede seja de alto desempenho:

sysctl -w net.core.netdev_max_backlog=2000 >> /etc/sysctl.conf

net.core.somaxconn

Esta váriavel seta o máximo permitido de conexõs no backlog através da função listen() do sistema. Quando o número conexões alcança este valor, conexões futuras são descartadas.

sysctl -w net.core.somaxconn=256 >> /etc/sysctl.conf

net.ipv4.tcp_max_syn_backlog

Esta váriavel controla a fila de TCP Syn para cada porta. Conexões novas são armazenadas até ela ser aceita pelo servidor. Se existir mais conexões do que o valor especificado por esta váriavel a conexão será rejeitada.

sysctl -w net.ipv4.tcp_max_syn_backlog=2048

Estas são algumas, das muitas váriaveis que podem melhor o desempenho de seu servidor, lembre-se este valores podem ser aumentados, dimunuindos, para ajustes conforme a sua necessidade, é só testar.

Marcos Aurélio (DEiGrAtiA-33)

OWASP - Capitulo Brasil

2007-12-17T08:28:00.000-02:00

O Open web Application Security Project (OWASP) e uma comunidade mundial gratuita e aberta focada em aumentar a segurança de aplicações. A missão é fazer segurança de aplicações "visivel". Para isso pessoas e organizações podem aprender a tomar decisões sobre riscos de segurança em suas aplicações. Qualquer pessoa pode participar, os materiais estão disponiveis para uso, basta vontade de aprender e disponibilidade para participação.

Para participar basta se inscrever na lista de discussão do capitulo Brasil.

https://lists.owasp.org/mailman/listinfo/owasp-brazil

Para mais informações
www.owasp.org

Marcos Aurélio (DEiGrAtiA-33)

O Problema de uma proteção não eficiente

2007-12-15T12:42:00.001-02:00

Por muitas vezes administradores de sistemas, analistas de segurança necessitam endurecer, aumentar o nível de segurança de seus produtos, sistemas e rede. Ai entram em um problema, por qual solução devemos optar? Como devemos implantar? Devo olhar custo? Devo olhar apenas funcionalidades, independente do custo?

As vezes a analise é feita incorretamente, e pode gerar um transtorno que jamais pensariamos. Vejamos um exemplo desta semana, que não se aplica a Tecnologia em si, mas em segurança física. Claro, sabemos que nada é 100% eficiente.

O caso das portas giratórias de bancos, que por uma lei aprovada, os bancos terão que remover as portas giratórias de suas agências. O motivo disso, seria o constrangimento causado por estas portas, quem nunca foi barrado ao tentar entrar em um banco?
A quem diga que não existe detectores de metais, e sinceramente eu entendo esse ponto de vista, pois como posso entrar com um celular na agência um dia e no outro me dizerem que o mesmo celular foi detectado.
Mas o que quero discutir, não é o constrangimento em si, e sim como a falta de proteção inadequada pode causar o constrangimento, pois porque será que o constrangimento dos detectores de metais de aerportos não é tão grande quanto a das portas de bancos.

Será por que os detectores de metais dos aeroportos realmente funcionam?

Se as portas giratórias realmente funcionam, por que os números de assaltos a banco sobem?

Marcos Aurélio (DEiGrAtiA-33)

EOS - Enhanced Operating System

2007-12-09T23:42:00.000-02:00

A BRconnection a partir do lançamento do Smartweb Enterprise (Filtro de Conteúdo), mudou o seu sistema operacional. Até a versão 4 do BRMA, o seu sistema de controle de internet, a base do sistema operacional foi em cima do Red Hat Enterprise.
A partir de agora os produtos terão como sistema operacional, o EOS, distribuição Linux baseada no projeto Linux From Scratch (LFS - www.linuxfromscratch.org) , isso trará melhorias no desempenho de seus produtos além de autonomia na forma de trabalhar e manipular o sistema.

Mais informações sobre o sistema.

http://eos.brc.com.br/Site/HOME.html

Marcos Aurélio (DEiGrAtiA-33)

ISSA Day at BRconnection

2007-12-09T17:01:00.000-02:00

No próximo dia 10 de dezembro, (segunda-feira) a ISSA Capítulo Brasil realizará mais uma edição do ISSA Day, que será patrocinado e acontecerá nas dependências da BRConnection. Nesta edição do encontro, contaremos com a presença de Anderson Ramos, da (ISC)2, que falará sobre desenvolvimento profissional e carreira em Segurança da Informação.

Além disso, contaremos com a presença dos membros e o encerramento do Grupo de Estudos 2007 para Certificação CISSP em São Paulo e Chamada para o Grupo de Estudos 2008.

Agenda:

19:00 - 19:15 – Recepção
19:15 - 19:30 - Apresentação da ISSA
19:30 - 20:00 - Apresentação BRC
20:00 - 20:30 - Coffee-break
20:30 - 22:00 - Palestra - Anderson Ramos - Desenvolvimento profissional e carreira em Segurança da Informação.
22:00 - 23:30 - Coquetel Comemorativo do Grupo de Estudos 2007
(Patrocínio - BRC)

Local:
R. Amador Bueno, 328 - Auditório.
S. Amaro - CEP: 04752-005 - São Paulo - SP

(mapa de localização: http://www.brc.com.br/mapa.jsp?item=4 )

Estacionamento gratuito no local.

Inscrições através do site da ISSA Brasil:
http://www.issabrasil.org/index.php?option=com_fabrik&Itemid=82