Apresentação aplicada no MeSeg RNP 2017, visando aplicar conceitos de detecção de problemas de segurança (do lado do servidor), aplicando a plataforma de monitoramento Zabbix.

1. Importância do monitoramento de rede para
reconhecimento de eventos e detecção de incidentes
Werneck Costa - Analista de suporte - CAERN
RNP-MeSeg2017
https://meseg.rnp.br/web/meseg2017

2. RNP - MeSeg 2017 - Werneck Costa 2
Sobre este material
• Desenvolvido exclusivamente para ser usado
no MeSeg 2017 (RNP);
• Pode ser utilizado, distribuído, ou exibido
livremente, conservando e citando a autoria.

3. RNP - MeSeg 2017 - Werneck Costa 3
About me
• Bacharel em Sistemas de informação pelo
UNI-RN;
• Especialista em redes de computadores pelo
UNI-RN;
• Especialista Zabbix (Specialist e Professional);
• Instrutor/professor;
• Analista de suporte na CAERN.

4. Segurança
• Sensação?
• Realidade?
• Utopia?
RNP - MeSeg 2017 - Werneck Costa 4

5. Segurança no Desktop
RNP - MeSeg 2017 - Werneck Costa 5

6. Segurança no Desktop
RNP - MeSeg 2017 - Werneck Costa 6

7. De onde vem estas pragas?
• Algo centralizado?
• Algo organizado?
• Algo aleatório?
RNP - MeSeg 2017 - Werneck Costa 7

8. De onde vem estas pragas?
• Depende!
RNP - MeSeg 2017 - Werneck Costa 8

9. RNP - MeSeg 2017 - Werneck Costa 9

10. RNP - MeSeg 2017 - Werneck Costa 10

11. RNP - MeSeg 2017 - Werneck Costa 11

12. RNP - MeSeg 2017 - Werneck Costa 12

13. RNP - MeSeg 2017 - Werneck Costa 13

14. O que fazer?
• Proteção pré-desktop:
– Download (proxy/webfilter);
– Links ou anexos de e-mails (AntiSpam/antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 14

15. O que fazer?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 15

16. Funciona?
• Proteção desktop:
– Proteção/trava de portas físicas (USB);
– Links ou anexos de e-mails (antivírus);
– Educação dos usuários.
RNP - MeSeg 2017 - Werneck Costa 16

17. RNP - MeSeg 2017 - Werneck Costa 17

18. Então, no desktop não tem jeito?
• Na verdade, um conjunto de ações:
– Utilização de AntiSpam centralizado “pré-
desktop”;
– Sistema de detecção, alerta e monitoramento de
vulnerabilidades (Manoel Bezerra da Costa Neto);
– Implementando segurança com Zabbix (análise de
checksum e lista e atualizações Windows).
RNP - MeSeg 2017 - Werneck Costa 18

19. Só desktop?
RNP - MeSeg 2017 - Werneck Costa 19

20. RNP - MeSeg 2017 - Werneck Costa 20

21. O arquivo está hospedado em algum
lugar...
• O dono/admin do hospedeiro sabe disso?
– Acho que não...
• O dono/admin do hospedeiro é malicioso?
– Acho que não...
• O dono/admin sabe como isso aconteceu?
– Acho que não...
RNP - MeSeg 2017 - Werneck Costa 21

22. Vamos entender melhor
• Um cliente/desktop comprometido
– tem potencial para infectar toda a sua rede
“horizontalmente”;
• Um servidor comprometido
– tem potencial para infectar * toda a internet
RNP - MeSeg 2017 - Werneck Costa 22
* Guardadas as devidas proporções, claro...

23. Então temos um problema maior do
que o imaginado!
RNP - MeSeg 2017 - Werneck Costa 23

24. Então, no servidor não tem jeito?
• Sistemas centralizadores de Logs
– Pegam ações “de fora pra dentro” (acessos);
• IDS (padrão)
– Pegam comportamentos baseados em padrões;
• WAF
– Pegam SQLi, XSS, Transversal Directory e etc...
RNP - MeSeg 2017 - Werneck Costa 24

25. E contra a ação dos “serumaninhos”?
RNP - MeSeg 2017 - Werneck Costa 25

26. Um dos erros mais comuns
• Que levam à hospedagem de arquivos
maliciosos
– É o vício do chmod 777 /var/www/app
RNP - MeSeg 2017 - Werneck Costa 26

27. Então, qual a proposta?
• Criar itens e triggers no Zabbix, para monitorar
arquivos e diretórios com permissão 777;
• Tomando como base o “dump” dos
VirtualHosts ativos num servidor Apache.
– /usr/sbin/apache2ctl -S
RNP - MeSeg 2017 - Werneck Costa 27

28. Prática
• O Zabbix não possui este tipo de
monitoramento nativo;
• Utilização do recurso de UserParameter;
– Com LLD
• Criação de template específico pra os itens
recuperados.
RNP - MeSeg 2017 - Werneck Costa 28

29. RNP - MeSeg 2017 - Werneck Costa 29

30. Complementação do trabalho
• DNS:
– Serial da zona, quantidade de RRs, respostas a
domínios públicos...
• Servidor de e-mails
– Filas, atividades maliciosas (quantidade de
mensagens enviadas)...
RNP - MeSeg 2017 - Werneck Costa 30

31. Contatos
werneck.costa@gmail.com
Telegram: https://t.me/WerneckCosta
https://neckcosta.wordpress.com
RNP - MeSeg 2017 - Werneck Costa 31