Dynsec

Caros,

Após esperar um tempo a liberação do pagseguro da UOL estamos disponibilizando as formas de pagamento. Optamos pelo PagSeguro por termos todos os tipos de pagamento e parcelamentos visto que muitos dos interessados pagam o treinamento do bolso e sabemos que isso não é facil. Vejam as opções:

Para se inscrever faça download da ficha de inscrição AQUI . Após o preenchimento enviar para treinamentos@dynsec.com.br e para realizar o pagamento basta acessar NOSSO SITE e clicar no botão Pague com PagSeguro.

Lembrando que o desconto de 15% vai para inscrições e pagamentos realizados até dia 24 de Maio.

Sobre o treinamento:

http://blog.dynsec.com.br/2009/04/26/treinamento-completo-snort/

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

Após alguns meses do artigo publicado na Revista da ISSA Brasil (Antebellum) estamos republicando o artigo em formato PDF.

“Utilizo e trabalho com sistemas de detecção de intrusos há alguns anos prestando consultorias desde pequenos escritórios até empresas com milhares de desktops e servidores e posso dizer que a grande maioria não utiliza o grande potencial que um IDS pode oferecer. Estas empresas colocam o IDS para monitorar ataques oriundos da internet para suas máquinas que estão expostas, geralmente na DMZ, e utilizando somente as regras do fabricante. Com certeza você deve monitorar a DMZ, mas as empresas devem monitorar muito mais que as “simples assinaturas” que vem nas ferramentas de IDS de mercado . Nesse artigo comentarei alguns dos pontos que acho válido monitorar e que a empresa poderia adicionar na sua estrutura e em seu IDS já existente sem nenhum custo. Basearei as idéias no IDS snort por ser open source e possibilitar várias opções para desenvolvimento de funcionalidades e criação de regras.”

Para baixá-lo:
http://www.dynsec.com.br/arquivos/BeyondIDS-dynsec.pdf

Lembrando que em Junho teremos nossa primeira turma de snort completa como citado no post anterior
http://blog.dynsec.com.br/2009/04/26/treinamento-completo-snort/

Happy Snorting!

Rodrigo Montoro(Sp0oKeR)

Treinamento Completo Snort em Português

A Dynsec (http://www.dynsec.com.br) , empresa especializada em Detecção de Intrusos, vem através desse comunicar o lançamento do treinamento não oficial sobre Snort IDS. O treinamento acontecerá em parceria com a CLM (http://www.clm.com.br), distribuidora exclusiva da Sourcefire no Brasil. O treinamento será baseado na versão atual do PDF do snort.org, visando manter a qualidade e o caráter atual do curso.

Público Alvo:
- Estudantes
- Administradores de Redes
- Analistas de Segurança

Carga horária: 40 horas

Estão inclusos no curso:
- Manual impresso Snort
- Slides do treinamento para anotações
- Material para laboratório hands-on
- Coffee Break

Local: CLM – Av. Ibirapuera, 2120, cj 95 – São Paulo – SP
Data: 15 a 19 de junho
Horário: 09:00 as 18:00

Escopo do Curso
- Mundo IDS ( NDIS, HIDS , WIDS , KIDS)

- Tipos de ataques

- Básico sobre protocolos

- Overview Snort
- Modos de funcionamento
- Sniffer
- Packet Logger
- Nids
- Inline
- Obfuscando ip’s de saída
- Adquirindo e lendo pcaps

- Configurando o SNORT
- Includes
- Variavéis
- Configurações
- Diretivas de configuração
- Decoder e Pré-Processadores de regras
- Pré-Processadores (overview)
- Módulos de Saída
- syslog
- fast
- full
- tcpdump
- database
- csv
- unified/unified2

- Entendendo Regras do Snort (Básico)
- Formato
- Exemplos de regras

- Ferramentas Auxiliares / Laboratórios
- Snort
- Entendendo as opções do Snort
- Instalando o Snort
- Rodando o Snort em diferentes modos (sniffer, packet logger, nids)
- Utilizando as opções de linha de comando

- IDS Policy Manager
- Instalando IDSPM
- Configurando IDSPM
- Administrando múltiplos sensores

- Relatórios de Ataques
- Instalando o BASE
- Entendendo e gerando relatórios

- Básico sobre Criação de Regras
- Analisando um tráfego tcpdump
- Criando a regra
- Testando no seu Snort

- Instalando sguil
- Cliente
- Server
- Monitoramento

- Analisando falsos positivos
- Analisando alertas do BASE
- Diferenciando ataques de falsos positivos (analise de payload)

- Oinkmaster Hacking
- Mantendo as regras atualizadas

-Tunning dos Pré-Processadores
- Frag3
- Stream5
- dcerpc2
- sfPortscan
- Performance Monitor
- http_inspect
- FTP/Telnet
- SMTP
- ARP Spoof

- Thresholding e Supression de Eventos
- Criando Thresholding
- Criando Supression

- Analisando a performance do Snort
- Regras
- Pré-Processadores
- Pacotes

- Módulos de Saída
- Utilizando o barnyard

- Tabela de Atributo de host
- Configurando e utilizando

- Utilizando o snort para monitorando de violação de politicas
- Proxy
- Firewall
- Anti-Virus

- Melhores Práticas de posicionamento
- TAP’s
- Port Mirroring
- Inline
- Bridge

- Avançado sobre regras do snort
- Analisando um malware
- PCRE
- Byte_jump
- Byte_test
- Melhores Práticas

- Laboratórios
- Configurando pré-processadores
- Criando supression
- Análise avançada de um incidente
- Capacity Planning
- Configurando e analisando os resultados da análise de performance
- Regras
- Pré-Processadores
- Pacotes

Sobre o instrutor:

Rodrigo Montoro (Sp0oKeR) tem mais de 12 anos de experiência na área de T.I especialmente com Segurança Open Source com Testes de Invasão, Firewalls, IDS/IPS, análise de logs , já tendo atuando e trabalhado com grandes empresas do mercado. Possui certificações LPI ,RHCE , SnortCP e MCSO. Atualmente é coordenador e evangelizador do snort IDS na comunidade snort-br ( http://www.snort.org.br ) , Diretor de Projetos do ISSA Brasil e membro do OWASP , Slackware-BR , OSSEC entre outras comunidades . Já ministrou palestras no CNASI, FISL, FLISOL, CONISLI, faculdades entre outras.

Ao final do curso o aluno obterá maior compreensão do funcionamento do Snort, pré-processadores, criação de regras e instalação de ferramentas auxiliares.

Contato: treinamentos@dynsec.com.br

Importante: a Dynsec se dá ao direito de cancelar o treinamento caso não tenhamos quorum mínimo de 6 alunos.

Hoje em dia por questões normativas, alguns casos devido a política de retenção de logs ou compliance, muitas empresas passaram a fazer o armazenamento de log que eram semanais (isso quando armazenavam algo) para logs anuais, mensais. O ideal é que para esta situação a empresa tivesse um Servidor de Logs ou um SIEM que recebesse os logs de diferentes lugares. Porém muitos não possuem este tipo de servidor tendo que fazer o armazenamento primeiro em disco para depois fazer um backup.
Quando passamos a trabalhar dessa forma um dos pontos importantes que temos que nos atentar é espaço em disco, por isso para podermos ajustar a essa necessidade é importante sabermos quais logs iremos armazenar. Se você vai fazer trabalhar com log de um firewall, o que mais importaria seria por exemplo log de conexões, imagina um arquivo que dependendo dos eventos pode se tornar enorme, acho que o melhor seria separar o que interessa não é mesmo? Para isso ao invés de usar o syslog tradicional, uma boa opção é usar o rsyslog.
O Rsyslog é um sistema de log capaz de fazer tratamento de mensagens que usam os facilities dos *nix separando por templates, nome de programa, nome de host ou expressões regulares, além disso ele pode fazer o envio direto para uma base de dados MySQL, PostgreSQL.

Aqui vou dar três exemplos:

Direcionar o log do meu firewall que contem a palavra FIREWALL para um arquivo de log

:msg,contains,”FIREWALL” /var/log/firewall

:
msg - Vou procurar no campo mensagem do syslog
contains - Digo qual o tipo qual o tipo de filtro estou usando, pode ser isequal, contains, startswith ou regex
FIREWALL - Passo qual a string que ele deverá procurar no campo mensagme
/var/log/firewall - É o nome do arquivo que deverei usar para a saida

Direcionar mensagens referente a VPN

:programname, isequal, “pluto” /var/log/ipsec

:programname - Especifico que irei procurar no nome do programa
isequal - O nome tem que ser igual
pluto - Nome do programa
/var/log/ipsec - É o nome do arquivo que deverei usar para a saida

Um template para armazenar mais informações:

$template dynsec,”%syslogpriority% %syslogfacility% %timegenerated::fulltime% %HOSTNAME% %syslogtag% %msg%\n”

$temple - Especifico que a linha representa um template
dynsec - Nome do template
%syslogpriority% %syslogfacility% %timegenerated::fulltime% %HOSTNAME% %syslogtag% %msg%\n - Especifico quais os campos que irei fazer log
%syslogpriority% - Prioridade do log
%syslogfacility% - Facility do log
%timegenerated::fulltime% - Tipo de tempo a ser gerado, data
%HOSTNAME% - Nome do host
%syslogtag% - TAG da mensagem
%msg% - Mensagem gerada

security.* /var/log/security;dynsec

security - Tipo de facility
* - Qual a prioridade, no caso todas
/var/log/security - O arquivo que irei armazenar a saida
dynsec - Peço para usar o template que criei

Aqui foi apenas simples exemplos de como você pode separar o interessante, é aonde um dado começa a gerar informação.

[]s
Marcos

Para aqueles que não tem tempo, ou tem tempo mas preferem resposta mais rapida quando um evento acontece vai uma dica: O SEC (Simple Event Correlator). O SEC (não confundam, não é OSSEC) é um script em Perl que é capaz de monitorar logs, multiplos logs, gerar eventos, fazer correlacionamento entre outras atividades. Ele não vai abrir logs e procurar por eventos como um script convencional faria (apesar de possuir opção para isso), uma vez que você pedir para ele monitorar eventos em um determinado log ele irá captar os novos eventos, fazendo a leitura e trabalhar correlacionando eles como por exemplo, fazendo a contagem de quantidade de eventos em um determinada quantidade de tempo.

Imagine que possuo um servidor Web Apache provendo acesso de varios sites, porém mesmo que eu tivesse tempo de chegar de manha e começar a procurar por erros, em muitos casos essa vai ser uma resposta tardia, o melhor seria que eu rebesse uma notificação por sms me dizendo que o Apache gerou determinado números de eventos anômalos pedindo que eu verifique antes que seja tarde.

Exemplo de mensagem do Apache:
[Tue Feb 17 23:01:44 2009] [error] [client xxx.xxx.xxx.xxx] File does not exist: /var/www/htdocs/pagina.html

Para começar, vamos fazer o download do SEC.
#wget http://prdownloads.sourceforge.net/simple-evcorr/sec-2.5.0.tar.gz

Para instalar, não é necessária compilar, basta que você o copie para um lugar adequado do seu sistema, um bom exemplo seria algum lugar do PATH
#tar -zxf sec-2.5.0.tar.gz
#cp sec-2.5.0/sec.pl /usr/local/sbin
Copie o man se quiser
#cp sec-2.0.5/sec.pl.man /usr/local/man/man1/sec.pl.1

Bom, agora vamos criar um arquivo de configuração simples, ele irá fazer o seguinte.
- Irá monitorar o error_log do Apache do meu Linux, e irá fazer match para alertas do tipo: warn, error, crit, alert e emerg.
- Como não quero receber multiplos avisos me falando a mesma coisa, a janela da quantidade de eventos sera de 3 minutos.
- Em um intervalo de 3 minutos, caso exista mais de 5 eventos ele irá disparar uma ação.
- A ação será a execução de um script em bash que faz o envio de SMS. (Não publicarei aqui o script porque isso precisa ser adequado ao seu gateway SMS)

Para criar o arquivo de configuração é necessário um pouco de conhecimento em Expressões Regulares, o exemplo de REGEX abaixo é simples e talvez voce queira melhorar ou quem sabe separar as ações do SEC conforme o evento do Apache com um recado para cada tipo de erro. Mas de qualquer forma a regra ficaria assim:

Arquivo apacheverify.cfg

type=SingleWithThreshold
ptype=RegExp
pattern=\s+\W+(warn|error|crit|alert|emerg)+\W+\s+.
action=shellcmd /usr/local/sbin/apachenotify.sh
desc=Apache Event
window=60
thresh=3

type = Tipo de regra usada no arquivo de configuração, no caso eu quero uma regra que use threshold.
ptype = Tipo de pattern que usarei, no caso quero usar expressão regular.
pattern = Expressão que deve ser usada para fazer match de eventos
action= Caso o evento seja encontrado o que o sec deve fazer, no caso executar um shell script.
desc = Descricão do tipo de evento sendo monitorado.
window = Tempo da janela em segundos que a soma de eventos deverá ser contado.
thresh = Quantidade de eventos na janela para que o sec possa disparar uma ação.

Após o escrevermos o arquivo de configuração basta que você execute o SEC.

# sec.pl -conf=/etc/sec/apacheverify.cfg -input=/var/log/httpd/error_log -pid=/var/run/sec.pl -detach
SEC (Simple Event Correlator) 2.5.0
Changing working directory to /
Reading configuration from /etc/sec/apacheverify.cfg
1 rules loaded from /etc/sec/apacheverify.cfg

Os parametros:
-conf = Qual o arquivo de configuração que contém as regras.
-input = Qual o arquivo que o sec irá monitorar.
-pid = Grava a pid, isso é de ajuda se você possuir algum sistema de monitoramento de processos, como Nagios.
-detach = Por padrão quando o sec é iniciado ele fica preso ao terminal que o executou, passando esta opção dizemos a ele para liberar o terminal.

Bom, é isso. O SEC como o nome ja diz é simples, porém você pode fazer com que essa ferramenta simples auxilie você no seu trabalho não simples, fazendo com que quando ao chegar no trabalho além de tomar um café, lhe sobre tempo para quem sabe um Clube Social também, e agora vou indo pois acabei de receber um SMS.

[]s
Marcos

Caros,

Estamos finalizando o novo site, concluindo o material de treinamento e consultoria para começar a oferecer os serviços a partir do meio de novembro.

Caso queriam maiores informações enviem email para treinamentos@dynsec.com.br que teremos imenso prazer em responder as suas dúvidas.

Fique antenado no site que mudanças logo virão!

Obrigado!

Equipe Dynsec

A equipe da dynsec estará presente no FISL com duas apresentacões.

Na quinta-feira dia 17 de abril de 2008 Marcos (DEiGrAtiA-33) falará sobre as 10 maiores vulnerabilidades de aplicacões web pelo OWASP-BR (Open Web Application Security Project) juntamente com o Leornado da USP.

Na sexta-feira dia 18 de abril de 2008 Rodrigo (Sp0oKeR) abordará uma palestra sobre Snort como Intrusion Prevention Systems .

A grade do FISL pode ser acessada em http://fisl.softwarelivre.org/9.0/papers/pub/

Esperamos voces por lá!!

Equipe DynSec

Securing your network and training your mind

1º Congresso de Software Livre do Interior Paulista busca identificar e analisar as tendências do uso de software livre nas instituições públicas e privadas. O uso de software livre vem crescendo muito nos últimos tempos, podemos apontar como características deste crescimento a grande confiabilidade que os sistemas operacionais livres “ganharam” com o crescimento de profissionais altamente qualificados e com isso devemos apontar também o livre acesso aos softwares sem a necessidade de aquisição de licenças para seu uso, onde as instituições podem garantir segurança nas transações e operações estando dentro dos custos e prazos desejados garantindo a redução dos custos e a geração de novos negócios.
O evento contara com nomes como:

Rubens Queiroz de Almeida - Dicas L - UNICAMP
Djalma Valois Filho

A equipe da DynSec representada por Rodrigo Montoro (Sp0oKeR) fará uma palestra de duas horas sobre opensource e seguranca, no dia 15/03 (sábado):

Utilização de Software Livre para Segurança – Do Teste de invasão a ferramentas de Defesas

Resumo:

Serão abordados conceitos de redes e segurança, fases de um teste de invasão (Coleta de Informações, Reconhecimento, Ganhando Acesso, Elevação de privilégios, Mantendo Acesso, Limpando os rastros) e formas de proteção abordando temas como Firewall , NIDS ( Sistema de detecção de intrusos em rede) , HIDS (sistema de detecção de intrusos em hosts) e HoneyPots .

Para se inscrever e mais detalhes:

http://ftcenter.com.br/eventolivre.html

O evento será no Campus da Unifian em Leme.

Espero voces por lá!

Equipe DynSec

Securing your network and training your mind

A dynsec surgiu da união dos profissionais de segurança Rodrigo Montoro (Sp0oKeR) e Marcos Aurélio Rodrigues (DEiGrAtiA33) que viram grandes oportunidades na área de segurança em especial em treinamentos e análise de logs. No momento ambos consultores da BRconnection , palestrantes e instrutores nas horas vagas.