Criando um storage com PCs, Linux e Software Livre. Que tal?

Locais onde foi ministrada: FISL 13 (Porto Alegre/RS – Julho/2012)

Muitos ambientes de alta disponbilidade (e.g. clusters) necessitam de storages como um meio de armazenamento compartilhado em suas arquiteturas. Na verdade, esses equipamentos são peças fundamentais nas arquiteturas mais tradicionais. Outras soluções de infraestrutura de software também precisam desses equipamentos. Existem, certamente, diversas disponíveis no mercado. Entretanto, mesmo os storages mais simples costumam requerer um valor de investimento que, muitas vezes, está além das possibilidades financeiras de diversas organizações. Por outro lado, utilizando apenas PCs convencionais e ferramentas de software livre é possível construir uma solução de storage iSCSI com interessantes recursos de alta disponibilidade capaz de servir como uma alternativa de baixo custo e de qualidade. A solução consiste na utilização de uma implementação livre e estável do padrão iSCSI no lado do servidor storage e de seus clientes. Além disso, a solução ainda conta com outros recursos em software livre que ajudam a compor a camada de alta disponibilidade. Do ponto de vista dos "clientes" que o acessam, esse "storage" é como qualquer outro equipamento iSCSI de mercado, o que torna a utilização dessa solução transparente àqueles que já conhecem esses appliances. Essa é, portanto, uma alternativa interessante para ambientes onde existem restrições financeiras para a aquisição de equipamentos como os custosos storages e onde não são necessários os recursos mais avançados que esses produtos oferecem sem, entretanto, abrir mão de uma razoável camada de alta disponibilidade.

Download


Construindo Firewalls Redundantes em Ambientes GNU/Linux

Locais onde foi ministrada: ENSOL V (João Pessoa/PB – Julho/2011)

Os firewalls representam uma das primeiras e mais importantes linhas de defesa contra atacantes em um ambiente de rede. Entretanto, mesmo sendo equipamentos críticos, são poucas as redes corporativas que possuem soluções de alta disponibilidade implementadas em seus firewalls de forma a evitar que falhas em um desses equipamentos interrompam o funcionamento dos serviços que eles protegem, provocando desde transtornos aos seus usuários até a interrupção completa de seu ambiente de rede. Existem, evidentemente, produtos proprietários que contêm recursos para a implementação de alta disponibilidade entre firewalls. Por outro lado, além de requererem um investimento que vai além das possibilidades financeiras de muitas organizações, essas soluções também criam uma dependência, nem sempre desejável, com relação ao fornecedor do produto. O que poucos administradores de sistemas sabem, fundamentalmente os iniciantes ou menos experientes, é que existem recursos em software livre, voltados para ambientes Linux, capazes de viabilizar a configuração de soluções de alta disponibilidade para firewalls Linux. Diante desse cenário, a palestra apresenta por meio da utilização de recursos como o Network Bond, o Keepalived (e sua implementação livre do VRRP), o Conntrackd, dentre outros, os passos necessários para compor um ambiente de baixo custo e de alta disponibilidade para firewalls GNU/Linux utilizando apenas software livre como alternativa às honerosas soluções proprietárias. A apresentação contempla apresentar, na prática, aos presentes, um ambiente com essa configuração implementada e funcionando, de forma que os mesmos estejam em condições de incorporar esses mecanismos nos firewalls pro eles administrados.

Download


Port Knocking? Esqueça. Abrindo as portas remotamente no iptables com Single Packet Authorization

Locais onde foi ministrada: FISL 9 (Porto Alegre/RS – Abril/2008)

Uma forma de impedir que atacantes explorem servidores remotamente consiste em bloquear o acesso às suas portas, liberando-as por demanda conforme a necessidade de acessá-las. Essa técnica, quando utilizada, costuma ser implementada por meio do mecanismo de port knocking. Entretanto, essa técnica contém um conjunto de limitações que podem torná-la pouco eficiente e ainda sujeita a ataques. A palestra apresenta o SPA (Single Packet Authorization) e sua implementação em ambientes GNU/Linux com alternativa ao port knocking.

Download


Backdoors em sistemas GNU/Linux: conhecendo para se proteger!

Locais onde foi ministrada: II ENSL (Aracaju/SE – Setembro/2007)

Sistematicamente, tem-se como hábito acreditar que a invasão de um sistema é algo escandaloso que será facilmente detectado logo após sua execução. Entretanto, a crença de que um processo invasivo será auto-denunciado logo após abrir a página Web da empresa e detectar que está tudo modificado, por exemplo, é perigosa uma vez que gera uma falsa sensação de segurança aos administradores de sistemas. Entretanto, muitas vezes, o próximo passo de um atacante após conseguir comprometer um sistema consiste, em geral, na implantação de backdoors que permitam um retorno posterior ao ambiente invadido de maneira silenciosa, seja com o objetivo de ter mais tempo hábil para realizar ataques mais elaborados, seja como forma de dominar o sistema invadido para utilizá-lo no ataque de outros sistemas. Diante disso, a palestra apresenta, na prática, a implementação de um conjunto de backdoors em sistemas GNU/Linux, desde as mais simples que não necessitam da instlação de qualquer software na máquina comprometida, até alternativas mais complexas, e as suas possíveis contra-medidas para detectá-las no sentido de criar mecanismos de proteção adequados. Existem, atualmente, backdoors tão silenciosas que são capazes até mesmo de burlar ferramentas de filtragem como o iptables, o que torna esse um assunto de extrema importância para administradores de sistemas e profissionais de segurança da informação em sistemas GNU/Linux.


O Império Conta-Ataca: A batalha entre software livre e proprietário

Locais onde foi ministrada: IV ESLAM (Manaus/AM – Maio/2007)

Apresenta as estratégias que vem sendo utilizadas por grandes empresas de software proprietário para combater a expansão do software livre fundamentalmente no meio corporativo, Durante a palestra são também abordados aspectos que vão além das questões técnicas e que estão sendo utilizadas para conter a perda de mercado de produtos de software proprietário frente as soluções livres.


Construindo firewalls invisíveis com o ebtables

Locais onde foi ministrada: FISL 7 (Porto Alegre/RS – Abril/2005), Dia-D 2006 (Manaus/AM – Agosto/2006)

Muitas vezes a área de segurança requer o uso de muita criatividade. Nenhum software pode, sozinho, representar uma panacéia para a seguranca de redes e sistemas. A composição de várias soluções é o caminho correto para tornar um ambiente seguro. Nesse contexto, o uso do recurso de "bridge" presente no kernel do GNU/Linux há algum tempo em conjunto com o ebtables permite a configuração de um firewall transparente que funciona como um "fio inteligente". Rápido, versátil e de fácil configuração essa solução torna-se interessante pelo fato de não necessitar de endereços IP em suas interfaces o que dificulta sua detecção por parte de atacantes, fundamentalmente os menos experientes. Além disso, essa arquitetura não exige alteração de endereçamento e demais configurações entre os equipamentos ligados diretamente a ele o que coloca-o como solução adequada para ambientes onde não se pode mudar a topologia de rede oficial.


Software livre é uma Questão de Segurança?

Locais onde foi ministrada: FISL 6 (Porto Alegre/RS – Março/2005), Solisc (Florianópolis/SC – Novembro/2005), Atualtec (Boa Vista/RR), Semana de Informática (Santarém/PA), II ESLAM (Manaus/AM – Outubro/2004)

Muito se fala que a adoção de software livre deve ser motivada por dois fatores primordiais para ambientes corporativos: a liberdade decorrente do modelo de licenciamento e a economia gerada pelo fato de não ser necessário, na maioria dos casos, dedicar recursos financeiros para a compra das licenças de uso. Entretanto, uma das premissas básicas da área de segurança da informação é o fato de não se confiar em soluções baseadas em obscuridade. Em contrapartida, software proprietário é uma caixa preta na qual não se tem a possibilidade de auditar as soluções por completo o que torna esse modelo de software inadequado para a segurança de sistemas e torna os aplicativos de software livre uma alternativa consistente para a implementação de ambientes seguros. Nessa apresentação são destacados pontos de comparação sob a ótica da segurança de sistemas e redes entre software livre e proprietário fundamentando-se a segurança como um terceiro fator para a adoção de software livre.


Canivete Suiço de Segurança para Sistemas GNU/Linux

Locais onde foi ministrada: III ESLAM (Manaus/AM)

A segurança tem recebido cada vez mais atenção por parte dos administradores de sistemas. Nesse contexto, sistemas GNU/Linux possuem um conjunto de recursos para tornar o ambiente mais seguro e menos suscetível à problemas de segurança. Essa apresentação mostra alguns recursos práticos que podem ser facilmente implementados para melhorar o nível de segurança de sistemas GNU/Linux como a proteção de arquivos de log, o uso do LCAP como alternativa para minimizar o comprometimento do acesso de super-usuário, parâmetros de configuração para limitar uso de recursos do sistema. Toda a apresentação tem um caráter extremamente prático.


Software livre: Afinal de contas, o que está em jogo?

Locais onde foi ministrada: Mobilização IV ESLAM (AM/RR/PA), Atualtec 2007 (Boa Vista/RR)

A apresentação discute aspectos positivos e negativos da adoção de software livre no meio corporativo e governamental, fundamentalmente no Brasil. Questões como os erros cometidos pelo programa do Governo Federal de inclusão digital, a pouca contribuição dos meios acadêmicos brasileiros para o software livre e a dificuldade de prestar serviços de qualidade são discutidos como forma de alertar a comunidade quanto a necessidade de procurar encontrar soluções para reverter tais problemas. São ainda abordadas as últimas estratégias de grandes corporações para combater o crescimento do software livre essencialmente no meio corporativo.