É raro, mas acontece. Então esta será uma série de posts em português do Brasil, e quem sabe, farei em inglês também.
D.A.N.T.E., é o acrônimo para “Director Assistant Native for Threat Intel”, ou mais especificamente, é a joia da coroa de um projeto dos últimos 4 anos e certamente o início de um sono, belicoso é verdade, mas um sonho grande.
O projeto teve suas raízes em um cenário onde a necessidade de monitorar e processar informações de ameaças cibernéticas estava em constante crescimento. Incidentes de segurança em grande escala e a evolução das táticas de ameaças digitais exigiram uma abordagem mais robusta e eficaz. A ideia do D.A.N.T.E. nasceu como resposta a esses desafios prementes, sendo moldado pela visão de criar uma solução que não apenas protegesse as redes, mas também otimizasse a capacidade de resposta a ameaças cibernéticas.
O problema
Então vamos começar do começo (cit. como diria um grande antigo gestor) e analisemos o problema.
As atividades de inteligência de ameaças envolvem uma série de tarefas intensas, como monitorar redes sociais, mensagens, explorar a deep web, processar malwares automaticamente e realizar o parsing de arquivos vazados. Tudo isso exige um conjunto intenso de recursos, incluindo garantir o anonimato contínuo e a capacidade de lidar com grandes volumes de dados.
Inicialmente, essas operações eram realizadas em um ambiente de virtualização (VMs) em um notebook de uso geral, equipado com hardware poderoso, como uma GPU NVIDIA RTX2060, 32 GB de RAM e um processador Core i7-10750H. Embora o notebook fosse capaz, ele tinha suas limitações inerentes. A execução contínua das atividades de segurança cibernética impedia a realização de outras tarefas, e a preocupação com os riscos estava sempre presente. Era necessário iniciar uma VPN, configurar as VMs no VirtualBox e lidar com várias outras tarefas operacionais complexas.
Fora os riscos, pois é preciso lembrar de inicializar a VPN, configurar corretamente as VM’s no VirtualBox, e outras atividades. E ainda precisamos lembrar que um notebook não foi necessariamente projetado para ficar ligado 24×7.
Além disso, essa infraestrutura ainda dependia de dois discos rígidos externos e um dispositivo de armazenamento externo com vários HDDs configurados em um arranjo RAID 10 para acomodar o volume de dados gerado pelas operações de inteligência de ameaças. Notavelmente, a falta de elementos essenciais de segurança, como firewall e proxy, era uma lacuna crítica que precisava ser abordada para tornar o ambiente mais seguro e robusto. Portanto, a criação do projeto D.A.N.T.E. representou uma resposta a esses desafios e uma evolução fundamental na infraestrutura de segurança cibernética.
A solução
Deste problema, nasceu a necessidade da construção de um servidor dedicado, que possa ficar ligado e processando 24×7, com ótimo resfriamento e baixo custo de manutenção e consumo de memória.
Além disso, ele deveria integralmente um virtualizador que suporte KVM e LXC, pois toda a infraestrutura deve ser virtual, das máquinas ao firewall, proxy, vpn, etc.
Focado em Threat Intel, o projeto recebeu o nome de (em homenagem a um) D.A.N.T.E., ou, Director Assistant Native for Threat Intel, afinal, a pessoa a qual recebe esta homenagem, é a inspiração para todos esses anos de trabalho, dedicação, estudos e finalmente, pela completude desta coroa dourada que marca o início de mais trabalho, dedicação e claro, resultados positivos.
Então, chega de lenga lenga, chega de problema e chega de homenagens. Vamos ao que vocês realmente querem saber…
Hardware – A descrição
Com tudo isso, ficou evidente que seria necessário um servidor dedicado para esse fim. Estacionário, leve, compacto, projetado para rodar 24×7 com alta disponibilidade e que seja durável e ainda por cima poderoso.
Para isso, chamei um grande amigo, o Anderson Ribeiro, pois ele é o especialista em hardware e eu em software. Passei o desafio para ele, com todas as limitações que eu queria e sinceramente a solução final é genial, (Quote: Após a perda de sono e alguns fios de cabelo dele, claro) em todos os sentidos.
Tudo começou com um processador Xeon® E5-2670 v3 e meus queridos, que processador. Lançado em 2014 mas que conta com 12 núcleos, 24 threads, 2.30 GHz de frequência base e 3.10 GHz de frequência em turbo. Tudo isso apoiado em 30 MB de cache e apenas 120W de TDP. E claro, completamente compatível com tudo o que vamos precisar de recursos de virtualização incluindo todo o conjunto da plataforma Intel vPro®. Já imaginou quantas VM’s e containers totalmente dedicados e altamente especializados vão poder executar juntos? Compare esse processador com os das clouds mais populares e você vai entender o poder da criança.
Sabe aquela história do Fairchild Republic A-10 Thunderbolt II? Que desenharam o avião em volta do canhão GAU-8A Avenger? Então, tudo aqui foi desenhando em volta da deste Xeon. Então, para continuar optamos por 64GB de Memória DDR4 ECC 2133, apoiamos em cima de uma placa mãe compatível, uma placa de vídeo externa super simples Nvidia Geforce G 210, bastante storage em SDD e HDD, uma fonte bem eficiente e claro, muito resfriamento. Mas vou deixar a lista completa abaixo.
Hardware – Lista compreensiva
Hardware | Spec |
Processador | Xeon® E5-2670 v3 |
Memória | 4x 16GB DDR4 ECC 16gb 2133mhz |
Placa Mãe | X99m Red Intel Xeon E5 da Machinist |
Placa de Vídeo | Nvidia Geforce G 210 |
Gabinete | Aigo Darkflash DK100 com Lateral de Vidro |
Resfriamento | 1x Cooler Red Dragron 3x Fans da C3Tech para apoio ao resfriamento no gabinete |
Fonte | 450W 80+ Bronze |
Armazenamento | 1x NVME M.2 1TB da Kingston (Boot, VM’s) 1x HDD 7200rpm 2TB Barracuda (Dados, Backups) |
Software
A base da solução é o Proxmox, que é uma plataforma de virtualização de código aberto que revoluciona a maneira como empresas e entusiastas gerenciam seus servidores e recursos de TI. Combinando o melhor de dois mundos – virtualização baseada em máquinas virtuais (VMs) e contêineres – o Proxmox oferece uma solução versátil para criar e gerenciar ambientes virtuais de forma eficiente, tudo em um único sistema.
Para as VMs, o Proxmox utiliza a tecnologia KVM (Kernel-based Virtual Machine), permitindo a execução de sistemas operacionais completos em ambientes virtuais isolados. Isso é ideal para aplicativos que requerem separação total, como servidores web, bancos de dados ou servidores de correio eletrônico.
Além disso, o Proxmox também suporta contêineres baseados em LXC (Linux Containers), que são mais leves e rápidos, ideais para implantar e executar aplicativos em contêineres menores, aproveitando os recursos de forma mais eficiente.
O grande diferencial do Proxmox é sua interface de gerenciamento web intuitiva. Isso torna o processo de criação, configuração e monitoramento de VMs e contêineres incrivelmente acessível, mesmo para aqueles que não têm experiência avançada em virtualização. Você pode gerenciar facilmente seus servidores, redes, armazenamento e backups, tudo em um único painel de controle amigável.
Benefícios da Virtualização e Isolamento de Atividades
A virtualização com a tecnologia KVM e contêineres LXC desempenha um papel vital no projeto. As máquinas virtuais oferecem a capacidade de executar sistemas operacionais completos em ambientes isolados, tornando-as ideais para atividades que exigem separação completa, como servidores web, bancos de dados e servidores de correio eletrônico. Por outro lado, os contêineres baseados em LXC são mais leves e rápidos, permitindo a implantação eficiente de aplicativos em ambientes compactos, otimizando o uso de recursos.
Arquitetura
Esta é uma visão simplificada da arquitetura da solução, a versão completa e detalhada estará disponível em outro post.
Serão utilizadas máquinas virtuais e containers dedicados para as atividades que serão realizadas com este servidor, desta forma, será possível configurar o isolamento adequado para cada atividade.
Além disso, e considero o mais importante, todo o tráfego será direcionado através do pfSense aliado a VyprVpn, desta forma será possível garantir com total confiança que o endereço IP da minha localidade nunca será realmente exposto 😉
Com essa arquitetura será possível a execução de diversos scripts e ferramentas simultaneamente, aumentando drasticamente a quantidade e a qualidade de informações obtidas e processadas, além disso, o tempo total para a obtenção e processamento destas informações será muito reduzido comparado com o que hoje é realizado.
Conclusão
Em resumo, o projeto D.A.N.T.E., ou “Director Assistant Native for Threat Intel,” surge como uma solução robusta para um desafio crítico na era digital: a necessidade de monitorar, coletar e processar informações de ameaças de forma eficaz. Esse projeto representa um marco importante em uma jornada que se estende ao longo de quatro anos, marcada por dedicação, estudo e compromisso com a segurança cibernética. A busca pela proteção da privacidade e a garantia do anonimato são fundamentais, e o D.A.N.T.E. foi concebido para cumprir essas necessidades, permitindo o processamento contínuo e seguro de um volume significativo de dados.
A base sólida do hardware, com o poderoso processador Xeon® E5-2670 v3 e memória DDR4 ECC, proporciona a capacidade de executar diversas máquinas virtuais e contêineres de forma eficiente. Além disso, o software Proxmox, com suporte a KVM e LXC, oferece flexibilidade na criação e gerenciamento de ambientes virtuais, tornando-o uma escolha ideal para atividades de inteligência de ameaças. A combinação de poder de processamento, memória e uma interface de gerenciamento amigável promete otimizar a coleta e o processamento de informações, reduzindo o tempo necessário para análises cruciais.
A arquitetura do projeto enfatiza o isolamento adequado de atividades por meio de máquinas virtuais e contêineres dedicados, garantindo a segurança e a eficácia na execução de scripts e ferramentas. Além disso, a utilização do pfSense e VyprVPN para direcionar todo o tráfego confere um nível adicional de proteção à privacidade. Com a implementação de D.A.N.T.E., a capacidade de obter e processar informações relacionadas a ameaças cibernéticas aumenta substancialmente, colocando-o no caminho para alcançar resultados positivos de maneira eficiente. Este projeto é mais do que uma solução técnica; é um testemunho do compromisso com a segurança cibernética e a busca contínua por excelência nessa área em constante evolução.
Oh good infraestruture for lab, congratulations
Parabéns Bill e Anderson. Vou acompanhar a evolução da ferramenta
Por gentileza, vi seu blog através de um amigo. Não deixe de escrever, seu conteúdo é incrível.