Em 23/05/2016 13:21, Patrick Tracanelli escreveu:
Grande Ricardo,
Aqui na empresa a equipe de desenvolvimento na IDS junto com a de segurança da
FreeBSD está dando uma palestra sobre esse tema, alias sobre o tema de forma
ampla envolvendo segurança Offband, no Transporte e na Terminação. Vou
compartilhar as notas da palestra aqui:
https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing
Dê uma olhada no Vetor 3, acredito que é a discussão que você está buscando
iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de segurança do
Vetor 2.
E o principal alguém deve colocar no papel as regras de negócio tanto do V3
quanto do V2 e onde possível as do V1 que forem obrigatórias (imperativas).
Quando falarmos por exemplo do L3 do V2 estamos falando de regras bem definidas
de como o desenvolvimento deve atuar pra subsidiar controles e auditoria tanto
pra equipe de SI quanto pra equipe que vai gerenciar o backend/terminação no V3
e abaixo do V3.
Em termos tecnológicos, minhas recomendações pro V3:
0) FreeBSD / IPFW em Bridge
1) Linux Netfilter ou Sal a Gosto*
2) FreeBSD Suricata
3) FreeBSD Nginx
*Como você sabe o compliance sugere que sempre que um dos domínios se repita
que se busque Diversidade na Profundidade então como no Tier0 e no Tier1 temos
firewall, entra um Linux ou legado existente se apropriado pra T1.
Ja na Tier3, Nginx com:
- NAXSI
- Mod Security
- Testcookie
- GeoIP
- CIDR limiters
- Anti Robot
- Hardened pra ataques de Slow e SSL
Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que
rescrever e aqui passamos a usar um próprio baseado no testcookie mas com
challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS pra
Firefox/Chrome.
O CIDR Limiters eu também tive que fazer, tomei muito ataque distribuído que
GeoIP não bastava, tive que setar políticas de banda ou de sessões por CIDR,
hoje tenho locais com limite de 300 sessões pra cada /20 e as vezes até 200 pra
cada /21. Também coloco limite de banda por CIDR, então dependendo do tipo de
ataque o que você tem open source pode não ser suficiente, por outro lado open
source é sempre suficiente quando você pode desenvolver =) Aqui “em casa” temos
no total 3 módulos do nginx feitos from scratch e o testcookie modificado. Alem
das regras comerciais do Mod Security sempre imprescindíveis em alvos mais
“cobiçados”.
Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 pois
vai, cedo ou tarde, precisa definir um documento de Melhores Práticas de
Desenvolvimento Seguro que imponham os controles e os procedimentos do
Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X alguma,
e como webservices são essencialmente stateles, não tem o que você faça na
infra pra previnir um ataque de Replay ou Interception se o desenvolvedor não
cooperar ;-)
On 20/05/2016, at 10:56, Ricardo Ferreira <ricardo.ferre...@sotech.com.br>
wrote:
Senhores,
Tenho que implementar uma infra para suporte a Web Services e claro que quero
fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por exemplo,
dentre outras... mas gostaria de ouvir dos companheiros sugestões,
experiências, soluções de segurança, críticas dentre outros detalhes a fim de
alimentar o processo decisório....Um detalhe importante é que segurança se
impõe sobre todos os outros aspectos.
[]s
Ricardo Ferreira
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316...@sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Prezado Patrick,
Grato pelas observações, sugestões e orientações. Acho que tá na hora de
voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já....
Estou no início do início do projeto e claro que o FreeBSD é premissa.
Todo o resto tem que girar em torno dele....Quanto ao *sal a gosto já
tinha pensado nisso e o CentOS deve ser a escolha mas to pensando em
usar o NetBSD no lugar..... (no flames please.... nada contra) apenas
para facilitar o suporte lá na frente pois não conseguimos engolir ainda
o systemd e sua distância do POSIX....
Vou analisar o conteúdo e assim que o projeto progredir vou postando
aqui as soluções pois entendo ser um assunto interessante e divertido e
que certamente deve ter mais interessados
Abraços,
Ricardo Ferreira
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
