Em 23 de maio de 2016 14:33, Patrick Tracanelli <eks...@freebsdbrasil.com.br > escreveu:
> > > > On 23/05/2016, at 14:00, Ricardo Ferreira < > ricardo.ferre...@sotech.com.br> wrote: > > > > > > > > > > > > > > > > Em 23/05/2016 13:21, Patrick Tracanelli escreveu: > >> Grande Ricardo, > >> > >> Aqui na empresa a equipe de desenvolvimento na IDS junto com a de > segurança da FreeBSD está dando uma palestra sobre esse tema, alias sobre o > tema de forma ampla envolvendo segurança Offband, no Transporte e na > Terminação. Vou compartilhar as notas da palestra aqui: > >> > >> > https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing > A palestra é especifica para empresas/corporação ou no treinamento da SSE a mesma é abordada. A gama de informação é significativa, para quem está atoa valeu pelas referencias, pesquisando na net :D, assim que possivel quero estar podendo realizar um treinamento na FreeBSD Brasil. Abrs. > > >> > >> Dê uma olhada no Vetor 3, acredito que é a discussão que você está > buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de > segurança do Vetor 2. > >> > >> E o principal alguém deve colocar no papel as regras de negócio tanto > do V3 quanto do V2 e onde possível as do V1 que forem obrigatórias > (imperativas). Quando falarmos por exemplo do L3 do V2 estamos falando de > regras bem definidas de como o desenvolvimento deve atuar pra subsidiar > controles e auditoria tanto pra equipe de SI quanto pra equipe que vai > gerenciar o backend/terminação no V3 e abaixo do V3. > >> > >> Em termos tecnológicos, minhas recomendações pro V3: > >> > >> 0) FreeBSD / IPFW em Bridge > >> 1) Linux Netfilter ou Sal a Gosto* > >> 2) FreeBSD Suricata > >> 3) FreeBSD Nginx > >> > >> *Como você sabe o compliance sugere que sempre que um dos domínios se > repita que se busque Diversidade na Profundidade então como no Tier0 e no > Tier1 temos firewall, entra um Linux ou legado existente se apropriado pra > T1. > >> > >> Ja na Tier3, Nginx com: > >> > >> - NAXSI > >> - Mod Security > >> - Testcookie > >> - GeoIP > >> - CIDR limiters > >> - Anti Robot > >> - Hardened pra ataques de Slow e SSL > >> > >> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que > rescrever e aqui passamos a usar um próprio baseado no testcookie mas com > challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS > pra Firefox/Chrome. > >> > >> O CIDR Limiters eu também tive que fazer, tomei muito ataque > distribuído que GeoIP não bastava, tive que setar políticas de banda ou de > sessões por CIDR, hoje tenho locais com limite de 300 sessões pra cada /20 > e as vezes até 200 pra cada /21. Também coloco limite de banda por CIDR, > então dependendo do tipo de ataque o que você tem open source pode não ser > suficiente, por outro lado open source é sempre suficiente quando você pode > desenvolver =) Aqui “em casa” temos no total 3 módulos do nginx feitos from > scratch e o testcookie modificado. Alem das regras comerciais do Mod > Security sempre imprescindíveis em alvos mais “cobiçados”. > >> > >> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 > pois vai, cedo ou tarde, precisa definir um documento de Melhores Práticas > de Desenvolvimento Seguro que imponham os controles e os procedimentos do > Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X > alguma, e como webservices são essencialmente stateles, não tem o que você > faça na infra pra previnir um ataque de Replay ou Interception se o > desenvolvedor não cooperar ;-) > >> > >> > >> > >> > >>> On 20/05/2016, at 10:56, Ricardo Ferreira < > ricardo.ferre...@sotech.com.br> wrote: > >>> > >>> Senhores, > >>> > >>> > >>> Tenho que implementar uma infra para suporte a Web Services e claro > que quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat > por exemplo, dentre outras... mas gostaria de ouvir dos companheiros > sugestões, experiências, soluções de segurança, críticas dentre outros > detalhes a fim de alimentar o processo decisório....Um detalhe importante é > que segurança se impõe sobre todos os outros aspectos. > >>> > >>> []s > >>> > >>> > >>> Ricardo Ferreira > >>> > >>> > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> -- > >> Patrick Tracanelli > >> > >> FreeBSD Brasil LTDA. > >> Tel.: (31) 3516-0800 > >> 316...@sip.freebsdbrasil.com.br > >> http://www.freebsdbrasil.com.br > >> "Long live Hanin Elias, Kim Deal!" > >> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > Prezado Patrick, > > > > > > Grato pelas observações, sugestões e orientações. Acho que tá na hora de > voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já…. > > Hahaha sempre divertido =) > > > > > Estou no início do início do projeto e claro que o FreeBSD é premissa. > Todo o resto tem que girar em torno dele....Quanto ao *sal a gosto já tinha > pensado nisso e o CentOS deve ser a escolha mas to pensando em usar o > NetBSD no lugar..... (no flames please.... nada contra) > > De acordo, é outro kernel e tem 2 opções de firewall diferente de ipfw, > incluindo NPF, +1 pra diversidade :) > > > > apenas para facilitar o suporte lá na frente pois não conseguimos > engolir ainda o systemd e sua distância do POSIX.... > > > > Vou analisar o conteúdo e assim que o projeto progredir vou postando > aqui as soluções pois entendo ser um assunto interessante e divertido e que > certamente deve ter mais interessados > > :D > > > > > Abraços, > > > > Ricardo Ferreira > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > 316...@sip.freebsdbrasil.com.br > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- :UNI><BSD: Paulo Henrique. Fone: (21) 37089388. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
