Em 23 de maio de 2016 14:33, Patrick Tracanelli <[email protected]> escreveu: > > >> On 23/05/2016, at 14:00, Ricardo Ferreira <[email protected]> >> wrote: >> >> >> >> >> >> >> >> Em 23/05/2016 13:21, Patrick Tracanelli escreveu: >>> Grande Ricardo, >>> >>> Aqui na empresa a equipe de desenvolvimento na IDS junto com a de segurança >>> da FreeBSD está dando uma palestra sobre esse >>>>tema, alias sobre o tema >>> de forma ampla envolvendo segurança Offband, no Transporte e na Terminação. >>> Vou compartilhar as notas >>>>da palestra aqui: >>> >>> https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing >>> >>> Dê uma olhada no Vetor 3, acredito que é a discussão que você está buscando >>> iniciar. Lembrando que o vetor 3 deve subsidiar as >>>>camadas de segurança >>> do Vetor 2. >>> >>> E o principal alguém deve colocar no papel as regras de negócio tanto do V3 >>> quanto do V2 e onde possível as do V1 que forem >>>>obrigatórias >>> (imperativas). Quando falarmos por exemplo do L3 do V2 estamos falando de >>> regras bem definidas de como o >>>>desenvolvimento deve atuar pra subsidiar >>> controles e auditoria tanto pra equipe de SI quanto pra equipe que vai >>> gerenciar o >>>> >>>>backend/terminação no V3 e abaixo do V3. >>> >>> Em termos tecnológicos, minhas recomendações pro V3: >>> >>> 0) FreeBSD / IPFW em Bridge >>> 1) Linux Netfilter ou Sal a Gosto*
Discussão bacana mas tenho uma dúvida. Este Firewall de outro sabor(Linux, OpenBSD, NetBSD) tem que possuir as mesmas regras que o FreeBSD/IPFW ? Ou deve se preocupar com filtros diferentes ? >>> 2) FreeBSD Suricata >>> 3) FreeBSD Nginx >>> >>> *Como você sabe o compliance sugere que sempre que um dos domínios se >>> repita que se busque Diversidade na Profundidade então como no Tier0 e no >>> Tier1 temos firewall, entra um Linux ou legado existente se apropriado pra >>> T1. >>> >>> Ja na Tier3, Nginx com: >>> >>> - NAXSI >>> - Mod Security >>> - Testcookie >>> - GeoIP >>> - CIDR limiters >>> - Anti Robot >>> - Hardened pra ataques de Slow e SSL >>> >>> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que >>> rescrever e aqui passamos a usar um próprio baseado no testcookie mas com >>> challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS >>> pra Firefox/Chrome. >>> >>> O CIDR Limiters eu também tive que fazer, tomei muito ataque distribuído >>> que GeoIP não bastava, tive que setar políticas de banda ou de sessões por >>> CIDR, hoje tenho locais com limite de 300 sessões pra cada /20 e as vezes >>> até 200 pra cada /21. Também coloco limite de banda por CIDR, então >>> dependendo do tipo de ataque o que você tem open source pode não ser >>> suficiente, por outro lado open source é sempre suficiente quando você pode >>> desenvolver =) Aqui “em casa” temos no total 3 módulos do nginx feitos from >>> scratch e o testcookie modificado. Alem das regras comerciais do Mod >>> Security sempre imprescindíveis em alvos mais “cobiçados”. >>> >>> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 >>> pois vai, cedo ou tarde, precisa definir um documento de Melhores Práticas >>> de Desenvolvimento Seguro que imponham os controles e os procedimentos do >>> Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X >>> alguma, e como webservices são essencialmente stateles, não tem o que você >>> faça na infra pra previnir um ataque de Replay ou Interception se o >>> desenvolvedor não cooperar ;-) >>> >>> >>> >>> >>>> On 20/05/2016, at 10:56, Ricardo Ferreira <[email protected]> >>>> wrote: >>>> >>>> Senhores, >>>> >>>> >>>> Tenho que implementar uma infra para suporte a Web Services e claro que >>>> quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por >>>> exemplo, dentre outras... mas gostaria de ouvir dos companheiros >>>> sugestões, experiências, soluções de segurança, críticas dentre outros >>>> detalhes a fim de alimentar o processo decisório....Um detalhe importante >>>> é que segurança se impõe sobre todos os outros aspectos. >>>> >>>> []s >>>> >>>> >>>> Ricardo Ferreira >>>> >>>> >>>> ------------------------- >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> -- >>> Patrick Tracanelli >>> >>> FreeBSD Brasil LTDA. >>> Tel.: (31) 3516-0800 >>> [email protected] >>> http://www.freebsdbrasil.com.br >>> "Long live Hanin Elias, Kim Deal!" >>> >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> Prezado Patrick, >> >> >> Grato pelas observações, sugestões e orientações. Acho que tá na hora de >> voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já…. > > Hahaha sempre divertido =) > >> >> Estou no início do início do projeto e claro que o FreeBSD é premissa. Todo >> o resto tem que girar em torno dele....Quanto ao *sal a gosto já tinha >> pensado nisso e o CentOS deve ser a escolha mas to pensando em usar o NetBSD >> no lugar..... (no flames please.... nada contra) > > De acordo, é outro kernel e tem 2 opções de firewall diferente de ipfw, > incluindo NPF, +1 pra diversidade :) > > >> apenas para facilitar o suporte lá na frente pois não conseguimos engolir >> ainda o systemd e sua distância do POSIX.... >> >> Vou analisar o conteúdo e assim que o projeto progredir vou postando aqui as >> soluções pois entendo ser um assunto interessante e divertido e que >> certamente deve ter mais interessados > > :D > >> >> Abraços, >> >> Ricardo Ferreira >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > [email protected] > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Otavio Augusto --------------------- Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
