>> https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing > > A palestra é especifica para empresas/corporação ou no treinamento da SSE a > mesma é abordada. > > A gama de informação é significativa, para quem está atoa valeu pelas > referencias, pesquisando na net :D, assim que possivel quero estar podendo > realizar um treinamento na FreeBSD Brasil. > > Abrs.
Fala Paulo, Não é abordado no SEE não, nessa linha. Essa palestra é na verdade da IDS (ids.com.br), empresa que pertence a FreeBSD Brasil, é uma palestra focada em desenvolvedores de aplicações Mobile e desenvolvimento de aplicações seguras em linhas com foco em segmento financeiro. Ou seja é pro desenvolvedor, aborda muito de webservice mas aborda muita coisa que não é nem de Webservice nem de infra de segurança, como técnicas contra ataques offband que é o Vetor1 de abordado. Deve sim gerar um treinamento, inclusive a palestra esta dividida em 2 formatos, formato 1: tradicional, 50 minutos +1 hora, apresentação dos ataques principais e discussão de como os previnir/corrigir (desenvolvimento) e como os mitigar (nossa área, infra, defense in depth, firewall/ids/waf/hardening/pinning/camadas de seguranca/etc). E o formato 2 é pra uma palestra de 2h no mínimo dividida normalmente em 2 dias, abordando ai sim o conteúdo inteiro. Essa palestra não é minha. Ela é do Renan Fagundes e Rafael Honorato, respectivamente desenvolvedores e analista de segurança na FreeBSD/IDS. Eu estou de co-autor, essas atividades são parte do que nós fazemos no nosso dia-a-dia atendendo bancos, financeiras, empresas onde segurança da informação não é negócio fim mas é parte crítica do negócio. Eu jamais conseguiria dar essa palestra. Quem me conhece sabe que é impossível eu falar de 26 camadas de segurança em 2 horas hehehe é necessário uma capacidade de sumarização que eu não tenho. Eu gasto 2h só na introdução do tema. Minha parte foi definir a estrutura, fundamentação e os ataques contra as aplicações. Os palestrantes definiram os formatos finais e cronograma. Eu só apoio e assisto :D > > >> >>>> >>>> Dê uma olhada no Vetor 3, acredito que é a discussão que você está >> buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de >> segurança do Vetor 2. >>>> >>>> E o principal alguém deve colocar no papel as regras de negócio tanto >> do V3 quanto do V2 e onde possível as do V1 que forem obrigatórias >> (imperativas). Quando falarmos por exemplo do L3 do V2 estamos falando de >> regras bem definidas de como o desenvolvimento deve atuar pra subsidiar >> controles e auditoria tanto pra equipe de SI quanto pra equipe que vai >> gerenciar o backend/terminação no V3 e abaixo do V3. >>>> >>>> Em termos tecnológicos, minhas recomendações pro V3: >>>> >>>> 0) FreeBSD / IPFW em Bridge >>>> 1) Linux Netfilter ou Sal a Gosto* >>>> 2) FreeBSD Suricata >>>> 3) FreeBSD Nginx >>>> >>>> *Como você sabe o compliance sugere que sempre que um dos domínios se >> repita que se busque Diversidade na Profundidade então como no Tier0 e no >> Tier1 temos firewall, entra um Linux ou legado existente se apropriado pra >> T1. >>>> >>>> Ja na Tier3, Nginx com: >>>> >>>> - NAXSI >>>> - Mod Security >>>> - Testcookie >>>> - GeoIP >>>> - CIDR limiters >>>> - Anti Robot >>>> - Hardened pra ataques de Slow e SSL >>>> >>>> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que >> rescrever e aqui passamos a usar um próprio baseado no testcookie mas com >> challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS >> pra Firefox/Chrome. >>>> >>>> O CIDR Limiters eu também tive que fazer, tomei muito ataque >> distribuído que GeoIP não bastava, tive que setar políticas de banda ou de >> sessões por CIDR, hoje tenho locais com limite de 300 sessões pra cada /20 >> e as vezes até 200 pra cada /21. Também coloco limite de banda por CIDR, >> então dependendo do tipo de ataque o que você tem open source pode não ser >> suficiente, por outro lado open source é sempre suficiente quando você pode >> desenvolver =) Aqui “em casa” temos no total 3 módulos do nginx feitos from >> scratch e o testcookie modificado. Alem das regras comerciais do Mod >> Security sempre imprescindíveis em alvos mais “cobiçados”. >>>> >>>> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 >> pois vai, cedo ou tarde, precisa definir um documento de Melhores Práticas >> de Desenvolvimento Seguro que imponham os controles e os procedimentos do >> Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X >> alguma, e como webservices são essencialmente stateles, não tem o que você >> faça na infra pra previnir um ataque de Replay ou Interception se o >> desenvolvedor não cooperar ;-) >>>> >>>> >>>> >>>> >>>>> On 20/05/2016, at 10:56, Ricardo Ferreira < >> ricardo.ferre...@sotech.com.br> wrote: >>>>> >>>>> Senhores, >>>>> >>>>> >>>>> Tenho que implementar uma infra para suporte a Web Services e claro >> que quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat >> por exemplo, dentre outras... mas gostaria de ouvir dos companheiros >> sugestões, experiências, soluções de segurança, críticas dentre outros >> detalhes a fim de alimentar o processo decisório....Um detalhe importante é >> que segurança se impõe sobre todos os outros aspectos. >>>>> >>>>> []s >>>>> >>>>> >>>>> Ricardo Ferreira >>>>> >>>>> >>>>> ------------------------- >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> -- >>>> Patrick Tracanelli >>>> >>>> FreeBSD Brasil LTDA. >>>> Tel.: (31) 3516-0800 >>>> 316...@sip.freebsdbrasil.com.br >>>> http://www.freebsdbrasil.com.br >>>> "Long live Hanin Elias, Kim Deal!" >>>> >>>> ------------------------- >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>>> >>> Prezado Patrick, >>> >>> >>> Grato pelas observações, sugestões e orientações. Acho que tá na hora de >> voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já…. >> >> Hahaha sempre divertido =) >> >>> >>> Estou no início do início do projeto e claro que o FreeBSD é premissa. >> Todo o resto tem que girar em torno dele....Quanto ao *sal a gosto já tinha >> pensado nisso e o CentOS deve ser a escolha mas to pensando em usar o >> NetBSD no lugar..... (no flames please.... nada contra) >> >> De acordo, é outro kernel e tem 2 opções de firewall diferente de ipfw, >> incluindo NPF, +1 pra diversidade :) >> >> >>> apenas para facilitar o suporte lá na frente pois não conseguimos >> engolir ainda o systemd e sua distância do POSIX.... >>> >>> Vou analisar o conteúdo e assim que o projeto progredir vou postando >> aqui as soluções pois entendo ser um assunto interessante e divertido e que >> certamente deve ter mais interessados >> >> :D >> >>> >>> Abraços, >>> >>> Ricardo Ferreira >>> >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> -- >> Patrick Tracanelli >> >> FreeBSD Brasil LTDA. >> Tel.: (31) 3516-0800 >> 316...@sip.freebsdbrasil.com.br >> http://www.freebsdbrasil.com.br >> "Long live Hanin Elias, Kim Deal!" >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > > -- > :UNI><BSD: > Paulo Henrique. > Fone: (21) 37089388. > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
