Em 24 de maio de 2016 13:21, Patrick Tracanelli <eks...@freebsdbrasil.com.br > escreveu:
> >> > https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing > > > > A palestra é especifica para empresas/corporação ou no treinamento da > SSE a > > mesma é abordada. > > > > A gama de informação é significativa, para quem está atoa valeu pelas > > referencias, pesquisando na net :D, assim que possivel quero estar > podendo > > realizar um treinamento na FreeBSD Brasil. > > > > Abrs. > > Fala Paulo, > > Não é abordado no SEE não, nessa linha. Essa palestra é na verdade da IDS ( > ids.com.br), empresa que pertence a FreeBSD Brasil, é uma palestra focada > em desenvolvedores de aplicações Mobile e desenvolvimento de aplicações > seguras em linhas com foco em segmento financeiro. Ou seja é pro > desenvolvedor, aborda muito de webservice mas aborda muita coisa que não é > nem de Webservice nem de infra de segurança, como técnicas contra ataques > offband que é o Vetor1 de abordado. > > Deve sim gerar um treinamento, inclusive a palestra esta dividida em 2 > formatos, formato 1: tradicional, 50 minutos +1 hora, apresentação dos > ataques principais e discussão de como os previnir/corrigir > (desenvolvimento) e como os mitigar (nossa área, infra, defense in depth, > firewall/ids/waf/hardening/pinning/camadas de seguranca/etc). E o formato 2 > é pra uma palestra de 2h no mínimo dividida normalmente em 2 dias, > abordando ai sim o conteúdo inteiro. > > Essa palestra não é minha. Ela é do Renan Fagundes e Rafael Honorato, > respectivamente desenvolvedores e analista de segurança na FreeBSD/IDS. Eu > estou de co-autor, essas atividades são parte do que nós fazemos no nosso > dia-a-dia atendendo bancos, financeiras, empresas onde segurança da > informação não é negócio fim mas é parte crítica do negócio. > > Eu jamais conseguiria dar essa palestra. Quem me conhece sabe que é > impossível eu falar de 26 camadas de segurança em 2 horas hehehe é > necessário uma capacidade de sumarização que eu não tenho. Eu gasto 2h só > na introdução do tema. Minha parte foi definir a estrutura, fundamentação e > os ataques contra as aplicações. Os palestrantes definiram os formatos > finais e cronograma. Eu só apoio e assisto :D > > Agradeço a explicação. Tem alguns assuntos que está apresentado nela que conhecia bem superficialmente, contudo, como no próprio sumario já descreveu a relevância estou a aprofundar-me no assunto. Att. > > > > > > >> > >>>> > >>>> Dê uma olhada no Vetor 3, acredito que é a discussão que você está > >> buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de > >> segurança do Vetor 2. > >>>> > >>>> E o principal alguém deve colocar no papel as regras de negócio tanto > >> do V3 quanto do V2 e onde possível as do V1 que forem obrigatórias > >> (imperativas). Quando falarmos por exemplo do L3 do V2 estamos falando > de > >> regras bem definidas de como o desenvolvimento deve atuar pra subsidiar > >> controles e auditoria tanto pra equipe de SI quanto pra equipe que vai > >> gerenciar o backend/terminação no V3 e abaixo do V3. > >>>> > >>>> Em termos tecnológicos, minhas recomendações pro V3: > >>>> > >>>> 0) FreeBSD / IPFW em Bridge > >>>> 1) Linux Netfilter ou Sal a Gosto* > >>>> 2) FreeBSD Suricata > >>>> 3) FreeBSD Nginx > >>>> > >>>> *Como você sabe o compliance sugere que sempre que um dos domínios se > >> repita que se busque Diversidade na Profundidade então como no Tier0 e > no > >> Tier1 temos firewall, entra um Linux ou legado existente se apropriado > pra > >> T1. > >>>> > >>>> Ja na Tier3, Nginx com: > >>>> > >>>> - NAXSI > >>>> - Mod Security > >>>> - Testcookie > >>>> - GeoIP > >>>> - CIDR limiters > >>>> - Anti Robot > >>>> - Hardened pra ataques de Slow e SSL > >>>> > >>>> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que > >> rescrever e aqui passamos a usar um próprio baseado no testcookie mas > com > >> challenge response em VB Script (IE), Apple Script (osascript, Safari) > e JS > >> pra Firefox/Chrome. > >>>> > >>>> O CIDR Limiters eu também tive que fazer, tomei muito ataque > >> distribuído que GeoIP não bastava, tive que setar políticas de banda ou > de > >> sessões por CIDR, hoje tenho locais com limite de 300 sessões pra cada > /20 > >> e as vezes até 200 pra cada /21. Também coloco limite de banda por CIDR, > >> então dependendo do tipo de ataque o que você tem open source pode não > ser > >> suficiente, por outro lado open source é sempre suficiente quando você > pode > >> desenvolver =) Aqui “em casa” temos no total 3 módulos do nginx feitos > from > >> scratch e o testcookie modificado. Alem das regras comerciais do Mod > >> Security sempre imprescindíveis em alvos mais “cobiçados”. > >>>> > >>>> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao > V2 > >> pois vai, cedo ou tarde, precisa definir um documento de Melhores > Práticas > >> de Desenvolvimento Seguro que imponham os controles e os procedimentos > do > >> Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X > >> alguma, e como webservices são essencialmente stateles, não tem o que > você > >> faça na infra pra previnir um ataque de Replay ou Interception se o > >> desenvolvedor não cooperar ;-) > >>>> > >>>> > >>>> > >>>> > >>>>> On 20/05/2016, at 10:56, Ricardo Ferreira < > >> ricardo.ferre...@sotech.com.br> wrote: > >>>>> > >>>>> Senhores, > >>>>> > >>>>> > >>>>> Tenho que implementar uma infra para suporte a Web Services e claro > >> que quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat > >> por exemplo, dentre outras... mas gostaria de ouvir dos companheiros > >> sugestões, experiências, soluções de segurança, críticas dentre outros > >> detalhes a fim de alimentar o processo decisório....Um detalhe > importante é > >> que segurança se impõe sobre todos os outros aspectos. > >>>>> > >>>>> []s > >>>>> > >>>>> > >>>>> Ricardo Ferreira > >>>>> > >>>>> > >>>>> ------------------------- > >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> -- > >>>> Patrick Tracanelli > >>>> > >>>> FreeBSD Brasil LTDA. > >>>> Tel.: (31) 3516-0800 > >>>> 316...@sip.freebsdbrasil.com.br > >>>> http://www.freebsdbrasil.com.br > >>>> "Long live Hanin Elias, Kim Deal!" > >>>> > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>> Prezado Patrick, > >>> > >>> > >>> Grato pelas observações, sugestões e orientações. Acho que tá na hora > de > >> voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já…. > >> > >> Hahaha sempre divertido =) > >> > >>> > >>> Estou no início do início do projeto e claro que o FreeBSD é premissa. > >> Todo o resto tem que girar em torno dele....Quanto ao *sal a gosto já > tinha > >> pensado nisso e o CentOS deve ser a escolha mas to pensando em usar o > >> NetBSD no lugar..... (no flames please.... nada contra) > >> > >> De acordo, é outro kernel e tem 2 opções de firewall diferente de ipfw, > >> incluindo NPF, +1 pra diversidade :) > >> > >> > >>> apenas para facilitar o suporte lá na frente pois não conseguimos > >> engolir ainda o systemd e sua distância do POSIX.... > >>> > >>> Vou analisar o conteúdo e assim que o projeto progredir vou postando > >> aqui as soluções pois entendo ser um assunto interessante e divertido e > que > >> certamente deve ter mais interessados > >> > >> :D > >> > >>> > >>> Abraços, > >>> > >>> Ricardo Ferreira > >>> > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > >> -- > >> Patrick Tracanelli > >> > >> FreeBSD Brasil LTDA. > >> Tel.: (31) 3516-0800 > >> 316...@sip.freebsdbrasil.com.br > >> http://www.freebsdbrasil.com.br > >> "Long live Hanin Elias, Kim Deal!" > >> > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > > > > > > > -- > > :UNI><BSD: > > Paulo Henrique. > > Fone: (21) 37089388. > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > 316...@sip.freebsdbrasil.com.br > http://www.freebsdbrasil.com.br > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- :UNI><BSD: Paulo Henrique. Fone: (21) 37089388. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
