Re: [FUG-BR] RES: RES: RES: RES: RES: RES: Sobre segurança
OK. Perdão pelo off. Voltando ao assunto segurança, me identfiquei bastante com as idéias do Paulo Henrique. Em dezembro passado uma empresa deixou um appliance aqui para filtragem e proxy de http, https e ftp. O produto era uma maravilha: fazia tudo que o Squid e o DansGuardian fazem além de fazer filtragem de requisições https (só dois produtos fazem isso no mercado) e de hora em hora atualizar as blacklists. Tudo isso administrado de uma interface Web simples e intuitiva, com integração segura com AD, autenticando os usuários e grupos de usuários via NTLM. Core, O controle de acesso a sites SSL (https) é feito de maneira transparente ? Ou é configurado o proxy socks nos browsers ? []'s Luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: RES: RES: RES: Sobre segurança
Não a idéia é diferente. Hoje em dia, mesmo nas ferramentas comerciais, qualquer ameça que trafegue via https não pode ser mitigada, por que não é possível quebrar a criptografia da conexão. O que esta ferramenta faz é uma espécie de proxy SSL. Quando o cliente vai fechar um tunel com, por exemplo, https://site-malicioso.com, ele na verdade fecha uma conexão ssl com o appliance e o appliance fecha o túnel com o site remoto. Dentro da caixa todo o tráfego é então decriptografado, o que é possível por que ele tem as conexões com ambas as pontas, aí então qualquer coisa anormal pode ser filtrada. A partir do momento em que o cliente aceite o certificado do appliance, tudo é feito de forma transparente. []'s -- http://www.webcrunchers.com/crunch http://www.myspace.com/whippersnappermusic http://www.purevolume.com/whippersnapper - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: RES: RES: RES: Sobre segurança
Não a idéia é diferente. Hoje em dia, mesmo nas ferramentas comerciais, qualquer ameça que trafegue via https não pode ser mitigada, por que não é possível quebrar a criptografia da conexão. O que esta ferramenta faz é uma espécie de proxy SSL. Quando o cliente vai fechar um tunel com, por exemplo, https://site-malicioso.com, ele na verdade fecha uma conexão ssl com o appliance e o appliance fecha o túnel com o site remoto. Dentro da caixa todo o tráfego é então decriptografado, o que é possível por que ele tem as conexões com ambas as pontas, aí então qualquer coisa anormal pode ser filtrada. A partir do momento em que o cliente aceite o certificado do appliance, tudo é feito de forma transparente. Man-in-the-middle consentido ;) Você não paga um certificado válido para isso não é ? É gerado um certificado (provavelmente no proprio appliance - OpenSSL) que você precisa adicionar/autorizar no browser. Simples e funcional... interessante :) Obrigado Core, []'s - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: RES: RES: RES: RES : Sobre segurança
Concordo Plenamente. -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de c0re dumped Enviada em: quarta-feira, 7 de janeiro de 2009 09:40 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: RES: RES: RES: Sobre segurança O que vejo acontecer na absoluta maioria das empresas de terceirização é a total falta de métodos e métricas de seleção para um profissional. Tem anúncios que você lê e dá até vontade de rir. Os caras pedem um profissional bilíngue, com formação na área de segurança, certificações na área de networking, experiência em programação, que saiba trabalhar com banco de dados, que tenha gerenciado um projeto... a impressão que se tem é que quem fez esse tipo de solicitação nem sabe qual é o foco do profissional que está procurando. Tenho conhecidos e parentes que vivem no exterior, alguns trabalhando na área de telecom/TI. É interessante o processo contratatório que as empresas lá fora adotam: primeiro há duas ou três entrevistas técnicas feita com todos os membros da equipe que o profissional irá trabalhar, onde o candidato é sabatinado à exaustão, depois há uma entrevista com o chefe da área onde serão feitas algumas perguntas do tipo o que você espera da empresa, quais foram seus maiores 'achievments' em seu ultimo trabalho, etc. Por último algumas empresas, mais ou menos 40%, incluem um psicólogo no final do processo. Com relação a criação de um Conselho Federal de Informática ou algo do gênero, gostaria de fazer uma pergunta: por que será os EUA a Índia ou a UE não tem um Conselho de Informática (ou alguma entidade que regule esta área) ? Será que eles são mais burros que nós ? A maioria sai das universidades sem nem entender direito tudo o que ficou 2, 3, 4 anos estudando. Nenhuma empresa vai, por exemplo, jogar uma rede com 200, 300 routers, dezenas de milhares de usuários na mão de um cara que acabou de se formar, só por que ele tem uma carteirinha. *Não vai mesmo*. Pode até ser criado um conselho (ou qualquer coisa que o valha), mas no fim das contas o mercado vai querer contratar os melhores, tenham ou não um diploma à mão, assim como no exterior. Além do mais, reserva de mercado - neste caso mercado de trabalho - é um conceito meio velho, já aplicado nos anos 80 e que só fez atrasar nosso país. Existem N métodos mais eficientes para atestar a capacidade técnica de um profissional. []'s -- http://www.webcrunchers.com/crunch http://www.myspace.com/whippersnappermusic http://www.purevolume.com/whippersnapper - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: RES: RES: RES: RES: RES : Sobre segurança
Senhores, Se possível, gostaria de retomar a discussão do ponto de vista segurança, creio que este assunto de certificação/formação/merecimento já foi discutido nesta lista e desde já peço desculpas se alguma linha de meu discurso inicial sobre certificações de segurança fez o assunto virar para este lado! Creio que a repetição deste tópico não seria interessante, diferentemente do assunto segurança. Abraço a todos! -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de c0re dumped Enviada em: quarta-feira, 7 de janeiro de 2009 17:28 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: RES: RES: RES: Sobre segurança Dessa forma então, vou me candidatar a uma vaga de engenheiro cívil, horas, é a mesma coisa, existe um conselho, que garante que o profissional fez curso e tem um piso mínimo em sua carteira de trabalho. Desde quando isso é um mau negócio para emprega e empregador? Garantia para ambos os lados. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: RES: RES: RES: RES: RES: Sobre segurança
Senhores, Se possível, gostaria de retomar a discussão do ponto de vista segurança, creio que este assunto de certificação/formação/merecimento já foi discutido nesta lista e desde já peço desculpas se alguma linha de meu discurso inicial sobre certificações de segurança fez o assunto virar para este lado! Creio que a repetição deste tópico não seria interessante, diferentemente do assunto segurança. Abraço a todos! OK. Perdão pelo off. Voltando ao assunto segurança, me identfiquei bastante com as idéias do Paulo Henrique. Em dezembro passado uma empresa deixou um appliance aqui para filtragem e proxy de http, https e ftp. O produto era uma maravilha: fazia tudo que o Squid e o DansGuardian fazem além de fazer filtragem de requisições https (só dois produtos fazem isso no mercado) e de hora em hora atualizar as blacklists. Tudo isso administrado de uma interface Web simples e intuitiva, com integração segura com AD, autenticando os usuários e grupos de usuários via NTLM. Ainda vinha junto uma solução para confecção de reports que era uma beleza. O admin podia fazer um drill-down por qualquer parâmetro: nome de usuário, página, horário, filtragem ativa de malwares, virus, análise dinâmica de código das páginas acessadas... enfim, o negócio era chique mesmo. Pois bem, colocamos o appliance pra ser testado em alguns departamentos. O negócio funcionou tão bem que o que teve de gente chiando que antes acessava tal site e agora não acessava mais não tá no gibi. No fim das contas a administração preferiu não comprar o barulho com os usuários e não adquiriu a solução. Apesar de o produto prover a segurança necessária para o nosso ambiente, mais uma vez os maus hábitos venceram. No dia que houver uma fraude de proporções épicas ou alguem roubar os dados bancários de algum figurão daqui, talvez aí eles reconsiderem a decisão. Infelizmente segurança ainda é vista como sinônimo de incoveniência para a amioria dos usuários e tomadores de decisão das empresas, com algumas raras exceções. Esse é um dos motivos pelo quais há mais ou menos 2 anos venho gradativamente abandonando esta área. É muito murro em ponta de faca. Às vezes o profissional é meio que punido por tentar fazer a coisa certa. A coisa vai crescendo, crescendo até que chega uma hora que o tesão acaba. Pra trabalhar nessa área, só se for pra ser muito, mas muito bem pago. -- http://www.webcrunchers.com/crunch http://www.myspace.com/whippersnappermusic http://www.purevolume.com/whippersnapper - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd