[FUG-BR] Infra Web Services

[Ricardo Ferreira]

Em 23/05/2016 13:21, Patrick Tracanelli escreveu:
> Grande Ricardo,
>
> Aqui na empresa a equipe de desenvolvimento na IDS junto com a de segurança da FreeBSD está dando uma palestra sobre esse tema, alias sobre o tema de forma ampla envolvendo segurança Offband, no Transporte e na Terminação. Vou compartilhar as notas da palestra aqui:
>
> https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing
>
> Dê uma olhada no Vetor 3, acredito que é a discussão que você está buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de segurança do Vetor 2.
>
> E o principal alguém deve colocar no papel as regras de negócio tanto do V3 quanto do V2 e onde possível as do V1 que forem obrigatórias (imperativas). Quando falarmos por exemplo do L3 do V2 estamos falando de regras bem definidas de como o desenvolvimento deve atuar pra subsidiar controles e auditoria tanto pra equipe de SI quanto pra equipe que vai gerenciar o backend/terminação no V3 e abaixo do V3.
>
> Em termos tecnológicos, minhas recomendações pro V3:
>
> 0) FreeBSD / IPFW em Bridge
> 1) Linux Netfilter ou Sal a Gosto*
> 2) FreeBSD Suricata
> 3) FreeBSD Nginx
>
> *Como você sabe o compliance sugere que sempre que um dos domínios se repita que se busque Diversidade na Profundidade então como no Tier0 e no Tier1 temos firewall, entra um Linux ou legado existente se apropriado pra T1.
>
> Ja na Tier3, Nginx com:
>
> - NAXSI
> - Mod Security
> - Testcookie
> - GeoIP
> - CIDR limiters
> - Anti Robot
> - Hardened pra ataques de Slow e SSL
>
> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que rescrever e aqui passamos a usar um próprio baseado no testcookie mas com challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS pra Firefox/Chrome.
>
> O CIDR Limiters eu também tive que fazer, tomei muito ataque distribuído que GeoIP não bastava, tive que setar políticas de banda ou de sessões por CIDR, hoje tenho locais com limite de 300 sessões pra cada /20 e as vezes até 200 pra cada /21. Também coloco limite de banda por CIDR, então dependendo do tipo de ataque o que você tem open source pode não ser suficiente, por outro lado open source é sempre suficiente quando você pode desenvolver =) Aqui “em casa” temos no total 3 módulos do nginx feitos from scratch e o testcookie modificado. Alem das regras comerciais do Mod Security sempre imprescindíveis em alvos mais “cobiçados”.
>
> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 pois vai, cedo ou tarde, precisa definir um documento de Melhores Práticas de Desenvolvimento Seguro que imponham os controles e os procedimentos do Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X alguma, e como webservices são essencialmente stateles, não tem o que você faça na infra pra previnir um ataque de Replay ou Interception se o desenvolvedor não cooperar ;-)
>
>
>
>
>> On 20/05/2016, at 10:56, Ricardo Ferreira <ricardo.ferreira em sotech.com.br> wrote:
>>
>> Senhores,
>>
>>
>> Tenho que implementar uma infra para suporte a Web Services e claro que quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por exemplo, dentre outras... mas gostaria de ouvir dos companheiros sugestões, experiências, soluções de segurança, críticas dentre outros detalhes a fim de alimentar o processo decisório....Um detalhe importante é que segurança se impõe sobre todos os outros aspectos.
>>
>> []s
>>
>>
>> Ricardo Ferreira
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Prezado Patrick,


Grato pelas observações, sugestões e orientações. Acho que tá na hora de 
voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já....

Estou no início do início do projeto e claro que o FreeBSD é premissa. 
Todo o resto tem que girar em torno dele....Quanto ao *sal a gosto já 
tinha pensado nisso e o CentOS deve ser a escolha mas to pensando em 
usar o NetBSD no lugar..... (no flames please.... nada contra) apenas 
para facilitar o suporte lá na frente pois não conseguimos engolir ainda 
o systemd e sua distância do POSIX....

Vou analisar o conteúdo e assim que o projeto progredir vou postando 
aqui as soluções pois entendo ser um assunto interessante e divertido e 
que certamente deve ter mais interessados

Abraços,

Ricardo Ferreira