[FUG-BR] Infra Web Services

Paulo Henrique paulo.rddck em bsd.com.br
Terça Maio 24 06:27:45 BRT 2016


Em 23 de maio de 2016 14:33, Patrick Tracanelli <eksffa em freebsdbrasil.com.br
> escreveu:

>
>
> > On 23/05/2016, at 14:00, Ricardo Ferreira <
> ricardo.ferreira em sotech.com.br> wrote:
> >
> >
> >
> >
> >
> >
> >
> > Em 23/05/2016 13:21, Patrick Tracanelli escreveu:
> >> Grande Ricardo,
> >>
> >> Aqui na empresa a equipe de desenvolvimento na IDS junto com a de
> segurança da FreeBSD está dando uma palestra sobre esse tema, alias sobre o
> tema de forma ampla envolvendo segurança Offband, no Transporte e na
> Terminação. Vou compartilhar as notas da palestra aqui:
> >>
> >>
> https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing
>

A palestra é especifica para empresas/corporação ou no treinamento da SSE a
mesma é abordada.

A gama de informação é significativa, para quem está atoa valeu pelas
referencias, pesquisando na net :D, assim que possivel quero estar podendo
realizar um treinamento na FreeBSD Brasil.

Abrs.


>
> >>
> >> Dê uma olhada no Vetor 3, acredito que é a discussão que você está
> buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de
> segurança do Vetor 2.
> >>
> >> E o principal alguém deve colocar no papel as regras de negócio tanto
> do V3 quanto do V2 e onde possível as do V1 que forem obrigatórias
> (imperativas). Quando falarmos por exemplo do L3 do V2 estamos falando de
> regras bem definidas de como o desenvolvimento deve atuar pra subsidiar
> controles e auditoria tanto pra equipe de SI quanto pra equipe que vai
> gerenciar o backend/terminação no V3 e abaixo do V3.
> >>
> >> Em termos tecnológicos, minhas recomendações pro V3:
> >>
> >> 0) FreeBSD / IPFW em Bridge
> >> 1) Linux Netfilter ou Sal a Gosto*
> >> 2) FreeBSD Suricata
> >> 3) FreeBSD Nginx
> >>
> >> *Como você sabe o compliance sugere que sempre que um dos domínios se
> repita que se busque Diversidade na Profundidade então como no Tier0 e no
> Tier1 temos firewall, entra um Linux ou legado existente se apropriado pra
> T1.
> >>
> >> Ja na Tier3, Nginx com:
> >>
> >> - NAXSI
> >> - Mod Security
> >> - Testcookie
> >> - GeoIP
> >> - CIDR limiters
> >> - Anti Robot
> >> - Hardened pra ataques de Slow e SSL
> >>
> >> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que
> rescrever e aqui passamos a usar um próprio baseado no testcookie mas com
> challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS
> pra Firefox/Chrome.
> >>
> >> O CIDR Limiters eu também tive que fazer, tomei muito ataque
> distribuído que GeoIP não bastava, tive que setar políticas de banda ou de
> sessões por CIDR, hoje tenho locais com limite de 300 sessões pra cada /20
> e as vezes até 200 pra cada /21. Também coloco limite de banda por CIDR,
> então dependendo do tipo de ataque o que você tem open source pode não ser
> suficiente, por outro lado open source é sempre suficiente quando você pode
> desenvolver =) Aqui “em casa” temos no total 3 módulos do nginx feitos from
> scratch e o testcookie modificado. Alem das regras comerciais do Mod
> Security sempre imprescindíveis em alvos mais “cobiçados”.
> >>
> >> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2
> pois vai, cedo ou tarde, precisa definir um documento de Melhores Práticas
> de Desenvolvimento Seguro que imponham os controles e os procedimentos do
> Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X
> alguma, e como webservices são essencialmente stateles, não tem o que você
> faça na infra pra previnir um ataque de Replay ou Interception se o
> desenvolvedor não cooperar ;-)
> >>
> >>
> >>
> >>
> >>> On 20/05/2016, at 10:56, Ricardo Ferreira <
> ricardo.ferreira em sotech.com.br> wrote:
> >>>
> >>> Senhores,
> >>>
> >>>
> >>> Tenho que implementar uma infra para suporte a Web Services e claro
> que quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat
> por exemplo, dentre outras... mas gostaria de ouvir dos companheiros
> sugestões, experiências, soluções de segurança, críticas dentre outros
> detalhes a fim de alimentar o processo decisório....Um detalhe importante é
> que segurança se impõe sobre todos os outros aspectos.
> >>>
> >>> []s
> >>>
> >>>
> >>> Ricardo Ferreira
> >>>
> >>>
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> --
> >> Patrick Tracanelli
> >>
> >> FreeBSD Brasil LTDA.
> >> Tel.: (31) 3516-0800
> >> 316601 em sip.freebsdbrasil.com.br
> >> http://www.freebsdbrasil.com.br
> >> "Long live Hanin Elias, Kim Deal!"
> >>
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > Prezado Patrick,
> >
> >
> > Grato pelas observações, sugestões e orientações. Acho que tá na hora de
> voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já….
>
> Hahaha sempre divertido =)
>
> >
> > Estou no início do início do projeto e claro que o FreeBSD é premissa.
> Todo o resto tem que girar em torno dele....Quanto ao *sal a gosto já tinha
> pensado nisso e o CentOS deve ser a escolha mas to pensando em usar o
> NetBSD no lugar..... (no flames please.... nada contra)
>
> De acordo, é outro kernel e tem 2 opções de firewall diferente de ipfw,
> incluindo NPF, +1 pra diversidade :)
>
>
> > apenas para facilitar o suporte lá na frente pois não conseguimos
> engolir ainda o systemd e sua distância do POSIX....
> >
> > Vou analisar o conteúdo e assim que o projeto progredir vou postando
> aqui as soluções pois entendo ser um assunto interessante e divertido e que
> certamente deve ter mais interessados
>
> :D
>
> >
> > Abraços,
> >
> > Ricardo Ferreira
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.


Mais detalhes sobre a lista de discussão freebsd