Grande Patrick, blz? Vai haver aberta ao publico?
Valeu. Allan Patrick Guarapuava/PR Em 23/05/2016 13:21, Patrick Tracanelli escreveu: > Grande Ricardo, > > Aqui na empresa a equipe de desenvolvimento na IDS junto com a de segurança > da FreeBSD está dando uma palestra sobre esse tema, alias sobre o tema de > forma ampla envolvendo segurança Offband, no Transporte e na Terminação. Vou > compartilhar as notas da palestra aqui: > > https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing > [3]Dê uma olhada no Vetor 3, acredito que é a discussão que você está > buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de > segurança do Vetor 2. > > E o principal alguém deve colocar no papel as regras de negócio tanto do V3 > quanto do V2 e onde possível as do V1 que forem obrigatórias (imperativas). > Quando falarmos por exemplo do L3 do V2 estamos falando de regras bem > definidas de como o desenvolvimento deve atuar pra subsidiar controles e > auditoria tanto pra equipe de SI quanto pra equipe que vai gerenciar o > backend/terminação no V3 e abaixo do V3. > > Em termos tecnológicos, minhas recomendações pro V3: > > 0) FreeBSD / IPFW em Bridge > 1) Linux Netfilter ou Sal a Gosto* > 2) FreeBSD Suricata > 3) FreeBSD Nginx > > *Como você sabe o compliance sugere que sempre que um dos domínios se repita > que se busque Diversidade na Profundidade então como no Tier0 e no Tier1 > temos firewall, entra um Linux ou legado existente se apropriado pra T1. > > Ja na Tier3, Nginx com: > > - NAXSI > - Mod Security > - Testcookie > - GeoIP > - CIDR limiters > - Anti Robot > - Hardened pra ataques de Slow e SSL > > Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que > rescrever e aqui passamos a usar um próprio baseado no testcookie mas com > challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS > pra Firefox/Chrome. > > O CIDR Limiters eu também tive que fazer, tomei muito ataque distribuído que > GeoIP não bastava, tive que setar políticas de banda ou de sessões por CIDR, > hoje tenho locais com limite de 300 sessões pra cada /20 e as vezes até 200 > pra cada /21. Também coloco limite de banda por CIDR, então dependendo do > tipo de ataque o que você tem open source pode não ser suficiente, por outro > lado open source é sempre suficiente quando você pode desenvolver =) Aqui "em > casa" temos no total 3 módulos do nginx feitos from scratch e o testcookie > modificado. Alem das regras comerciais do Mod Security sempre imprescindíveis > em alvos mais "cobiçados". > > Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 pois > vai, cedo ou tarde, precisa definir um documento de Melhores Práticas de > Desenvolvimento Seguro que imponham os controles e os procedimentos do > Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X > alguma, e como webservices são essencialmente stateles, não tem o que você > faça na infra pra previnir um ataque de Replay ou Interception se o > desenvolvedor não cooperar ;-) > >> On 20/05/2016, at 10:56, Ricardo Ferreira <ricardo.ferre...@sotech.com.br> >> wrote: Senhores, Tenho que implementar uma infra para suporte a Web Services >> e claro que quero fazer em FreeBSD. Tenho algumas idéias como Apache mais >> Tomcat por exemplo, dentre outras... mas gostaria de ouvir dos companheiros >> sugestões, experiências, soluções de segurança, críticas dentre outros >> detalhes a fim de alimentar o processo decisório....Um detalhe importante é >> que segurança se impõe sobre todos os outros aspectos. []s Ricardo Ferreira >> ------------------------- Histórico: >> http://www.fug.com.br/historico/html/freebsd/ [1] Sair da lista: >> https://www.fug.com.br/mailman/listinfo/freebsd [2] > > -- > Patrick Tracanelli > > FreeBSD Brasil LTDA. > Tel.: (31) 3516-0800 > 316...@sip.freebsdbrasil.com.br > http://www.freebsdbrasil.com.br [4] > "Long live Hanin Elias, Kim Deal!" > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ [1] > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [2] Links: ------ [1] http://www.fug.com.br/historico/html/freebsd/ [2] https://www.fug.com.br/mailman/listinfo/freebsd [3] https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing [4] http://www.freebsdbrasil.com.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
