> On 23/05/2016, at 14:00, Ricardo Ferreira <ricardo.ferre...@sotech.com.br> > wrote: > > > > > > > > Em 23/05/2016 13:21, Patrick Tracanelli escreveu: >> Grande Ricardo, >> >> Aqui na empresa a equipe de desenvolvimento na IDS junto com a de segurança >> da FreeBSD está dando uma palestra sobre esse tema, alias sobre o tema de >> forma ampla envolvendo segurança Offband, no Transporte e na Terminação. Vou >> compartilhar as notas da palestra aqui: >> >> https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing >> >> Dê uma olhada no Vetor 3, acredito que é a discussão que você está buscando >> iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de segurança do >> Vetor 2. >> >> E o principal alguém deve colocar no papel as regras de negócio tanto do V3 >> quanto do V2 e onde possível as do V1 que forem obrigatórias (imperativas). >> Quando falarmos por exemplo do L3 do V2 estamos falando de regras bem >> definidas de como o desenvolvimento deve atuar pra subsidiar controles e >> auditoria tanto pra equipe de SI quanto pra equipe que vai gerenciar o >> backend/terminação no V3 e abaixo do V3. >> >> Em termos tecnológicos, minhas recomendações pro V3: >> >> 0) FreeBSD / IPFW em Bridge >> 1) Linux Netfilter ou Sal a Gosto* >> 2) FreeBSD Suricata >> 3) FreeBSD Nginx >> >> *Como você sabe o compliance sugere que sempre que um dos domínios se repita >> que se busque Diversidade na Profundidade então como no Tier0 e no Tier1 >> temos firewall, entra um Linux ou legado existente se apropriado pra T1. >> >> Ja na Tier3, Nginx com: >> >> - NAXSI >> - Mod Security >> - Testcookie >> - GeoIP >> - CIDR limiters >> - Anti Robot >> - Hardened pra ataques de Slow e SSL >> >> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que >> rescrever e aqui passamos a usar um próprio baseado no testcookie mas com >> challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS >> pra Firefox/Chrome. >> >> O CIDR Limiters eu também tive que fazer, tomei muito ataque distribuído que >> GeoIP não bastava, tive que setar políticas de banda ou de sessões por CIDR, >> hoje tenho locais com limite de 300 sessões pra cada /20 e as vezes até 200 >> pra cada /21. Também coloco limite de banda por CIDR, então dependendo do >> tipo de ataque o que você tem open source pode não ser suficiente, por outro >> lado open source é sempre suficiente quando você pode desenvolver =) Aqui >> “em casa” temos no total 3 módulos do nginx feitos from scratch e o >> testcookie modificado. Alem das regras comerciais do Mod Security sempre >> imprescindíveis em alvos mais “cobiçados”. >> >> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 pois >> vai, cedo ou tarde, precisa definir um documento de Melhores Práticas de >> Desenvolvimento Seguro que imponham os controles e os procedimentos do >> Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X >> alguma, e como webservices são essencialmente stateles, não tem o que você >> faça na infra pra previnir um ataque de Replay ou Interception se o >> desenvolvedor não cooperar ;-) >> >> >> >> >>> On 20/05/2016, at 10:56, Ricardo Ferreira <ricardo.ferre...@sotech.com.br> >>> wrote: >>> >>> Senhores, >>> >>> >>> Tenho que implementar uma infra para suporte a Web Services e claro que >>> quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por >>> exemplo, dentre outras... mas gostaria de ouvir dos companheiros sugestões, >>> experiências, soluções de segurança, críticas dentre outros detalhes a fim >>> de alimentar o processo decisório....Um detalhe importante é que segurança >>> se impõe sobre todos os outros aspectos. >>> >>> []s >>> >>> >>> Ricardo Ferreira >>> >>> >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> -- >> Patrick Tracanelli >> >> FreeBSD Brasil LTDA. >> Tel.: (31) 3516-0800 >> 316...@sip.freebsdbrasil.com.br >> http://www.freebsdbrasil.com.br >> "Long live Hanin Elias, Kim Deal!" >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > Prezado Patrick, > > > Grato pelas observações, sugestões e orientações. Acho que tá na hora de > voltar na freebsdbrasil pra reciclar no SEE, hehe.... faz um tempo já….
Hahaha sempre divertido =) > > Estou no início do início do projeto e claro que o FreeBSD é premissa. Todo o > resto tem que girar em torno dele....Quanto ao *sal a gosto já tinha pensado > nisso e o CentOS deve ser a escolha mas to pensando em usar o NetBSD no > lugar..... (no flames please.... nada contra) De acordo, é outro kernel e tem 2 opções de firewall diferente de ipfw, incluindo NPF, +1 pra diversidade :) > apenas para facilitar o suporte lá na frente pois não conseguimos engolir > ainda o systemd e sua distância do POSIX.... > > Vou analisar o conteúdo e assim que o projeto progredir vou postando aqui as > soluções pois entendo ser um assunto interessante e divertido e que > certamente deve ter mais interessados :D > > Abraços, > > Ricardo Ferreira > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
