[FUG-BR] Infra Web Services

Paulo Henrique - BSD Brasil paulo.rddck em bsd.com.br
Sexta Maio 20 16:23:45 BRT 2016



On 20/05/16 15:40, Wilson Mendes wrote:
> Prezado Ricardo,  a fug têm uma enciclopédia de informação sobre o
> assunto, assim como un excelente índice. Pesquise e a sua possível
> dúvida ainda existir, será de grande colaboração para essa
> enciclopédia viva.
>
> Abs
>
> Sent with AquaMail for Android
> http://www.aqua-mail.com
>
>
> On May 20, 2016 10:56:42 AM Ricardo Ferreira
> <ricardo.ferreira em sotech.com.br> wrote:
>
>> Senhores,
>>
>>
>> Tenho que implementar uma infra para suporte a Web Services e claro que
>> quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por
>> exemplo, dentre outras... mas gostaria de ouvir dos companheiros
>> sugestões, experiências, soluções de segurança, críticas dentre outros
>> detalhes a fim de alimentar o processo decisório....Um detalhe
>> importante é que segurança se impõe sobre todos os outros aspectos.
>>
>> []s
>>
>>
>> Ricardo Ferreira
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Cuidado com Top-posting, acaba estragando o histórico da lista.

Bom vamos lá.

Primeiro, que bom que considerando o FreeBSD como sistema operacional
base para a sua solução, contudo tem que ser realista.

Não acompanho o projeto tomcat para saber como está ele com relação as
outras plataformas ( Linux/Windows ), contudo se o foco é segurança
creio que usar uma tecnologia Java já é um tiro no pé que irá levar pelo
menos uma perna, o java vem sendo constantemente colocado em check
quanto a segurança, é a unica consideração que tenho negativa quanto ao
proposto, porém é desenvolvido e mantido pela fundação Apache que são
muito competentes no quesito segurança, posso estar falando m*****
devido a minha ignorância quanto a este software em especifico.

Quanto ao FreeBSD mesmo, não há nenhuma critica negativa só positiva,
porém só opte pelo mesmo caso possua expertice, o FreeBSD faz a parte
dele que é disponibilizar um software seguro, estável e perfomatico com
diversos recursos em cada um desses pilares, porém de nada adianta ter
um bugati nas mãos e não passar dos 100Km/h em uma pista que permite
chegar a 800Km/h.
Ative os recursos do Framework MAC mantidos pelo TrustedBSD Project.
Ative a auditoria do sistema e coloca um servidor de Logs aparte para
manter um acompanhamento pro-ativo dos serviços
Compile o kernel removendo coisas desnecessárias, sei que muitos
administradores hoje já não compilam mais o kernel do FreeBSD em busca
de perfomance  ou o fazem somente quando o recursos só estará disponivel
on-kerrnel, contudo sou da premissa de que quanto menor a quantidade de
codigo na memoria menor a possibilidade de algum exploit funcionar.
Ajuste as sysctls relacionadas a desempenho de rede e do próprio sistema.
Amplie os mbuffers de requisição da rede, ajuda muito na performance do
sistema, principalmente quando este estiver com alto load.
Ative o securelevel 3 caso a aplicação permita ou se possivel coloca o
tomcat em uma Jail e mantenha um cluster Ativo/Ativo entre as jails e
dois servidores fisicos e terá uma redundância que precisará de muito
esforço da lei de murphe  para derrubar.
Como o seu objetivo é segurança e caso possa expertice aceitável no que
tange a segurança da informação demais softwares abaixo tem algumas
dicas que valem a pena explorar.

Instale e configure o IDS/IPS Suricata a parte da sua infraestrutura de
serviços.
Separe o banco de dados do servidor de aplicações e valide tudo o que
acessar ele, revise o código da aplicação e tente forçar os
desenvolvedores a terem práticas realmente seguras de codificação e
comunicação entre a aplicação e o banco de dados.
Ative o firewall em todos os seus servidores contudo com metodologias
diferentes, no firewall de borda deixa passar com filtragem stateless
apenas requisições para o servidor de aplicações contudo limitado a
porta do socket de comunicação e no firewall do servidor de aplicações
trabalhe com firewall statefull.
Há muitas outras técnicas de harderning disponiveis para o FreeBSD e
ambientes de Web Services, há muita literatura na Internet.

Qualquer coisa estamos ai.

Abraços e por favor seria muito bom depois disponibilizar um case da
solução para que outros tenha um ponto de partida.



-- 
##################################################
:UNI><BSD User:
Paulo Henrique
Cel: (21) 98253-9727
Fone: (21) 3708-9388
##################################################



Mais detalhes sobre a lista de discussão freebsd