[FUG-BR] Infra Web Services
Patrick Tracanelli
eksffa em freebsdbrasil.com.br
Segunda Maio 23 13:21:38 BRT 2016
Grande Ricardo,
Aqui na empresa a equipe de desenvolvimento na IDS junto com a de segurança da FreeBSD está dando uma palestra sobre esse tema, alias sobre o tema de forma ampla envolvendo segurança Offband, no Transporte e na Terminação. Vou compartilhar as notas da palestra aqui:
https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing
Dê uma olhada no Vetor 3, acredito que é a discussão que você está buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de segurança do Vetor 2.
E o principal alguém deve colocar no papel as regras de negócio tanto do V3 quanto do V2 e onde possível as do V1 que forem obrigatórias (imperativas). Quando falarmos por exemplo do L3 do V2 estamos falando de regras bem definidas de como o desenvolvimento deve atuar pra subsidiar controles e auditoria tanto pra equipe de SI quanto pra equipe que vai gerenciar o backend/terminação no V3 e abaixo do V3.
Em termos tecnológicos, minhas recomendações pro V3:
0) FreeBSD / IPFW em Bridge
1) Linux Netfilter ou Sal a Gosto*
2) FreeBSD Suricata
3) FreeBSD Nginx
*Como você sabe o compliance sugere que sempre que um dos domínios se repita que se busque Diversidade na Profundidade então como no Tier0 e no Tier1 temos firewall, entra um Linux ou legado existente se apropriado pra T1.
Ja na Tier3, Nginx com:
- NAXSI
- Mod Security
- Testcookie
- GeoIP
- CIDR limiters
- Anti Robot
- Hardened pra ataques de Slow e SSL
Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que rescrever e aqui passamos a usar um próprio baseado no testcookie mas com challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS pra Firefox/Chrome.
O CIDR Limiters eu também tive que fazer, tomei muito ataque distribuído que GeoIP não bastava, tive que setar políticas de banda ou de sessões por CIDR, hoje tenho locais com limite de 300 sessões pra cada /20 e as vezes até 200 pra cada /21. Também coloco limite de banda por CIDR, então dependendo do tipo de ataque o que você tem open source pode não ser suficiente, por outro lado open source é sempre suficiente quando você pode desenvolver =) Aqui “em casa” temos no total 3 módulos do nginx feitos from scratch e o testcookie modificado. Alem das regras comerciais do Mod Security sempre imprescindíveis em alvos mais “cobiçados”.
Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 pois vai, cedo ou tarde, precisa definir um documento de Melhores Práticas de Desenvolvimento Seguro que imponham os controles e os procedimentos do Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X alguma, e como webservices são essencialmente stateles, não tem o que você faça na infra pra previnir um ataque de Replay ou Interception se o desenvolvedor não cooperar ;-)
> On 20/05/2016, at 10:56, Ricardo Ferreira <ricardo.ferreira em sotech.com.br> wrote:
>
> Senhores,
>
>
> Tenho que implementar uma infra para suporte a Web Services e claro que quero fazer em FreeBSD. Tenho algumas idéias como Apache mais Tomcat por exemplo, dentre outras... mas gostaria de ouvir dos companheiros sugestões, experiências, soluções de segurança, críticas dentre outros detalhes a fim de alimentar o processo decisório....Um detalhe importante é que segurança se impõe sobre todos os outros aspectos.
>
> []s
>
>
> Ricardo Ferreira
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
Patrick Tracanelli
FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"
Mais detalhes sobre a lista de discussão freebsd