> On 23/05/2016, at 14:05, alla...@ig.com.br wrote: > > > > Grande Patrick, blz? Vai haver aberta ao publico?
Sim, são todas aberta ao publico, uma delas será no Latinoware. Outras são em universidades e congressos de desenvolvimento =) > > Valeu. > > Allan Patrick > > Guarapuava/PR > > Em 23/05/2016 13:21, Patrick Tracanelli escreveu: > >> Grande Ricardo, >> >> Aqui na empresa a equipe de desenvolvimento na IDS junto com a de segurança >> da FreeBSD está dando uma palestra sobre esse tema, alias sobre o tema de >> forma ampla envolvendo segurança Offband, no Transporte e na Terminação. Vou >> compartilhar as notas da palestra aqui: >> >> https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing >> [3]Dê uma olhada no Vetor 3, acredito que é a discussão que você está >> buscando iniciar. Lembrando que o vetor 3 deve subsidiar as camadas de >> segurança do Vetor 2. >> >> E o principal alguém deve colocar no papel as regras de negócio tanto do V3 >> quanto do V2 e onde possível as do V1 que forem obrigatórias (imperativas). >> Quando falarmos por exemplo do L3 do V2 estamos falando de regras bem >> definidas de como o desenvolvimento deve atuar pra subsidiar controles e >> auditoria tanto pra equipe de SI quanto pra equipe que vai gerenciar o >> backend/terminação no V3 e abaixo do V3. >> >> Em termos tecnológicos, minhas recomendações pro V3: >> >> 0) FreeBSD / IPFW em Bridge >> 1) Linux Netfilter ou Sal a Gosto* >> 2) FreeBSD Suricata >> 3) FreeBSD Nginx >> >> *Como você sabe o compliance sugere que sempre que um dos domínios se repita >> que se busque Diversidade na Profundidade então como no Tier0 e no Tier1 >> temos firewall, entra um Linux ou legado existente se apropriado pra T1. >> >> Ja na Tier3, Nginx com: >> >> - NAXSI >> - Mod Security >> - Testcookie >> - GeoIP >> - CIDR limiters >> - Anti Robot >> - Hardened pra ataques de Slow e SSL >> >> Infelzimente o testcookie não é suficiente pra anti-robot, eu tive que >> rescrever e aqui passamos a usar um próprio baseado no testcookie mas com >> challenge response em VB Script (IE), Apple Script (osascript, Safari) e JS >> pra Firefox/Chrome. >> >> O CIDR Limiters eu também tive que fazer, tomei muito ataque distribuído que >> GeoIP não bastava, tive que setar políticas de banda ou de sessões por CIDR, >> hoje tenho locais com limite de 300 sessões pra cada /20 e as vezes até 200 >> pra cada /21. Também coloco limite de banda por CIDR, então dependendo do >> tipo de ataque o que você tem open source pode não ser suficiente, por outro >> lado open source é sempre suficiente quando você pode desenvolver =) Aqui >> "em casa" temos no total 3 módulos do nginx feitos from scratch e o >> testcookie modificado. Alem das regras comerciais do Mod Security sempre >> imprescindíveis em alvos mais "cobiçados". >> >> Por ultimo, o respaldo da diretoria e imposição da SI, em relação ao V2 pois >> vai, cedo ou tarde, precisa definir um documento de Melhores Práticas de >> Desenvolvimento Seguro que imponham os controles e os procedimentos do >> Webservice. Pq senão ninguém faz OTP, ninguém segue RFC, ninguém faz X >> alguma, e como webservices são essencialmente stateles, não tem o que você >> faça na infra pra previnir um ataque de Replay ou Interception se o >> desenvolvedor não cooperar ;-) >> >>> On 20/05/2016, at 10:56, Ricardo Ferreira <ricardo.ferre...@sotech.com.br> >>> wrote: Senhores, Tenho que implementar uma infra para suporte a Web >>> Services e claro que quero fazer em FreeBSD. Tenho algumas idéias como >>> Apache mais Tomcat por exemplo, dentre outras... mas gostaria de ouvir dos >>> companheiros sugestões, experiências, soluções de segurança, críticas >>> dentre outros detalhes a fim de alimentar o processo decisório....Um >>> detalhe importante é que segurança se impõe sobre todos os outros aspectos. >>> []s Ricardo Ferreira ------------------------- Histórico: >>> http://www.fug.com.br/historico/html/freebsd/ [1] Sair da lista: >>> https://www.fug.com.br/mailman/listinfo/freebsd [2] >> >> -- >> Patrick Tracanelli >> >> FreeBSD Brasil LTDA. >> Tel.: (31) 3516-0800 >> 316...@sip.freebsdbrasil.com.br >> http://www.freebsdbrasil.com.br [4] >> "Long live Hanin Elias, Kim Deal!" >> >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ [1] >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd [2] > > > Links: > ------ > [1] http://www.fug.com.br/historico/html/freebsd/ > [2] https://www.fug.com.br/mailman/listinfo/freebsd > [3] > https://docs.google.com/document/d/1SISJWwrmPoD_bvOnMRwxbVm8o_x_PTJivVvQQTiiLhg/edit?usp=sharing > [4] http://www.freebsdbrasil.com.br > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 316...@sip.freebsdbrasil.com.br http://www.freebsdbrasil.com.br "Long live Hanin Elias, Kim Deal!" ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
