Securing WebLogic Server 12c — mas hein ?!

Há mais de 10 anos que trabalho dando suporte à produtos web como Apache, WebLogic, WebSphere, JBoss, TomCat, GlassFish, Nginx, Varnish e tantos outros. Por isso o meu espanto quanto o livro Securing WebLogic Server 12c.

Peguei cada bucha nas empresas em que passei que me ensinaram uma coisa – o produto sempre dá pau nas piores horas e momentos.

Acabou que segurança em aplicações WEB se tornou um tema necessário de aprendizado, já que sofremos os mais diferentes tipos de ataques no nosso dia a dia.

Por isso que trabalhamos pesquisando sobre o assunto, divulgando e estudando novas vulnerabilidades no time em que trabalho.

Para minha supresa, quero dizer, nossa, a Packt Publishing lançará um livro com o tema Securing WebLogic Server 12c.

E por que a supresa ? Demos uma olhada no draft de alguns de seus capítulos, e chegamos na seguinte conclusão – O autor deixou passar uma série de pontos, já que focou na segurança da aplicação e não do produto ou em sua infra.

Então, ele deveria ter utilizado outro título em seu livro, como exemplo – Segurança em aplicações que rodam no WebLogic Server 12c.

Hardening

Um dos pontos mais discutidos em nossas reuniões é o Hardening de Servidores, e este tema merece uma série de tópicos, principalmente quando o assunto envolve um servidor aplicacional JAVA, como é o caso do WebLogic:

Os parâmetros para assegurar um servidor dependerão dos seguintes fatores:

• Se ele é virtualizado ou não – há parâmetros de memória e controle da pilha tcp/ip que diferem do mundo físico para o virtualizado
• Qual é o tipo de aplicação que rodará no servidor ? – PHP – daí ela pede um hardening utilizando o PHP Suhosin, por exemplo.
  • Funcionando como um proxy reverso – Apache + Jboss ou GlassFish ou WebSphere ou WebLogic, que pede um outro tipo de hardening.
• Se o servidor ficará na DMZ ou como BackEnd
• Se utilizará SELinux ou outra solução, como o TOMOYO
• Linux ou Windows (a encrenca do IIS) – Conseguimos parametrizar mias um apache ou nginx do que um IIS
• O servidor é compartilhado, VPS, Web Hosting – isso é muito importante, pois uma invasão em um host compartilhado afeta todos os sites hospedados nele.
  • Lembrem-se do problema do DCLabs e do próprio Coruja de TI.
• Servidores aplicacionais java ficam fora da DMZ e respondem pelo conteúdo dinâmico de seus ambientes. Essa é a melhor prática a ser adotada.
•  Toda a parte de suporte a conteúdo estático fica a cargo do Apache e derivados (Nginx, IIS e tantos outros). Sendo o Cache, seja um f5 bigip LTM ou um varnish, uma ferramenta de extrema importância que serve para desonerar os servidores – processamento e memória, principalmente.

O WebLogic possui um pequeno conjunto de parâmetros para aumentar a sua segurança, como Timeout, controle de sessões e tentativas de login mal sucedidos. Isso porque ele não foi concebido para ficar como backend. Esse é o papel do Web Server, como já dito anteriormente.

Até o curso de segurança para o WebLogic diz isso, que o produto possui poucos parâmetros para assegurá-lo divido ao seu posicionamento junto a infraestrutura.

Dica ao autor do livro

Adicionar um capítulo sobre o hardening de infra, focando em sun solaris e linux redhat – as distribuições de S.O. mais utilizadas para suportar o WebLogic.

Um capítulo dedicado ao Apache e outro ao IIS seriam interessantes.

Não dá para falar sobre o Nginx porque ele não é homologado pela Oracle, dona do produto, e nem possui o módulo de proxy reverso/weblogic para ele. 🙁

Mas o F5 BIG LTM e o Varnish também merecem um capítulo a parte. Já me safei de cada problema utilizando-os. 🙂

Em resumo, o livro teria mais de 100 páginas, com certeza.. 🙂

Atualização:

Acabei descobrindo que o autor deste livro simplesmente transcreveu o conteúdo da própria oracle para ele, mas cometeu o mesmo erro que a Oracle. Esqueceu de adicionar a parte de infra.. 🙁