Há mais de 10 anos que trabalho dando suporte à produtos web como Apache, WebLogic, WebSphere, JBoss, TomCat, GlassFish, Nginx, Varnish e tantos outros. Por isso o meu espanto quanto o livro Securing WebLogic Server 12c.
Peguei cada bucha nas empresas em que passei que me ensinaram uma coisa – o produto sempre dá pau nas piores horas e momentos.
Acabou que segurança em aplicações WEB se tornou um tema necessário de aprendizado, já que sofremos os mais diferentes tipos de ataques no nosso dia a dia.
Por isso que trabalhamos pesquisando sobre o assunto, divulgando e estudando novas vulnerabilidades no time em que trabalho.
Para minha supresa, quero dizer, nossa, a Packt Publishing lançará um livro com o tema Securing WebLogic Server 12c.
E por que a supresa ? Demos uma olhada no draft de alguns de seus capítulos, e chegamos na seguinte conclusão – O autor deixou passar uma série de pontos, já que focou na segurança da aplicação e não do produto ou em sua infra.
Então, ele deveria ter utilizado outro título em seu livro, como exemplo – Segurança em aplicações que rodam no WebLogic Server 12c.
Hardening
Um dos pontos mais discutidos em nossas reuniões é o Hardening de Servidores, e este tema merece uma série de tópicos, principalmente quando o assunto envolve um servidor aplicacional JAVA, como é o caso do WebLogic:
Os parâmetros para assegurar um servidor dependerão dos seguintes fatores:
- Se ele é virtualizado ou não – há parâmetros de memória e controle da pilha tcp/ip que diferem do mundo físico para o virtualizado
- Qual é o tipo de aplicação que rodará no servidor ? – PHP – daí ela pede um hardening utilizando o PHP Suhosin, por exemplo.
- Funcionando como um proxy reverso – Apache + Jboss ou GlassFish ou WebSphere ou WebLogic, que pede um outro tipo de hardening.
- Se o servidor ficará na DMZ ou como BackEnd
- Se utilizará SELinux ou outra solução, como o TOMOYO
- Linux ou Windows (a encrenca do IIS) – Conseguimos parametrizar mias um apache ou nginx do que um IIS
- O servidor é compartilhado, VPS, Web Hosting – isso é muito importante, pois uma invasão em um host compartilhado afeta todos os sites hospedados nele.
- Lembrem-se do problema do DCLabs e do próprio Coruja de TI.
- Servidores aplicacionais java ficam fora da DMZ e respondem pelo conteúdo dinâmico de seus ambientes. Essa é a melhor prática a ser adotada.
- Toda a parte de suporte a conteúdo estático fica a cargo do Apache e derivados (Nginx, IIS e tantos outros). Sendo o Cache, seja um f5 bigip LTM ou um varnish, uma ferramenta de extrema importância que serve para desonerar os servidores – processamento e memória, principalmente.
O WebLogic possui um pequeno conjunto de parâmetros para aumentar a sua segurança, como Timeout, controle de sessões e tentativas de login mal sucedidos. Isso porque ele não foi concebido para ficar como backend. Esse é o papel do Web Server, como já dito anteriormente.
Até o curso de segurança para o WebLogic diz isso, que o produto possui poucos parâmetros para assegurá-lo divido ao seu posicionamento junto a infraestrutura.
Dica ao autor do livro
Adicionar um capítulo sobre o hardening de infra, focando em sun solaris e linux redhat – as distribuições de S.O. mais utilizadas para suportar o WebLogic.
Um capítulo dedicado ao Apache e outro ao IIS seriam interessantes.
Não dá para falar sobre o Nginx porque ele não é homologado pela Oracle, dona do produto, e nem possui o módulo de proxy reverso/weblogic para ele. 🙁
Mas o F5 BIG LTM e o Varnish também merecem um capítulo a parte. Já me safei de cada problema utilizando-os. 🙂
Em resumo, o livro teria mais de 100 páginas, com certeza.. 🙂
Atualização:
Acabei descobrindo que o autor deste livro simplesmente transcreveu o conteúdo da própria oracle para ele, mas cometeu o mesmo erro que a Oracle. Esqueceu de adicionar a parte de infra.. 🙁
RT @gustcol: Securing WebLogic Server 12c — mas hein ?!: http://t.co/1y99SiN0
Gustavo, o link para o manual do F5 Big está apontando para seu próprio site:
https://blog.corujadeti.com.br/securing-weblogic-server-12c-mas-hein/www.f5.com/pdf/deployment-guides/f5-weblogic-dg.pdfShare
ao invés de:
http://www.f5.com/pdf/deployment-guides/f5-weblogic-dg.pdf
Abraços,