[FUG-BR] Segurança do PPTP para poucos acessos
Ze Claudio Pastore
zclaudio em bsd.com.br
Quinta Abril 28 14:29:00 BRT 2016
Esquece PPTP se segurança realmente importa.
PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é uma
falha, ele é a falha, não da pra corrigir porque é como é simplesmente por
ser. Outra afirmação errada é falar que PPTP tem baixa segurança. Mentira,
pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.
Quanto ao número de pessoas acessando também importa pouco, o que conta é a
relevância daquela pessoa ainda que seja só uma, e qual a exposição dela ao
risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no final
das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
não tem nenhum ganho de fato.
Isso você realmente quer segurança use VPN de verdade.
E VPN de verdade não inclui OpenVPN com suas heranças de falhas de OpenSSL,
ataques de renegotiate e tantas outras falhas que em geral afetam tudo que
é tunelado sobre SSL (não apenas HTTPS).
Vá de IPSEC ou L2TP+IPSec.
O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).
Em 28 de abril de 2016 13:51, Paulo Henrique <paulo.rddck em bsd.com.br>
escreveu:
> Em 28 de abril de 2016 09:37, Tales Rodarte <talesrodarte em gmail.com>
> escreveu:
>
> > Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:
> >
> >> Olá lista!!!
> >> Eu preciso implementar um servidor de VPN aqui no provedor onde trabalho
> >> para acesso externos aos equipamentos etc.
> >> Hoje quando preciso, faço tunel SSH, mas não é nada prático.
> >> Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
> >> muitos bugs, que a segurança do PPTP é falha, etc...
> >> Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar
> >> essa
> >> VPN, e algumas estão meio resistentes à ter que configurar openvpn,
> >> certificados e tudo mais, usuário mais leigo, sendo que um PPTP qualquer
> >> windão configura facil.
> >>
> >> Bem, gostaria da opinião dos senhores quanto à essa implantação do PPTP,
> >> realmente estou colocando a minha rede em risco? Tenho realmente que
> tacar
> >> um openvpn? e se o chefe estiver viajando e em outro PC, e quiser
> acessar
> >> algo aqui? não levou os certificados e tudo mais...
> >>
> >> Bem, qualquer ajuda é bem vinda.
> >>
> >> Obrigado.
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > Olá Thiago,
> >
> > Na minha opinião segurança nunca é demais.
> > O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de
> > conf. e automatizar o processo.
> > Outra opção que pode considerar é o L2TP.
> >
> > --
> > Tales
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
> E Usuário tem algum direito de opinar quanto a infraestrutura de TI e
> segurança ?
> Cara, na hora que a merda acontecer eles não vão querer lembrar que foi por
> "PREGUIÇA" deles que você utilizou uma solução com sérios problemas de
> segurança já relatados.
> Usuário não tem que dar palpite em nada quando o assunto é segurança,
> qualquer coisa pede para eles instalarem um gerenciador de desktop remoto e
> você mesmo acessa e configura o openvpn ou o IPSec no cliente.
> Não cede a preguiça do usuário, implanta o que irá garantir segurança e
> integridade na infraestrutura, e lembra-se que a estação do usuário também
> entrará no escopo de politica de segurança da infra, se a mesma estiver
> infectada com algum worm com a VPN é um pulo para este chegar a
> infraestrutura da empresa.
>
> Att. Paulo Henrique.
>
> --
> :UNI><BSD:
> Paulo Henrique.
> Fone: (21) 37089388.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd