[FUG-BR] Segurança do PPTP para poucos acessos
Paulo Henrique
paulo.rddck em bsd.com.br
Sexta Abril 29 01:38:04 BRT 2016
Em 29 de abril de 2016 01:03, Evandro Nunes <evandronunes12 em gmail.com>
escreveu:
> openvpn e' seguro ate que se diga o contrario, e com tanto que bem
> configurado
> o problema e que se diz o contrario com muita frequencia, 9/10 falhas que
> afetam openssl/https afetam o openvpn, ate falhas externas, como
> shellshock, afetaram-no, sem falar de heart bleed, renegotiation, mitm
> diversos, etc, etc
>
> acho que os pontos delimitados pelo ricardo ferreira deixam claro isso, pro
> openvpn ser confiavel requer bastante esforco, abrir mao de psk, entregar
> certificados offband (sem configuration pull) somados com passphrase local
> numa relacao 1:1 com servidor, garantir autenticidade mutua (cliente
> autentica servidor, nao so servidor autentica cliente), compilar com
> polarssl (libressl e uma boa mas novo, entao usa-lo pode significar abrir
> mao de algum recurso pelo que li)
>
> ou seja o ricardo e' um cara de seguranca, de uma empresa onde seguranca e'
> o negocio fim, tem um belo checklist de hardening e esperamos um bom
> processo de validacao/auditoria da base instalada pra garantir que o
> hardening que a organizacao definiu como baseline pra compliance interno e
> de terceiros esteja sendo cumprido (auditoria)
>
> pros outros 99% dos usuarios normais, sobem de qualquer jeito com o
> primeiro how-to que funcionar, invariavelmente com cifradores frageis,
> passphrase, com renegotiate ligado permitindo mitm, chaves fracas, sem
> elipitic curve, etc
>
> ainda assim, se pegar o e-mail do ricardo e transformar em checklist,
> estara seguro ate que se descubra o proximo 0-day do openvpn ou do ssl/tls
> (especificacao) ou de uma lib usada (openssl, polarssl), e ai correr atras
> de patchear servidores e invariavelmente tambem clientes, etc, etc
>
> eu vou de IKEv2 ou L2TP+IPSec, e OpenVPN so' se for com certificados +
> entrega offband + PFS, e mesmo assim um olho no gato outro no peixe....
>
> otima discussao parabens aos envolvidos
>
> sobre PPTP acho que ja ficou claro ne? esquece! rsrsrs
>
>
>
>
> 2016-04-28 15:40 GMT-03:00 Ricardo Ferreira <
> ricardo.ferreira em sotech.com.br>
> :
>
> >
> > Em 28/04/2016 14:29, Ze Claudio Pastore escreveu:
> >
> >> Esquece PPTP se segurança realmente importa.
> >>
> >> PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é
> >> uma
> >> falha, ele é a falha, não da pra corrigir porque é como é simplesmente
> por
> >> ser. Outra afirmação errada é falar que PPTP tem baixa segurança.
> Mentira,
> >> pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.
> >>
> >> Quanto ao número de pessoas acessando também importa pouco, o que conta
> é
> >> a
> >> relevância daquela pessoa ainda que seja só uma, e qual a exposição dela
> >> ao
> >> risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
> >> inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no
> final
> >> das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
> >> não tem nenhum ganho de fato.
> >>
> >> Isso você realmente quer segurança use VPN de verdade.
> >>
> >> E VPN de verdade não inclui OpenVPN com suas heranças de falhas de
> >> OpenSSL,
> >> ataques de renegotiate e tantas outras falhas que em geral afetam tudo
> que
> >> é tunelado sobre SSL (não apenas HTTPS).
> >>
> >> Vá de IPSEC ou L2TP+IPSec.
> >>
> >> O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).
> >>
> >>
> >>
> >> Em 28 de abril de 2016 13:51, Paulo Henrique <paulo.rddck em bsd.com.br>
> >> escreveu:
> >>
> >> Em 28 de abril de 2016 09:37, Tales Rodarte <talesrodarte em gmail.com>
> >>> escreveu:
> >>>
> >>> Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:
> >>>>
> >>>> Olá lista!!!
> >>>>> Eu preciso implementar um servidor de VPN aqui no provedor onde
> >>>>> trabalho
> >>>>> para acesso externos aos equipamentos etc.
> >>>>> Hoje quando preciso, faço tunel SSH, mas não é nada prático.
> >>>>> Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que
> tem
> >>>>> muitos bugs, que a segurança do PPTP é falha, etc...
> >>>>> Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai
> acessar
> >>>>> essa
> >>>>> VPN, e algumas estão meio resistentes à ter que configurar openvpn,
> >>>>> certificados e tudo mais, usuário mais leigo, sendo que um PPTP
> >>>>> qualquer
> >>>>> windão configura facil.
> >>>>>
> >>>>> Bem, gostaria da opinião dos senhores quanto à essa implantação do
> >>>>> PPTP,
> >>>>> realmente estou colocando a minha rede em risco? Tenho realmente que
> >>>>>
> >>>> tacar
> >>>
> >>>> um openvpn? e se o chefe estiver viajando e em outro PC, e quiser
> >>>>>
> >>>> acessar
> >>>
> >>>> algo aqui? não levou os certificados e tudo mais...
> >>>>>
> >>>>> Bem, qualquer ajuda é bem vinda.
> >>>>>
> >>>>> Obrigado.
> >>>>> -------------------------
> >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>>
> >>>>> Olá Thiago,
> >>>>
> >>>> Na minha opinião segurança nunca é demais.
> >>>> O OpenVPN é bem prático. Você pode criar um instalador com o arquivo
> de
> >>>> conf. e automatizar o processo.
> >>>> Outra opção que pode considerar é o L2TP.
> >>>>
> >>>> --
> >>>> Tales
> >>>>
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>> E Usuário tem algum direito de opinar quanto a infraestrutura de TI e
> >>> segurança ?
> >>> Cara, na hora que a merda acontecer eles não vão querer lembrar que foi
> >>> por
> >>> "PREGUIÇA" deles que você utilizou uma solução com sérios problemas de
> >>> segurança já relatados.
> >>> Usuário não tem que dar palpite em nada quando o assunto é segurança,
> >>> qualquer coisa pede para eles instalarem um gerenciador de desktop
> >>> remoto e
> >>> você mesmo acessa e configura o openvpn ou o IPSec no cliente.
> >>> Não cede a preguiça do usuário, implanta o que irá garantir segurança e
> >>> integridade na infraestrutura, e lembra-se que a estação do usuário
> >>> também
> >>> entrará no escopo de politica de segurança da infra, se a mesma estiver
> >>> infectada com algum worm com a VPN é um pulo para este chegar a
> >>> infraestrutura da empresa.
> >>>
> >>> Att. Paulo Henrique.
> >>>
> >>> --
> >>> :UNI><BSD:
> >>> Paulo Henrique.
> >>> Fone: (21) 37089388.
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >> Vou te dar uma dica de meu cenário de produção:
> >
> > OpenVPN: usuários: 2500 - IPSEC: 100 redes -IPSEC+L2TP: 30 usuários todos
> > rodando sob FreeBSD 9.3, OpenBSD 5.8 e FreeBSD 10
> >
> > O nível de segurança exigido aqui é bem alto e demandando auditorias de
> > segurança especializadas de forma regular e criptografia robusta e
> eficaz é
> > a menina dos olhos.
> > Com relação ao OpenVPN discordo um pouco da posição crítica colocada pois
> > é possível oferecer pleno suporte ao protocolo TLS 1.2, eliminado assim o
> > uso do SSL e mesmo dos protcolos TLS 1.0 e 1.1 e utilizando cifras
> > eficientes e robustas como ECDHE-RSA-AES256-SHA512, por exemplo e
> afinando
> > as configurações tanto do lado do servidor como do cliente de forma a
> > suportar todos os recursos mais avançados oferecidos pela biblioteca
> > OpenSSL, eliminando o uso de suas vulnerabilidades e claro um requisto
> > super importante que é o de somente poder fazer parte deste ecossistema (
> > clientes, recursos e serviços) que suportem os requisitos de segurança
> > estabelecidos como uso de autoridade certificadora (CA) própria, lista de
> > revogação de certificados em tempo real, certificados digitais com
> tamanho
> > superior a 3072 bits, uso de Perfect Forward Secret com chaves de pelo
> > menos 4096 bits, SHA256, SHA384 ou SHA512 dentre outros recursos como
> AEAD
> > por exemplo. Dá um pouco de trabalho mas permite com que tablets,
> > smartphones, pcs etc possam se conectar mantendo-se um padrão de
> segurança
> > alto e rigoroso aqui na empresa para suporte a mais de 3000 usuários.
> > Com relação ao IPSEC, desnecessário falar de suas virtudes lembrando que
> o
> > importante é de novo as cifras utilizadas tanto para a fase 1 como para a
> > fase 2 observando tamanho das chaves, certificados, enfim....
> > A combinação L2TP+IPSEC é boa mas na hora de um suporte é muito difícil
> > não transferirem para o nível 2 ou nível 3 logo de cara por conta da
> > complexidade intrínseca.
> > PPTP esqueça! Nem para testes pois não vale a pena.
> > Ir de IPSEC tem suas vantagens mas a curva de aprendizado é um pouco mais
> > íngreme. Com OpenVPN a curva de aprendizado é mais suave e com a vantagem
> > de que vc pode ir aumentando o nível de segurança com o passar do tempo à
> > medida que vc domina o processo.. E lembrando ainda que se vc não quiser
> > usar o OpenSSL é possível usar o PolarSSL e recompilar o OpenVPN e mesmo
> o
> > LibreSSL e assim ter mais confiança no processo. Uma última dica lembro
> > apenas que se o requisito é prover segurança no uso dos recursos não pode
> > afrouxar as regras por conta do famoso protocolo legado ( browser,
> > aplicações e sistemas operacionais) com um histórico negativo de
> > vulnerabilidades. Segurança fim a fim é o único modelo que garante que
> seu
> > ecossistema ( usuários, recursos e serviços) está sob seu controle ou ao
> > menos grande parte dele.
> >
> > Boa sorte e se precisar e ajuda posta ai as dúvidas!
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Bom, apenas ampliando a discussão e colocando mais informações para fins de
enriquecimento do histórico da lista.
Com relação a 0-day nem mesmo o IPSec está ileso a 0-day, conforme é
discutido aqui [1].
Quanto a experiência que tenho com o OpenVPN, há forma de mitigar o impacto
em caso e 0-day.
Como todos os ambientes que o utilizei são pequenos, nem comparado ao do
Ricardo, sempre adotei o pratica de usar tanto chaves assimétricas +
password junto fom regras de firewall limitando o acesso do mesmo.
Cheguei a analisar em subir um tunel sobre o SSH e dentro do ssh usar o
OpenVPN, funciona muito bem em Unix/Linux contudo quando se coloca o
Windows no meios complicou muito a configuração e desisti, além também de
impactar significativamente na performance mesmo usando zlib para compactar
o tunel do SSH.
Ainda mantenho o tunnel SSH para conectar a minha estação a partir do meu
notebook, pois passei a confiar muito mais no SSH ao longo dos anos do que
no OpenVPN, acho que é reflexo do projeto de origem do SSH que tornal ele
muito mais robusto e com um indice de vunerabilidade muito menor que o
proprio OpenVPN/SSL
[1] - https://www.altsci.com/ipsec/
Att. Paulo Henrique.
--
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.
Mais detalhes sobre a lista de discussão freebsd