[FUG-BR] =?utf-8?Q?Seguran=C3=A7a_?=do PPTP para poucos acessos
Renato Frederick
renato em frederick.eti.br
Segunda Maio 2 15:14:28 BRT 2016
Paulo, voce pegou meu ponto.
É que não adianta muito discutir o que usar, porque a ponta remota sempre vai ser a parte fraca.
Por ex, eu uso openvpn aqui no meu note(um OSX). Mas tive que resolver uma pendência particular a 30min. Eu o fechei.
Ao abrir, pede minha senha. Mas nestes 30min dava com certeza para um atacante fantasiado de funcionário dar um reboot, iniciar o OSX em recuperação e por um malware no meu startup.
OK, eu estou falho em não encriptar meu disco, etc….
Quanto ao acesso RDP, acredita que já fui “intimado” pelo dono da empresa, algo do tipo “não gostei, tenho que clicar agora em 2 locais(van + RDP), volta do jeito que estava antes”… do tipo.. volta agora ou acho quem o faça(bilhete azul).
———
Renato Frederick
Consultor em TI
http://about.me/renatofrederick
Skype: renatofrederick
+55 31 99123 - 3006
+55 31 2523 - 0686
De: Paulo Henrique - BSDs Brasil <paulo.rddck em bsd.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd em fug.com.br>
Data: 2 de maio de 2016 at 14:28:59
Para: freebsd em fug.com.br <freebsd em fug.com.br>
Assunto: Re: [FUG-BR] Segurança do PPTP para poucos acessos
Em 02/05/2016 13:57, Renato Frederick escreveu:
> Sim.
>
> Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota onde você estiver... :)
>
> Claro que no mundo de pedaladas fiscais com IOF sobre o dólar aumentando, deslocar o funcionário a todo momento gasta gasolina(importada…) então acesso remoto é sobrevivência.
>
> Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e feia” ou “ah, ipsec é a glória e unção do nosso senhor na terra nos diais atuais”, ou “ah, eu uso o hardware XPTO que custa milhares de dólares, estou protegido”…. não leva a nada.
>
> Para cada solução apresentada, teremos pontos fortes e fracos.
>
> Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o login root, senha 1234, porque até isto é melhor que pptp…
Renato,
Pode ser por falta de conhecimento de minha parte, mas não conheço
qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter
falhas de segurança qualquer software está sujeito a isso e o OpenSSH
não será excessão.
Quanto a ponta remota ela sempre será o elo fraco da segurança pois não
terá os mesmos recursos de acesso como os implementados nos IDCs.
Sempre fui relutante em disponibilizar VPN para infraestrutura pois é
uma ramificação da infraestrutura que estará sem supervisão, contudo
antes você usar uma VPN do que ir para um redirecionamento de TS direto
para uma estação de um funcionário ( sim já usei isso no passado, não
nego, mas posteriormente foi adotado o acesso via TS sobre openvpn,
melhor ter mais uma autenticação e uns palavrões dos usuários finais do
que estar com um servidor TS exposto ).
Outro lado ruim de VPN é que worms irão passar pelo FW/IDS/IPS caso o
concentrador esteja após estes.
Att.
>
>
> ———
> Renato Frederick
> Consultor em TI
> http://about.me/renatofrederick
> Skype: renatofrederick
> +55 31 99123 - 3006
> +55 31 2523 - 0686
>
> De: Ricardo Ferreira <ricardo.ferreira em sotech.com.br>
> Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd em fug.com.br>
> Data: 2 de maio de 2016 at 12:52:37
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd em fug.com.br>
> Assunto: Re: [FUG-BR] Segurança do PPTP para poucos acessos
>
> O colega tem razão quando fala do POWa um passo a frente dos gestores da empresa, ERBOX e é por isso que adotamos a
> seguinte solução. Meu cenário consiste de um MPLS de 256Kbps conectado
> entre minha casa e a empresa pois é somente a partir de determinado IP
> que se pode efetuar o acesso remoto por um requisito de segurança e da
> empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é
> criptografado usando STUNNEL e autenticação via SO. Se preciso acessar
> de fora via Internet tenho que acessar minha casa e de lá para a
> empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via
> VPN com autenticação via smartcard para prosseguir. Tem que haver um
> compromisso entre segurança e custos de operação e a tecnologia está aí
> para isso. Na verdade a solução arquitetada por cada empresa para
> permitir o acesso remoto a seus recursos por funcionários qualificados
> deve seguir uma política rígida e séria para ter sucesso e evitar a
> ocorrência de incidentes. Mas tenho que confessar sem acesso remoto
> minha empresa não existiria.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
--
:UNI><BSD:
Paulo Henrique.
UnixBSD Tecnologia
Segurança em Tecnologia da Informação.
Fone: (21) 96713-5042 / (21) 3708-9388
Site: https://www.unixbsd.com.br
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd