[FUG-BR] Segurança do PPTP para poucos acessos

Ricardo Ferreira ricardo.ferreira em sotech.com.br
Quinta Abril 28 15:40:06 BRT 2016 

Em 28/04/2016 14:29, Ze Claudio Pastore escreveu:
> Esquece PPTP se segurança realmente importa.
>
> PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é uma
> falha, ele é a falha, não da pra corrigir porque é como é simplesmente por
> ser. Outra afirmação errada é falar que PPTP tem baixa segurança. Mentira,
> pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.
>
> Quanto ao número de pessoas acessando também importa pouco, o que conta é a
> relevância daquela pessoa ainda que seja só uma, e qual a exposição dela ao
> risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
> inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no final
> das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
> não tem nenhum ganho de fato.
>
> Isso você realmente quer segurança use VPN de verdade.
>
> E VPN de verdade não inclui OpenVPN com suas heranças de falhas de OpenSSL,
> ataques de renegotiate e tantas outras falhas que em geral afetam tudo que
> é tunelado sobre SSL (não apenas HTTPS).
>
> Vá de IPSEC ou L2TP+IPSec.
>
> O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).
>
>
>
> Em 28 de abril de 2016 13:51, Paulo Henrique <paulo.rddck em bsd.com.br>
> escreveu:
>
>> Em 28 de abril de 2016 09:37, Tales Rodarte <talesrodarte em gmail.com>
>> escreveu:
>>
>>> Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:
>>>
>>>> Olá lista!!!
>>>> Eu preciso implementar um servidor de VPN aqui no provedor onde trabalho
>>>> para acesso externos aos equipamentos etc.
>>>> Hoje quando preciso, faço tunel SSH, mas não é nada prático.
>>>> Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
>>>> muitos bugs, que a segurança do PPTP é falha, etc...
>>>> Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar
>>>> essa
>>>> VPN, e algumas estão meio resistentes à ter que configurar openvpn,
>>>> certificados e tudo mais, usuário mais leigo, sendo que um PPTP qualquer
>>>> windão configura facil.
>>>>
>>>> Bem, gostaria da opinião dos senhores quanto à essa implantação do PPTP,
>>>> realmente estou colocando a minha rede em risco? Tenho realmente que
>> tacar
>>>> um openvpn? e se o chefe estiver viajando e em outro PC, e quiser
>> acessar
>>>> algo aqui? não levou os certificados e tudo mais...
>>>>
>>>> Bem, qualquer ajuda é bem vinda.
>>>>
>>>> Obrigado.
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>> Olá Thiago,
>>>
>>> Na minha opinião segurança nunca é demais.
>>> O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de
>>> conf. e automatizar o processo.
>>> Outra opção que pode considerar é o L2TP.
>>>
>>> --
>>> Tales
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>> E Usuário tem algum direito de opinar quanto a infraestrutura de TI e
>> segurança ?
>> Cara, na hora que a merda acontecer eles não vão querer lembrar que foi por
>> "PREGUIÇA" deles que você utilizou uma solução com sérios problemas de
>> segurança já relatados.
>> Usuário não tem que dar palpite em nada quando o assunto é segurança,
>> qualquer coisa pede para eles instalarem um gerenciador de desktop remoto e
>> você mesmo acessa e configura o openvpn ou o IPSec no cliente.
>> Não cede a preguiça do usuário, implanta o que irá garantir segurança e
>> integridade na infraestrutura, e lembra-se que a estação do usuário também
>> entrará no escopo de politica de segurança da infra, se a mesma estiver
>> infectada com algum worm com a VPN é um pulo para este chegar a
>> infraestrutura da empresa.
>>
>> Att. Paulo Henrique.
>>
>> --
>> :UNI><BSD:
>> Paulo Henrique.
>> Fone: (21) 37089388.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Vou te dar uma dica de meu cenário de produção:

OpenVPN: usuários: 2500 - IPSEC: 100 redes -IPSEC+L2TP: 30 usuários 
todos rodando sob FreeBSD 9.3, OpenBSD 5.8 e FreeBSD 10

O nível de segurança exigido aqui é bem alto e demandando auditorias de 
segurança especializadas de forma regular e criptografia robusta e 
eficaz é a menina dos olhos.
Com relação ao OpenVPN discordo um pouco da posição crítica colocada 
pois é possível oferecer pleno suporte ao protocolo TLS 1.2, eliminado 
assim o uso do SSL e mesmo dos protcolos TLS 1.0 e 1.1 e utilizando 
cifras eficientes e robustas como ECDHE-RSA-AES256-SHA512, por exemplo e 
afinando as configurações tanto do lado do servidor como do cliente de 
forma a suportar todos os recursos mais avançados oferecidos pela 
biblioteca OpenSSL, eliminando o uso de suas vulnerabilidades e claro um 
requisto super importante que é o de somente poder fazer parte deste 
ecossistema ( clientes, recursos e serviços)  que suportem os requisitos 
de segurança estabelecidos como uso de autoridade certificadora (CA) 
própria, lista de revogação de certificados em tempo real, certificados 
digitais com tamanho superior a 3072 bits, uso de Perfect Forward Secret 
com chaves de pelo menos 4096 bits, SHA256, SHA384 ou SHA512  dentre 
outros recursos como AEAD por exemplo. Dá um pouco de trabalho mas 
permite com que tablets, smartphones, pcs etc possam se conectar 
mantendo-se um padrão de segurança alto e rigoroso aqui na empresa para 
suporte a mais de 3000 usuários.
Com relação ao IPSEC, desnecessário falar de suas virtudes lembrando que 
o importante é de novo as cifras utilizadas tanto para a fase 1 como 
para a fase 2 observando tamanho das chaves, certificados, enfim....
A combinação L2TP+IPSEC é boa mas na hora de um suporte é muito difícil 
não transferirem para o nível 2 ou nível 3 logo de cara por conta da 
complexidade intrínseca.
PPTP esqueça! Nem para testes pois não vale a pena.
Ir de IPSEC tem suas vantagens mas a curva de aprendizado é um pouco 
mais íngreme. Com OpenVPN a curva de aprendizado é mais suave e com a 
vantagem de que vc pode ir aumentando o nível de segurança com o passar 
do tempo à medida que vc domina o processo.. E lembrando ainda que se vc 
não quiser usar o OpenSSL é possível usar o PolarSSL e recompilar o 
OpenVPN e mesmo o LibreSSL e assim ter mais confiança no processo. Uma 
última dica lembro apenas que se o requisito é prover segurança no uso 
dos recursos não pode afrouxar as regras por conta do famoso protocolo 
legado ( browser, aplicações e sistemas operacionais) com um histórico 
negativo de vulnerabilidades. Segurança fim a fim é o único modelo que 
garante que seu ecossistema ( usuários, recursos e serviços)  está sob 
seu controle ou ao menos grande parte dele.

Boa sorte e se precisar e ajuda posta ai as dúvidas!

Mais detalhes sobre a lista de discussão freebsd