[FUG-BR] Segurança do PPTP para poucos acessos

Evandro Nunes evandronunes12 em gmail.com
Sexta Abril 29 01:03:41 BRT 2016 

openvpn e' seguro ate que se diga o contrario, e com tanto que bem
configurado
o problema e que se diz o contrario com muita frequencia, 9/10 falhas que
afetam openssl/https afetam o openvpn, ate falhas externas, como
shellshock, afetaram-no, sem falar de heart bleed, renegotiation, mitm
diversos, etc, etc

acho que os pontos delimitados pelo ricardo ferreira deixam claro isso, pro
openvpn ser confiavel requer bastante esforco, abrir mao de psk, entregar
certificados offband (sem configuration pull) somados com passphrase local
numa relacao 1:1 com servidor, garantir autenticidade mutua (cliente
autentica servidor, nao so servidor autentica cliente), compilar com
polarssl (libressl e uma boa mas novo, entao usa-lo pode significar abrir
mao de algum recurso pelo que li)

ou seja o ricardo e' um cara de seguranca, de uma empresa onde seguranca e'
o negocio fim, tem um belo checklist de hardening e esperamos um bom
processo de validacao/auditoria da base instalada pra garantir que o
hardening que a organizacao definiu como baseline pra compliance interno e
de terceiros esteja sendo cumprido (auditoria)

pros outros 99% dos usuarios normais, sobem de qualquer jeito com o
primeiro how-to que funcionar, invariavelmente com cifradores frageis,
passphrase, com renegotiate ligado permitindo mitm, chaves fracas, sem
elipitic curve, etc

ainda assim, se pegar o e-mail do ricardo e transformar em checklist,
estara seguro ate que se descubra o proximo 0-day do openvpn ou do ssl/tls
(especificacao) ou de uma lib usada (openssl, polarssl), e ai correr atras
de patchear servidores e invariavelmente tambem clientes, etc, etc

eu vou de IKEv2 ou L2TP+IPSec, e OpenVPN so' se for com certificados +
entrega offband + PFS, e mesmo assim um olho no gato outro no peixe....

otima discussao parabens aos envolvidos

sobre PPTP acho que ja ficou claro ne? esquece! rsrsrs




2016-04-28 15:40 GMT-03:00 Ricardo Ferreira <ricardo.ferreira em sotech.com.br>
:

>
> Em 28/04/2016 14:29, Ze Claudio Pastore escreveu:
>
>> Esquece PPTP se segurança realmente importa.
>>
>> PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é
>> uma
>> falha, ele é a falha, não da pra corrigir porque é como é simplesmente por
>> ser. Outra afirmação errada é falar que PPTP tem baixa segurança. Mentira,
>> pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.
>>
>> Quanto ao número de pessoas acessando também importa pouco, o que conta é
>> a
>> relevância daquela pessoa ainda que seja só uma, e qual a exposição dela
>> ao
>> risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
>> inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no final
>> das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
>> não tem nenhum ganho de fato.
>>
>> Isso você realmente quer segurança use VPN de verdade.
>>
>> E VPN de verdade não inclui OpenVPN com suas heranças de falhas de
>> OpenSSL,
>> ataques de renegotiate e tantas outras falhas que em geral afetam tudo que
>> é tunelado sobre SSL (não apenas HTTPS).
>>
>> Vá de IPSEC ou L2TP+IPSec.
>>
>> O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).
>>
>>
>>
>> Em 28 de abril de 2016 13:51, Paulo Henrique <paulo.rddck em bsd.com.br>
>> escreveu:
>>
>> Em 28 de abril de 2016 09:37, Tales Rodarte <talesrodarte em gmail.com>
>>> escreveu:
>>>
>>> Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:
>>>>
>>>> Olá lista!!!
>>>>> Eu preciso implementar um servidor de VPN aqui no provedor onde
>>>>> trabalho
>>>>> para acesso externos aos equipamentos etc.
>>>>> Hoje quando preciso, faço tunel SSH, mas não é nada prático.
>>>>> Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
>>>>> muitos bugs, que a segurança do PPTP é falha, etc...
>>>>> Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar
>>>>> essa
>>>>> VPN, e algumas estão meio resistentes à ter que configurar openvpn,
>>>>> certificados e tudo mais, usuário mais leigo, sendo que um PPTP
>>>>> qualquer
>>>>> windão configura facil.
>>>>>
>>>>> Bem, gostaria da opinião dos senhores quanto à essa implantação do
>>>>> PPTP,
>>>>> realmente estou colocando a minha rede em risco? Tenho realmente que
>>>>>
>>>> tacar
>>>
>>>> um openvpn? e se o chefe estiver viajando e em outro PC, e quiser
>>>>>
>>>> acessar
>>>
>>>> algo aqui? não levou os certificados e tudo mais...
>>>>>
>>>>> Bem, qualquer ajuda é bem vinda.
>>>>>
>>>>> Obrigado.
>>>>> -------------------------
>>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>>
>>>>> Olá Thiago,
>>>>
>>>> Na minha opinião segurança nunca é demais.
>>>> O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de
>>>> conf. e automatizar o processo.
>>>> Outra opção que pode considerar é o L2TP.
>>>>
>>>> --
>>>> Tales
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>> E Usuário tem algum direito de opinar quanto a infraestrutura de TI e
>>> segurança ?
>>> Cara, na hora que a merda acontecer eles não vão querer lembrar que foi
>>> por
>>> "PREGUIÇA" deles que você utilizou uma solução com sérios problemas de
>>> segurança já relatados.
>>> Usuário não tem que dar palpite em nada quando o assunto é segurança,
>>> qualquer coisa pede para eles instalarem um gerenciador de desktop
>>> remoto e
>>> você mesmo acessa e configura o openvpn ou o IPSec no cliente.
>>> Não cede a preguiça do usuário, implanta o que irá garantir segurança e
>>> integridade na infraestrutura, e lembra-se que a estação do usuário
>>> também
>>> entrará no escopo de politica de segurança da infra, se a mesma estiver
>>> infectada com algum worm com a VPN é um pulo para este chegar a
>>> infraestrutura da empresa.
>>>
>>> Att. Paulo Henrique.
>>>
>>> --
>>> :UNI><BSD:
>>> Paulo Henrique.
>>> Fone: (21) 37089388.
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> Vou te dar uma dica de meu cenário de produção:
>
> OpenVPN: usuários: 2500 - IPSEC: 100 redes -IPSEC+L2TP: 30 usuários todos
> rodando sob FreeBSD 9.3, OpenBSD 5.8 e FreeBSD 10
>
> O nível de segurança exigido aqui é bem alto e demandando auditorias de
> segurança especializadas de forma regular e criptografia robusta e eficaz é
> a menina dos olhos.
> Com relação ao OpenVPN discordo um pouco da posição crítica colocada pois
> é possível oferecer pleno suporte ao protocolo TLS 1.2, eliminado assim o
> uso do SSL e mesmo dos protcolos TLS 1.0 e 1.1 e utilizando cifras
> eficientes e robustas como ECDHE-RSA-AES256-SHA512, por exemplo e afinando
> as configurações tanto do lado do servidor como do cliente de forma a
> suportar todos os recursos mais avançados oferecidos pela biblioteca
> OpenSSL, eliminando o uso de suas vulnerabilidades e claro um requisto
> super importante que é o de somente poder fazer parte deste ecossistema (
> clientes, recursos e serviços)  que suportem os requisitos de segurança
> estabelecidos como uso de autoridade certificadora (CA) própria, lista de
> revogação de certificados em tempo real, certificados digitais com tamanho
> superior a 3072 bits, uso de Perfect Forward Secret com chaves de pelo
> menos 4096 bits, SHA256, SHA384 ou SHA512  dentre outros recursos como AEAD
> por exemplo. Dá um pouco de trabalho mas permite com que tablets,
> smartphones, pcs etc possam se conectar mantendo-se um padrão de segurança
> alto e rigoroso aqui na empresa para suporte a mais de 3000 usuários.
> Com relação ao IPSEC, desnecessário falar de suas virtudes lembrando que o
> importante é de novo as cifras utilizadas tanto para a fase 1 como para a
> fase 2 observando tamanho das chaves, certificados, enfim....
> A combinação L2TP+IPSEC é boa mas na hora de um suporte é muito difícil
> não transferirem para o nível 2 ou nível 3 logo de cara por conta da
> complexidade intrínseca.
> PPTP esqueça! Nem para testes pois não vale a pena.
> Ir de IPSEC tem suas vantagens mas a curva de aprendizado é um pouco mais
> íngreme. Com OpenVPN a curva de aprendizado é mais suave e com a vantagem
> de que vc pode ir aumentando o nível de segurança com o passar do tempo à
> medida que vc domina o processo.. E lembrando ainda que se vc não quiser
> usar o OpenSSL é possível usar o PolarSSL e recompilar o OpenVPN e mesmo o
> LibreSSL e assim ter mais confiança no processo. Uma última dica lembro
> apenas que se o requisito é prover segurança no uso dos recursos não pode
> afrouxar as regras por conta do famoso protocolo legado ( browser,
> aplicações e sistemas operacionais) com um histórico negativo de
> vulnerabilidades. Segurança fim a fim é o único modelo que garante que seu
> ecossistema ( usuários, recursos e serviços)  está sob seu controle ou ao
> menos grande parte dele.
>
> Boa sorte e se precisar e ajuda posta ai as dúvidas!
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd