[FUG-BR] Segurança do PPTP para poucos acessos

[Paulo Henrique - BSDs Brasil]

Em 02/05/2016 13:57, Renato Frederick escreveu:
> Sim.
>
> Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota onde você estiver... :)
>
> Claro que no mundo de pedaladas fiscais com IOF sobre o dólar aumentando, deslocar o funcionário a todo momento gasta gasolina(importada…) então acesso remoto é sobrevivência.
>
> Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e feia” ou “ah, ipsec é a glória e unção do nosso senhor na terra nos diais atuais”, ou “ah, eu uso o hardware XPTO que custa milhares de dólares, estou protegido”…. não leva a nada.
>
> Para cada solução apresentada, teremos pontos fortes e fracos.
>
> Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o login root, senha 1234, porque até isto é melhor que pptp…
Renato,

Pode ser por falta de conhecimento de minha parte, mas não conheço 
qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter 
falhas de segurança qualquer software está sujeito a isso e o OpenSSH 
não será excessão.

Quanto a ponta remota ela sempre será o elo fraco da segurança pois não 
terá os mesmos recursos de acesso como os implementados nos IDCs.
Sempre fui relutante em disponibilizar VPN para infraestrutura pois é 
uma ramificação da infraestrutura que estará sem supervisão, contudo 
antes você usar uma VPN do que ir para um redirecionamento de TS direto 
para uma estação de um funcionário ( sim já usei isso no passado, não 
nego, mas posteriormente foi adotado o acesso via TS sobre openvpn, 
melhor ter mais uma autenticação e uns palavrões dos usuários finais do 
que estar com um servidor TS exposto ).
Outro lado ruim de VPN é que worms irão passar pelo FW/IDS/IPS caso o 
concentrador esteja após estes.

Att.

>
>
> ———
> Renato Frederick
> Consultor em TI
> http://about.me/renatofrederick
> Skype: renatofrederick
> +55 31 99123 - 3006
> +55 31 2523 - 0686
>
> De: Ricardo Ferreira <ricardo.ferreira em sotech.com.br>
> Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd em fug.com.br>
> Data: 2 de maio de 2016 at 12:52:37
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd em fug.com.br>
> Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos
>
> O colega tem razão quando fala do POWa um passo a frente dos gestores da empresa, ERBOX e é por isso que adotamos a
> seguinte solução. Meu cenário consiste de um MPLS de 256Kbps conectado
> entre minha casa e a empresa pois é somente a partir de determinado IP
> que se pode efetuar o acesso remoto por um requisito de segurança e da
> empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é
> criptografado usando STUNNEL e autenticação via SO. Se preciso acessar
> de fora via Internet tenho que acessar minha casa e de lá para a
> empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via
> VPN com autenticação via smartcard para prosseguir. Tem que haver um
> compromisso entre segurança e custos de operação e a tecnologia está aí
> para isso. Na verdade a solução arquitetada por cada empresa para
> permitir o acesso remoto a seus recursos por funcionários qualificados
> deve seguir uma política rígida e séria para ter sucesso e evitar a
> ocorrência de incidentes. Mas tenho que confessar sem acesso remoto
> minha empresa não existiria.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-- 
:UNI><BSD:

Paulo Henrique.
UnixBSD Tecnologia
Segurança em Tecnologia da Informação.
Fone: (21) 96713-5042 / (21) 3708-9388
Site: https://www.unixbsd.com.br

-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: paulo_rddck.vcf
Tipo: text/x-vcard
Tamanho: 212 bytes
Descrição: não disponível
URL: <http://www.fug.com.br/historico/html/freebsd/attachments/20160502/bcadd704/attachment.vcf>