[FUG-BR] Segurança do PPTP para poucos acessos

Ricardo Ferreira ricardo.ferreira em sotech.com.br
Segunda Maio 2 15:10:35 BRT 2016 

Na verdade um cenário perfeito não existe ou ao menos não é possível no 
meu cenário. Segurança fim a fim é que devemos buscar mas nem sempre 
será possível. O que fazemos é uma análise de risco criteriosa onde se 
identificam a que vulnerabilidades estamos expostos e o grau de risco a 
que nos submeteríamos caso prosseguíssemos. Em muitos casos a decisão é 
se voltar pra casa quando a análise assim o determina e de lá se efetuar 
o acesso ou deixar o equipamento ligado em casa e através de uma 
ferramenta de controle remoto efetuar-se o acesso. Mais ou menos como 
descrito pelo colega quando recomendou a ida à empresa. Risco sempre vai 
existir . O que buscamos é sempre disciplinar o acesso, analisando-se os 
riscos e decidindo conforme este critério mas definitivamente se 
deslocar a qualquer um dos dacatenters está fora de questão.


Atenciosamente,

Em 02/05/2016 14:28, Paulo Henrique - BSDs Brasil escreveu:
>
>
> Em 02/05/2016 13:57, Renato Frederick escreveu:
>> Sim.
>>
>> Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota 
>> onde você estiver... :)
>>
>> Claro que no mundo de pedaladas fiscais com IOF sobre o dólar 
>> aumentando, deslocar o funcionário a todo momento gasta 
>> gasolina(importada…) então acesso remoto é sobrevivência.
>>
>> Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e 
>> feia” ou “ah, ipsec é a glória e unção do nosso senhor na terra nos 
>> diais atuais”, ou “ah, eu uso o hardware XPTO que custa milhares de 
>> dólares, estou protegido”…. não leva a nada.
>>
>> Para cada solução apresentada, teremos pontos fortes e fracos.
>>
>> Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o 
>> login root, senha 1234, porque até isto é melhor que pptp…
> Renato,
>
> Pode ser por falta de conhecimento de minha parte, mas não conheço 
> qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter 
> falhas de segurança qualquer software está sujeito a isso e o OpenSSH 
> não será excessão.
>
> Quanto a ponta remota ela sempre será o elo fraco da segurança pois 
> não terá os mesmos recursos de acesso como os implementados nos IDCs.
> Sempre fui relutante em disponibilizar VPN para infraestrutura pois é 
> uma ramificação da infraestrutura que estará sem supervisão, contudo 
> antes você usar uma VPN do que ir para um redirecionamento de TS 
> direto para uma estação de um funcionário ( sim já usei isso no 
> passado, não nego, mas posteriormente foi adotado o acesso via TS 
> sobre openvpn, melhor ter mais uma autenticação e uns palavrões dos 
> usuários finais do que estar com um servidor TS exposto ).
> Outro lado ruim de VPN é que worms irão passar pelo FW/IDS/IPS caso o 
> concentrador esteja após estes.
>
> Att.
>
>>
>>
>> ———
>> Renato Frederick
>> Consultor em TI
>> http://about.me/renatofrederick
>> Skype: renatofrederick
>> +55 31 99123 - 3006
>> +55 31 2523 - 0686
>>
>> De: Ricardo Ferreira <ricardo.ferreira em sotech.com.br>
>> Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
>> <freebsd em fug.com.br>
>> Data: 2 de maio de 2016 at 12:52:37
>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
>> <freebsd em fug.com.br>
>> Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos
>>
>> O colega tem razão quando fala do POWa um passo a frente dos gestores 
>> da empresa, ERBOX e é por isso que adotamos a
>> seguinte solução. Meu cenário consiste de um MPLS de 256Kbps conectado
>> entre minha casa e a empresa pois é somente a partir de determinado IP
>> que se pode efetuar o acesso remoto por um requisito de segurança e da
>> empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é
>> criptografado usando STUNNEL e autenticação via SO. Se preciso acessar
>> de fora via Internet tenho que acessar minha casa e de lá para a
>> empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via
>> VPN com autenticação via smartcard para prosseguir. Tem que haver um
>> compromisso entre segurança e custos de operação e a tecnologia está aí
>> para isso. Na verdade a solução arquitetada por cada empresa para
>> permitir o acesso remoto a seus recursos por funcionários qualificados
>> deve seguir uma política rígida e séria para ter sucesso e evitar a
>> ocorrência de incidentes. Mas tenho que confessar sem acesso remoto
>> minha empresa não existiria.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd