Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Renato Frederick 


De: Ricardo Ferreira <ricardo.ferre...@sotech.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>
Data: 2 de maio de 2016 at 15:55:26
Para: freebsd@fug.com.br <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos  

Outro ponto que gostaria de complementar em relação às ideias discutidas 
até agora e é uma tecla que sou até chato aqui na empresa é com relação 
às diversas opções disponíveis, procurando evitar o "clubismo" na hora 
de se decidir o que usar seja ssh, openvpn, ipsec, l2tp, etc, etc 
Sou da opinião que são ferramentas únicas e que resolvem problemas 
específicos portanto é necessário que o analista faça seu trabalho e 
justifique formalmente porque da ferramenta A em vez da B, com testes 
que fundamente sua tese e isto vale para sistema operacional inclusive e 
assim por diante. Não acredito que um seja melhor ou pior que o outro, 
mas sim um que se adequa mais às suas premissas. Ah menos o PPTP neste 
escopo claro. Valeu pela discussão! Muito boa! 
- 
Histórico: http://www.fug.com.br/historico/html/freebsd/ 
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 


Com certeza, as contribuições de você, Ricardo e do Paulo enriqueceram a lista. 
Eu gosto muito de tocar neste ponto, aproveitando que o Ricardo falou do 
“cubismo”:

Já tive situações em que eu era tão somente cliente de acesso remoto e tipo 
assim, é como se hoje eu precisasse acessar a empresa e me mandar um .exe de 32 
bits compatível SOMENTE com Windows XP. Você fala: “Oi, mas uso Windows 7(ou 
10) - algo suportado pela MS” e a empresa falava: Nosso acesso remoto só 
certificou para estações XP.

Ou então, receber um .dmg que só rodava em OSX 10.8 para baixo…

São situações em que eu pensava: Nossa, se seu acesso remoto certificado 
contempla Sistemas Operacionais Mortos e não atualizados mais pelo fabricante, 
o que deve estar passando nesta VPN hein…… :)

Mas a empresa se achava TOP, porque o .EXE//.DMG era de um grande fabricante de 
caixas de firewall/IDS/IPS… OK, o Fabricante é grande, mas a empresa precisava 
renovar os contratos de hardware, porque o produto não conhecia as novas 
versões de MAC/WIN :)







-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Ricardo Ferreira 

Em 02/05/2016 15:38, Paulo Henrique - BSDs Brasil escreveu:



Em 02/05/2016 15:14, Renato Frederick escreveu:

Paulo, voce pegou meu ponto.

É que não adianta muito discutir o que usar, porque a ponta remota 
sempre vai ser a parte fraca.


Por ex, eu uso openvpn aqui no meu note(um OSX). Mas tive que 
resolver uma pendência particular a 30min. Eu o fechei.


Ao abrir, pede minha senha. Mas nestes 30min dava com certeza para um 
atacante fantasiado de funcionário dar um reboot, iniciar o OSX em 
recuperação e por um malware no meu startup.


OK, eu estou falho em não encriptar meu disco, etc….

Quanto ao acesso RDP, acredita que já fui “intimado” pelo dono da 
empresa, algo do tipo “não gostei, tenho que clicar agora em 2 
locais(van + RDP), volta do jeito que estava antes”… do tipo.. volta 
agora ou acho quem o faça(bilhete azul).




———
Renato Frederick
Consultor em TI
http://about.me/renatofrederick
Skype: renatofrederick
+55 31 99123 - 3006
+55 31 2523 - 0686


Pessoal, cuidado com o Top-posting, estraga o histórico da lista.

Renato, realmente é onde minha atenção sempre esteve voltada é para a 
parte que você frisou, a unica forma de diminuir esse risco foi 
abrangendo a responsabilidade do Departamento de TI para as estações 
remotas dos funcionários que efetuavam acesso remoto, não é 100% mas é 
melhor do que nada.
E isso complica ainda mais quando há a utilização dessas estações por 
outras pessoas que não os colaboradores, contudo como disse o Sr. 
Ricardo, é tudo questão de analise de risco real e o aceitável, no 
caso dele o risco real sobrepõem o risco aceitável devido a atividades 
exercidas pela empresa no qual ele gerencia, no meu caso o risco 
aceitável sobrepõem o risco real.


Quanto a esse problema de diretor criticando que a necessidade de mais 
uma autenticação para ter acesso, também tive esse problema e a unica 
alternativa que tive foi manter o redirecionamento, contudo usando 
junto o knork e no RDP usando um .bat em execução antes da conexão 
para liberar a porta, é ruim, leva mais de 20 segundos para iniciar a 
negociação de autenticação contudo manteve o minimo de dois niveis de 
autenticação ( um nivel de pseudo autenticação ) para que estes 
tivessem acesso a estação.


Eu passei a adotar tunnel ssh no firewall usando chaves e sobre esse 
tunel o acesso aos servidores, sempre com a dobradinha de 
chaves+password.
Quanto a esse negocio de criptografar o disco, lamento não no seu caso 
não resolveria, o atacante seria competente o suficiente para no 
worm/trojan que ele usar inserir um back-door, o disco já estaria 
descriptografado quando ele teve acesso, você só garantiria que ele 
não precisa-se de contra-medidas para lidar com firewall/IDS/IPS.
Criptografia de disco hoje só é segurança em caso de roubo do 
equipamento, é impraticável descriptografar qualquer coisa com chaves 
acima de 256bits de extensão, e nesse caso por eventualmente você 
armazenar chaves e senhas nesse mac seu sem criptografar o disco é um 
risco real e não aceitável.



Att. Paulo Henrique.


De: Paulo Henrique - BSDs Brasil <paulo.rd...@bsd.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>

Data: 2 de maio de 2016 at 14:28:59
Para: freebsd@fug.com.br <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos



Em 02/05/2016 13:57, Renato Frederick escreveu:

Sim.
  Mas daí o ponto fraco deixou de ser sua casa e virou a ponta 
remota onde você estiver... :)
  Claro que no mundo de pedaladas fiscais com IOF sobre o dólar 
aumentando, deslocar o funcionário a todo momento gasta 
gasolina(importada…) então acesso remoto é sobrevivência.
  Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e 
feia” ou “ah, ipsec é a glória e unção do nosso senhor na terra nos 
diais atuais”, ou “ah, eu uso o hardware XPTO que custa milhares de 
dólares, estou protegido”…. não leva a nada.

  Para cada solução apresentada, teremos pontos fortes e fracos.
  Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o 
login root, senha 1234, porque até isto é melhor que pptp…

Renato,

Pode ser por falta de conhecimento de minha parte, mas não conheço
qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter
falhas de segurança qualquer software está sujeito a isso e o OpenSSH
não será excessão.

Quanto a ponta remota ela sempre será o elo fraco da segurança pois não
terá os mesmos recursos de acesso como os implementados nos IDCs.
Sempre fui relutante em disponibilizar VPN para infraestrutura pois é
uma ramificação da infraestrutura que estará sem supervisão, contudo
antes você usar uma VPN do que ir para um redirecionamento de TS direto
para uma estação de um funcionário ( sim já usei isso no passado, não
nego, mas posteriormente foi adotado o acesso via TS sobre openvpn,
melhor ter mais uma autenticação e uns palavrões dos usuários finais do
que estar com um servidor TS exposto ).
Outro lado ruim de VP

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Paulo Henrique - BSDs Brasil 



Em 02/05/2016 15:14, Renato Frederick escreveu:

Paulo, voce pegou meu ponto.

É que não adianta muito discutir o que usar, porque a ponta remota sempre vai 
ser a parte fraca.

Por ex, eu uso openvpn aqui no meu note(um OSX). Mas tive que resolver uma 
pendência particular a 30min. Eu o fechei.

Ao abrir, pede minha senha. Mas nestes 30min dava com certeza para um atacante 
fantasiado de funcionário dar um reboot, iniciar o OSX em recuperação e por um 
malware no meu startup.

OK, eu estou falho em não encriptar meu disco, etc….

Quanto ao acesso RDP, acredita que já fui “intimado” pelo dono da empresa, algo 
do tipo “não gostei, tenho que clicar agora em 2 locais(van + RDP), volta do 
jeito que estava antes”… do tipo.. volta agora ou acho quem o faça(bilhete 
azul).



———
Renato Frederick
Consultor em TI
http://about.me/renatofrederick
Skype: renatofrederick
+55 31 99123 - 3006
+55 31 2523 - 0686


Pessoal, cuidado com o Top-posting, estraga o histórico da lista.

Renato, realmente é onde minha atenção sempre esteve voltada é para a 
parte que você frisou, a unica forma de diminuir esse risco foi 
abrangendo a responsabilidade do Departamento de TI para as estações 
remotas dos funcionários que efetuavam acesso remoto, não é 100% mas é 
melhor do que nada.
E isso complica ainda mais quando há a utilização dessas estações por 
outras pessoas que não os colaboradores, contudo como disse o Sr. 
Ricardo, é tudo questão de analise de risco real e o aceitável, no caso 
dele o risco real sobrepõem o risco aceitável devido a atividades 
exercidas pela empresa no qual ele gerencia, no meu caso o risco 
aceitável sobrepõem o risco real.


Quanto a esse problema de diretor criticando que a necessidade de mais 
uma autenticação para ter acesso, também tive esse problema e a unica 
alternativa que tive foi manter o redirecionamento, contudo usando junto 
o knork e no RDP usando um .bat em execução antes da conexão para 
liberar a porta, é ruim, leva mais de 20 segundos para iniciar a 
negociação de autenticação contudo manteve o minimo de dois niveis de 
autenticação ( um nivel de pseudo autenticação ) para que estes tivessem 
acesso a estação.


Eu passei a adotar tunnel ssh no firewall usando chaves e sobre esse 
tunel o acesso aos servidores, sempre com a dobradinha de chaves+password.
Quanto a esse negocio de criptografar o disco, lamento não no seu caso 
não resolveria, o atacante seria competente o suficiente para no 
worm/trojan que ele usar inserir um back-door, o disco já estaria 
descriptografado quando ele teve acesso, você só garantiria que ele não 
precisa-se de contra-medidas para lidar com firewall/IDS/IPS.
Criptografia de disco hoje só é segurança em caso de roubo do 
equipamento, é impraticável descriptografar qualquer coisa com chaves 
acima de 256bits de extensão, e nesse caso por eventualmente você 
armazenar chaves e senhas nesse mac seu sem criptografar o disco é um 
risco real e não aceitável.



Att. Paulo Henrique.


De: Paulo Henrique - BSDs Brasil <paulo.rd...@bsd.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>
Data: 2 de maio de 2016 at 14:28:59
Para: freebsd@fug.com.br <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos



Em 02/05/2016 13:57, Renato Frederick escreveu:

Sim.
  
Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota onde você estiver... :)
  
Claro que no mundo de pedaladas fiscais com IOF sobre o dólar aumentando, deslocar o funcionário a todo momento gasta gasolina(importada…) então acesso remoto é sobrevivência.
  
Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e feia” ou “ah, ipsec é a glória e unção do nosso senhor na terra nos diais atuais”, ou “ah, eu uso o hardware XPTO que custa milhares de dólares, estou protegido”…. não leva a nada.
  
Para cada solução apresentada, teremos pontos fortes e fracos.
  
Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o login root, senha 1234, porque até isto é melhor que pptp…

Renato,

Pode ser por falta de conhecimento de minha parte, mas não conheço
qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter
falhas de segurança qualquer software está sujeito a isso e o OpenSSH
não será excessão.

Quanto a ponta remota ela sempre será o elo fraco da segurança pois não
terá os mesmos recursos de acesso como os implementados nos IDCs.
Sempre fui relutante em disponibilizar VPN para infraestrutura pois é
uma ramificação da infraestrutura que estará sem supervisão, contudo
antes você usar uma VPN do que ir para um redirecionamento de TS direto
para uma estação de um funcionário ( sim já usei isso no passado, não
nego, mas posteriormente foi adotado o acesso via TS sobre openvpn,
melhor ter mais uma autenticação e uns palavrões dos usuários finais do
que estar com um servidor TS exposto ).
Outro lado ruim de VPN é que worms irão passar pelo FW/IDS/IPS caso o
concentrador estej

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Ricardo Ferreira 
Na verdade um cenário perfeito não existe ou ao menos não é possível no 
meu cenário. Segurança fim a fim é que devemos buscar mas nem sempre 
será possível. O que fazemos é uma análise de risco criteriosa onde se 
identificam a que vulnerabilidades estamos expostos e o grau de risco a 
que nos submeteríamos caso prosseguíssemos. Em muitos casos a decisão é 
se voltar pra casa quando a análise assim o determina e de lá se efetuar 
o acesso ou deixar o equipamento ligado em casa e através de uma 
ferramenta de controle remoto efetuar-se o acesso. Mais ou menos como 
descrito pelo colega quando recomendou a ida à empresa. Risco sempre vai 
existir . O que buscamos é sempre disciplinar o acesso, analisando-se os 
riscos e decidindo conforme este critério mas definitivamente se 
deslocar a qualquer um dos dacatenters está fora de questão.



Atenciosamente,

Em 02/05/2016 14:28, Paulo Henrique - BSDs Brasil escreveu:



Em 02/05/2016 13:57, Renato Frederick escreveu:

Sim.

Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota 
onde você estiver... :)


Claro que no mundo de pedaladas fiscais com IOF sobre o dólar 
aumentando, deslocar o funcionário a todo momento gasta 
gasolina(importada…) então acesso remoto é sobrevivência.


Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e 
feia” ou “ah, ipsec é a glória e unção do nosso senhor na terra nos 
diais atuais”, ou “ah, eu uso o hardware XPTO que custa milhares de 
dólares, estou protegido”…. não leva a nada.


Para cada solução apresentada, teremos pontos fortes e fracos.

Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o 
login root, senha 1234, porque até isto é melhor que pptp…

Renato,

Pode ser por falta de conhecimento de minha parte, mas não conheço 
qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter 
falhas de segurança qualquer software está sujeito a isso e o OpenSSH 
não será excessão.


Quanto a ponta remota ela sempre será o elo fraco da segurança pois 
não terá os mesmos recursos de acesso como os implementados nos IDCs.
Sempre fui relutante em disponibilizar VPN para infraestrutura pois é 
uma ramificação da infraestrutura que estará sem supervisão, contudo 
antes você usar uma VPN do que ir para um redirecionamento de TS 
direto para uma estação de um funcionário ( sim já usei isso no 
passado, não nego, mas posteriormente foi adotado o acesso via TS 
sobre openvpn, melhor ter mais uma autenticação e uns palavrões dos 
usuários finais do que estar com um servidor TS exposto ).
Outro lado ruim de VPN é que worms irão passar pelo FW/IDS/IPS caso o 
concentrador esteja após estes.


Att.




———
Renato Frederick
Consultor em TI
http://about.me/renatofrederick
Skype: renatofrederick
+55 31 99123 - 3006
+55 31 2523 - 0686

De: Ricardo Ferreira <ricardo.ferre...@sotech.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>

Data: 2 de maio de 2016 at 12:52:37
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>

Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos

O colega tem razão quando fala do POWa um passo a frente dos gestores 
da empresa, ERBOX e é por isso que adotamos a

seguinte solução. Meu cenário consiste de um MPLS de 256Kbps conectado
entre minha casa e a empresa pois é somente a partir de determinado IP
que se pode efetuar o acesso remoto por um requisito de segurança e da
empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é
criptografado usando STUNNEL e autenticação via SO. Se preciso acessar
de fora via Internet tenho que acessar minha casa e de lá para a
empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via
VPN com autenticação via smartcard para prosseguir. Tem que haver um
compromisso entre segurança e custos de operação e a tecnologia está aí
para isso. Na verdade a solução arquitetada por cada empresa para
permitir o acesso remoto a seus recursos por funcionários qualificados
deve seguir uma política rígida e séria para ter sucesso e evitar a
ocorrência de incidentes. Mas tenho que confessar sem acesso remoto
minha empresa não existiria.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd




-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Renato Frederick 
Paulo, voce pegou meu ponto.

É que não adianta muito discutir o que usar, porque a ponta remota sempre vai 
ser a parte fraca.

Por ex, eu uso openvpn aqui no meu note(um OSX). Mas tive que resolver uma 
pendência particular a 30min. Eu o fechei.

Ao abrir, pede minha senha. Mas nestes 30min dava com certeza para um atacante 
fantasiado de funcionário dar um reboot, iniciar o OSX em recuperação e por um 
malware no meu startup.

OK, eu estou falho em não encriptar meu disco, etc….

Quanto ao acesso RDP, acredita que já fui “intimado” pelo dono da empresa, algo 
do tipo “não gostei, tenho que clicar agora em 2 locais(van + RDP), volta do 
jeito que estava antes”… do tipo.. volta agora ou acho quem o faça(bilhete 
azul).



———
Renato Frederick
Consultor em TI
http://about.me/renatofrederick
Skype: renatofrederick
+55 31 99123 - 3006
+55 31 2523 - 0686

De: Paulo Henrique - BSDs Brasil <paulo.rd...@bsd.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>
Data: 2 de maio de 2016 at 14:28:59
Para: freebsd@fug.com.br <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos  



Em 02/05/2016 13:57, Renato Frederick escreveu:  
> Sim.  
>  
> Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota onde você 
> estiver... :)  
>  
> Claro que no mundo de pedaladas fiscais com IOF sobre o dólar aumentando, 
> deslocar o funcionário a todo momento gasta gasolina(importada…) então acesso 
> remoto é sobrevivência.  
>  
> Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e feia” ou 
> “ah, ipsec é a glória e unção do nosso senhor na terra nos diais atuais”, ou 
> “ah, eu uso o hardware XPTO que custa milhares de dólares, estou protegido”…. 
> não leva a nada.  
>  
> Para cada solução apresentada, teremos pontos fortes e fracos.  
>  
> Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o login root, 
> senha 1234, porque até isto é melhor que pptp…  
Renato,  

Pode ser por falta de conhecimento de minha parte, mas não conheço  
qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter  
falhas de segurança qualquer software está sujeito a isso e o OpenSSH  
não será excessão.  

Quanto a ponta remota ela sempre será o elo fraco da segurança pois não  
terá os mesmos recursos de acesso como os implementados nos IDCs.  
Sempre fui relutante em disponibilizar VPN para infraestrutura pois é  
uma ramificação da infraestrutura que estará sem supervisão, contudo  
antes você usar uma VPN do que ir para um redirecionamento de TS direto  
para uma estação de um funcionário ( sim já usei isso no passado, não  
nego, mas posteriormente foi adotado o acesso via TS sobre openvpn,  
melhor ter mais uma autenticação e uns palavrões dos usuários finais do  
que estar com um servidor TS exposto ).  
Outro lado ruim de VPN é que worms irão passar pelo FW/IDS/IPS caso o  
concentrador esteja após estes.  

Att.  

>  
>  
> ———  
> Renato Frederick  
> Consultor em TI  
> http://about.me/renatofrederick  
> Skype: renatofrederick  
> +55 31 99123 - 3006  
> +55 31 2523 - 0686  
>  
> De: Ricardo Ferreira <ricardo.ferre...@sotech.com.br>  
> Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
> <freebsd@fug.com.br>  
> Data: 2 de maio de 2016 at 12:52:37  
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
> <freebsd@fug.com.br>  
> Assunto: Re: [FUG-BR] Segurança do PPTP para poucos acessos  
>  
> O colega tem razão quando fala do POWa um passo a frente dos gestores da 
> empresa, ERBOX e é por isso que adotamos a  
> seguinte solução. Meu cenário consiste de um MPLS de 256Kbps conectado  
> entre minha casa e a empresa pois é somente a partir de determinado IP  
> que se pode efetuar o acesso remoto por um requisito de segurança e da  
> empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é  
> criptografado usando STUNNEL e autenticação via SO. Se preciso acessar  
> de fora via Internet tenho que acessar minha casa e de lá para a  
> empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via  
> VPN com autenticação via smartcard para prosseguir. Tem que haver um  
> compromisso entre segurança e custos de operação e a tecnologia está aí  
> para isso. Na verdade a solução arquitetada por cada empresa para  
> permitir o acesso remoto a seus recursos por funcionários qualificados  
> deve seguir uma política rígida e séria para ter sucesso e evitar a  
> ocorrência de incidentes. Mas tenho que confessar sem acesso remoto  
> minha empresa não existiria.  
> -  
> Histórico: http://www.fug.com.br/historico/html/freebsd/  
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd  

--  
:UNI>https://www.unixbsd.com.br  

--

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Paulo Henrique - BSDs Brasil 



Em 02/05/2016 13:57, Renato Frederick escreveu:

Sim.

Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota onde você 
estiver... :)

Claro que no mundo de pedaladas fiscais com IOF sobre o dólar aumentando, 
deslocar o funcionário a todo momento gasta gasolina(importada…) então acesso 
remoto é sobrevivência.

Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e feia” ou 
“ah, ipsec é a glória e unção do nosso senhor na terra nos diais atuais”, ou 
“ah, eu uso o hardware XPTO que custa milhares de dólares, estou protegido”…. 
não leva a nada.

Para cada solução apresentada, teremos pontos fortes e fracos.

Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o login root, 
senha 1234, porque até isto é melhor que pptp…

Renato,

Pode ser por falta de conhecimento de minha parte, mas não conheço 
qualquer metodo aceitável para comprometer o OpenSSH, que ele pode ter 
falhas de segurança qualquer software está sujeito a isso e o OpenSSH 
não será excessão.


Quanto a ponta remota ela sempre será o elo fraco da segurança pois não 
terá os mesmos recursos de acesso como os implementados nos IDCs.
Sempre fui relutante em disponibilizar VPN para infraestrutura pois é 
uma ramificação da infraestrutura que estará sem supervisão, contudo 
antes você usar uma VPN do que ir para um redirecionamento de TS direto 
para uma estação de um funcionário ( sim já usei isso no passado, não 
nego, mas posteriormente foi adotado o acesso via TS sobre openvpn, 
melhor ter mais uma autenticação e uns palavrões dos usuários finais do 
que estar com um servidor TS exposto ).
Outro lado ruim de VPN é que worms irão passar pelo FW/IDS/IPS caso o 
concentrador esteja após estes.


Att.




———
Renato Frederick
Consultor em TI
http://about.me/renatofrederick
Skype: renatofrederick
+55 31 99123 - 3006
+55 31 2523 - 0686

De: Ricardo Ferreira <ricardo.ferre...@sotech.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>
Data: 2 de maio de 2016 at 12:52:37
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos

O colega tem razão quando fala do POWa um passo a frente dos gestores da 
empresa, ERBOX e é por isso que adotamos a
seguinte solução. Meu cenário consiste de um MPLS de 256Kbps conectado
entre minha casa e a empresa pois é somente a partir de determinado IP
que se pode efetuar o acesso remoto por um requisito de segurança e da
empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é
criptografado usando STUNNEL e autenticação via SO. Se preciso acessar
de fora via Internet tenho que acessar minha casa e de lá para a
empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via
VPN com autenticação via smartcard para prosseguir. Tem que haver um
compromisso entre segurança e custos de operação e a tecnologia está aí
para isso. Na verdade a solução arquitetada por cada empresa para
permitir o acesso remoto a seus recursos por funcionários qualificados
deve seguir uma política rígida e séria para ter sucesso e evitar a
ocorrência de incidentes. Mas tenho que confessar sem acesso remoto
minha empresa não existiria.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


--
:UNI>https://www.unixbsd.com.br

<>-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Renato Frederick 
Sim.

Mas daí o ponto fraco deixou de ser sua casa e virou a ponta remota onde você 
estiver... :)

Claro que no mundo de pedaladas fiscais com IOF sobre o dólar aumentando, 
deslocar o funcionário a todo momento gasta gasolina(importada…) então acesso 
remoto é sobrevivência.

Mas ficar neste #mimimimi de “ai eu não gosto de openvpn, é boba e feia” ou 
“ah, ipsec é a glória e unção do nosso senhor na terra nos diais atuais”, ou 
“ah, eu uso o hardware XPTO que custa milhares de dólares, estou protegido”…. 
não leva a nada.

Para cada solução apresentada, teremos pontos fortes e fracos.

Claro que concordamos todos com PPTP. Abre logo um TELNET, usa o login root, 
senha 1234, porque até isto é melhor que pptp…



———
Renato Frederick
Consultor em TI
http://about.me/renatofrederick
Skype: renatofrederick
+55 31 99123 - 3006
+55 31 2523 - 0686

De: Ricardo Ferreira <ricardo.ferre...@sotech.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>
Data: 2 de maio de 2016 at 12:52:37
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos  

O colega tem razão quando fala do POWERBOX e é por isso que adotamos a 
seguinte solução. Meu cenário consiste de um MPLS de 256Kbps conectado 
entre minha casa e a empresa pois é somente a partir de determinado IP 
que se pode efetuar o acesso remoto por um requisito de segurança e da 
empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é 
criptografado usando STUNNEL e autenticação via SO. Se preciso acessar 
de fora via Internet tenho que acessar minha casa e de lá para a 
empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via 
VPN com autenticação via smartcard para prosseguir. Tem que haver um 
compromisso entre segurança e custos de operação e a tecnologia está aí 
para isso. Na verdade a solução arquitetada por cada empresa para 
permitir o acesso remoto a seus recursos por funcionários qualificados 
deve seguir uma política rígida e séria para ter sucesso e evitar a 
ocorrência de incidentes. Mas tenho que confessar sem acesso remoto 
minha empresa não existiria.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Ricardo Ferreira 
O colega tem razão quando fala do POWERBOX e é por isso que adotamos a 
seguinte solução. Meu cenário consiste de um  MPLS de 256Kbps conectado 
entre minha casa e a empresa pois é somente a partir de determinado IP 
que se pode efetuar o acesso remoto por um requisito de segurança e da 
empresa tem um MPLS ligado a dois datacenters. Ainda assim o acesso é 
criptografado usando STUNNEL e autenticação via SO.  Se preciso acessar 
de fora via Internet tenho que acessar minha casa e de lá para a 
empresa. Se estiver fora do ar, aí não tem jeito o acesso é efetuado via 
VPN com autenticação via smartcard para prosseguir. Tem que haver um 
compromisso entre segurança e custos de operação e a tecnologia está aí 
para isso. Na verdade a solução arquitetada por cada empresa para 
permitir o acesso remoto a seus recursos por funcionários qualificados 
deve seguir uma política rígida e séria para ter sucesso e evitar a 
ocorrência de incidentes. Mas tenho que confessar sem acesso remoto 
minha empresa não existiria.




Atenciosamente,

Em 02/05/2016 11:06, Renato Frederick escreveu:

De: Paulo Henrique <paulo.rd...@bsd.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>
Data: 29 de abril de 2016 at 01:38:08
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos


Bom, apenas ampliando a discussão e colocando mais informações para fins de
enriquecimento do histórico da lista.
Com relação a 0-day nem mesmo o IPSec está ileso a 0-day, conforme é
discutido aqui [1].


Segurança e Acesso Remoto na mesma frase?

Se quer segurança paranóica, faça que nem os bancos, tenha sua sala isolada com 
rede SWIFT. Precisou de algo, levanta da cadeira, vá até a empresa, passe pela 
revista, identificação “n” fatores, abra a porta, passe de novo por “n” fatores 
de autorização, resolve o que tem que resolver, passe de novo pela revista, 
pegue seu carro e vá pra casa.

Esta discussão é muito tendeciosa, vai ter gente amando openvpn, vai ter gente 
amando ipsec, vai ter gente puxando sardinha pra tudo que é lado.



E ninguém falou da ponta final… fica esta discussão de usar aquilo ou aquilo, 
aí está o analista na casa dele, usando GVT com POWERBOX, qualquer adolescente 
revoltado de 16 anos envia um firmware novo pra esta caixa, envia um malware 
pro notebook do cara…

Ou o ataque social, na hora que o analista está trabalhando e a secretária do 
lar está fazendo arroz, os “técnicos da NET” batem à porta, para trocar o 
decorrer que queimou…





-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-05-02 Por tôpico Renato Frederick 

De: Paulo Henrique <paulo.rd...@bsd.com.br>
Responder: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
<freebsd@fug.com.br>
Data: 29 de abril de 2016 at 01:38:08
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) <freebsd@fug.com.br>
Assunto:  Re: [FUG-BR] Segurança do PPTP para poucos acessos  


Bom, apenas ampliando a discussão e colocando mais informações para fins de 
enriquecimento do histórico da lista. 
Com relação a 0-day nem mesmo o IPSec está ileso a 0-day, conforme é 
discutido aqui [1]. 


Segurança e Acesso Remoto na mesma frase?

Se quer segurança paranóica, faça que nem os bancos, tenha sua sala isolada com 
rede SWIFT. Precisou de algo, levanta da cadeira, vá até a empresa, passe pela 
revista, identificação “n” fatores, abra a porta, passe de novo por “n” fatores 
de autorização, resolve o que tem que resolver, passe de novo pela revista, 
pegue seu carro e vá pra casa.

Esta discussão é muito tendeciosa, vai ter gente amando openvpn, vai ter gente 
amando ipsec, vai ter gente puxando sardinha pra tudo que é lado.



E ninguém falou da ponta final… fica esta discussão de usar aquilo ou aquilo, 
aí está o analista na casa dele, usando GVT com POWERBOX, qualquer adolescente 
revoltado de 16 anos envia um firmware novo pra esta caixa, envia um malware 
pro notebook do cara…

Ou o ataque social, na hora que o analista está trabalhando e a secretária do 
lar está fazendo arroz, os “técnicos da NET” batem à porta, para trocar o 
decorrer que queimou…





-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-04-28 Por tôpico Paulo Henrique 
Em 29 de abril de 2016 01:03, Evandro Nunes 
escreveu:

> openvpn e' seguro ate que se diga o contrario, e com tanto que bem
> configurado
> o problema e que se diz o contrario com muita frequencia, 9/10 falhas que
> afetam openssl/https afetam o openvpn, ate falhas externas, como
> shellshock, afetaram-no, sem falar de heart bleed, renegotiation, mitm
> diversos, etc, etc
>
> acho que os pontos delimitados pelo ricardo ferreira deixam claro isso, pro
> openvpn ser confiavel requer bastante esforco, abrir mao de psk, entregar
> certificados offband (sem configuration pull) somados com passphrase local
> numa relacao 1:1 com servidor, garantir autenticidade mutua (cliente
> autentica servidor, nao so servidor autentica cliente), compilar com
> polarssl (libressl e uma boa mas novo, entao usa-lo pode significar abrir
> mao de algum recurso pelo que li)
>
> ou seja o ricardo e' um cara de seguranca, de uma empresa onde seguranca e'
> o negocio fim, tem um belo checklist de hardening e esperamos um bom
> processo de validacao/auditoria da base instalada pra garantir que o
> hardening que a organizacao definiu como baseline pra compliance interno e
> de terceiros esteja sendo cumprido (auditoria)
>
> pros outros 99% dos usuarios normais, sobem de qualquer jeito com o
> primeiro how-to que funcionar, invariavelmente com cifradores frageis,
> passphrase, com renegotiate ligado permitindo mitm, chaves fracas, sem
> elipitic curve, etc
>
> ainda assim, se pegar o e-mail do ricardo e transformar em checklist,
> estara seguro ate que se descubra o proximo 0-day do openvpn ou do ssl/tls
> (especificacao) ou de uma lib usada (openssl, polarssl), e ai correr atras
> de patchear servidores e invariavelmente tambem clientes, etc, etc
>
> eu vou de IKEv2 ou L2TP+IPSec, e OpenVPN so' se for com certificados +
> entrega offband + PFS, e mesmo assim um olho no gato outro no peixe
>
> otima discussao parabens aos envolvidos
>
> sobre PPTP acho que ja ficou claro ne? esquece! rsrsrs
>
>
>
>
> 2016-04-28 15:40 GMT-03:00 Ricardo Ferreira <
> ricardo.ferre...@sotech.com.br>
> :
>
> >
> > Em 28/04/2016 14:29, Ze Claudio Pastore escreveu:
> >
> >> Esquece PPTP se segurança realmente importa.
> >>
> >> PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é
> >> uma
> >> falha, ele é a falha, não da pra corrigir porque é como é simplesmente
> por
> >> ser. Outra afirmação errada é falar que PPTP tem baixa segurança.
> Mentira,
> >> pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.
> >>
> >> Quanto ao número de pessoas acessando também importa pouco, o que conta
> é
> >> a
> >> relevância daquela pessoa ainda que seja só uma, e qual a exposição dela
> >> ao
> >> risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
> >> inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no
> final
> >> das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
> >> não tem nenhum ganho de fato.
> >>
> >> Isso você realmente quer segurança use VPN de verdade.
> >>
> >> E VPN de verdade não inclui OpenVPN com suas heranças de falhas de
> >> OpenSSL,
> >> ataques de renegotiate e tantas outras falhas que em geral afetam tudo
> que
> >> é tunelado sobre SSL (não apenas HTTPS).
> >>
> >> Vá de IPSEC ou L2TP+IPSec.
> >>
> >> O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).
> >>
> >>
> >>
> >> Em 28 de abril de 2016 13:51, Paulo Henrique 
> >> escreveu:
> >>
> >> Em 28 de abril de 2016 09:37, Tales Rodarte 
> >>> escreveu:
> >>>
> >>> Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:
> 
>  Olá lista!!!
> > Eu preciso implementar um servidor de VPN aqui no provedor onde
> > trabalho
> > para acesso externos aos equipamentos etc.
> > Hoje quando preciso, faço tunel SSH, mas não é nada prático.
> > Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que
> tem
> > muitos bugs, que a segurança do PPTP é falha, etc...
> > Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai
> acessar
> > essa
> > VPN, e algumas estão meio resistentes à ter que configurar openvpn,
> > certificados e tudo mais, usuário mais leigo, sendo que um PPTP
> > qualquer
> > windão configura facil.
> >
> > Bem, gostaria da opinião dos senhores quanto à essa implantação do
> > PPTP,
> > realmente estou colocando a minha rede em risco? Tenho realmente que
> >
>  tacar
> >>>
>  um openvpn? e se o chefe estiver viajando e em outro PC, e quiser
> >
>  acessar
> >>>
>  algo aqui? não levou os certificados e tudo mais...
> >
> > Bem, qualquer ajuda é bem vinda.
> >
> > Obrigado.
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > Olá Thiago,
> 
>  Na minha

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-04-28 Por tôpico Evandro Nunes 
openvpn e' seguro ate que se diga o contrario, e com tanto que bem
configurado
o problema e que se diz o contrario com muita frequencia, 9/10 falhas que
afetam openssl/https afetam o openvpn, ate falhas externas, como
shellshock, afetaram-no, sem falar de heart bleed, renegotiation, mitm
diversos, etc, etc

acho que os pontos delimitados pelo ricardo ferreira deixam claro isso, pro
openvpn ser confiavel requer bastante esforco, abrir mao de psk, entregar
certificados offband (sem configuration pull) somados com passphrase local
numa relacao 1:1 com servidor, garantir autenticidade mutua (cliente
autentica servidor, nao so servidor autentica cliente), compilar com
polarssl (libressl e uma boa mas novo, entao usa-lo pode significar abrir
mao de algum recurso pelo que li)

ou seja o ricardo e' um cara de seguranca, de uma empresa onde seguranca e'
o negocio fim, tem um belo checklist de hardening e esperamos um bom
processo de validacao/auditoria da base instalada pra garantir que o
hardening que a organizacao definiu como baseline pra compliance interno e
de terceiros esteja sendo cumprido (auditoria)

pros outros 99% dos usuarios normais, sobem de qualquer jeito com o
primeiro how-to que funcionar, invariavelmente com cifradores frageis,
passphrase, com renegotiate ligado permitindo mitm, chaves fracas, sem
elipitic curve, etc

ainda assim, se pegar o e-mail do ricardo e transformar em checklist,
estara seguro ate que se descubra o proximo 0-day do openvpn ou do ssl/tls
(especificacao) ou de uma lib usada (openssl, polarssl), e ai correr atras
de patchear servidores e invariavelmente tambem clientes, etc, etc

eu vou de IKEv2 ou L2TP+IPSec, e OpenVPN so' se for com certificados +
entrega offband + PFS, e mesmo assim um olho no gato outro no peixe

otima discussao parabens aos envolvidos

sobre PPTP acho que ja ficou claro ne? esquece! rsrsrs




2016-04-28 15:40 GMT-03:00 Ricardo Ferreira 
:

>
> Em 28/04/2016 14:29, Ze Claudio Pastore escreveu:
>
>> Esquece PPTP se segurança realmente importa.
>>
>> PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é
>> uma
>> falha, ele é a falha, não da pra corrigir porque é como é simplesmente por
>> ser. Outra afirmação errada é falar que PPTP tem baixa segurança. Mentira,
>> pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.
>>
>> Quanto ao número de pessoas acessando também importa pouco, o que conta é
>> a
>> relevância daquela pessoa ainda que seja só uma, e qual a exposição dela
>> ao
>> risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
>> inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no final
>> das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
>> não tem nenhum ganho de fato.
>>
>> Isso você realmente quer segurança use VPN de verdade.
>>
>> E VPN de verdade não inclui OpenVPN com suas heranças de falhas de
>> OpenSSL,
>> ataques de renegotiate e tantas outras falhas que em geral afetam tudo que
>> é tunelado sobre SSL (não apenas HTTPS).
>>
>> Vá de IPSEC ou L2TP+IPSec.
>>
>> O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).
>>
>>
>>
>> Em 28 de abril de 2016 13:51, Paulo Henrique 
>> escreveu:
>>
>> Em 28 de abril de 2016 09:37, Tales Rodarte 
>>> escreveu:
>>>
>>> Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:

 Olá lista!!!
> Eu preciso implementar um servidor de VPN aqui no provedor onde
> trabalho
> para acesso externos aos equipamentos etc.
> Hoje quando preciso, faço tunel SSH, mas não é nada prático.
> Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
> muitos bugs, que a segurança do PPTP é falha, etc...
> Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar
> essa
> VPN, e algumas estão meio resistentes à ter que configurar openvpn,
> certificados e tudo mais, usuário mais leigo, sendo que um PPTP
> qualquer
> windão configura facil.
>
> Bem, gostaria da opinião dos senhores quanto à essa implantação do
> PPTP,
> realmente estou colocando a minha rede em risco? Tenho realmente que
>
 tacar
>>>
 um openvpn? e se o chefe estiver viajando e em outro PC, e quiser
>
 acessar
>>>
 algo aqui? não levou os certificados e tudo mais...
>
> Bem, qualquer ajuda é bem vinda.
>
> Obrigado.
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Olá Thiago,

 Na minha opinião segurança nunca é demais.
 O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de
 conf. e automatizar o processo.
 Outra opção que pode considerar é o L2TP.

 --
 Tales

 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-04-28 Por tôpico Ricardo Ferreira 


Em 28/04/2016 14:29, Ze Claudio Pastore escreveu:

Esquece PPTP se segurança realmente importa.

PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é uma
falha, ele é a falha, não da pra corrigir porque é como é simplesmente por
ser. Outra afirmação errada é falar que PPTP tem baixa segurança. Mentira,
pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.

Quanto ao número de pessoas acessando também importa pouco, o que conta é a
relevância daquela pessoa ainda que seja só uma, e qual a exposição dela ao
risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no final
das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
não tem nenhum ganho de fato.

Isso você realmente quer segurança use VPN de verdade.

E VPN de verdade não inclui OpenVPN com suas heranças de falhas de OpenSSL,
ataques de renegotiate e tantas outras falhas que em geral afetam tudo que
é tunelado sobre SSL (não apenas HTTPS).

Vá de IPSEC ou L2TP+IPSec.

O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).



Em 28 de abril de 2016 13:51, Paulo Henrique 
escreveu:


Em 28 de abril de 2016 09:37, Tales Rodarte 
escreveu:


Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:


Olá lista!!!
Eu preciso implementar um servidor de VPN aqui no provedor onde trabalho
para acesso externos aos equipamentos etc.
Hoje quando preciso, faço tunel SSH, mas não é nada prático.
Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
muitos bugs, que a segurança do PPTP é falha, etc...
Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar
essa
VPN, e algumas estão meio resistentes à ter que configurar openvpn,
certificados e tudo mais, usuário mais leigo, sendo que um PPTP qualquer
windão configura facil.

Bem, gostaria da opinião dos senhores quanto à essa implantação do PPTP,
realmente estou colocando a minha rede em risco? Tenho realmente que

tacar

um openvpn? e se o chefe estiver viajando e em outro PC, e quiser

acessar

algo aqui? não levou os certificados e tudo mais...

Bem, qualquer ajuda é bem vinda.

Obrigado.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Olá Thiago,

Na minha opinião segurança nunca é demais.
O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de
conf. e automatizar o processo.
Outra opção que pode considerar é o L2TP.

--
Tales

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


E Usuário tem algum direito de opinar quanto a infraestrutura de TI e
segurança ?
Cara, na hora que a merda acontecer eles não vão querer lembrar que foi por
"PREGUIÇA" deles que você utilizou uma solução com sérios problemas de
segurança já relatados.
Usuário não tem que dar palpite em nada quando o assunto é segurança,
qualquer coisa pede para eles instalarem um gerenciador de desktop remoto e
você mesmo acessa e configura o openvpn ou o IPSec no cliente.
Não cede a preguiça do usuário, implanta o que irá garantir segurança e
integridade na infraestrutura, e lembra-se que a estação do usuário também
entrará no escopo de politica de segurança da infra, se a mesma estiver
infectada com algum worm com a VPN é um pulo para este chegar a
infraestrutura da empresa.

Att. Paulo Henrique.

--
:UNI>http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Vou te dar uma dica de meu cenário de produção:

OpenVPN: usuários: 2500 - IPSEC: 100 redes -IPSEC+L2TP: 30 usuários 
todos rodando sob FreeBSD 9.3, OpenBSD 5.8 e FreeBSD 10


O nível de segurança exigido aqui é bem alto e demandando auditorias de 
segurança especializadas de forma regular e criptografia robusta e 
eficaz é a menina dos olhos.
Com relação ao OpenVPN discordo um pouco da posição crítica colocada 
pois é possível oferecer pleno suporte ao protocolo TLS 1.2, eliminado 
assim o uso do SSL e mesmo dos protcolos TLS 1.0 e 1.1 e utilizando 
cifras eficientes e robustas como ECDHE-RSA-AES256-SHA512, por exemplo e 
afinando as configurações tanto do lado do servidor como do cliente de 
forma a suportar todos os recursos mais avançados oferecidos pela 
biblioteca OpenSSL, eliminando o uso de suas vulnerabilidades e claro um 
requisto super importante que é o de somente poder fazer parte deste 
ecossistema ( clientes, recursos e serviços)  que suportem os requisitos 
de segurança estabelecidos como uso de autoridade certificadora (CA) 
própria, lista de revogação de certificados em tempo real, certificados 
digitais com tamanho superior a 3072 bits, uso de Perfect Forward

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-04-28 Por tôpico Paulo Henrique 
Em 28 de abril de 2016 09:37, Tales Rodarte 
escreveu:

> Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:
>
>> Olá lista!!!
>> Eu preciso implementar um servidor de VPN aqui no provedor onde trabalho
>> para acesso externos aos equipamentos etc.
>> Hoje quando preciso, faço tunel SSH, mas não é nada prático.
>> Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
>> muitos bugs, que a segurança do PPTP é falha, etc...
>> Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar
>> essa
>> VPN, e algumas estão meio resistentes à ter que configurar openvpn,
>> certificados e tudo mais, usuário mais leigo, sendo que um PPTP qualquer
>> windão configura facil.
>>
>> Bem, gostaria da opinião dos senhores quanto à essa implantação do PPTP,
>> realmente estou colocando a minha rede em risco? Tenho realmente que tacar
>> um openvpn? e se o chefe estiver viajando e em outro PC, e quiser acessar
>> algo aqui? não levou os certificados e tudo mais...
>>
>> Bem, qualquer ajuda é bem vinda.
>>
>> Obrigado.
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> Olá Thiago,
>
> Na minha opinião segurança nunca é demais.
> O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de
> conf. e automatizar o processo.
> Outra opção que pode considerar é o L2TP.
>
> --
> Tales
>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

E Usuário tem algum direito de opinar quanto a infraestrutura de TI e
segurança ?
Cara, na hora que a merda acontecer eles não vão querer lembrar que foi por
"PREGUIÇA" deles que você utilizou uma solução com sérios problemas de
segurança já relatados.
Usuário não tem que dar palpite em nada quando o assunto é segurança,
qualquer coisa pede para eles instalarem um gerenciador de desktop remoto e
você mesmo acessa e configura o openvpn ou o IPSec no cliente.
Não cede a preguiça do usuário, implanta o que irá garantir segurança e
integridade na infraestrutura, e lembra-se que a estação do usuário também
entrará no escopo de politica de segurança da infra, se a mesma estiver
infectada com algum worm com a VPN é um pulo para este chegar a
infraestrutura da empresa.

Att. Paulo Henrique.

-- 
:UNI>http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-04-28 Por tôpico Tales Rodarte 

Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:

Olá lista!!!
Eu preciso implementar um servidor de VPN aqui no provedor onde trabalho
para acesso externos aos equipamentos etc.
Hoje quando preciso, faço tunel SSH, mas não é nada prático.
Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
muitos bugs, que a segurança do PPTP é falha, etc...
Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar essa
VPN, e algumas estão meio resistentes à ter que configurar openvpn,
certificados e tudo mais, usuário mais leigo, sendo que um PPTP qualquer
windão configura facil.

Bem, gostaria da opinião dos senhores quanto à essa implantação do PPTP,
realmente estou colocando a minha rede em risco? Tenho realmente que tacar
um openvpn? e se o chefe estiver viajando e em outro PC, e quiser acessar
algo aqui? não levou os certificados e tudo mais...

Bem, qualquer ajuda é bem vinda.

Obrigado.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Olá Thiago,

Na minha opinião segurança nunca é demais.
O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de 
conf. e automatizar o processo.

Outra opção que pode considerar é o L2TP.

--
Tales
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Segurança do PPTP para poucos acessos

2016-04-28 Por tôpico Tales Rodarte 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Segurança do PPTP para poucos acessos

2016-04-28 Por tôpico Thiago Andrighetti de Pádua 
Olá lista!!!
Eu preciso implementar um servidor de VPN aqui no provedor onde trabalho
para acesso externos aos equipamentos etc.
Hoje quando preciso, faço tunel SSH, mas não é nada prático.
Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
muitos bugs, que a segurança do PPTP é falha, etc...
Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar essa
VPN, e algumas estão meio resistentes à ter que configurar openvpn,
certificados e tudo mais, usuário mais leigo, sendo que um PPTP qualquer
windão configura facil.

Bem, gostaria da opinião dos senhores quanto à essa implantação do PPTP,
realmente estou colocando a minha rede em risco? Tenho realmente que tacar
um openvpn? e se o chefe estiver viajando e em outro PC, e quiser acessar
algo aqui? não levou os certificados e tudo mais...

Bem, qualquer ajuda é bem vinda.

Obrigado.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd