VPN por questões de segurança?
27 views
Skip to first unread message
Paulo Diovani
Nov 22, 2018, 12:10:26 PM11/22/18
to Tche...@googlegroups.com
Olá a todos,
Sei que tem vários administradores de sistemas e de rede aqui no grupo e queria pedir a opinião de vocês.
- Por quê várias empresas utilizam VPN como medida de segurança e que ameaças esta realmente resolve?
Eu sempre tive essa dúvida porque, no meu ver, já existem soluções muito mais elegantes e eficientes para garantir a segurança de acesso à serviços, como 2FA, por exemplo. Assim parece que limitar os usuários de uma rede ao tráfego da VPN parece mais uma complicação do que ajuda.
Grato.
--
Fabio Jr. Beneditto
Nov 22, 2018, 12:23:02 PM11/22/18
to tche...@googlegroups.com
Olá!
Aqui no cliente que estou atendendo eles optaram por usar VPN para facilitar a administração, pois (dizem) ser mais fácil liberar acessos a partir de polices.
O que "realmente resolve", eu passo a bola: (ainda) não sei.
:wq!
"A vida é mais bela quando vista de cima de uma motocicleta"
"A hacker does for love what anyone will do for money"
--
Mensagem enviada para <https://groups.google.com/group/tchelinux>.
Regras de Conduta para o grupo: <https://wiki.tchelinux.org/#!tchelinux/regras.md>
---
Você recebeu essa mensagem porque está inscrito no grupo "Tchelinux" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para tchelinux+...@googlegroups.com.
Para mais opções, acesse https://groups.google.com/d/optout.
Marcos André Lucas
Nov 22, 2018, 12:42:49 PM11/22/18
to tche...@googlegroups.com
Olá Paulo,
Como você citou como alternativa a utilização de 2FA , existe a hipótese de eu não ter entendido muito bem sua dúvida. Isto porque 2FA aumenta a segurança do acesso no tocante à identificação (credenciais), mas não faz diferença nenhuma (nem para pior nem para melhor) quanto ao tráfego das aplicações em si (ou dos serviços que tais aplicações utilizem).
O objetivo da VPN é garantir a segurança do tráfego de dados entre dois pontos, através do tunelamento de todos os pacotes de dados através de uma comunicação segura e criptografada. Existem dois exemplos práticos que me vêm à mente que se beneficiam disto (e que tenho usado em vários clientes com sucesso há alguns anos): conexão entre diferentes sites (no sentido de "lugar", e não "website"), e conexão para acesso remoto.
Na conexão entre diferentes sites ("lugares"), geralmente é criado um túnel VPN entre uma rede A e uma rede B. Na grande maioria das vezes, a rede A é a rede da Matriz, a rede principal, e a rede B é a rede de uma filial ou outra que estende a rede principal. Este túnel é gerenciado, mas fixo, de maneira que qualquer dispositivo da rede B pode se comunicar com qualquer dispositivo da rede A através deste túnel. Interconexão de redes, como entre filiais e matriz, é algo muito útil em várias empresas. É possível contatar um link dedicado para isto, mas seria muito caro, sendo mais barato (no sentido de "custo/benefício") você ter um bom link de internet nos dois lados e montar uma VPN entre eles. Outra possibilidade seria rotear tudo via internet, sem necessidade da VPN, mas aí você joga para as aplicações e serviços a responsabilidade da segurança. E é neste ponto que a VPN ajuda a garantir o tráfego seguro: como *todos* os pacotes que passam por dentro dela são criptografados e atendem às políticas de uso da mesma, quaisquer aplicativos e/ou serviços que estejam se comunicando entre as duas redes estarão automaticamente cobertos por esta mesma segurança. Pense, por exemplo, em um aplicativo legado instalado em um computador da filial e que se comunica com um servidor da matriz. Este aplicativo legado, provavelmente não se preocupa com questões de segurança de transmissão via internet (muitas vezes nem mesmo foi projetado tendo isso em mente), mas ele fica coberto pela segurança da VPN. Pense também em comunicação de dados via outros protocolos não seguros, e que muitas vezes a empresa *tem* que utilizar.
Já na conexão para acesso remoto, é criado um túnel VPN entre um dispositivo móvel específico (um notebook em viagem, por exemplo) e a rede principal da empresa. Mais uma vez, a segurança da VPN aqui fica evidente porque qualquer acesso que este computador faça e que dependa de serviços da rede interna, estarão cobertos pela VPN. Isto evita (principalmente em redes públicas) ataques do tipo MITM (Man-In-The-Middle) para o caso de protocolos não seguros, ou até mesmo evita o rastreamento e captura de pacotes trafegados.
Em ambos os casos que citei, existem as vantagens (para segurança) de termos um "ponto único" de garantia mínima de segurança, checagem de políticas, possibilidade de uso de camada adicional de autenticação (autenticar em um RADIUS, por exemplo), controle centralizado de acesso, redução do impacto de descobertas de vulnerabilidade 0-day, e facilidade de configuração (no sentido de reduzir a complexidade).
Bom, estes foram os pontos que consegui pensar, baseado nos produtos de VPN que configuro para clientes empresariais no dia-a-dia. Claro que, para cada ponto positivo, existe um possível ponto negativo ("não existe almoço grátis"), mas estes seriam os principais motivos de utilização de VPN por questões de segurança (em minha opinião).
Aquele abraço,
Marcos A. Lucas
Como você citou como alternativa a utilização de 2FA , existe a hipótese de eu não ter entendido muito bem sua dúvida. Isto porque 2FA aumenta a segurança do acesso no tocante à identificação (credenciais), mas não faz diferença nenhuma (nem para pior nem para melhor) quanto ao tráfego das aplicações em si (ou dos serviços que tais aplicações utilizem).
O objetivo da VPN é garantir a segurança do tráfego de dados entre dois pontos, através do tunelamento de todos os pacotes de dados através de uma comunicação segura e criptografada. Existem dois exemplos práticos que me vêm à mente que se beneficiam disto (e que tenho usado em vários clientes com sucesso há alguns anos): conexão entre diferentes sites (no sentido de "lugar", e não "website"), e conexão para acesso remoto.
Na conexão entre diferentes sites ("lugares"), geralmente é criado um túnel VPN entre uma rede A e uma rede B. Na grande maioria das vezes, a rede A é a rede da Matriz, a rede principal, e a rede B é a rede de uma filial ou outra que estende a rede principal. Este túnel é gerenciado, mas fixo, de maneira que qualquer dispositivo da rede B pode se comunicar com qualquer dispositivo da rede A através deste túnel. Interconexão de redes, como entre filiais e matriz, é algo muito útil em várias empresas. É possível contatar um link dedicado para isto, mas seria muito caro, sendo mais barato (no sentido de "custo/benefício") você ter um bom link de internet nos dois lados e montar uma VPN entre eles. Outra possibilidade seria rotear tudo via internet, sem necessidade da VPN, mas aí você joga para as aplicações e serviços a responsabilidade da segurança. E é neste ponto que a VPN ajuda a garantir o tráfego seguro: como *todos* os pacotes que passam por dentro dela são criptografados e atendem às políticas de uso da mesma, quaisquer aplicativos e/ou serviços que estejam se comunicando entre as duas redes estarão automaticamente cobertos por esta mesma segurança. Pense, por exemplo, em um aplicativo legado instalado em um computador da filial e que se comunica com um servidor da matriz. Este aplicativo legado, provavelmente não se preocupa com questões de segurança de transmissão via internet (muitas vezes nem mesmo foi projetado tendo isso em mente), mas ele fica coberto pela segurança da VPN. Pense também em comunicação de dados via outros protocolos não seguros, e que muitas vezes a empresa *tem* que utilizar.
Já na conexão para acesso remoto, é criado um túnel VPN entre um dispositivo móvel específico (um notebook em viagem, por exemplo) e a rede principal da empresa. Mais uma vez, a segurança da VPN aqui fica evidente porque qualquer acesso que este computador faça e que dependa de serviços da rede interna, estarão cobertos pela VPN. Isto evita (principalmente em redes públicas) ataques do tipo MITM (Man-In-The-Middle) para o caso de protocolos não seguros, ou até mesmo evita o rastreamento e captura de pacotes trafegados.
Em ambos os casos que citei, existem as vantagens (para segurança) de termos um "ponto único" de garantia mínima de segurança, checagem de políticas, possibilidade de uso de camada adicional de autenticação (autenticar em um RADIUS, por exemplo), controle centralizado de acesso, redução do impacto de descobertas de vulnerabilidade 0-day, e facilidade de configuração (no sentido de reduzir a complexidade).
Bom, estes foram os pontos que consegui pensar, baseado nos produtos de VPN que configuro para clientes empresariais no dia-a-dia. Claro que, para cada ponto positivo, existe um possível ponto negativo ("não existe almoço grátis"), mas estes seriam os principais motivos de utilização de VPN por questões de segurança (em minha opinião).
Aquele abraço,
Marcos A. Lucas
Em qui, 22 de nov de 2018 às 15:10, Paulo Diovani <pa...@diovani.com> escreveu:
Sérgio
Nov 22, 2018, 12:43:37 PM11/22/18
to tche...@googlegroups.com
Boa tarde Paulo,
VPN não é um sistema de autenticação e sim um túnel SSL/TLS para tráfego genérico de dados. Ela é utilizada principalmente em dois cenários:
1. site-to-site, a VPN é estabelecida entre roteadores de borda (ou firewalls de borda) para interligar duas redes internas (diagmos a matriz e a filial), possibilitando que o acesso entre elas fique "transparente" para o clientes/estações de trabalho dessas redes. Neste cenário há uma facilidade administrativa, onde serviços da rede interna podem ser disponibilizados em ambas localidades utilizando a mesma topologia de rede;
2. endpoint-to-site, a VPN é estabelecida entre um roteador de borda (ou firewall de borda) de uma rede interna e uma estação remota, neste caso, a estação remota recebe um endereço da "rede interna" e passa a fazer parte dela.
Considerando que normalmente as redes coorporativas tem serviços internos que não devem ser expostos diretamente à Internet (digamos um PABX, um servidor de autenticação LDAP, servidores de arquivos, etc...), a VPN pode ser uma solução para acesso seguro desses recursos via Internet :)
Abraço,
Sérgio
Em qui, 22 de nov de 2018 às 15:10, Paulo Diovani <pa...@diovani.com> escreveu:
Marcos Alano
Nov 22, 2018, 12:56:52 PM11/22/18
to tche...@googlegroups.com
Meu BRL 0.02: VPN te ajuda a garantir a segurança do tráfego entre duas ou mais redes (a matriz e uma filial, por exemplo) ou entre uma ou mais máquinas e uma rede. Na verdade vai depnder muito do que tu quer fazer. 2FA é só um método de autenticar no serviço com mais segurança que o normal usuário e senha. Por exemplo: talvez tu precise de 2FA para logar na VPN. Não são tecnologias excludentes. Acredito que talvez tu devesse elaborar melhor tua dúvida.
--
Mensagem enviada para <https://groups.google.com/group/tchelinux>.
Regras de Conduta para o grupo: <https://wiki.tchelinux.org/#!tchelinux/regras.md>
---
Você recebeu essa mensagem porque está inscrito no grupo "Tchelinux" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para tchelinux+...@googlegroups.com.
Para mais opções, acesse https://groups.google.com/d/optout.
--
Paulo Diovani
Dec 10, 2018, 9:45:47 AM12/10/18
to tche...@googlegroups.com
Certo gente,
Primeiramente agradeço pelas respostas.
Como meu foco é desenvolvimento, para mim é muito mais natural deletar a segurança para os aplicativos do que para a rede. Por isso citei 2fa, que garante a autenticidade do usuário ao passo que o protocolo em si (geralmente https) garante a segurança dos dados.
Mas eu não estava considerando aplicativos antigos ou aqueles cujos métodos se segurança fogem ao controle da organização. Nesse caso a VPN certamente ajuda.
Christiano F. Haesbaert
Dec 10, 2018, 10:10:33 AM12/10/18
to tche...@googlegroups.com
On Mon 10. Dec 2018 at 15:45, Paulo Diovani <pa...@diovani.com> wrote:
Certo gente,
Primeiramente agradeço pelas respostas.Como meu foco é desenvolvimento, para mim é muito mais natural deletar a segurança para os aplicativos do que para a rede. Por isso citei 2fa, que garante a autenticidade do usuário ao passo que o protocolo em si (geralmente https) garante a segurança dos dados.
Mas eu não estava considerando aplicativos antigos ou aqueles cujos métodos se segurança fogem ao controle da organização.
Ou implementações quebradas de protocolos seguros.
Sem VPN é como afirmar: “eu confio em todas as implementações, de todos os vendors, de todos os protocolos, que chegam até minha rede pela interwebs.”
Exemplo recente: libssh, um bug na autenticação permitia qualquer um logar sem nenhum tipo de credencial. Os usuários que tinham uma VPN pra conectar no servidor não foram “tão” afetados.
A gente sempre pensa no Apache e implementações mais maduras. Mas tu confia no httpd da tua impressora, ou TV ?
Nícolas Wildner
Jan 9, 2019, 5:02:19 AM1/9/19
to Tchelinux
2FA é uma forma de verificação de identidade, uma ponta em todo o cenário que a segurança abarca.
A VPN cria uma conexão segura com o host/rede destino que você deseja e cria a criptografia/compressão para TODO o tráfego.
Nem todas as ferramentas que as pessoas usam no dia a dia tem a possibilidade de integração com uma solução 2FA, assim como nem todas as empresas querem depender de soluções onde parte da segurança é gerenciada por um terceiro(Google, Teamviewer, LogMeIn, etc).
A VPN traz outras vantagens já citadas acima pelos colegas mas que vale a pena reforçar:
- Geralmente é possível a integração com outra ferramenta de gerenciamento de contas(AD, LDAP)
- Entrega de rotas para a(s) rede(s) interna(s) e em alguns casos gerenciamento do DNS.
- Rota default forçada para a organização do server VPN, evitando "lateralidade" no host que está conectando
- Auditoria de horário de trabalho sem precisar implementar isto "por app".
Reply all
Reply to author
Forward
0 new messages