Em 28/04/2016 14:29, Ze Claudio Pastore escreveu:
Esquece PPTP se segurança realmente importa.
PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é uma
falha, ele é a falha, não da pra corrigir porque é como é simplesmente por
ser. Outra afirmação errada é falar que PPTP tem baixa segurança. Mentira,
pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma.
Quanto ao número de pessoas acessando também importa pouco, o que conta é a
relevância daquela pessoa ainda que seja só uma, e qual a exposição dela ao
risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento,
inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no final
das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança
não tem nenhum ganho de fato.
Isso você realmente quer segurança use VPN de verdade.
E VPN de verdade não inclui OpenVPN com suas heranças de falhas de OpenSSL,
ataques de renegotiate e tantas outras falhas que em geral afetam tudo que
é tunelado sobre SSL (não apenas HTTPS).
Vá de IPSEC ou L2TP+IPSec.
O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn).
Em 28 de abril de 2016 13:51, Paulo Henrique <paulo.rd...@bsd.com.br>
escreveu:
Em 28 de abril de 2016 09:37, Tales Rodarte <talesroda...@gmail.com>
escreveu:
Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu:
Olá lista!!!
Eu preciso implementar um servidor de VPN aqui no provedor onde trabalho
para acesso externos aos equipamentos etc.
Hoje quando preciso, faço tunel SSH, mas não é nada prático.
Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que tem
muitos bugs, que a segurança do PPTP é falha, etc...
Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai acessar
essa
VPN, e algumas estão meio resistentes à ter que configurar openvpn,
certificados e tudo mais, usuário mais leigo, sendo que um PPTP qualquer
windão configura facil.
Bem, gostaria da opinião dos senhores quanto à essa implantação do PPTP,
realmente estou colocando a minha rede em risco? Tenho realmente que
tacar
um openvpn? e se o chefe estiver viajando e em outro PC, e quiser
acessar
algo aqui? não levou os certificados e tudo mais...
Bem, qualquer ajuda é bem vinda.
Obrigado.
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Olá Thiago,
Na minha opinião segurança nunca é demais.
O OpenVPN é bem prático. Você pode criar um instalador com o arquivo de
conf. e automatizar o processo.
Outra opção que pode considerar é o L2TP.
--
Tales
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
E Usuário tem algum direito de opinar quanto a infraestrutura de TI e
segurança ?
Cara, na hora que a merda acontecer eles não vão querer lembrar que foi por
"PREGUIÇA" deles que você utilizou uma solução com sérios problemas de
segurança já relatados.
Usuário não tem que dar palpite em nada quando o assunto é segurança,
qualquer coisa pede para eles instalarem um gerenciador de desktop remoto e
você mesmo acessa e configura o openvpn ou o IPSec no cliente.
Não cede a preguiça do usuário, implanta o que irá garantir segurança e
integridade na infraestrutura, e lembra-se que a estação do usuário também
entrará no escopo de politica de segurança da infra, se a mesma estiver
infectada com algum worm com a VPN é um pulo para este chegar a
infraestrutura da empresa.
Att. Paulo Henrique.
--
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Vou te dar uma dica de meu cenário de produção:
OpenVPN: usuários: 2500 - IPSEC: 100 redes -IPSEC+L2TP: 30 usuários
todos rodando sob FreeBSD 9.3, OpenBSD 5.8 e FreeBSD 10
O nível de segurança exigido aqui é bem alto e demandando auditorias de
segurança especializadas de forma regular e criptografia robusta e
eficaz é a menina dos olhos.
Com relação ao OpenVPN discordo um pouco da posição crítica colocada
pois é possível oferecer pleno suporte ao protocolo TLS 1.2, eliminado
assim o uso do SSL e mesmo dos protcolos TLS 1.0 e 1.1 e utilizando
cifras eficientes e robustas como ECDHE-RSA-AES256-SHA512, por exemplo e
afinando as configurações tanto do lado do servidor como do cliente de
forma a suportar todos os recursos mais avançados oferecidos pela
biblioteca OpenSSL, eliminando o uso de suas vulnerabilidades e claro um
requisto super importante que é o de somente poder fazer parte deste
ecossistema ( clientes, recursos e serviços) que suportem os requisitos
de segurança estabelecidos como uso de autoridade certificadora (CA)
própria, lista de revogação de certificados em tempo real, certificados
digitais com tamanho superior a 3072 bits, uso de Perfect Forward Secret
com chaves de pelo menos 4096 bits, SHA256, SHA384 ou SHA512 dentre
outros recursos como AEAD por exemplo. Dá um pouco de trabalho mas
permite com que tablets, smartphones, pcs etc possam se conectar
mantendo-se um padrão de segurança alto e rigoroso aqui na empresa para
suporte a mais de 3000 usuários.
Com relação ao IPSEC, desnecessário falar de suas virtudes lembrando que
o importante é de novo as cifras utilizadas tanto para a fase 1 como
para a fase 2 observando tamanho das chaves, certificados, enfim....
A combinação L2TP+IPSEC é boa mas na hora de um suporte é muito difícil
não transferirem para o nível 2 ou nível 3 logo de cara por conta da
complexidade intrínseca.
PPTP esqueça! Nem para testes pois não vale a pena.
Ir de IPSEC tem suas vantagens mas a curva de aprendizado é um pouco
mais íngreme. Com OpenVPN a curva de aprendizado é mais suave e com a
vantagem de que vc pode ir aumentando o nível de segurança com o passar
do tempo à medida que vc domina o processo.. E lembrando ainda que se vc
não quiser usar o OpenSSL é possível usar o PolarSSL e recompilar o
OpenVPN e mesmo o LibreSSL e assim ter mais confiança no processo. Uma
última dica lembro apenas que se o requisito é prover segurança no uso
dos recursos não pode afrouxar as regras por conta do famoso protocolo
legado ( browser, aplicações e sistemas operacionais) com um histórico
negativo de vulnerabilidades. Segurança fim a fim é o único modelo que
garante que seu ecossistema ( usuários, recursos e serviços) está sob
seu controle ou ao menos grande parte dele.
Boa sorte e se precisar e ajuda posta ai as dúvidas!
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
