Em 29 de abril de 2016 01:03, Evandro Nunes <evandronune...@gmail.com> escreveu:
> openvpn e' seguro ate que se diga o contrario, e com tanto que bem > configurado > o problema e que se diz o contrario com muita frequencia, 9/10 falhas que > afetam openssl/https afetam o openvpn, ate falhas externas, como > shellshock, afetaram-no, sem falar de heart bleed, renegotiation, mitm > diversos, etc, etc > > acho que os pontos delimitados pelo ricardo ferreira deixam claro isso, pro > openvpn ser confiavel requer bastante esforco, abrir mao de psk, entregar > certificados offband (sem configuration pull) somados com passphrase local > numa relacao 1:1 com servidor, garantir autenticidade mutua (cliente > autentica servidor, nao so servidor autentica cliente), compilar com > polarssl (libressl e uma boa mas novo, entao usa-lo pode significar abrir > mao de algum recurso pelo que li) > > ou seja o ricardo e' um cara de seguranca, de uma empresa onde seguranca e' > o negocio fim, tem um belo checklist de hardening e esperamos um bom > processo de validacao/auditoria da base instalada pra garantir que o > hardening que a organizacao definiu como baseline pra compliance interno e > de terceiros esteja sendo cumprido (auditoria) > > pros outros 99% dos usuarios normais, sobem de qualquer jeito com o > primeiro how-to que funcionar, invariavelmente com cifradores frageis, > passphrase, com renegotiate ligado permitindo mitm, chaves fracas, sem > elipitic curve, etc > > ainda assim, se pegar o e-mail do ricardo e transformar em checklist, > estara seguro ate que se descubra o proximo 0-day do openvpn ou do ssl/tls > (especificacao) ou de uma lib usada (openssl, polarssl), e ai correr atras > de patchear servidores e invariavelmente tambem clientes, etc, etc > > eu vou de IKEv2 ou L2TP+IPSec, e OpenVPN so' se for com certificados + > entrega offband + PFS, e mesmo assim um olho no gato outro no peixe.... > > otima discussao parabens aos envolvidos > > sobre PPTP acho que ja ficou claro ne? esquece! rsrsrs > > > > > 2016-04-28 15:40 GMT-03:00 Ricardo Ferreira < > ricardo.ferre...@sotech.com.br> > : > > > > > Em 28/04/2016 14:29, Ze Claudio Pastore escreveu: > > > >> Esquece PPTP se segurança realmente importa. > >> > >> PPTP não tem bug, ele é o bug. É arquiteturalmente fraco, ou seja não é > >> uma > >> falha, ele é a falha, não da pra corrigir porque é como é simplesmente > por > >> ser. Outra afirmação errada é falar que PPTP tem baixa segurança. > Mentira, > >> pra ter baixa segurança precisa ter alguma, PPTP não tem nenhuma. > >> > >> Quanto ao número de pessoas acessando também importa pouco, o que conta > é > >> a > >> relevância daquela pessoa ainda que seja só uma, e qual a exposição dela > >> ao > >> risco. Olhe pra PPTP no máximo como uma forma fácil de tunelamento, > >> inclusive sugiro PPTP com compressão e SEM CRIPTOGRAFIA HAHAHA pq no > final > >> das contas da no mesmo, criptografia no PPTP é só overhead, pq segurança > >> não tem nenhum ganho de fato. > >> > >> Isso você realmente quer segurança use VPN de verdade. > >> > >> E VPN de verdade não inclui OpenVPN com suas heranças de falhas de > >> OpenSSL, > >> ataques de renegotiate e tantas outras falhas que em geral afetam tudo > que > >> é tunelado sobre SSL (não apenas HTTPS). > >> > >> Vá de IPSEC ou L2TP+IPSec. > >> > >> O resto ou é lixo (pptp), ou é só ruim mesmo (openvpn). > >> > >> > >> > >> Em 28 de abril de 2016 13:51, Paulo Henrique <paulo.rd...@bsd.com.br> > >> escreveu: > >> > >> Em 28 de abril de 2016 09:37, Tales Rodarte <talesroda...@gmail.com> > >>> escreveu: > >>> > >>> Em 28-04-2016 08:48, Thiago Andrighetti de Pádua escreveu: > >>>> > >>>> Olá lista!!! > >>>>> Eu preciso implementar um servidor de VPN aqui no provedor onde > >>>>> trabalho > >>>>> para acesso externos aos equipamentos etc. > >>>>> Hoje quando preciso, faço tunel SSH, mas não é nada prático. > >>>>> Eu ia implementar um servidor PPTP com o MPD, mas muitos dizem que > tem > >>>>> muitos bugs, que a segurança do PPTP é falha, etc... > >>>>> Mas por outro lado eu vou ter 3 ou 4 pessoas no máximo que vai > acessar > >>>>> essa > >>>>> VPN, e algumas estão meio resistentes à ter que configurar openvpn, > >>>>> certificados e tudo mais, usuário mais leigo, sendo que um PPTP > >>>>> qualquer > >>>>> windão configura facil. > >>>>> > >>>>> Bem, gostaria da opinião dos senhores quanto à essa implantação do > >>>>> PPTP, > >>>>> realmente estou colocando a minha rede em risco? Tenho realmente que > >>>>> > >>>> tacar > >>> > >>>> um openvpn? e se o chefe estiver viajando e em outro PC, e quiser > >>>>> > >>>> acessar > >>> > >>>> algo aqui? não levou os certificados e tudo mais... > >>>>> > >>>>> Bem, qualquer ajuda é bem vinda. > >>>>> > >>>>> Obrigado. > >>>>> ------------------------- > >>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>>> > >>>>> Olá Thiago, > >>>> > >>>> Na minha opinião segurança nunca é demais. > >>>> O OpenVPN é bem prático. Você pode criar um instalador com o arquivo > de > >>>> conf. e automatizar o processo. > >>>> Outra opção que pode considerar é o L2TP. > >>>> > >>>> -- > >>>> Tales > >>>> > >>>> ------------------------- > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>>> > >>>> E Usuário tem algum direito de opinar quanto a infraestrutura de TI e > >>> segurança ? > >>> Cara, na hora que a merda acontecer eles não vão querer lembrar que foi > >>> por > >>> "PREGUIÇA" deles que você utilizou uma solução com sérios problemas de > >>> segurança já relatados. > >>> Usuário não tem que dar palpite em nada quando o assunto é segurança, > >>> qualquer coisa pede para eles instalarem um gerenciador de desktop > >>> remoto e > >>> você mesmo acessa e configura o openvpn ou o IPSec no cliente. > >>> Não cede a preguiça do usuário, implanta o que irá garantir segurança e > >>> integridade na infraestrutura, e lembra-se que a estação do usuário > >>> também > >>> entrará no escopo de politica de segurança da infra, se a mesma estiver > >>> infectada com algum worm com a VPN é um pulo para este chegar a > >>> infraestrutura da empresa. > >>> > >>> Att. Paulo Henrique. > >>> > >>> -- > >>> :UNI><BSD: > >>> Paulo Henrique. > >>> Fone: (21) 37089388. > >>> ------------------------- > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >>> > >>> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > >> Vou te dar uma dica de meu cenário de produção: > > > > OpenVPN: usuários: 2500 - IPSEC: 100 redes -IPSEC+L2TP: 30 usuários todos > > rodando sob FreeBSD 9.3, OpenBSD 5.8 e FreeBSD 10 > > > > O nível de segurança exigido aqui é bem alto e demandando auditorias de > > segurança especializadas de forma regular e criptografia robusta e > eficaz é > > a menina dos olhos. > > Com relação ao OpenVPN discordo um pouco da posição crítica colocada pois > > é possível oferecer pleno suporte ao protocolo TLS 1.2, eliminado assim o > > uso do SSL e mesmo dos protcolos TLS 1.0 e 1.1 e utilizando cifras > > eficientes e robustas como ECDHE-RSA-AES256-SHA512, por exemplo e > afinando > > as configurações tanto do lado do servidor como do cliente de forma a > > suportar todos os recursos mais avançados oferecidos pela biblioteca > > OpenSSL, eliminando o uso de suas vulnerabilidades e claro um requisto > > super importante que é o de somente poder fazer parte deste ecossistema ( > > clientes, recursos e serviços) que suportem os requisitos de segurança > > estabelecidos como uso de autoridade certificadora (CA) própria, lista de > > revogação de certificados em tempo real, certificados digitais com > tamanho > > superior a 3072 bits, uso de Perfect Forward Secret com chaves de pelo > > menos 4096 bits, SHA256, SHA384 ou SHA512 dentre outros recursos como > AEAD > > por exemplo. Dá um pouco de trabalho mas permite com que tablets, > > smartphones, pcs etc possam se conectar mantendo-se um padrão de > segurança > > alto e rigoroso aqui na empresa para suporte a mais de 3000 usuários. > > Com relação ao IPSEC, desnecessário falar de suas virtudes lembrando que > o > > importante é de novo as cifras utilizadas tanto para a fase 1 como para a > > fase 2 observando tamanho das chaves, certificados, enfim.... > > A combinação L2TP+IPSEC é boa mas na hora de um suporte é muito difícil > > não transferirem para o nível 2 ou nível 3 logo de cara por conta da > > complexidade intrínseca. > > PPTP esqueça! Nem para testes pois não vale a pena. > > Ir de IPSEC tem suas vantagens mas a curva de aprendizado é um pouco mais > > íngreme. Com OpenVPN a curva de aprendizado é mais suave e com a vantagem > > de que vc pode ir aumentando o nível de segurança com o passar do tempo à > > medida que vc domina o processo.. E lembrando ainda que se vc não quiser > > usar o OpenSSL é possível usar o PolarSSL e recompilar o OpenVPN e mesmo > o > > LibreSSL e assim ter mais confiança no processo. Uma última dica lembro > > apenas que se o requisito é prover segurança no uso dos recursos não pode > > afrouxar as regras por conta do famoso protocolo legado ( browser, > > aplicações e sistemas operacionais) com um histórico negativo de > > vulnerabilidades. Segurança fim a fim é o único modelo que garante que > seu > > ecossistema ( usuários, recursos e serviços) está sob seu controle ou ao > > menos grande parte dele. > > > > Boa sorte e se precisar e ajuda posta ai as dúvidas! > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Bom, apenas ampliando a discussão e colocando mais informações para fins de enriquecimento do histórico da lista. Com relação a 0-day nem mesmo o IPSec está ileso a 0-day, conforme é discutido aqui [1]. Quanto a experiência que tenho com o OpenVPN, há forma de mitigar o impacto em caso e 0-day. Como todos os ambientes que o utilizei são pequenos, nem comparado ao do Ricardo, sempre adotei o pratica de usar tanto chaves assimétricas + password junto fom regras de firewall limitando o acesso do mesmo. Cheguei a analisar em subir um tunel sobre o SSH e dentro do ssh usar o OpenVPN, funciona muito bem em Unix/Linux contudo quando se coloca o Windows no meios complicou muito a configuração e desisti, além também de impactar significativamente na performance mesmo usando zlib para compactar o tunel do SSH. Ainda mantenho o tunnel SSH para conectar a minha estação a partir do meu notebook, pois passei a confiar muito mais no SSH ao longo dos anos do que no OpenVPN, acho que é reflexo do projeto de origem do SSH que tornal ele muito mais robusto e com um indice de vunerabilidade muito menor que o proprio OpenVPN/SSL [1] - https://www.altsci.com/ipsec/ Att. Paulo Henrique. -- :UNI><BSD: Paulo Henrique. Fone: (21) 37089388. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
