[GTER] Qual a real ameaça de usar VPN desconhecida?

casfre at gmail.com casfre at gmail.com
Fri Jan 1 14:27:51 -02 2016 

2015-12-30 0:14 GMT-02:00 Douglas Fischer <fischerdouglas at gmail.com>:

> É quase por aí!
>
> Mas tens que se cuidar com os mentirosos do comercial! Seja de que
> fabricante for...
>
> Se perguntar pro cabra do comercial se faz interceptação de qualquer SSH,
> ele vai dizer:
>   "Olha tenho quase certeza que sim...
>    Pelo menos foi isso que meu pre-vendas me disse."
>
> Se perguntar para um técnico de pré-vendas sério, ele vai te dizer que:
>   "Dependendo de como a sessão ssh for estabelecida,
>    o NGFW não vai ter nem a possibilidade de tentar interceptar a
> conversa."
>

Na verdade, quando o assunto "appliance" vem à tona, um dos pontos que eu
nunca deixei de enfatizar foi para não se abrir mão dessa corroboração, ou
seja, só compre se houver um piloto e uma validação de que faz o que diz
fazer, principalmente nesses pontos polêmicos (além de performance com
todas as features ativadas, necessidades de licenciamentos separados, SLA,
custos de renovação  etc).

O Lance do Skype em específico é uma NOVELA!
> Se realmente tem essa demanda, MANDE ESCREVER na proposta que a ferrament
> VAI FAZER a interceptação do Skype.
> P.S.: Isso me lembra MSN e Aker e começo a sentir náuseas.
>

O Skype é só um exemplo de aplicações "complicadas" de se controlar. O
requisito na verdade é ter a capacidade de dizer "quem pode o que", sem ter
que lidar apenas com protocolo/porta/origem/destino etc. Em um dos casos
que analisei, esse foi um dos pontos (Skype) em que nem houve resposta
quando eu "apertei" o questionamento.

Eu sempre achei estranha essa história de que conexões criptografadas (SSH
e HTTPS por exemplo) poderiam ser "automagicamente" monitoradas (sem o
famigerado erro do certificado ou sem uma intervenção direta para que o
erro não aparecesse - instalar o certificado, por exemplo). Por exemplo,
sem proxy e sem manipulação de certificados, impedir que um tunel SSH seja
aberto via porta 443, sem tocar no tráfego HTTPS ou sem misturar uma coisa
com a outra. Mas, como a cada dia aparece uma "novidade tecnológica" é bom
sempre duvidar.

Em uma proposta da Palo Alto, o proponente insistiu que a solução só
poderia ser implantada se antes do dimensionamento houvesse um piloto.

Obrigado.

Cássio

More information about the gter mailing list