[GTER] Qual a real ameaça de usar VPN desconhecida?
Douglas Fischer
fischerdouglas at gmail.com
Fri Dec 25 16:34:08 -02 2015
Cara, esses firewalls trabalham justamente como MITM,
e para que eles possam fazer inspeção de tráfego você precisa aceitar o
certificado dele como confiável.
Num ambiente corporativo, essa instalação de certificados confiáveis
geralmente a é feita por Política de Grupo(GPO) do Serviço de
Diretório(Active directory).
Fora esses caso onde a gestão da máquina não depende do usuário final,
costuma-se usar o mesmo certificado do HTTPS do Captive-Portal.
O que torna menos óbvio o MITM para usuário leigo:
(Nossa, mas eu já tinha aceitado esse certificado, deve ter que aceitar
duas vezes para funcionar.)
Em 24 de dezembro de 2015 18:24, casfre at gmail.com <casfre at gmail.com>
escreveu:
> 2015-12-22 23:25 GMT-02:00 Danton Nunes <danton.nunes at inexo.com.br>:
>
> > On Tue, 22 Dec 2015, casfre at gmail.com wrote:
> >
> > Pensativo aqui: se todo o tráfego foi direcionado pelo túnel da VPN, não
> >> seria possível usar, no provedor do túnel, algo com os "firewalls de
> >> aplicação de última geração" e interceptar, inclusive, o tráfego em
> HTTPS?
> >> Eu ainda não vi essas soluções funcionando, mas pelo menos propaganda já
> >> vi
> >> muitas. :-)
> >>
> >
> > https? se você conseguir fazer isso, vende para a NSA e pro GCHQ.
> >
>
> Ué, eu não consigo não. :-)
>
> O que me intriga, agora, é que, se é assim, então, aqueles "firewalls de
> aplicação", que oferecem solução, por exemplo, para não haver "vazamento"
> de informações via HTTPS, também não farão? A "promessa" (e eu ainda não vi
> funcionando) é que não haveria problemas com o certificado e ainda seria
> possível, por exemplo, dizer que "HTTPS sim, SSH não". :-)
>
> Como eu nunca vi isso "funcionando", realmente não há como fazer? :-)
>
> E, se não tem, então, a "doideira" que eu pensei também não aconteceria no
> mérito da discussão, que é o uso de VPN desconhecida e os riscos disso. :-)
>
> Obrigado.
>
> Cássio
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list