[GTER] Qual a real ameaça de usar VPN desconhecida?

[casfre at gmail.com]

2015-12-25 16:34 GMT-02:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Cara, esses firewalls trabalham justamente como MITM,
> e para que eles possam fazer inspeção de tráfego você precisa aceitar o
> certificado dele como confiável.
>
> Num ambiente corporativo, essa instalação de certificados confiáveis
> geralmente a é feita por Política de Grupo(GPO) do Serviço de
> Diretório(Active directory).
>
> Fora esses caso onde a gestão da máquina não depende do usuário final,
> costuma-se usar o mesmo certificado do HTTPS do Captive-Portal.
> O que torna menos óbvio o MITM para usuário leigo:
> (Nossa, mas eu já tinha aceitado esse certificado, deve ter que aceitar
> duas vezes para funcionar.)
>

Humpf.

Então continua lá o detalhe do certificado, razão pela qual Danton levantou
a questão. Pensando no que Patrick citou sobre pinning, também fiquei
pensativo sobre como essa feature se comporta com esses "firewalls de
aplicação".

Não havendo controladores de domínio disponíveis, o encargo da instalação
dos certificados teria que ser revolvido por outros meios.

Eu não gosto nem um pouco da ideia de "fuçar" em conexões HTTPS. Nem sempre
há só empresas que usam proxies e firewalls, mas também organizações,
clubes, escolas etc. Se a saga do certificado continua lá, então, o sslbump
do Squid parece interessante de novo.

Voltando à paranóia, se o usuário seguir o padrão que citou, então, a
interceptação de HTTPs, como imaginei, seria real e exequível?

Permanece a dúvida: como esses "firewalls de aplicação" lidam, por exemplo,
com o risco de DLP por meio de conexões via tunel com SSH? Se alguém usar
essas "VPNs de qualquer um" e, dentro do túnel, usar uma conexão via SSH,
ainda se aplica á paranóia/

Obrigado.

Cássio