[GTER] Qual a real ameaça de usar VPN desconhecida?
Douglas Fischer
fischerdouglas at gmail.com
Fri Dec 25 23:30:35 -02 2015
Em 25 de dezembro de 2015 21:23, casfre at gmail.com <casfre at gmail.com>
escreveu:
>
> Permanece a dúvida: como esses "firewalls de aplicação" lidam, por exemplo,
> com o risco de DLP por meio de conexões via tunel com SSH? Se alguém usar
> essas "VPNs de qualquer um" e, dentro do túnel, usar uma conexão via SSH,
> ainda se aplica á paranóia/
>
Num ambiente em
que se pensa em DLP, permitir que o usuário(E estou falando de QUALQUER
usuário) faça qualquer tipo de conexão para fora que não sejam passante
pelos meios que inspecionam o DLP é quebra de protocolo!
Em outras palavras:
Não tem cabimento falar em DLP num ambiente em que o usuário possa abrir
uma conexão SSH para fora. Se não puder ser aberto pelo NGFW, ou pelo
e-mail inspector, não passa.
Não tive a oportunidade ainda de participar de um projeto de implantação de
DLP efetivo.
Apenas estudei para apresentarmos um... Mas cara, a coisa é SERÍÍÍSSSIIIMA!
Muito mais política do que técnica. MUITO MAIS!
Todo o acesso é CASTRADO!
- Conteúdo WEB? Lista Branca com aprovação de superior e período de
validade(foi aí que tomamos pau).
- Protocolos para fora? Só HTTP e HTTPS!
- E o HTTPS só o que aceitava a troca do certificado para o MITM.
A maioria da APPs para celular não aceita.
SPDY não tava dando liga naquela época.
Mesmo HTTPS, o alguns sites em alguns Browsers não aceitam MITM(Ex.:
Gmail+Chrome)
- DNS recursivo dedicado e o resto do mundo bloqueado.
- E-mail? Subdomínio da empresa com ferramenta de e-mail dedicada.
- Acesso WEB? Lista Branca com aprovação de superior e período de
validade(foi aí que tomamos pau).
O projeto era muito mais de governança do que de infraestrutura.
> Obrigado.
>
> Cássio
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list