[GTER] Qual a real ameaça de usar VPN desconhecida?

[casfre at gmail.com]

2015-12-28 14:00 GMT-02:00 Douglas Fischer <fischerdouglas at gmail.com>:

> Percebo que está havendo um bocadinho de confusão aqui.
>
> E talvez uma superestima do conceito de NGFW(tema que é dúbio por
> natureza).
>    P.S.: Isso tem uma cara de semente plantada
>          por vendedor da Palo-Alto que só.
>
>    P.S. do P.S: Palo-Alto É SIM MUITO FODA,
>                 e não tenho nada contra ela.
>
>    Sugestão: Esqueça a marca, apegue-se ao conceito.
>

Na verdade a conversa também apareceu nos outros fabricantes. Meu foco já
está mesmo em entender o que a "caixa" faz/promete fazer. O que eu vi em
comum, quando solicitei informações (já faz algum tempo), foi que o preço,
incluindo as renovações anuais, não são convidativos. :-)


> Na minha visão, NGFW é a ferramenta que possibilita identificação e análise
> de cada conexão/stream de dados sem necessariamente depender dos
> sinalizadores básicos(Ex.: Protocolo e Porta), e faz
> in-line(Ponto-Controverso) com performance comparável a side-walk.
>

Isso. Seja qual for o termo correto para definir o artefato, a ideia é
poder dizer que eu posso usar o Skype e o Douglas nâo (mesmo que o Skype
use HTTPS para se conectar); que eu posso usar a porta 993(ou 995, não me
lembro), mas apenas para POP3 e para nada mais. E por ai vai. A "caixa" se
vira para fazer funcionar, sem a dependência do usuário especificar portas,
protocolos etc. :-) E, combinando as features, a caixa permite a
implementação da política de uso (ou regra de negócio); cada caixa com suas
deficiências e e com suas qualidades.


> Segue um exemplo MUITÍSSIMO superficial:
> Uma conexão SSH que foi estabelecida na porta 110 continua sendo uma
> conexão SSH.
> Como saber disso? Olhe para a silhueta dos pacotes... As tais
> "assinaturas".
>
> MAAAAAS, não existe mágica!
> Esse papinho de que um NGFW pode quebrar criptografia é BALELA!
> Ele precisa sim ter as chaves do certificado, seja original ou seja fake,
> para ele poder fazer uma inspeção do tipo Man-In-The-Middle.
>

Sim, no frigir dos ovos nós vamos terminar na situação onde é necessária a
instalação do certificado da "caixa" nas estações que forem usar essas
conexões. Imagino que a caixa tenha capacidade para fazer o MITM para
outros protocolos que usam criptografia, seja SSH, seja Skype, seja um App
em um smartphone etc.


> Então, naquele seu exemplo da conexão SSH que está sendo estabelecida
> através de um Tunnel sobre HTTPS(Voltamos a ficar ON-TOPIC) o Firewall de
> Nova Geração só vai conseguir identificar que ali por dentro passa um
> SSH(independente de porta) se ele para enxergar a silhueta dos dados que
> estão passando dentro do HTTPS, e como fazer isso? MITM!
>

> Ou seja, não tem nada de muito especial nessa parada.
> O que tem de diferencial(minha opinião) é como cada fabricante faz isso sem
> adicionar latência na conexão. Aí entra o bom uso do multicore e do
> processamento paralelo, além da virtualização que dá uma mãozinha nisso
> tudo.
>

Sim. De um jeito ou de outro, ou a estação "concorda" com o certificado da
caixa, ou nada feito. Imaginio que o grande ganho vai ficar mesmo nas
funcionalidades ao redor disso e nas qualidades que citou.


> Um breve re-fork sobre Data Loss Prevention.
> É recurso MUITO sério, e que caiu nas graças da verborragia comercial dos
> fabricantes de Firewall.
> Não é porque a sua caixa possui a capacidade de implementar um ou dois
> recursos de inspeção de DLP que seu ambiente vai estar protegido contra
> DLP.
>

No detalhe do DLP eu percebi, pelo que apresentou, que  a caixa faz parte
da solução, mas não é a solução sozinha (políticas de uso/regra de negócio
etc).

No final das contas, usar VPN desconhecida pode acabar em prejuízo. Basta
concordar com o certificado do MITM (além dos outros 'perigos' relatados na
thread). :-)

Agradeço pelas informações e pelos esclarecimentos.

Obrigado.

Cássio