[GTER] Qual a real ameaça de usar VPN desconhecida?

Douglas Fischer fischerdouglas at gmail.com
Wed Dec 30 00:14:40 -02 2015 

É quase por aí!

Mas tens que se cuidar com os mentirosos do comercial! Seja de que
fabricante for...

Se perguntar pro cabra do comercial se faz interceptação de qualquer SSH,
ele vai dizer:
  "Olha tenho quase certeza que sim...
   Pelo menos foi isso que meu pre-vendas me disse."

Se perguntar para um técnico de pré-vendas sério, ele vai te dizer que:
  "Dependendo de como a sessão ssh for estabelecida,
   o NGFW não vai ter nem a possibilidade de tentar interceptar a conversa."


O Lance do Skype em específico é uma NOVELA!
Se realmente tem essa demanda, MANDE ESCREVER na proposta que a ferrament
VAI FAZER a interceptação do Skype.
P.S.: Isso me lembra MSN e Aker e começo a sentir náuseas.




Em 29 de dezembro de 2015 22:35, casfre at gmail.com <casfre at gmail.com>
escreveu:

> 2015-12-28 14:00 GMT-02:00 Douglas Fischer <fischerdouglas at gmail.com>:
>
> > Percebo que está havendo um bocadinho de confusão aqui.
> >
> > E talvez uma superestima do conceito de NGFW(tema que é dúbio por
> > natureza).
> >    P.S.: Isso tem uma cara de semente plantada
> >          por vendedor da Palo-Alto que só.
> >
> >    P.S. do P.S: Palo-Alto É SIM MUITO FODA,
> >                 e não tenho nada contra ela.
> >
> >    Sugestão: Esqueça a marca, apegue-se ao conceito.
> >
>
> Na verdade a conversa também apareceu nos outros fabricantes. Meu foco já
> está mesmo em entender o que a "caixa" faz/promete fazer. O que eu vi em
> comum, quando solicitei informações (já faz algum tempo), foi que o preço,
> incluindo as renovações anuais, não são convidativos. :-)
>
>
> > Na minha visão, NGFW é a ferramenta que possibilita identificação e
> análise
> > de cada conexão/stream de dados sem necessariamente depender dos
> > sinalizadores básicos(Ex.: Protocolo e Porta), e faz
> > in-line(Ponto-Controverso) com performance comparável a side-walk.
> >
>
> Isso. Seja qual for o termo correto para definir o artefato, a ideia é
> poder dizer que eu posso usar o Skype e o Douglas nâo (mesmo que o Skype
> use HTTPS para se conectar); que eu posso usar a porta 993(ou 995, não me
> lembro), mas apenas para POP3 e para nada mais. E por ai vai. A "caixa" se
> vira para fazer funcionar, sem a dependência do usuário especificar portas,
> protocolos etc. :-) E, combinando as features, a caixa permite a
> implementação da política de uso (ou regra de negócio); cada caixa com suas
> deficiências e e com suas qualidades.
>
>
> > Segue um exemplo MUITÍSSIMO superficial:
> > Uma conexão SSH que foi estabelecida na porta 110 continua sendo uma
> > conexão SSH.
> > Como saber disso? Olhe para a silhueta dos pacotes... As tais
> > "assinaturas".
> >
> > MAAAAAS, não existe mágica!
> > Esse papinho de que um NGFW pode quebrar criptografia é BALELA!
> > Ele precisa sim ter as chaves do certificado, seja original ou seja fake,
> > para ele poder fazer uma inspeção do tipo Man-In-The-Middle.
> >
>
> Sim, no frigir dos ovos nós vamos terminar na situação onde é necessária a
> instalação do certificado da "caixa" nas estações que forem usar essas
> conexões. Imagino que a caixa tenha capacidade para fazer o MITM para
> outros protocolos que usam criptografia, seja SSH, seja Skype, seja um App
> em um smartphone etc.
>
>
> > Então, naquele seu exemplo da conexão SSH que está sendo estabelecida
> > através de um Tunnel sobre HTTPS(Voltamos a ficar ON-TOPIC) o Firewall de
> > Nova Geração só vai conseguir identificar que ali por dentro passa um
> > SSH(independente de porta) se ele para enxergar a silhueta dos dados que
> > estão passando dentro do HTTPS, e como fazer isso? MITM!
> >
>
> > Ou seja, não tem nada de muito especial nessa parada.
> > O que tem de diferencial(minha opinião) é como cada fabricante faz isso
> sem
> > adicionar latência na conexão. Aí entra o bom uso do multicore e do
> > processamento paralelo, além da virtualização que dá uma mãozinha nisso
> > tudo.
> >
>
> Sim. De um jeito ou de outro, ou a estação "concorda" com o certificado da
> caixa, ou nada feito. Imaginio que o grande ganho vai ficar mesmo nas
> funcionalidades ao redor disso e nas qualidades que citou.
>
>
> > Um breve re-fork sobre Data Loss Prevention.
> > É recurso MUITO sério, e que caiu nas graças da verborragia comercial dos
> > fabricantes de Firewall.
> > Não é porque a sua caixa possui a capacidade de implementar um ou dois
> > recursos de inspeção de DLP que seu ambiente vai estar protegido contra
> > DLP.
> >
>
> No detalhe do DLP eu percebi, pelo que apresentou, que  a caixa faz parte
> da solução, mas não é a solução sozinha (políticas de uso/regra de negócio
> etc).
>
> No final das contas, usar VPN desconhecida pode acabar em prejuízo. Basta
> concordar com o certificado do MITM (além dos outros 'perigos' relatados na
> thread). :-)
>
> Agradeço pelas informações e pelos esclarecimentos.
>
> Obrigado.
>
> Cássio
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list