[MASOCH-L] OpenVPN para acesso aos clientes
Douglas Fischer
fischerdouglas at gmail.com
Thu May 14 10:25:54 -03 2015
A idéia é boa!
Usei o mesmo conceito SSH reverso nos meus idos tempos de Linux.
Mas, pergunta...
E os clientes vão aceitar isso?
Eles vão estar sabendo desse acesso não supervisionado?
Digo isso pois do ponto de vista da empresa cliente isso é uma brecha de
segurança bastante considerável.
Alguns clientes não querem nem ativar os call-home de produtos com
garantia...
Preferem fazer liberação manual, transmissão, e bloqueio manual para evitar
backdoor.
Sei que é meio paranoia, mas eu não condeno a ideia completamente...
Em 14 de maio de 2015 10:00, Vinícius Fontes <contato at viniciusfontes.com>
escreveu:
> Ótimas dicas, já tinha implementado a maioria no meu ambiente de teste.
>
> Outro problema que me ocorreu é caso o cliente utilize em sua rede interna
> o mesmo bloco privado que eu atribuí à VPN. Por exemplo, 172.16.2.0/24.
> Para evitar isso, estou pensando em usar o bloco 100.64.0.0/10, que é
> definido pela RFC 6598 para utilização em CGNAT.
>
> Em 14 de maio de 2015 09:43, Leonardo Rodrigues <leolistas at solutti.com.br>
> escreveu:
>
> > On 14/05/15 09:21, Vinícius Fontes wrote:
> >
> >> Tenho conhecimento técnico para implementar esta solução, mas gostaria
> da
> >> opinião dos colegas (que tem muito mais conhecimento e experiência do
> que
> >> eu). Isso é uma boa idéia? Existe algum problema nessa solução que não
> >> estou enxergando? Um problema que pensei seria o servidor do cliente ser
> >> comprometido, e isso ser um vetor de ataques à minha rede, mas creio que
> >> isso pode ser mitigado por regras de firewall.
> >>
> >> Ótima idéia e, com poucas observações, torna-se uma solução
> > imbatível e bastante segura. Tenho algo parecido rodando hoje em dia sem
> > grandes problemas.
> >
> > 1) use o OpenVPN em modo TLS, gere 1 certificado pra cada servidor que
> > você precisa acesso, já que assim você pode revogar certificados
> > individualmente e não se preocupar com que suas chaves (no caso de uma
> VPN
> > de chave estática, por exemplo) vaze;
> > 2) não use a dobradinha "server" e "ifconfig-pool-persist" para
> distribuir
> > IPs pros seus clientes (seus servidores), já que essa solução não garante
> > que cada cliente vai receber sempre o mesmo IP. Use "ccd-exclusive" e um
> > arquivo de configuração por certificado (= por servidor) com um
> > "ifconfig-push". Assim você tem certeza que cada certificado, quando
> > conectado, vai receber sempre o mesmo IP
> > 3) regras de firewall conseguem evitar o tráfego originado do cliente pra
> > sua rede, essa é fácil
> > 4) pra dificultar a vida de algum atacante, um "tls-auth" vai sempre bem
> !
> > 5) não esqueça de ajustar o max-clients de acordo com a quantidade de
> > clientes (servidores) que irão usar a solução
> >
> >
> > o que me vem à cabeça é isso ...
> >
> >
> >
> >
> > --
> >
> >
> > Atenciosamente / Sincerily,
> > Leonardo Rodrigues
> > Solutti Tecnologia
> > http://www.solutti.com.br
> >
> > Minha armadilha de SPAM, NÃO mandem email
> > gertrudes at solutti.com.br
> > My SPAMTRAP, do not email it
> >
> >
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the masoch-l
mailing list