Muitas vezes encontro empresas que utilizam serviços como, VNC, Remote Desktop, SSH ou mesmo o compartilhamento padrão do Windows através da internet.
Quando sou consultado sobre se isto está correto explico que existe uma forma segura de executar tais serviços e introduzo o conceito de VPN.
Nesta postagem quero apenas introduzir de forma bem simplificada conceito de VPN (Virtual Private Network) e não ensinarei ainda a implementá-lo.
Uma VPN é, como diz o nome, uma Rede Virtual Privada, uma rede privada que funciona sobre uma rede pública como a internet. De forma simplificada quando um computador se conecta a uma rede através da VPN é como se ele estivesse fisicamente no mesmo local da rede destino. Exemplo:
Você têm um notebook e em sua casa outros três computadores em rede. Quando você chega na sua casa e conecta seu notebook a rede de sua casa, você tem algum acesso a esses computadores, seja apenas o compartilhamento do Windows, ou qualquer serviço de rede como VNC, SSH ou remote desktop.
Pois bem, como fazer para acessar esses mesmos serviços quando você não está em casa? Em alguns casos apenas uma configuração no gateway de sua rede, permite que você acesse os serviços pela internet, mas é seguro confiar apenas em uma senha como a do VNC?
Muitas vezes vejo empresas com vários serviços, confiando apenas na senha do serviço como segurança. Uma senha como a do VNC, normalmente (nem sempre) é muito fácil de ser alterada ou descoberta. A razão é a falta de criptografia em alguns softwares, ou o nível muito baixo de criptografia na maioria deles (fora o fato de que no Windows ela fica armazenada em uma chave do registro que é praticamente conhecimento público).
Outro ponto importante a se considerar é que a informação que trafega por alguns serviços não é criptografada, então se estamos usando o notebook em um local público (rodoviária, shopping, hotel...) corremos o risco de ter a informação que trafega dos nossos computadores até o serviço correspondente "interceptada", ou seja, os arquivos que estamos enviando, recebendo, ou mesmo a senha que fornecemos para utilizar o serviço pode ser roubada por um usuário mais experiente que esteja na mesma rede, ou mesmo por um administrador de índole questionável do local que fornece seu acesso a internet.
Em nosso exemplo uma forma de aumentar a segurança é implantar uma VPN em nossa rede doméstica. de forma que os serviços só possam ser usados por quem está conectado fisicamente a rede, ou pela VPN.
Conectar à VPN tem um resultado semelhante ao que obtemos quando chegamos em casa e conectamos nosso notebook na rede. É claro que a rede interna (provavelmente 10/100) é muito mais rápida do que a conexão que teremos ao cruzar todas a internet com um link de 2 Mb ou mesmo 8 Mb, comuns em residências e locais públicos.
Um ganho simples disso é que para se conectar à VPN, um usuário mal intencionado teria que:
- Descobrir que há uma VPN em sua rede
- Descobrir a porta de acesso
- Conseguir os certificados de acesso
- Descobrir a senha
Depois de tudo isso ele terá o mesmo trabalho que teria antes para conseguir invadir o seu serviço de rede, que antigamente era utilizado diretamente na internet.
Fica fácil perceber que, na pior das hipóteses aumentaremos consideravelmente o trabalho de um possível invasor, fora outros ganhos que podem ser mencionados como a criptografia que te permite trafegar com os dados, mesmo que se esteja em um local público, com um nível de segurança muito maior já que a informação é criptografada.
Para sermos justos vou mencionar as duas desvantagens que percebo em VPNs.
- Diminui um pouco a praticidade
- Torna o serviço um pouco mais lento
Diminui a praticidade, pois antes o acesso ao serviço era feito diretamente, apenas digitando a senha do serviço e agora é necessário conectar a VPN antes de acessar qualquer serviço.
Torna um pouco mais lento, pois o processo de criptografia dos dados demora um pouco, realmente pouco, mais dependendo do serviço pode ser sensível a diferença.
Já que eu citei desvantagens vale lembrar que quanto mais seguro o sistema, menos prático e mais lento ele tende a ser (de novo, eu não disse sempre).
Postagens
Nenhum comentário:
Postar um comentário