28 de nov. de 2009

Segurança em acesso remoto - Parte I

Vou falar hoje de um assunto de extrema importância no nosso ramo e cada vez mais comum no ambiente corporativo: ACESSO REMOTO

O mundo atual exige que o profissional das mais diversas áreas possua uma maneira de se conectar a empresa independente do local que esteja, para manter o trabalho em dia, bater metas, atender aos clientes de uma maneira mais rápida, etc.

O ACESSO REMOTO vem sendo abordado a cada dia, não como uma facilidade, mas também como uma maneira de diminuir custos, pois um dos assuntos da vez é : HOME OFFICE. E todos sabemos que, quanto mais funcionários conseguirem realizar seus trabalho da prória casa, maior é a economia com infra-estrutura de TI, com espaço físico, água, banheiros, folhas, energia elétrica, entre outros benefícios.

Mas qual é a melhor maneira de fornecer esse recurso de uma maneira eficiente e SEGURA?

Obviamente que, estou falando de acessos remotos via VPN (Virtual Private Network), onde todo a informação trafega pela internet de maneira criptografada. Entre os diversos tipos de VPN do tipo "client-to-gateway" utilizadas hoje estão: PPTP, L2TP, IPSEC e SSL.

Mas antes de escolher que tipo de VPN usar, é preciso ter uma política de acesso remoto bem definida, ou ela pode se tornar um "tiro no pé". Para isso é preciso pensar em alguns pontos, como por exemplo:

* O usuário deve conseguir acesso através de qualquer computador ou apenas estações de trabalho homologadas?
Acessar a rede da empresa utilizando um computador desconhecido pode ser muito perigoso. Imaginem alguém acessando através de uma Lan House, cujo computador pode estar cheio de programas maliciosos capturando todas as credenciais de acessos ou infectando a rede corporativa.

* Quais acessos esse usuário deve ter?
Dar acesso demais pode acabar em fuga de informação entre outros problemas.

* Auditoria
É preciso armazenar logs de todos os acessos realizados remotamente para possibilitar a realização de auditorias.

* Política de autenticação forte
Para evitar que o acesso seja utilizado por outras pessoas, é preciso pensar em um forte recurso de autenticação. Não é aconselhável usar apenas a velha fórmula: Usuário e senha.
O ideal é ter pelo menos 3 tipos de informação, sendo uma delas dinâmica, como por exemplo o token (físico ou lógico). Para que a autenticação seja consideda forte são necessárias 3 coisas: Algo que o usuário é (username), algo que o usuário sabe (senha) e algo que o usuário possua (token, smartcard, etc)


Somente após definir esses passos a empresa deve escolher a tecnologia que mais se adapta a esse perfil de acesso.

No próximo post vou fazer uma pequena comparação entre os dois métodos mais utilizados hoje em dia para esse fim: VPN IPSEC e VPN SSL.

Abraço a todos!


4 comentários:

  1. Muito Bom !!!

    Agora,me diz uma coisa, fazendo uma comparação entre as soluções de acesso remoto Cisco e Juniper, em sua opinião:

    Quais são os prós e os contras ???

    Te pergunto isto por conhecer apenas Cisco e o Danilo dizer que vcs usam muito Juniper ai na empresa.

    Abs,

    ResponderExcluir
  2. Olá Adilson,

    Sei que a CISCO possui as duas opções, ou seja, VPN IPSEC, que é necessário a utilização de um client instalado da estação de trabalho (assim como o Secure Remote da Checkpoint)e a VPN SSL.A Juniper também possui essa opção de VPN IPSEC utilizando um cliente e configurando em qualquer um de seus Firewalls, porém o forte dela é a VPN SSL, através de sua linha Secure Access. A vantagem dessa tecnologia é que não exige a utilização de cliente, basta um browser qualquer navegando na Internet. O legal desse tipo de solução é que possibilita criar opções de segurança em várias camadas, ao contrário da IPSEC.

    ResponderExcluir
  3. Ah, esqueci de dizer!

    No próximo post eu irei fazer essa comparação, citando os prós e contras dos dois tipos de VPN!

    abraço!

    ResponderExcluir