Ultimamente, tenho estudado tecnologias VPN.
Ainda há algo que eu realmente não entendo.
Digamos que eu seja um desenvolvedor remoto e use VPN para acessar os servidores SVN e o serviço de mensagens instantâneas da minha empresa.
Qual é o sentido de um trabalhador remoto parecer aos trabalhadores locais como se estivesse na rede local da empresa?
Se for necessário um serviço da rede local (por exemplo, o sistema de mensagens instantâneas), o administrador não pode simplesmente configurar esse serviço para passar pelo roteador e pela Internet para chegar ao trabalhador remoto?
A conversa entre o trabalhador remoto e o roteador pode até ser criptografada para evitar um ataque Man-In-The-Middle.
Não entendo a necessidade de uma rede virtual neste momento.
Responder1
Existem muitos usos para uma VPN - mas o que você disse é verdade. Você pode configurar esse material para passar pela Internet para um trabalhador remoto. Mas:
- Então você tem um serviço crítico exposto na Internet
- Expor-lo à Internet significa que os script-kiddies tentarão invadi-lo
- Você está potencialmente expondo os dados comerciais confidenciais de sua empresa à Internet (vi, pessoalmente, um caso em que um sistema de controle de versão vazou código confidencial da empresa na Internet e foi indexado pelo Google devido a um bug que foi lançado em um atualizar)
- Se o software que você está expondo tem uma vulnerabilidade, você está divulgando-o para o mundo inteiro
- Muitos softwares não têm criptografia
- Muitos softwares internos têm pouca ou nenhuma autenticação
Colocar este tipo de serviços na Internet é irresponsável e perigoso, a menos que você tenha um plano de segurança extremamente bem pensado.
Exigir que os funcionários usem uma VPN para acessar os serviços atenua praticamente todos esses problemas e oferece alguns outros bônus (por exemplo, autenticação 2FA na VPN).
Existe um meio-termo, que é um proxy de aplicativo (comoProxy de aplicativo do Azure) que expõem serviços à internetsó depoisvocê autenticou. Eles estão ganhando força porque têm menos atrito do que uma VPN.
Além disso, você deseja que o servidor de arquivos da sua empresa seja amplamente exposto à Internet? E quanto ao seu banco de dados contábil? Há muitas coisas que é melhor deixar segregadas em uma rede interna.
Responder2
Acho que Mark Henderson deu pontos positivos, mas acredito que ele tenha esquecido o mais importante.
Se for necessário um serviço da rede local (por exemplo, o sistema de mensagens instantâneas), o administrador não pode simplesmente configurar esse serviço para passar pelo roteador e pela Internet para chegar ao trabalhador remoto?
Claro que pode, mas convenhamos, o que é mais fácil de manter e mais seguro:
- cuidar de vários serviços (vulnerabilidades de segurança, certificados, múltiplas tentativas de login de todo o mundo) que provavelmente são menos seguros do que padrões VPN bem formados, como IPSec/OpenVPN?
- configure o servidor VPN e configure o cliente como um serviço quenão vouseja também bullet prof para sempre sem reconfiguração e manutenção adequadas.
Hoje você precisa do SVN, amanhã você precisará do SMB para acessar alguns outros documentos da empresa, no dia seguinte você pode querer ativar seu computador e trabalhar remotamente via RDP. Depois, 10 outros exemplos semelhantes. Quatro palavras – seu administrador fez tudo de uma vez e conseguiu: flexibilidade, escalabilidade, segurança e autorização.
E, aliás:
A conversa entre o trabalhador remoto e o roteador pode até ser criptografada para evitar ataques MITM.
Ocriptografianunca foi projetado para impedir o MITM, o mecanismo de integridade é.
Responder3
VPN é acessível de qualquer lugar? já está garantido? os trabalhadores não precisam reconfigurar nada na rede porque para eles parece que estão na mesma LAN (mesmo que estejam em outro país/planeta/mundo)? Você pode gerenciar quem faz o quê, quantos têm acesso e quando, em um único lugar?
Não sei qual é o mais útil, mas a VPN é uma ótima ferramenta que seria inventada se ainda não existisse.