Em meus sonhos, eu passo várias horas do mês varrendo a Internet para fazer uma breve avaliação da segurança das redes. É um sonho maluco, que já dura um pouco mais de 10 anos. Espero um dia dormir a noite inteira sem sonhar com isso.
Bom, algumas coisas simplesmente não mudam quando estou nas redes brasileiras. Senhas padrão em roteadores e em alguns sistemas são alguns exemplos.
Mas se tem uma coisa que acho uma grande loucura e que vejo com muita frequência, são os serviços de terminal (Terminal Service = TS ) com a cara na Internet.
Sei que muitas vezes esses servidores estão na rede interna (não em uma DMZ), que não há sistemas, nem procedimentos para blindar o servidor ainda durante sua instalação e configuração, assim como sei que ninguém monitora os logs para saber se tem algum "hacker" tentando quebrar a senha do serviço para acessá-lo. Ou seja, o servidor está protegido pelo divino espírito santo.
Muitas vezes, quando conheço as empresas (mesmo em meus sonhos), pergunto o porquê, mas as respostas são as mais loucas possíveis.
Não sei qual a dificuldade de se implementar uma VPN para esses casos.
Uma VPN (Virtual Private Network - Rede Privada Virtual) possibilita conexões criprografadas entre o cliente e o servidor.
O ideal é que o cliente se conecte na VPN e só depois seja direcionado para se autenticar no serviço de terminal.
Utilizando esse caminho, todo o tráfego entre o cliente e a empresa será criptografado e o serviço de terminal não precisará estar disponível na Internet para qualquer outro sonhador ficar tentando quebrar a senha ou se utilizar de algum furo não corrigido no serviço de terminal para acessar algum sistema da empresa.
O cenário ainda pode piorar se o "hacker" conseguir acessar o servidor e em seguida tiver acesso livre a outros servidores e informações na rede. Os sonhos de uns podem ser pesadelos de outros.
É isso aí gente, vamos criar Políticas de Segurança e deixar os arquitetos da segurança trabalhar....Ah simmmmm...liberem recursos.
Continuem enviando suas dúvidas e sugestões para rodrigo.ramos@triforsec.com.br
Qq coisa tô no twitter http://twitter.com/rodbramos
t+
saúde e paz
Nenhum comentário:
Postar um comentário