Vulnerabilidade da VPN SSL é um desafio tecnológico
A SonicWall é um dos fabricantes apontados pelo relatório do US-CERT com uma vulnerabilidade no uso da VPN SSL com browser. Francisco Pinto, vice-presidente de vendas da América Latina, reconhece a falha, mas alerta que apesar da tecnologia ser uma opção segura, a funcionalidade do browser para acessar a VPN-SSL é um desafio tecnológico para todos.
“Não há problema nenhum nem nada de errado com a tecnologia VPN-SSL, mas existe uma vulnerabilidade para o uso do browser conhecida por todos os fabricantes do mercado”, justifica. Pinto ainda explica que se existir um hacker num local público de acesso á internet, ele pode capturar uma sessão e seus cookies, copiando assim seu tráfego e tentar remontar essa conexão. “Isso nunca aconteceu na prática com nenhum equipamento da SonicWall”, garante o executivo.
Ele ainda argumenta que a própria fabricante oferece o acesso ilimitado para VPN –SSL via browser para 700 do total dos seus 1 mil funcionários. No Brasil, entretanto, a maioria das máquinas vendidas pela fabricante ainda utiliza o padrão IPSEC, cuja evolução tecnológica é o SSL. Do total de 50 mil firewalls vendidos no Pais, 95% tem a VPN-IPSEC habilitada e menos de 5% da base utiliza a tecnologia VPN-SSL.
Arley Brogiato, engenheiro de sistema da SonicWall, explica que a vulnerabilidade pode ser amenizada a partir de políticas de restrição de acesso para este tipo de conexão. “É muito comum criar um portal com apenas uma senha para o usuário ter acesso a todo documento disponível internamente. É importante que quando ele esteja remoto, o acesso seja restrito somente ao que é extremamente relevante e não a toda rede interna”, ensina. Brogiato ainda indica o uso de tokens e do mecanismo contra-chave para a autenticação do usuário na VPN-SSL via browser
fonte: Vulnerabilidade da VPN SSL é um desafio tecnológico
Posts relacionados: