Služby za VPN

[B.H.L.]

Ahoj.

Předesílám, že o síťování vím kulový a tohle je pravděpodobně velice hloupej dotaz.

Pokud potřebuju k nějaký službě přistupovat z mnoha různých míst, proč nestačí na ní nastavit heslo, ale schovává se ještě za VPN?

Logicky, pokud z nějakýho důvodu je zabezpečení heslem nedostatečné, tak zabezpečení dvěma hesly (k té vlastní službě a k VPN) nebude zase o tolik lepší, ne?

Nebo když lidi mluvěj o VPN, tak automaticky myslí i nějaký certifikáty, klíče, dvoufaktory,...? To by pak samozřejmě už smysl dávalo.

Předem děkuji za odpovědi, k věci i mimo věc :-)

[Reklama]

[Wasper]

Hlavním důvodem, proč se tohle obvykle dělá, je to, že udělat jakoukoli netriviální aplikaci tak bezpečnou, aby šla vystrčit do světa, je prakticky nemožné.
(nechme stranou náboženské debaty, každý kdo sleduje masové hacky stejně ví své)

VPN, ať už pravá, nebo třeba jen ověření certifikátu na reverse proxy, je většinou dělána právě s tímhle ohledem poněkud bezpečněji, než bývá zvykem (no, né, že by to bylo něco extra, zrovna teď excelují Ivanti, jindy zase jiní mají své dny, ale každopádně to není taková trága, jako zbytek IT ekosystému), takže to dost podstatně omezuje attack surface, a tedy i celkové riziko.

(samozřejmě to není panácea na bezpečnost, ale dost podstatná součást ano.)

[stemar]

Je otázka co myslíte tím "nějaká služba". Ona ta VPN má i jiné funkce než navýšení bezpečnosti. Ale ano, i tak. Většina VPN je opravdu dobře zabezpečená proti neoprávněnému přístupu. A tím že vaše služba není přístupná komukoli odkudkoli ale jen již prověřeným klientům přes VPN tak je opravdu bezpečnější. Nedostanou se na ni např. miliardy botů z nejrůznějších botnetů.

[Exceptions]

bezpečnost, jednoduchost na validaci, jasně stanovený perimetr, transparentnost.

K službě si samozřejmě stačí nastavit heslo, jenže pokud jde o webovou aplikaci, znamená to, že ta služba nemá jediné dveře, ale má desítky, stovky, tisíce různých adres, u kterých musíš zajistit, že probíhá kontrola přihlášení, že tam není zapomenutá nějaká, která není ošetřena. Z toho důvodu je vhodné, aby cokoliv co je vystrčeno ven, bylo i dostatečně jednoduché, aby bylo možné snadno dělat kontrolu a hlavně, aby často neprobíhala změna, která tam díru může zavléct.

VPN je řešení, uzavře vše za jediné dveře a snižuje riziko, že pokud je aplikace děravá, zneužití je možné pouze z kontrolovaného prostředí, kde to mohou zachytit nějaké další nástroje (dnes se tomu říká SIEM). VPN umožňuje daleko silnější způsob přihlášení než poskytuje webový formulář na internetové stránce.

VPN nejsou ale pouze dveře, díky tomu, že to je tunel k plnohodnotné síti, mohu ti tam dávat vlastní DNS a zabránit jeho podstrčení, mohu ověřovat i samotnou stanici (čti jednotné a přihlášení do domény), pokud by náhodou z tvé stanice probíhal útok na interní služby, vím to a mohu tě odříznout (když je služba vystavena ven, blbě se cokoliv odřezává, protože nevím, kde kdo je). Pokud i přesměruji všechen internet přes VPN, mohu kontrolovat, jestli z tvého počítače neprobíhá komunikace typická pro nějakou nákazu. Služby za VPN jsou schované, takže neposkytuji útočníkovi informace, co vlastně a jak používám, což třeba efektivně brání proti robotům zkoušející 0day zranitelnosti (čerstvě objevené v aktuálním SW).

VPN se dá přirovnat k tomu, že máš recepci do svých kanceláří a všichni přes ní musí projít, už nemusíš tolik kontrolovat, kdo sedí stolu, stačí namátkově či orientačně, hlídáš prostě vstup.

[B.H.L.]

Díky, za vysvětlení.

Takže jde hlavně o tom, že to donutí případnýho útočníka jít přes jedno konkrétní místo, který pak jde líp hlídat. (?)

[Reklama]

[Zopper]

Ano. Prostě místo toho, aby každá služba měla jen svoji hromadu dveří, často pochybné kvality (korálkový závěs se zaručenou ochrnou proti zlým duchům, ať se picnu jestli na tom netratím!), jako veškerou ochranu, tak jsou úplně vpředu ještě jedny bezpečnostní dveře, které jde pořádně zabezpečit.

Nevýhoda je, že zatímco v domácím prostředí je celkem v pohodě si prostě udělat VPN a vnitřní síť už pak neřešit a mít tam puštěné různé chytré krabičky, u kterých se akorát změní výchozí heslo, tak u firem je už hromada více či méně důvěryhodných lidí, kteří můžou snadno udělat škodu, ať už chtěně či nechtěně. A zatímco domů si cizího člověka jen tak nepustíš, projít cizí vrátnicí jde snadno. Nalepíš se za někoho jiného, převlečeš se za instalatéra... A do první zásuvky píchneš svoji hackovací krabičku s LTE, připojíš do místní sítě, a děláš si, co chceš.

Takže ve firemním prostředí se postupně víc a víc objevuje koncept zero-trust network, kdy vlastně klasická VPN ztrácí význam, protože před každou službu se staví samostatné trezorové dveře s vlastním hlídáním. Na klientovi běží služba, která hlídá důvěryhodnost zařízení (aktualizace, poloha, nainstalovaný SW...), dělá samostatný tunel pro každou službu, resp. chová se jako proxy... A pak se dá docílit toho, že jeden zaměstnanec s jedním účtem a jedním notebookem a mobilem se v kanceláři připojí do produkční databáze, ale v kavárně už jen k repozitáři s kódem, a z mobilu na letišti si akorát přečte maily. A když už má firma nasazené tohle, tak ta klasická VPN navíc už vlastně moc bezpečnosti nepřidá, a tak se ty služby můžou pustit ven. Čímž odpadnou problémy zaměstnanců na hotelové wifi, co se nedostanou k dokumentaci, protože ta je za VPN, kterou hotel zařezává.

[jjrsk]

Díky, za vysvětlení.

Takže jde hlavně o tom, že to donutí případnýho útočníka jít přes jedno konkrétní místo, který pak jde líp hlídat. (?)

Mnohem castejs ti jde o uplne jiny veci.

Jednak spousta ruznych veci prakticky nema zadne zabezpeceni, prihlasovani ... a tudiz nechces aby se k nim dostal jen tak nekdo. Pak jak bylo receno, nechces do site poustet neznama zarizeni o kterych nic nevis, spousta specielne firem to ma udelano tak, ze firemni zarizeni je stale uvnitr firemni site (at je fyzicky kdekoli) a zadna jina zarizeni se do te site proste nedostanou. Cimz prozmenu zajistis nejen ochranu tech sluzeb, ale predevsim ochranu tech notebooku, mobilu, ... protoze se ve skutecnosti "na internet" vubec nedostanou.

Zaroven pak typicky plati, ze naopak admin se k tem vsem vecem dostane, a nemusi resit nejaky sileny a naprosto nezabezpecitelny zpusoby, jako treba TeamViewer a podobny kravoviny.

[martin kalenda]

Nakresli si kruh co reprezentuje koláč, pak od středu od kraje udělej tenkou čáru (ty + vpn). A zkus porovnat plochy problémů, pokud je to technicky možné udělej se vpn z domova ven a z mobilních zařízení ven. Ve freetieru tam nějakou tu vpn rozjedeš vždy a šmitec.

A nebo pokud nějsi paranoidní něco jako zerotier. Pokud něco nemusí být venku ven to nedávej, jednak náhoda, jednak chyba konfigurace jednak možnost že ta chyba ujede rychleji než oprava a samozřejmě non-public exploit kdy padne kosa na kámen.

Alternativně Dynamické dns s nějakou externí formou "předautorizace" klidně zavoláním nějakého url na který si bude tvůj domácí fw šahat.

[martin kalenda]

Díky, za vysvětlení.

Takže jde hlavně o tom, že to donutí případnýho útočníka jít přes jedno konkrétní místo, který pak jde líp hlídat. (?)

Především třeba žádné místo neexistuje, protože nikdo z venku o tvé vpn službě neví.

[Exceptions]

Díky, za vysvětlení.

Takže jde hlavně o tom, že to donutí případnýho útočníka jít přes jedno konkrétní místo, který pak jde líp hlídat. (?)

Především třeba žádné místo neexistuje, protože nikdo z venku o tvé vpn službě neví.

Vědět může, ať už máš veřejné nějaký endpoint (schovat ho za port/dns knocking je možný) nebo třeba to pozná z provozu, když útočník kontroluje síť, do které jsi připojený. Pak může být obětí útočníka každé takové zařízení.