Cliente VPN - Capa de seguridad adicional o una característica inútil

Navega tus respuestas
1

Tengo un portal web corporativo que se utiliza para la colaboración del personal, incluida una interfaz de correo basada en la web conectada a la base de datos MySQL, calendario corporativo, almacenamiento de archivos, datos de contactos de clientes con números de teléfono y correos electrónicos, y todo tipo de datos. Por supuesto, algunos de esos datos son confidenciales, ya que se relacionan con asuntos corporativos internos y con la privacidad del cliente.

Todo el sitio está escrito en PHP + JavaScript con la base de datos MySQL en Ubuntu (Apache). Busqué todo el código y reemplacé todas las declaraciones SQL en declaraciones preparadas para evitar las inyecciones de SQL. Ninguno de los formularios web permitía a los usuarios enviar datos HTML, solo texto en relieve, tampoco almaceno HTML en tablas MySQL para evitar las secuencias de comandos entre sitios. Puse una defensa de fuerza bruta al retrasar el siguiente intento de un usuario después de escribir una contraseña incorrecta. La autorización se realiza en dos pasos y el usuario primero escribe su nombre y contraseña y luego el sistema envía SMS a ese usuario con un código de autorización. Todo el sitio funciona solo a través de HTTPS y conectado a Internet a través de un firewall que permite solo 443 puertos para conexiones entrantes, es decir, sin FTP, samba, sin conexión externa MySQL o cualquier otro servicio disponible. La página principal del sitio está vacía y los motores de búsqueda ni siquiera pueden encontrar una página de inicio de sesión para indexar, por lo que si uno no sabe la dirección exacta, ni siquiera podría iniciar un proceso de autorización. No conozco ninguna otra forma de piratearlo.

Sin embargo, estaba intentando obtener una consulta de un especialista en seguridad y, a pesar de todas las medidas tomadas, insiste en conectar a cualquier cliente externo a través de un cliente VPN (L2TP IPSec) que está integrado en cualquier sistema operativo moderno de Windows o Linux. Ya que este no es un sitio público, podría hacerlo, pero eso requerirá un trabajo adicional con los clientes para explicarles cómo conectarlos y darles un par más de contraseña de inicio de sesión. También me dijeron que PHP originalmente era un lenguaje de página de inicio personal sin atención a la seguridad y que aún podía tener vulnerabilidades de seguridad. No pudo dar ningún ejemplo. Me pregunto si realmente existen y cuáles son. ¿Realmente aumentaría la seguridad cambiando a los clientes al acceso de VPN en lugar de HTTPS directo o simplemente les molestará inútilmente?

ACTUALIZACIÓN (un mes después)

Después de jugar con el túnel VPN y los clientes VPN, no creo que sea una buena idea crear un túnel VPN a través de HTTPS porque lo que tengo es un servidor WEB con HTTPS detrás de NAT. Tengo todos los puertos bloqueados, excepto el 443, así que Solo creo que un usuario puede hacer es acceder a eso.

Si creo un canal VPN, les permito a los usuarios acceder a mi red local para que tengan acceso al enrutador NAT desde adentro (desde los puertos LAN) y tengan acceso a todo el servidor que cumple la función del servidor WEB. Por lo tanto, un usuario malintencionado que hackeó el inicio de sesión / contraseña de VPN y se introdujo dentro de LAN, es decir, se puso detrás del NAT y ahora puede comenzar a piratear no solo el servidor en todos los puertos, sino también el enrutador. Para evitar que necesite otro servidor de seguridad y, probablemente, otro dispositivo para crear redes LAN virtuales.

¿Realmente vale la pena?

Más sobre el diagrama de red

En cuanto al diagrama de red, el servidor local tiene dos interfaces de red: una para la red interna y otra para la conexión a Internet.

El acceso a Internet en ese servidor local a través de dos puntos NAT:

1) La conexión a Internet va desde la IP externa a través de Windows Server 2008. Ese servidor de Windows comparte la conexión a Internet con las personas en la oficina y también tiene RRAS configurado para reenviar el puerto 443 a una de las direcciones locales (digamos que funciona) a 192.168.0.100). También hay un firewall de terceros que permite conexiones entrantes solo en el puerto 443.

2) Luego tengo un enrutador en esa dirección local (192.168.0.100) que puede manejar túneles VPN de solo reenvío de puertos. Por ahora, solo reenvía el puerto 443 a su LAN a la que está conectado el servidor local. Eso hace que el servidor local se separe de todos los demás equipos que están obteniendo Internet del Win Server 2008.

Aparte de eso, hay una red independiente completa sin conexión a Internet. El servidor local es parte de él utilizando su segunda interfaz de red. No hay ningún enrutador allí, solo un interruptor.

    
pregunta user164863 18.02.2014 - 11:51
fuente

2 respuestas

1

Me disculpo por adelantado, el diseño descrito es un poco difícil de seguir sin un diagrama de red.

Puedo entender las preocupaciones de su personal de seguridad con respecto a la exposición de este sitio a Internet.

Si bien parece que has hecho todo lo posible para garantizar que tu código sea seguro, el servidor web y el sistema operativo en sí corren el riesgo de ser explotados en caso de que se descubra una vulnerabilidad.

También parece que este sitio web tiene acceso a algunos datos clave e infraestructura.

Tengo dificultades para discernir si alguno de estos servidores está en una DMZ o si todos los servidores residen en la red interna.

Si los componentes residen en la red interna, no hay forma de que exponga este sitio a Internet.

Recomendaría una solución VPN que utilice autenticación de dos factores para los inicios de sesión a la VPN. (preferiblemente una ficha dura)

Además, el hecho de que su sitio web no muestre una página predeterminada no debe considerarse una característica de seguridad. Usted se sorprenderá de lo que puede encontrar un rastreador web. :)

Por ejemplo, el siguiente sitio al que cualquier usuario acceda directamente después de visitar su sitio lo notificará a través del encabezado de referencia.

    
respondido por el k1DBLITZ 18.02.2014 - 17:07
fuente
1

En su caso, recomendaría un servidor VPN. Este parece ser un sitio muy seguro, y usted reforzó muy bien el lado del servidor. El uso de una infraestructura VPN pondrá otra barrera entre el servidor y los ataques.

Si ya tiene usuarios que reciben e ingresan el código de autorización, podrán conectarse a una VPN sin mayores problemas. En mi tienda tenemos FortiGate VPN, e incluso hay un cliente basado en navegador. Si implementa algo como esto, sus clientes solo serán necesarios para acceder a un sitio web antes de conectarse al servidor seguro.

Como una nota al margen, PHP es un acrónimo recursivo y significa preprocesador HTML HTML, no página de inicio personal. Toman en serio la seguridad, pero cada software tiene sus errores.

    
respondido por el ThoriumBR 17.10.2014 - 14:57
fuente

Lea otras preguntas en las etiquetas

No se pudo conectar a netcat reverse shell ¿Esta vulnerabilidad XSS reflejada representa una amenaza real?