Em outro post, caso haja necessidade poderemos falar sobre a instalação da ferramenta, que acaba de completar 20 anos de lançamento e já fez atualizações fundamentais desde o distante ano de 2005. A instalação em si não possui pegadinhas nem complexidade, a documentação do projeto é bem completa e existe muitas pessoas falando sobre isso na internet. Aqui nesse post farei um registro sobre uma questão de segurança relacionada à comunicação entre o servidor/proxy e seus hosts clientes na rede. Essa comunicação entre essas duas pontas pode ser não encriptada ou criptografada de duas formas, usando PSK (pre-shared key) ou por meio de certificados digitais.
Dentre as três formas de comunicação a não criptografada é a menos segura e suscetível a um possível ataque do tipo MID (man in the midle). Em seguida, pra ficar um pouco melhor temos a PSK (chaves pré compartilhadas), onde é gerada uma chave numérica que fica armazenada no host monitorado e uma cópia também é armazenada no servidor/proxy promovendo a conexão somente quando ambas as parte possuem a mesma chave. A forma de comunicação mais segura entre as partes é usando certificados, que na sua intranet podem ser auto-assinados, mas nada impede que sejam válidos e emitidos por uma CA do “mundo real” com validade na internet. Aqui no presente post, trataremos da implantação de certificados auto-assinados para criptografar a comunicação entre agentes e servidor.
Lembre-se sempre que na segurança de TI não existe “bala de prata”, não existe uma única solução que deixe seus sistemas 100% seguros por 100% do tempo contra 100% dos atacantes. Caso alguém lhe ofereça esse tipo de facilidade/ilusão, não acredite! Peça os dados, peça que apresentem os estudos que embasaram as afirmações, faça sua pesquisa, fale com outras pessoas do seu nicho de mercado, ou seja, desconfie!
Geração dos certificados
em breve…
Instalação dos certificados no servidor/proxy
em breve…
Distribuição/instalação para os hosts clientes
em breve…
Guarda dos certificados e chave da CA
em breve…