Alguém Entrou Aleatoriamente na Minha Rede Tailscale: Um Alerta de Segurança

Olá a todos.

Hoje a passear pelo reddit vi esta thread e achei boa ideia fazer este post sobre o tema.
Cenário preocupante: imaginem descobrir que uma pessoa desconhecida conseguiu juntar-se à sua rede privada Tailscale sem autorização. Esta situação, relatada recentemente na comunidade Reddit, levanta questões importantes sobre a segurança das nossas redes mesh VPN.

Nota que pelo aspecto é uma coisa que já aconteceu no passado e eles estavam a par do risco e não, não foi na minha rede… se lerem a thread toda, muita atenção em particular a este comentário:

O Que Pode Ter Acontecido?

Existem várias possibilidades para este tipo de incidente:

Convites acidentais: O Tailscale permite enviar convites através de URLs únicos. Se um destes links for partilhado inadvertidamente ou intercetado, pode resultar em acessos não autorizados.
Configurações de domínio: Utilizadores com o mesmo domínio de email (especialmente domínios partilhados como Gmail) podem, em certas configurações, juntar-se automaticamente à mesma tailnet.
Falhas de segurança: Embora raras, podem ocorrer bugs no sistema que permitam acessos indevidos. O Tailscale já corrigiu vulnerabilidades similares no passado.

Medidas de Proteção Essenciais

O que fazer para mitigar estes riscos:

Ativem a Aprovação de Dispositivos
Requer que novos dispositivos sejam manualmente revistos e aprovados por um Administrador antes de poderem juntar-se à rede. Isto garante que apenas dispositivos confiáveis acedem à vossa rede.

Configure Aprovação de Utilizadores
Se a vossa tailnet tiver a aprovação de utilizadores ativada, deve aprovar utilizadores convidados antes destes poderem juntar-se à rede, mesmo após aceitarem um convite.

Implementem Controlos de Acesso Rigorosos
Usem as Access Control Lists (ACLs) do Tailscale para restringir que utilizadores podem aceder a que recursos, limitando o acesso apenas ao necessário – Least access possible.

Monitorizem Regularmente
Revise regularmente os logs de auditoria de configuração que registam ações que modificam a configuração da tailnet, incluindo novos utilizadores e dispositivos. Se tiverem possibilidade ponham um graylog a fazer isso.

Restrinjam Convites Externos
Configurem as definições para controlar quem pode juntar-se a tailnets externas, prevenindo que os vossos utilizadores aceitem inadvertidamente convites maliciosos.

Ações Imediatas se Isto Acontecer

E o que fazer se o pior já tiver acontecido?

  • Removam imediatamente o utilizador não autorizado
  • Revoguem todos os convites pendentes
  • Revisem os logs de auditoria para entender como o acesso foi obtido
  • Verifiquem as configurações de aprovação e convites
  • Considerem alterar o nome da sua tailnet se necessário

A Importância da Vigilância

O Tailscale utiliza encriptação end-to-end para todas as comunicações entre dispositivos na sua tailnet, e as suas chaves privadas nunca saem do dispositivo onde foram geradas. No entanto, isto não substitui a necessidade de configurações de segurança adequadas.
Embora o Tailscale seja uma solução VPN segura e confiável, a segurança da sua rede depende também das configurações e práticas que implementa. Este incidente serve como um lembrete importante: a segurança é uma responsabilidade partilhada.

Mantenham-se vigilante, revise regularmente as vossas configurações e não hesitem em contactar o suporte do Tailscale se detetar atividade suspeita na vossa rede.
Se tiverem experiências similares ou dicas de segurança para partilhar, partilhem. A segurança das nossas redes é um tema que nos deve preocupar a todos.

Abraço e até ao proximo post.
Nuno