Olá a todos.
Hoje a passear pelo reddit vi esta thread e achei boa ideia fazer este post sobre o tema.
Cenário preocupante: imaginem descobrir que uma pessoa desconhecida conseguiu juntar-se à sua rede privada Tailscale sem autorização. Esta situação, relatada recentemente na comunidade Reddit, levanta questões importantes sobre a segurança das nossas redes mesh VPN.
Nota que pelo aspecto é uma coisa que já aconteceu no passado e eles estavam a par do risco e não, não foi na minha rede… se lerem a thread toda, muita atenção em particular a este comentário:
O Que Pode Ter Acontecido?
Existem várias possibilidades para este tipo de incidente:
Convites acidentais: O Tailscale permite enviar convites através de URLs únicos. Se um destes links for partilhado inadvertidamente ou intercetado, pode resultar em acessos não autorizados.
Configurações de domínio: Utilizadores com o mesmo domínio de email (especialmente domínios partilhados como Gmail) podem, em certas configurações, juntar-se automaticamente à mesma tailnet.
Falhas de segurança: Embora raras, podem ocorrer bugs no sistema que permitam acessos indevidos. O Tailscale já corrigiu vulnerabilidades similares no passado.
Medidas de Proteção Essenciais
O que fazer para mitigar estes riscos:
Ativem a Aprovação de Dispositivos
Requer que novos dispositivos sejam manualmente revistos e aprovados por um Administrador antes de poderem juntar-se à rede. Isto garante que apenas dispositivos confiáveis acedem à vossa rede.
Configure Aprovação de Utilizadores
Se a vossa tailnet tiver a aprovação de utilizadores ativada, deve aprovar utilizadores convidados antes destes poderem juntar-se à rede, mesmo após aceitarem um convite.
Implementem Controlos de Acesso Rigorosos
Usem as Access Control Lists (ACLs) do Tailscale para restringir que utilizadores podem aceder a que recursos, limitando o acesso apenas ao necessário – Least access possible.
Monitorizem Regularmente
Revise regularmente os logs de auditoria de configuração que registam ações que modificam a configuração da tailnet, incluindo novos utilizadores e dispositivos. Se tiverem possibilidade ponham um graylog a fazer isso.
Restrinjam Convites Externos
Configurem as definições para controlar quem pode juntar-se a tailnets externas, prevenindo que os vossos utilizadores aceitem inadvertidamente convites maliciosos.
Ações Imediatas se Isto Acontecer
E o que fazer se o pior já tiver acontecido?
- Removam imediatamente o utilizador não autorizado
- Revoguem todos os convites pendentes
- Revisem os logs de auditoria para entender como o acesso foi obtido
- Verifiquem as configurações de aprovação e convites
- Considerem alterar o nome da sua tailnet se necessário
A Importância da Vigilância
O Tailscale utiliza encriptação end-to-end para todas as comunicações entre dispositivos na sua tailnet, e as suas chaves privadas nunca saem do dispositivo onde foram geradas. No entanto, isto não substitui a necessidade de configurações de segurança adequadas.
Embora o Tailscale seja uma solução VPN segura e confiável, a segurança da sua rede depende também das configurações e práticas que implementa. Este incidente serve como um lembrete importante: a segurança é uma responsabilidade partilhada.
Mantenham-se vigilante, revise regularmente as vossas configurações e não hesitem em contactar o suporte do Tailscale se detetar atividade suspeita na vossa rede.
Se tiverem experiências similares ou dicas de segurança para partilhar, partilhem. A segurança das nossas redes é um tema que nos deve preocupar a todos.
Abraço e até ao proximo post.
Nuno