Os sites de suporte da LogMeIn não são mais compatíveis com o navegador Internet Explorer (IE) da Microsoft. Use um navegador compatível para que todos os recursos funcionem conforme o esperado (Chrome / Firefox / Edge).

O site de suporte da GoTo não é mais compatível com o Safari 15. Atualize seu navegador para o Safari 16 (ou mais recente) ou mude para um navegador compatível, como Google Chrome, Mozilla Firefox ou Microsoft Edge.

Cuide da sua infraestrutura de TI com um poderoso software de monitoramento e gerenciamento remotos. Conheça o LogMeIn Central.

We are currently experiencing an unplanned outage for this product. Verificar status do serviço
  • Support
  • Localizar produtos

    Confira o suporte por produto

    GoTo Connect

    Software completo de telefonia, reuniões e mensagens

    GoTo Meeting

    Software de reuniões com vídeo e áudio

    GoTo Webinar

    Software completo de webinars e eventos virtuais

    GoTo Room

    Hardware de salas de conferência

    GoTo Training

    Software de treinamento online

    OpenVoice

    Software de audioconferência

    Grasshopper

    Sistema de telefonia virtual leve

    join.me

    Software de videoconferência

    LogMeIn Resolve

    Gerenciamento e suporte de TI

    LogMeIn Resolve MDM

    Gerenciamento de dispositivos móveis

    LogMeIn Pro

    Acesso remoto a dispositivos

    LogMeIn Central

    Gerenciamento e monitoramento remotos

    LogMeIn Rescue

    Suporte remoto de TI

    GoToMyPC

    Acesso remoto a computadores

    GoToAssist

    Software de suporte remoto

    Hamachi

    Serviço de VPN hospedado

    RemotelyAnywhere

    Solução de acesso remoto ao ambiente local
  • Comunidade
  • Treinamentos
  • Status do serviço

  • Experimente o portal Meus chamados aprimorado

    Gerencie seu ticket com facilidade, acompanhe o status, entre em contato conosco sobre um caso existente e muito mais.

    Entrar para usar o recurso
  • Language selector icon Language selector icon
    • English
    • Français
    • Italiano
    • Deutsch
    • Español
    • Português
    • Nederlands
  • Entrar em contato com o suporte
  • Status do serviço
  • User Avatar User Avatar
    • Support
    • Entrar em contato com o suporte
    • Browse Products
    • Status do serviço
    • Comunidade
    • Treinamentos
    • Entrar
    • User Avatar
    • Minha conta
    • Informações pessoais
    • Login e segurança
    • Meus casos
    • Centro de administração
    • Centro de faturamento
    • Meu GoTo Connect
    • Minhas reuniões
    • Meus webinars
    • Meus treinamentos
    • Minhas conferências
    • Minhas resoluções
    • My Mobile Devices
    • Minhas sessões
    • Minhas sessões
    • Meus incidentes
    • Sair

product logo
Back button image Volte
Back button image
LogMeIn Security Whitepaper

LogMeIn Security Whitepaper

  • Axiomas de acesso remoto
  • Arquitetura de software
  • Mecanismos de segurança
  • Detecção de Intrusão
  • Encaminhamento de dados
  • UDP NAT Traversal
  • Atualizações de software e segurança do gateway
  • Conclusões

Este guia fornece uma visão aprofundada dos recursos de segurança do GoTo (também conhecido como LogMeIn) remote access and management products, LogMeIn Pro and LogMeIn Central. Na GoTo, acreditamos na segurança por meio da transparência. Não esperamos que nossos clientes aceitem cegamente nossas afirmações. Ao publicar detalhes sobre como os mecanismos de segurança funcionam e operam em nossos produtos, também estamos convidando o público a examinar nossos esforços.

Público

Este documento é de natureza técnica e destina-se a engenheiros de rede ou projetistas de rede. A leitura deste documento pode ajudar o leitor a realizar a análise de ameaças necessária antes de implantar nosso produto.

Terminologia

Regarding LogMeIn Pro and LogMeIn Central's architecture, there are three entities that take part in every remote access session. O "cliente" ou o "usuário" é a pessoa ou o software (navegador, aplicativo nativo, aplicativo móvel) que acessa um recurso remoto. O "host" ou o "servidor" é o computador que está sendo acessado ou o software host do produto nesse computador. O "gateway" é o serviço que medeia o tráfego entre o cliente e o host.

Fundamentos de design

LogMeIn Pro and LogMeIn Central are designed to allow secure remote access to critical resources over an untrusted network. Durante o desenvolvimento, as considerações de segurança sempre prevalecem sobre as preocupações com a usabilidade.

Axiomas de acesso remoto

Tudo é um alvo para ataques

Cada vez mais computadores estão on-line 24 horas por dia, 7 dias por semana. A maioria desses computadores são operados por usuários domésticos e possuem brechas na segurança, como vulnerabilidades que não foram corrigidas (aplicação de patches) e ausência de senhas apropriadas.

Entretanto, o maior ponto fraco é o próprio usuário. Nada ilustra melhor a absoluta falta de consciência sobre segurança e a natureza ingênua da maioria dos usuários de Internet do que a penetração extremamente rápida de vírus de email. Os vírus de email, é claro, são anexos melhor classificados como cavalos de Troia. Eles se espalham tão rapidamente porque os usuários, surpreendentemente, estão dispostos a violar as regras fundamentais para lidar com conteúdo não confiável. Se os próprios usuários são responsáveis por infectar seus computadores com cavalos de Troia, como você pode confiar neles para proteger adequadamente seus sistemas contra ataques diretos?

Até mesmo os administradores de rede competentes podem cometer deslizes e esquecer de instalar um ou mais patches, o que, na pior das hipóteses, pode permitir que invasores executem códigos arbitrários nos sistemas afetados.

Ataques cibernéticos não são novidade. No entanto, recentemente ocorreram mudanças no que diz respeito a quem é capaz de executá-los. O que antes era uma profissão ilícita restrita a poucas pessoas altamente gabaritadas e com conexão de alta qualidade se transformou em uma atividade que pode ser praticada por praticamente qualquer pessoa, em grande parte devido aos kits de exploração automática que se aproveitam de milhares de vulnerabilidades conhecidas.

Acesso e segurança remotos

É fácil ver que muitos computadores conectados à Internet são extremamente vulneráveis, mesmo sem a instalação de um produto de acesso remoto. Os produtos de acesso remoto são vistos como fatores de alto risco, mas, principalmente, por razões psicológicas. Quando um usuário vê pela primeira vez uma solução de acesso remoto em ação, sua primeira reação negativa é, normalmente, relacionada às implicações na segurança. Isso é perfeitamente normal e, na verdade, desejável. O verdadeiro problema é que os usuários não vêem imediatamente a ameaça inerente em outros aplicativos habilitados para rede, como um cliente de email, um servidor da Web ou o próprio sistema operacional.

Todos os sistemas operacionais modernos incluem algum tipo de solução de acesso remoto por padrão. O Windows, por exemplo, vem com a Área de trabalho remota da Microsoft como uma interface simples de administração remota. Até mesmo o OpenBSD, a variante da Unix que geralmente é conceituada como o sistema operacional mais seguro disponível, inclui o SSH, que também é um aplicativo simples e seguro que permite acesso por linha de comando por uma conexão de rede ao computador remoto.

Na verdade, uma solução de acesso remoto bem-configurada e bem configurada reduz o número de incidentes de segurança a um nível mínimo. If a network manager can keep a network secure using a reliable remote access software package, such as LogMeIn Pro and LogMeIn Central, productivity can be increased and costs may be reduced without any adverse effects on network security.

Arquitetura de software

Before explaining the exact security mechanisms employed by LogMeIn Pro and LogMeIn Central, it is necessary to give a quick introduction to the solution architecture.

Qualquer sessão de acesso remoto possui três componentes principais. As funções do cliente e do host devem ser simples — o terceiro componente é o gateway.


Arquitetura do sistema

The host maintains a constant TLS-secured connection with one of the LogMeIn Pro and LogMeIn Central gateway servers in one of our physically secure datacenters. Esse vínculo é iniciado pelo host e os firewalls o tratam como uma conexão de saída, como o tráfego protegido de navegação na Web. The client establishes a connection to LogMeIn Pro or LogMeIn Central and authenticates itself. Com base na identidade do cliente, é autorizada a troca de dados com um ou mais hosts (que pertençam à conta do usuário). O gateway então encaminha o tráfego criptografado subsequente entre o cliente e o host. Vale observar que o cliente ainda precisa se autenticar no host - o gateway media o tráfego entre as duas entidades, mas isso não exige que o host confie implicitamente no cliente. Depois que o cliente verifica a identidade do cliente e autoriza seu acesso ao computador, a sessão de acesso remoto é realmente iniciada.

A vantagem de utilizar o gateway é que o cliente, o host ou ambos podem ser protegidos por firewall. O gateway garante que os usuários não precisem configurar firewalls.

Mecanismos de segurança

Quando os usuários pensam na segurança de dados na Internet, geralmente, estão preocupados com a criptografia de dados – até um ponto em que a segurança é avaliada de acordo com o comprimento da chave de criptografia usada. Entretanto, a criptografia e a descriptografia, embora sejam muito importantes, são tarefas bastante comuns comparadas a outros desafios enfrentados pelos designers de sistemas seguros. As you will see, data encryption is just one of the main goals set forth by the designers of LogMeIn Pro and LogMeIn Central.

Autenticação do Gateway para o cliente

First and foremost, when a user connects to a LogMeIn Pro or LogMeIn Central installation via a gateway – the “server” – they need to be 100% positive that the computer they are about to exchange data with is really the one to which they intended to connect.

Suponha que um invasor finja-se de servidor para o usuário, e finja-se de usuário para o servidor. Nesse caso, o invasor pode ficar entre as duas partes enquanto lê ou, possivelmente, modifica os dados em trânsito. Isso é conhecido como um ataque "Man in the Middle" ou MITM e é especialmente difícil se proteger dele.

Nossos produtos usam TLS 1.2 e 1.3 autenticação baseada em certificados para verificar identidades do servidor e, portanto, proteger contra ataques de MITM. Quando uma conexão é estabelecida, o certificado do servidor é verificado. Um alerta é exibido se uma autoridade de certificação não confiável for a emissora do certificado. Um alerta diferente é apresentado quando o nome do host no URL não corresponde ao nome do host no certificado, mesmo que emitido por uma autoridade confiável.

Se o servidor passar nessas verificações, o cliente do usuário gerará um "Pre-Master Secret" (PMS), o criptografará com a chave pública do servidor contida nesse certificado e o enviará ao servidor. Como garantido pelo uso da criptografia de chave pública, somente o servidor que detém a chave privada correspondente pode descriptografar o PMS. O PMS é então usado para produzir o Master Secret pelo usuário e pelo servidor que, por sua vez, será usado para produzir vetores de inicialização e chaves de sessão para a duração da sessão segura.

Em resumo, isso garante que o usuário está estabelecendo a conexão com o servidor, e não com uma terceira entidade. Se houver uma tentativa de ataque MITM, um dos avisos de segurança será acionado ou o PMS será desconhecido para o MITM, tornando o ataque efetivamente impossível.

One2Many: autenticação e criptografia

O recurso One2Many permite que os recursos de implantação e scripts avançados, que permitem que nossos usuários realize funções em massa em toda a organização. With this tool, users can execute, manage, and monitor administrative tasks on multiple Windows and Mac computers directly from LogMeIn Central.

Para garantir segurança e segurança de alto nível, o uso do 2FA para One2Many é obrigatório. One2Many armazena as credenciais de duas formas: ao executar uma tarefa em tempo real, ele armazena as credenciais no navegador. Quando a tarefa é agendada para ser executada posteriormente, as credenciais são armazenadas no banco de dados do produto.

As credenciais usadas no One2Many são criptografadas com a chave pública do host primeiro, que é posteriormente criptografada pelo site. O primeiro é necessário para que apenas o host com a chave privada possa decodificar. Além disso, o segundo garante a opção de limpar dados. With this method, credentials can be wiped from the website (LogMeIn Central) even if the host is offline. O principal aspecto disso é que apenas o host pode decodificar as credenciais.

Autenticação de usuários para o Gateway

Os usuários devem ser autenticados pelo gateway e pelo host. An email address and password verification is performed whenever a user logs on to the LogMeIn website. Users are also advised to enable one or more of LogMeIn’s extra security features to strengthen this authentication step.

Note: LogMeIn Central subscribers can enforce a strong password policy. Visit support.goto.com for details.

Autenticação entre usuários e o gateway

9.2.1 Códigos de segurança impressos

Um dos recursos de segurança adicionais é uma folha de códigos de segurança impressos. Ao ativar esse recurso, o usuário é obrigado a imprimir uma lista de senhas aleatórias de 9 caracteres geradas pelo gateway. Toda vez que um usuário efetua login na conta no www.LogMeIn.com, eles precisarão inserir um dos códigos de segurança da lista para obter acesso à conta. Cada código só poderá ser usado uma vez. Antes que os códigos de segurança impressos acabem, o usuário será solicitado a imprimir outra folha. Isso invalida os códigos de segurança não utilizados anteriormente.

Veja como ativar códigos de segurança disponíveis:
  1. Login to your LogMeIn account.
  2. Clique em Configurações > Segurança.
  3. Selecione o Código de segurança impresso opção.
  4. Gere e imprima uma lista de códigos de segurança impressos.
  5. Clique em Salvar.

9.2.2 Códigos de segurança enviados por e-mail

Another way to secure your LogMeIn account is to use the Emailed Security Code feature. Sempre que você efetuar login na sua conta do www.LogMeIn.com, você receberá um email com um código de segurança que deverá ser inserido na caixa de diálogo apropriada para que o acesso à conta seja possível. Cada código só poderá ser usado uma vez.

When this feature is turned on and the user authenticates successfully with their email address and password to the LogMeIn gateway, a pass code is generated and sent to the email address. O usuário recebe esse código por email e o insere no formulário fornecido pelo gateway. O código expira após ser usada ou alguns minutos após sua geração, o que vier primeiro.

Veja como ativar códigos de segurança por e-mail:
  1. Login to your LogMeIn account.
  2. Clique em Configurações > Segurança.
  3. No Segurança selecione o Código de segurança enviado por e-mail opção.
  4. Insira seu endereço de email no campo fornecido.
  5. Clique em Salvar.

9.2.3 Auditoria da conta

Keep track of activity in your LogMeIn account. Selecione os eventos para os quais você deseja receber uma notificação automática por email, como uma falha na tentativa de login ou alterações de senha. As notificações serão enviadas para os endereços de e-mail especificados (para mais de um destinatário, separe os endereços de e-mail com ponto-e-vírgula). Observe que alguns eventos da conta são habilitados por padrão e não podem ser desabilitados.

Veja como ativar o recurso de auditoria de conta (notificações por e-mail):

  1. Login to your LogMeIn account.
  2. Clique em Configurações > Configurações da conta.
  3. Em Notificações por e-mail, clique em alterar e selecione eventos para os quais você deseja receber notificações automáticas por e-mail.
    Tip: você também pode editar a lista de destinatários.
  4. Clique em Salvar.
LogMeIn Central subscribers (account holders) can audit additional items at Settings > Security > Audit Settings:
  • Alterações nas configurações relacionadas a segurança
  • Eventos de usuário (usuários convidados, convites aceitos ou recusados, eventos de login)
  • Eventos relacionados a computadores (adição ou exclusão de computadores, atalhos gerados/invalidados, pacote de instalação gerado)

9.2.4 Verificação em duas etapas (autenticação de dois fatores, 2FA)

A verificação em duas etapas adiciona uma segunda camada de proteção à sua conta. É como um caixa eletrônico, que protege seu dinheiro solicitando um cartão do banco e um PIN. Sem a verificação em duas etapas, qualquer pessoa que saiba sua senha pode acessar seus dados. Depois de configurar a verificação em duas etapas, seu procedimento de login mudará. Após inserir seu ID e senha do LogMeIn, você precisará verificar sua identidade.

LogMeIn Central subscribers can enforce a login policy that forces all users in their account to use two-step verification. For step-by-step instructions, visit support.goto.com.

Autenticação do Gateway para o Host

O gateway precisa provar sua identidade ao host antes de ser confiado com códigos de acesso. The host, when making a connection to the gateway, checks the certificate transported during the TLS handshake to make sure it is connecting to one of the LogMeIn gateway servers. Esse processo é muito semelhante à “Autenticação do Gateway para o cliente”.

Autenticação do host para o gateway

O gateway verifica a identidade do host quando aceita uma conexão de entrada usando uma sequência de caracteres longa do identificador exclusivo. Essa sequência é um segredo compartilhado entre duas entidades e é emitida pelo gateway quando o host é instalado. Esse identificador exclusivo é comunicado por um canal protegido por TLS somente depois que o host tiver verificado a identidade do gateway. A Figura 3 ilustra como o host e o gateway autenticam um ao outro antes que um host se torne acessível para o cliente. Para garantir a segurança adicional, o host pode alterar seu segredo compartilhado com uma solicitação do gateway pela conexão segura.



Autenticação do host e do gateway

Criptografia de dados

O padrão TLS define uma ampla gama de suítes de cifras, principalmente com base na criptografia baseada em AES, por motivos de compatibilidade. O AES pode utilizar chaves de 128 ou 256 bits. O cliente e o servidor concordam com o mais forte possível. O cliente envia ao servidor uma lista de cifras que estão disponíveis para uso, e o servidor escolhe o que você prefere.

O padrão do TLS não define como o servidor deve escolher o cifra final. Em nosso caso, o servidor simplesmente seleciona o conjunto de cifras compartilhadas mais fortes que o cliente ofereceu.

Esse método permite que o cliente e o servidor recusem o uso de algoritmos específicos de proteção de dados sem a necessidade de atualizar os dois componentes, caso um algoritmo seja considerado quebrado ou inseguro.

Detecção de Intrusão

LogMeIn Pro and LogMeIn Central provide two layers to detect intrusion attempts: TLS and LogMeIn Intrusion Filters.

TLS

For the first layer of intrusion detection, LogMeIn utilizes TLS 1.2 and 1.3 certificate based authentication to ensure that the data has not changed in transit. Isso realizado com as seguintes técnicas:

Numeração da Sequência de Registro
A Numeração da sequência de registro significa que os registros TLS são numerados pelo remetente e que a ordem é verificada pelo destinatário. Isso garante que um invasor não possa remover ou inserir códigos arbitrários no fluxo de dados.
Códigos de Autenticação de Mensagem
Os Códigos de autenticação de mensagem (MACs, Message Authentication Codes) são anexados a cada registro TLS. Eles são originados da chave de sessão (conhecida somente pelas duas partes que se comunicam) e dos dados contidos no registro. Em caso de falha na verificação do MAC, é pressuposto que os dados foram modificados em trânsito.

LogMeIn Intrusion Filters

The second layer is provided by LogMeIn itself, and is comprised of three intrusion filters.

Filtro de endereços IP

When LogMeIn receives a connection request from a client, it first checks its list of trusted and untrusted IP addresses and possibly denies the connection. An administrator can set up a list of IP addresses within LogMeIn that are either allowed or denied to establish a connection to the selected host (for example, designate the internal network and another administrator’s home IP address as allowed). IP Address filters can be set under Security > IP Filtering. You can also set filter profiles for the network adapters available on the Server under Preferences > Network.

Cancelamento de filtro de serviço

Um filtro de negação de serviço rejeita conexões se o endereço IP da solicitação tiver feito uma quantidade excessiva de solicitações sem autenticação na janela do tempo da observação. Isso serve para impedir que alguém sobrecarregue o computador host, por exemplo, solicitando de modo rápido e automático, a página de login repetidas vezes. Você pode personalizar o comportamento do filtro DoS em Segurança > Bloqueio de endereço IP.

Filtro de autenticação

Se o usuário tiver feito uma quantidade excessiva de tentativas de login que falharam, o Filtro de autenticação rejeitará a conexão. O Filtro de autenticação é definido para impedir que um possível invasor obtenha o nome e a senha de uma conta.

Here's how to set filters on a LogMeIn host:
  1. Acesse as preferências do host pelo host ou pelo cliente:
    • Se você estiver no host, abra o Painel de controle do LogMeIn e siga este caminho: Opções > Preferências > Segurança
    • Se você estiver no cliente, conecte-se ao host Menu principal e siga este caminho: Preferências > Segurança
  2. No aplicativo de desktop, em Controle de intrusão, clique em Editar perfis para começar a criar um perfil de filtro.
  3. On the LogMeIn Central website, select Host Preferences, then click IP Address lockout category. For details, see the LogMeIn Pro or the LogMeIn Central support site.

Autenticação e autorização de usuários no Host

Após receber acesso pelas camadas anteriores, o usuário deve provar sua identidade ao host. Isso é feito por meio de uma etapa obrigatória de autenticação no nível do SO.

O usuário deve se autenticar para o host usando seu nome de usuário e senha padrão do Windows ou Mac. O host geralmente passará essa solicitação ao controlador de domínio relevante. Essa etapa não apenas valida a identidade do usuário, mas também garante que os administradores da rede possam controlar quem pode efetuar login em um host específico.

Senha pessoal

Personal Password is another optional security measure that can be set up on the LogMeIn host. O usuário pode atribuir uma Senha pessoal para o host que, como a senha do SO, não é armazenada ou verificada pelo gateway. Uma diferença entre a senha do sistema operacional e a Senha pessoa é que o host nunca pede a Senha pessoal completa, portanto, o usuário nunca a insere como um todo em uma única sessão de autenticação. O host solicita ao usuário três dígitos aleatórios da Senha pessoal depois que a autenticação do SO tiver sido bem-sucedida. Se o usuário inserir os caracteres corretos (por exemplo, o primeiro, o quarto e o sétimo), ele obterá acesso.

Veja como configurar uma senha pessoal:

  1. Acesse as preferências do host pelo host ou pelo cliente:
      • Se você estiver no host, abra o Painel de controle do LogMeIn e siga este caminho: Opções > Preferências > Segurança
      • Se você estiver no cliente, conecte-se ao host Menu principal e siga este caminho: Preferências > Segurança
    • Em Senha pessoal, insira sua senha pessoal e repita-a para confirmá-la.
    • Clique em Aplicar.

GoTo e RSA SecurID

To add an extra layer of security over the simple username/password authentication, you can configure LogMeIn to require RSA SecurID authentication. RemotelyAnywhere, the product that pioneered the technology in use by LogMeIn, was officially certified by RSA Security as SecureID Ready in 2003. Desde essa data, GoTo has continuou a manter o alto nível de segurança consistente com a tecnologia RSA.

Para obter informações sobre o produto RSA SecurID, acesse o Site da RSA. For information on setting up this feature on a LogMeIn host, visit https://support.logmeininc.com/pro.


Autenticação entre usuários e o host

Autenticação e autorização de usuários dentro do Host

Once LogMeIn has verified the user’s identity using the above methods, it checks its own internal user database to see which internal modules the user is allowed to access.

System administrators can configure LogMeIn so that users with certain roles have access only to a subset of tools offered by LogMeIn; for example, the Helpdesk department can be configured to only view a computer’s screen and performance data, but not actually take over the mouse and the keyboard or make any changes to the system configuration. Por outro lado, o departamento de Vendas pode receber acesso de controle remoto total a seus respectivos computadores, mas os recursos como monitoramento de desempenho e administração remota não seriam disponibilizados.

Using the operating system access token obtained when the user was authenticated, LogMeIn impersonates the user towards the operating system while performing actions on their behalf. This ensures that LogMeIn adheres to the operating system's security model, and users have access to the same files and network resources as if they were sitting in front of their computer. Resources unavailable to users in Windows or OS X also remain unavailable via LogMeIn.

See “Controlling Who Can Access Your Host Computers” in the LogMeIn Pro or LogMeIn Central support site.

Auditoria e log

LogMeIn provides extensive logging capabilities. A very detailed log of the events that occur within the software is kept in the LogMeIn data log directory. Os eventos mais importantes também são colocados no log de eventos do aplicativo Windows – esses eventos incluem, por exemplo, ações de logon e logoff. O log detalhado também pode ser enviado para um servidor SYSLOG personalizado da escolha do cliente.

See “How to View Host Event Log Files” in the LogMeIn Pro support site for details. For SYSLOG, see “Deployable Host Preferences for Logs and Session Recording” in the LogMeIn Central support site.

Encaminhamento de dados

O gateway fornece criptografia de ponta a ponta encaminhando dados criptografados entre o host e o cliente. Se você está familiarizado com o funcionamento do TLS, isso pode parecer impossível; afinal de contas, a suposição lógica é de que somente o gateway poderá decodificar os dados enviados pelo cliente, já que o cliente teria certeza de estar se comunicação com o gateway. This is a valid point, but LogMeIn made a few important changes to how TLS sessions are handled between the host and the gateway.

A primeira parte da negociação do TLS é executada entre o gateway e o cliente. O gateway, então, passa a tarefa para o host, que renegocia a sessão TLS e concorda com o cliente em relação à nova chave de sessão, fornecendo, assim, uma criptografia verdadeiramente completa do host ao cliente.

Quando o tráfego é transmitido pelo gateway, o cliente estabelece uma sessão TLS com o gateway usando o certificado do gateway. O gateway transfere o estado dessa sessão TLS (incluindo o PMS) para o host. Após concordar a respeito de uma nova chave, o host usa esse estado da sessão para lidar com o restante da sessão TLS diretamente com o cliente. O certificado do gateway protege a sessão, permitindo que o cliente se comunique diretamente com o host, sem precisar que o gateway descriptografe e criptografe novamente o tráfego.

Um ataque Man-in-the-middle se torna impossível, pois tanto o host quanto o cliente verificam o certificado do gateway, e o cliente usa a sua chave RSA pública para criptografar informações que são usadas para produzir o Pre-Master Secret do TLS.

UDP NAT Traversal

É importante explicar como a Travessia NAT UDP é usada, especialmente porque o UDP em si é, notoriamente, considerado não seguro. Não é inteiramente uma exclusão: se UDP for usado como um meio de comunicação, a segurança pode ser um problema grave, pois os dados do UDP são fáceis de forjar e o endereço IP do remetente pode ser fraudado.

Para remediar essa situação, o LogMeIn.com não usa o UDP como um meio de comunicação em si com as conexões de Travessia NAT UDP. O UDP é transmitido à camada da rede, conforme definido pelo Modelo de rede ISO/OSI, com uma camada de transporte parecida com o TCP criada sobre ele, completo com o controle de fluxo, expansão de largura de banda dinâmica e numeração de sequência de pacote.

LogMeIn.com uses UDP instead of TCP packets (thereby effectively re-implementing a TCP-like transport layer) because most firewalls and NAT devices allow seamless two-way communication over a UDP transport as long as it is initiated from within the security perimeter, but they require significant reconfiguration for TCP and IP packets. Depois que um fluxo confiável como o TCP é estabelecido a partir de pacotes UDP não confiáveis, o fluxo ganha a proteção adicional de uma camada TLS, fornecendo recursos completos de criptografia, proteção de integridade e verificação de terminais.

Para configurar uma conexão de Travessia NAT UDP, o cliente e o host enviam vários pacotes UDP criptografados ao gateway. Esses pacotes são criptografados com uma chave secreta compartilhada pelo gateway e seu respectivo par, comunicado por uma conexão TLS preexistente. É impossível falsificá-los.

O gateway usa esses pacotes para determinar os endereços IP externos (Internet) das duas entidades. Ele também tenta prever qual porta do firewall será usada para comunicação quando um novo pacote UDP for enviado. Os resultados são passados aos pares, que tentarão então estabelecer uma conexão direta. Se o gateway puder determinar a porta em uso, a conexão será bem-sucedida. Os pares verificam uns aos outros usando outro segredo compartilhado obtido do gateway. Uma sessão TLS é estabelecida. Os pares então comunicam-se diretamente.

Se não for possível estabelecer uma conexão direta, os pares serão conectados de volta ao gateway pelo TCP e solicitarão que uma sessão criptografada de ponta a ponta e encaminhada seja usada. Esse processo leva apenas alguns segundos e é transparente ao usuário. A única diferença notável é o maior desempenho e a baixa latência quando uma conexão direta está em uso. Para mais detalhes, consulte o artigo EUA, n.o 7.558.862.

Atualizações de software e segurança do gateway

The LogMeIn host, based on user preferences, can semi-automatically or automatically update itself on the user’s computer. O software host verifica periodicamente o site LogMeIn.com em busca de versões mais recentes do software. Caso uma nova versão seja encontrada, ela é baixada automaticamente e uma mensagem é exibida ao usuário, que poderá permitir que a atualização seja realizada. O processo de download usa, no máximo, 50% da largura de banda disponível, minimizando assim a interferência com outros aplicativos na rede.

Essas atualizações de software são digitalmente assinadas pela LogMeIn.com com uma chave privada que não é encontrada em nenhum dos nossos sistemas conectados à Internet. Therefore, even if the LogMeIn datacenters were compromised by attackers who then gain complete control over our servers, they would not be able to upload a rogue update and run arbitrary code on our users’ computers. The most such a highly unlikely attack could accomplish is access to the LogMeIn logon screen on the customer’s computer, which, even though it effectively bypasses the gateway security mechanisms, would still require that they enter valid operating system credentials to gain access to the computer. Obter a senha por insistência é impossível, pois o Filtro de autenticação, por padrão, bloqueia o endereço IP do usuário depois da inserção de algumas senhas incorretas.

For cases when a user has the same password for both LogMeIn and their computer, note that we do not store actual LogMeIn passwords in our database. Em vez disso, usamos uma função de derivação da chave criptográfica unidirecional e um valor de sal em cada conta para garantir que ataques de força bruta não sejam possíveis, mesmo com a posse do valor derivado.

Conclusões

Uma solução de acesso remoto bem desenvolvida pode aumentar significativamente a produtividade e proporcionar um rápido retorno sobre o investimento. When deployed with care and LogMeIn's optional security features are utilized, the benefits greatly outweigh the risks.

Precisa de ajuda?

Contact icon Entrar em contato com o suporte
Manage Cases icon Gerenciar casos
Community icon Pergunte para a comunidade
Training icon Participe de treinamentos
Video icon Assista aos vídeos
  • Language selector icon Language selector icon
    • English
    • Français
    • Italiano
    • Deutsch
    • Español
    • Português
    • Nederlands
  • Sobre nós
  • Termos de serviço
  • Política de Privacidade
  • Trademark
  • Não venda nem compartilhe meus dados pessoais
  • Localizar produtos
  • Copyright © 2025 GoTo Group, Inc. All rights reserved

Comunicação e colaboração

GoTo Connect

GoTo Meeting

GoTo Webinar

GoTo Training

join.me

Grasshopper

OpenVoice

Engajamento e suporte

GoTo Resolve

Rescue

GoToAssist

Identidade e acesso

Pro

Central

GoToMyPC