Optimizacion de firewall en iptables

celtita celtita en bonbon.net
Jue Ene 6 16:06:14 CLST 2005



>> Me interesa aprender a crear firewalls realmente poderosos!   jejje
pero
>> de momento solo conozco el manejo de linux (aunque ya estoy
comenzando a
>> meter mano a freeBSD :) ).
>> 

>No te dejes llevar por los comentarios al azar.

No son al azar, es experiencia obtenida en teleco, no informatica.

>Cualquier maquina con Linux con las actualizaciones correspondientes es
>suficiente.

Igual para todos los SO.

>Si quieres hilar mas profundo, netfilter tiene un monton de modulos
>extras que puedes implementar y ademas existen muchas aplicaciones que
>te permitiran tener un firewall de verdad.

Iptables no certificado por el DoD.

>Por ahi lei otro comentario de "celtita" (no pone su nombre, asi que no
>se como llamarlo) 

celtita no mas, quedamos igual de amigos :-)

>que dice que BSD es lo mejor para firewalls por que
>_su kernel_ maneja todo.

No todo.

>Se ha discutido hasta el cansancio de que esto es innecesario y no
>afecta nada en temas de seguridad.

Existen los niveles de seguridad a nivel de Kernel que Linux no tiene.

>La ventaja del kernel de Linux es la simpleza del mismo y la forma en
>la que interactua con los demas componentes del sistema (modulos),
>ademas de lo eficiente que es para hacerlo.

La simpleza de rootikitiar un modulo en memoria o de depurarlo.

>De igual forma, en Linux puedes desarrollar lo que te plazca sin tener
>que modificar el kernel. Cosa que en BSD no es tan simple y dependeras
>siempre de la direccion de los desarrolladores del mismo.

O cooperar en el proyecto core y no empezar un modulo y dejarlo a media
al ano porque te cambian cosas del kernel de un dia para otro.


>De todas formas, que un estupido sepa que tu firewall es un Linux da lo
>mismo.

A veces no hay que ser tan altanero y ese estupido no es tan estupido
como para hacernos trabajar un fin de semana no planificado.
Conviene tener cuidado de los estupidos a veces.

> El problema comienza cuando tu firewall no esta actualizado o mal
> configurado.

Y aun así estar atento a las fallas de seguridad día a día.

>Linux soporta todas las herramientas necesarias para protegerse de
>cualquier tipo de ataque (Spoofing, DDoS, etc).

Todas suena como invencible, la seguridad es un proceso y no un conjunto
de herramientas.
Nunca cubriremos "Cualquier tipo de ataque".



Llámenme celtita no mas.... 
(Viva la Ingeniería Social)
:-)





Más información sobre la lista de distribución Linux