separar subredes usando iptables
Juan Carlos Muñoz Ilabaca
jcmunoz en dcc.uchile.cl
Mie Oct 26 18:06:00 CLST 2005
Disque el Miércoles, 26 de Octubre de 2005 17:48, Horst von Brand
escribiosese:
>[...]
> Como si los gusanos se van a tomar la molestia de revisar si el port esta
> abierto antes de tirarse... y si esta cerrado, que importa decir
> cortesmente que esta cerrado en vez de no decir nada?
>
> Insisto, como medida de seguridad DROP no aporta /nada/, y es /activamente/
> contraproducente para usuarios legitimos.
>
> Igualito que la medida de "seguridad" de pichicatear los servidores para
> que no se delaten por el banner. Seguridad es nula (nmap es mas que capaz
> de descubrir igual de que se trata; y si es por eso, los atacantes suelen
> tirarse "por si pasa" en vez de complicarse la existencia de antemano; si
> no me creen, vean sus logs para miles de intentos fallidos de conexion via
> SSH con cuentas y password al azar). Se ven perjudicados unicamente quienes
> necesitan legitimamente saber de que se trata (porque el %*#@& MTA no
> acepta mis correos? que opciones maneja? tal vez es alguna de las &%$
> versiones aturdidas que...?).
>
> "Security through obscurity" isn't.
no se supone que un usuario legitimo no se va a conectar a algo que no se
supone que se debe conectar??? por eso es legitimo, porque se esta conectando
al servicio que corresponde como corresponde no???
yo creo que es solamente otra forma de pensar y no una imposición de algún
tipo, yo por mi parte no estoy de acuerdo y creo que dependiendo de que me
quiera proteger es la forma en la que voy a actuar, si tengo un servicio que
se que me van a querer atacar, entonces lo dejo en drop y genero logs en el
iptables, así se quien esta tratando de penetrar mis sistemas y si alguien
legitimo que quiera entrar no puede, entonces avisará y se verificará cual es
su problema con el log de conexión...
Atte. JCMI
PS: me parece que esta discusión paso a términos subjetivos, por lo que creo
que no vale la pena seguirla.
--
Fortune's real live weird band names #319:
Harry Pussy
Más información sobre la lista de distribución Linux