separar subredes usando iptables

Horst von Brand vonbrand en inf.utfsm.cl
Jue Oct 27 11:19:05 CLST 2005 

Juan Carlos Muñoz Ilabaca <jcmunoz en dcc.uchile.cl> wrote:
> Disque el Miércoles, 26 de Octubre de 2005 17:48, Horst von Brand 
> escribiosese:

[...]

> no se supone que un usuario legitimo no se va a conectar a algo que no se
> supone que se debe conectar??? por eso es legitimo, porque se esta
> conectando al servicio que corresponde como corresponde no???

Nunca te has intentado conectar a un servidor equivocado (disteclia)?

> yo creo que es solamente otra forma de pensar y no una imposición de
> algún tipo, yo por mi parte no estoy de acuerdo

Estas equivocado. Y no lo digo yo, es el consenso en el area seguridad
resultante de los ultimos, digamos, 200 an~os de desarrollo del area.

>                                                 y creo que dependiendo de
> que me quiera proteger es la forma en la que voy a actuar,

Obvio.

>                                                            si tengo un
> servicio que se que me van a querer atacar, entonces lo dejo en drop

Que diferencia hace para el atacante que sea DROP o REJECT? Notese que el
DROP anuncia que /hay/ algo, un DESTINATION UNRECHABLE no dice nada...

>                                                                      y
> genero logs en el iptables,

Que luego deberas leer, sin que te aporten dato util alguno.

>                             así se quien esta tratando de penetrar mis
> sistemas

Que ganas? Acciones legales no corresponden mientras no haga nada
concreto. Medidas de proteccion adicionales no tienes a la mano. Si las
tuvieras, no tienes como distinguir potenciales ataques de conexiones
erradas al azar para tomar medidas. Y?

>          y si alguien legitimo que quiera entrar no puede,

... quedara preguntandose porque los intentos de conexion fallan
misteriosamente, si sospecha lo que pasa sacara a pasear a tus ancestros de
la rama femenina de la familia, probablemente desistira de su intento, y
muy ocasionalmente...

>                                                            entonces
> avisará y se verificará cual es su problema con el log de conexión...

... que es exactamente lo que /si/ hara en caso de REJECT, pero alli es el
/usuario/ quien estara en condiciones de dar algunas luces sobre el
problema, no el BOfH quien debera adivinar y/o aplicar arqueologia a los
logs.

> PS: me parece que esta discusión paso a términos subjetivos, por lo que creo 
> que no vale la pena seguirla.

No hay nada de subjetivo en lo que planteo.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux