Problemas con IPCOP

Horst H. von Brand vonbrand en inf.utfsm.cl
Jue Sep 28 11:53:10 CLT 2006


Patricio Rojas <tronx76 en gmail.com> wrote:
> IMHO
> 
> On 9/27/06, Horst H. von Brand <vonbrand en inf.utfsm.cl> wrote:
> > Alvaro Herrera <alvherre en alvh.no-ip.org> wrote:
> >
> > [...]
> >
> > > Y eso que tiene que ver?  Acaso es imposible hacer una administracion
> > > web para un firewall, que sea segura?  Por favor.
> >
> > Imposible? No. Que me consta lo han hecho, alguna vez? Tengo mis /muy/
> > serias dudas. Y para Linux, herramientas decentes "de administracion via
> > monitos",

> La mayoría de los firewall hoy en día vienen con monitos

Eso no quiere decir que sean aceptablemente seguros...

[...]

> Incluso los pagados de sólo hardware

Los "pagados de solo hardware" tipicamente son una caja de fierro de 1/2",
pintada de rojo alarmante, conteniendo un PC de lo mas normal, generalmente
corriendo algun BSD + una capa de configuracion del cortafuegos
propietaria.

>                                      (Cisco activa a través del
> navegador web una aplicación JAVA para la administración del firewall,
> incluso los ciscoman las emplean).

Bien por ellos. 

Por mi, lo eliminaria: Es software extra, totalmente innecesario, muy
complejo, probablemente no auditado en lo absoluto. En resumen, una
vulnerabilidad clara (y desperdicio de recursos tambien).

> >  simplemente no hay (porque a los hackers esa clase de desarrollos
> > no los atrae particularmente,

> Ese hábito doctor de opinar por terceros, deje que los hackers hablen
> por si mismo,

Revisa el tipo de software que mas que nada desarrollan los mas
competentes...

>               es desagadable que otros hablen por uno siendo que cada
> uno se una persona creo inteligente (En particular no soy hacker y
> creo que disto mucho de serlo...como diría el italinano...son un weon
> más)

Que te da derecho entonces de hablar /tu/ por ellos?

> > detallados de seguridad y auditoria son escasos).

> EL real problema es tener el máximo de tecnología en comodidad  y no
> emplearlo por miedo, temor, fobia. ¿ por qué no ligar ambas a nivel
> adecuado de seguridad?.

Porque hay mas que suficientes demostraciones de gente que lo ha intentado,
con el resultado uniforme que /no/ funciono, tal vez?

> Internet esta lleno de fuentes de información que al momento de
> producirse algún fallo, las medidas pueden ser tomadas (El mercado
> ideal de los compradores bien informados).

El problemita de la seguridad es que cuando se produjo el fallo, se acabo
el juego. Tienes que /prevenir/, porque demasiadas veces no hay como curar.

> Muchos de los cortafuegos nombrados no están abiertos a internet en su
> administración, por lo que el temerle al html abierto al mundo se
> reduce el riesgo.

Cierto. Pero eso no hace que el pastel no arregle las cosas para poder
reconfigurarlo desde la comodidad de su casa... un sistema serio de esos
/solo/ se puede reconfigurar por una puerta serial extra.

> EL acceso a la información hoy en día no es de unos pocos (gracias
> internet por los recursos).

Eso corta en ambos sentidos... y ademas /todos/ tienen acceso a tu equipo
hoy, no solo unos pocos elegidos. Internet ubicua ha cambiado radicalmente
la relacion atacante/defensor. Administradores cada vez menos competentes
tambien ha aportado para erosionar esto.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux