Problemas con IPCOP

Patricio Rojas tronx76 en gmail.com
Jue Sep 28 16:20:22 CLT 2006


On 9/28/06, Horst H. von Brand <vonbrand en inf.utfsm.cl> wrote:
> Patricio Rojas <tronx76 en gmail.com> wrote:
> > IMHO
> >
> > On 9/27/06, Horst H. von Brand <vonbrand en inf.utfsm.cl> wrote:
> > > Alvaro Herrera <alvherre en alvh.no-ip.org> wrote:
> > >
> > > [...]
> > >
> > > > Y eso que tiene que ver?  Acaso es imposible hacer una administracion
> > > > web para un firewall, que sea segura?  Por favor.
> > >
> > > Imposible? No. Que me consta lo han hecho, alguna vez? Tengo mis /muy/
> > > serias dudas. Y para Linux, herramientas decentes "de administracion via
> > > monitos",
>
> > La mayoría de los firewall hoy en día vienen con monitos
>
> Eso no quiere decir que sean aceptablemente seguros...
>
> [...]
>
> > Incluso los pagados de sólo hardware
>
> Los "pagados de solo hardware" tipicamente son una caja de fierro de 1/2",
> pintada de rojo alarmante, conteniendo un PC de lo mas normal, generalmente
> corriendo algun BSD + una capa de configuracion del cortafuegos
> propietaria.

que se configura por medio de ?....hecha para un usuario que no
necesariamente es experto. La interfaz usuario antes no interesaba
ahora si.


>
> >                                      (Cisco activa a través del
> > navegador web una aplicación JAVA para la administración del firewall,
> > incluso los ciscoman las emplean).
>
> Bien por ellos.
>
> Por mi, lo eliminaria: Es software extra, totalmente innecesario, muy
> complejo, probablemente no auditado en lo absoluto. En resumen, una
> vulnerabilidad clara (y desperdicio de recursos tambien).
>
> > >  simplemente no hay (porque a los hackers esa clase de desarrollos
> > > no los atrae particularmente,
>
> > Ese hábito doctor de opinar por terceros, deje que los hackers hablen
> > por si mismo,
>
> Revisa el tipo de software que mas que nada desarrollan los mas
> competentes...
>

Los mas competentes nunca tienen que ver con los que mas desarrollan y
venden, me queda completamente claro. Es más, por qué cerrar un
software de código abierto que debe tener la mayor amplitud de
sectores y segmentos sociales para provocar un cambio de mentalidad si
al revez sólo me voy a encerrars a unas ventanas verdes ?. Son cosas
distintas.

El objetivo del asunto no va por las ventanitas, ni por el html el
asunto de fondo es por los servicios, a saber mientras mas servicios
tienes, se puede decir que tienes mas vulnerabilidades en probabilidad
EN PROBABILIDAD, esto no indica que el HTML sea malo. Creo - creo que
el asunto es este.

> >               es desagadable que otros hablen por uno siendo que cada
> > uno se una persona creo inteligente (En particular no soy hacker y
> > creo que disto mucho de serlo...como diría el italinano...son un weon
> > más)
>
> Que te da derecho entonces de hablar /tu/ por ellos?
>
Siempre he visto en esta lista una vanidad intelectual, que
francamente no es bueno. EL año pasado sin mas, se hablaban de unas
charlas de linux y que los temas tenían que ser de "peso"....No
equivocación grande. Los temas no tienen que ser de peso, para nada,
es mas tienen que ser charlas para "dummies" pues cómo puedes lograr
la evangelización hablando de cosas muy "extrañas" para otras
personas.

Segundo, como puede una lista de linux auto aprender si no tiene
historia una metodología de aprendizaje. He visto listas extranjeras y
están montadas en phpBB que francamente són cómodas para buscar temas
de interes.

por ejemplo http://forums.gentoo.org,


> > > detallados de seguridad y auditoria son escasos).
>
> > EL real problema es tener el máximo de tecnología en comodidad  y no
> > emplearlo por miedo, temor, fobia. ¿ por qué no ligar ambas a nivel
> > adecuado de seguridad?.
>
> Porque hay mas que suficientes demostraciones de gente que lo ha intentado,
> con el resultado uniforme que /no/ funciono, tal vez?
>

Creo que hay que ser religioso como para interesarle a cualquier
persona los problemas de los demas en qué preocuparse de que no
funciono algo, creo que la orientación de una lista es buscar
soluciones que en la vida real nunca son el 100% efectivas (es un
sueño el resultado ideal).

Eso de la fantasía de que las soluciones son 100% efectivas es un
ideal (que puede ser sano, pero no real). Cuando un profesional de
cualquier área se ajusta a procedimientos ante un problema
multivariable tiene probabilidades de éxito que creame profesor, no
son del 100%, 90%, 80%. Cuando en Cualquier pais se demandan a un
médico por ejemplo, es por que no se ajustó a procedimientos y un
procedimiento es sólo una mejor opción una probabilidad de un caso a
resolver (el procedimiento por supuesto es algo escrito y probado por
un grupo de estudiosos, esto debe ser muy claro para un doctor)


> > Internet esta lleno de fuentes de información que al momento de
> > producirse algún fallo, las medidas pueden ser tomadas (El mercado
> > ideal de los compradores bien informados).
>
> El problemita de la seguridad es que cuando se produjo el fallo, se acabo
> el juego. Tienes que /prevenir/, porque demasiadas veces no hay como curar.
>

Siempre hay alternativas, en el software libre y el problema no es
equivocarse, el problema es que se den cuenta de que tienes una
vulnerabilidad.


> > Muchos de los cortafuegos nombrados no están abiertos a internet en su
> > administración, por lo que el temerle al html abierto al mundo se
> > reduce el riesgo.
>
> Cierto. Pero eso no hace que el pastel no arregle las cosas para poder
> reconfigurarlo desde la comodidad de su casa... un sistema serio de esos
> /solo/ se puede reconfigurar por una puerta serial extra.
>

De acuerdo, mientras mas amplio sea la gama de opciones para
configurar es mejor (Todos los costafuegos de este mundo se pueden
configurar vía consola


> > EL acceso a la información hoy en día no es de unos pocos (gracias
> > internet por los recursos).
>
> Eso corta en ambos sentidos... y ademas /todos/ tienen acceso a tu equipo

Acceso a la información es distinto a tener acceso a mi equipo, - No
mezclar peras con manzanas.

> hoy, no solo unos pocos elegidos. Internet ubicua ha cambiado radicalmente
> la relacion atacante/defensor. Administradores cada vez menos competentes
> tambien ha aportado para erosionar esto.
> --

Si las generaciones van cambiando siempre y eso no es malo. Por
ejemplo hace poco me invitaron a una charla de Exchange 2007 y la gran
sorpresa es que se administra casi en su totalidad vía consola con la
"power shell". Las personas de la charla decían "Estamos
retrocediento". Por supuesto para alguien que siempre vee una consola
no es problema. Pero tampoco es problema poderse montar en una
bicicleta, un triciclo si la idea es avanzar.

Creame estoy aprendiendo.

Saludos.

> Dr. Horst H. von Brand                   User #22616 counter.li.org
> Departamento de Informatica                    Fono: +56 32 2654431
> Universidad Tecnica Federico Santa Maria             +56 32 2654239
> Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513
>



Más información sobre la lista de distribución Linux