Problemas con IPCOP

Rodrigo Fuentealba darkprox en gmail.com
Jue Sep 28 16:26:07 CLT 2006 

>> La mayoría de los firewall hoy en día vienen con monitos

caso concreto: un firewall que compraron en un liceo (carísimo, no
recuerdo qué marca específica) traía monitos, y un servidor web
también (era una máquina Sun, de esas con procesador Intel y discos
IDE).

Cuento corto, versión Firewall: una vez el servidor web del firewall
dejó de funcionar y hubo que sacarle los discos e intentar
reinstalarle el software. Por mientras, todo el liceo (de unos 3500
alumnos) sin Internet. Terminó funcionando con Slackware 10.0 y
Shorewall en casa de un amigo... (y al día de hoy, cero dramas)

Cuento corto, versión servidor web: Apache 1.3.26 desactualizado pasó
susto, kernel 2.4.18 también. Por lo demás, en esa máquina había un
servidor de mail con mbox también... al tacho con ambas. Cambiamos
ambas máquinas. Lamentablemente un firewall con monitos suena a
estrategia comercial más que a preocuparse por la seguridad real.

>> Incluso los pagados de sólo hardware

¿El que sea pagado hace la diferencia? Recordemos a nuestro vecino del
planeta Redmond, que es pagado, lindo y todo lo que tú quieras
(inclusive ahora tiene capacidades de escritorio 3D) ;-)

>>                                      (Cisco activa a través del
>> navegador web una aplicación JAVA para la administración del firewall,
>> incluso los ciscoman las emplean).

OK, pero a los de CISCO "les pagan" porque estén todo el día mirando
vulnerabilidades de software, y aún así a veces los de securityfocus
llegan primero...

Puede ser "un poco más seguro"... pero el topico de discusión es IPCOP
que "no es" algo pagado. Todo se basa en el hecho de que hay humanos
detrás del desarrollo de cualquier software (o hardware), y aunque sea
escasamente, los humanos tenemos la mala costumbre de equivocarnos.

La mejor manera (a mi parecer) de evitar equivocaciones es
simplificando el desarrollo, y lo primero que se iría de patada en la
r... para muchos buenos programadores serían los monitos.

>> EL real problema es tener el máximo de tecnología en comodidad  y no
>> emplearlo por miedo, temor, fobia. ¿ por qué no ligar ambas a nivel
>> adecuado de seguridad?.

¿porque tendría que haber como mínimo dos programadores que pensaran
parecido y tuvieran exactamente la misma idea, para que existan cero
descoordinaciones, cosa que humanamente es difícilmente posible? (Uno
que se preocupe del firewall, el otro de la interfaz, otro de la
implementación, otro... etc.)

>> Internet esta lleno de fuentes de información que al momento de
>> producirse algún fallo, las medidas pueden ser tomadas (El mercado
>> ideal de los compradores bien informados).

Claro, pero esa misma información está disponible para los buenos y
para los malos al mismo tiempo... si un malo se da cuenta antes, game
over...

>> Muchos de los cortafuegos nombrados no están abiertos a internet en su
>> administración, por lo que el temerle al html abierto al mundo se
>> reduce el riesgo.

Las encuestas dicen que el 99.5% de los seres vivos que utilizarían
ese sistema consideran la seguridad como algo "binario", es decir "es
seguro", "no es seguro". El otro 0.5% dice "lo tengo porque el jefe me
pidió configurarlo, pero es mucha pega asi que ahi no mas y si falla,
falla".

La seguridad no es sólo tener las mejores tecnologías, sino que se
basa en el factor humano: no sacamos nada con tener en nuestra casa
ojo mágico, puertas con cámaras, fosas con cocodrilos, ametralladoras
a control remoto y francotiradores en el techo si cuando preguntamos
"quién es?", le responden "yooo!" y abrimos de inmediato.
Lamentablemente son cada vez menos los administradores de sistemas
conscientes de esto.

-- 
Rodrigo Fuentealba Cartes
Desarrollador de Sistemas Web
Registered User 387639 - http://counter.li.org

Más información sobre la lista de distribución Linux