Problemas con IPCOP
Patricio Rojas
tronx76 en gmail.com
Jue Sep 28 17:58:28 CLT 2006
On 9/28/06, Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> >> La mayoría de los firewall hoy en día vienen con monitos
>
> caso concreto: un firewall que compraron en un liceo (carísimo, no
> recuerdo qué marca específica) traía monitos, y un servidor web
> también (era una máquina Sun, de esas con procesador Intel y discos
> IDE).
>
> Cuento corto, versión Firewall: una vez el servidor web del firewall
> dejó de funcionar y hubo que sacarle los discos e intentar
> reinstalarle el software. Por mientras, todo el liceo (de unos 3500
> alumnos) sin Internet. Terminó funcionando con Slackware 10.0 y
> Shorewall en casa de un amigo... (y al día de hoy, cero dramas)
>
EL problema no es el html es la cantidad de servicios. Por años se
está intentando decir que el html es peligroso cuando no es así.
> Cuento corto, versión servidor web: Apache 1.3.26 desactualizado pasó
> susto, kernel 2.4.18 también. Por lo demás, en esa máquina había un
> servidor de mail con mbox también... al tacho con ambas. Cambiamos
> ambas máquinas. Lamentablemente un firewall con monitos suena a
> estrategia comercial más que a preocuparse por la seguridad real.
>
> >> Incluso los pagados de sólo hardware
>
> ¿El que sea pagado hace la diferencia? Recordemos a nuestro vecino del
> planeta Redmond, que es pagado, lindo y todo lo que tú quieras
> (inclusive ahora tiene capacidades de escritorio 3D) ;-)
>
> >> (Cisco activa a través del
> >> navegador web una aplicación JAVA para la administración del firewall,
> >> incluso los ciscoman las emplean).
>
> OK, pero a los de CISCO "les pagan" porque estén todo el día mirando
> vulnerabilidades de software, y aún así a veces los de securityfocus
> llegan primero...
>
> Puede ser "un poco más seguro"... pero el topico de discusión es IPCOP
> que "no es" algo pagado. Todo se basa en el hecho de que hay humanos
IPCOPS se puede administrar por vía web, ssh o consola y he visto que
es muy bueno. Por qué desestimarlo si tiene html ?.
Una persona con todo el tiempo del mundo puede crear reglas que
filtren conexiones bajo criterios, pero para qué perder el tiempo si
pueden ser activadas vía una interfaz?. El aplicarlas en la capa DCL
/shell es una alternativa válida como también la html.
> detrás del desarrollo de cualquier software (o hardware), y aunque sea
> escasamente, los humanos tenemos la mala costumbre de equivocarnos.
>
> La mejor manera (a mi parecer) de evitar equivocaciones es
> simplificando el desarrollo, y lo primero que se iría de patada en la
> r... para muchos buenos programadores serían los monitos.
>
Cosas concretas IPCOP funciona! y tiene sus vulnerabilidades como
todos los cortafuegos (cosa que no es malo). El problema es cuantas
vulnerabilidades tiene en un tiempo.
> >> EL real problema es tener el máximo de tecnología en comodidad y no
> >> emplearlo por miedo, temor, fobia. ¿ por qué no ligar ambas a nivel
> >> adecuado de seguridad?.
>
> ¿porque tendría que haber como mínimo dos programadores que pensaran
> parecido y tuvieran exactamente la misma idea, para que existan cero
> descoordinaciones, cosa que humanamente es difícilmente posible? (Uno
> que se preocupe del firewall, el otro de la interfaz, otro de la
> implementación, otro... etc.)
>
No digo que no sea posible, pero me ha dado mejores resultados
planificar toda la interfaz primero y luego desarrollo. Así queda
todo mas estandarizado.
> >> Internet esta lleno de fuentes de información que al momento de
> >> producirse algún fallo, las medidas pueden ser tomadas (El mercado
> >> ideal de los compradores bien informados).
>
> Claro, pero esa misma información está disponible para los buenos y
> para los malos al mismo tiempo... si un malo se da cuenta antes, game
> over...
Así es la vida real y gracias a ello que muchos tenemos trabajo.
>
> >> Muchos de los cortafuegos nombrados no están abiertos a internet en su
> >> administración, por lo que el temerle al html abierto al mundo se
> >> reduce el riesgo.
>
> Las encuestas dicen que el 99.5% de los seres vivos que utilizarían
> ese sistema consideran la seguridad como algo "binario", es decir "es
> seguro", "no es seguro". El otro 0.5% dice "lo tengo porque el jefe me
> pidió configurarlo, pero es mucha pega asi que ahi no mas y si falla,
> falla".
>
He leido mucho acerca de la conquista de los españoles en américa y
créeme, en ningún libro te dicen que cuando a alguien le dolía una
muela o tenía una enfermedad lo tiraban por la borda, a nadie le
interesaba un weón enfermo. En ningún libro te dicen en dónde se
cepillaban los dientes o dónde hacian sus necesidades. Todos los
meses veo los precios de las chuletas de cerdo cuando puedo
comprarlas, pero siempre que voy a inicio de mes las veo mas gordas,
mas grandes que cuando voy a final de mes. Por ello me dí cuenta que
es una estrategia para sacarte el dinero del bolsillo. En ningún
libro te cuentan que Pedro
de Valdivia era un Animal que nadie se explica cómo podía estar arriba
de un caballo cerca de seis meses - por lo menos eso cuentan cuando
cruzó de Peru hacia Chile, yo siempre viajo cerca de dos horas y llego
como chupete a la casa. Así es la vida real. Puedes leer muchas cosas
para distraerte pero la realidad que veo yo puede ser normal que sea
un poco diferente de la que tienes en este momento
> La seguridad no es sólo tener las mejores tecnologías, sino que se
> basa en el factor humano: no sacamos nada con tener en nuestra casa
Completamente de acuerdo, al final el 666 nos está controlando - por
si no lo saben el 666 es el computador.
> ojo mágico, puertas con cámaras, fosas con cocodrilos, ametralladoras
> a control remoto y francotiradores en el techo si cuando preguntamos
> "quién es?", le responden "yooo!" y abrimos de inmediato.
> Lamentablemente son cada vez menos los administradores de sistemas
> conscientes de esto.
>
Eso es requete bueno, pues por ello existe esta lista que en ánimo no
se cansa jamas.
> --
> Rodrigo Fuentealba Cartes
> Desarrollador de Sistemas Web
> Registered User 387639 - http://counter.li.org
WOW
>
>
Más información sobre la lista de distribución Linux