On Fri, 23 Jan 2004 14:50:29 +0100 Borxa Varela Bouzas <[EMAIL PROTECTED]> wrote:
> Tras una pequeña meditación sobre seguridad, je je, se me ha planteado la > siguiente pregunta, ¿de que cortafuegos se puede uno fiar más, de el que > tiene el router, o de el que tiene el kernel linux? Depende, si sus politicas de restricción son duras como un piedra, es decir no dejar entrar nada de tal dirección, o no dejar pasar nada al puerto 143 puedes montarlo con un cisco, las listas de acceso -acl- (que son las que controlan el filtrado en los cisco) no permiten reglas muy elaboradas, incluso si hablamos de las acl extendidas, son como un candado que se pone a una puerta. Por otro lado las reglas de NetFilter (kernel linux) permiten mayor versatilidad y pueden extenderse por mucho más que simples candados, pudiendo serlo también. > Es decir, donde es mas común encontrar agujeros de seguridad, en los NAT de > los routers o en los del kernel... Qué tiene que ver NAT con los filtros? ojo que son cosas diferentes, que se usa la misma herramienta para incluir reglas en el núcleo eso es otra cosa. Los filtros funcionan, uses o no uses NAT, y los GNU/Linux no tiene nada que envidiarles a los sistemas propietarios cerrados incluso al hacer NAT, Traffic control, etc. > Tengo ganas de ver opiniones de gente que usa debian sobre este tema, porque > creo que pronto se me va a presentar esa duda en un servidor (y hay un 95% de > posibilidades de que sea Debian). Si sus reglas no son muy elaboradas y si ya tienes un cisco puedes montar su sistema de filtrado en él, más por el contrario si tus reglas requieren controlar con más detalles los paquetes que circularán y por sobre todo necesitas manejar estadísticas, cambiar reglas en horas determinadas para permitir o denegar tales o cuales cosas, pues evidentemente un cisco no le servirá (no se olvide que los cisco son sistemas basados en procesadores de 40 MHz con 8 MB de ram aproximadamente, no sería buena idea sobrecargar este equipito con cosas que podría un 486 de 100MHz con 32 de ram ganar de sobre manera). Si piensa en adquirir un equipo, es mejor que busque uno de esos equipitos que la organización ya no use y puede rescatarlo y convertirlo en un router con las mismas prestaciones de un sistema de alta embergadura incluido el filtrado. Saludos! nmag only