On 9/28/06, Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote: > >> La mayoría de los firewall hoy en día vienen con monitos > > caso concreto: un firewall que compraron en un liceo (carísimo, no > recuerdo qué marca específica) traía monitos, y un servidor web > también (era una máquina Sun, de esas con procesador Intel y discos > IDE). > > Cuento corto, versión Firewall: una vez el servidor web del firewall > dejó de funcionar y hubo que sacarle los discos e intentar > reinstalarle el software. Por mientras, todo el liceo (de unos 3500 > alumnos) sin Internet. Terminó funcionando con Slackware 10.0 y > Shorewall en casa de un amigo... (y al día de hoy, cero dramas) >
EL problema no es el html es la cantidad de servicios. Por años se está intentando decir que el html es peligroso cuando no es así. > Cuento corto, versión servidor web: Apache 1.3.26 desactualizado pasó > susto, kernel 2.4.18 también. Por lo demás, en esa máquina había un > servidor de mail con mbox también... al tacho con ambas. Cambiamos > ambas máquinas. Lamentablemente un firewall con monitos suena a > estrategia comercial más que a preocuparse por la seguridad real. > > >> Incluso los pagados de sólo hardware > > ¿El que sea pagado hace la diferencia? Recordemos a nuestro vecino del > planeta Redmond, que es pagado, lindo y todo lo que tú quieras > (inclusive ahora tiene capacidades de escritorio 3D) ;-) > > >> (Cisco activa a través del > >> navegador web una aplicación JAVA para la administración del firewall, > >> incluso los ciscoman las emplean). > > OK, pero a los de CISCO "les pagan" porque estén todo el día mirando > vulnerabilidades de software, y aún así a veces los de securityfocus > llegan primero... > > Puede ser "un poco más seguro"... pero el topico de discusión es IPCOP > que "no es" algo pagado. Todo se basa en el hecho de que hay humanos IPCOPS se puede administrar por vía web, ssh o consola y he visto que es muy bueno. Por qué desestimarlo si tiene html ?. Una persona con todo el tiempo del mundo puede crear reglas que filtren conexiones bajo criterios, pero para qué perder el tiempo si pueden ser activadas vía una interfaz?. El aplicarlas en la capa DCL /shell es una alternativa válida como también la html. > detrás del desarrollo de cualquier software (o hardware), y aunque sea > escasamente, los humanos tenemos la mala costumbre de equivocarnos. > > La mejor manera (a mi parecer) de evitar equivocaciones es > simplificando el desarrollo, y lo primero que se iría de patada en la > r... para muchos buenos programadores serían los monitos. > Cosas concretas IPCOP funciona! y tiene sus vulnerabilidades como todos los cortafuegos (cosa que no es malo). El problema es cuantas vulnerabilidades tiene en un tiempo. > >> EL real problema es tener el máximo de tecnología en comodidad y no > >> emplearlo por miedo, temor, fobia. ¿ por qué no ligar ambas a nivel > >> adecuado de seguridad?. > > ¿porque tendría que haber como mínimo dos programadores que pensaran > parecido y tuvieran exactamente la misma idea, para que existan cero > descoordinaciones, cosa que humanamente es difícilmente posible? (Uno > que se preocupe del firewall, el otro de la interfaz, otro de la > implementación, otro... etc.) > No digo que no sea posible, pero me ha dado mejores resultados planificar toda la interfaz primero y luego desarrollo. Así queda todo mas estandarizado. > >> Internet esta lleno de fuentes de información que al momento de > >> producirse algún fallo, las medidas pueden ser tomadas (El mercado > >> ideal de los compradores bien informados). > > Claro, pero esa misma información está disponible para los buenos y > para los malos al mismo tiempo... si un malo se da cuenta antes, game > over... Así es la vida real y gracias a ello que muchos tenemos trabajo. > > >> Muchos de los cortafuegos nombrados no están abiertos a internet en su > >> administración, por lo que el temerle al html abierto al mundo se > >> reduce el riesgo. > > Las encuestas dicen que el 99.5% de los seres vivos que utilizarían > ese sistema consideran la seguridad como algo "binario", es decir "es > seguro", "no es seguro". El otro 0.5% dice "lo tengo porque el jefe me > pidió configurarlo, pero es mucha pega asi que ahi no mas y si falla, > falla". > He leido mucho acerca de la conquista de los españoles en américa y créeme, en ningún libro te dicen que cuando a alguien le dolía una muela o tenía una enfermedad lo tiraban por la borda, a nadie le interesaba un weón enfermo. En ningún libro te dicen en dónde se cepillaban los dientes o dónde hacian sus necesidades. Todos los meses veo los precios de las chuletas de cerdo cuando puedo comprarlas, pero siempre que voy a inicio de mes las veo mas gordas, mas grandes que cuando voy a final de mes. Por ello me dí cuenta que es una estrategia para sacarte el dinero del bolsillo. En ningún libro te cuentan que Pedro de Valdivia era un Animal que nadie se explica cómo podía estar arriba de un caballo cerca de seis meses - por lo menos eso cuentan cuando cruzó de Peru hacia Chile, yo siempre viajo cerca de dos horas y llego como chupete a la casa. Así es la vida real. Puedes leer muchas cosas para distraerte pero la realidad que veo yo puede ser normal que sea un poco diferente de la que tienes en este momento > La seguridad no es sólo tener las mejores tecnologías, sino que se > basa en el factor humano: no sacamos nada con tener en nuestra casa Completamente de acuerdo, al final el 666 nos está controlando - por si no lo saben el 666 es el computador. > ojo mágico, puertas con cámaras, fosas con cocodrilos, ametralladoras > a control remoto y francotiradores en el techo si cuando preguntamos > "quién es?", le responden "yooo!" y abrimos de inmediato. > Lamentablemente son cada vez menos los administradores de sistemas > conscientes de esto. > Eso es requete bueno, pues por ello existe esta lista que en ánimo no se cansa jamas. > -- > Rodrigo Fuentealba Cartes > Desarrollador de Sistemas Web > Registered User 387639 - http://counter.li.org WOW > >