El mar, 11-11-2008 a las 16:50 +0100, Manuel Gomez escribió: > Jaime Robles escribió: > > > > >>>> - Rechazar TODA conexión entrante y saliente como política por defecto > >>>> de red local, internet, y de hacia el firewall (es decir, TODO). > >>>> > >>> Por lo general eso es un buen primer paso. > >>> > > Apoyo el comentario. > > Es una buena idea... la típica regla al final de tirar (drop, que no > > reject) todo el tráfico que no ha sido previamente aceptado. > > > > > >>>> - Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica), > >>>> > > Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1] > > > > > > > >> aceptar http > >> > >>>> sólo para los servidores que yo incluyo (www.google.es, etc....), > >>>> aceptar https del mismo modo. > >>>> > > ¿Para qué quieres https a www.google.es? > > > > ¿No es mejor que simplemente no conectes esa máquina a Internet? Es más... > > ¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando > > necesites acceder a la información? > > > > ¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del > > TEMPEST? [2] :-P > > > > > > > > > >>>> Y bien, ¿es un buen método de seguridad o realmente tiene problemas de > >>>> seguridad? > >>>> > > > > Creo que estás enfocando las cosas mal... > > Las cosas se hacen al revés... > > > > 1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger > > (http://twitter.com/itsec/status/994960487) > > 2.- Defines las medidas de seguridad para proteger lo que tienes. > > > > 3.- El coste de las medidas de seguridad (no poder usar tu ordenador > > tranquilamente, no poder navegar por donde te de la gana, tener que > > cambiar de ordenador en función de los datos a los que quieres acceder, > > ...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar > > más que la información a proteger... pero claro, depende del caso en > > concreto claro. > > > > > > Por lo que me ha parecido leer en tu mensaje se trata de tus datos > > personales y demás... así que creo que te estás pasando un poco. :-P y > > además estás poniendo unas medidas "extrañas"... porque si usas la máquina > > con linux de forma habitual, tendrás que estar dando de alta cada día más > > máquinas en el firewall... simplemente para navegar por lo que en unos > > días será inmanejable... y eso también tiene implicaciones en la seguridad > > de tu máquina. > > > > Mi consejo: > > Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y > > si te da por la paranoia porque no quieres que alguien de tu casa te > > husmee o que si se pierde el disco alguien pueda acceder a tus datos los > > cifras (GPG, truecrypt, ...). > > El disco lo metes en un cajón y punto final. > > > > Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados, > > requetebien cifrados... con una buena clave, un algoritmo en condiciones y > > los subes a algún sitio en Internet de confianza... si la "clasificación" > > de los datos lo permite, claro ;-) > > > > Esa es la mejor forma para que nadie acceda desde Inet a tus datos. > > > > Además mantén actualizados los parches de tu máquina, no navegues por > > sitios "raros", no instales cosas sin pensar, no dejes servicios que no > > necesites levantados, ... vamos, sentido común :-) > > > > El sentido común... es un buen aliado de la seguridad. > > > > > > [1] Ya que estás en ese plan... ¿Quien te garantiza que no van a > > "envenenar" las cachés de los DNS que tienes configurados y te van a > > redirigir el tráfico al infierno o a algún sitio peor? ;-) > > [2] http://es.wikipedia.org/wiki/TEMPEST > > > > > Bueno, te voy a comentar mi caso particular, sobre las medidas de > seguridad y sobre qué es lo que quiero proteger: > > En primer lugar, mis dos ordenadores están pegados el uno al otro, uso > la misma pantalla y teclado, y sólo tengo que darle a un botón para > cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales > de espera). > > Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a > esos datos mediante Internet. Es decir, en algún sitio lo tendré que > meter del disco duro mientras que estoy conectado, y de poco me sirve > tenerlo en un USB no conecado ya que los necesito para tener abiertos > casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45 > (que lo tengo justo a la derecha de la pantalla) desenchufado para echar > un ojo a todos los datos y sacar lo que tengo que sacar sin temores. > > Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador > incluso con todas las restricciones que he puesto? Que podría acceder a > mis datos cómodamente sin que yo lo supiese. > > Para ello he pensado en: > > Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de > estable o la última versión); Política DROP por defecto, con macros para > mis conexiones DNS y http/s. > > Hardening: Bastille (básico), SELinux en política "strict" y > "enforcing", harden (no sirve de mucho pero algo hace), Openwall, > analizadores de rootkits. > > IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy > demasiado inexperto todavía modificando reglas (si resuelvo un > problemilla que tengo con mysql), ippl, psad. > > Analizador de integridad de archivos: Estaba pensando en AIDE o samhain, > supongo que tarde o temprano tendré que decantarme por uno. > > Analizador de logs: logcheck. > > Analizador de paquetes: Wireshark. > > Lo reconozco, no sólo quiero seguridad, es que el tema también me > interesa bastante, por eso estoy constantemente buscando nueva información. > > En un futuro bastante próximo: Herramientas de cifrado, herramientas > varias (las que vaya descubriendo). > > ¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un > archivo y configurar una excepción para poder abrirlo con según que > programa? > > Saludos y muchísimas gracias por responder. > > Te voy a responder con una alegoría.
Soy un cliente potencial, que busco lugar de hospedaje de información ultra-valiosa a la que quiero acceder de forma remota. Empresa A) Me monta: iptables + shorewall + AIDE + snort + wireshark + cifrado + hardening + logcheck. Ahí accedo yo a mi información. Empresa B) Me monta: OpenVPN con certificado. Me quedo con la B mil veces antes que con la A. La seguridad de un sistema no se mide por el pesaje del software instalado en el, es mucho más fiable uno bien diseñado y de forma eficiente (que suele ser lo más dificil). Un Saludo. P.D: No hagas crossposting please == copiar a más listas de correo en el mismo mensaje. Ni hace falta que pongas en copia al que mandó ... tan solo contesta a la lista ;) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
