On Fri, 23 Jan 2004 14:50:29 +0100 Borxa Varela Bouzas <[EMAIL PROTECTED]> wrote:
> Tras una peque�a meditaci�n sobre seguridad, je je, se me ha planteado la > siguiente pregunta, �de que cortafuegos se puede uno fiar m�s, de el que > tiene el router, o de el que tiene el kernel linux? Depende, si sus politicas de restricci�n son duras como un piedra, es decir no dejar entrar nada de tal direcci�n, o no dejar pasar nada al puerto 143 puedes montarlo con un cisco, las listas de acceso -acl- (que son las que controlan el filtrado en los cisco) no permiten reglas muy elaboradas, incluso si hablamos de las acl extendidas, son como un candado que se pone a una puerta. Por otro lado las reglas de NetFilter (kernel linux) permiten mayor versatilidad y pueden extenderse por mucho m�s que simples candados, pudiendo serlo tambi�n. > Es decir, donde es mas com�n encontrar agujeros de seguridad, en los NAT de > los routers o en los del kernel... Qu� tiene que ver NAT con los filtros? ojo que son cosas diferentes, que se usa la misma herramienta para incluir reglas en el n�cleo eso es otra cosa. Los filtros funcionan, uses o no uses NAT, y los GNU/Linux no tiene nada que envidiarles a los sistemas propietarios cerrados incluso al hacer NAT, Traffic control, etc. > Tengo ganas de ver opiniones de gente que usa debian sobre este tema, porque > creo que pronto se me va a presentar esa duda en un servidor (y hay un 95% de > posibilidades de que sea Debian). Si sus reglas no son muy elaboradas y si ya tienes un cisco puedes montar su sistema de filtrado en �l, m�s por el contrario si tus reglas requieren controlar con m�s detalles los paquetes que circular�n y por sobre todo necesitas manejar estad�sticas, cambiar reglas en horas determinadas para permitir o denegar tales o cuales cosas, pues evidentemente un cisco no le servir� (no se olvide que los cisco son sistemas basados en procesadores de 40 MHz con 8 MB de ram aproximadamente, no ser�a buena idea sobrecargar este equipito con cosas que podr�a un 486 de 100MHz con 32 de ram ganar de sobre manera). Si piensa en adquirir un equipo, es mejor que busque uno de esos equipitos que la organizaci�n ya no use y puede rescatarlo y convertirlo en un router con las mismas prestaciones de un sistema de alta embergadura incluido el filtrado. Saludos! nmag only
