El 10/01/12 13:41, Hanoi Calvo Fernández escribió:
por ejemplo michel ellos piden que les des el log del controlador de
dominio . o dns que emite el windows, a esa respuesta le entrego el
log del bind y no es lo que ellos quieren , quieren un logo con los
mismos datos del dns de wintendo. quien puede asi , no es un problema
de que no tenga el log
es que no lo tienes como ellos quieren ,
Hanoi:
Por ejemplo, a ver si me hago entender, cuando una persona o entidad
va a Inspeccionar en "X" o "Y" campo a otras personas o entidades. Lo
primero que debe estar garantizado de forma "implícita" es que dicha
persona o entidad (me refiero a la que va a inspeccionar) debe tener un
conocimiento vasto sobre aquello que esta inspeccionando, en concreto,
en el caso del Bind para los logs del DNS etc... primero que todo,
ellos(los inspectores) deben saber que existen protocolos de Red, los
cuales cumplen estándares , esto implica que;
- Deben estudiar(ambas partes) que tipos de datos están pidiendo (los
inspectores) y si alguno de estos "datos" no están comprendidos dentro
de los estándares del Protocolo en cuestión, pues bien, primero, de
forma respetuosa hacerles comprender esto y en caso de no ser posible,
una vez que concluya la inspección, pedir en las instancias superiores
una re-evaluación de dicha inspección argumentando las causas(que en,
este caso, serían las pruebas de que los datos no se corresponden dentro
de los estándares del protocolo en cuestión y por lo tanto es imposible
obtenerlos en la forma exigida por dichos inspectores) Te digo todo esto
porque se que, a veces se piden cosas que son única y exclusivamente de
aplicaciones Win32 por lo cual resulta imposible obtenerlas fuera de
estos entornos. Lo que si te puedo asegurar es que, todo tipo de datos
relativos a logs etc... mientras que cumplan con los estándares de cada
protocolo, los podrás encontrar en UNIX/Linux, eso si, tal vez no tan
fácil como en Windows.
otro ejemplo, tienes un server con todas las restricciones que tienes
dentro de tu PSI , y te piden entonces que las vulnerabilidades que
tienes en tus maquinas por que no tienes el SP 3 de XP instalado pues
por supuesto los cacharros que usas no soportan eso...
aquí no queda mas remedio que, seguir los Boletines de Hispasec y
aplicar los parches(cuando salgan) o instalar Linux en esos cacharritos ;-)
conclusiones para que tienes entonces el servidor con cortafuegos ,
servicios distintos en varios server con linux todos bien nomtados si
no tienes bien por que las maquinas que tienes que obligatoria mente
usar con xp que son las de contabilidad no tiene el sp3 de XP
otra de las cosas que no encajan .
aquí si ciertamente es un dolor de cabeza(por el cual he pasado y estoy
pasando en carne propia)
lo otro
tienes un servidor que te provee el correo con acceso solo nacional
por arriba del tuyo , y aunque nunca uses la regla pues no tienes
salida inter desde tu subdominio , tienes que agrandar tu script de
configuracion del postfix por que tu red no es segura contra correos
internacionales..
jaja eso son cosas que dan risa en el moejor de los casos ..
de aquí se pueden derivar varios razonamientos;
- Están reconociendo de forma "implícita" la falta de conocimiento sobre
seguridad , que existe de forma generalizada en nuestras redes y
quieren.... "poner el parche antes de que salga el hueco" por si algún
día fallan esos servidores que están por encima del tuyo.
- Sencillamente están exigiendo que........... no importa si tus
servidores padres están bien o mal configurados, tu debes responder por
los tuyos. Lo cual para algunos suena paranoico o extremista, pero para
otros, es estar seguros al 95% de que en su red se haga solo lo que
ellos permitan.
al final cojes mal y punto
no hay como resolver.
es cierto que muchas veces nos vemos en situaciones como esta, a mi
personalmente me sucedió que me señalaron en una Auditoria que tenia el
Rodas des-actualizado, sin embargo, en ese momento no podía(mi Centro)
financiar la adquisición de la nueva Versión pues existía una carta de
mi Ministerio que impedía dedicar presupuesto en Softwares contables ya
que se encontraban haciendo uno en la UCI en coordinación con otras
Entidades, para tales fines etc... todo firmado y acuñado debidamente,
sin embargo ....tuve el señalamiento aún cuando no dependía de mi .. ;-(
otro ejemplo mas
los router en este pais por regla general los maneja ETECSA y casi
nunca te dan el pass del mismo, cuanod son ellos quienes lo
configuran, por ende no puedes saber si estan cerrados o no . por eso
te dan mal. y fajate con ETECSA POR ESO y sabras el resultado . etc
En este punto pienso que a los que se encuentren en tal situación les
seria útil solicitar una constancia por escrito de parte de ETECSA,
donde se explique claramente que son ellos los responsables de
Administrar dicho Router, por lo cual deben responder "ellos" por su
correcta Administración y seguridad,
se que no es fácil, pues muchas veces nos encontramos con actitudes
oportunistas, extremistas etc.. en el camino, pero también es cierto que
debemos saber defendernos, eso sí, cumpliendo todo lo establecido y
sobre todo siendo respetuosos, y dudo mucho que no seamos escuchados,
saludos,
PD: Es muy bueno conocer de estos casos, pues contribuyen a que nos
preparemos mejor cada día.... ;-)
--
Michael González Medina.
Administrador de Red, CNSV.
Linux User: #530254.
http://www.linuxbrothers.com
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l