Juan Carlos Muñoz Ilabaca <[EMAIL PROTECTED]> wrote: > Disque el Miércoles, 26 de Octubre de 2005 13:02, Jens Hardings escribiosese: > > [EMAIL PROTECTED] wrote: > > >>Miguel Angel Amador L <[EMAIL PROTECTED]> wrote: > > >> > > >>[...] > > >> > > >>>MMMMmmm.... > > >>> Iptables ? > > >>># Regla por defecto para forward > > >>>iptables -P FORWARD DROP > > >> > > >>NOOOO!!! REJECT, /nunca/ DROP! > > > > > >Y eso seria por...? (o sea, que avise, ok, pero cual es la ganancia?)
> > Porque si intenta conectarse pero "no pasa nada" al perderse los paquetes: > > 1. reintentará durante varios minutos > > 2. buscará ayuda técnica para resolver el problema > > 3. se perderán muchas HH buscando el problema, para finalmente > > encontrarse que era un tema de polÃticas de las cuales ya todos se > > habÃan olvidado Exacto. > > En caso de avisar, el ususario recibirá un aviso instantáneamente que > > falló la conexión, y al revisar en mayor profundidad será obvio el > > problema. No es posible confundir eso con "problemas en la red". > Pero eso serÃa solo para el caso del FW, porque para el exterior, es > mejor que no diga nada... asà los scanners no sabrán que esta abierto y > que tiene problemas. Como si los gusanos se van a tomar la molestia de revisar si el port esta abierto antes de tirarse... y si esta cerrado, que importa decir cortesmente que esta cerrado en vez de no decir nada? Insisto, como medida de seguridad DROP no aporta /nada/, y es /activamente/ contraproducente para usuarios legitimos. Igualito que la medida de "seguridad" de pichicatear los servidores para que no se delaten por el banner. Seguridad es nula (nmap es mas que capaz de descubrir igual de que se trata; y si es por eso, los atacantes suelen tirarse "por si pasa" en vez de complicarse la existencia de antemano; si no me creen, vean sus logs para miles de intentos fallidos de conexion via SSH con cuentas y password al azar). Se ven perjudicados unicamente quienes necesitan legitimamente saber de que se trata (porque el %*#@& MTA no acepta mis correos? que opciones maneja? tal vez es alguna de las &%$ versiones aturdidas que...?). "Security through obscurity" isn't. -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 654431 Universidad Tecnica Federico Santa Maria +56 32 654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
