>> La mayoría de los firewall hoy en día vienen con monitos caso concreto: un firewall que compraron en un liceo (carísimo, no recuerdo qué marca específica) traía monitos, y un servidor web también (era una máquina Sun, de esas con procesador Intel y discos IDE).
Cuento corto, versión Firewall: una vez el servidor web del firewall dejó de funcionar y hubo que sacarle los discos e intentar reinstalarle el software. Por mientras, todo el liceo (de unos 3500 alumnos) sin Internet. Terminó funcionando con Slackware 10.0 y Shorewall en casa de un amigo... (y al día de hoy, cero dramas) Cuento corto, versión servidor web: Apache 1.3.26 desactualizado pasó susto, kernel 2.4.18 también. Por lo demás, en esa máquina había un servidor de mail con mbox también... al tacho con ambas. Cambiamos ambas máquinas. Lamentablemente un firewall con monitos suena a estrategia comercial más que a preocuparse por la seguridad real. >> Incluso los pagados de sólo hardware ¿El que sea pagado hace la diferencia? Recordemos a nuestro vecino del planeta Redmond, que es pagado, lindo y todo lo que tú quieras (inclusive ahora tiene capacidades de escritorio 3D) ;-) >> (Cisco activa a través del >> navegador web una aplicación JAVA para la administración del firewall, >> incluso los ciscoman las emplean). OK, pero a los de CISCO "les pagan" porque estén todo el día mirando vulnerabilidades de software, y aún así a veces los de securityfocus llegan primero... Puede ser "un poco más seguro"... pero el topico de discusión es IPCOP que "no es" algo pagado. Todo se basa en el hecho de que hay humanos detrás del desarrollo de cualquier software (o hardware), y aunque sea escasamente, los humanos tenemos la mala costumbre de equivocarnos. La mejor manera (a mi parecer) de evitar equivocaciones es simplificando el desarrollo, y lo primero que se iría de patada en la r... para muchos buenos programadores serían los monitos. >> EL real problema es tener el máximo de tecnología en comodidad y no >> emplearlo por miedo, temor, fobia. ¿ por qué no ligar ambas a nivel >> adecuado de seguridad?. ¿porque tendría que haber como mínimo dos programadores que pensaran parecido y tuvieran exactamente la misma idea, para que existan cero descoordinaciones, cosa que humanamente es difícilmente posible? (Uno que se preocupe del firewall, el otro de la interfaz, otro de la implementación, otro... etc.) >> Internet esta lleno de fuentes de información que al momento de >> producirse algún fallo, las medidas pueden ser tomadas (El mercado >> ideal de los compradores bien informados). Claro, pero esa misma información está disponible para los buenos y para los malos al mismo tiempo... si un malo se da cuenta antes, game over... >> Muchos de los cortafuegos nombrados no están abiertos a internet en su >> administración, por lo que el temerle al html abierto al mundo se >> reduce el riesgo. Las encuestas dicen que el 99.5% de los seres vivos que utilizarían ese sistema consideran la seguridad como algo "binario", es decir "es seguro", "no es seguro". El otro 0.5% dice "lo tengo porque el jefe me pidió configurarlo, pero es mucha pega asi que ahi no mas y si falla, falla". La seguridad no es sólo tener las mejores tecnologías, sino que se basa en el factor humano: no sacamos nada con tener en nuestra casa ojo mágico, puertas con cámaras, fosas con cocodrilos, ametralladoras a control remoto y francotiradores en el techo si cuando preguntamos "quién es?", le responden "yooo!" y abrimos de inmediato. Lamentablemente son cada vez menos los administradores de sistemas conscientes de esto. -- Rodrigo Fuentealba Cartes Desarrollador de Sistemas Web Registered User 387639 - http://counter.li.org
