Juan MartÃnez <[EMAIL PROTECTED]> wrote:
> Horst H. von Brand escribió:
> > Juan MartÃÂnez <[EMAIL PROTECTED]> wrote:
> >> Orlando Alvarez escribió:
> > [...]
> >>> Es que adquiri un dominio con NIC.cl, tengo conexion en mi casa con
> >>> VTR, o sea, que me cambia la ip solo cuando se apaga el modem
> >> No necesariamente. Yo nunca apago el modem, si el equipo, y cambio de
> >> ip bastante seguido (unas 3 o 4 veces por mes). Ahora si no apagas
> >> nunca tu maquina, las IP debieran durar todo lo que dure encendida la
> >> maquina. Pero yo creo que VTR esta situacion la debe monitoriar.
> > No... VTR te da IP via DHCP
> Efectivamente.
> > y eso esta montado para darte una IP en
> > prestamo, con cierta duracion. El cliente debe solicitar prorroga del
> > prestamo antes que expire, que el servidor puede perfectamente no dar y
> > cambiarte la IP.
> Normalmente es asi. Pero dependiendo del software de servidor dhcp,
> uno puede configurar que "trate" de entregar siempre la misma IP. Al
> menos con dhcpd3 se puede.
Puedes amarrar una IP con una MAC. Y en mi experiencia el servidor DHCP
generalmente asigna la misma IP cada vez que aparece la misma MAC.
> Ahora comercialmente a VTR no le conviene que las ip's se mantengan
> mucho tiempo, por que puede ser utilizado el enlace para fines no
> caseros como ocurria hace un tiempo atras.
Yep.
> Por lo mismo uno no tiene
> la misma velocidad en TX y RX.
No. Eso es parte de la tecnologia. Y tiene sentido: Lo que el perejil
normal baja son paginas web (p.ej. porno lleno de imagenes de alta
resolucion) y lo que envia son URLs.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Thu Sep 28 19:42:52 2006
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Thu Sep 28 19:30:57 2006
Subject: Problemas con IPCOP
In-Reply-To: Your message of "Thu, 28 Sep 2006 17:58:28 -0400."
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Patricio Rojas <[EMAIL PROTECTED]> wrote:
> On 9/28/06, Rodrigo Fuentealba <[EMAIL PROTECTED]> wrote:
> > >> La mayorÃa de los firewall hoy en dÃa vienen con monitos
> > caso concreto: un firewall que compraron en un liceo (carÃsimo, no
> > recuerdo qué marca especÃfica) traÃa monitos, y un servidor web
> > también (era una máquina Sun, de esas con procesador Intel y discos
> > IDE).
> > Cuento corto, versión Firewall: una vez el servidor web del firewall
> > dejó de funcionar y hubo que sacarle los discos e intentar
> > reinstalarle el software. Por mientras, todo el liceo (de unos 3500
> > alumnos) sin Internet. Terminó funcionando con Slackware 10.0 y
> > Shorewall en casa de un amigo... (y al dÃa de hoy, cero dramas)
> EL problema no es el html es la cantidad de servicios.
Es la cantidad de software involucrado lo que multiplica el riesgo. Y
lamentablemente es la tipica de poner a tus desarrolladores estrella a
hacer la parte dificil, central (y habran pocas pifias alli), y a los
novatos a hacer lo periferico, facil (que estara lleno de ranas). Y el
problema no es simplemente si la funion principal tiene ranas, es el numero
total de ranas el mas relevante...
> Por años se
> está intentando decir que el html es peligroso cuando no es asÃ.
HTML es un lenguaje, no es peligroso en si. Pero requiere software /muy/
complejo en ambos extremos (generar, enviar, recoger y luego interpretar
respuestas, traspasar a la aplicacion del caso; leer, luego desplegar,
obtener respuestas del cactus que lo maneja, traducir esas respuestas,
enviar respuestas de vuelta). Que tan mal pueden salir las cosas en
cualquiera de estos pasos queda como ejercicio...
[...]
> IPCOPS se puede administrar por vÃa web, ssh o consola y he visto que
> es muy bueno. Por qué desestimarlo si tiene html ?.
Porque (por las razones explicadas) HTML es mala idea...
Porque "<usuario al azar> lo vio y lo encuentro bueno" /no/ es en lo
absoluto indicacion que sea seguro. Que es "bueno" para ti? Tienes los
(especializados) conocimientos para determinar si es seguro? Hiciste el
(extenso) trabajo de evaluacion que significa determinar eso?
Tambien importa que tan extenso y especializado es el grupo de desarrollo,
y que tanto esfuerzo dedican al tema. Alli tiendo a confiar en las
distribuciones grandes, quienes tienen a sus ingenieros entre los
desarrolladores principales de las piezas criticas para seguridad.
Y finalmente, es importante que el usuario conozca bien las herramientas
que esta usando. Muchos problemas se deben a mal uso, por simple
desconocimiento o falta de familiaridad. O sea, lo ideal es usar algo de la
misma familia en todos lados (o sea, todos Debian o Debian estable en los
servidores y demas sistemas criticos + Ubuntu du jour en las estaciones, o
lo que corresponda en otras lineas).
> Una persona con todo el tiempo del mundo puede crear reglas que
> filtren conexiones bajo criterios, pero para qué perder el tiempo si
> pueden ser activadas vÃa una interfaz?. El aplicarlas en la capa DCL
> /shell es una alternativa válida como también la html.
Y quien te garantiza que la traduccion entre lo que "el usuario entendio
decia la interfaz" y "las reglas finales aplicadas" es fiel?
> > detrás del desarrollo de cualquier software (o hardware), y aunque sea
> > escasamente, los humanos tenemos la mala costumbre de equivocarnos.
> > La mejor manera (a mi parecer) de evitar equivocaciones es
> > simplificando el desarrollo, y lo primero que se irÃa de patada en la
> > r... para muchos buenos programadores serÃan los monitos.
> Cosas concretas IPCOP funciona!
Como lo sabes? Lo has probado frente a reales ataques? Auditaste el
codigo?
[No, "le dije que dejara pasar HTTP, y lo deja pasar" /no/ es una prueba de
un cortafuegos!]
> y tiene sus vulnerabilidades como
> todos los cortafuegos (cosa que no es malo). El problema es cuantas
> vulnerabilidades tiene en un tiempo.
No es tan simple...
> > >> EL real problema es tener el máximo de tecnologÃa en comodidad y no
> > >> emplearlo por miedo, temor, fobia. ¿ por qué no ligar ambas a nivel
> > >> adecuado de seguridad?.
> >
> > ¿porque tendrÃa que haber como mÃnimo dos programadores que pensaran
> > parecido y tuvieran exactamente la misma idea, para que existan cero
> > descoordinaciones, cosa que humanamente es difÃcilmente posible? (Uno
> > que se preocupe del firewall, el otro de la interfaz, otro de la
> > implementación, otro... etc.)
> No digo que no sea posible, pero me ha dado mejores resultados
> planificar toda la interfaz primero y luego desarrollo. Asà queda
> todo mas estandarizado.
Eso funciona si sabes donde vas; y la mayor parte de los sistemas
construidos de esa forma cuentan con usuarios que /evitan/ areas problema
cuando las notan, un usuario de un "configurador de cortafuegos" que no
haga nada probablemente no se de cuenta que el cuento no funciona...
Aca requieres /garantias/, no basta /a mis usuarios generalmente les
funciona OK/, y los resultados /no/ se ven (aun menos se notan claramente
las fallas antes que es horriblemente tarde).
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
From [EMAIL PROTECTED] Thu Sep 28 16:35:30 2006
From: [EMAIL PROTECTED] (Rodrigo Arancibia Vera - Carry On Ltda.)
Date: Thu Sep 28 23:08:26 2006
Subject: DHCP [Was: Re: DNS equipo propio]
In-Reply-To: <[EMAIL PROTECTED]>
Message-ID:
<!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAAjUoYo6yDXEeGoHHs7+a/[EMAIL
PROTECTED]>
Una buena solución es usar un servicio de ip dinámica, prueba con
www.dyndns.org. Debes bajar el programa que mantiene actualizada la ip.
Saludos.
-----Mensaje original-----
De: [EMAIL PROTECTED]
[mailto:[EMAIL PROTECTED] En nombre de Juan Martínez
Enviado el: Jueves, 28 de Septiembre de 2006 14:39
Para: Discusion de Linux en Castellano
Asunto: Re: DHCP [Was: Re: DNS equipo propio]
Horst H. von Brand escribió:
> Juan MartÃnez <[EMAIL PROTECTED]> wrote:
>> Orlando Alvarez escribió:
>
> [...]
>
>>> Es que adquiri un dominio con NIC.cl, tengo conexion en mi casa con
>>> VTR, o sea, que me cambia la ip solo cuando se apaga el modem
>
>> No necesariamente. Yo nunca apago el modem, si el equipo, y cambio de
>> ip bastante seguido (unas 3 o 4 veces por mes). Ahora si no apagas
>> nunca tu maquina, las IP debieran durar todo lo que dure encendida la
>> maquina. Pero yo creo que VTR esta situacion la debe monitoriar.
>
> No... VTR te da IP via DHCP
Efectivamente.
> y eso esta montado para darte una IP en
> prestamo, con cierta duracion. El cliente debe solicitar prorroga del
> prestamo antes que expire, que el servidor puede perfectamente no dar y
> cambiarte la IP.
Normalmente es asi. Pero dependiendo del software de servidor dhcp, uno
puede configurar que "trate" de entregar siempre la misma IP. Al menos
con dhcpd3 se puede.
Ahora comercialmente a VTR no le conviene que las ip's se mantengan
mucho tiempo, por que puede ser utilizado el enlace para fines no
caseros como ocurria hace un tiempo atras. Por lo mismo uno no tiene la
misma velocidad en TX y RX.
> Aun si nunca apagas la maquina, la IP puede cambiar; y si
> la apagas y prendes probablemente te de la IP anterior si el prestamo no
> habia expirado.
Sin duda...
Por eso decia que normalmente cambio de ip unas 3 o 4 veces por mes. Mi
equipo de la casa no lo tengo prendido todo el tiempo. Si lo prendo
todas las noches unas cuantas horas...
--
Juan Martinez G.
Departamento de Informatica
Universidad Miguel de Cervantes
--
No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.407 / Virus Database: 268.12.9/458 - Release Date: 27-09-2006
