Rodolfo Alcazar <[EMAIL PROTECTED]> wrote: > On Wed, 2006-12-06 at 16:08 -0300, Horst H. von Brand wrote: > > Amables lectores: Cualquier script de cortafuegos que contenga DROP esta > > mal. Quemenlo sin mirarlo, leerlo puede meterles ideas extremadamente > > erradas en la cabeza.
> No lo creo. La mayorÃa de Firewalls (no soloree iptables) usan reglas del > tipo DROP. DROP tiene propósitos muy importantes. Sirve para: > a) Minimizar tráfico basura: si respondes, REJECT, generas tráfico. Claro. > Puedes ser vÃctima de un ataque DOS (Denial Of Service). Si te revientan por demasiado trafico, el generar respuestas no sera precisamente tu mayor problema... > c) Minimizar el uso de tu CPU. Generar la respuesta, toma un tiempo de > proceso. Si es una, no hay problema. Pero en un ataque BRUTE FORCE, te > consume recursos valiosos. Si el atacante es hábil, te refunde el > tráfico. Idem. > d) Dificultar el diagnóstico de puertos. Para nada. > Despistar al atacante. Si el atacante es hasta el script kiddie mas vergonzosamente novato, igual usara nmap o afines. Cero efecto. > Retrasar > los intentos fallidos. ... perjudicando a quienes legitimamente se equivocan (i.e., intentan conectarse via HTTP a ftp.example.org "por si lo maneja tambien" (si, es bastante comun), etc). > Hacer creer al atacante que el puerto no está > abierto. Ver arriba. > Si tus clientes quieren acceder a navegar la pagina web del servidor > DNS, van a quedarse esperando. Por supuesto. Para tu red local, usa > REJECT. Pero para las reglas externas, no gastes tus recursos > respondiendo inútilmente. Hay una cosa llamada "cortesia minima". Segun ese criterio, para que saludar, o dar las gracias? -- Dr. Horst H. von Brand User #22616 counter.li.org Departamento de Informatica Fono: +56 32 2654431 Universidad Tecnica Federico Santa Maria +56 32 2654239 Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
