Hace tiempo que conozco ethtool; lo que desconocía es que puedes enviar impulsos eléctricos para identificar qué interfaz de red corresponde con el nombre que asigna el S.O GNU/Linux.
Probad esto y mirad el led de vuestra interfaz de red.
[root@satriani] ethtool -p eth0 5
viernes, 5 de septiembre de 2008
martes, 2 de septiembre de 2008
Respuesta a dos grandes preguntas!
Muchas gracias por responder a mi post. La verdad es que este blog parece un monólogo. Procedo a postear mi respuesta, esperando “resolver” alguna duda. Ante la primera pregunta :”¿el hecho de cachear tanta pagina para acelerar la navegación no puede proveer errores de seguridad?”, respondo.
Considero que esta mal formulada, ya que proveer es sinónimo de suministrar o facilitar. Un software de proxy-cacheo es un elemento más de seguridad en una LAN-WAN, en ningún caso lo contrario; salvo aquellos que estén mal administrados y/o configurados. Una de las características de un proxy es el anonimato, es decir, hacer creer a quién nos sirve el fichero(.htm,.jpeg,.iso...etc) que es una única máquina la que realiza las peticiones. El proxy, dedice, en base a parámetros de configuración o listas de control de acceso(ACLs), como por ejemplo ip_origen o tipo_fichero si ese fichero se debe entregar desde la caché de la maquina o actualizar el contenido de la misma con una versión posterior en el tiempo.
Históricamente, los proxies eran uno de los principales objetivos a la hora de ejecutar un ataque. Fundamentalmente por una mala configuración en sus listas de control de acceso, y permitir conexiones desde la WAN hacia la LAN. Squid es el software proxy que conozco, utilizo y administro, y hasta hoy, salvo errores garrafales que explicaré en otro post, su rendimiento y sus niveles de seguridad son excelentes.
Evidentemente pueden aparecer vulnerabilidades en el diseño del software en sí y en la configuración del sistema, sobre todo a la hora de definir el espacio de la caché en disco,permisos y demás[cache_dir, coredump_dir] pero considero que este tipo de software requiere de la figura de un Administrador de Sistemas con cierta experiencia.
En respuesta a la segunda pregunta,comienzo del mismo modo que la anterior; reformulo la pregunta : ¿qué herramientas y técnicas utilizas para blindar el proxy?.
Fundamentalmente las divido en tres.
Nivel de Sistema Operativo.
Kernel: Compilación siempre, entre otras cosas para agilizar el sistema y por ejemplo,evitar dar soporte a sistemas de ficheros innecesarios: FAT,NTFS,XFS...etc.
Software: Compilar siempre la última versión estable. Uso Debian GNU/Linux , y basta con configurar las preferencias de apt y apt-build, para optimizar y securizar a niveles aceptables tus paquetes de Software.
Nivel de Red:
Acceso Externos: Si hay que acceder a la máquina,siempre por SSH generando juegos de llaves que impidan a los más ilusos acceder al Sistema. Evidentemente acceso como root ni de broma. Jugar un poco con sudo nunca viene mal.
Firewall: En el 99% por ciento de la instalaciones, Squid va de la mano con Iptables, como mínimo con reglas DROP para INPUT y FORWARD, logeando acceso externos(-j LOG –log-prefix), para extraerlos con un simple script en bash o con, por ejemplo el fwanalog. Utilizo mucho portsentry que añade reglas DROP a iptables para proteger la maquina de nmappers principiantes y demás curiosos.
ACLs: Controles horarios,control de origenes y destinos por IP,fichero...existen tantas combinaciones!
Autenticación :OpenLDAP y Squid se entienden muy bien.Con NCSA lo mismo, pero digamos que al tratarse de auth local, no se recomienda. Nunca lo he probado con Active Directory.
Considero que esta mal formulada, ya que proveer es sinónimo de suministrar o facilitar. Un software de proxy-cacheo es un elemento más de seguridad en una LAN-WAN, en ningún caso lo contrario; salvo aquellos que estén mal administrados y/o configurados. Una de las características de un proxy es el anonimato, es decir, hacer creer a quién nos sirve el fichero(.htm,.jpeg,.iso...etc) que es una única máquina la que realiza las peticiones. El proxy, dedice, en base a parámetros de configuración o listas de control de acceso(ACLs), como por ejemplo ip_origen o tipo_fichero si ese fichero se debe entregar desde la caché de la maquina o actualizar el contenido de la misma con una versión posterior en el tiempo.
Históricamente, los proxies eran uno de los principales objetivos a la hora de ejecutar un ataque. Fundamentalmente por una mala configuración en sus listas de control de acceso, y permitir conexiones desde la WAN hacia la LAN. Squid es el software proxy que conozco, utilizo y administro, y hasta hoy, salvo errores garrafales que explicaré en otro post, su rendimiento y sus niveles de seguridad son excelentes.
Evidentemente pueden aparecer vulnerabilidades en el diseño del software en sí y en la configuración del sistema, sobre todo a la hora de definir el espacio de la caché en disco,permisos y demás[cache_dir, coredump_dir] pero considero que este tipo de software requiere de la figura de un Administrador de Sistemas con cierta experiencia.
En respuesta a la segunda pregunta,comienzo del mismo modo que la anterior; reformulo la pregunta : ¿qué herramientas y técnicas utilizas para blindar el proxy?.
Fundamentalmente las divido en tres.
Nivel de Sistema Operativo.
Kernel: Compilación siempre, entre otras cosas para agilizar el sistema y por ejemplo,evitar dar soporte a sistemas de ficheros innecesarios: FAT,NTFS,XFS...etc.
Software: Compilar siempre la última versión estable. Uso Debian GNU/Linux , y basta con configurar las preferencias de apt y apt-build, para optimizar y securizar a niveles aceptables tus paquetes de Software.
Nivel de Red:
Acceso Externos: Si hay que acceder a la máquina,siempre por SSH generando juegos de llaves que impidan a los más ilusos acceder al Sistema. Evidentemente acceso como root ni de broma. Jugar un poco con sudo nunca viene mal.
Firewall: En el 99% por ciento de la instalaciones, Squid va de la mano con Iptables, como mínimo con reglas DROP para INPUT y FORWARD, logeando acceso externos(-j LOG –log-prefix), para extraerlos con un simple script en bash o con, por ejemplo el fwanalog. Utilizo mucho portsentry que añade reglas DROP a iptables para proteger la maquina de nmappers principiantes y demás curiosos.
ACLs: Controles horarios,control de origenes y destinos por IP,fichero...existen tantas combinaciones!
Autenticación :OpenLDAP y Squid se entienden muy bien.Con NCSA lo mismo, pero digamos que al tratarse de auth local, no se recomienda. Nunca lo he probado con Active Directory.
lunes, 25 de agosto de 2008
Denegacion por defecto
Las vacaciones están llegando a su fin. Todavía no, pero casí. Estos días apenas he tenido tiempo para configurar las máquinas del V CiberEncontro del Concello de Mugardos.He revisado la configuración del primer DNS, con Debian GNU/Linux y Bind, y los resultados con increíbles. En años anteriores como comentaba en un post reciente, con una configuración simple de Squid bastaba.Este año, mi objetivo como SysAdmin de Kernel 2008, es pulir un poco más la configuración de los servicios de red, sobre todo el firewall.Mucha gente acude a este tipo de evento con malas costumbres, heredadas de pésimos instructores o falsas eXPeriencias como mala VISTA, tipo: mi emule se ejecuta al iniciar mi máquina, o "uso Windows XP y no necesito antivirus"...etc.Contra todo esto: DENEGACION POR DEFECTO.El tiempo me ha dado la razón en relación a qué política aplicar en cada una de las redes que administro.Es verdad que para pulirlas necesitas tiempo y dedicación, pero a la larga, como me comentaba un buen amigo, es lo mejor.Acabas viendo qué y para qué se utilizan todos y cada uno de los recursos de las redes, y poco a poco, terminas por aburrir y desperar a usuarios intrépidos con ganas de ancho de banda.Por eso , mi objetivo en el Kernel 2008 es configurar un acceso a Internet sensato, rápido(caché por un tubo) y estándar.
Saludos, me llaman a cenar.
Saludos, me llaman a cenar.
viernes, 15 de agosto de 2008
Consecuencias de la cafeína
Desde hace unos días me viene rondando por la cabeza la infraestructura a implementar en el V CiberEncontro Concello de Mugardos, Kernel2008.Hemos ido de menos a más.En el año 2004 comenzamos con un ADSL de TESA de 512 kbps para 14 personas.En 2005 3 ADSL de 8 mb con un proxy...Pero siempre nos ha quedado pendiente el servidor DNS.Bind? Mister Kaminsky seguro que no estará muy contento,pero, a pesar de que es una coladera, parece que funciona...A parte de instalar Bind, he instalado bindgraph, que, utilizando rrdtool,muestra unas gráficas al estilo mrtg.En debian, basta con instalar el paquete y pista.Ojo, tenemos que indicar en /etc/bind/named.conf.local dónde vamos a almacenar el fichero de log.Después es todo pan comido.Me ha servidor de mucho esta web.
Saludos.
Saludos.
miércoles, 13 de agosto de 2008
Vacaciones!
Después de 13 meses de duro trabajo, estoy de vacaciones.El sábado voy a pasar unos días a Lisboa y Porto, a la vuelta espero regresar con las pilas cargadas.Poco o nada que comentar en lo relativo a este monotemático blog.Ah,sí! Me he comprado el Lunes 11 un libro que me tiene cautivado.He devorado 100 páginas en menos de 1 día.El caso es que en la librería dónde compramos, la Srta X y yo la guía de Lisboa, tenían libros poco comunes, de OReilly y demás.Entre todos ellos, he visto el último libro de Mitnick! Joer, ignoraba que escribiese! Pues nada, que me lo compré.Os lo recomiendo encarecidamente: El Arte de la Intrusión! Hasta el título mola!
Suscribirse a:
Entradas (Atom)