Discussion:
Opinión sobre mi seguridad
bd
2008-11-10 17:18:41 UTC
Permalink
Buenas, hace poco he establecido un nuevo método de seguridad que no se
si tiene agujeros o no (quiero decir, agujeros importantes, no digo que
no pueda ser hackeado por alguien con conocimientos).


Tengo iptables con frontend shorewall, y mi configuración básicamente es
ésta:


- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).


- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica), aceptar
http sólo para los servidores que yo incluyo (www.google.es, etc....),
aceptar https del mismo modo.


De esta forma, teóricamente sólo puedo conectarme y ser conectado por
las direcciones específicas que he colocado.


Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad? Me gustaría saberlo para así seguir haciendo unas u otras
modificaciones de seguridad, y poder tener más o menos una idea de lo
que he puesto ahora mismo.


Sobre la comodidad de sólo poder a acceder a limitados servers, no es
problema, ya que tengo otro ordenador Windows con menos restrictividad
que uso de forma normal (no hay configurada regla para realizar una
conexión entre los dos PCs).


Muchísimas gracias por vuestra ayuda y perdón por escribir en dos listas
a la vez, es que tengo bastante curiosidad por hallar una respuesta.
--
ubuntu-es mailing list
ubuntu-***@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
Ulises M. Alvarez
2008-11-10 20:34:58 UTC
Permalink
Post by bd
Tengo iptables con frontend shorewall, y mi configuración básicamente es
- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad? Me gustaría saberlo para así seguir haciendo unas u otras
modificaciones de seguridad, y poder tener más o menos una idea de lo
que he puesto ahora mismo.
Hola:

La seguridad de nuestra computadora es un concepto bastante más amplio
que un firewall. Por ejemplo, aunque pusiste un FW bastante restrictivo,
aún se te puede atacar mediante scripts web. La cuestion es: ¿cómo lo
sabrías?

Otras preguntas serían: ¿qué información deseas proteger?, ¿para qué?
(por ejemplo: deseas es navegar de forma anónima y no dejar huella de
los sitios que visitaste).

Respondiendo a estas preguntas, se puede comenzar a plantear un esquema
de seguridad para tu computadora.
--
Ulises M. Alvarez.
http://www.fata.unam.mx/
--
ubuntu-es mailing list
ubuntu-***@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
Matías Bellone
2008-11-10 20:54:03 UTC
Permalink
Post by bd
Tengo iptables con frontend shorewall, y mi configuración básicamente es
- Rechazar TODA conexión entrante y saliente como política por defecto de
red local, internet, y de hacia el firewall (es decir, TODO).
Por lo general eso es un buen primer paso.
Post by bd
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica), aceptar http
sólo para los servidores que yo incluyo (www.google.es, etc....), aceptar
https del mismo modo.
Eso me parece exagerado pero es aceptable según tu nivel de paranoia.
Post by bd
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad?
La seguridad es un término más amplio:

¿cualquier puede usar la PC?
¿qué servicios brinda dicha PC?
¿podés leer mails? ¿tenés un buen antivirus para evitar virus via mail?

Y miles de preguntas más.
Post by bd
Sobre la comodidad de sólo poder a acceder a limitados servers, no es
problema, ya que tengo otro ordenador Windows con menos restrictividad que
uso de forma normal (no hay configurada regla para realizar una conexión
Creo que acá tenés un problema grande. Tenés una PC con Debian ultra
cerrada pero una PC con Windows más abierta. Harta prueba que - si
quisieras ese escenario - tendría que ser al revés ya que la PC con
Windows tiene más posibilidades de ser atacada, infectada o
esclavizada que una PC con Debian. No quiere decir que vaya a pasar,
pero para tanta paranoia de seguridad (como para restringir a qué DNSs
podés acceder), tener una PC más abierta y con Windows es una
contradicción a 4 flancos.

PD: no hagas cross-posting (enviar a dos listas a la vez el mismo
mail). Envía dos mails separados si así quieres, pero no en el mismo
mail.

Saludos,
Toote
--
Web: http://www.enespanol.com.ar
Manuel Gomez
2008-11-10 21:55:46 UTC
Permalink
Post by Matías Bellone
Post by bd
Tengo iptables con frontend shorewall, y mi configuración básicamente es
- Rechazar TODA conexión entrante y saliente como política por defecto de
red local, internet, y de hacia el firewall (es decir, TODO).
Por lo general eso es un buen primer paso.
Post by bd
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica), aceptar http
sólo para los servidores que yo incluyo (www.google.es, etc....), aceptar
https del mismo modo.
Eso me parece exagerado pero es aceptable según tu nivel de paranoia.
Post by bd
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad?
¿cualquier puede usar la PC?
¿qué servicios brinda dicha PC?
¿podés leer mails? ¿tenés un buen antivirus para evitar virus via mail?
Y miles de preguntas más.
Post by bd
Sobre la comodidad de sólo poder a acceder a limitados servers, no es
problema, ya que tengo otro ordenador Windows con menos restrictividad que
uso de forma normal (no hay configurada regla para realizar una conexión
Creo que acá tenés un problema grande. Tenés una PC con Debian ultra
cerrada pero una PC con Windows más abierta. Harta prueba que - si
quisieras ese escenario - tendría que ser al revés ya que la PC con
Windows tiene más posibilidades de ser atacada, infectada o
esclavizada que una PC con Debian. No quiere decir que vaya a pasar,
pero para tanta paranoia de seguridad (como para restringir a qué DNSs
podés acceder), tener una PC más abierta y con Windows es una
contradicción a 4 flancos.
PD: no hagas cross-posting (enviar a dos listas a la vez el mismo
mail). Envía dos mails separados si así quieres, pero no en el mismo
mail.
Saludos,
Toote
Buenas, lamento el crossposting, pero es que algunas veces me olvido y
no lo tengo en cuenta.

Respecto a porqué necesito tal configuración paranoica, desde este
ordenador manejo datos lo suficientemente importantes (dinero, datos
ajenos) como para preocuparme por la seguridad.

Mi nivel de paranoia no es alto, es normal dado lo que quiero, que es un
SO lo más blindado posible. Por eso precisamente os estaba pidiendo
opinión, ya me han comentado en una lista inglesa que cambie la política
de rechazar por defecto por ignorar, para que mi ordenador aparezca oculto.

Aún así, si vosotros tenéis sugerencias de cualquier tipo, agracedería
de buen grado vuestra ayuda.

Mi ordenador sólo lo uso yo, y como he dicho, no brindo servicios, sino
que tengo datos que no me interesa que nadie pueda husmear.

En fin, que necesito consejos de seguridad.

Saludos y muchísimas gracias por ayudarme.
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Jaime Robles
2008-11-11 13:12:03 UTC
Permalink
Post by bd
Post by Matías Bellone
Post by bd
- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).
Por lo general eso es un buen primer paso.
Apoyo el comentario.
Es una buena idea... la típica regla al final de tirar (drop, que no
reject) todo el tráfico que no ha sido previamente aceptado.
Post by bd
Post by Matías Bellone
Post by bd
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
Post by bd
aceptar http
Post by Matías Bellone
Post by bd
sólo para los servidores que yo incluyo (www.google.es, etc....),
aceptar https del mismo modo.
¿Para qué quieres https a www.google.es?

¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
necesites acceder a la información?

¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
TEMPEST? [2] :-P
Post by bd
Post by Matías Bellone
Post by bd
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad?
Creo que estás enfocando las cosas mal...
Las cosas se hacen al revés...

1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
(http://twitter.com/itsec/status/994960487)
2.- Defines las medidas de seguridad para proteger lo que tienes.

3.- El coste de las medidas de seguridad (no poder usar tu ordenador
tranquilamente, no poder navegar por donde te de la gana, tener que
cambiar de ordenador en función de los datos a los que quieres acceder,
...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
más que la información a proteger... pero claro, depende del caso en
concreto claro.


Por lo que me ha parecido leer en tu mensaje se trata de tus datos
personales y demás... así que creo que te estás pasando un poco. :-P y
además estás poniendo unas medidas "extrañas"... porque si usas la máquina
con linux de forma habitual, tendrás que estar dando de alta cada día más
máquinas en el firewall... simplemente para navegar por lo que en unos
días será inmanejable... y eso también tiene implicaciones en la seguridad
de tu máquina.

Mi consejo:
Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
si te da por la paranoia porque no quieres que alguien de tu casa te
husmee o que si se pierde el disco alguien pueda acceder a tus datos los
cifras (GPG, truecrypt, ...).
El disco lo metes en un cajón y punto final.

Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
requetebien cifrados... con una buena clave, un algoritmo en condiciones y
los subes a algún sitio en Internet de confianza... si la "clasificación"
de los datos lo permite, claro ;-)

Esa es la mejor forma para que nadie acceda desde Inet a tus datos.

Además mantén actualizados los parches de tu máquina, no navegues por
sitios "raros", no instales cosas sin pensar, no dejes servicios que no
necesites levantados, ... vamos, sentido común :-)

El sentido común... es un buen aliado de la seguridad.


[1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
"envenenar" las cachés de los DNS que tienes configurados y te van a
redirigir el tráfico al infierno o a algún sitio peor? ;-)
[2] http://es.wikipedia.org/wiki/TEMPEST
--
Un saludo,
Jaime Robles, EA4TV
***@robles.es

Visita:
http://jaime.robles.es
Manuel Gomez
2008-11-11 15:50:21 UTC
Permalink
Post by Jaime Robles
Post by bd
Post by Matías Bellone
Post by bd
- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).
Por lo general eso es un buen primer paso.
Apoyo el comentario.
Es una buena idea... la típica regla al final de tirar (drop, que no
reject) todo el tráfico que no ha sido previamente aceptado.
Post by bd
Post by Matías Bellone
Post by bd
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
Post by bd
aceptar http
Post by Matías Bellone
Post by bd
sólo para los servidores que yo incluyo (www.google.es, etc....),
aceptar https del mismo modo.
¿Para qué quieres https a www.google.es?
¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
necesites acceder a la información?
¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
TEMPEST? [2] :-P
Post by bd
Post by Matías Bellone
Post by bd
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad?
Creo que estás enfocando las cosas mal...
Las cosas se hacen al revés...
1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
(http://twitter.com/itsec/status/994960487)
2.- Defines las medidas de seguridad para proteger lo que tienes.
3.- El coste de las medidas de seguridad (no poder usar tu ordenador
tranquilamente, no poder navegar por donde te de la gana, tener que
cambiar de ordenador en función de los datos a los que quieres acceder,
...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
más que la información a proteger... pero claro, depende del caso en
concreto claro.
Por lo que me ha parecido leer en tu mensaje se trata de tus datos
personales y demás... así que creo que te estás pasando un poco. :-P y
además estás poniendo unas medidas "extrañas"... porque si usas la máquina
con linux de forma habitual, tendrás que estar dando de alta cada día más
máquinas en el firewall... simplemente para navegar por lo que en unos
días será inmanejable... y eso también tiene implicaciones en la seguridad
de tu máquina.
Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
si te da por la paranoia porque no quieres que alguien de tu casa te
husmee o que si se pierde el disco alguien pueda acceder a tus datos los
cifras (GPG, truecrypt, ...).
El disco lo metes en un cajón y punto final.
Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
requetebien cifrados... con una buena clave, un algoritmo en condiciones y
los subes a algún sitio en Internet de confianza... si la "clasificación"
de los datos lo permite, claro ;-)
Esa es la mejor forma para que nadie acceda desde Inet a tus datos.
Además mantén actualizados los parches de tu máquina, no navegues por
sitios "raros", no instales cosas sin pensar, no dejes servicios que no
necesites levantados, ... vamos, sentido común :-)
El sentido común... es un buen aliado de la seguridad.
[1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
"envenenar" las cachés de los DNS que tienes configurados y te van a
redirigir el tráfico al infierno o a algún sitio peor? ;-)
[2] http://es.wikipedia.org/wiki/TEMPEST
Bueno, te voy a comentar mi caso particular, sobre las medidas de
seguridad y sobre qué es lo que quiero proteger:

En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
la misma pantalla y teclado, y sólo tengo que darle a un botón para
cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
de espera).

Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
esos datos mediante Internet. Es decir, en algún sitio lo tendré que
meter del disco duro mientras que estoy conectado, y de poco me sirve
tenerlo en un USB no conecado ya que los necesito para tener abiertos
casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45
(que lo tengo justo a la derecha de la pantalla) desenchufado para echar
un ojo a todos los datos y sacar lo que tengo que sacar sin temores.

Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
incluso con todas las restricciones que he puesto? Que podría acceder a
mis datos cómodamente sin que yo lo supiese.

Para ello he pensado en:

Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
estable o la última versión); Política DROP por defecto, con macros para
mis conexiones DNS y http/s.

Hardening: Bastille (básico), SELinux en política "strict" y
"enforcing", harden (no sirve de mucho pero algo hace), Openwall,
analizadores de rootkits.

IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
demasiado inexperto todavía modificando reglas (si resuelvo un
problemilla que tengo con mysql), ippl, psad.

Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
supongo que tarde o temprano tendré que decantarme por uno.

Analizador de logs: logcheck.

Analizador de paquetes: Wireshark.

Lo reconozco, no sólo quiero seguridad, es que el tema también me
interesa bastante, por eso estoy constantemente buscando nueva información.

En un futuro bastante próximo: Herramientas de cifrado, herramientas
varias (las que vaya descubriendo).

¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
archivo y configurar una excepción para poder abrirlo con según que
programa?

Saludos y muchísimas gracias por responder.
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Jose Luis Gómez
2008-11-11 16:33:17 UTC
Permalink
Post by Manuel Gomez
Post by Jaime Robles
Post by bd
Post by Matías Bellone
Post by bd
- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).
Por lo general eso es un buen primer paso.
Apoyo el comentario.
Es una buena idea... la típica regla al final de tirar (drop, que no
reject) todo el tráfico que no ha sido previamente aceptado.
Post by bd
Post by Matías Bellone
Post by bd
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
Post by bd
aceptar http
Post by Matías Bellone
Post by bd
sólo para los servidores que yo incluyo (www.google.es, etc....),
aceptar https del mismo modo.
¿Para qué quieres https a www.google.es?
¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
necesites acceder a la información?
¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
TEMPEST? [2] :-P
Post by bd
Post by Matías Bellone
Post by bd
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad?
Creo que estás enfocando las cosas mal...
Las cosas se hacen al revés...
1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
(http://twitter.com/itsec/status/994960487)
2.- Defines las medidas de seguridad para proteger lo que tienes.
3.- El coste de las medidas de seguridad (no poder usar tu ordenador
tranquilamente, no poder navegar por donde te de la gana, tener que
cambiar de ordenador en función de los datos a los que quieres acceder,
...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
más que la información a proteger... pero claro, depende del caso en
concreto claro.
Por lo que me ha parecido leer en tu mensaje se trata de tus datos
personales y demás... así que creo que te estás pasando un poco. :-P y
además estás poniendo unas medidas "extrañas"... porque si usas la máquina
con linux de forma habitual, tendrás que estar dando de alta cada día más
máquinas en el firewall... simplemente para navegar por lo que en unos
días será inmanejable... y eso también tiene implicaciones en la seguridad
de tu máquina.
Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
si te da por la paranoia porque no quieres que alguien de tu casa te
husmee o que si se pierde el disco alguien pueda acceder a tus datos los
cifras (GPG, truecrypt, ...).
El disco lo metes en un cajón y punto final.
Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
requetebien cifrados... con una buena clave, un algoritmo en condiciones y
los subes a algún sitio en Internet de confianza... si la "clasificación"
de los datos lo permite, claro ;-)
Esa es la mejor forma para que nadie acceda desde Inet a tus datos.
Además mantén actualizados los parches de tu máquina, no navegues por
sitios "raros", no instales cosas sin pensar, no dejes servicios que no
necesites levantados, ... vamos, sentido común :-)
El sentido común... es un buen aliado de la seguridad.
[1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
"envenenar" las cachés de los DNS que tienes configurados y te van a
redirigir el tráfico al infierno o a algún sitio peor? ;-)
[2] http://es.wikipedia.org/wiki/TEMPEST
Bueno, te voy a comentar mi caso particular, sobre las medidas de
En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
la misma pantalla y teclado, y sólo tengo que darle a un botón para
cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
de espera).
Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
esos datos mediante Internet. Es decir, en algún sitio lo tendré que
meter del disco duro mientras que estoy conectado, y de poco me sirve
tenerlo en un USB no conecado ya que los necesito para tener abiertos
casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45
(que lo tengo justo a la derecha de la pantalla) desenchufado para echar
un ojo a todos los datos y sacar lo que tengo que sacar sin temores.
Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
incluso con todas las restricciones que he puesto? Que podría acceder a
mis datos cómodamente sin que yo lo supiese.
Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
estable o la última versión); Política DROP por defecto, con macros para
mis conexiones DNS y http/s.
Hardening: Bastille (básico), SELinux en política "strict" y
"enforcing", harden (no sirve de mucho pero algo hace), Openwall,
analizadores de rootkits.
IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
demasiado inexperto todavía modificando reglas (si resuelvo un
problemilla que tengo con mysql), ippl, psad.
Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
supongo que tarde o temprano tendré que decantarme por uno.
Analizador de logs: logcheck.
Analizador de paquetes: Wireshark.
Lo reconozco, no sólo quiero seguridad, es que el tema también me
interesa bastante, por eso estoy constantemente buscando nueva información.
En un futuro bastante próximo: Herramientas de cifrado, herramientas
varias (las que vaya descubriendo).
¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
archivo y configurar una excepción para poder abrirlo con según que
programa?
Saludos y muchísimas gracias por responder.
Te voy a responder con una alegoría.

Soy un cliente potencial, que busco lugar de hospedaje de información
ultra-valiosa a la que quiero acceder de forma remota.

Empresa A) Me monta: iptables + shorewall + AIDE + snort + wireshark +
cifrado + hardening + logcheck. Ahí accedo yo a mi información.

Empresa B) Me monta: OpenVPN con certificado.

Me quedo con la B mil veces antes que con la A.

La seguridad de un sistema no se mide por el pesaje del software
instalado en el, es mucho más fiable uno bien diseñado y de forma
eficiente (que suele ser lo más dificil).

Un Saludo.

P.D: No hagas crossposting please == copiar a más listas de correo en el
mismo mensaje. Ni hace falta que pongas en copia al que mandó ... tan
solo contesta a la lista ;)
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Manuel Gomez
2008-11-11 20:00:21 UTC
Permalink
Post by Jose Luis Gómez
Post by Manuel Gomez
Post by Jaime Robles
Post by bd
Post by Matías Bellone
Post by bd
- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).
Por lo general eso es un buen primer paso.
Apoyo el comentario.
Es una buena idea... la típica regla al final de tirar (drop, que no
reject) todo el tráfico que no ha sido previamente aceptado.
Post by bd
Post by Matías Bellone
Post by bd
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
Post by bd
aceptar http
Post by Matías Bellone
Post by bd
sólo para los servidores que yo incluyo (www.google.es, etc....),
aceptar https del mismo modo.
¿Para qué quieres https a www.google.es?
¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
necesites acceder a la información?
¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
TEMPEST? [2] :-P
Post by bd
Post by Matías Bellone
Post by bd
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad?
Creo que estás enfocando las cosas mal...
Las cosas se hacen al revés...
1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
(http://twitter.com/itsec/status/994960487)
2.- Defines las medidas de seguridad para proteger lo que tienes.
3.- El coste de las medidas de seguridad (no poder usar tu ordenador
tranquilamente, no poder navegar por donde te de la gana, tener que
cambiar de ordenador en función de los datos a los que quieres acceder,
...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
más que la información a proteger... pero claro, depende del caso en
concreto claro.
Por lo que me ha parecido leer en tu mensaje se trata de tus datos
personales y demás... así que creo que te estás pasando un poco. :-P y
además estás poniendo unas medidas "extrañas"... porque si usas la máquina
con linux de forma habitual, tendrás que estar dando de alta cada día más
máquinas en el firewall... simplemente para navegar por lo que en unos
días será inmanejable... y eso también tiene implicaciones en la seguridad
de tu máquina.
Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
si te da por la paranoia porque no quieres que alguien de tu casa te
husmee o que si se pierde el disco alguien pueda acceder a tus datos los
cifras (GPG, truecrypt, ...).
El disco lo metes en un cajón y punto final.
Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
requetebien cifrados... con una buena clave, un algoritmo en condiciones y
los subes a algún sitio en Internet de confianza... si la "clasificación"
de los datos lo permite, claro ;-)
Esa es la mejor forma para que nadie acceda desde Inet a tus datos.
Además mantén actualizados los parches de tu máquina, no navegues por
sitios "raros", no instales cosas sin pensar, no dejes servicios que no
necesites levantados, ... vamos, sentido común :-)
El sentido común... es un buen aliado de la seguridad.
[1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
"envenenar" las cachés de los DNS que tienes configurados y te van a
redirigir el tráfico al infierno o a algún sitio peor? ;-)
[2] http://es.wikipedia.org/wiki/TEMPEST
Bueno, te voy a comentar mi caso particular, sobre las medidas de
En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
la misma pantalla y teclado, y sólo tengo que darle a un botón para
cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
de espera).
Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
esos datos mediante Internet. Es decir, en algún sitio lo tendré que
meter del disco duro mientras que estoy conectado, y de poco me sirve
tenerlo en un USB no conecado ya que los necesito para tener abiertos
casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45
(que lo tengo justo a la derecha de la pantalla) desenchufado para echar
un ojo a todos los datos y sacar lo que tengo que sacar sin temores.
Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
incluso con todas las restricciones que he puesto? Que podría acceder a
mis datos cómodamente sin que yo lo supiese.
Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
estable o la última versión); Política DROP por defecto, con macros para
mis conexiones DNS y http/s.
Hardening: Bastille (básico), SELinux en política "strict" y
"enforcing", harden (no sirve de mucho pero algo hace), Openwall,
analizadores de rootkits.
IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
demasiado inexperto todavía modificando reglas (si resuelvo un
problemilla que tengo con mysql), ippl, psad.
Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
supongo que tarde o temprano tendré que decantarme por uno.
Analizador de logs: logcheck.
Analizador de paquetes: Wireshark.
Lo reconozco, no sólo quiero seguridad, es que el tema también me
interesa bastante, por eso estoy constantemente buscando nueva información.
En un futuro bastante próximo: Herramientas de cifrado, herramientas
varias (las que vaya descubriendo).
¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
archivo y configurar una excepción para poder abrirlo con según que
programa?
Saludos y muchísimas gracias por responder.
Te voy a responder con una alegoría.
Soy un cliente potencial, que busco lugar de hospedaje de información
ultra-valiosa a la que quiero acceder de forma remota.
Empresa A) Me monta: iptables + shorewall + AIDE + snort + wireshark +
cifrado + hardening + logcheck. Ahí accedo yo a mi información.
Empresa B) Me monta: OpenVPN con certificado.
Me quedo con la B mil veces antes que con la A.
La seguridad de un sistema no se mide por el pesaje del software
instalado en el, es mucho más fiable uno bien diseñado y de forma
eficiente (que suele ser lo más dificil).
Un Saludo.
P.D: No hagas crossposting please == copiar a más listas de correo en el
mismo mensaje. Ni hace falta que pongas en copia al que mandó ... tan
solo contesta a la lista ;)
Buenas, sobre la opción de OpneVPN, ¿me podrías informar un poco más,
¿por favor? ¿Me podría servir a mí como herramientas?

Muchísimas gracias por responder.
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Jose Luis Gómez
2008-11-12 07:41:16 UTC
Permalink
Post by Manuel Gomez
Post by Jose Luis Gómez
Post by Manuel Gomez
Post by Jaime Robles
Post by bd
Post by Matías Bellone
Post by bd
- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).
Por lo general eso es un buen primer paso.
Apoyo el comentario.
Es una buena idea... la típica regla al final de tirar (drop, que no
reject) todo el tráfico que no ha sido previamente aceptado.
Post by bd
Post by Matías Bellone
Post by bd
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
Post by bd
aceptar http
Post by Matías Bellone
Post by bd
sólo para los servidores que yo incluyo (www.google.es, etc....),
aceptar https del mismo modo.
¿Para qué quieres https a www.google.es?
¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
necesites acceder a la información?
¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
TEMPEST? [2] :-P
Post by bd
Post by Matías Bellone
Post by bd
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad?
Creo que estás enfocando las cosas mal...
Las cosas se hacen al revés...
1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
(http://twitter.com/itsec/status/994960487)
2.- Defines las medidas de seguridad para proteger lo que tienes.
3.- El coste de las medidas de seguridad (no poder usar tu ordenador
tranquilamente, no poder navegar por donde te de la gana, tener que
cambiar de ordenador en función de los datos a los que quieres acceder,
...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
más que la información a proteger... pero claro, depende del caso en
concreto claro.
Por lo que me ha parecido leer en tu mensaje se trata de tus datos
personales y demás... así que creo que te estás pasando un poco. :-P y
además estás poniendo unas medidas "extrañas"... porque si usas la máquina
con linux de forma habitual, tendrás que estar dando de alta cada día más
máquinas en el firewall... simplemente para navegar por lo que en unos
días será inmanejable... y eso también tiene implicaciones en la seguridad
de tu máquina.
Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
si te da por la paranoia porque no quieres que alguien de tu casa te
husmee o que si se pierde el disco alguien pueda acceder a tus datos los
cifras (GPG, truecrypt, ...).
El disco lo metes en un cajón y punto final.
Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
requetebien cifrados... con una buena clave, un algoritmo en condiciones y
los subes a algún sitio en Internet de confianza... si la "clasificación"
de los datos lo permite, claro ;-)
Esa es la mejor forma para que nadie acceda desde Inet a tus datos.
Además mantén actualizados los parches de tu máquina, no navegues por
sitios "raros", no instales cosas sin pensar, no dejes servicios que no
necesites levantados, ... vamos, sentido común :-)
El sentido común... es un buen aliado de la seguridad.
[1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
"envenenar" las cachés de los DNS que tienes configurados y te van a
redirigir el tráfico al infierno o a algún sitio peor? ;-)
[2] http://es.wikipedia.org/wiki/TEMPEST
Bueno, te voy a comentar mi caso particular, sobre las medidas de
En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
la misma pantalla y teclado, y sólo tengo que darle a un botón para
cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
de espera).
Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
esos datos mediante Internet. Es decir, en algún sitio lo tendré que
meter del disco duro mientras que estoy conectado, y de poco me sirve
tenerlo en un USB no conecado ya que los necesito para tener abiertos
casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45
(que lo tengo justo a la derecha de la pantalla) desenchufado para echar
un ojo a todos los datos y sacar lo que tengo que sacar sin temores.
Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
incluso con todas las restricciones que he puesto? Que podría acceder a
mis datos cómodamente sin que yo lo supiese.
Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
estable o la última versión); Política DROP por defecto, con macros para
mis conexiones DNS y http/s.
Hardening: Bastille (básico), SELinux en política "strict" y
"enforcing", harden (no sirve de mucho pero algo hace), Openwall,
analizadores de rootkits.
IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
demasiado inexperto todavía modificando reglas (si resuelvo un
problemilla que tengo con mysql), ippl, psad.
Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
supongo que tarde o temprano tendré que decantarme por uno.
Analizador de logs: logcheck.
Analizador de paquetes: Wireshark.
Lo reconozco, no sólo quiero seguridad, es que el tema también me
interesa bastante, por eso estoy constantemente buscando nueva información.
En un futuro bastante próximo: Herramientas de cifrado, herramientas
varias (las que vaya descubriendo).
¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
archivo y configurar una excepción para poder abrirlo con según que
programa?
Saludos y muchísimas gracias por responder.
Te voy a responder con una alegoría.
Soy un cliente potencial, que busco lugar de hospedaje de información
ultra-valiosa a la que quiero acceder de forma remota.
Empresa A) Me monta: iptables + shorewall + AIDE + snort + wireshark +
cifrado + hardening + logcheck. Ahí accedo yo a mi información.
Empresa B) Me monta: OpenVPN con certificado.
Me quedo con la B mil veces antes que con la A.
La seguridad de un sistema no se mide por el pesaje del software
instalado en el, es mucho más fiable uno bien diseñado y de forma
eficiente (que suele ser lo más dificil).
Un Saludo.
P.D: No hagas crossposting please == copiar a más listas de correo en el
mismo mensaje. Ni hace falta que pongas en copia al que mandó ... tan
solo contesta a la lista ;)
Buenas, sobre la opción de OpneVPN, ¿me podrías informar un poco más,
¿por favor? ¿Me podría servir a mí como herramientas?
Muchísimas gracias por responder.
Claro que te podría servir, únicamente tendrías publicado el puerto del
VPN (el cual si que podrias restringir el acceso, permitiendo la
conectividad solo a determinadas IPs) ... te conectas, te asigna a un
pool de IPs de tu LAN y a disfrutar de los servicios que tengas en la
intranet.

Respecto a la conexión entre tú y el VPN, se realiza con un tuneleo
cifrado siguendo los estándares SSL/TLS, muy seguro.

Tienes varios métodos de validación ... validación local en la máquina
que ofrezca el VPN, contra un LDAP, por certificado ... es un mundillo.

Googlea algo sobre esto, que es muy interesante y util.

Un Saludo.
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Jaime Robles
2008-11-12 07:38:29 UTC
Permalink
Post by Manuel Gomez
Bueno, te voy a comentar mi caso particular, sobre las medidas de
Ahí, ahí, ...
Post by Manuel Gomez
En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
la misma pantalla y teclado, y sólo tengo que darle a un botón para
cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
de espera).
Ok, eso es bueno saberlo.
¿Cambia también la conexión de red? ¿Conecta/desconecta al ordenador
"sensible" de la red cuando no está en uso? Mantener conectado un
ordenador "rojo" cuando no es necesario que esté no tiene justificación
:-)
Post by Manuel Gomez
Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
esos datos mediante Internet. Es decir, en algún sitio lo tendré que
meter del disco duro mientras que estoy conectado, y de poco me sirve
tenerlo en un USB no conecado ya que los necesito para tener abiertos
casi constantemente.
Ok.
Perfecto, nos vamos entendiendo.
Se trata de datos sensibles a los que necesitas acceder desde Internet
pero... me daba la impresión de que en tu operación diaria tú ibas a estar
delante del ordenador que iba a gestionar esos datos sensibles ¿no?
En ese caso puedes conectar/desconectar la unidad de disco ¿no?
Si la operación no es remota ¿para qué vas a tener esos datos on-line
cuando no están en uso?
Casi constantemente... ¿es 24x7? o es sólo constantemente pero sólo cuando
usas ese ordenador?
Post by Manuel Gomez
Ahora, bien, siempre trato de tener el cable RJ45
(que lo tengo justo a la derecha de la pantalla) desenchufado para echar
un ojo a todos los datos y sacar lo que tengo que sacar sin temores.
Así que no es un acceso remoto sino local, aunque tengas que operar esos
datos con una conexión a Internet.
¿Tienes que mandar esos datos a Internet?
¿Son datos que no se pueden tecear"/copiar en el momento del uso?
Post by Manuel Gomez
Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
incluso con todas las restricciones que he puesto? Que podría acceder a
mis datos cómodamente sin que yo lo supiese.
Si alguien pudiera acceder a tu ordenador podrías perder la
confidencialidad, la integridad e incluso la disponibilidad de tus datos
pero no se cual de las tres quieres proteger o dar prioridad.
Post by Manuel Gomez
Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
estable o la última versión); Política DROP por defecto, con macros para
mis conexiones DNS y http/s.
Hay que hacer log de algunas cosillas para ver qué es lo que se cuece y
poder analizar los hechos en caso de un incidente.
Post by Manuel Gomez
Hardening: Bastille (básico), SELinux en política "strict" y
"enforcing", harden (no sirve de mucho pero algo hace), Openwall,
analizadores de rootkits.
El hardening es importante claro. :-)
Hay que proteger la máquina para que, si entran, tengan acceso a lo mínimo
posible.
Post by Manuel Gomez
IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
demasiado inexperto todavía modificando reglas (si resuelvo un
problemilla que tengo con mysql), ippl, psad.
:-)
Post by Manuel Gomez
Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
supongo que tarde o temprano tendré que decantarme por uno.
No están mal, pero claro, debes luego analizar los logs e informes que
generan.
Post by Manuel Gomez
Analizador de logs: logcheck.
OK, lo mismo... hay que analizar informes...

Un problema de los analizadores, generadores de log, informes, reportes y
demás es que pueden provocar una sobrecarga de información que el operador
debe leer de forma habitual.
Si tienes informes pero no los lees... no valen para mucho.
Post by Manuel Gomez
Lo reconozco, no sólo quiero seguridad, es que el tema también me
interesa bastante, por eso estoy constantemente buscando nueva
información.
Eso me parecía a mi ;-)
Resulta interesante instalar TODOS los cacharritos, programas para luego
poder elegir lo mejor.
Post by Manuel Gomez
En un futuro bastante próximo: Herramientas de cifrado, herramientas
varias (las que vaya descubriendo).
El cifrado es muy interesante.
¿Has probado truecrypt? Echale un ojo.
Poder montar discos en unix/windows desde archivos cifrados es muy
interesante y permite la portabilidad de datos entre sistemas.
Post by Manuel Gomez
¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
archivo y configurar una excepción para poder abrirlo con según que
programa?
No entiendo lo de configurar la excepción... ¿re refieres a configurar el
sistema para poder descifrar un archivo sólo con un programa?

El problema es que cuando piensas/diseñas un sistema defines la operación
que se va a hacer sobre ese sistema, pones medidas y demás... pero luego
el atacante no sigue ese concepto de operación. El atacante si no conoce
la forma correcta de operar el sistema puede encontrar "huecos" de forma
casual que tú no hayas previsto y si conoce la forma de operar no los
encontrará por casualidad, los buscará ;-)
--
Un saludo,
Jaime Robles, EA4TV
***@robles.es

Visita:
http://jaime.robles.es
Federico Alberto Sayd
2008-11-13 12:27:24 UTC
Permalink
Post by bd
Buenas, hace poco he establecido un nuevo método de seguridad que no
se si tiene agujeros o no (quiero decir, agujeros importantes, no digo
que no pueda ser hackeado por alguien con conocimientos).
Tengo iptables con frontend shorewall, y mi configuración básicamente
- Rechazar TODA conexión entrante y saliente como política por defecto
de red local, internet, y de hacia el firewall (es decir, TODO).
- Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica), aceptar
http sólo para los servidores que yo incluyo (www.google.es, etc....),
aceptar https del mismo modo.
De esta forma, teóricamente sólo puedo conectarme y ser conectado por
las direcciones específicas que he colocado.
Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
seguridad? Me gustaría saberlo para así seguir haciendo unas u otras
modificaciones de seguridad, y poder tener más o menos una idea de lo
que he puesto ahora mismo.
Sobre la comodidad de sólo poder a acceder a limitados servers, no es
problema, ya que tengo otro ordenador Windows con menos restrictividad
que uso de forma normal (no hay configurada regla para realizar una
conexión entre los dos PCs).
Muchísimas gracias por vuestra ayuda y perdón por escribir en dos
listas a la vez, es que tengo bastante curiosidad por hallar una
respuesta.
Algo que siempre sugiero a toda la gente. Un firewall te puede servir
para bloquear conexiones, pero si quieres estar conectado a una red
necesitarás tener puertas abiertas en el firewall para que las
conexiones a puertos legítimos funcionen. Ahora bien, qué pasa con los
servicios corriendo en esos puertos abiertos detrás de tu firewall,
están asegurados? tienes los últimos parches disponibles? actualizaciones?

Porque de nada te vale tener un pedazo de firewall y luego que entren
por una vulnerabilidad del servidor web por ejemplo.

Saludos
--
To UNSUBSCRIBE, email to debian-user-spanish-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Continúe leyendo en narkive:
Loading...