[Solar-certifica] Propuesta Versión 2.0
Arturo 'Buanzo' Busleiman
buanzo en buanzo.com.ar
Lun Dic 20 15:29:16 CET 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ezequiel Gonzalez Rial wrote:
| * Seguridad (Buanzo espero una opinión tuya sobre esto)
Acá la tienen.....
| configurar una
| red interna con DNS, Firewall, etc, etc y ejecutar un programa sobre
| los scripts de configuración para determinar si la máquina va a tener una
| vulnerabilidad o no.
Mmmmm. Demasiado rebuscado. No la idea.. sino la aplicación de la misma. Existen numerosas formas de
hacer las mismas cosas en Linux, especialmente en el campo de la administración/configuración de
red. El BIND es lo suficientemente flexible como para que una misma configuración se logre de
múltiples formas. Entonces existen dos caminos de "corrección" del examen: Práctico y teórico. Veamos:
Caso Seguridad-Firewalls:
| Ojo que acá no se puede controlar igualdad entre
| scripts ya que pueden definirse dos reglas o más reglas en vez de una
| y que en conjunto cumplan el mismo objetivo.
En este caso, de la Seguridad, creo yo que la metodología a aplicar está más orientada al resultado
desde el punto de vista del atacante, que desde el punto de vista de lo correcto o incorrecto (según
NUESTRAS definiciones, ojo) de lo que haga el alumno.
La forma práctica es ejecutando el script en un Linux fisico o virtual, y realizando un ataque,
portscan, etc contra dicho sistema. Tal vez un Nessus sea lo más práctico. El sistema Linux deberia
estar pre-configurado con una cierta cantidad de servicios vulnerables a ataques remotos. Y una red,
interfaces, y politicas para esa red deberian ser definidas para que el alumno arme el firewall con
esos parámetros.
En el caso de un firewall... ok, se podría optimizar mucho un script de Netfilter/Iptables, pero si
el resultado que yo obtengo al hacer un scan de un sistema con ese firewall es "correcto" (desde el
punto de vista evaluativo... si fuera atacante y me la complica... es incorrecto, jaja)... entonces
podríamos asumir que los objetivos se cumplieron. Por supuesto, yo podría pegarle una mirada al
script iptables y decir un montón de cosas... pero si las reglas sirven... ok. - OJO, yo no tomaría
un examen de seguridad de esta forma, pero si hubiera recursos, evaluaría a cada alumno
individualmente. Pero yo porque soy un maniático del tema (los que hayan venido a charlas mías de
seguridad ya me conocen).
Por otra parte, la Seguridad tiene que ver con muchos conceptos y metodologías de trabajo. Hay gente
el día de hoy que todavía es partidaria de la seguridad a traves de oscuridad. Se ha demostrado
infinidad de veces que esa no es una metodología segura. Me refiero a que todos tenemos el concepto
de "Para cuidar la plata... la voy a esconder bien". Y ese esconder bien es siempre relativo, es
facilmente averiguable. Por lo que si planteamos preguntas multiple-choice del estilo "Para qué
sirve limitar qué direcciones IP pueden realizar una transferencia de zonas contra un cierto DNS"
con estas opciones:
a) Para evitar que terceros conozcan nuestra base de zonas. (INCORRECTA, la consulta se hace
zona-por-zona y no existe un comodín para "pedir todas las zonas". El atacante debe, por otros
medios, conocer que otras zonas se albergan en dicho servidor antes de poder solicitarlas).
b) Para evitar un ataque de Denegación de Servicio (INCORRECTA, a un ataque distribuido no lo parás
con nada, excepto que venga desde otro caño internacional y puedas pararlo allí, como le pasó a
cierto ISP argentino).
c) Para limitar el consumo de ancho de banda (INCORRECTA, El control de ancho de banda es un efecto
colateral del control de acceso, pero el control de ancho de banda es tarea puntual de iproute2/tc y
dispositivos de border).
d) Ninguna de las anteriores...
Yo apruebo al que responda (D) Ninguna de las anteriores.
Pero alguno de ustedes seguro estará en contra de mis razonamientos, los cuales estan basados pura y
exclusivamente en como yo veo a la seguridad y administración en base a mi experiencia y al rechazo
que le tengo a la seguridad a través de oscuridad.
Si, la de seguridad es complicada. Esta certificación me suena a más cara, por el tipo de evaluación
requerido.
- --
Arturo "Buanzo" Busleiman - www.buanzo.com.ar - GNU/Linux Documentation
President, Open Information System Security Group - Argentina
In the darkest night, If my memory serves me right, I'll never turn back
time, Forgetting you, but not the time (Green Day, Whatsername)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFBxuG8AlpOsGhXcE0RAoOTAKCBhZ7NzXFaNoA1kPyH5ZxTdfFSTQCeI87F
amG5e9Em0E6/o8SaRJCdzoA=
=n0dL
-----END PGP SIGNATURE-----
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre : buanzo.vcf
Tipo : text/x-vcard
Tamaño : 201 bytes
Descripción: no disponible
Url : /pipermail/solar-certifica/attachments/20041220/4a844b34/buanzo.vcf
Más información sobre la lista de distribución Solar-certifica