-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-09-14 a las 09:32 +0200, carlopmart escribió:
Carlos E. R. wrote:
A ver si me explico bien. Son DOS problemas:
a) El porque no se puede deshabilitar el zeroconf de una forma sencilla sin hacer chapuzas (y eso incluye la creacion de scripts de arranque que ya comenté con camaleon o usar el rc.local o usar iptables, que ni me sirve ni me vale porque la ruta sigue ahí y se seguirá presentando a la red en cuanto se le haga un query)
Un script en rc.local no te va a funcionar, se ejecuta antes de que levante la red. Y en todo caso, lo que quita es la red, no los posibles servicios zeroconf aka linklocal. El porqué no han previsto desactivarlo, pues te pueden decir que el objetivo de la opensuse no son servidores en empresas y que te está bien empleado :-P (y no, no estoy de acuerdo, pero te dirán eso).
b) problema de seguridad, ya que me registran incidencia tanto en firewalls como en IPS y a mi me reclaman el problema.
Y sí, es un problema de seguridad bastante fuerte. Es trivial inyectar paquetes de peticiones zeroconf desde redes internas y averiguar por consiguiente la IP del servidor y los servicios que presta.
Eso tienes que aclararlo, porque no entiendo en que puede afectar una ruta definida en el servidor. ¿Quien está generando esos paquetes que se ven en el cortafuegos? Por cierto. Si se desactiva la ruta linklocal en el servidor, lo que podría pasar es que los paquets linklocal que pudiera emitir por algún motivo irían precisamente al gateway, y se registrarian en el cortafuegos. No es un ataque, sino un fallo de configuración. En cuanto a averiguar qué servicios presta el servidor, pues eso se puede hacer aunque no tengas linklocal. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkqupjQACgkQtTMYHG2NR9VfmwCfbD2a02A2lcuwRMBjOieIco/w TzUAoIu8eM/bJzkzDA025JSYwLNjQ0et =fXLg -----END PGP SIGNATURE-----