Carlos E. R. wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2009-09-14 a las 09:32 +0200, carlopmart escribió:
Carlos E. R. wrote:
A ver si me explico bien. Son DOS problemas:
a) El porque no se puede deshabilitar el zeroconf de una forma sencilla sin hacer chapuzas (y eso incluye la creacion de scripts de arranque que ya comenté con camaleon o usar el rc.local o usar iptables, que ni me sirve ni me vale porque la ruta sigue ahí y se seguirá presentando a la red en cuanto se le haga un query)
Un script en rc.local no te va a funcionar, se ejecuta antes de que levante la red. Y en todo caso, lo que quita es la red, no los posibles servicios zeroconf aka linklocal.
Yo tenia entendido que se ejecutaba al final de todos los demas scripts de arranque (otra cosa nueva que no sabía de las SuSE)... Pero bueno, no me servía de todas formas.
El porqué no han previsto desactivarlo, pues te pueden decir que el objetivo de la opensuse no son servidores en empresas y que te está bien empleado :-P
(y no, no estoy de acuerdo, pero te dirán eso).
Ya, pero si miras mi correo inicial digo que eso pasa en openSuSE y en un SLES: y este es un servidor, o sea que gamba como una casa de Novell. Y también dije que no pensaba abrir un bugzilla en opensuse por el mismo motivo que dices ahora.
b) problema de seguridad, ya que me registran incidencia tanto en firewalls como en IPS y a mi me reclaman el problema.
Y sí, es un problema de seguridad bastante fuerte. Es trivial inyectar paquetes de peticiones zeroconf desde redes internas y averiguar por consiguiente la IP del servidor y los servicios que presta.
Eso tienes que aclararlo, porque no entiendo en que puede afectar una ruta definida en el servidor. ¿Quien está generando esos paquetes que se ven en el cortafuegos?
La openSuSE y la SLES (están en el mismo segmento de red), ya que ambas exponen una nueva ruta de red fuera de su segmento de configuracion. Por consiguiente, tanto firewalls como IPS detectan spoofing ...
Por cierto. Si se desactiva la ruta linklocal en el servidor, lo que podría pasar es que los paquets linklocal que pudiera emitir por algún motivo irían precisamente al gateway, y se registrarian en el cortafuegos. No es un ataque, sino un fallo de configuración.
Ya, eso explicaselo tu a los IPS y a los operadores que los gestionan (que no administran). Yo no necesito que envien ningun, y cuando ningun paquete digo ninguno, ni un triste echo-request, sencillamente porque no lo van a necesitar nunca para nada. Para eso tienen todo el hierro redundado .. Aka: me parece muy bien que lo pongan en openSuSE pero en la SLES es un gazapo de mucho bulto ... ¿Pero es que creen que el 100% de usuarios de SLES vienen de Windows (o peor aún de las Netware :)) o qué??
En cuanto a averiguar qué servicios presta el servidor, pues eso se puede hacer aunque no tengas linklocal.
No en este caso. Estos servers solo publican un acceso ssh, cuando en realidad ofrecen más servicios (no públicos) como http, tomcat, mysql ... No te serviaría de nada lanzar un escaner porque la unica respuesta que recibirias es un ssh ...
- -- Saludos Carlos E. R.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkqupjQACgkQtTMYHG2NR9VfmwCfbD2a02A2lcuwRMBjOieIco/w TzUAoIu8eM/bJzkzDA025JSYwLNjQ0et =fXLg -----END PGP SIGNATURE-----
-- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org