Mailinglist Archive: opensuse-es (1727 mails)
| < Previous | Next > |
Re: [suse-linux-s] Actualizaciones y fixes
- From: Rafa Grimán <rgriman@xxxxxxx>
- Date: Mon, 8 May 2006 09:24:17 +0200
- Message-id: <200605080924.17854.rgriman@xxxxxxx>
Hola :)
El Domingo, 7 de Mayo de 2006 23:28, Victor Hugo dos Santos escribió:
> 2006/5/7, Rafa Grimán <rafagriman@xxxxxxxxx>:
> > Hola :)
> >
> > El Viernes, 5 de Mayo de 2006 17:24, Victor Hugo dos Santos escribió:
> > > 2006/5/5, Rafa Grim�n <rafagriman@xxxxxxxxx>:
> > > > Hola :)
> > >
> > > [...]
> > >
> > > > S�lo a�adir la respuesta a la 2a pregunta: puedes automatizarlo para
> > > > que se actualice solo. No soy partidario de que las cosas se
> > > > actualicen solas, prefiero ser yo qui�n las actualice ... no vaya a
> > > > ser que algo falle ..
> > >
> > > pero y esta nueva actualizacion de seguridad critica que salio justo
> > > en el viernes a las 21:00 ??? solamente la instalara en el lunes ????
> >
> > Depende, si me afecta o no me afecta. Me explico:
>
> creo que no me entendiste... supongamos que tienes un servidor WEB
> funcionando y durante el viernes por la noche sale un parche de
> seguridad critica para un exploit "0 day" que da aceso remoto a la
> maquina que tienes... en vuestro caso (con actualizaciones manuales),
> los chacales de internet, tendran todo el final de semana para llegar
> hasta vuestra maquina ya que posiblemente vengas a instalar el parche
> en el lunes por la manana... despues que posiblemente la maquina ya se
> encuentre comprometida. :-(
Comprendí el ejemplo, pero hay que tener en cuenta otras cosas también:
- se supone que el servidor (web, dns, correo, ...) estará tras
un cortafuegos
- el cortafuegos estará bien configurado sólo con determinados
puertos abiertos, ...
- el servidor también está bien configurado: ssh, usuarios,
servicios necesarios, hosts.allow, ...
- hay una copia del servidor en cuestión (aunque sea en un CD)
- o bien hay turno de noche o bien tengo acceso desde el exterior
para administrar el sistema
Si tenemos en cuenta los dos últimos puntos:
- si alguien ataca, tengo una copia exacta del servidor por si alguien
entra ... la restauro.
- si me leo la documentación, puedo decidir si instalar o no el parche
> > Hay que leerse bien la documentación antes de aplicar los parches ;)
>
> mmmm... como mencione en otro correo... IMHO, los parches de
> seguridad, primero se aplican y despues uno se empena en descubrir
> para que sirven.
Depende, conozco un caso de un servidor Oracle MUY grande, pensaban de esa
manera ... y se fué todo al traste :( La BBDD almacenaba información muy
sensible, información crítica de esa empresa, ... es más, la empresa no quedó
paralizada porque lo tenían en cluster.
Aplicaron un parche del kernel pensando "Es un parche de seguridad, TENEMOS
que instalarlo!!!". No comprobaron si ese parche rompía otra cosa ... y así
fué :(
Las prisas son malas compañeras del trabajo en general ;)
De todas maneras, repito lo que he comentado en correos anteriores: la
seguridad informática (parches, antivirus, cortafuegos, NIDS, IDS, firmas
electrónicas, cifrados de XXXXXXXX bits, ...) nos dan una seguridad
"falsa" ("cómoda") puesto que la ingeniería social (inversa o no) nos pueden
reventar el sistema más protegido (CIA, FBI, banca, ...). No debemos caer en
la "comodidad" de pensar: "Tengo el último parche, el cortafuegos XXXX, ..."
si luego resulta que tenemos, por ejemplo, un Help Desk ;)
IMHO
Rafa
--
"Even paranoids have enemies."
Rafa Grimán
Systems Engineer
Silicon Graphics Spain
Santa Engracia, 120 - Planta Baja
28003 Madrid
Spain
Tel: +34 91 3984200
Tel: +34 91 3984201
Móvil: +34 628 117 940
http://www.sgi.com
OpenWengo: rgriman
Skype: rgriman
El Domingo, 7 de Mayo de 2006 23:28, Victor Hugo dos Santos escribió:
> 2006/5/7, Rafa Grimán <rafagriman@xxxxxxxxx>:
> > Hola :)
> >
> > El Viernes, 5 de Mayo de 2006 17:24, Victor Hugo dos Santos escribió:
> > > 2006/5/5, Rafa Grim�n <rafagriman@xxxxxxxxx>:
> > > > Hola :)
> > >
> > > [...]
> > >
> > > > S�lo a�adir la respuesta a la 2a pregunta: puedes automatizarlo para
> > > > que se actualice solo. No soy partidario de que las cosas se
> > > > actualicen solas, prefiero ser yo qui�n las actualice ... no vaya a
> > > > ser que algo falle ..
> > >
> > > pero y esta nueva actualizacion de seguridad critica que salio justo
> > > en el viernes a las 21:00 ??? solamente la instalara en el lunes ????
> >
> > Depende, si me afecta o no me afecta. Me explico:
>
> creo que no me entendiste... supongamos que tienes un servidor WEB
> funcionando y durante el viernes por la noche sale un parche de
> seguridad critica para un exploit "0 day" que da aceso remoto a la
> maquina que tienes... en vuestro caso (con actualizaciones manuales),
> los chacales de internet, tendran todo el final de semana para llegar
> hasta vuestra maquina ya que posiblemente vengas a instalar el parche
> en el lunes por la manana... despues que posiblemente la maquina ya se
> encuentre comprometida. :-(
Comprendí el ejemplo, pero hay que tener en cuenta otras cosas también:
- se supone que el servidor (web, dns, correo, ...) estará tras
un cortafuegos
- el cortafuegos estará bien configurado sólo con determinados
puertos abiertos, ...
- el servidor también está bien configurado: ssh, usuarios,
servicios necesarios, hosts.allow, ...
- hay una copia del servidor en cuestión (aunque sea en un CD)
- o bien hay turno de noche o bien tengo acceso desde el exterior
para administrar el sistema
Si tenemos en cuenta los dos últimos puntos:
- si alguien ataca, tengo una copia exacta del servidor por si alguien
entra ... la restauro.
- si me leo la documentación, puedo decidir si instalar o no el parche
> > Hay que leerse bien la documentación antes de aplicar los parches ;)
>
> mmmm... como mencione en otro correo... IMHO, los parches de
> seguridad, primero se aplican y despues uno se empena en descubrir
> para que sirven.
Depende, conozco un caso de un servidor Oracle MUY grande, pensaban de esa
manera ... y se fué todo al traste :( La BBDD almacenaba información muy
sensible, información crítica de esa empresa, ... es más, la empresa no quedó
paralizada porque lo tenían en cluster.
Aplicaron un parche del kernel pensando "Es un parche de seguridad, TENEMOS
que instalarlo!!!". No comprobaron si ese parche rompía otra cosa ... y así
fué :(
Las prisas son malas compañeras del trabajo en general ;)
De todas maneras, repito lo que he comentado en correos anteriores: la
seguridad informática (parches, antivirus, cortafuegos, NIDS, IDS, firmas
electrónicas, cifrados de XXXXXXXX bits, ...) nos dan una seguridad
"falsa" ("cómoda") puesto que la ingeniería social (inversa o no) nos pueden
reventar el sistema más protegido (CIA, FBI, banca, ...). No debemos caer en
la "comodidad" de pensar: "Tengo el último parche, el cortafuegos XXXX, ..."
si luego resulta que tenemos, por ejemplo, un Help Desk ;)
IMHO
Rafa
--
"Even paranoids have enemies."
Rafa Grimán
Systems Engineer
Silicon Graphics Spain
Santa Engracia, 120 - Planta Baja
28003 Madrid
Spain
Tel: +34 91 3984200
Tel: +34 91 3984201
Móvil: +34 628 117 940
http://www.sgi.com
OpenWengo: rgriman
Skype: rgriman
| < Previous | Next > |