-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-09-16 a las 08:52 +0200, Camaleón escribió:
¿Y yo que sé? No nos ha explicado todo, lo va contando con cuentagotas. El caso es que sí tiene gateway, lo dijo en el primer correo:
172.25.85.0/28 dev eth1 proto kernel scope link src 172.25.85.7 172.25.50.0/27 dev eth0 proto kernel scope link src 172.25.50.15 169.254.0.0/16 dev eth0 scope link 127.0.0.0/8 dev lo scope link default via 172.25.50.28 dev eth0 <======
Hay una ruta por defecto, ahí es donde van a ir los paquetes para el rango 169.254.0.0/16 si borras esa linea.
Lo dudo >:-)
Chica, es de libro: si hay un paquete para 169.254.0.1 y eso encaja en 169.254.0.0/16, pues sale por el dispositivo eth0. Eso es de libro. ¿Que pasa si no hay esa ruta explícita? Pues que sale por la ruta por defecto: default via 172.25.50.28 dev eth0 y eso también es de libro. Y va exclusivamente a la IP 172.25.50.28 (a la MAC que tiene esa IP), para que esa máquina se encarge de reenviarlo a 169.254.0.1. Eso es así, es de libro.
Pero la prueba es sencilla de hacer: se configura un equipo con un adaptador de red sin configurar y se conecta a la red donde está el servidor suse con el zeroconf ese activado. Luego se hace la misma prueba pero con la ruta del zeroconf eliminada. Todo esto con un monitor de red activado para ver por dónde se van los paquetes.
Lo pruebas y me lo cuentas, yo no tengo tantas máquinas como para poder probarlo.
¿Que pruebas tienes de que tener esa ruta genera los paquetes? Yo no me lo creo; las cosas están compartimentadas, una ruta creada no genera paquetes, sólo sirve para saber a donde enviar los paquetes que cumplan las condiciones, si los paquetes aparecen. Pero han de ser otros los que los generen.
Lo único que haces al tener esa ruta es definir a donde van esos paquetes si "algo" los genera. No impides ni que se generen ni que se responda a ellos.
Lo que desconocemos es la configuración de los IPS y por qué geenran las alertas cuando se activa la ruta... pero hombre, si te te está diciendo que es lo que pasa, pues no tenemos por qué desconfiar.
Sabemos que llegan al cacharro ese. Yo de eso no he dicho que desconfío. Lo que no me trago es que tener esta linea: 169.254.0.0/16 dev eth0 scope link en la tabla de rutas genera paquetes link-local. Demuestramelo. Díme en que manual se dice que crear una ruta crea paquetes. ¿Que hay paquetes? Vale. Pero no es por eso.
Ahora bien, sería interesante saber por qué esos equipos están detectando algo fuera de lo común cuando el link-local debería estar contemplado y deberían descartarlo automáticamente... pero bueno, ese es otro tema.
Puesto que no sabemos la arquitectura de la red, he de suponer que se trata del gateway. Yo hasta ahora he interpretado su "IPS" por el gateway/router de su proveedor de internet (ISP mal escrito, quizás).
:-)
Un IPS es un "Intrusion prevention system" (o al menos eso es lo que yo había entendido).
Ah.
Y es efectivamente tarea del gateway de internet cepillarse los paquetes que le lleguen destinados con IPs "ilegales" para el exterior.
Ahora parece que el gateway no es de internet :-? Pues ni idea, pero lo que no esté en sus tablas no lo rutará y quizás lo reporte.
¿O no es un gateway y es un cortafuegos solamente? Un cortafuegos es un tipo de router al fin y al cabo. Normalmente reporta lo que bloquea.
Pero no supone ningún problema.
Pues aparentemente sí lo supone.
Porque tendrá administradores quisquillosos.
Estamos provocando la enfermedad.
Lo que hay que hacer no es borrar la ruta, sino redefinirla para que vayan a la basura, o cortarlos en un cortafuegos en cada máquina.
Después de leer el RFC yo diría que es todo lo contrario :-/
Explica :-?
Pues que el RFC precisamenterecomienda no crear esa ruta del zeroconf sobre una interfaz que ya tiene configurada y está operativa. El zeroconf es para redes pequeñas donde no haya una infraestructura de dhcp o de dns, o donde los usuarios no tengan los conocimientos suficientes para configurar la red.
Creo sinceramente que no es el caso que nos ocupa.
Lo has leído mal. Lo que recomienda es no crear la IP, repito, la IP del zeroconf sobre una interfaz que ya tiene configurada y está operativa. Sí recomienda crear la ruta sobre esa misma interfaz. No te confundas.
Además, las interfaces configuradas en "bonding" no generan esa ruta de manera automática y obviamente no hay ningún problema.
Yo lo veo igual que tener un servidor dhcp o dns en marcha: si no lo necesito, no lo configuro... ¿para qué? ¿para que el vecino, a través del wifi, pueda obtener una ip en mi rango y acceder fácilmente a los recursos de la red? Pues no. Si en algún momento tengo que conectar un equipo a la red que necesita una IP asignada automáticamente, entonces me plantearé la configuración del servidor dhcp, pero no antes.
Es una falsa sensación de seguridad: el cracker simplemente se inventará una IP y listo, entra igual. No tener un servidor dhcp no le va a parar en modo alguno, sólo va a tener que escuchar un rato para ver que IPs se usan y adivinar una del rango libre, que puede corresponder a un PC existente pero parado o a una no asignada por tí.
No le va parar, pero tampoco le voy dar pie a que siga, salvo que tenga algún honeypot configurado "ex professo" :-)
La recomendación que verás en todos los whitepapers de seguridad es que si no usas un servicio, es mejor desactivarlo. No veo por qué debería ser diferente en este caso del zeroconf.
Si en eso estamos de acuerdo... en eso estamos de acuerdo. Por supuesto, conviene desactivar zeroconf. Vale. Ahora, demuestrame que quitar la ruta, y sólo la ruta, desactiva el zeroconf. Porque no me lo trago.
Yo creo lo contrario, que al tener un DHCPs vas a saber en qué rangos van a aparecer los ordenadores "intrusos", y evitas que algún otro meta un "rogue dhcps".
Añade, además, que los servidores dhcp o dns que amabablemente has configurado para el vecino pueden tener agujeros de seguridad sin parchear y que podrían ser fácilmente explotables desde la red local >:-)
Puede. Pero, uno, mi vecino no puede entrar porque no tengo la wifi encendida. Y dos, no podría entrar en mi pc porque no considero mi intranet como confiable, esto es, el cortafuegos está plenamente activo, etc etc. Todo lo más podría entrar en el chisme de la tele. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEUEARECAAYFAkqxOooACgkQtTMYHG2NR9XdcwCeOhSuD2jTTAel5kJdQoGa1M3m 3NUAmLd/Bk5Fas/lNeDmZ4VjNizdCcM= =FIuT -----END PGP SIGNATURE-----