El 2009-09-17 a las 00:43 +0200, Carlos E. R. escribió:
El 2009-09-16 a las 23:12 +0200, Camaleón escribió:
Pero la prueba es sencilla de hacer: se configura un equipo con un adaptador de red sin configurar y se conecta a la red donde está el servidor suse con el zeroconf ese activado. Luego se hace la misma prueba pero con la ruta del zeroconf eliminada. Todo esto con un monitor de red activado para ver por dónde se van los paquetes.
Lo pruebas y me lo cuentas, yo no tengo tantas máquinas como para poder probarlo.
Yo no tengo ninguna duda de que desactivar el zeroconf pueda ser una operación "peligrosa", eres tú quien asegura que los paquetes destintados a una ruta inexistente del zeroconf se van por la puerta de enlace predeterminada >:-)
Mira que eres incrédula... Observa - trato de enviar paquetes a una IP del rango link-local cualquiera (inexistente):
Espero sinceramente, Carlos, que todo esto se trate de una mera broma o de una simple "cabezonería" tuya por no ser capaz de reconocer -sencillamente- que estás en un error. Y también espero que seas capaz de entender lo que escribo, porque a veces pienso que no, que simplememte interpretas lo que quieres y lo utilizas como arma arrojadiza con el único fin de intentar argumentar tu postura "a toda costa". (...)
¿Ves como se va al gateway o ruta por defecto, al quitar la ruta del link-local?
Obviamente, no me refería a eso. Si quieres leer (e intentar entender) lo que pone al principo de este correo (que es a la prueba a la que me estaba refiriendo), perfecto, y si no, también. Más no puedo hacer. (...)
Tenemos la solución Y -> desactivar esa ruta que no está proporcionando ningún servicio y que en ningún caso (ni estando activada ni estando desactivada) supone ningún contratiempo adicional.
Y yo digo que creará contratiempos adicionales. A las pruebas de mi traceroute me remito.
Creo que el hilo ya ha llegado muy lejos y no me gustaría entrar en descalificaciones de ningún tipo. Sé que a veces en caliente puedo escribir cosas un tanto "mordientes" y si ha sido así en este caso, lo siento. Tan sólo voy a apuntar un documento adicional, porque sé que a buen entendedor, pocas palabras bastan: *** http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf Guide to the Secure Configuration of Red Hat Enterprise Linux 5 Revision 2 / December 20, 2007 Operating Systems Division Unix Team of the Systems and Network Analysis Center National Security Agency 9800 Savage Rd. Suite 6704 Ft. Meade, MD 20755-6704 (...) 1. Introduction The purpose of this guide is to provide security configuration recommendations for the Red Hat Enterprise Linux (RHEL) 5 operating system. The guidance provided here should be applicable to all variants (Desktop, Server,Advanced Platform) of the product. Recommended settings for the basic operating system are provided, as well as for many commonly-used services that the system can host in a network environment. The guide is intended for system administrators. Readers are assumed to possess basic system administration skills for Unix-like systems, as well as some familiarity with Red Hat’s documentation and administration conventions. Some instructions within this guide are complex. All directions should be followed completely and with understanding of their effects in order to avoid serious adverse effects on the system and its security. (...) 3.3 Base Services This section addresses the base services that are configured to start up on boot in a RHEL5 default installation. Some of these services listen on the network and should be treated with particular discretion. The other services are local system utilities that may or may not be extraneous. Each of these services should be disabled if not required. 3.3.9.3 Disable Zeroconf Networking ...... 79 3.3.9.3 Disable Zeroconf Networking Zeroconf networking allows the system to assign itself an IP address and engage in IP communication without a statically-assigned address or even a DHCP server. Automatic address assignment via Zeroconf (or DHCP) is not recommended. To disable Zeroconf automatic route assignment in the 169.245.0.0 subnet, add or correct the following line in /etc/sysconfig/network: NOZEROCONF=yes Zeroconf addresses are in the network 169.254.0.0. The networking scripts add entries to the system’s routing table for these addresses. Zeroconf address assignment commonly occurs when the system is configured to use DHCP but fails to receive an address assignment from the DHCP server. *** Mis conocimientos sobre la seguridad de las redes no son tan buenos como me gustaría, y por eso seguramente se me escapa el motivo por el cual los IPS le están generando esas alertas. Pero es precisamente por eso por lo que busco, leo (e intento entender) este tipo de documentación, para saber si realmente es "necesario" mantener un servicio "x" activado (o, en este caso, una ruta configurada) y cuáles son sus implicaciones. Dicho esto, si quieres discutir con alguien sobre la conveniencia o no de desactivar esa ruta, puedes dirigirte a la NSA. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org