Mailinglist Archive: opensuse-es (821 mails)
| < Previous | Next > |
Re: [opensuse-es] Deshabilitar zeroconf en el arranque
- From: Camaleón <noelamac@xxxxxxxxx>
- Date: Fri, 18 Sep 2009 08:38:29 +0200
- Message-id: <20090918063829.GA5551@xxxxxxxxxxx>
El 2009-09-17 a las 20:41 +0200, Carlos E. R. escribió:
Juvar, bien empezamos en día.
Aún estoy esperando a que digas "esos motivos" de manera clara y
concisa, y si están sustentados en algún documento, mejor. Porque
apreciaciones personales tenemos todos y pueden ser apreciaciones
equivovadas.
¿Sigues hablando en broma, no? ¿O acaso es que no has entendido lo que
decía?
(...)
¿Para quitar la ruta del zeroconf de la tabla de rutas? No, sólo tienes
editar una variable o ejecutar un comando.
Quitar la ruta del zeroconf != desactivar el servicio de avahi
¿No hablas en broma? ¿De verdad que estás hablando en serio?
Bueno...
No hace falta que quites la ruta del link-local para hacer tus pruebas.
Cualquier traza que hagas a una ip cuya ruta no tengas en la tabla de
direcciones saldrá por la puerta de enlace que tengas predeterminada.
Por tanto, según tu teoría, todos los equipos son "vulnerables", todas
las configuraciones "pueden crear contratiempos adicionales (sic)",
independientemente de que tengan (o no) la ruta del zeroconf en su tabla.
¿Estás *seguro* de que quieres decir eso?
Caray...
A ver si lo entiendes. La idea principal de este hilo era "cómo
desactivar la ruta del zeroconf", es decir, cómo hacer en openSUSE y
SLES lo que "aconseja" ese manual de seguridad de RedHat.
Aún así (y para más inri), si continúas leyendo ese manual, verás que
también "recomienda" desactivar el servicio del ahavi si no se piensa
utilizar.
***
3.7 Avahi Server
The Avahi daemon implements the DNS Service Discovery and Multicast
DNS protocols, which provide service
and host discovery on a network. It allows a system to automatically
identify resources on the network, such
as printers or web servers. This capability is also known as
mDNSresponder and is a major part of Zeroconf
networking. By default, it is enabled.
3.7.1 Disable Avahi Server if Possible
Because the Avahi daemon service keeps an open network port, it is
subject to network attacks. Disabling it is
particularly important to reduce the system’s vulnerability to such
attacks.
***
En fin, es como si le estuviera hablando a una pared...
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
El 2009-09-17 a las 10:41 +0200, Camaleón escribió:
Mira que eres incrédula... Observa - trato de enviar paquetes a una IP
del
rango link-local cualquiera (inexistente):
Espero sinceramente, Carlos, que todo esto se trate de una mera broma o
de una simple "cabezonería" tuya por no ser capaz de reconocer
-sencillamente- que estás en un error.
¿Broma? ¿De que vas?
Si eso es lo que piensas, entonces yo creo sinceramente que la cabezonería
es vuestra por no reconocer vuestro error.
Juvar, bien empezamos en día.
Y también espero que seas capaz de entender lo que escribo, porque a
veces pienso que no, que simplememte interpretas lo que quieres y lo
utilizas como arma arrojadiza con el único fin de intentar argumentar
tu postura "a toda costa".
Y yo espero que seas capaz de entender lo que escribo, porque... etc.
Después de tanto tiempo que nos conocemos deberías darme un poco de
crédito y pensar que si digo algo tendré motivos... :-/
Aún estoy esperando a que digas "esos motivos" de manera clara y
concisa, y si están sustentados en algún documento, mejor. Porque
apreciaciones personales tenemos todos y pueden ser apreciaciones
equivovadas.
(...)
¿Ves como se va al gateway o ruta por defecto, al quitar la ruta del
link-local?
Obviamente, no me refería a eso.
¿No? Pues yo si.
Y lo he demostrado: al quitar la ruta link-local, los paquetes van al
gateway. Lo llevo diciendo hace nosecuantos mensajes. No se que rayos
entenderás tú...
Haz tú otras pruebas y me las muestras. Yo no hago más, porque no puedo
hacerlas: no tengo tres ordenadores, tú sí.
¿Sigues hablando en broma, no? ¿O acaso es que no has entendido lo que
decía?
Y yo digo que creará contratiempos adicionales. A las pruebas de mi
traceroute me remito.
Creo que el hilo ya ha llegado muy lejos y no me gustaría entrar en
descalificaciones de ningún tipo. Sé que a veces en caliente puedo
escribir cosas un tanto "mordientes" y si ha sido así en este caso, lo
siento.
Tan sólo voy a apuntar un documento adicional, porque sé que a buen
entendedor, pocas palabras bastan:
***
http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
Guide to the Secure Configuration of Red Hat Enterprise Linux 5
Revision 2 / December 20, 2007
Operating Systems Division Unix Team of the Systems and Network
Analysis Center
(...)
No sabemos que más cosas hace redhat al poner esa variable, pero seguro
que no es sólo quitar la ruta (en la suse tienes que parar un par de
daemons, y hacer un cambio en el cortafuegos).
¿Para quitar la ruta del zeroconf de la tabla de rutas? No, sólo tienes
editar una variable o ejecutar un comando.
Quitar la ruta del zeroconf != desactivar el servicio de avahi
Yo he demostrado que al
quitar la ruta los paquetes que haya (por el motivo que sea) van al
gateway, y eso puede ser precisamente lo que se desea, porque el gateway
puede configurarse para detectar esa situación, tirar los paquetes, y
saltar una alarma que avise al administrador (que es probablemente lo que
está pasandole a carlopmart).
¿No hablas en broma? ¿De verdad que estás hablando en serio?
Bueno...
No hace falta que quites la ruta del link-local para hacer tus pruebas.
Cualquier traza que hagas a una ip cuya ruta no tengas en la tabla de
direcciones saldrá por la puerta de enlace que tengas predeterminada.
Por tanto, según tu teoría, todos los equipos son "vulnerables", todas
las configuraciones "pueden crear contratiempos adicionales (sic)",
independientemente de que tengan (o no) la ruta del zeroconf en su tabla.
¿Estás *seguro* de que quieres decir eso?
Mis conocimientos sobre la seguridad de las redes no son tan buenos como
me gustaría, y por eso seguramente se me escapa el motivo por el cual los
IPS le están generando esas alertas. Pero es precisamente por eso por lo
que busco, leo (e intento entender) este tipo de documentación, para
saber si realmente es "necesario" mantener un servicio "x" activado (o,
en este caso, una ruta configurada) y cuáles son sus implicaciones.
Dicho esto, si quieres discutir con alguien sobre la conveniencia o no
de desactivar esa ruta, puedes dirigirte a la NSA.
Si, claro... no seas tan...
Ains...
Ten en cuenta que el apartado remarcado en el 3.3.9.3 habla sólo de como
desactivar el rutado de zeroconf. No dice que eso desactive zeroconf. Es
sólo una de las cosas a hacer:
+-----------------------------------------
| To disable Zeroconf automatic route assignment in the 169.245.0.0
| subnet, add or correct the following line
| in /etc/sysconfig/network:
| NOZEROCONF=yes
+------------------------------------------
Para desactivar la ruta.... etc. No dice: para desactivar zeroconf....
aunque siendo redhat, puede que lo hagan. No lo se.
Caray...
A ver si lo entiendes. La idea principal de este hilo era "cómo
desactivar la ruta del zeroconf", es decir, cómo hacer en openSUSE y
SLES lo que "aconseja" ese manual de seguridad de RedHat.
Aún así (y para más inri), si continúas leyendo ese manual, verás que
también "recomienda" desactivar el servicio del ahavi si no se piensa
utilizar.
***
3.7 Avahi Server
The Avahi daemon implements the DNS Service Discovery and Multicast
DNS protocols, which provide service
and host discovery on a network. It allows a system to automatically
identify resources on the network, such
as printers or web servers. This capability is also known as
mDNSresponder and is a major part of Zeroconf
networking. By default, it is enabled.
3.7.1 Disable Avahi Server if Possible
Because the Avahi daemon service keeps an open network port, it is
subject to network attacks. Disabling it is
particularly important to reduce the system’s vulnerability to such
attacks.
***
En fin, es como si le estuviera hablando a una pared...
Saludos,
--
Camaleón
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |