El 2009-09-17 a las 20:41 +0200, Carlos E. R. escribió:
El 2009-09-17 a las 10:41 +0200, Camaleón escribió:
Mira que eres incrédula... Observa - trato de enviar paquetes a una IP del rango link-local cualquiera (inexistente):
Espero sinceramente, Carlos, que todo esto se trate de una mera broma o de una simple "cabezonería" tuya por no ser capaz de reconocer -sencillamente- que estás en un error.
¿Broma? ¿De que vas?
Si eso es lo que piensas, entonces yo creo sinceramente que la cabezonería es vuestra por no reconocer vuestro error.
Juvar, bien empezamos en día.
Y también espero que seas capaz de entender lo que escribo, porque a veces pienso que no, que simplememte interpretas lo que quieres y lo utilizas como arma arrojadiza con el único fin de intentar argumentar tu postura "a toda costa".
Y yo espero que seas capaz de entender lo que escribo, porque... etc.
Después de tanto tiempo que nos conocemos deberías darme un poco de crédito y pensar que si digo algo tendré motivos... :-/
Aún estoy esperando a que digas "esos motivos" de manera clara y concisa, y si están sustentados en algún documento, mejor. Porque apreciaciones personales tenemos todos y pueden ser apreciaciones equivovadas.
(...)
¿Ves como se va al gateway o ruta por defecto, al quitar la ruta del link-local?
Obviamente, no me refería a eso.
¿No? Pues yo si.
Y lo he demostrado: al quitar la ruta link-local, los paquetes van al gateway. Lo llevo diciendo hace nosecuantos mensajes. No se que rayos entenderás tú...
Haz tú otras pruebas y me las muestras. Yo no hago más, porque no puedo hacerlas: no tengo tres ordenadores, tú sí.
¿Sigues hablando en broma, no? ¿O acaso es que no has entendido lo que decía?
Y yo digo que creará contratiempos adicionales. A las pruebas de mi traceroute me remito.
Creo que el hilo ya ha llegado muy lejos y no me gustaría entrar en descalificaciones de ningún tipo. Sé que a veces en caliente puedo escribir cosas un tanto "mordientes" y si ha sido así en este caso, lo siento.
Tan sólo voy a apuntar un documento adicional, porque sé que a buen entendedor, pocas palabras bastan:
*** http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf
Guide to the Secure Configuration of Red Hat Enterprise Linux 5 Revision 2 / December 20, 2007
Operating Systems Division Unix Team of the Systems and Network Analysis Center
(...)
No sabemos que más cosas hace redhat al poner esa variable, pero seguro que no es sólo quitar la ruta (en la suse tienes que parar un par de daemons, y hacer un cambio en el cortafuegos).
¿Para quitar la ruta del zeroconf de la tabla de rutas? No, sólo tienes editar una variable o ejecutar un comando. Quitar la ruta del zeroconf != desactivar el servicio de avahi
Yo he demostrado que al quitar la ruta los paquetes que haya (por el motivo que sea) van al gateway, y eso puede ser precisamente lo que se desea, porque el gateway puede configurarse para detectar esa situación, tirar los paquetes, y saltar una alarma que avise al administrador (que es probablemente lo que está pasandole a carlopmart).
¿No hablas en broma? ¿De verdad que estás hablando en serio? Bueno... No hace falta que quites la ruta del link-local para hacer tus pruebas. Cualquier traza que hagas a una ip cuya ruta no tengas en la tabla de direcciones saldrá por la puerta de enlace que tengas predeterminada. Por tanto, según tu teoría, todos los equipos son "vulnerables", todas las configuraciones "pueden crear contratiempos adicionales (sic)", independientemente de que tengan (o no) la ruta del zeroconf en su tabla. ¿Estás *seguro* de que quieres decir eso?
Mis conocimientos sobre la seguridad de las redes no son tan buenos como me gustaría, y por eso seguramente se me escapa el motivo por el cual los IPS le están generando esas alertas. Pero es precisamente por eso por lo que busco, leo (e intento entender) este tipo de documentación, para saber si realmente es "necesario" mantener un servicio "x" activado (o, en este caso, una ruta configurada) y cuáles son sus implicaciones.
Dicho esto, si quieres discutir con alguien sobre la conveniencia o no de desactivar esa ruta, puedes dirigirte a la NSA.
Si, claro... no seas tan...
Ains...
Ten en cuenta que el apartado remarcado en el 3.3.9.3 habla sólo de como desactivar el rutado de zeroconf. No dice que eso desactive zeroconf. Es sólo una de las cosas a hacer:
+----------------------------------------- | To disable Zeroconf automatic route assignment in the 169.245.0.0 | subnet, add or correct the following line | in /etc/sysconfig/network: | NOZEROCONF=yes +------------------------------------------
Para desactivar la ruta.... etc. No dice: para desactivar zeroconf.... aunque siendo redhat, puede que lo hagan. No lo se.
Caray... A ver si lo entiendes. La idea principal de este hilo era "cómo desactivar la ruta del zeroconf", es decir, cómo hacer en openSUSE y SLES lo que "aconseja" ese manual de seguridad de RedHat. Aún así (y para más inri), si continúas leyendo ese manual, verás que también "recomienda" desactivar el servicio del ahavi si no se piensa utilizar. *** 3.7 Avahi Server The Avahi daemon implements the DNS Service Discovery and Multicast DNS protocols, which provide service and host discovery on a network. It allows a system to automatically identify resources on the network, such as printers or web servers. This capability is also known as mDNSresponder and is a major part of Zeroconf networking. By default, it is enabled. 3.7.1 Disable Avahi Server if Possible Because the Avahi daemon service keeps an open network port, it is subject to network attacks. Disabling it is particularly important to reduce the system’s vulnerability to such attacks. *** En fin, es como si le estuviera hablando a una pared... Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org