Hola :) El Lunes, 8 de Mayo de 2006 16:59, Victor Hugo dos Santos escribió:
2006/5/8, Rafa Grim�n <rgriman@sgi.com>:
Hola :)
[...]
Comprend� el ejemplo, pero hay que tener en cuenta otras cosas tambi�n: - se supone que el servidor (web, dns, correo, ...) estar� tras un cortafuegos
y ??? estar detras de uno (o varios) cortafuegos no le ayudara de nada en este ejemplo.. ya que por ejemplo, deberas de tener el puerto 80,53 y 25 respectivamente abiertos para que los clientes reales /y el exploit) puedan aceder a vuestro server !!
- el cortafuegos estar� bien configurado s�lo con determinados puertos abiertos, ...
idem a la anterior.
- el servidor tambi�n est� bien configurado: ssh, usuarios, servicios necesarios, hosts.allow, ...
mmm... mmm.. y mmm otra vez... tampoco veo mucha razon en esto.. dependendo del tipo de exploit, las ACLs que tengas no iran adelantar de mucho.
- hay una copia del servidor en cuesti�n (aunque sea en un CD)
por supuesto que esto es util.. pero mismo asi tendras vuestro servidor comprometido, debido a que no instalaste el parche y deberas de reinstalar y recuperar el respaldo.
- o bien hay turno de noche o bien tengo acceso desde el exterior para administrar el sistema
si.. esto deberia de ser el correcto... tener un equipo de soporte 24x7 y que cuando tengas una actualizacion critica, te envie un messaje a vuestro celular en el sabado por la madrugada informando que debes de conectar al servidor para leer la documentacion y instalar un parche !!! pero como el muchacho de turno esta mas "borracho" (con la cana = bebio mucho alchool) ya pueden imaginar el resultado !!! ;-)
Si tenemos en cuenta los dos �ltimos puntos: - si alguien ataca, tengo una copia exacta del servidor por si alguien entra ... la restauro.
personalmente... prefiro tener un servidor web (por ejemplo) fuera de funcionamento por un parche malo instalado/no provado que un servidor que muestre la mensaje "Hacking for Chinenses" (o como sea que se escriba)
Lo que digo es que existe el riesgo de parchear un servidor y que deje de funcionar, luego tienes un dilema: - si parcheo y se cae la máquina por incompatibilidad con otro SW, ¿qué pasa? - si no parcheo, ¿qué posibilidad existe de que entren en mi sistema? Y ¿qué pasa si entran? Lo que digo es que cada uno debe tener mucho cuidado al actualizar, que actualizar sin leer la documentación no es bueno. No obligo a nadie ni intento convencer a nadie, sólo aconsejo tener cuidado ;) En el correo anterior ponía un ejemplo real de lo que puede pasar. En el ejemplo que puse, casi despiden a muchas personas. También digo que estoy de acuerdo en lo que respondes respecto a lo que yo comentaba del cortafuegos, por eso, en el correo anterior, escribí esto: "De todas maneras, repito lo que he comentado en correos anteriores: la seguridad informática (parches, antivirus, cortafuegos, NIDS, IDS, firmas electrónicas, cifrados de XXXXXXXX bits, ...) nos dan una seguridad "falsa" ("cómoda") puesto que la ingeniería social (inversa o no) nos pueden reventar el sistema más protegido (CIA, FBI, banca, ...). No debemos caer en la "comodidad" de pensar: "Tengo el último parche, el cortafuegos XXXX, ..." si luego resulta que tenemos, por ejemplo, un Help Desk ;)" Rafa -- "Even paranoids have enemies." Rafa Grimán Systems Engineer Silicon Graphics Spain Santa Engracia, 120 - Planta Baja 28003 Madrid Spain Tel: +34 91 3984200 Tel: +34 91 3984201 Móvil: +34 628 117 940 http://www.sgi.com OpenWengo: rgriman Skype: rgriman -- 50% of all statistics are inaccurate. OpenWengo: rgriman