Carlos E. R. wrote:
La openSuSE y la SLES (están en el mismo segmento de red), ya que ambas exponen una nueva ruta de red fuera de su segmento de configuracion. Por consiguiente, tanto firewalls como IPS detectan spoofing ...
Eso no lo tengo claro. ¿Spoofing? ¿Desde las máquinas con suse?
No, las SuSE insertan la ruta de zeroconf por lo tanto enviarán (y escucharán) un broadcast de vez en cuando. Ese broadcast es detectado por IPS y firewalls y como esa ruta no pertenece a ningún rango "controlado" por ellos y les está entrando por un direccionamiento legal, generan alertas de spoofing.
Ya, eso explicaselo tu a los IPS y a los operadores que los gestionan (que no administran).
No, es que el error sería de tu red, por tener ordenadores que no tengan IP propia y busquen una IP mediante zeroconf. Y si los paquetes se envían al gateway, pienso que es precisamente por haber borrado la ruta: o sea, culpa tuya al intentar corregir el problema :-P
Y sigo sin ver que problema supone eso para el gateway. Son direcciones legales, de la intranet. Lo único que tienen que hacer es descartarlas. Y estoy casi seguro que tu router de acceso a internet descarta esas direcciones sin quejarse.
No veo de qué se quejan los administradores de esos routers.
Pero es que no es un error de mi red. TODOS los servers tienen asignado IP fija, no tienen que buscar ninguna IP, por lo tanto no deben ni pueden enviar paquetes a los gateways con esa segmentación de zeroconf .. ¿quien ha hablado aquí de routers??
Yo no necesito que envien ningun, y cuando ningun paquete digo ninguno, ni un triste echo-request, sencillamente porque no lo van a necesitar nunca para nada. Para eso tienen todo el hierro redundado .. Aka: me parece muy bien que lo pongan en openSuSE pero en la SLES es un gazapo de mucho bulto ... ¿Pero es que creen que el 100% de usuarios de SLES vienen de Windows (o peor aún de las Netware :)) o qué??
Sigo sin entender el problema.
No en este caso. Estos servers solo publican un acceso ssh, cuando en realidad ofrecen más servicios (no públicos) como http, tomcat, mysql ... No te serviaría de nada lanzar un escaner porque la unica respuesta que recibirias es un ssh ...
Pues entonces no tienes que preocuparte de nada.
Si me tengo que preocupar. A mí generan una incidencia cada vez que hay un registro en los firewalls e IPS.
Espera, si dices que ofrecen otros servicios, un nmap los descubre.
No. Un nmap no puede descubrir nada. Por una sencilla razón: hasta que un usuario no se autentica, no vé el resto de servicios y además solo verá los servicios para los que a su perfil se le da acceso.
Públicos o privados, los descubre, si están en la red.
No. Hay varias formas por las cuales un nmap no consigue información de una red: ocultándosela, despistándole con cosas que no existen, etc. El nmap es efectivo si tiene al alcance los servicios, si no es nulo completamente como es este caso. Solo existe el riesgo que se desborde al servicio de ssh, y si lo hacen al estar el ssh configurado como chroot tampoco conseguirán gran cosa.
Pero si no quieres que atiendan peticiones zeroconf ni te den problemas, pues tienes que cerrar todos los puertos con el cortafuegos del servidor, incluido los broadcast de zeroconf entrantes. El resto no te va a servir de nada.
Se supone que estamos hablando de una intranet, claro.
Estamos hablando de una intranet, correcto. Pero una intranet un tanto peculiar. Aquí el tema es que se está hablando de un componente que un administrador decide si se activa o no, y no Novell o los desarrolladores de openSuSE deben tomar esa decisión. Es como lo que hablásteis hace días del ssh en la instalación y que comenté en otro email.
- -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux)
iEYEARECAAYFAkquwI0ACgkQtTMYHG2NR9VviQCglHD92VO5Rpy5wG4xbtDg3kY1 NkkAniE06pk+ZNEjI7e72l4GbAIcg0eR =L4ri -----END PGP SIGNATURE-----
-- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org