[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Miguel Budip wrote: > Yo se que es segura una red que se esconde por nat, porque como te > comentaron para internet existe la ip válida pero no la de tu red interna y > además, si está configurado el firewall lo es más segura, ya que ahi le > indicas el tipo de paquetes que permites recibir, además cuentas con el > access-list en el cual le indicas las ips de las máquinas que tengan salida > a internet.Dicen los expertos que no solo hay que protegerse de lo que pueda > suceder desde internet, hay que protegerse también de la información que > puedan sacar a internet la gente que está en tu red interna, el access-list > te permite hacer esto. Así es, pero además, normalmente sucede lo que algunos le llaman el "efecto huevo", usualmente se cuida mucho el perímetro de la red, pero una vez adentro, prácticamente tienes acceso a todo (como un huevo, duro por fuera y blando por dentro). Además, es muy fácil establecer un túnel para burlar al firewall, por ejemplo sobre http (que normalmente no es bloqueado, a lo mucho se filtra... Aquí realmente la red está segura en tanto el firewall esté seguro. > Pero si lo que quieres es la máxima protección existen equipos específicos > para esto, como el pix firewall, tambien funciona el sentry, lo digo porque > los he visto funcionar(no he configurado ni el pix, ni el sentry, nose ni > como, jejej). Realmente la única ventaja comprobada entre un firewall circuitado en hardware es que es más rápido que los firewalls por software, aunque normalmente los de software son más flexibles. Además hay 3 tipos: a) packet filter - son reglas que filtran en base a IP, puerto, etc..., muchos vienen implementados en hardware (p.e. routers) b) circuit gateway - filtran en base a contenido, abren los paquetes y buscan patrones, generalmente se implementan sobre un servidor proxy. c) application gateway - filtran por patrones pero son específicos de cada aplicación, por ejemplo hay un AG para FTP, uno para telnet, etc... porque además identifican funcionalidad (comandos). Se supone que es lo más recomendable, pero también es lo más lento y complejo de configurar; también se suelen implementar sobre servidores proxy. > > Pero como dice uno de mis maestros de la facultad (y creo tiene razón), si > alguien quiere hackear tu red, lo va a lograr, el chiste es que el beneficio > que saque sea menor al esfuerzo realizado. Así es, el problema con los hackers (los verdaderos) es que: a) tienen todo el tiempo del mundo (son pacientes) b) son estudiosos, curiosos e ingeniosos (eso le falta a muchos administradores de seguridad, sobre todo estudiar, a muchos les da flojera revisar listas de nuevas vulnerabilidades y nuevas tecnologías, por eso les dan la vuelta de repente) c) tienen movilidad, un día pueden atacar de un lugar y otro día desde un sitio distinto, en cambio, la víctima es un blanco estático. Por cierto, hay un sitio con bastante información de seguridad para linux y tienen un área de firewalls (no está muy completa pero tiene bastante): http://www.linuxsecurity.com/resources/firewalls-1.html Saludos Omar Herrera ------------------------ Consultoría en Seguridad Informática INSYS S.A. de C.V. (www.insys-corp.com.mx) omarh en insys-corp com mx --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://pepe.net.mx/reglas.html