[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sobre seguridad en una red

El Jueves, 17 de Noviembre de 2005 15:01, Felix Perez escribió:
|| Hola amigos, tengo un par de sevidores con samba, ftp (solo lo uso yo),
|| apache2 (para una intranet) y probablemente a futuro postfix, ambos con
|| sarge y sin planes de pasarme a unstable o testing (acostumbro siempre a
|| trabajar con stable) y quisiera preguntarles que debo tener en cuenta en
|| cuanto a temas de seguridad:

|| que leer?
Manuales de apache, postfix, samba, etc, (sobre todo su sección de seguridad).
También manuales de seguridad de redes con Linux.

|| temas a considerar?
Pues un servidor FTP y "seguridad" son cosas incompatibles. Cuando el usuario 
se conecta a un servidor FTP (sea el que sea), los datos de usuario y 
contraseña van en texto claro por la red, cualquier sniffer te lo descubre 
enseguida.


¿Alternativa a FTP? Pues es más difícil de lo que parece:

- SFTP, pero no es tan sencillo pues para hacerlo bien tienes que andar 
haciendo chroots para los usuarios que vayn a usar SFTP (para que no entren 
en el servidor por SSH y hagan lo que quieran). O sea, SFTP en realidad es 
parte de SSH (telnet seguro) y sus usuarios son usuarios de sistema, por lo 
que no es tan bonito como un FTP con usuarios virtuales, anónimos, 
privados...
Además, necesitas un cliente SFTP para Windows (WinSCP es muy bueno) porque 
por defecto evidentemente no trae ninguno.

- VPN con IPsec en modo túnel usando ESP (paquetes IP encriptados y 
tunelizados). Pero esto es útil para unir dos delegaciones, y además 
desconozco si se puede usar desde un cliente Windows sin hacer peripecias 
(aunque se supone que IPsec es un estándar). Vamos, que VPN no es para dar 
servicio a cualquiera. Una vez conectado por VPN el usuario remoto entraría 
en la red local con normalidad (acceso a Samba, etc).

- PPTP: Similar a IPsec pero más pensado para conectar ordenadores sueltos a 
una red interna. Problema: los clientes Windows lo usan con encriptación MPPE 
de Microsoft, si quieres montar un servidor Debian con ese servicio te toca 
parchear el kernel con mppe y recompilar. Qué jaleo.

Y no se me ocurre más, la verdad es que que yo sepa no hay ninguna forma 
sencilla y segura a la vez para conectarse remotamente desde un Windows a un 
Linux (o a un Windows) y transmitir ficheros. Si alguien me puede corregir yo 
encantado.


|| precauciones?
Todas.

- En samba asegúrate de no permitir el acceso desde Internet, sólo desde la 
red local.
- En postfix no permitas relay desde redes externas sin usar autenticación en 
Postfix (para que nadie use tu SMTP para mandar spam).

-- 
que a mí ni me va ni me viene... pero por comentar...
Reply to: