Re: Sobre seguridad en una red
El Jueves, 17 de Noviembre de 2005 15:01, Felix Perez escribió:
|| Hola amigos, tengo un par de sevidores con samba, ftp (solo lo uso yo),
|| apache2 (para una intranet) y probablemente a futuro postfix, ambos con
|| sarge y sin planes de pasarme a unstable o testing (acostumbro siempre a
|| trabajar con stable) y quisiera preguntarles que debo tener en cuenta en
|| cuanto a temas de seguridad:
|| que leer?
Manuales de apache, postfix, samba, etc, (sobre todo su sección de seguridad).
También manuales de seguridad de redes con Linux.
|| temas a considerar?
Pues un servidor FTP y "seguridad" son cosas incompatibles. Cuando el usuario
se conecta a un servidor FTP (sea el que sea), los datos de usuario y
contraseña van en texto claro por la red, cualquier sniffer te lo descubre
enseguida.
¿Alternativa a FTP? Pues es más difícil de lo que parece:
- SFTP, pero no es tan sencillo pues para hacerlo bien tienes que andar
haciendo chroots para los usuarios que vayn a usar SFTP (para que no entren
en el servidor por SSH y hagan lo que quieran). O sea, SFTP en realidad es
parte de SSH (telnet seguro) y sus usuarios son usuarios de sistema, por lo
que no es tan bonito como un FTP con usuarios virtuales, anónimos,
privados...
Además, necesitas un cliente SFTP para Windows (WinSCP es muy bueno) porque
por defecto evidentemente no trae ninguno.
- VPN con IPsec en modo túnel usando ESP (paquetes IP encriptados y
tunelizados). Pero esto es útil para unir dos delegaciones, y además
desconozco si se puede usar desde un cliente Windows sin hacer peripecias
(aunque se supone que IPsec es un estándar). Vamos, que VPN no es para dar
servicio a cualquiera. Una vez conectado por VPN el usuario remoto entraría
en la red local con normalidad (acceso a Samba, etc).
- PPTP: Similar a IPsec pero más pensado para conectar ordenadores sueltos a
una red interna. Problema: los clientes Windows lo usan con encriptación MPPE
de Microsoft, si quieres montar un servidor Debian con ese servicio te toca
parchear el kernel con mppe y recompilar. Qué jaleo.
Y no se me ocurre más, la verdad es que que yo sepa no hay ninguna forma
sencilla y segura a la vez para conectarse remotamente desde un Windows a un
Linux (o a un Windows) y transmitir ficheros. Si alguien me puede corregir yo
encantado.
|| precauciones?
Todas.
- En samba asegúrate de no permitir el acceso desde Internet, sólo desde la
red local.
- En postfix no permitas relay desde redes externas sin usar autenticación en
Postfix (para que nadie use tu SMTP para mandar spam).
--
que a mí ni me va ni me viene... pero por comentar...
Reply to: