Re: Opinión sobre mi seguridad
El mar, 11-11-2008 a las 16:50 +0100, Manuel Gomez escribió:
> Jaime Robles escribió:
>
> >
> >>>> - Rechazar TODA conexión entrante y saliente como política por defecto
> >>>> de red local, internet, y de hacia el firewall (es decir, TODO).
> >>>>
> >>> Por lo general eso es un buen primer paso.
> >>>
> > Apoyo el comentario.
> > Es una buena idea... la típica regla al final de tirar (drop, que no
> > reject) todo el tráfico que no ha sido previamente aceptado.
> >
> >
> >>>> - Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
> >>>>
> > Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
> >
> >
> >
> >> aceptar http
> >>
> >>>> sólo para los servidores que yo incluyo (www.google.es, etc....),
> >>>> aceptar https del mismo modo.
> >>>>
> > ¿Para qué quieres https a www.google.es?
> >
> > ¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
> > ¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
> > necesites acceder a la información?
> >
> > ¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
> > TEMPEST? [2] :-P
> >
> >
> >
> >
> >>>> Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
> >>>> seguridad?
> >>>>
> >
> > Creo que estás enfocando las cosas mal...
> > Las cosas se hacen al revés...
> >
> > 1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
> > (http://twitter.com/itsec/status/994960487)
> > 2.- Defines las medidas de seguridad para proteger lo que tienes.
> >
> > 3.- El coste de las medidas de seguridad (no poder usar tu ordenador
> > tranquilamente, no poder navegar por donde te de la gana, tener que
> > cambiar de ordenador en función de los datos a los que quieres acceder,
> > ...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
> > más que la información a proteger... pero claro, depende del caso en
> > concreto claro.
> >
> >
> > Por lo que me ha parecido leer en tu mensaje se trata de tus datos
> > personales y demás... así que creo que te estás pasando un poco. :-P y
> > además estás poniendo unas medidas "extrañas"... porque si usas la máquina
> > con linux de forma habitual, tendrás que estar dando de alta cada día más
> > máquinas en el firewall... simplemente para navegar por lo que en unos
> > días será inmanejable... y eso también tiene implicaciones en la seguridad
> > de tu máquina.
> >
> > Mi consejo:
> > Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
> > si te da por la paranoia porque no quieres que alguien de tu casa te
> > husmee o que si se pierde el disco alguien pueda acceder a tus datos los
> > cifras (GPG, truecrypt, ...).
> > El disco lo metes en un cajón y punto final.
> >
> > Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
> > requetebien cifrados... con una buena clave, un algoritmo en condiciones y
> > los subes a algún sitio en Internet de confianza... si la "clasificación"
> > de los datos lo permite, claro ;-)
> >
> > Esa es la mejor forma para que nadie acceda desde Inet a tus datos.
> >
> > Además mantén actualizados los parches de tu máquina, no navegues por
> > sitios "raros", no instales cosas sin pensar, no dejes servicios que no
> > necesites levantados, ... vamos, sentido común :-)
> >
> > El sentido común... es un buen aliado de la seguridad.
> >
> >
> > [1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
> > "envenenar" las cachés de los DNS que tienes configurados y te van a
> > redirigir el tráfico al infierno o a algún sitio peor? ;-)
> > [2] http://es.wikipedia.org/wiki/TEMPEST
> >
> >
> Bueno, te voy a comentar mi caso particular, sobre las medidas de
> seguridad y sobre qué es lo que quiero proteger:
>
> En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
> la misma pantalla y teclado, y sólo tengo que darle a un botón para
> cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
> de espera).
>
> Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
> esos datos mediante Internet. Es decir, en algún sitio lo tendré que
> meter del disco duro mientras que estoy conectado, y de poco me sirve
> tenerlo en un USB no conecado ya que los necesito para tener abiertos
> casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45
> (que lo tengo justo a la derecha de la pantalla) desenchufado para echar
> un ojo a todos los datos y sacar lo que tengo que sacar sin temores.
>
> Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
> incluso con todas las restricciones que he puesto? Que podría acceder a
> mis datos cómodamente sin que yo lo supiese.
>
> Para ello he pensado en:
>
> Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
> estable o la última versión); Política DROP por defecto, con macros para
> mis conexiones DNS y http/s.
>
> Hardening: Bastille (básico), SELinux en política "strict" y
> "enforcing", harden (no sirve de mucho pero algo hace), Openwall,
> analizadores de rootkits.
>
> IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
> demasiado inexperto todavía modificando reglas (si resuelvo un
> problemilla que tengo con mysql), ippl, psad.
>
> Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
> supongo que tarde o temprano tendré que decantarme por uno.
>
> Analizador de logs: logcheck.
>
> Analizador de paquetes: Wireshark.
>
> Lo reconozco, no sólo quiero seguridad, es que el tema también me
> interesa bastante, por eso estoy constantemente buscando nueva información.
>
> En un futuro bastante próximo: Herramientas de cifrado, herramientas
> varias (las que vaya descubriendo).
>
> ¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
> archivo y configurar una excepción para poder abrirlo con según que
> programa?
>
> Saludos y muchísimas gracias por responder.
>
>
Te voy a responder con una alegoría.
Soy un cliente potencial, que busco lugar de hospedaje de información
ultra-valiosa a la que quiero acceder de forma remota.
Empresa A) Me monta: iptables + shorewall + AIDE + snort + wireshark +
cifrado + hardening + logcheck. Ahí accedo yo a mi información.
Empresa B) Me monta: OpenVPN con certificado.
Me quedo con la B mil veces antes que con la A.
La seguridad de un sistema no se mide por el pesaje del software
instalado en el, es mucho más fiable uno bien diseñado y de forma
eficiente (que suele ser lo más dificil).
Un Saludo.
P.D: No hagas crossposting please == copiar a más listas de correo en el
mismo mensaje. Ni hace falta que pongas en copia al que mandó ... tan
solo contesta a la lista ;)
Reply to: