Re: Opinión sobre mi seguridad
El mar, 11-11-2008 a las 21:00 +0100, Manuel Gomez escribió:
> Jose Luis Gómez escribió:
>
> > El mar, 11-11-2008 a las 16:50 +0100, Manuel Gomez escribió:
> >
> >> Jaime Robles escribió:
> >>
> >>
> >>>
> >>>
> >>>>>> - Rechazar TODA conexión entrante y saliente como política por defecto
> >>>>>> de red local, internet, y de hacia el firewall (es decir, TODO).
> >>>>>>
> >>>>>>
> >>>>> Por lo general eso es un buen primer paso.
> >>>>>
> >>>>>
> >>> Apoyo el comentario.
> >>> Es una buena idea... la típica regla al final de tirar (drop, que no
> >>> reject) todo el tráfico que no ha sido previamente aceptado.
> >>>
> >>>
> >>>
> >>>>>> - Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
> >>>>>>
> >>>>>>
> >>> Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
> >>>
> >>>
> >>>
> >>>
> >>>> aceptar http
> >>>>
> >>>>
> >>>>>> sólo para los servidores que yo incluyo (www.google.es, etc....),
> >>>>>> aceptar https del mismo modo.
> >>>>>>
> >>>>>>
> >>> ¿Para qué quieres https a www.google.es?
> >>>
> >>> ¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
> >>> ¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
> >>> necesites acceder a la información?
> >>>
> >>> ¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
> >>> TEMPEST? [2] :-P
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>>>> Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
> >>>>>> seguridad?
> >>>>>>
> >>>>>>
> >>> Creo que estás enfocando las cosas mal...
> >>> Las cosas se hacen al revés...
> >>>
> >>> 1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
> >>> (http://twitter.com/itsec/status/994960487)
> >>> 2.- Defines las medidas de seguridad para proteger lo que tienes.
> >>>
> >>> 3.- El coste de las medidas de seguridad (no poder usar tu ordenador
> >>> tranquilamente, no poder navegar por donde te de la gana, tener que
> >>> cambiar de ordenador en función de los datos a los que quieres acceder,
> >>> ...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
> >>> más que la información a proteger... pero claro, depende del caso en
> >>> concreto claro.
> >>>
> >>>
> >>> Por lo que me ha parecido leer en tu mensaje se trata de tus datos
> >>> personales y demás... así que creo que te estás pasando un poco. :-P y
> >>> además estás poniendo unas medidas "extrañas"... porque si usas la máquina
> >>> con linux de forma habitual, tendrás que estar dando de alta cada día más
> >>> máquinas en el firewall... simplemente para navegar por lo que en unos
> >>> días será inmanejable... y eso también tiene implicaciones en la seguridad
> >>> de tu máquina.
> >>>
> >>> Mi consejo:
> >>> Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
> >>> si te da por la paranoia porque no quieres que alguien de tu casa te
> >>> husmee o que si se pierde el disco alguien pueda acceder a tus datos los
> >>> cifras (GPG, truecrypt, ...).
> >>> El disco lo metes en un cajón y punto final.
> >>>
> >>> Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
> >>> requetebien cifrados... con una buena clave, un algoritmo en condiciones y
> >>> los subes a algún sitio en Internet de confianza... si la "clasificación"
> >>> de los datos lo permite, claro ;-)
> >>>
> >>> Esa es la mejor forma para que nadie acceda desde Inet a tus datos.
> >>>
> >>> Además mantén actualizados los parches de tu máquina, no navegues por
> >>> sitios "raros", no instales cosas sin pensar, no dejes servicios que no
> >>> necesites levantados, ... vamos, sentido común :-)
> >>>
> >>> El sentido común... es un buen aliado de la seguridad.
> >>>
> >>>
> >>> [1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
> >>> "envenenar" las cachés de los DNS que tienes configurados y te van a
> >>> redirigir el tráfico al infierno o a algún sitio peor? ;-)
> >>> [2] http://es.wikipedia.org/wiki/TEMPEST
> >>>
> >>>
> >>>
> >> Bueno, te voy a comentar mi caso particular, sobre las medidas de
> >> seguridad y sobre qué es lo que quiero proteger:
> >>
> >> En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
> >> la misma pantalla y teclado, y sólo tengo que darle a un botón para
> >> cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
> >> de espera).
> >>
> >> Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
> >> esos datos mediante Internet. Es decir, en algún sitio lo tendré que
> >> meter del disco duro mientras que estoy conectado, y de poco me sirve
> >> tenerlo en un USB no conecado ya que los necesito para tener abiertos
> >> casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45
> >> (que lo tengo justo a la derecha de la pantalla) desenchufado para echar
> >> un ojo a todos los datos y sacar lo que tengo que sacar sin temores.
> >>
> >> Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
> >> incluso con todas las restricciones que he puesto? Que podría acceder a
> >> mis datos cómodamente sin que yo lo supiese.
> >>
> >> Para ello he pensado en:
> >>
> >> Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
> >> estable o la última versión); Política DROP por defecto, con macros para
> >> mis conexiones DNS y http/s.
> >>
> >> Hardening: Bastille (básico), SELinux en política "strict" y
> >> "enforcing", harden (no sirve de mucho pero algo hace), Openwall,
> >> analizadores de rootkits.
> >>
> >> IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
> >> demasiado inexperto todavía modificando reglas (si resuelvo un
> >> problemilla que tengo con mysql), ippl, psad.
> >>
> >> Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
> >> supongo que tarde o temprano tendré que decantarme por uno.
> >>
> >> Analizador de logs: logcheck.
> >>
> >> Analizador de paquetes: Wireshark.
> >>
> >> Lo reconozco, no sólo quiero seguridad, es que el tema también me
> >> interesa bastante, por eso estoy constantemente buscando nueva información.
> >>
> >> En un futuro bastante próximo: Herramientas de cifrado, herramientas
> >> varias (las que vaya descubriendo).
> >>
> >> ¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
> >> archivo y configurar una excepción para poder abrirlo con según que
> >> programa?
> >>
> >> Saludos y muchísimas gracias por responder.
> >>
> >>
> >>
> > Te voy a responder con una alegoría.
> >
> > Soy un cliente potencial, que busco lugar de hospedaje de información
> > ultra-valiosa a la que quiero acceder de forma remota.
> >
> > Empresa A) Me monta: iptables + shorewall + AIDE + snort + wireshark +
> > cifrado + hardening + logcheck. Ahí accedo yo a mi información.
> >
> > Empresa B) Me monta: OpenVPN con certificado.
> >
> > Me quedo con la B mil veces antes que con la A.
> >
> > La seguridad de un sistema no se mide por el pesaje del software
> > instalado en el, es mucho más fiable uno bien diseñado y de forma
> > eficiente (que suele ser lo más dificil).
> >
> > Un Saludo.
> >
> > P.D: No hagas crossposting please == copiar a más listas de correo en el
> > mismo mensaje. Ni hace falta que pongas en copia al que mandó ... tan
> > solo contesta a la lista ;)
> >
> >
> >
> Buenas, sobre la opción de OpneVPN, ¿me podrías informar un poco más,
> ¿por favor? ¿Me podría servir a mí como herramientas?
>
> Muchísimas gracias por responder.
Claro que te podría servir, únicamente tendrías publicado el puerto del
VPN (el cual si que podrias restringir el acceso, permitiendo la
conectividad solo a determinadas IPs) ... te conectas, te asigna a un
pool de IPs de tu LAN y a disfrutar de los servicios que tengas en la
intranet.
Respecto a la conexión entre tú y el VPN, se realiza con un tuneleo
cifrado siguendo los estándares SSL/TLS, muy seguro.
Tienes varios métodos de validación ... validación local en la máquina
que ofrezca el VPN, contra un LDAP, por certificado ... es un mundillo.
Googlea algo sobre esto, que es muy interesante y util.
Un Saludo.
Reply to: