Re: [OFF-TOPIC] Mini ITX para firewall Debian, Pfsense o routerOS
El Sun, 16 Feb 2014 16:02:20 -0200, Luis Eduardo Cortes escribió:
> El día 16 de febrero de 2014, 14:37, Camaleón <noelamac@gmail.com>
> escribió:
>> El Sun, 16 Feb 2014 12:45:58 -0200, Luis Eduardo Cortes escribió:
>>
>>>> Prefiero hacerlo un poquito real y usar 2 tarjetas de red minimo.
>>>
>>> ¿Le encuentras algún problema técnico o de seguridad? ¿o es que te
>>> sientes más seguro viendo los cables conectados?
>>
>> (...)
>>
>> ¡Obviamente lo hay!
>>
>> Una interfaz de red virtual (o una vlan) basa su seguridad en el
>> software que lo gestiona que puede ser vulnerable a bugs o errores del
>> firmware, etc, por lo que si existe una ruta física (esos "cables
>> conectados" de los que hablas) que permita la conexión a un equipo se
>> puede explotar de manera remota.
>
>
> El ataque de "VLAN hopping" puede ser mitigado tomando ciertas
> precauciones en la configuración del o los switches, además,
> obviamente depende también de la calidad de los mismos:
>
> http://en.wikipedia.org/wiki/VLAN_hopping
No me refería a una vulnerabilidad en concreto. El firmware de un
enrutador puede tener un bug y se podría aprovechar ese fallo para
acceder a cualquiera de las redes internas que se tengan definidas por
software. No hay un único vector de ataque, desgraciadamente.
> Es como toda decisión de tecnología (y otras), hay que sopesar riesgos y
> beneficios.
Por eso mismo considero que merece la pena separar físicamente las redes,
siempre te dará más juego: podrás usarlas por separado, generar otras
virtuales, unirlas...
Saludos,
--
Camaleón
Reply to: