On Wed, 2011-05-18 at 09:03 -0400, Adrian Martinez Perez wrote: > Salu2 comunidad > por estos dias me estuvieron tirando una revision desde el exterior y me > encontraron lo siguiente > puerto 80 abierto por la lan >
Últimamente estoy viendo que se ha vuelto una costumbre resolver con el firewall los problemas de configuración de los servicios. Me explico: Si usted solamente necesita dar servicio http por la LAN.... ¿Por qué no lo define así en la configuración de Apache, que lo permite perfectamente? Si usted solamente necesita que su Squid escuche a los usuarios de su LAN... ¿Por qué no usa el comando que tiene squid permitido en sus configuraciones para definir por qué interfaz de red escuchar? Un firewall, contrario a lo que piensan los administradores de red formados en otros sistemas operativos no-UNIX-like, no es la solución mágica a todos los problemas del server. En Linux existen comandos para saber qué aplicación tiene ese puerto abierto, y para qué lo utiliza. Es tarea del administrador de red detener -o desintalar- esos servicios que no se utilizan y que están corriendo "por default". El firewall no se puede convertir en la alfombra debajo de la cual se mete la basura... El firewall tiene una función, a *su nivel* en la pila de protocolos TCP/IP. Los problemas de capa de aplicación lo deben resolver las aplicaciones. Por otra parte, si trabajan en los servidores solamente como root y con interfaz gráfica -como me consta que se hace en algunos servidores de Joven Club- lo primero que haría un atacante con un script malicioso sería: iptables --flush y adiós firewall... Dios los libre de lo que sucedería después, con los servicios mal configurados y todo el poder de root... :( Saludos fraternales, nat PD: Inexplicablemente, esas inspecciones *no* detectan como deficiencia que se trabaje como root y con interfaz gráfica en un servidor, a pesar que GNOME se queja cada vez que se inicia sesión... ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
