ASEGURANDO UNA MAQUINA: (0.03)
	Bases de la seguridad (opinión personal)


"Si te preparas para el peor caso posible, nunca te pillaran desprevenido..."


Estos consejos son para un cortafuegos de uso personal o para una intranet,
pero son válidos para todos los cortafuegos (creo)


1) Centralizar
    Si todas las conexiones a internet pasan solamente por una máquina
    solo tenemos que concentrarnos en asegurar al máximo esa máquina.

2) La redundancia es buena
    Si prohibimos la misma cosa de varias formas si una de esas protecciones
    falla (o tiene un agujero de seguridad) quedan las demás.

3) Minimo de servicios al interior del cortafuegos
    A menor número de servicios menor número de servicios puede fallar o
     tener agujeros de seguridad.
    Hay que asegurarse de que NINGUNO de estos servicios es accesible desde
     internet.

4) No dar ningún servicio a internet
    Cada servicio a internet es sometido a exploración por los hackers/crackers
     buscando cualquier forma de explotarlo para consiguir acceso no autorizado
    Estos individuos crean y mantienen herramientas automáticas de busqueda de
     vulnerabilidades, y hasta sistemas de ataque descentralizados, y se
     comunican y coordinan entre ellos, estando siempre a la espera del
     descubrimiento de una nueva vulnerabilidad para aprovecharse de ella...

    Mi recomendación es no dar ni un solo servicio a internet cuando ello es
     posible, y si hay que montar un servidor de lo que sea, accesible desde
     internet, que sea en otra máquina totalmente independiente y aislada y
     desconfiaremos de ella por sistema.

5) Impedir conexiones desde internet
    Impedir que inicien conexiones desde internet, y permitir iniciarlas
    nosotros y permitir las respuestas.
    ¿Es esto posible? Leete la chuleta "S-cortafuegos"


-----------
EJEMPLOS:

CENTRALIZAR:
a) Los modem en los Windows son un riesgo de seguridad
    Si hay más de un acceso a internet en tu intranet (el PC de una secretaria)
     hay un punto más por el que un intruso puede colarse en tu red
     ¿Confias en la seguridad de los Windows?

REDUNDANCIA:
a) Es un error común confiar ciegamente en el cortafuegos, un ejemplo:

    Se ha descubierto una forma de "saltarse" el cortafuegos de filtrado de
     paquetes del kernel 2.2.10 (y supongo que los anteriores).
    Se basa en reescribir las cabeceras de los protocolos TCP o UDP con
     fragmentos de paquetes.

    El 27/Julio/1999 se envió a BUGTRAQ y puedes leer la descripción en
     ftp://ftp.rustcorp.com/ipchains/ipchains-patch-2.2.desc (en inglés)

    Si aplicando el principio de la redundancia, hubieras configurado el
     kernel para "desfragmentar siempre" o hubieras seguido las otras
     recomendaciones de seguridad (tcp-wrappers, minimos servicios...)
     no estarias afectado.
     

----------
MAS INFORMACION:
Mira mis chuletas:
	- S-DOC
	- S-cortafuegos
	- S-*