[LAC-TF] Sobre OSes y seguridad (era: Re: RFC7217 en Linux!)

Wed May 6 20:16:47 BRT 2015

Rolin,

En materia de seguridad, en general OpenBSD es el que tiene el mejor
código. De ahi que si fuera por seguridad (modulo algunas cuestiones
mencionadas mas abajo), probablemente uno usaria OpenBSD. EN lineas
generales, uno puede decir que "aprendieron de la historia", y que
aplican criterios generales que evitan que sean vulnerables a una
variedad de problemas.

En el caso de lo que es seguridad en protocolos, usualmente intentan
hacer "lo que es correcto", mas alla de "lo que la IETF diga", y ves
aplicadas cosas como "validacion de campos" establecimiento de limites
para estructuras de datos, y demas. -- cosas tal vez elementales, pero
que la mayoria de los otros OSes fallan (en algun punto u otro) en
implementar.

Lamentablemente, a OpenBSD le falta "work force"... entonces hay
situaciones en las cuales ellos por ahi desean implementar algo (por ej.
se que querian implementar RFC7217 desde hace un buen rato), pero no
tienen la gente para hacerlo.

Si bien Linuxtal vez no tiene a la "seguridad" como bandera, tengo
contacto fluido con algunas desarrolladores... y si explicas bien tu
punto, tarde o temprano alguien hace un parche -- lo cual es genial...
porque en mas de una ocasion ha ocurrido que publico un IETF I-D, a las
pocas semanas alguien hace un parche, y al poquito tiempo ya puedo usar
eso mismo en mi propio sistema, simplemente siguiendo con el proceso de
actualizacion usual (apt-get upgrade, etc.).

Sin embargo, a la hora de elegir que OS usar, entran en juego otros
factores, por lo que la cuestion se hace algo mas compleja.

De ahi que yo uso Ubuntu, debería usar Debian, y me gustaría usar
OpenBSD. :-) -- Elaboro un poco:

Hasta donde recuerdo, cuando años atrás deje de usar Windows, Ubuntu era
la distribución de Linux en la que "todo funcionaba sin demasiadas
preocupaciones". Lease: Te comprabas una claptop, y te funcionaba todo
desde la placa wifi, hasta la webcam, la placa de video y demas. Por
ej., en Ubuntu es super siple instaar driver propietarios de la placa de
video (indeseable, pero usualmente necesario) que en Debian no era tan
directo. La realidad que no tengo ni el tiempo ni la energía para estar
20 años para hacer que mi estación de trabajo "funcione", y entonces
este fue un factor importante en la decisión. Desde aquel momento uso
Ubuntu, basicamente porque "funciona", y puedo ir
actualizando/upgradeando sin necesidad de reinstalar todo desde cero.
-- obviamente deshabilito "Unity" (o como sea que se llame esa interfaz
horrible que trae por defecto), y uso el GNOME tradicional.

Debian es como mas "puro"... y estimo q actualmente, en materia de
"hacer que todo funcione" debe ser muy similar a Ubuntu... así que si
hoy en dia tuviera que instalar mi laptop desde cero, lo haria con Debian.

OpenBSD considero que es genial para servidores. Pero para una laptop
umuchas veces encontras "hacer que todo funcione" te puede lelvar un
buen tiempo (y en ocasiones, asi inviertas tiempo tal vez no lo logres).
Asimismo, para utilizarlo todos los dias hay algunas aplicaciones que no
están, o en ocasiones se requieren tiempo extra para que funcionen como
uno espera. El "soporte"/comunidad no es tan bueno/amigable como el de
Linux... y esto es otro factor: con Linux, basta con googlear 5' para
basicamente encontrar como hacer lo que sea que quieras hacer. Por
ultimo, hay algo de "ironia" en que si bien este OS es famoso por sus
aspectos de seguridad, es complicado obtener una copia "segura" del
mismo: las imagenes no estan (o estaban) firmadas digitalmente, los
paquetes de software tampoco... y si uno es algo paranoico, instalar lo
que sea quea uno le lelgue en CD por correo tradicional tampoco es tan
seguro.

MacOS nunca use ni usaria por dos motivos. El primero es que las Mac son
equipos caros. Dado que no es inusual que lleve mi computadora por
lugares no tan seguros, no tiene mucho sentdo para mi tener encima un
equipo con costo de reposicion de aproximadamnte 1K USD (mi laptop, por
el contrario, es de 0.5 K USD :-) ). Por otro lado, Mac tiene codigo
cerrado, y algunas politicas que he visto de Apple referidas a
seguridad, software libre, estandares abiertos, y demas, me parecen algo
cuestionables. :-)

A esta altura del partido, personalmente no usaria Windows, por el
simple hecho de que (salvo excepciones), en Windows uno tiene que pagar
por aplicaciones que, en UNIX-like, uno tiene en software libre. Y,
salvo excepciones, las de software libre suelen ser aun mejores. (Hablo,
obviamente, de las que uso en lo personal (redes, seguridad)... ya que
no tengo idea cual es la situación en amteria de "aplicaciones para
edicion de audio/video", o cosas de ese estilo).

Saludos, y gracias!
Fernando

On 05/01/2015 02:05 PM, Rolin Azmitia @ Google wrote:
> Gracias por el aporte constante Fernando. Con tantas aportaciones que
> realizas... me pregunto a veces... : ¿Qué sistema operativo usaría
> Fernando en su día a día, como preferencia personal, en temas de
> considerarlo más apropiado y más inmediato en forjarlo e incrementarle
> la seguridad? (No es obligación contestarlo Fernando... sólo me lo
> pregunto) 
> Buen día.
> :-)
> 
> 
> El mié., 29 de abr. de 2015 a la(s) 12:26 p. m., Alejandro D'Egidio
> <adegidio at telecentro.net.ar <mailto:adegidio at telecentro.net.ar>> escribió:
> 
>     Fernando:
> 
>     Felicitaciones por el trabajo, está muy buena la RFC!
> 
>     Consulta, ¿sabés como van a ir adoptándolo otros Sistemas Operativos
>     (Solaris, Windows...)?
> 
> 
> 
>     Saludos,
> 
>     Alejandro D'Egidio
>     Jefe de Ingeniería de Backbone
>     adegidio at telecentro.net.ar <mailto:adegidio at telecentro.net.ar>
> 
>     Apolinario Figueroa 254 | Tel: 54 11 3977 1025
>     C1414EDF | CABA | Argentina
>     TELECENTRO S.A.
> 
>     ESTE MENSAJE ES CONFIDENCIAL. Puede contener información amparada
>     por el secreto profesional. Si usted ha recibido este e-mail por
>     error, por favor comuníquenoslo inmediatamente vía e-mail y tenga la
>     amabilidad de eliminarlo de su sistema; no deberá copiar el mensaje
>     ni divulgar su contenido a ninguna persona. Muchas gracias.
> 
>     THIS MESSAGE IS CONFIDENTIAL. It may also contain information that
>     is privileged or otherwise legally exempt from disclosure. If you
>     have received it by mistake please let us know by e-mail immediately
>     and delete it from your system; should also not copy the message nor
>     disclose its contents to anyone. Many thanks.
> 
> 
> 
> 
> 
> 
> 
> 
> 
> 
>     ----- Mensaje original -----
>     De: "Fernando Gont" <fgont at si6networks.com
>     <mailto:fgont at si6networks.com>>
>     Para: "Lista para discusión de seguridad en redes y sistemas
>     informaticos de la región" <seguridad at lacnic.net
>     <mailto:seguridad at lacnic.net>>, lactf at lac.ipv6tf.org
>     <mailto:lactf at lac.ipv6tf.org>
>     Enviados: Lunes, 27 de Abril 2015 16:15:48
>     Asunto: [LAC-TF] RFC7217 en Linux!
> 
>     Estimados,
> 
>     Durante muchos años se consideró que las redes IPv6 no eran
>     "escaneables"
>     (http://humboldtsentinel.com/wp-content/uploads/2013/03/surprised-smoker.jpg).
> 
>     Estudios sobre el tema
>     (https://tools.ietf.org/html/draft-ietf-opsec-ipv6-host-scanning-06>)
>     encontraron que este no era el caso, y herramientas de ataque/auditoria
>     (<http://manpages.ubuntu.com/manpages/trusty/man1/scan6.1.html>)
>     demostraron esto en la práctica.
> 
>     Tras un trabajo algo arduo (<http://i46.tinypic.com/23wmro1.png>), se
>     publicó RFC7217 (<https://tools.ietf.org/html/rfc7217>), que basicamente
>     mitiga los ataques de escaneo de direcciones IPv6.
> 
>     Recientemente, como obra de Hannes Frederic Sowa (RedHat), se ha
>     incorporado una implementación de RFC7217
>     (<https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ce046c568cbfb4734583131086f88cfe993c01d0>),
>     para que la misma esté incluida en el release 4.1 del Linux Kernel. Como
>     resultado, RFC7217 estara en breve en las distintas distribuciones de
>     Linux (por ej., Fedora 22, a ser lanzado el 12 de Mayo de este año).
> 
>     Para quienes brindan cursos de IPv6, tal vez sea hora de actualizar los
>     materiales -- las direcciones MAC en los IIDs van camino a ser cosa del
>     pasado.
> 
>     Que lindo es dar buenas noticias
>     (<https://www.youtube.com/watch?v=4M6dkGQwiYA>) :-)
> 
>     Saludos cordiales,
>     --
>     Fernando Gont
>     SI6 Networks
>     e-mail: fgont at si6networks.com <mailto:fgont at si6networks.com>
>     PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
> 
> 
> 
> 
>     _______________________________________________
>     LACTF mailing list
>     LACTF at lacnic.net <mailto:LACTF at lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/lactf
>     Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>     <mailto:lactf-unsubscribe at lacnic.net>
>     _______________________________________________
>     LACTF mailing list
>     LACTF at lacnic.net <mailto:LACTF at lacnic.net>
>     https://mail.lacnic.net/mailman/listinfo/lactf
>     Cancelar suscripcion: lactf-unsubscribe at lacnic.net
>     <mailto:lactf-unsubscribe at lacnic.net>
> 
> 
> 
> _______________________________________________
> LACTF mailing list
> LACTF at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lactf
> Cancelar suscripcion: lactf-unsubscribe at lacnic.net
> 

-- 
Fernando Gont
e-mail: fernando at gont.com.ar || fgont at si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1