[LACNIC/Seguridad] Sobre OSes y seguridad (era: Re: [LAC-TF] RFC7217 en Linux!)

Herman Mereles hmereles en senatics.gov.py
Vie Mayo 8 08:44:46 BRT 2015


Fernando,

Leí íntegramente los comentarios sobre OS y coincido plenamente contigo, 
yo sí estoy utilizando Debian (criticable son los tiempos para subirse a 
nuevas líneas de kernel).

Sin embargo, para servidores es una alternativa razonable y muy estable 
utilizar las líneas basadas en RHEL, como por ejemplo CentOS: 
estabilidad muy buena por donde se mire.

En ocasiones en la Universidad donde inicié mi labor utilizabamos 
también FreeBSD como sistema operativo para enrutadores software, sin 
embargo como alternativa a esto actualmente estoy trabajando optamos por 
PFSense (una appliance basado en FreeBSD 10.x en las versiones recientes).

Efectivamente así como decís, la decisión final de usar tal u otro 
sistema operativo depende del usuario final, y creo que debe reunir al 
menos dos principios básicos:

  * seguro (o tener los mecanismos suficientes y claros para
    "securizarlo" a gusto y paladar)
  * fácil de mantenerlo actualizado

Para terminar, existe la famosa discusión (en la línea Linux) sobre 
"rolling release" vs "stable" donde uno optaría por lo primero si tiene 
el suficiente tiempo y ganas de experimentar con lo "último de lo 
último". ;)

Saludos
---
Herman Mereles


El 06/05/15 a las 19:16, Fernando Gont escribió:
> Rolin,
>
> En materia de seguridad, en general OpenBSD es el que tiene el mejor
> código. De ahi que si fuera por seguridad (modulo algunas cuestiones
> mencionadas mas abajo), probablemente uno usaria OpenBSD. EN lineas
> generales, uno puede decir que "aprendieron de la historia", y que
> aplican criterios generales que evitan que sean vulnerables a una
> variedad de problemas.
>
> En el caso de lo que es seguridad en protocolos, usualmente intentan
> hacer "lo que es correcto", mas alla de "lo que la IETF diga", y ves
> aplicadas cosas como "validacion de campos" establecimiento de limites
> para estructuras de datos, y demas. -- cosas tal vez elementales, pero
> que la mayoria de los otros OSes fallan (en algun punto u otro) en
> implementar.
>
> Lamentablemente, a OpenBSD le falta "work force"... entonces hay
> situaciones en las cuales ellos por ahi desean implementar algo (por ej.
> se que querian implementar RFC7217 desde hace un buen rato), pero no
> tienen la gente para hacerlo.
>
> Si bien Linuxtal vez no tiene a la "seguridad" como bandera, tengo
> contacto fluido con algunas desarrolladores... y si explicas bien tu
> punto, tarde o temprano alguien hace un parche -- lo cual es genial...
> porque en mas de una ocasion ha ocurrido que publico un IETF I-D, a las
> pocas semanas alguien hace un parche, y al poquito tiempo ya puedo usar
> eso mismo en mi propio sistema, simplemente siguiendo con el proceso de
> actualizacion usual (apt-get upgrade, etc.).
>
>
> Sin embargo, a la hora de elegir que OS usar, entran en juego otros
> factores, por lo que la cuestion se hace algo mas compleja.
>
> De ahi que yo uso Ubuntu, debería usar Debian, y me gustaría usar
> OpenBSD. :-) -- Elaboro un poco:
>
> Hasta donde recuerdo, cuando años atrás deje de usar Windows, Ubuntu era
> la distribución de Linux en la que "todo funcionaba sin demasiadas
> preocupaciones". Lease: Te comprabas una claptop, y te funcionaba todo
> desde la placa wifi, hasta la webcam, la placa de video y demas. Por
> ej., en Ubuntu es super siple instaar driver propietarios de la placa de
> video (indeseable, pero usualmente necesario) que en Debian no era tan
> directo. La realidad que no tengo ni el tiempo ni la energía para estar
> 20 años para hacer que mi estación de trabajo "funcione", y entonces
> este fue un factor importante en la decisión. Desde aquel momento uso
> Ubuntu, basicamente porque "funciona", y puedo ir
> actualizando/upgradeando sin necesidad de reinstalar todo desde cero.
> -- obviamente deshabilito "Unity" (o como sea que se llame esa interfaz
> horrible que trae por defecto), y uso el GNOME tradicional.
>
> Debian es como mas "puro"... y estimo q actualmente, en materia de
> "hacer que todo funcione" debe ser muy similar a Ubuntu... así que si
> hoy en dia tuviera que instalar mi laptop desde cero, lo haria con Debian.
>
> OpenBSD considero que es genial para servidores. Pero para una laptop
> umuchas veces encontras "hacer que todo funcione" te puede lelvar un
> buen tiempo (y en ocasiones, asi inviertas tiempo tal vez no lo logres).
> Asimismo, para utilizarlo todos los dias hay algunas aplicaciones que no
> están, o en ocasiones se requieren tiempo extra para que funcionen como
> uno espera. El "soporte"/comunidad no es tan bueno/amigable como el de
> Linux... y esto es otro factor: con Linux, basta con googlear 5' para
> basicamente encontrar como hacer lo que sea que quieras hacer. Por
> ultimo, hay algo de "ironia" en que si bien este OS es famoso por sus
> aspectos de seguridad, es complicado obtener una copia "segura" del
> mismo: las imagenes no estan (o estaban) firmadas digitalmente, los
> paquetes de software tampoco... y si uno es algo paranoico, instalar lo
> que sea quea uno le lelgue en CD por correo tradicional tampoco es tan
> seguro.
>
> MacOS nunca use ni usaria por dos motivos. El primero es que las Mac son
> equipos caros. Dado que no es inusual que lleve mi computadora por
> lugares no tan seguros, no tiene mucho sentdo para mi tener encima un
> equipo con costo de reposicion de aproximadamnte 1K USD (mi laptop, por
> el contrario, es de 0.5 K USD :-) ). Por otro lado, Mac tiene codigo
> cerrado, y algunas politicas que he visto de Apple referidas a
> seguridad, software libre, estandares abiertos, y demas, me parecen algo
> cuestionables. :-)
>
> A esta altura del partido, personalmente no usaria Windows, por el
> simple hecho de que (salvo excepciones), en Windows uno tiene que pagar
> por aplicaciones que, en UNIX-like, uno tiene en software libre. Y,
> salvo excepciones, las de software libre suelen ser aun mejores. (Hablo,
> obviamente, de las que uso en lo personal (redes, seguridad)... ya que
> no tengo idea cual es la situación en amteria de "aplicaciones para
> edicion de audio/video", o cosas de ese estilo).
>
> Saludos, y gracias!
> Fernando
>
>
>
>
> On 05/01/2015 02:05 PM, Rolin Azmitia @ Google wrote:
>> Gracias por el aporte constante Fernando. Con tantas aportaciones que
>> realizas... me pregunto a veces... : ¿Qué sistema operativo usaría
>> Fernando en su día a día, como preferencia personal, en temas de
>> considerarlo más apropiado y más inmediato en forjarlo e incrementarle
>> la seguridad? (No es obligación contestarlo Fernando... sólo me lo
>> pregunto)
>> Buen día.
>> :-)
>>
>>
>> El mié., 29 de abr. de 2015 a la(s) 12:26 p. m., Alejandro D'Egidio
>> <adegidio en telecentro.net.ar <mailto:adegidio en telecentro.net.ar>> escribió:
>>
>>      Fernando:
>>
>>      Felicitaciones por el trabajo, está muy buena la RFC!
>>
>>      Consulta, ¿sabés como van a ir adoptándolo otros Sistemas Operativos
>>      (Solaris, Windows...)?
>>
>>
>>
>>      Saludos,
>>
>>      Alejandro D'Egidio
>>      Jefe de Ingeniería de Backbone
>>      adegidio en telecentro.net.ar <mailto:adegidio en telecentro.net.ar>
>>
>>      Apolinario Figueroa 254 | Tel: 54 11 3977 1025
>>      C1414EDF | CABA | Argentina
>>      TELECENTRO S.A.
>>
>>      ESTE MENSAJE ES CONFIDENCIAL. Puede contener información amparada
>>      por el secreto profesional. Si usted ha recibido este e-mail por
>>      error, por favor comuníquenoslo inmediatamente vía e-mail y tenga la
>>      amabilidad de eliminarlo de su sistema; no deberá copiar el mensaje
>>      ni divulgar su contenido a ninguna persona. Muchas gracias.
>>
>>      THIS MESSAGE IS CONFIDENTIAL. It may also contain information that
>>      is privileged or otherwise legally exempt from disclosure. If you
>>      have received it by mistake please let us know by e-mail immediately
>>      and delete it from your system; should also not copy the message nor
>>      disclose its contents to anyone. Many thanks.
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>      ----- Mensaje original -----
>>      De: "Fernando Gont" <fgont en si6networks.com
>>      <mailto:fgont en si6networks.com>>
>>      Para: "Lista para discusión de seguridad en redes y sistemas
>>      informaticos de la región" <seguridad en lacnic.net
>>      <mailto:seguridad en lacnic.net>>, lactf en lac.ipv6tf.org
>>      <mailto:lactf en lac.ipv6tf.org>
>>      Enviados: Lunes, 27 de Abril 2015 16:15:48
>>      Asunto: [LAC-TF] RFC7217 en Linux!
>>
>>      Estimados,
>>
>>      Durante muchos años se consideró que las redes IPv6 no eran
>>      "escaneables"
>>      (http://humboldtsentinel.com/wp-content/uploads/2013/03/surprised-smoker.jpg).
>>
>>      Estudios sobre el tema
>>      (https://tools.ietf.org/html/draft-ietf-opsec-ipv6-host-scanning-06>)
>>      encontraron que este no era el caso, y herramientas de ataque/auditoria
>>      (<http://manpages.ubuntu.com/manpages/trusty/man1/scan6.1.html>)
>>      demostraron esto en la práctica.
>>
>>      Tras un trabajo algo arduo (<http://i46.tinypic.com/23wmro1.png>), se
>>      publicó RFC7217 (<https://tools.ietf.org/html/rfc7217>), que basicamente
>>      mitiga los ataques de escaneo de direcciones IPv6.
>>
>>      Recientemente, como obra de Hannes Frederic Sowa (RedHat), se ha
>>      incorporado una implementación de RFC7217
>>      (<https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ce046c568cbfb4734583131086f88cfe993c01d0>),
>>      para que la misma esté incluida en el release 4.1 del Linux Kernel. Como
>>      resultado, RFC7217 estara en breve en las distintas distribuciones de
>>      Linux (por ej., Fedora 22, a ser lanzado el 12 de Mayo de este año).
>>
>>      Para quienes brindan cursos de IPv6, tal vez sea hora de actualizar los
>>      materiales -- las direcciones MAC en los IIDs van camino a ser cosa del
>>      pasado.
>>
>>      Que lindo es dar buenas noticias
>>      (<https://www.youtube.com/watch?v=4M6dkGQwiYA>) :-)
>>
>>      Saludos cordiales,
>>      --
>>      Fernando Gont
>>      SI6 Networks
>>      e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
>>      PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>>
>>
>>
>>
>>      _______________________________________________
>>      LACTF mailing list
>>      LACTF en lacnic.net <mailto:LACTF en lacnic.net>
>>      https://mail.lacnic.net/mailman/listinfo/lactf
>>      Cancelar suscripcion: lactf-unsubscribe en lacnic.net
>>      <mailto:lactf-unsubscribe en lacnic.net>
>>      _______________________________________________
>>      LACTF mailing list
>>      LACTF en lacnic.net <mailto:LACTF en lacnic.net>
>>      https://mail.lacnic.net/mailman/listinfo/lactf
>>      Cancelar suscripcion: lactf-unsubscribe en lacnic.net
>>      <mailto:lactf-unsubscribe en lacnic.net>
>>
>>
>>
>> _______________________________________________
>> LACTF mailing list
>> LACTF en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lactf
>> Cancelar suscripcion: lactf-unsubscribe en lacnic.net
>>
>

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20150508/91cd9bfa/attachment.html>


Más información sobre la lista de distribución Seguridad