[LACNIC/Seguridad] Sobre OSes y seguridad (era: Re: [LAC-TF] RFC7217 en Linux!)
Robert Guerra
rguerra en privaterra.org
Vie Mayo 8 17:07:10 BRT 2015
Fernando - gracias por tu mensaje anterior. Muy bien expuesto!
Herman - también uso PfSense. Lo llevo usando varios años ya
saludos
Roberto
--
Robert Guerra
Phone: +1 416-893-0377
Twitter: twitter.com/netfreedom
Email: rguerra en privaterra.org
PGP Keys : https://keybase.io/rguerra
On 8 May 2015, at 7:44, Herman Mereles wrote:
> Fernando,
>
> Leí íntegramente los comentarios sobre OS y coincido plenamente
> contigo, yo sí estoy utilizando Debian (criticable son los tiempos
> para subirse a nuevas líneas de kernel).
>
> Sin embargo, para servidores es una alternativa razonable y muy
> estable utilizar las líneas basadas en RHEL, como por ejemplo CentOS:
> estabilidad muy buena por donde se mire.
>
> En ocasiones en la Universidad donde inicié mi labor utilizabamos
> también FreeBSD como sistema operativo para enrutadores software, sin
> embargo como alternativa a esto actualmente estoy trabajando optamos
> por PFSense (una appliance basado en FreeBSD 10.x en las versiones
> recientes).
>
> Efectivamente así como decís, la decisión final de usar tal u otro
> sistema operativo depende del usuario final, y creo que debe reunir al
> menos dos principios básicos:
>
> * seguro (o tener los mecanismos suficientes y claros para
> "securizarlo" a gusto y paladar)
> * fácil de mantenerlo actualizado
>
> Para terminar, existe la famosa discusión (en la línea Linux) sobre
> "rolling release" vs "stable" donde uno optaría por lo primero si
> tiene el suficiente tiempo y ganas de experimentar con lo "último de
> lo último". ;)
>
> Saludos
> ---
> Herman Mereles
>
>
> El 06/05/15 a las 19:16, Fernando Gont escribió:
>> Rolin,
>>
>> En materia de seguridad, en general OpenBSD es el que tiene el mejor
>> código. De ahi que si fuera por seguridad (modulo algunas cuestiones
>> mencionadas mas abajo), probablemente uno usaria OpenBSD. EN lineas
>> generales, uno puede decir que "aprendieron de la historia", y que
>> aplican criterios generales que evitan que sean vulnerables a una
>> variedad de problemas.
>>
>> En el caso de lo que es seguridad en protocolos, usualmente intentan
>> hacer "lo que es correcto", mas alla de "lo que la IETF diga", y ves
>> aplicadas cosas como "validacion de campos" establecimiento de
>> limites
>> para estructuras de datos, y demas. -- cosas tal vez elementales,
>> pero
>> que la mayoria de los otros OSes fallan (en algun punto u otro) en
>> implementar.
>>
>> Lamentablemente, a OpenBSD le falta "work force"... entonces hay
>> situaciones en las cuales ellos por ahi desean implementar algo (por
>> ej.
>> se que querian implementar RFC7217 desde hace un buen rato), pero no
>> tienen la gente para hacerlo.
>>
>> Si bien Linuxtal vez no tiene a la "seguridad" como bandera, tengo
>> contacto fluido con algunas desarrolladores... y si explicas bien tu
>> punto, tarde o temprano alguien hace un parche -- lo cual es
>> genial...
>> porque en mas de una ocasion ha ocurrido que publico un IETF I-D, a
>> las
>> pocas semanas alguien hace un parche, y al poquito tiempo ya puedo
>> usar
>> eso mismo en mi propio sistema, simplemente siguiendo con el proceso
>> de
>> actualizacion usual (apt-get upgrade, etc.).
>>
>>
>> Sin embargo, a la hora de elegir que OS usar, entran en juego otros
>> factores, por lo que la cuestion se hace algo mas compleja.
>>
>> De ahi que yo uso Ubuntu, debería usar Debian, y me gustaría usar
>> OpenBSD. :-) -- Elaboro un poco:
>>
>> Hasta donde recuerdo, cuando años atrás deje de usar Windows,
>> Ubuntu era
>> la distribución de Linux en la que "todo funcionaba sin demasiadas
>> preocupaciones". Lease: Te comprabas una claptop, y te funcionaba
>> todo
>> desde la placa wifi, hasta la webcam, la placa de video y demas. Por
>> ej., en Ubuntu es super siple instaar driver propietarios de la placa
>> de
>> video (indeseable, pero usualmente necesario) que en Debian no era
>> tan
>> directo. La realidad que no tengo ni el tiempo ni la energía para
>> estar
>> 20 años para hacer que mi estación de trabajo "funcione", y
>> entonces
>> este fue un factor importante en la decisión. Desde aquel momento
>> uso
>> Ubuntu, basicamente porque "funciona", y puedo ir
>> actualizando/upgradeando sin necesidad de reinstalar todo desde cero.
>> -- obviamente deshabilito "Unity" (o como sea que se llame esa
>> interfaz
>> horrible que trae por defecto), y uso el GNOME tradicional.
>>
>> Debian es como mas "puro"... y estimo q actualmente, en materia de
>> "hacer que todo funcione" debe ser muy similar a Ubuntu... así que
>> si
>> hoy en dia tuviera que instalar mi laptop desde cero, lo haria con
>> Debian.
>>
>> OpenBSD considero que es genial para servidores. Pero para una laptop
>> umuchas veces encontras "hacer que todo funcione" te puede lelvar un
>> buen tiempo (y en ocasiones, asi inviertas tiempo tal vez no lo
>> logres).
>> Asimismo, para utilizarlo todos los dias hay algunas aplicaciones que
>> no
>> están, o en ocasiones se requieren tiempo extra para que funcionen
>> como
>> uno espera. El "soporte"/comunidad no es tan bueno/amigable como el
>> de
>> Linux... y esto es otro factor: con Linux, basta con googlear 5' para
>> basicamente encontrar como hacer lo que sea que quieras hacer. Por
>> ultimo, hay algo de "ironia" en que si bien este OS es famoso por sus
>> aspectos de seguridad, es complicado obtener una copia "segura" del
>> mismo: las imagenes no estan (o estaban) firmadas digitalmente, los
>> paquetes de software tampoco... y si uno es algo paranoico, instalar
>> lo
>> que sea quea uno le lelgue en CD por correo tradicional tampoco es
>> tan
>> seguro.
>>
>> MacOS nunca use ni usaria por dos motivos. El primero es que las Mac
>> son
>> equipos caros. Dado que no es inusual que lleve mi computadora por
>> lugares no tan seguros, no tiene mucho sentdo para mi tener encima un
>> equipo con costo de reposicion de aproximadamnte 1K USD (mi laptop,
>> por
>> el contrario, es de 0.5 K USD :-) ). Por otro lado, Mac tiene codigo
>> cerrado, y algunas politicas que he visto de Apple referidas a
>> seguridad, software libre, estandares abiertos, y demas, me parecen
>> algo
>> cuestionables. :-)
>>
>> A esta altura del partido, personalmente no usaria Windows, por el
>> simple hecho de que (salvo excepciones), en Windows uno tiene que
>> pagar
>> por aplicaciones que, en UNIX-like, uno tiene en software libre. Y,
>> salvo excepciones, las de software libre suelen ser aun mejores.
>> (Hablo,
>> obviamente, de las que uso en lo personal (redes, seguridad)... ya
>> que
>> no tengo idea cual es la situación en amteria de "aplicaciones para
>> edicion de audio/video", o cosas de ese estilo).
>>
>> Saludos, y gracias!
>> Fernando
>>
>>
>>
>>
>> On 05/01/2015 02:05 PM, Rolin Azmitia @ Google wrote:
>>> Gracias por el aporte constante Fernando. Con tantas aportaciones
>>> que
>>> realizas... me pregunto a veces... : ¿Qué sistema operativo
>>> usaría
>>> Fernando en su día a día, como preferencia personal, en temas de
>>> considerarlo más apropiado y más inmediato en forjarlo e
>>> incrementarle
>>> la seguridad? (No es obligación contestarlo Fernando... sólo me lo
>>> pregunto)
>>> Buen día.
>>> :-)
>>>
>>>
>>> El mié., 29 de abr. de 2015 a la(s) 12:26 p. m., Alejandro D'Egidio
>>> <adegidio en telecentro.net.ar <mailto:adegidio en telecentro.net.ar>>
>>> escribió:
>>>
>>> Fernando:
>>>
>>> Felicitaciones por el trabajo, está muy buena la RFC!
>>>
>>> Consulta, ¿sabés como van a ir adoptándolo otros Sistemas
>>> Operativos
>>> (Solaris, Windows...)?
>>>
>>>
>>>
>>> Saludos,
>>>
>>> Alejandro D'Egidio
>>> Jefe de Ingeniería de Backbone
>>> adegidio en telecentro.net.ar <mailto:adegidio en telecentro.net.ar>
>>>
>>> Apolinario Figueroa 254 | Tel: 54 11 3977 1025
>>> C1414EDF | CABA | Argentina
>>> TELECENTRO S.A.
>>>
>>> ESTE MENSAJE ES CONFIDENCIAL. Puede contener información amparada
>>> por el secreto profesional. Si usted ha recibido este e-mail por
>>> error, por favor comuníquenoslo inmediatamente vía e-mail y tenga
>>> la
>>> amabilidad de eliminarlo de su sistema; no deberá copiar el
>>> mensaje
>>> ni divulgar su contenido a ninguna persona. Muchas gracias.
>>>
>>> THIS MESSAGE IS CONFIDENTIAL. It may also contain information that
>>> is privileged or otherwise legally exempt from disclosure. If you
>>> have received it by mistake please let us know by e-mail
>>> immediately
>>> and delete it from your system; should also not copy the message
>>> nor
>>> disclose its contents to anyone. Many thanks.
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> ----- Mensaje original -----
>>> De: "Fernando Gont" <fgont en si6networks.com
>>> <mailto:fgont en si6networks.com>>
>>> Para: "Lista para discusión de seguridad en redes y sistemas
>>> informaticos de la región" <seguridad en lacnic.net
>>> <mailto:seguridad en lacnic.net>>, lactf en lac.ipv6tf.org
>>> <mailto:lactf en lac.ipv6tf.org>
>>> Enviados: Lunes, 27 de Abril 2015 16:15:48
>>> Asunto: [LAC-TF] RFC7217 en Linux!
>>>
>>> Estimados,
>>>
>>> Durante muchos años se consideró que las redes IPv6 no eran
>>> "escaneables"
>>>
>>> (http://humboldtsentinel.com/wp-content/uploads/2013/03/surprised-smoker.jpg).
>>>
>>> Estudios sobre el tema
>>>
>>> (https://tools.ietf.org/html/draft-ietf-opsec-ipv6-host-scanning-06>)
>>> encontraron que este no era el caso, y herramientas de
>>> ataque/auditoria
>>> (<http://manpages.ubuntu.com/manpages/trusty/man1/scan6.1.html>)
>>> demostraron esto en la práctica.
>>>
>>> Tras un trabajo algo arduo (<http://i46.tinypic.com/23wmro1.png>),
>>> se
>>> publicó RFC7217 (<https://tools.ietf.org/html/rfc7217>), que
>>> basicamente
>>> mitiga los ataques de escaneo de direcciones IPv6.
>>>
>>> Recientemente, como obra de Hannes Frederic Sowa (RedHat), se ha
>>> incorporado una implementación de RFC7217
>>>
>>> (<https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ce046c568cbfb4734583131086f88cfe993c01d0>),
>>> para que la misma esté incluida en el release 4.1 del Linux
>>> Kernel. Como
>>> resultado, RFC7217 estara en breve en las distintas distribuciones
>>> de
>>> Linux (por ej., Fedora 22, a ser lanzado el 12 de Mayo de este
>>> año).
>>>
>>> Para quienes brindan cursos de IPv6, tal vez sea hora de actualizar
>>> los
>>> materiales -- las direcciones MAC en los IIDs van camino a ser cosa
>>> del
>>> pasado.
>>>
>>> Que lindo es dar buenas noticias
>>> (<https://www.youtube.com/watch?v=4M6dkGQwiYA>) :-)
>>>
>>> Saludos cordiales,
>>> --
>>> Fernando Gont
>>> SI6 Networks
>>> e-mail: fgont en si6networks.com <mailto:fgont en si6networks.com>
>>> PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> LACTF mailing list
>>> LACTF en lacnic.net <mailto:LACTF en lacnic.net>
>>> https://mail.lacnic.net/mailman/listinfo/lactf
>>> Cancelar suscripcion: lactf-unsubscribe en lacnic.net
>>> <mailto:lactf-unsubscribe en lacnic.net>
>>> _______________________________________________
>>> LACTF mailing list
>>> LACTF en lacnic.net <mailto:LACTF en lacnic.net>
>>> https://mail.lacnic.net/mailman/listinfo/lactf
>>> Cancelar suscripcion: lactf-unsubscribe en lacnic.net
>>> <mailto:lactf-unsubscribe en lacnic.net>
>>>
>>>
>>>
>>> _______________________________________________
>>> LACTF mailing list
>>> LACTF en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lactf
>>> Cancelar suscripcion: lactf-unsubscribe en lacnic.net
>>>
>>
>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
Más información sobre la lista de distribución Seguridad