<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Fernando,<br>
    <br>
    Leí íntegramente los comentarios sobre OS y coincido plenamente
    contigo, yo sí estoy utilizando Debian (criticable son los tiempos
    para subirse a nuevas líneas de kernel).<br>
    <br>
    Sin embargo, para servidores es una alternativa razonable y muy
    estable utilizar las líneas basadas en RHEL, como por ejemplo
    CentOS: estabilidad muy buena por donde se mire.<br>
    <br>
    En ocasiones en la Universidad donde inicié mi labor utilizabamos
    también FreeBSD como sistema operativo para enrutadores software,
    sin embargo como alternativa a esto actualmente estoy trabajando
    optamos por PFSense (una appliance basado en FreeBSD 10.x en las
    versiones recientes).<br>
    <br>
    Efectivamente así como decís, la decisión final de usar tal u otro
    sistema operativo depende del usuario final, y creo que debe reunir
    al menos dos principios básicos:<br>
    <ul>
      <li>seguro (o tener los mecanismos suficientes y claros para
        "securizarlo" a gusto y paladar)<br>
      </li>
      <li>fácil de mantenerlo actualizado</li>
    </ul>
    <p>Para terminar, existe la famosa discusión (en la línea Linux)
      sobre "rolling release" vs "stable" donde uno optaría por lo
      primero si tiene el suficiente tiempo y ganas de experimentar con
      lo "último de lo último". ;)<br>
    </p>
    <p>Saludos<br>
      ---<br>
      Herman Mereles<br>
    </p>
    <br>
    <div class="moz-cite-prefix">El 06/05/15 a las 19:16, Fernando Gont
      escribió:<br>
    </div>
    <blockquote cite="mid:554AA0DF.40800@gont.com.ar" type="cite">
      <pre wrap="">Rolin,

En materia de seguridad, en general OpenBSD es el que tiene el mejor
código. De ahi que si fuera por seguridad (modulo algunas cuestiones
mencionadas mas abajo), probablemente uno usaria OpenBSD. EN lineas
generales, uno puede decir que "aprendieron de la historia", y que
aplican criterios generales que evitan que sean vulnerables a una
variedad de problemas.

En el caso de lo que es seguridad en protocolos, usualmente intentan
hacer "lo que es correcto", mas alla de "lo que la IETF diga", y ves
aplicadas cosas como "validacion de campos" establecimiento de limites
para estructuras de datos, y demas. -- cosas tal vez elementales, pero
que la mayoria de los otros OSes fallan (en algun punto u otro) en
implementar.

Lamentablemente, a OpenBSD le falta "work force"... entonces hay
situaciones en las cuales ellos por ahi desean implementar algo (por ej.
se que querian implementar RFC7217 desde hace un buen rato), pero no
tienen la gente para hacerlo.

Si bien Linuxtal vez no tiene a la "seguridad" como bandera, tengo
contacto fluido con algunas desarrolladores... y si explicas bien tu
punto, tarde o temprano alguien hace un parche -- lo cual es genial...
porque en mas de una ocasion ha ocurrido que publico un IETF I-D, a las
pocas semanas alguien hace un parche, y al poquito tiempo ya puedo usar
eso mismo en mi propio sistema, simplemente siguiendo con el proceso de
actualizacion usual (apt-get upgrade, etc.).


Sin embargo, a la hora de elegir que OS usar, entran en juego otros
factores, por lo que la cuestion se hace algo mas compleja.

De ahi que yo uso Ubuntu, debería usar Debian, y me gustaría usar
OpenBSD. :-) -- Elaboro un poco:

Hasta donde recuerdo, cuando años atrás deje de usar Windows, Ubuntu era
la distribución de Linux en la que "todo funcionaba sin demasiadas
preocupaciones". Lease: Te comprabas una claptop, y te funcionaba todo
desde la placa wifi, hasta la webcam, la placa de video y demas. Por
ej., en Ubuntu es super siple instaar driver propietarios de la placa de
video (indeseable, pero usualmente necesario) que en Debian no era tan
directo. La realidad que no tengo ni el tiempo ni la energía para estar
20 años para hacer que mi estación de trabajo "funcione", y entonces
este fue un factor importante en la decisión. Desde aquel momento uso
Ubuntu, basicamente porque "funciona", y puedo ir
actualizando/upgradeando sin necesidad de reinstalar todo desde cero.
-- obviamente deshabilito "Unity" (o como sea que se llame esa interfaz
horrible que trae por defecto), y uso el GNOME tradicional.

Debian es como mas "puro"... y estimo q actualmente, en materia de
"hacer que todo funcione" debe ser muy similar a Ubuntu... así que si
hoy en dia tuviera que instalar mi laptop desde cero, lo haria con Debian.

OpenBSD considero que es genial para servidores. Pero para una laptop
umuchas veces encontras "hacer que todo funcione" te puede lelvar un
buen tiempo (y en ocasiones, asi inviertas tiempo tal vez no lo logres).
Asimismo, para utilizarlo todos los dias hay algunas aplicaciones que no
están, o en ocasiones se requieren tiempo extra para que funcionen como
uno espera. El "soporte"/comunidad no es tan bueno/amigable como el de
Linux... y esto es otro factor: con Linux, basta con googlear 5' para
basicamente encontrar como hacer lo que sea que quieras hacer. Por
ultimo, hay algo de "ironia" en que si bien este OS es famoso por sus
aspectos de seguridad, es complicado obtener una copia "segura" del
mismo: las imagenes no estan (o estaban) firmadas digitalmente, los
paquetes de software tampoco... y si uno es algo paranoico, instalar lo
que sea quea uno le lelgue en CD por correo tradicional tampoco es tan
seguro.

MacOS nunca use ni usaria por dos motivos. El primero es que las Mac son
equipos caros. Dado que no es inusual que lleve mi computadora por
lugares no tan seguros, no tiene mucho sentdo para mi tener encima un
equipo con costo de reposicion de aproximadamnte 1K USD (mi laptop, por
el contrario, es de 0.5 K USD :-) ). Por otro lado, Mac tiene codigo
cerrado, y algunas politicas que he visto de Apple referidas a
seguridad, software libre, estandares abiertos, y demas, me parecen algo
cuestionables. :-)

A esta altura del partido, personalmente no usaria Windows, por el
simple hecho de que (salvo excepciones), en Windows uno tiene que pagar
por aplicaciones que, en UNIX-like, uno tiene en software libre. Y,
salvo excepciones, las de software libre suelen ser aun mejores. (Hablo,
obviamente, de las que uso en lo personal (redes, seguridad)... ya que
no tengo idea cual es la situación en amteria de "aplicaciones para
edicion de audio/video", o cosas de ese estilo).

Saludos, y gracias!
Fernando




On 05/01/2015 02:05 PM, Rolin Azmitia @ Google wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">Gracias por el aporte constante Fernando. Con tantas aportaciones que
realizas... me pregunto a veces... : ¿Qué sistema operativo usaría
Fernando en su día a día, como preferencia personal, en temas de
considerarlo más apropiado y más inmediato en forjarlo e incrementarle
la seguridad? (No es obligación contestarlo Fernando... sólo me lo
pregunto) 
Buen día.
:-)


El mié., 29 de abr. de 2015 a la(s) 12:26 p. m., Alejandro D'Egidio
<<a class="moz-txt-link-abbreviated" href="mailto:adegidio@telecentro.net.ar">adegidio@telecentro.net.ar</a> <a class="moz-txt-link-rfc2396E" href="mailto:adegidio@telecentro.net.ar"><mailto:adegidio@telecentro.net.ar></a>> escribió:

    Fernando:

    Felicitaciones por el trabajo, está muy buena la RFC!

    Consulta, ¿sabés como van a ir adoptándolo otros Sistemas Operativos
    (Solaris, Windows...)?



    Saludos,

    Alejandro D'Egidio
    Jefe de Ingeniería de Backbone
    <a class="moz-txt-link-abbreviated" href="mailto:adegidio@telecentro.net.ar">adegidio@telecentro.net.ar</a> <a class="moz-txt-link-rfc2396E" href="mailto:adegidio@telecentro.net.ar"><mailto:adegidio@telecentro.net.ar></a>

    Apolinario Figueroa 254 | Tel: 54 11 3977 1025
    C1414EDF | CABA | Argentina
    TELECENTRO S.A.

    ESTE MENSAJE ES CONFIDENCIAL. Puede contener información amparada
    por el secreto profesional. Si usted ha recibido este e-mail por
    error, por favor comuníquenoslo inmediatamente vía e-mail y tenga la
    amabilidad de eliminarlo de su sistema; no deberá copiar el mensaje
    ni divulgar su contenido a ninguna persona. Muchas gracias.

    THIS MESSAGE IS CONFIDENTIAL. It may also contain information that
    is privileged or otherwise legally exempt from disclosure. If you
    have received it by mistake please let us know by e-mail immediately
    and delete it from your system; should also not copy the message nor
    disclose its contents to anyone. Many thanks.










    ----- Mensaje original -----
    De: "Fernando Gont" <<a class="moz-txt-link-abbreviated" href="mailto:fgont@si6networks.com">fgont@si6networks.com</a>
    <a class="moz-txt-link-rfc2396E" href="mailto:fgont@si6networks.com"><mailto:fgont@si6networks.com></a>>
    Para: "Lista para discusión de seguridad en redes y sistemas
    informaticos de la región" <<a class="moz-txt-link-abbreviated" href="mailto:seguridad@lacnic.net">seguridad@lacnic.net</a>
    <a class="moz-txt-link-rfc2396E" href="mailto:seguridad@lacnic.net"><mailto:seguridad@lacnic.net></a>>, <a class="moz-txt-link-abbreviated" href="mailto:lactf@lac.ipv6tf.org">lactf@lac.ipv6tf.org</a>
    <a class="moz-txt-link-rfc2396E" href="mailto:lactf@lac.ipv6tf.org"><mailto:lactf@lac.ipv6tf.org></a>
    Enviados: Lunes, 27 de Abril 2015 16:15:48
    Asunto: [LAC-TF] RFC7217 en Linux!

    Estimados,

    Durante muchos años se consideró que las redes IPv6 no eran
    "escaneables"
    (<a class="moz-txt-link-freetext" href="http://humboldtsentinel.com/wp-content/uploads/2013/03/surprised-smoker.jpg">http://humboldtsentinel.com/wp-content/uploads/2013/03/surprised-smoker.jpg</a>).

    Estudios sobre el tema
    (<a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/draft-ietf-opsec-ipv6-host-scanning-06">https://tools.ietf.org/html/draft-ietf-opsec-ipv6-host-scanning-06</a>>)
    encontraron que este no era el caso, y herramientas de ataque/auditoria
    (<a class="moz-txt-link-rfc2396E" href="http://manpages.ubuntu.com/manpages/trusty/man1/scan6.1.html"><http://manpages.ubuntu.com/manpages/trusty/man1/scan6.1.html></a>)
    demostraron esto en la práctica.

    Tras un trabajo algo arduo (<a class="moz-txt-link-rfc2396E" href="http://i46.tinypic.com/23wmro1.png"><http://i46.tinypic.com/23wmro1.png></a>), se
    publicó RFC7217 (<a class="moz-txt-link-rfc2396E" href="https://tools.ietf.org/html/rfc7217"><https://tools.ietf.org/html/rfc7217></a>), que basicamente
    mitiga los ataques de escaneo de direcciones IPv6.

    Recientemente, como obra de Hannes Frederic Sowa (RedHat), se ha
    incorporado una implementación de RFC7217
    (<a class="moz-txt-link-rfc2396E" href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ce046c568cbfb4734583131086f88cfe993c01d0"><https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=ce046c568cbfb4734583131086f88cfe993c01d0></a>),
    para que la misma esté incluida en el release 4.1 del Linux Kernel. Como
    resultado, RFC7217 estara en breve en las distintas distribuciones de
    Linux (por ej., Fedora 22, a ser lanzado el 12 de Mayo de este año).

    Para quienes brindan cursos de IPv6, tal vez sea hora de actualizar los
    materiales -- las direcciones MAC en los IIDs van camino a ser cosa del
    pasado.

    Que lindo es dar buenas noticias
    (<a class="moz-txt-link-rfc2396E" href="https://www.youtube.com/watch?v=4M6dkGQwiYA"><https://www.youtube.com/watch?v=4M6dkGQwiYA></a>) :-)

    Saludos cordiales,
    --
    Fernando Gont
    SI6 Networks
    e-mail: <a class="moz-txt-link-abbreviated" href="mailto:fgont@si6networks.com">fgont@si6networks.com</a> <a class="moz-txt-link-rfc2396E" href="mailto:fgont@si6networks.com"><mailto:fgont@si6networks.com></a>
    PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492




    _______________________________________________
    LACTF mailing list
    <a class="moz-txt-link-abbreviated" href="mailto:LACTF@lacnic.net">LACTF@lacnic.net</a> <a class="moz-txt-link-rfc2396E" href="mailto:LACTF@lacnic.net"><mailto:LACTF@lacnic.net></a>
    <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lactf">https://mail.lacnic.net/mailman/listinfo/lactf</a>
    Cancelar suscripcion: <a class="moz-txt-link-abbreviated" href="mailto:lactf-unsubscribe@lacnic.net">lactf-unsubscribe@lacnic.net</a>
    <a class="moz-txt-link-rfc2396E" href="mailto:lactf-unsubscribe@lacnic.net"><mailto:lactf-unsubscribe@lacnic.net></a>
    _______________________________________________
    LACTF mailing list
    <a class="moz-txt-link-abbreviated" href="mailto:LACTF@lacnic.net">LACTF@lacnic.net</a> <a class="moz-txt-link-rfc2396E" href="mailto:LACTF@lacnic.net"><mailto:LACTF@lacnic.net></a>
    <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lactf">https://mail.lacnic.net/mailman/listinfo/lactf</a>
    Cancelar suscripcion: <a class="moz-txt-link-abbreviated" href="mailto:lactf-unsubscribe@lacnic.net">lactf-unsubscribe@lacnic.net</a>
    <a class="moz-txt-link-rfc2396E" href="mailto:lactf-unsubscribe@lacnic.net"><mailto:lactf-unsubscribe@lacnic.net></a>



_______________________________________________
LACTF mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACTF@lacnic.net">LACTF@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lactf">https://mail.lacnic.net/mailman/listinfo/lactf</a>
Cancelar suscripcion: <a class="moz-txt-link-abbreviated" href="mailto:lactf-unsubscribe@lacnic.net">lactf-unsubscribe@lacnic.net</a>

</pre>
      </blockquote>
      <pre wrap="">

</pre>
    </blockquote>
    <br>
  </body>
</html>