Categories
General seguridad

Blog de Seguridad de la Información

Me han comentado la existencia de este blog. En él se comentan noticias y asuntos relacionados con la seguridad en la Información.

Espero que os sea de utilidad.

Categories
diseño General seguridad

WIFI: ¿Abierta o cerrada?

Estos últimos temas de la asignatura han estado centrados en la seguridad informática: la protección de nuestra infraestructura de red ante posibles usos no deseados y, en concreto, los hemos enfocando desde el punto de vista de las redes de comunicaciones y las posibilidades que tenemos para proporcionar confidencialidad, disponibilidad, integridad, identificación-autenticación y no repudio.

Navegando por la blogosfera he leído este apunte de E. Dams Dans donde comenta las razones por las que un reconocido experto en seguridad (Bruce_Schneier) deja su WIFI personal completamente abierta.

Ya se sabe, para gustos los colores, pero como podéis comprobar, en este caso, está razonada la decisión. Sin embargo, hay afirmaciones, cuantomenos, conflictivas:

“Riesgo para tus propios datos? Es de hecho mucho mayor cuando tus datos salen de casa a bordo de, por ejemplo, un portátil, y te conectas a través de la red de un hotel o un aeropuerto: la seguridad debería estar en la máquina, y por tanto, si la máquina es segura, la red da exactamente lo mismo (y si no lo es, considerando el razonamiento contrario, también)”

“dedicarse a encriptar y asegurar la red inalámbrica es algo que, directamente, no vale la pena. Y además, si más gente la deja completamente abierta, conseguiremos con ello hacer del mundo un lugar mejor.”

Una de las principales acciones que se deben realizar para proteger un sistema informático es el análisis y valoración del riesgo. Esto es lo que hace Bruce_Schneier en su artículo. Hace un análisis de los riesgos potenciales a los que se puede ver expuesto y una valoración de los mismos dado el entorno y la jurisdicción a la que está sometido, para concluir que no le merece la pena preocuparse.

Creo que no todo el mundo comparte la afirmación de que la seguridad debe recaer en los hosts (por ejemplo yo), aunque en el ámbito en el que está planteada (¡ojo!, no lo olvidemos: se refiere al ámbito doméstico) y con las consideraciones legales particulares de Estados Unidos a las que se refiere (que no conozco y supongo que él hablará con conocimiento de causa), creo que es una decisión muy lógica y sobradamente justificada. No quiero decir que la comparta, sino que es un buen desarrollo lógico de cómo debemos tomar decisiones respecto a éstos temas.

Categories
General

Valoraciones

Sé que me comprometí a que con cierta periodicidad, pondría la valoración de las aportaciones que estáis realizando en el blog. No sirve de disculpa, pero espero que entendáis que esto lleva mucho trabajo y he tenido que replantear el número de valoraciones que proporcionaré.

Así, colgaré estas vacaciones de Navidad (antes de que acabe el año, de verdad 😉 ), en el Campus Virtual de la UA, las valoraciones personales de los apuntes que hayáis hecho de todas las entrada hasta la del DHCP. Dejaré para final del cuatrimestre el resto de entradas que haya.

Categories
General servicios tcp-ip

Prácticas recomendadas de DHCP

Instalar y configurar los parámetros de red de todos los nodos de una LAN, se puede centralizar y automatizar mediante DHCP. Esto es aplicable en entornos heterogéneos, es decir, con variedad de clientes (Windows, Linux, Mac,…). Es posible que nos encontremos con la circunstancia de que, bien por disponibilidad, bien por carga, instalemos más de un servidor de DHCP para gestionar este proceso.

En la página de Microsoft (opción, a la derecha, de prácticas recomendadas) dicen que una práctica recomendable para distribuir la carga entre dos servidores DHCP es la llamada regla de diseño 80/20. Dicha regla consiste en distribuir el 80% de las direcciones disponibles para una red entre un primer servidor de DHCP y el 20% restante mediante un segundo servidor. ¿Qué pensáis? ¿Palabra de Microsoft? 😉 ….

Categories
General tcp-ip

Encaminamiento regulado

Por fin uno de vosotros (un compañero vuestro) se ha lanzado y propone un tema que, bajo mi punto de vista y desde el enfoque de la administración de redes de computadores, me parece MUY interesante.

Os animo a los demás a seguir su ejemplo.

Aquí os lo dejo. La idea es que, como en las entradas anteriores, expongáis otros ejemplos de escenarios en los que es interesante y útil el dirigir paquetes mediante encaminamiento regulado.

Edito: Por si alguien tiene dudas, os aclaro que también se pueden usar los ejemplos expuestos en clase. Lo que no debéis es repetiros en los comentarios.

——————–

Autor de la entrada: Juan Galiana

Texto:

Encaminamiento regulado es la capacidad de encaminar entre distintas redes en base a la información que contiene la cabecera o datos de los paquetes que circulan por ellas. Se pueden crear normas para clasificar los paquetes que vendrán determinadas de varias maneras: dirección origen, destino, interfaz entrante, TOS y fwmark. En concreto iproute2 permite usar la información de marcado de iptables (fwmark) para encaminar por una ruta u otra los paquetes dependiendo de estas marcas.
Utilidades que puede tener esto:

No sólo podemos usar información de la cabecera (como por ejemplo puerto, o tipo de protocolo) sino también otra información extendida que permite iptables, aunque es un dato propio de una máquina y no de una red, vamos a redirigir por ejemplo el tráfico TCP del usuario con UID 1000 por la IP 172.16.70.70 y dispositivo eth1, (los demás irán por la ruta por defecto):
1)# echo “200 FILTRO”>> /etc/iproute2/rt_tables
2)# ip rule add fwmark 1 table FILTRO
3)# ip route add table FILTRO via 172.16.70.70 dev eth1
4)# iptables -t mangle -A OUTPUT -p tcp -m owner –uid-owner 1000 -j MARK –set-mark 1

1) Creamos la tabla en el rt_tables
2) Añadimos una regla, asociando nuestra tabla FILTRO con la marca “1” en los paquetes.
3) Añadimos una ruta para la regla FILTRO, configurando que saldrán por lainterfaz eth1, ip 172.16.70.70
4) Marcamos con iptables el tráfico TCP del usuario con UID 1000 con la marca “1”
El redirigir tráfico de un UID específico puede servirnos para salir a Internet por una interfaz distinta (otra interfaz física o vpn) cuando la ruta por defecto no permita el paso de ese tipo de tráfico, simplemente corriendo el proceso con uid distinto.
El marcado por UID es un ejemplo curioso que permite iptables, pero también se podrían marcar por otros características como tipo de protocolo de transporte TCP o UDP, marcarlo con distintas marcas y luego asociar rutas distintas mediante reglas que asocien estas marcas con la ruta que nos interese.

Categories
General seguridad servicios tcp-ip

DNS: el servicio más preciado …

La importancia que ha adquirido el Servicio de Nombres de Dominio (DNS) en Internet es algo incuestionable hoy en día. Sin el DNS, cómo enviaríamos nuestros correos, consultaríamos y buscaríamos información en Internet.

Sin embargo, no es oro todo lo que reluce. Existen problemas de seguridad de redes que afectan directamente al DNS.

Sigamos con la “caza del tesoro” pero esta vez, buscamos (y comentaremos) ataques contra el sistema de nombres. La idea es indicar: nombre del ataque, modus operandi, (posible) solución y, por supuesto, referencias de la información consultada. Me gustaría que, entre todos (los profes también 😉 ) comentemos los distintos ataques que se vayan enumerando. Los comentarios podrían versar sobre: la gravedad del mismo (repercusión social, si la hubo), cuando se produjeron, por qué, cómo, …

Por tanto resumiendo, 2 tipos de comentarios: ataques y comentarios sobre los distintos ataques. En ambos, rellenando la información que se indica.

Categories
General

Inicio curso 2007-2008

Como hemos comentado en clase de teoría, vamos a utilizar los blogs como herramienta de aprendizaje para la asignatura AIRC (que da nombre a este blog).

La idea es proporcionar 1 ó 2 apuntes a la semana que sirvan de base para debatir entre todos un tema dado en clase. Es otra forma de estudiar.

Empezamos …..

Categories
General Objetivos

Declaración de intenciones

 

Justo hoy, a pesar de que ya ha finalizado el curso académico, he decidido iniciarme en el mundo de la blogoesfera con un blog dedicado a la asignatura que imparto en la Universidad de Alicante.

¿Qué pretendo con este blog? That’s the question.

El objetivo de este blog es que sirva como apoyo, herramienta y complemento a la docencia impartida en AIRC. Para ello, comentaremos situaciones, noticias y temas relacionados con la asignatura, intentando que “sirva” para todo aquel/aquella que le interesa la administración de redes de computadores, aunque este interés sólo sea para aprobar la asignatura ;-)

Categories
General

¡Hola, mundo!

Bienvenido a blogsUA. Esta es tu primera entrada. Edítala o bórrala antes de comenzar a escribir.