Afianza la seguridad en Linux
Interesante el artículo de OSNews que conviene leerse “de pe a pa” ya que el autor ha revelado varios de los secretos que influyen a la hora de tratar de mantener nuestro sistema lo más seguro posible. Los consejos abarcan varias áreas, y están dedicados a algunas de las distros más conocidas como Fedora, openSUSE o Ubuntu.
La actualización del sistema es sin duda una de las claves para tenerlo todo a salvo: las actualizaciones se publican normalmente con correcciones de errores de seguridad, y por lo tanto mantener el sistema actualizado garantiza que los exploits de esas vulnerabilidades ya no funcionarán.
A partir de ahí el autor dedica un buen rato a hablar de los firewalls o cortafuegos, que son en su opinión la principal barrera contra las intrusiones, y que deben ser “mimados” para configurarlos a la perfección.
Lo escáneres de malware y de troyanos también son importantes en el artículo, y como era de esperar también hay un apartado dedicado a los antivirus, de los que dice que “De verdad, no necesitáis ninguno. No tienen sentido“. Pero aún así el autor comenta algunas de las soluciones disponibles y qué nos pueden aportar.
Más adelante encontramos consejos sobre la desactivación de ciertos servicios que pueden resultar peligrosos, y también sobre la lectura de los registros y logs que el sistema va dejando en nuestro sistema y que también son cruciales a la hora de encontrar nuevos problemas.
Un artículo de lo más didáctico que seguro que os sirve de referencia para reforzar la seguridad de vuestros sistemas y que podéis complementar con nuestro informe sobre 50 soluciones de seguridad Open Source. No os los perdáis.
Las iptables no estan pensadas para hacer firewalles caseros, si bien es cierto que tocando la configuración se pueden lograr sistemas más seguros nos encontraremos constantemente tecleando reglas en la consola ya que ufw es relativamente pobre.
Es más, me atrevería a decir que hasta que iptables tenga un enfoque por aplicación más cómodo no será un cortafuegos para escritorio.
Un firewall nunca puede tener el punto de vista de aplicación, autorizo al programa x que se conecte a internet, de paso también que baje todo el malware que quiera.
Creo que estás equivocado, de hecho así funcionan los cortafuegos para Windows y de ahí su flexibilidad y comodidad de cara al usuario. De qué vale que capes la salida por un protocolo a un puerto a una ip remota si cualquier aplicación pudiera cambiar de protocolo, ip y puerto? Si capas por aplicación ese problema se termina. Lo ideal es que iptables tuviera un control por aplicación más sencillo y cómodo. No me vale de mucho mentar a l7filter tampoco.
La verdad que a mi me resulta difícil entender el funcionamiento de los firewalls. Por eso aclaro que voy a opinar, pero lo más probable es que esté equivocado.
A mi me parece más seguro habilitar un puerto solo para una o determinadas aplicaciones, que habilitar el puerto para cualquier aplicación, que es la forma en que creo lo hacen los GUI más simples de utilizar, no se los más complejos.
Extraño la característica del “pop-up” en los firewalls de Windows detectando servicios que están pidiendo salida o entrada de trafico, donde se nos pregunta si queremos habilitarlo o bloquearlo, solo por una vez o permanentemente.
Un estudiante desarrolló un proyecto de Firewall (iQfire-wall) que me pareció interesante. El proyecto a estado dormido, pero recientemente se lo ha re abierto con solicitud de desarrolladores para continuarlo.
Saludos.
Ya pero es que sin un firewall a nivel aplicación cómo sabe el firewall a donde tiene que mandar el tráfico que le llega, si le llega de distintos programas y él no entiende de programas, sólo de protocolos, direcciones y puertos?
Tiene buena pinta y espero revisarlo bien en breve. En cuanto a iptables, concuerdo con lo que dice un listo. Aunque, a decir verdad, me da mucha curiosidad nftables, el sucesor de iptables. (:
Salu2
No sabía que había un proyecto para sustituir a iptables. Le echaré un vistazo, gracias. Con respecto a iptables está claramente más pensado para NAT y otro tipo de operaciones más que para un control de salida entrada de programas.
¿no se gestiona bien iptables con firestarter? no sabia que tuviese alguna carencia..es el que está por defecto en la mayoria ¿no?
Al menos siempre gestioné iptables con Shorewall
http://www.com-sl.org/como-configurar-un-firewall-con-shorewall-en-dos-interfaces-de-red-con-politicas-drop-en-centos-y-debian.html
http://www.com-sl.org/como-configurar-un-firewall-con-shorewall-en-dos-interfaces-de-red-con-politicas-drop-en-centos-y-debian-parte-ii.html
salu2
A mi me encantaría un firewall estilo “little snitch” para Mac..
En la Oficina de Michel Dell:
rinnnnnng!! rinnnnng!
Michell: Halo!? quién habla?.
Bill: Soy tu papá estúpid0!! ya ví que dijiste!!!… que acaso tienes el código fuente???. donde lo viste?..
Michell: Perdón apá!!..
Bill: Te subiré 0.30 Dlls por licencias de esa basofia que preinstalas…
Michell: Perdoname apá!!… saldré a decir que es mentira la verdad que dije.
Bill: Bueno, eso espero…