[gugs] Aprovechando que estamos mareando el fw de SD...

Esteve Fernàndez esteve en sindominio.net
Dom Ago 19 21:56:08 CEST 2001 

On Sun, 19 Aug 2001 21:09:43 +0200
matze <m.a.t.z.e en gmx.net> wrote:

> hola,
> 
> no sé mucho del firewalling pero en la mayoría de los actículos que he leído 
> se recomende hacerlo al revés: en vez de permitir primero todo y poner 
> entonces unas reglas que prohiben ciertas cosas, prohibir todo y sólo 
> permitir las cosas que realmente necesitas. es más trabajo y al principio te 
> encuentras con programas que no funcionen, pero tienes mucho más control. 

Tal vez, pero debería poner además la característica de "stateful", que consume
muchísimos más recursos. En windows es normal lo de "niega todo y después permite",
porque no tienes control exacto sobre qué puertos se abren y cuáles no, al ser win9x
un sistema monousuario, todo funciona como root y se puede abrir puertos del sistema
(1-1024) sin que te dés cuenta.

La característica de "stateful", hace que el fw actúe como "sólo permite conexiones
VÁLIDAS entrantes si antes ha habido una petición saliente". En una red casera eso no tiene
mucho sentido si el fw lo lleva un linux y los clientes son windows, nadie puede acceder
al puerto 31337 (el de backorifice por ejemplo) del ordenador de mi madre, porque
ella está detrás de un fw que es mi ordenador (a menos que redirija ese puerto al
ordenador de mi madre, pero no le voy a hacer eso ;-))

> además usaría el DROP en lugar del REJECT, así un posible atacante no sabe si 
> un programa escucha en el puerto, porque no recibe respuesta.

Precisamente el REJECT es un DROP "avanzado", no sólo niega el acceso, sino
que además permite enviar una respuesta específica. Con un escaneador de puertos
un puerto que lleve DROP, te aparecerá como filtered, pero con el REJECT que
devuelve un RST el puerto aparece como cerrado (mejor que nadie sepa ni tan
siquiera que tengo un fw). Adéu.
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 232 bytes
Descripción: no disponible
Url        : /pipermail/gugs/attachments/20010819/6d9877e6/attachment.pgp

Más información sobre la lista de distribución Gugs