[hackmeeting] RE: preguntas varias

Joseba joseba en sindominio.net
Mie Ago 22 09:08:46 CEST 2001


Aupa!

On Wed, Aug 22, 2001 at 02:44:37AM +0200, Esteve Fernàndez wrote:
> On Wed, 22 Aug 2001 01:37:37 +0200
> Flynn Kobe <flynn en barcelona.com> wrote:

> > 
> >   Sigo insistiendo en que la intranet principal no deberia estar
> >   conectada fisicamente a Internet, es un riesgo innecesario. Por muy
> >   buena que sea la gente, por mucho que me digais que el año pasado no
> >   hubo ningun problema, creo que es mejor evitar a toda costa una
> >   "primera vez" porque si pasa, tal como estan las cosas en nuestro
> >   pais, nos buscaremos un buen lio.

De verdad, que con la configuración de la que estamos hablando no hay
ningún problema conocido. Por resumir (me reduzco a la zona de
navegación salvaje):
- tienen una ip privada (de las que no puede salir a internet porque los
  routers gordos no las redirigen de forma dinámica)
- sólo se pueden conectar con el area de servidores que montemos. Que
  queremos que naveguen y hagan ftp? pues ponemos un proxy. ¿Que
  queremos que puedan enviar correo -que no creo-? Pues montamos un
  servidor de correo local. ¿que queremos que puedan chatear? pues
  montamos un server de irc y lo enlazamos con uno externo. NUNCA llegan
  a internet, sólo a nuestros servers, y son esos los que realmente
  salen fuera. Esto no es inexpugnable, pero no es expugnable :) (o sea,
  que no es seguro pero no es inseguro :)


> El año pasado no hubo ningún problema, pero es que NI SIQUIERA HABÍA
> MEDIDAS DE SEGURIDAD. Tal vez el año pasado había una mentalidad
> de compartir y pasárselo bien. Lo que no entiendo es (si no debe haber acceso
> a internet), para qué queremos un adsl de 2mb?
> En los hm anteriores al de catania, sí que había acceso al exterior, pero
> este año cascó, sólo eso.

El problema que hubo el año pasado fue que mucha gente se enchufaba al
napster de forma compulsiva. Algo así queremos evitarlo (vamos, que el
que se quiera descargar pelis y de más familia, que lo haga en su casa o
en una party).

> > EF> Lo que yo decía es simplemente negar ese tipo de conexiones/ataques, sin
> > EF> molestar al resto, si nadie provoca ataques al exterior: perfecto, el sistema no
> > EF> entrará en acción. Si alguien los hace: no podrá, pero el resto de asistentes
> > EF> podrá utilizar la red normalmente, es básicamente una medida de prevención.
> > EF> Se puede tomar como una forma de censura (aunque hay que ser muy rebuscado
> > EF> para tomárselo así)... pero tb como protección para evitar un mal uso de la red.
> > 
> >   En vista que vamos a un meeting donde puede entrar cualquiera y a
> >   veces con un nivel tecnico muy alto, estas frases (y otras
> >   anteriores) me recuerdan a lo que en 1912, pronuncio un
> >   experimentado marino:
> > 
> >   "Tranquilos, mientras yo sea el capitan de este barco, es imposible
> >   que se hunda". EJ Smith, Capitan del Titanic. O:)

Hombre, pero también se supone que la gente viene de buen rollo. Y en
cualquier caso, te recuerdo lo que te he dicho arriba, que la
configuración "está pensada".

> Entonces... debemos quitar las comunicaciones hacia fuera?

Yo estoy porque no, pero si se quiere, decidlo ahora!!! más que nada
para no pagar la adsl :)

> >   La rotundidad con que afirmais que sera "imposible" hacer tropelias
> >   (ni mas ni menos que en un hackmeeting) me asusta un poco. Espero
> >   que sepais bien lo que haceis (de buen rollo :).

> Tal vez haya parecido muy rotundo, pero asumía que aquí tod en s ya sabían
> que no hay nada 100% seguro (sobretodo en informático). Si no ha quedado
> claro, ya lo digo ahora: NO HAY NADA INFALIBLE.

> >   Ademas de haber pocas maquinas en el HM, el que no haya Internet
> >   pienso que favoreceria que la gente aprenda cosas nuevas
> >   experimentando con las cosa que instalemos en los Linux, y no para

> Seguro? Estás tan seguro que podemos "dirigir a la gente" hacia diferentes
> objetivos como si fuesen becerros?
> Me acuerdo que el año pasado, gracias a internet, muchos pudimos ver
> demos en ascii, aprender sobre varias cosas, etc. Si a alguien no le interesa
> una charla (o un taller), no va a asistir, tanto si hay internet como si no lo hay.
> E imagínate otro caso: no hay internet, pero hay red y ordenadores...
> competición instantánea de quake, jugando al mame en red, etc.

Efectivamente, quien quiera aprenderá y quien no no. Precisamente por
eso restringimos pero no quitamos la salida a fuera, para que la gente
no esté todo el día enchufado pero que quien quiera lo pueda hacer
(Flynn, recuerda lo frustrante que fue en Catania no poder enviar un
mail o una noticia a barrapunto -o en mi caso un SMS- salvo haciendo
virguerías).

> >   Es que llevo años oyendo esto de "tranquis que aqui no pasa
> >   nadie..." y bumba, a los dos dias tenemos un amiguito nuevo en el
> >   sistema que resulta que sabe un 'truco' que el admin no sabia. :P

> La cuestión es que no habrá "un admin", tod en s ayudamos en la red.
> El año pasado, yo me infiltré en la parte de arriba (donde estaba
> el router) porque abajo hacía mucho calor (y mucho humo, cosa que
> me obligó a dar las charlas con un micrófono, cogí una laringitis
> justo el primer día del hm). Al final resultó que ayudé en algo y me
> divertí (además de aprender).
> Montar una red en el hm es básicamente eso, quinientas personas
> alrededor de los admins originales (los que se encargan en un principio,
> pero que al final se convierten en muchos más, gente que no conocías
> de antes y que luego te "captan para entrar en SD ;-)", como es mi caso),
> viendo cómo poner un firewall, dando consejos sobre mejorar la red,
> ver la cantidad de tabaco que fuma Joseba XDDD

Eh, que no fumo tanto.... siempre :) Esperemos que este año la cosa vaya
más fluida, porque el año pasado yo llego a Les Naus el viernes por la
mañana... y seguidamente me secuestran porque la salida no funciona (y yo
no había configurado una rdsi en la vida)... hasta el sábado a mediodía
aquello no se estabilizó. Eso sí, por allí pasó todo el mundo, desde
Marga Joanma y yo, hasta Esteve, Blicero y compañia desde Italia,
Patxangas, ... y lo mejor fue que había un buen rollito del copón. Pero
vamos, que este año mejor si conseguimos el buen rollito echando una
partida de cartas :)

> >   Pero vaya, si me decis que realmente sabeis lo que haceis, yo no lo
> >   pongo en duda ni nada parecido, faltaria mas. :)

> En ningún momento (al menos yo), no se ha dicho "está todo controlado,
> soy un genio, esta es mi guerra (con voz de rambo)". Que la cagamos? perfecto
> (bueno, no tan perfecto), pero el hm no tiene que "defender una imagen" que
> somos genios, el hm es un encuentro de gente interesada por aprender
> en los aspectos de la telemática y de su uso social. En la defcon siempre
> intentan defender una imagen al exterior: luego se descubre que el
> /etc/shadow del servidor va rulando de ordenador en ordenador, que
> los cd's que se reparten están infectados de virus (caso de cdc cuando mostraron
> el bo2k), etc. Nosotros no tenemos nada que demostrar, si la cagamos...
> bueno el año que viene un agujero menos. Si alguien juzga el hm por los
> incidentes de la red, es que no se ha enterado de lo que va el hm.

Plas, plas, plas. 100% de acuerdo.

> > P.D. Solo por curiosidad, habeis tenido en cuenta tambien la
> > posibilidad de los ataques externos? eso de hackear un hackmeeting
> > desde fuera tambien tiene su morbo... :)

Je, lo más divertido es que ya los ha habido y no os habeis enterado :)
Alguien lleva unos días "atacando a sindominio", pero el viernes a la
noche lo solucionamos más o menos (lo solucionamos -ya no nos afecta-
pero la solución pensamos que es mejorable). Y digo que atacan al
hackmeeting porque una de las cosas que intentan es acceder como usuario
hackmeeting... en fin.

Pero ante estas cosas... siempre te pueden sorprender por mucha
configuración que tengas. Yo he descubierto agujeros en firewalls en la
uni que cuestan mucha pasta, y que en teoría vino un experto a
configurarlos (cobrand un montón de pasta). Y luego va y resulta que no
mira los paquetes con el bit SYN activado... Si alguien nos ataca,
tenemos varias soluciones: la primera, intentar buscar una solución
sobre la marcha (Esteve, me he repasado mis conocimientos de regexp, si
quieres luego revisamos el antidos, que creo que se puede hacer en una
linea  o dos y sin gsubs), la segunda responderle, la tercera
desenchufar la red, ... si pasa en ese momento lo resolveremos.

Aaaaaaaaaaaaagur.

> Ehem... eso es lo primero en lo que se piensa ;-) De todas formas,
> si según tú no deberíamos tener internet... cómo vamos a recibir
> ataques externos :-?





Más información sobre la lista de distribución HackMeeting