[hackmeeting] vale vamos a ello proyecto: mega-firewall

Esteve Fernàndez esteve en sindominio.net
Jue Sep 27 16:08:15 CEST 2001 

On Wed, 26 Sep 2001 23:27:45 +0200
felipe <angoitia en airtel.net> wrote:

> 
> 	Buenas,
> 
> 	El otro dia me comentaron que ipfilter y los nucleos 2.4 no son totalmente
fiables todavia sobre todo si 
> 	se trata de realizar un firewall realmente seguro. No estoy muy seguro (fume
demasiada maria durante el hm)
> 	pero creo que el que me lo comento fue joseba, al cual le doy todo el credito
del mundo...

ipfilter es el sistema de firewall de los *BSD, pero no es libre, aunque el
equipo de OpenBSD está escribiendo una nueva implementación libre llamada
openipfilter
El problema de los 2.4 es la memoria virtual (bastante grave), pero con respecto
al firewall, es una de las soluciones más interesantes. Un día Joseba y yo
estuvimos dándole caña, pero la única cosa que no nos gustó es que con el log-ip
no aparecía la ip auténtica si se hacía spoofing (sería normal, si sólo se
hiciese log-tcp).

> 	Esta mañana mientras me aburria en el curro he encontrado un texto muy
interesante sobre como montar un
> 	firewall con OpenBSD + snort, ademas se ampliaba hasta como montar una VPN
segura usando este so. Sabeis si 
> 	existe algo similar en GNU/linux? podria estar interesante intentar montar
una entre la red del gazte de 
> 	udondo y la de otro CSO, ke os parece? 

Se puede, con Free/SWAN, SNORT y netfilter (o con ipchains).
Las VPN lo que te dan es la posibilidad de trabajar como en una red local, pero
a través de Internet, no creo que sea especialmente útil en un CSOA, lo que hace
falta es que la gente use GnuPG (o esa cosa llamada PGP ;D) con su correo. La
única posible utilidad en un CSOA es tal vez si se quieren compartir archivos,
pero si no son extremadamente grandes se pueden enviar como adjuntos.
Otra cuestión es que si bien hay software VPN con soporte ISAKMP (el sistema
estándar de VPN) libre para UNIX para hacer de bastión -a los "servidores" VPN
se les llama así- y clientes, no hay ningún cliente libre para Windows (aunque
he visto alguno gratuito).
Sobretodo hay que tener en cuenta que una VPN consume mucho ancho de banda y
sólo es medianamente viable con xDSL y cable, mientras que no todos los CSOA
tienen una buena conexión.
Adéu.

--
Imagination is more important than knowledge
esteve en sindominio.net
Key fingerprint = EC56 9368 0DBA B56E F67E  D938 27F0 3F30 C1B7 00AA
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: no disponible
Url        : https://listas.sindominio.net/mailman/private/hackmeeting/attachments/20010927/cc6cb713/attachment-0001.pgp

Más información sobre la lista de distribución HackMeeting