Firewall con Politica DROP
25 views
Skip to first unread message
Jose Ernesto Davila (alucardni)
Feb 25, 2008, 2:50:18 PM2/25/08
to Seguridad Software Libre Nicaragua
Hola a todos,
Existe un ventaja real entre utilizar politica DROP por defecto en un
firewall vs. Politica ACCEPT por defecto??
En mi poca experiencia con iptables he notado que utilizando policy
DROP da mas dolores de cabeza (al menos a mi me los da) que utilizando
policy ACCEPT.
Que opinan ustedes?
Existe un ventaja real entre utilizar politica DROP por defecto en un
firewall vs. Politica ACCEPT por defecto??
En mi poca experiencia con iptables he notado que utilizando policy
DROP da mas dolores de cabeza (al menos a mi me los da) que utilizando
policy ACCEPT.
Que opinan ustedes?
Jorge Dávila
Feb 25, 2008, 6:09:14 PM2/25/08
to Seguridad Software Libre Nicaragua
Hola Ernesto,
Ya había hecho algunas anotaciones a esto en mi blog [1] pero bien ..
escribiré sin re-leer la entrada.
Primero, realmente se puede acercar uno a construir un firewall con
una de dos políticas:
a) Aceptar todo y bloquear el tráfico que no se desea admitir
b) Bloquear todo y aceptar solamente el tráfico que se desea admitir.
Todas las herramientas que conozco, si no recuerdo mal, aplican la
política DROP por defecto.
Internet es tierra salvaje y no hay límites sobre desde donde puede
esperarse que ocurra un ataque a la pila tcp de los equipos
públicamente expuestos o a los servicios de Internet en los servidores
públicamente expuestos.
Mi recomendación técnica es aplicar la política DROP y no asumir que
el tráfico de las redes internas generan nada más tráfico benigno.
Si estás enfrentando un problema de configuración o las nuevas
políticas empresariales te llevan a elevar tus medidas de seguridad
perimetral con gusto te puedo colaborar como consultor en ello.
Saludos,
Jorge Dávila.
[1] http://blog.nicaraguaopensource.com/2007/09/muro-de-fuego-en-gnulinux.html
On 25 feb, 20:50, "Jose Ernesto Davila (alucardni)"
Ya había hecho algunas anotaciones a esto en mi blog [1] pero bien ..
escribiré sin re-leer la entrada.
Primero, realmente se puede acercar uno a construir un firewall con
una de dos políticas:
a) Aceptar todo y bloquear el tráfico que no se desea admitir
b) Bloquear todo y aceptar solamente el tráfico que se desea admitir.
Todas las herramientas que conozco, si no recuerdo mal, aplican la
política DROP por defecto.
Internet es tierra salvaje y no hay límites sobre desde donde puede
esperarse que ocurra un ataque a la pila tcp de los equipos
públicamente expuestos o a los servicios de Internet en los servidores
públicamente expuestos.
Mi recomendación técnica es aplicar la política DROP y no asumir que
el tráfico de las redes internas generan nada más tráfico benigno.
Si estás enfrentando un problema de configuración o las nuevas
políticas empresariales te llevan a elevar tus medidas de seguridad
perimetral con gusto te puedo colaborar como consultor en ello.
Saludos,
Jorge Dávila.
[1] http://blog.nicaraguaopensource.com/2007/09/muro-de-fuego-en-gnulinux.html
On 25 feb, 20:50, "Jose Ernesto Davila (alucardni)"
Noel Vargas
Feb 28, 2008, 10:41:17 AM2/28/08
to Seguridad Software Libre Nicaragua
Administrativamente representa un costo más alto, porque tenés que
DISEÑAR bien tu firewall cuando tenés por defecto la política DROP.
La política ALLOW por defecto es efectivamente más fácil, pero a la
larga te desgasta más tener que andar buscando cómo tapar las goteras
que los usuarios y el malware encuentran para hacer uso del enlace.
DISEÑAR bien tu firewall cuando tenés por defecto la política DROP.
La política ALLOW por defecto es efectivamente más fácil, pero a la
larga te desgasta más tener que andar buscando cómo tapar las goteras
que los usuarios y el malware encuentran para hacer uso del enlace.
Walter Pichardo
Mar 4, 2008, 3:05:52 PM3/4/08
to seguridad-softwar...@googlegroups.com
Brother note compliques tanto, cerras todo y habri solo los servicios que se requieren y a acceso a las maquinas tambien que se requiere.
Saludos
Walter
El día 28/02/08, Noel Vargas <nva...@gmail.com> escribió:
Reply all
Reply to author
Forward
0 new messages