[Ayuda] Fire Wall (fwd)

Jesus Alejandro Juarez Robles alex en iztacala.unam.mx
Lun Ene 21 18:24:54 CST 2002


Hola!

Que quede claro que esto no es una guerra de OS's, que no es la lista
indicada y que  bastante  maduritos andamos para caer en esos juegos,
pero tan solo quiero ayudar a aumentar la confusi'on ;-).


On Mon, 21 Jan 2002, Javier Martinez wrote:

> Alex, no pude contestar esto, creo que tu tienes mas informacion de la que
> yo puedo tener.
>
> Saludos
>
>
> En el número más reciente de la revista ;login: aparece publicada una
> carta que me hizo pensar sobre cuán sobrevaluada está la seguridad de
> OpenBSD. Es cierto que el grupo le dedica la mayor parte de su tiempo
> a la seguridad, pero de nuevo están en sinergía con el resto de las
> tribus de BSD, así que los cambios de OpenBSD se pasan rapídamente a
> FreeBSD, igual que las mejoras al kernel de FreeBSD van a parar
> rápidamente a OpenBSD. Es decir, entre las tribus de BSD, eso de la
> seguridad es algo más bien colectivo.

La seguridad en OpenBSD entra en uno de los objetivos del proyecto, en
otros sistemas operativos pasa a segundo t'ermino, adem'as he de comentar
que los cambios que se dan en otro BSD NO se aplican  t'an r'apidamente
al n'ucleo, pues el proceso de desarrollo en OpenBSD es evolucionario y no
revolucionario como en FreeBSD o NetBSD, que son proyectos que en parte
intentan seguir la misma l'inea de innovaci'on  que se da en Linux.

> Por otra parte, la gente que se encarga de seguridad en Linux, sigue
> muy de cerca las mejoras a OpenBSD (y por ende a sus ``hermanos''),
> así que aquello de que OpenBSD es el más seguro, me parece que es más
> bien un mito.
>

NO pueden decir que siguen muy de cerca, pues el m'odelo de desarrollo
que se aplica a Linux es diferente, este cambia demasiado r'apido,
misma situaci'on que hace imposible dar continuidad a un proceso de
auditor'ia y evitar los errores de seguridad que con frecuencia repiten.

OpenBSD es el m'as seguro debido al m'odelo de desarrollo y a los procesos
de audito'ria a los que esta sometido el c'odigo del sistema, ejemplo:

Si el ftpd tiene una bronca con un nuevo tipo de buffer overflow, en otros
sistemas  operativos se hace la correci'on 'unicamente a este programa,
pues es en este caso *ftpd* la aplicaci'on *afectada*, en OpenBSD no solo
se audita y se corrige el  c'odigo de esa aplicaci'on, sino que el sistema
completo es auditado, l'inea por l'inea buscando que los dem'as
componentes del sistema NO sean vulnerables al nuevo tipo de buffer
overflow.(aqu'i esta una de las grandes diferencias).

Por otro lado la auditor'ia de OpenBSD se da en tres niveles:
1 -> Nivel del n'ucleo
2 -> User land aplications
3 -> Ports (De los cuales el coreteam no garantiza que sean seguros)

Es decir el equipo de desarrollo entrega un sistema totalmente
auditado, no es un kernel(Caso de Linux) al cual se integran aplicaciones
de terceros en cada distribuci'on.

Adem'as veamos las pr'acticas de programaci'on aplicadas en  el c'odigo
de otros Sistemas Operativos, no hay comparaci'on, OpenBSD es el que tiene
el c'odigo m'as  limpio y bien documentado.

Como bien presume el core-team, se tienen 4 an~os sin una vulnerabilidad
remota en un instalaci'on predefinida. Y esto es gracias a otra de las
pol'ticas aplicadas al proceso de instalaci'on del sistema, la cual hecha
a andar un  sistema con el m'inimo de puertos abiertos, lo que permite
que el  usuario no necesite ser un experto en seguridad para tener su
sistema protegido desde la instalaci'on(Caso contrario de la mayor'ia de
sistemas, que te entregan un sistema con muchas broncas de seguridad desde
el primer arranque),  adem'as cuando el usuario necesita activar alg'un
servicio se ve obligado a leer y a aprender, y es en este proceso de
aprendizaje en donde existe mayor probabilidad de que el usuario aprenda
acerca de seguridad en lo que al servicio que desea activar concierne.

La seguridad en otros OS's (Linux, FreeBSD, NetBSD) es diferente,
simplemente no esta inclu'ida y no es una prioridad en el proceso de
desarrollo y planeaci'on de esos proyectos, aunque he de admitir que hay
proyectos  interesantes e inovadores como LinuxSE o LIDS que incluyen
excelentes ideas para incrementar la seguridad, pero que desde mi punto
de  vista no son funcionales pues al tratar de implementarlos en  sistemas
en  producci'on no dan el ancho, pues las modificaciones al n'ucleo que
permiten usar los mecanismos de protecci'on dirigidos a los diferentes
componentes del sistema afectan fuertemente al performance del OS.

Saludos


_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx



Más información sobre la lista de distribución Ayuda