[Ayuda] ligar mac address con ip para autenticar

garaged garaged en gmail.com
Mie Dic 21 09:45:17 CST 2005 

>
> > Eso viene del que da las platicas del falso sentido de seguridad ???
>
> ¿Quieres discutir los riesgos con más detalle?


La verdad es un tema que a ti y a mi nos apaciona, Gunnar podria entrar aqui
y cualquier otro que tenga interes, yo se que ambos son expertos en muchas
cosas que yo no :-), perdon por dar mi opinion. NOTA: No lo dije
ofensivamente, lo dije tratando de hacer notar que yo estoy bastante de
acuerdo en lo que he visto de tus platicas (por las presentaciones que he
visto, nunca he visto una en persona) aunque creo que queda claro.

El problema (según leí) es acceso no autorizado a servidores Samba
> (archivos, impresoras....). Desde luego, sabemos que núnca hay que
> subestimar a un usuario con ganas de chingar la madre, pero para eso hay
> otras herramientas como los detectores de intrusos. La diferencia es qué
> tanto control tengas sobre tu red. Si cada quién hace en tu red lo que
> se le pega la gana y tienes a un usuario que más allá de saltarse las
> reglas quiere chingar pues te va a ser muy difícil encontrarlo a
> diferencia de una red donde tienes a todos tus usuarios bajo control y
> todo tu tráfico bajo control, donde las anomalías se vuelven más
> evidentes para los detectores de intrusos.



Este parrafo que escribiste es muy interesante, porque el hecho de que no
puedes darle acceso a recursos criticos a usuarios inexpertos o
desconfiables, por una simple razon, si saben suficiente (que no es
complicado) va a poder tener acceso a cualquier cosa suplantando
"personalidades" porque facilmente van a poder poner una maquina legitima
fuera de juego, usar su mac/ip y la contraseña que previamente habras
conseguido (tampoco seria dificil) y van a atacar, en el peor de los casos
tambien van a hacer que el ataque parezca venir de la persona legitima, no
de la copia, no solo de su computadora.


El contrapeso es el costo. Si el daño que te pueden causar es mayor al
> costo de hacer una VPN de roadwarriors dentro de tu misma LAN ya tienes
> la respuesta. La inseguridad de los sistemas puede llegar a ser evidente
> para un ojo bién entrenado; la diferencia es estar consciente de quién
> te puede causar daño y por dónde para que puedas tomar la decisión de
> qué tanto aprietas la seguridad o qué tanto la aflojas.


Es que en esos casos no quieres que tenga acceso nadie que no sea de total
confianza, porque si algo pasa solo las personas con acceso van a ser
responsables.

Todo tiene desventajas, y la gran desventaja de usar una VPN encriptada
(como debe ser) es que te enmascara totalmente todo, de tal manera que metes
una capa extra de exploracion en caso de ataques, ya que el usuario atacante
va a parecer totalmente legitimo segun las medidas de seguridad, y lo peor
es el esquema que mencione antes, ademas el ataque va a parecer como
diseñado por un usuario legitimo, una persona con tanto interes en atacar un
vpn corporativa seguramente va a saber bastante del usuario que suplanta
como para hacerlo quedar como responsable, y pero aun si realmente quiere
hacerlo quedar mal a proposito.

> En mi opinion en LAN no vale la pena hacer ningun tipo de
> > complicacion, la politica debe ser "legal", de la forma: "no debes
> > cambiar la configuracion de tu maquina porque te corro", si alguien lo
> > hace lo corres,
>
> Las soluciones de tipo legal funcionan a posteriori y sólamente
> funcionan si tienes la capacidad de demostrar la infracción (o el
> delito) ante un tribunal. Si alguien le causó algún daño a tu
> organización evidentemente lo puedes demandar por cien millones de
> dólares (o lo que le puedas sacar), pero mientras el juicio transcurre
> sigue habiendo un daño que hay que reparar y una operación que hay que
> seguir manteniendo. De ahí la importancia de la prevención en los
> sistemas de calidad.


De acuerdo, pero seria extremandamente mala una politica empresarial que no
proteja sus datos por fuera, de tal manera que siempre persigues la
intencion de dañarte, no realmente el daño, porque casi siempre el daño es
minimo porque el sistema es consistente aun a ataques.

> porque por mas que hagas politicas de acceso a la red, todas son
> > suceptibles de ser engañadas y atacadas trivialmente para cualquiera
> > que sepa tantito de TCP y relacionados.
>
> Eso depende de cuántos detectores de intrusos tengas, en dónde los
> tengas y qué tipo de anomalías estés buscando.
> Eso también depende de qué tan protegidos tengas a tus servidores contra
> ataques que no es lo mismo que tenerlos protegidos contra abusos.


Exacto, y va a ser mas util tener detectores adecuados, porque necesitas
tener  registro de los ataques aun cuando no los detectes rapidamente, y los
datos no son tan preocupantes porque el sistema es adecuado y no pierde
datos por simples ataques, asi como valida nuevos datos que puedan no ser
legitimos. La deteccion humana es mejor que cualquier metodo inventado por
el hombre, y casi siempre va a ser la que detecte el ataque tambien, asi que
insisto, el sistema debe ser adecuado para evitar todo eso.

> Los usuarios no deben abusar porque esta prohibido, no porque se los
> > haces "dificil", donde dificil es facil en casi cualquier caso.
>
> Si en tu organización está prohibido cierto tipo de abuso a cierto
> recurso eso debe estar controlado en todos los puntos de acceso a ese
> recurso. Un contrato en papel no te sirve de nada si no demuestras
> intención, si no demuestras control y si no demuestras evidencia
> contundente del abuso. Y sabemos que en los medios digitales toda la
> evidencia es falsificable y eso la debilita.


En mi opinion no debe interesar demasiado la posibilidad de demandar, sino
de eliminar a las personas que traten de hacer daño. Pero si es necesario
demandar, necesitas tener evidencia, usando VPN lo mas probable es que vas a
tener evidencia de que un usuario inocente te ataco.

Estoy equivocado ?? aun cuando no soy mucho del estilo empresarial, tengo
cierta experiencia en esto, y en redes lo mejor que puedes hacer es no
depender de que funcionen correctamente, tarde o temprano se va a caer el
teatrito, y no quieres que todo dependa de ella, al contrario, es solo una
herramienta, no el medio.

Saludos
Max

p.d. Mis malditos correos siguen siendo "rechazados" por el
majordomo(suspicious header), y realmente no se si estan llegando a la
lista, o solo a los Cc. Alguien podria hacer algo ??? si es que leen esto
--
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GS/S d- s: a-29 C++(+++) ULAHI+++ P+ L++>+++ E--- W++ N* o-- K- w++++ O- M--
V-- PS+ PE Y-- PGP++ t- 5- X+ R tv++ b+ DI+++ D- G++ e++ h+ r+ z**
------END GEEK CODE BLOCK------
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.srvr.mx/pipermail/ayuda/attachments/20051221/23d58043/attachment.html>

Más información sobre la lista de distribución Ayuda