04 junio 2010


Esta simpática noticia, que por cierto, y si no estoy mal informado está basada en un 'rumor', está siendo debidamente 'meneada' en casi cualquier blog sobre tecnología. En unos casos alabándolo, en otros criticándolo, etc etc.

El único artículo bien fundamentado al respecto viene, como no, de Hispasec, el resto de lo que he podido leer son todo tópicos, frases-hechas, y poco mas.

Voy a tratar de poner de una forma esquemática lo que conceptualmente pienso al respecto.

-Windows NO es mas inseguro que Linux o MacOS: Contrario a lo que se piensa, Windows 7 es realmente potente en cuanto a medidas de seguridad, implementa tecnologías punteras que lo ponen por encima de Mac y al nivel de Linux. (Otra cosa, amigo, es que seas adicto a la cuenta de Administrador)

-Cuando pensamos en Organizaciones NO hay que pensar en modo end-user: No, No y No, NO es lo mismo tu mini-red casera con 4 equipos, que una red con miles de equipos, miles de usuarios y cientos de servidores. Que tu con mucho conocimiento, sepas implementar SeLinux en tu Ubuntu o seas un ninja del Iptables es algo que hace seguro *tu equipo* y créeme, no es exportable a una red de miles de usuarios que NO son tan potentes como tu.

-En Seguridad tu aliado es la política global: Si, mas allá del sistema operativo o de las habilidades de tu equipo de seguridad, lo que prima realmente es tu capacidad para definir una política global, que abarque todos los puntos, desde el software que permites usar, la forma en la que permites conectar, la posibilidad de tener trazabilidad en tus sistemas o una gestión sensata de los privilegios que otorgas. Y para eso, a día de hoy, la herramienta mas potente, mas versátil y sin comparación en el mercado es el Active directory de Microsoft. No hay, y lo digo bastante apenado, nada comparable para Linux o Mac. No es creíble, no es posible definir una política global usando herramientas opensource. En su día SUN tuvo un momento de liderazgo con sus soluciones de directorio que heredaron el ya vetusto pero en su día pionero NIS. Salvo que Google nos sorprenda con una nueva herramienta de gestión comparable a AD para entornos Linux, implementar una política de seguridad en entornos OpenSource siempre será una mezcolanza de mil 'apaños' no estandarizada y que siempre estará por debajo de lo que puedas hacer en un entorno Microsoft.

¿Es esto un alegato pro Microsoft? No, ni mucho menos, no soy 'fanboy' de Microsoft. Simplemente intento hacer un análisis objetivo e imparcial de como está actualmente el panorama, y añado: Ojala cambie y realmente existan alternativas.

18 comments :

Angelverde dijo...

Quiza la situación esta en quien ofrece seguridad con el software "recien sacado de la caja". Ya saben, sin mover ni un dedo.

A partir de ahí el esfuerzo requerido para cubrir las necesidades.

Anónimo dijo...

Este post es cojonudo:)

Ojalá algún día tengamos, como bien dices, alternativas reales para elegir a nivel empresa, para los usuarios no técnicos ( y para muchos técnicos), pero a día de hoy, y no parece que vaya a cambiar a corto plazo, no hay nada mejor que las herramientas de Microsoft, aunque sean todo lo imperfectas y mejorables que se quiera, y que quede claro que yo tampoco soy Microsoft fanboy.

Un saludo.
Manolo.

Anubys dijo...

Me parece muy bueno, tu articulo diciendo las cosas claras, pero tengo que discrepar en la afimacion que windows 7 esta(individualmente, no hablo de enternos de Active directory porque no hay color como bien dices) al nivel de linux, para mi mientras que windows siga arrastrando el registro de una edicion a otra del propio sistema operativo todavia le quedaran algunos puntos por pulir, aunque hay que decir que han echo un grandisimo trabajo, sobre todo en el control de reglas del firewall.

bambuka dijo...

En mi trabajo tenemos implementada una solución Openldap+Samba+CUPs para unos 250 puestos. En el aspecto de seguridad ,desde mi punto de vista y por lo poco que he trabajado con AD, no creo que tenga mucho que envidiarle a este.

En cuanto al despligue los SO operativos clientes, ya van de antemano, configurados de acuerdo a la plaforma. Es lo bueno de poder modificar una distro libre. Con esto se ahorran muchos recursos.

La administración de Openldap es sencilla con cualquier GUI. Nos ha costado 0€, cuánto cuesta AD?? No tengo ni idea y no lo digo por flamear es que no tengo ni idea de verdad, supongo que será el costo de un Windos Server no?

Qué ventajas tiene AD sobre Openldap? si es sólo la complejidad, entonces me sigo quedando con OpenLdap porque en absoluto es para tanto...

Un saludo.

C. dijo...

Coincido con vosotros plenamente. Eso si, me ha parecido un poco 'freak' el ban estilo IRC :D

aser1 dijo...

Bambuka lo tuyo puede funcionar perfectamente pero, como dice el articulo, es un conjunto de cosas para un entorno, cuando AD digamos que te lo da todo medio echo.

En cuanto a este tema a mi me gustaria preguntar sobre el soporte, si tu pagas una licencia de ad supongo que tendras un soporte de microsoft, en una solución libre cual es el soporte?


Gran articulo.

bambuka dijo...

El soporte. En ese punto si que puede que tengas razón no obstante vamos a verlo:

En alguna ocasión se han contratado los servicios de alguna empresa certificada en el asunto, pero lo cierto, es que no han aportado mucho más que de lo que disponemos "internamente". Por lo tanto no se ha vuelto a optar por esa opción. El personal aquí está cualificado para abordar la casuística de problemas que se ofrecen. Al menos hasta ahora y tampoco estamos hablando del CERN.

Supongo que podríamos recurrir a soluciones "corporativas" como Red Hat con lo que sí dispondríamos de un soporte. Pero, al menos, hoy por hoy, no nos es necesario.

En cuanto a lo de pagar una licencia de AD, tengo mis dudas sobre el alcance de ese soporte. Sobre la línea que trabaja Microsoft me da que A PARTE tendrás que pagar tu soporte, no creo que vaya incluido con la licencia algo más que algún callcenter donde puedan resolverte alguna dudilla, me equivoco?

Tonio dijo...

Buscando por la red me he encontrado con unas herramientas que desean ser la competencia de AD:

Red Hat:http://www.redhat.com/directory_server/

Fedora Project Directory: http://directory.fedoraproject.org/

eDirectory Novell:http://www.novell.com/products/edirectory/ (No OpenSource)

No he usado ninguno dado que yo tb tengo un AD en la empresa en la que trabajo, sin embargo he oido que -eDirectory- es más potente que AD. Los otros dos espero que algún día no muy lejano puedan ser competencia de AD para tener un mercado más amplio donde elegir.

Alguno ha usado alguna de estas soluciones anteriores???

Un saludo.

Rigolox dijo...

Estamos de acuerdo que por el momento OpenLDAP no llega a tener la potencia y fácilidad que Directorio Activo, pero al fin y al cabo son todos LDAP, por lo que espero en un futuro no solo que lo iguale, sino que lo mejore.

Directorio Activo viene incluído cuando se compra la licencia del Windows Server X, por lo que no hay que pagar otra licencia pero tampoco hay soporte de él solo por haber adquirido la licencia del servidor. Para eso tendrías que adquirir una licencia aparte de mantenimiento y soporte con algún "socio" de Microsoft, lo cual no es nada barato.

lo de SeLinux y ACL en GNU/Linux puede ser un lío de la leche y cuesta cogerle el truco.

Me alegro que al fin Microsoft se haya puesto las pilas en cuanto a seguridad se refiere, tanto a nivel SO como navegador, pero es que manda narices que hayan tardado tantos años y mientras tanto no reconociesen lo que era obvio.

¿Google si quiere seguridad porque no se pone OpenBSD? ;)

NaCl u2

Seifreed dijo...

Hola!

Estoy de acuerdo que con Windows 7 se ha echo un gran trabajo. Que se han mejorado muchos aspectos. Aunque también si lo que se necesita es seguridad y demás. También se pueden combinar las 2 o 3 cosas Active Directory + LDAP de Los Linux y con MAC Incluso. Tendrías gestión centralizada igualemnte. Tengo constancia de sitios dodne lo tienen asi puesto y está muy bien montado

Saludos

RoMaNSoFt dijo...

Para la reflexión... cuando dices que algo es más/menos seguro ¿a qué te refieres exactamente?

Simplemente, a que técnicamente es mejor? (DEP, ASLR, configs por defecto, etc).

O bien, a qué sería más improbable que te hackeen?

Lo digo porque si es lo segundo, Microsoft lleva siempre las de perder, por el simple hecho de que es un target más interesante y por tanto, los "malos" se centrarán en él, por lo que se puede dar la paradoja de que incluso siendo más seguro "técnicamente" (si lo fuera, claro, que eso habría que demostrarlo }:-)), globalmente acabara siendo más inseguro.

Yago Jesus dijo...

@Romansoft Lo que digo es que, viendo la magnitud y el how-to de la 'operación Aurora' ¿De verdad crees que usar Linux o Mac va a impedir que alguien haga un exploit y un troyano?

josemaria dijo...

Desgraciadamente para nosotros, no hay nada en el mundo Linux que pueda compararse al directorio activo, señores, y quién así lo piense es que realmente no lo ha usado a fondo. No se trata sólo de la gestión de usuarios, sino de que puedes configurar mediante políticas globales hasta el más mínimo detalle de los equipos que tienes conectados a la red. Desde "tontunas" como el fondo de escritorio, hasta los directorios de documentos, instalación remota de software, ejecución de scripts, programas que puede ver y/o usar el usuario, tareas de replicación, etc, etc. Y todo desde un único punto de administración y con la posibilidad de aplicar estas polítcas mediante grupos, individualmente, etc. No, no lo hay de veras. Y mira que lo siento...

FCastillo dijo...

Que nota mas buena. Me encantó !!!

Alfredo dijo...

Siempre que se habla de soluciones de Microsoft contra las de software libre sale el tema del soporte.

¿Conocéis a algún admin que haya recibido soporte gratuito y específico de Microsoft para sus problemas de configuración por tener pagada la licencia de AD? Yo sólo conozco consultores de Microsoft que vienen a tu empresa cobrando, por mucha licencia de AD que tengas.

Anónimo dijo...

Y dale...

que si en mi casa me he montado y lavadora IP con Linux, que mola mucho y es muy guay decirlo...

que si en mi PYME de 250 PCs he montado una friki solución que solo conocemos 2 administradores y no hemos tenido que pagar nada... (pero que si algún día falla y no soy capaz de levantarlo me pueden poner en la puta calle)

En fin, cuando con Linux se pueda administrar de forma global una red de 20k puestos de trabajo, 100s de sedes y 10s de servidores de mantenimiento, podrá considerarse una solución para puestos de trabajo corporativos... mientras, se quedará en pequeñas soluciones o como servidor de aplicaciones... que no es poco.


Y respecto a que los servicios de soporte cuestan... por supuesto, a la gente le gusta cobrar por su trabajo... y los clientes que valoran sus servicios de TI los pagan felices... ¿qué es más barato, ahorrar 10k euros en el soporte o tener a 500 empleados sin trabajar un día porque algo no tenía soporte y en el foro no contestan al sysadmin?...


Y que coste que me dedico a temas de redes, no de servidores... y escribo esto desde un MAC...

Juan dijo...

Siento discrepar con AD. Es, simplemente, malo. No, peor, malísimo. He tenido AD durante año y medio en una red corporativa con 140 pc´s y 200 usuarios, con unas cuantas decenas de políticas y 2 réplicas del controlador principal y para lo único que ha servido ha sido para que se corrompa la bd del AD, se pierdan las relaciones de confianza entre máquinas del dominio y tener que estar reiniciando constantemente los servidores y sacando y volviendo a meter clientes en el dominio. En cambio, desde que cambié a Samba + LDAP el servidor lleva más de 3 años sin reiniciar, distribuyo igualmente las políticas desde el servidor y no tengo ni medio problema con el dominio. Lo siento mucho por quién aboga por la facilidad de uso de herramientas, pero da una idea clara de quien es un verdadero administrador de sistemas y quien un usuario metido a administrador al que el mundo de la informática se le queda grande.

Anónimo dijo...

Mala suerte la tuya Juan con AD. Desde hace 10 años tenemos funcionando AD, pasamos por Win 2000, 2003 y ahora 2008, son 5 sitios remotos sincronizando, 500 PC, unos 30 servidores, un par de docenas de GPO, WSUS y hace 5 años otro dominio más donde funciona el "core" de la empresa. Que mala suerte has tenido tu. Pero lo que es nosotros el AD como si no existiera, nunca un problema. Cada par de años un AD RAP y se mantiene en excelente forma.

Saludos,
Raúl