tag:blogger.com,1999:blog-5399811056563385935.post1684302501452584629..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Cómo diseñar una política de cortafuegosYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger13125tag:blogger.com,1999:blog-5399811056563385935.post-88642411771782106282011-10-22T11:46:38.516+02:002011-10-22T11:46:38.516+02:00Muy interesante el artículo. Y gracias por tener e...Muy interesante el artículo. Y gracias por tener en cuenta nuestros comentarios :). <br /><br />Saludos!!tepeshttp://behindopendoors.netne.net/blog/noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-83927506268317582212011-10-20T10:21:51.536+02:002011-10-20T10:21:51.536+02:00Me ha venido que ni pintado el post.
En breve tend...Me ha venido que ni pintado el post.<br />En breve tendré unos cambios en la red nos y tocará montarlo todo.<br /><br />Un saludo.Madrikekahttp://monimandarina.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-6771929206458186262011-10-19T14:41:51.137+02:002011-10-19T14:41:51.137+02:00Gracias... Firewalls en el mercado hay muchos: lib...Gracias... Firewalls en el mercado hay muchos: libres, comerciales puros y "comerciales basados en libres". Hace poco hice un análisis de una GUI para varios firewalls (sobre todo libres, como IPTables, PF, IPFW, ipfilter,...) y otros como Cisco o incluso ACLs en algunos switches/routers de HP. La GUI era Fwbuilder [http://www.securitybydefault.com/2011/09/firewall-builder-la-gui-para-tu.html]<br />Cortafuegos comerciales hay muchos: Checkpoint, Fortinet, Juniper, Stonegate, NetASQ, Watchguard, Sonicwall... De todos estos, a mí personalmente me resulta bastante interesante NetASQ en cuanto a calidad/precio/grado_de_completitud. Es un UTM que permite hacer de todo desde PYMES hasta grandes empresas y el coste no es muy elevado.Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-17946016527569641352011-10-19T14:26:22.746+02:002011-10-19T14:26:22.746+02:00Gracias por la respuesta, soy fanático del softwar...Gracias por la respuesta, soy fanático del software libre xD y bueno estaba buscando alguna alternativa libre que pudiera usar para implementar eso... aunque solo con fines didacticos.Alguiennoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-30666138430921197942011-10-19T09:34:38.785+02:002011-10-19T09:34:38.785+02:00Muy buen artículo.
Muy claro y organizado.Muy buen artículo.<br />Muy claro y organizado.Jorgenoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-10194712401048466972011-10-19T09:01:52.908+02:002011-10-19T09:01:52.908+02:00Muy interesante el articulo. Como información a am...Muy interesante el articulo. Como información a ampliar me gustaria saber que firewalls del mercado ofrecen mejores prestaciones y opciones de configuración.Esialamnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-58139991703945305182011-10-18T19:38:24.819+02:002011-10-18T19:38:24.819+02:00Buena pregunta! En realidad en este artículo lo ún...Buena pregunta! En realidad en este artículo lo único que se ha hecho ha sido explicar cómo diseñar una política de cortafuegos. Lo que tú pides va más allá y depende de la inspección de protocolos que haga el propio firewall. Desgraciadamente, no todos los dispositivos son capaces de hacer este tipo de inspección, para comprobar que por el TCP 53 por ejemplo no estés encapsulando otra cosa que no sea DNS, como por ejemplo SSH...Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-78571286461308633502011-10-18T17:43:50.605+02:002011-10-18T17:43:50.605+02:00"Alguien" , mira si tu firewall tiene co..."Alguien" , mira si tu firewall tiene control de aplicaciones.<br /><br />Un saludo.Crouldernoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-10707471189768124042011-10-18T17:06:22.398+02:002011-10-18T17:06:22.398+02:00Hola, excelente post. quizá esta pregunta sea un o...Hola, excelente post. quizá esta pregunta sea un offtopic... pero ¿Cómo filtro trafico saliente TCP/UDP hacia el puerto 53 que no es necesariamente DNS? Osea el firewall solo dice permitido o no permitido pero... no se pone a revisar el contenido real.<br /><br />Gracias.Alguiennoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4016794095955015182011-10-18T14:43:06.055+02:002011-10-18T14:43:06.055+02:00Me lo apunto para otro posible post! (Ya me han su...Me lo apunto para otro posible post! (Ya me han sugerido en Twitter hacer algo similar para WAF)<br />Muchas gracias!Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-66383286600927132812011-10-18T14:41:21.610+02:002011-10-18T14:41:21.610+02:00RuleID único es una buena idea. Sin embargo, ademá...RuleID único es una buena idea. Sin embargo, además yo requeriría a quien pida un cambio, que me envíen con todo detalle "qué" necesitan realmente. Me explico: No es lo mismo lo que se lee en foros genéricos de forma: "lo que tienes que hacer es abrir los puertos 4661 y 4662 en el router....", que decir: "Necesito publicar a Internet los puertos TCP y UDP 4661 y 4662 (Emule) de la IP privada 192.168.1.4. La dirección IP pública a utilizar será la propia del router mediante NAT entrante, con los mismos puertos 4661 y 4662"... El administrador del firewall, cuando lee esto, entiende lo que quiere la gente... en el ejemplo anterior, sólo lo imagina :) <br /><br />Curioso pero me ha pasado algo parecido esta mañana en un cliente con un NAT entrante que he tenido que "dar mascado" al administrador de los firewalls para que lo implementara bien... al cuarto intento!Lorenzo_Martineznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-37309870773602826872011-10-18T14:36:13.851+02:002011-10-18T14:36:13.851+02:00Hola buen articulo, creo que faltó hablar un poco ...Hola buen articulo, creo que faltó hablar un poco más de las políticas asociadas a las VPNRsantamarianoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-10774670238264972882011-10-18T10:30:23.129+02:002011-10-18T10:30:23.129+02:00Importante para el mantenimiento y la gestion de c...Importante para el mantenimiento y la gestion de cambios: RuleID unico. <br />El ruleset esta vivo y lo que antes era la regla 9 puede que ahora sea la 13. Y llegaran peticiones de cambio solicitando, por ejemplo, incluir una IP adicional en el FROM de la regla 11 :-/ Donde lo metemos?<br /><br />Algunos FW lo traen de serie (Juniper por ej) pero la mayoria no. En ese caso, meter un ID de regla unico como inicio en el campo de comentarios, de manera que se pueda referenciar sin ambiguedades.<br /><br />En DMZ publicas, recomendaria un disenyo de 2/3 niveles: con proxies inversos seguidos de front-end. Esto, mejor lo comentamos con unas cervezas :-)Pptxonoreply@blogger.com