Chat y seguridad

en RedSL el 30 de mayo de 2007

---
Ricardo Pluss
All por el 2003 en el Ministerio de ducaci!n se considera"a al so#t$are para chatear% como el
Messenger% incon&eniente desde el punto de &ista de la seguridad% y por tal ra'!n ese ser&icio
#ue cerrado(
stamos interesados en sa"er si este criterio sigue siendo el predominante% o se ha
#le)i"ili'ado% ya *ue creo *ue hoy en d+a es una herramienta de comunicaci!n mas *ue de
recreaci!n(
---
duardo Spotorno
Mi estimado Ricardo% hola a todos% les cuento cual #ue mi e)periencia y mi punto de &ista,
a- l MS. es tan /til como una l+nea tele#!nica% todos lo *uieren% algunos lo necesitan( 0o estoy
por la de "rindar el ser&icio entre otros tantos% ya *ue in#ormtica 1es1 un rea de ser&icios(
.egarlo es como decir 2no tengo central tele#!nica para *ue los empleados no charlen por
tel3#ono2(
"- Al igual *ue una central tele#!nica% de"es indicar *uienes tienen acceso interno y e)terno(
Para esto hay *ue implementar un ser&icio tipo L4AP y as+ poder con#igurar un modelo
granular en cuanto a la autenti#icaci!n del Cache-Pro)y 5pie'a #undamental en toda red- *ue
en de#initi&a% este ser *uien permita comunicarse con el e)terior o no(
c- Sumando los #ire$alls% se puede denegar la trans#erencia de archi&os d- Con $rappers% se
puede logear todas las con&ersaciones y poder de6arlas a disposici!n de auditoria interna( Se
puede hacer esto o no7 8a"lo de su &ia"ilidad no su &alide'(
e- .i *ue ha"lar de utili'ar SL para poder sa"er con e)actitud realmente *ue hace una
computadora% o por lo menos *ue terceros lo hagan por nosotros% pero 6ams so#t$are oscuro
como el propietario *ue manda permanentemente logueos *ue lo *ue hacemos en nuestras
computadoras% por mas *ue nos prometan *ue esto no es as+(
#- 9na pol+tica de seguridad in#ormtica *ue tenga su respaldo dentro del contrato la"oral *ue
pueda ligar una in#racci!n in#ormtica a una sanci!n disciplinaria como cual*uier otra(
ste ultimo punto es #undamental y tiene *ue &er con la realidad de la seguridad in#ormtica
en general( l otro d+a ha"la"a con un e)perto en seguridad y coincid+amos *ue la seguridad
in#ormtica es una *uimera a"soluta( Suena a un presagio pesimista pero t!menlo
positi&amente, es como una 2&erdad re&elada2( Con el ad&enimiento del procesamiento
distri"uido a tra&3s de ser&icios $e" *ue inundan nuestro escritorio% el acceso al MS. es menor
al lado de todas las aplicaciones $e" *ue irn apareciendo sin control en los pr!)imos a:os(
8oy circulan por ;nternet in#inidad de n/meros de tar6etas de cr3dito con sus n/meros de
&alidaci!n 5despu3s te llaman de <;SA para preguntarte 294 compro en el sitio $e" tal por el
monto tal(((2 as+ *ue de ecommerce eso no tiene mucho- es por esto lo *ue digo(
A*u+ si% entonces% hay *ue agregar,
a- responsa"ilidad de los empleados% por consenso o #uer'a( .o hay #ire$all *ue #uncione para
un empleado *ue por =00 pesos &ende un padr!n con in#ormaci!n sensi"le( La seguridad
in#ormtica es una realidad del comportamiento humano como cual*uier otro% un poco mas
so#isticado pero nada ms(
"- "uenas prcticas de seguridad% por lo menos para no caer en negligencia(
As+ *ue "ueno% ah+ les mando un poco desordenadas y seguramente incompleta una lista de los
aspectos mas destaca"les del MS. y la seguridad in#ormtica en general a mi punto de &ista y
parecer(
>uido Loren'utti,
Pro"lema de seguridad para mi es% principalmente por*ue no encontr3 una #orma de prohi"ir la
trans#erencia de archi&os &+a msn% con todo lo *ue eso implica(
Para mi la me6or opci!n es poner un cliente de mensa6er+a interna% donde se e&ite la recepci!n
de archi&os de internet o en su totalidad la trans#erencia de los mismos( Por e6, 6a""er(
---
Pa"lo Ri''o,
.o solo sigue siendo igual de inseguro% sino *ue adems consume recursos incre+"les de
internet% sumado al pro"lema de la no con#idencialidad de lo *ue se trasmite y los m/ltiples
m3todos de ro"o de contrase:as( n el Municipio de ?era'ategui instalamos un ser&idor @MPP
5eAa""erd- *ue no tiene estos incon&enientes y la instalaci!n y con#iguraci!n es sumamente
simple% no toma ms de una o dos horas( l eAa""erd adems de comunicarse con cual*uier
otro ser&idor @MPP% como ser los ser&idores Aa""er(org o >oogle BalC% tiene pasarelas para
interconectar con redes MS.% 0ahoo y otras(
---
>uido Loren'utti,
Pa"loD Eu3 &ersi!n de e6a""erd usan7
.osotros tam"i3n usamos e6a""erd y como tenemos muchos usuarios en distintos nodos%
est"amos anali'ando poner un ser&idor de 6a""er ) nodo((( *ue los ser&idores 6a""ers ha"len
entre ellos y no todos los clientes contra un ser&idor central(
Bienen e)periencia con un 6a""er de 2000 usuarios y la posi"ilidad de multinodo% para reali'ar
lo antes e)puesto7
La idea es *ue el 6a""er siga operati&o ante la ca+da de alguno de los enlaces con el ser&idor
central% tienen su nodo local de 6a""er y por lo menos pueden seguir ha"lando entre ellos(
---
rnesto Misle6,
9na pregunta% lo necesitas para mensa6er+a interna o para comunicarte con amigos F colegas F
#amiliares en el e)terior7
4e necesitar la primera% te recomiendo el 6a""er *ue es de muy #cil instalaci!n% te permite
colgarte de un directorio L4AP y usar &arios clientes tanto en linu) como $indo$s(
Ahora% si necesitas salir de tu organi'aci!n% no me parece una "uena idea colgarte a la MS.(
Eui' por*ue es muy mucho ms cerrada *ue la @PMM 5la del 6a""er *ue tam"i3n usa >BalC- y
a cada rato aparece un "ug del MS Messengger(
Las pasarelas *ue ha"la Pa"lo% no las pro"3
---
duardo Spotorno,
Si se puede, tal &e' no con un #ire$all clsico pero si con un ;4S *ue mane6e las cone)iones
5P4S era% >uido7-% *ue "asado en reglas inhi"a el inicio de una trans#erencia% anali'ando las
huellas *ue esto produce( 4e cual*uier #orma% no es tan sencillo y costoso, no se si el Snort
puede hacer esto% otros #ire$alls de marca si( Me hiciste acordar *ue es #undamental
incorporar este tipo de dispositi&os en las redes(
;nteresantes las propuestas de usar clientes de SL para el MS. y la
mensa6er+a interna% acompa:ando eso% la necesidad de auditar cada
cone)i!n "asadas en ser&icios $e"(
---
Pa"lo Ri''o,
Benemos instalada la &ersi!n =(=(2-G
---
>uido Loren'utti,
Mira ((( intent3% pero el protocolo del msn cam"ia demasiado seguido y aparte no nos
ol&idemos *ue el msn como aplicaci!n *ue se instala en un $indo$s no es el /nico medio para
utili'ar la mensa6eria( 8oy el uso del $e"messenger permite utili'ar el ser&icio desde una
pagina $e" y CRH *ue tam"i3n podes hacer trans#erencia de archi&os(
Siendo a partir de ese momento la trans#erencia de archi&os &+a http% adi!s ;4S% P4S% etc(
;gualmente((( CRH *ue se pueden trans#erir archi&os &+a $e"(
l snort lo hace% lo de denegar las trans#erencias de archi&os &+a MS. (( o dice hacerlo% con#ieso
no ha"erlo pro"ado( Pero no desde un $e"messenger((( mee"o% e-messenger% etc(( por*ue
estoy casi seguro *ue lo interpreta todo como tra#ico http(
.o tu&e tiempo de sentarme a &erlo en detalle(((
---
duardo Spotorno,
?ueno% pero por eso, cual*uier pgina $e" te permite su"ir un archi&o( Como haces para
limitar eso7 Por eso% no es el pro"lema en si el MS., son todos los ser&icios $e"(
---
Pa"lo Ri''o,
sto no es tan pro"lemtico% por*ue el archi&o tiene *ue pasar por el pro)y y all+ puede ser
escaneado% el pro"lema es cuando el archi&o pasa en #orma transparente mediante el
protocolo de msn(