Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Ha salido OpenBSD 3.3

Seguridad
Por preage
departamento si-quieres-la-paz-prepara-la-guerra , Sección Software Libre
Puesto a las Fri May 2nd, 2003 at 06:22:38 PM CET
"Si quieres la paz, prepara la guerra", decían los romanos. Y aunque no me gusta, estoy de acuerdo.

 




Esto también es de aplicación en nuestra vida diaria con un ordenador que esté conectado en red o a Internet. Hay mucha gente que quiere entrar en tu ordenador, en el mío o en el de tu amigo. ¿No te lo crees? Cuando te vayas a dormir, deja tu ordenador encendido, conectado a Internet y con un programa como Snort en marcha. Cuando te levantes podrás ver que has recibido una buena cantidad de pings, de intentos de conexiones TCP...

Huelga decir que tener un firewall en funcionamiento y bien configurado es lo mínimo.

Si quieres más seguridad (¿operas con tu banco o caja de ahorros vía Internet?) un sistema como OpenBSD es una buena elección.

No voy a descubrir a nadie las bondades de este SO cuyo principal objetivo es la seguridad. Sí voy a dar la noticia de la aparición de la versión 3.3 y de algunas de las mejoras respecto a la versión anterior, la 3.2.

En esta URL se muestra un listado detallado de las novedades de esta versión.

En mi humilde opinión (estoy muy lejos de ser un experto en seguridad informática), la novedad más importante es la incorporación de la tecnología ProPolice stack protection.

¿Qué es esta tecnología? Se trata de unas mejoras en el compilador GCC que hace que los binarios obtenidos esten protegidos contra los ataques de tipo buffer overflow.

No es OpenBSD el primer SO en el que se implementa una tecnología de estas características. Hace tiempo que la empresa Wirex comercializa el SO Immnunix, basado en Red Hat, que utiliza una tecnología propietaria desarrollada por la misma empresa a la que llaman StackGuard. Lo malo, para quienes somos partidarios del software libre en algunas de sus encarnaciones, es que Immnunix no es software libre, aunque todo sea dicho, tienes la posibilidad de descargar una ISO de Immunix para uso personal (léase, no-comercial).

A quien quiera saber más acerca de ProPolice, le recomiendo el artículo, escrito por sus propios creadores, Protecting from stack-amashig attacks.

ProPolice no es exlusivo de OpenBSD. Como dije antes, se trata una mejora (u extensión) del compilador GCC, de modo que en otros SO BSD y Linux se debería poder usar. ¿Utilizarán algún día las major distros de Linux esta tecnología o alguna similar?

Otra mejora introducida en la versión 3.3 de OpenBSD, que me parece importante, es la tecnología W^X (pronúnciese "W xor X"). Por lo que he podido leer en la página web de OpenBSD, se trata de una tecnología que no permite que se pueda escribir y ejecutar código al mismo tiempo en ciertas parte de la memoria. De momento, no está disponible para aquitecturas i386 (sí lo está para arquitecturas Alpha, HPPA, SPARC y SPARC64) aunque se espera que sí lo esté en la versión 3.4 de OpenBSD.

(Me gustaría escribir algo más sobre W^X, pero no he encontrado más información en Intenet.)

La última novedad que destacaría es la inclusión de importantes mejoras en el firewall "por defecto" de OpenBSD, Packet Filter (que además sirve para hacer NAT), como:
  • gestión del ancho de banda
  • load balancing con NAT
  • soporte a CIDR
  • spamd, un daemon que acepta conexiones SMTP basándose en listas negras de spammers


Espero poder contaros en mi diario mi experiencia con OpenBSD 3.3 cuando tenga tiempo a probarlo.
< ¿Necesita Libertonia un usuario Anónimo? (9 comments) | Igalia publica Fisterra : Open Source ERP (1 comments) >
Enlaces Relacionados
· Snort
· OpenBSD
· esta URL
· ProPolice stack protection
· Wirex
· Immnunix
· Red Hat
· StackGuard
· Immnunix no es software libre
· descargar una ISO de Immunix para uso personal
· más acerca de ProPolice
· More on Seguridad
· Also by preage

Encuesta
¿Qué haces por tu seguridad informática?
· tengo un firewall instalado 18%
· mi PC está detrás de otro que hace de firewall 12%
· firewall + parches cada vez que se descubren nuevas vulnerabilidades 20%
· firewall + SO como OpenBSD u OpenWall 7%
· 2, 3 ó 4 + IDS 7%
· 2, 3 ó 4 + Tripwire (o similar) 1%
· 2, 3 ó 4 + IDS + Tripwire (o similar) 5%
· el encuestador es un enfermo mental paranoico 25%

Votos: 77
Resultados | Otras Encuestas

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Ha salido OpenBSD 3.3 | 11 comentarios (11 temáticos, editoriales, 0 ocultos)
Protección "buffer overflow" en GCC con (4.00 / 3) (#7)
por Gaylord Focker a las Tue May 6th, 2003 at 09:50:10 AM CET
(Información Usuario)

La incorporación de la tecnología ProPolice stack protection.

¿Qué es esta tecnología? Se trata de unas mejoras en el compilador GCC que hace que los binarios obtenidos esten protegidos contra los ataques de tipo buffer overflow.[..]

Lo malo, para quienes somos partidarios del software libre en algunas de sus encarnaciones, es que Immnunix no es software libre

En la "una la dia" de Hispasec del 03/05/2003 se anuncia la nueva Trusted Debian 1.0, que entre otras funcionalidades tiene:

Inclusión de una versión modificada del compilador GCC, a partir del parche desarrollado por Hiroaki Etoh, que añade la detección de desbordamientos de búfer en los programas, abortando su ejecución. 100% GPL



Una duda (3.00 / 2) (#9)
por Fisiquin a las Tue May 6th, 2003 at 05:07:03 PM CET
(Información Usuario)

Cuando leo noticias como Trusrted Debian o parche de seguridad siempre me surge la misma duda: ¿por que no se aplican esos parches a las ramas oficiales o porque no siempre se incluyen esas mejoras en todas la versiones?

[ Padre ]


 
Sólo como curiosidad (3.00 / 2) (#10)
por jorginius ("jorginius" en Google Mail) a las Tue May 6th, 2003 at 05:56:19 PM CET
(Información Usuario) http://www.rodriguezmoreno.com

Hace tiempo que el compilador de Microsoft incorpora esa funcionalidad (con el flag /GS), y de hecho las versiones "Server" de sus productos se compilan así.

Para más información, éste es el enlace de la msdn al respecto.

Supongo que con la introducción del hardware TCPA se podrían aprovechar sus funciones de hashing y de almacenamiento de medidas para hacer este proceso de "almacenamiento de la cookie al principio/comprobación de la cookie al final" más seguro y eficiente. Mientras tanto, sufriremos una penalización adicional en las llamadas a función utilizando este "blindaje contra stack overflows" al hacerse todo por software (cuando éstas no son de por sí precisamente rápidas en un PC).

[ Padre ]


 
486DX2-66 con 8MB de RAM y 170MB de disco duro (3.00 / 2) (#1)
por NoP a las Sun May 4th, 2003 at 11:51:45 PM CET
(Información Usuario)

¿Qué tal tiraría OpenBSD en un trasto así? ¿Se puede correr OpenBSD ahí realmente (le iba a poner Debian pero como tira de perl para el arranque, le cuesta bastante)?

Por lo demás (dado mi profundo desconocimiento de los *BSD), ¿en qué debo basarme para elegir entre FreeBSD y OpenBSD? Ya que doy el salto a probar un BSD, quiero que sea un esfuerzo que valga la pena, y que no me obligue a mirar el otro *BSD pasado un año...





respondiendo ... (4.00 / 6) (#3)
por preage a las Mon May 5th, 2003 at 03:26:18 AM CET
(Información Usuario) http://geocities.com/dariapra

¿Qué tal tiraría OpenBSD en un trasto así?

Depende de lo que quieras hacer. Si quieres utilizarlo para hacer de firewall, creo que esa máquina te puede valer.

De todas formas me parece que vas un poco corto de memoria, ya que en la documentación se recomienda, si no me falla la memoria, un mínimo de 32 MB de RAM.

Yo sólo he probado OpenBSD 3.2 en un PC con microprocesador Intel Pentium 166MHz y 64 MB de RAM, de forma que no puedo puedo decirte cuál ha sido mi experiencia con este SO en ordenadores con menos memoria que el mínimo recomendado en la documentación.

¿en qué debo basarme para elegir entre FreeBSD y OpenBSD?

OpenBSD se ha hecho pensando en la seguridad. FreeBSD, es un SO pensado para el servidor y que no tiene a la seguridad como prioridad. La máquina con la que más trabajo tiene por SO FreeBSD y la utilizo como estación de trabajo. La verdad es que apenas noto diferencia con respecto cuando utilizaba Linux, de forma que yo diría que FreeBSD es también un buen SO para una estación de trabajo.

La razón por la que utilizo FreeBSD en vez de OpenBSD en mi workstation es la mayor disponibilidad de ports para el primero que para el segundo. Hay también muchos ports para OpenBSD de software que no está en el conjunto de "paquetes" oficial... pero dichos ports no han pasado por todas las auditorias por las que sí han pasado los ports "oficiales". En mi opinión no tiene mucho sentido utilizar OpenBSD junto con "sus" aplicaciones auditadas al mismo tiempo que otras muchas aplicaciones que no han sido auditadas y que, potencialmente, son inseguras; me parece algo así como tener un potente deportivo y ponerle los frenos de una bicicleta. (Insisto, esto es mi opinión).

Si consideras montar una red con máquinas de arquitectura no-x86, te recomiendo que tengas en cuentas las plataformas para las que están disponibles ambos SO. En el caso de FreeBSD, éstas son Alpha, IA-64, PC-98 y UltraSPARC. En el caso de OpenBSD, éste está disponible para más plataformas; en http://www.openbsd.org/plat.html   puedes encontrás una lista completa.

Otro SO de la familia BSD que puedes considerar es NetBSD. Esta disponible para una gran cantidad de plataformas, aun más que OpenBSD.

Entre OpenBSD y FreeBSD son muchos más los parecidos que las diferencias. No tengo ninguna razón para no pensar lo mismo de NetBSD (de hecho OpenBSD es un fork de NetBSD), pero no lo digo con la boca grande porque no lo he probado.

[ Padre ]


 
Estupenda crónica y OpenBSD (3.80 / 5) (#2)
por jamarier a las Mon May 5th, 2003 at 02:10:54 AM CET
(Información Usuario) http://barbacana.net/blog/

OpenBSD. Funcionar te va a funcionar.

Yo lo he montado en un Pentium 75 con 16 Megas y el equipo chuta con OpenBSD. Lo tengo montado como servidor y no tengo instalado X-Windows.

En los tutoriales de Openbsd se habla de que en equipos de poca memoria ram hay que activa la swap antes de tiempo (pero explican como hacerlo).

Las intrucciones son suficientes aunque yo aconsejaría leerlas enteras un par de veces antes de empezar. En mi caso se me plantearon dudas que más adelante se contestaban y "sufrí" mucho hasta que lo descubrí.

A mi modo de ver, que alguien me corrija si me equivoco, FreeBSD está más dedicado al escritorio y es un "competidor" más claro de Linux. Tiene un módulo de compatibilidad con los binarios de Linux del que dicen que los programas funcionan mejor que en el propio Linux. Y tiene muchos (la mayoría) programas portados directamente a FreeBSD. Yo no lo he usado.

OpenBSD nace de un fork en el que el objetivo es fundamentalmente la seguridad. Se audita activamente todo el código y la cantidad o compatibilidad no es el objetivo.

A mi modo de ver, los tres *BSD tienen más cosas en común que cosas que le diferencien. Un punto de vista bueno de todas estas cosas en el demonio

[ Padre ]


*BSD (3.50 / 2) (#4)
por Draco a las Mon May 5th, 2003 at 12:42:21 PM CET
(Información Usuario)

FreeBSD está más dedicado al escritorio y es un "competidor" más claro de Linux.

El principal objetivo de FreeBSD es el de servidor, aunque intentando no descuidar la estación de trabajo UNIX. Si es competidor más claro de Linux, es porque es el que mejor funciona sobre i386 que es la plataforma más extendida, y porque en los otros BSD es mucho más secundario el uso en una máquina personal

Tiene un módulo de compatibilidad con los binarios de Linux del que dicen que los programas funcionan mejor que en el propio Linux.

NetBSD y OpenBSD también lo tienen y no sólo de Linux. Y respecto a que si funciona mejor que en Linux, la verdad es que no creo que haya diferencias apreciables. Eso sí, problemas no da ninguno.

Respecto a lo que preguntaba Nop... la verdad es que no sé si alguien tendrá una respuesta definitiva. En principio FreeBSD está compilado para 486 pero también es el que tiene unos requisitos mínimos más altos. En un equipo con tan poca memoria creo que lo mejor sería NetBSD o OpenBSD. Yo me decantaría por NetBSD que además tiene un disquete de instalación específico para equipos con poca memoria, a no ser que quisiera que funcionara como firewall en cuyo caso pondría OpenBSD. Entre estos dos no creo que haya diferencia apreciable.
There are two major products to come out of Berkeley: LSD & BSD Unix. I don't believe this to be a coincidence.
[ Padre ]


 
Para firewall va de sobra (3.00 / 2) (#11)
por iarenaza a las Tue May 6th, 2003 at 11:33:06 PM CET
(Información Usuario) http://www.escomposlinux.org/

Yo tuve durante 14 meses un 486DX50 con 8 MB de RAM y un HD de 120 MB haciendo de firewall sin problemas en una conexion de 2 Mbps, así que...

Saludos. Iñaki

[ Padre ]


 
Una pregunta que tengo sobre sendmail y OpenBSD .. (2.50 / 2) (#5)
por ponto a las Mon May 5th, 2003 at 12:53:52 PM CET
(Información Usuario)

¿Si dicen que sendmail es tan malo, porque lo incluyen en el sistema base, creo, del OpenBSD?

No es una pregunta con mala leche, simplemente que siempre me la he hecho ...



Respuesta (3.33 / 3) (#6)
por Draco a las Mon May 5th, 2003 at 07:08:27 PM CET
(Información Usuario)

No me convencen mucho pero aquí están las razones.

De todas formas Sendmail no es "tan malo", se exagera mucho con eso.
There are two major products to come out of Berkeley: LSD & BSD Unix. I don't believe this to be a coincidence.
[ Padre ]


Gracias (3.00 / 1) (#8)
por ponto a las Tue May 6th, 2003 at 11:17:26 AM CET
(Información Usuario)

comentan que usan BIND y Sendmail porque son unos programas ampliamente conocidos y que estan bastantes testeados por el equipo de OpenBSD. De todas formas dan libertad para instalarse otros.

[ Padre ]


 
Ha salido OpenBSD 3.3 | 11 comentarios (11 temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda