[eside-ghost] pregunta de seguridad. tcp wrapper
Jose Manuel Garcia Sanchez
jmgarcia en stic.upco.es
Mie Mayo 5 10:33:38 CEST 2004
Ender wrote:
> Hola!!
>
> una pregunta teórica más o menos curiosa.
> Tenemos el tcp wrapper compilado en modo paranoico. En este modo, cuando
> llega una conexion al servidor ftp se comprueba lo siguiente.
>
> Dada la IP, le hace resolucion inversa y obtiene un nombre (X)
> Resuelve (X) y si no obtiene la IP corta la conexion. Por ejemplo si no esta
> resuelto el nombre cortaría, o si se resuelve con otra IP tambien.
>
> Mi pregunta es:
> ¿qué se gana con esto? ¿que tipo de ataque evitas? porque un IP spoofing ni
> de palo y no se me ocurre algun caso.
>
> (nota informativa: todo esto surge porque hay algunos isp un poco tanitos
> que hacen resolucion inversa de sus ips pero no implementan la "directa de
> la inversa").
>
> Saludos y espero respuestasssssssssss
> Ender
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en deusto.es
> https://listas.deusto.es/mailman/listinfo/eside-ghost
Hola.
El tema de la resolucion inversa siempre es muy discutido. Mas bien creo
yo que es un caso de buenas practicas, que un problema de seguridad. Que
una maquina no tenga su inversa bien configurada no quiere decir que
sea un problema de seguridad. Existen multitud de redes que no tienen la
inversa como dios manda. Lo que implica es que el DNS no es mantenido de
forma correcta.
Yo en mi caso no le doy importancia, y nosotros en la universidad no
filtramos nada por este tema con las inversas (Lo que si filtramos son
dominios inexistentes en el correo, pero eso es otro cantar)
Salu2
--
Jose Manuel Garcia Sanchez
jmgarcia en stic.upco.es - Ext 2467
Sistemas y Tecnologias de Informacion y Comunicaciones
Universidad Pontificia Comillas de Madrid
C/Alberto Aguilera 23 - Tlf 915422800
28015 Madrid
Más información sobre la lista de distribución eside-ghost