Opinión sobre mi seguridad

[Manuel Gomez]

Jaime Robles escribió:

>   
>>>> - Rechazar TODA conexión entrante y saliente como política por defecto
>>>> de red local, internet, y de hacia el firewall (es decir, TODO).
>>>>         
>>> Por lo general eso es un buen primer paso.
>>>       
> Apoyo el comentario.
> Es una buena idea... la típica regla al final de tirar (drop, que no
> reject) todo el tráfico que no ha sido previamente aceptado.
>
>   
>>>> - Reglas específicas: Aceptar DNS (mis 2 DNS de telefónica),
>>>>         
> Desde tu máquina, puerto destino 53/UDP a los DNS de T? [1]
>
>
>   
>> aceptar http
>>     
>>>> sólo para los servidores que yo incluyo (www.google.es, etc....),
>>>> aceptar https del mismo modo.
>>>>         
> ¿Para qué quieres https a www.google.es?
>
> ¿No es mejor que simplemente no conectes esa máquina a Internet? Es más...
> ¿No deberías simplemente tener esa máquina apagada y usarla sólo cuando
> necesites acceder a la información?
>
> ¿Tienes esa máquina en un local seguro? ¿Bajo llave? ¿Qué me dices del
> TEMPEST? [2] :-P
>
>
>
>   
>>>> Y bien, ¿es un buen método de seguridad o realmente tiene problemas de
>>>> seguridad?
>>>>         
>
> Creo que estás enfocando las cosas mal...
> Las cosas se hacen al revés...
>
> 1.- Miras qué cosas tienes, cuanto valen y qué quieres proteger
> (http://twitter.com/itsec/status/994960487)
> 2.- Defines las medidas de seguridad para proteger lo que tienes.
>
> 3.- El coste de las medidas de seguridad (no poder usar tu ordenador
> tranquilamente, no poder navegar por donde te de la gana, tener que
> cambiar de ordenador en función de los datos a los que quieres acceder,
> ...) ¿Compensan? Se suele decir que las medidas de seguridad deben costar
> más que la información a proteger... pero claro, depende del caso en
> concreto claro.
>
>
> Por lo que me ha parecido leer en tu mensaje se trata de tus datos
> personales y demás... así que creo que te estás pasando un poco. :-P y
> además estás poniendo unas medidas "extrañas"... porque si usas la máquina
> con linux de forma habitual, tendrás que estar dando de alta cada día más
> máquinas en el firewall... simplemente para navegar por lo que en unos
> días será inmanejable... y eso también tiene implicaciones en la seguridad
> de tu máquina.
>
> Mi consejo:
> Todos tus datos sensibles en uno o dos USB (por eso de tener un backup) y
> si te da por la paranoia porque no quieres que alguien de tu casa te
> husmee o que si se pierde el disco alguien pueda acceder a tus datos los
> cifras (GPG, truecrypt, ...).
> El disco lo metes en un cajón y punto final.
>
> Si quieres asegurarte una "continuidad" mayor... los cifras bien cifrados,
> requetebien cifrados... con una buena clave, un algoritmo en condiciones y
> los subes a algún sitio en Internet de confianza... si la "clasificación"
> de los datos lo permite, claro ;-)
>
> Esa es la mejor forma para que nadie acceda desde Inet a tus datos.
>
> Además mantén actualizados los parches de tu máquina, no navegues por
> sitios "raros", no instales cosas sin pensar, no dejes servicios que no
> necesites levantados, ... vamos, sentido común :-)
>
> El sentido común... es un buen aliado de la seguridad.
>
>
> [1] Ya que estás en ese plan... ¿Quien te garantiza que no van a
> "envenenar" las cachés de los DNS que tienes configurados y te van a 
> redirigir el tráfico al infierno o a algún sitio peor? ;-)
> [2] http://es.wikipedia.org/wiki/TEMPEST
>
>   
Bueno, te voy a comentar mi caso particular, sobre las medidas de 
seguridad y sobre qué es lo que quiero proteger:

En primer lugar, mis dos ordenadores están pegados el uno al otro, uso 
la misma pantalla y teclado, y sólo tengo que darle a un botón para 
cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales 
de espera).

Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a 
esos datos mediante Internet. Es decir, en algún sitio lo tendré que 
meter del disco duro mientras que estoy conectado, y de poco me sirve 
tenerlo en un USB no conecado ya que los necesito para tener abiertos 
casi constantemente. Ahora, bien, siempre trato de tener el cable RJ45 
(que lo tengo justo a la derecha de la pantalla) desenchufado para echar 
un ojo a todos los datos y sacar lo que tengo que sacar sin temores.

Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador 
incluso con todas las restricciones que he puesto? Que podría acceder a 
mis datos cómodamente sin que yo lo supiese.

Para ello he pensado en:

Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de 
estable o la última versión); Política DROP por defecto, con macros para 
mis conexiones DNS y http/s.

Hardening: Bastille (básico), SELinux en política "strict" y 
"enforcing", harden (no sirve de mucho pero algo hace), Openwall, 
analizadores de rootkits.

IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy 
demasiado inexperto todavía modificando reglas (si resuelvo un 
problemilla que tengo con mysql), ippl, psad.

Analizador de integridad de archivos: Estaba pensando en AIDE o samhain, 
supongo que tarde o temprano tendré que decantarme por uno.

Analizador de logs: logcheck.

Analizador de paquetes: Wireshark.

Lo reconozco, no sólo quiero seguridad, es que el tema también me 
interesa bastante, por eso estoy constantemente buscando nueva información.

En un futuro bastante próximo: Herramientas de cifrado, herramientas 
varias (las que vaya descubriendo).

¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un 
archivo y configurar una excepción para poder abrirlo con según que 
programa?

Saludos y muchísimas gracias por responder.