Buenas,

No soy ningún experto en nmap, pero sí, entiendo que lo que hace la opción decoy es "camuflar" tu IP entre otras (que le indicas) para que desde la máquina escaneada sea difícil averiguar cuál de todas las IPs es realmente la que hace el scan. Yo en el ejemplo que pones desde luego podría IPs de la LAN...

Buenas,
A ver si me podéis dar vuestra opinión sobre la segmentación/securización de una aplicación web. El esquema es el siguiente:



La idea es que la aplicación normalmente sea accedida desde la LAN, y que haya algún usuario de fuera de esta LAN que tenga acceso (controlado), de ahí la VPN. Las dudas que tengo son las suiguientes:

- El servidor de Base de Datos es lo más importante y lo que más tengo que proteger. ¿Tiene sentido colocarlo detrás de un firewall? Sólo se podrá acceder a él desde el servidor web y desde el servidor VPN, con algún usuario con privilegios que estará fuera de la LAN.

- ¿Tiene sentido usar kerberos en este esquema teniendo en cuenta que no necesito confidencialidad de datos (puedo transmitir en texto plano) pero no quiero bajo ningún concepto que alguien se me conecte a la LAN y pueda acceder a la web? (también necesito integridad de datos... "me da igual que lo lean pero que no lo modifiquen" ¿Tendría más sentido para esto hacer filtrado por direcciones físicas (MAC) en la LAN que kerberos, dado que no estoy interesado en cifrar información?

Cualquier duda sobre el esquema o comentario es más que bienvenido.

Muchas gracias!

Buenas,

Por lo he leído, kerberos, entre otras cosas, provee un sistema de autenticación cliente-servidor. ¿Es posible autenticar en base a la dirección física (MAC) del equipo desde el que se intenta acceder? Es decir, si el usuario Pepe se intenta logar desde una máquina "del selecto grupo de máquinas permitidas" entonces la autenticación progresa; si lo hace desde un máquina no registrada, no progresa. Sería algo así como filtrado MAC + autenticación de usuario. ¿Se puede?

Gracias

Buenas T. Collins,

Gracias por tu aporte. Entiendo que en ese caso se podría hacer que cada cliente, antes de visualizar el documento, hiciera una comprobación del hash publicado por el servidor y del que él mismo calcule cuando descargue el doc, ¿no?

Gracias!

Buenas,

Ahí va mi pregunta: supongamos que tenemos un documento A, con el que los empleados de una empresa trabajan todos los días. Este documento está sujeto a revisiones constantes, de modo que cada vez que se aprueba un cambio en el documento, se imprime una nueva versión del mismo y se distribuye entre los empleados "a la vieja usanza" (es decir, va un tipo con unas cuantas copias del documento y las deja en sitios al efecto).

Supongamos entonces que queremos montar un sistema informatizdo que facilite la logística del problema (los empleados acceden al documento digitalizado). Por ejemplo, lo hacemos montando un esquema cliente servidor, con una aplicación web desde donde se accede al documento. ¿Qué métodos o formas tengo de asegurar a un trabajador que la versión del documento A digitalizado con el que está trabjando es la vigente (la última revisión aprobada)? Es decir, ¿hay alguna forma de hacer que un trabajador (realmente, su PC. cliente del servidor del sistema) identifique si la versión que está viendo en el servidor no es la "aprobada" en un momento dado? ¿Se podría hacer con certificados digitales? ¿Alguna idea?

Si no me he explicado bien, por favor, preguntad!
Muchas gracias!!

Buenas... ¿Alguien me puede echar una mano? Please!
Muchas gracias!!

Muy buenas,
Estoy haciendo una aplicación web para la que quiero establecer una autenticación lo más segura posible. Sin ser ningún experto y habiendo leído aquí y allí, había pensado en "montar" una infraestructura de clave pública  privada (es decir, sólo a nivel de red interna para los usuarios que usen la aplicación web) para autenticar y también, si es posible, firmar digitalmente unos documentos que se generan en la propia aplicación web (es decir, digamos que se generan una especie de "informes" en el servidor web, y la idea que tengo es ver si el que genera el informe puede firmarlo digitalmente.
Como ya os digo, no estoy muy ducho en el tema y tengo muchas dudas:
- ¿Qué necesito para "instalar" un PKI privado? Entiendo que un equipo que haga las veces de CA, ¿no? ¿Qué opciones en el mercado hay?
- ¿Cómo es el proceso de generación de un certificado?
- Estos certificados, tengo que instalarlos en los equipos que utilicen los usuarios de la aplicación, ¿no?
- ¿Qué tengo que tener en cuenta en el desarrollo de la aplicación web para hacer una autenticación por certificado digital? Es decir, en algún momento tendré que incluir en el código de la aplicación que el servidor se comunique con el CA para comprobar la identidad del usuario que pide acceso (si es legítimo o no)
- ¿Cómo podría usar el PKI para implementar la firma digital?

Si alguien me puede explicar un poco todo esto me hace un graaan favor. O tal vez redirigirme a un buen libro o documento donde los expliquen bien; he leído bastante pero tengo un lío muy elegante en la cabeza.
Muchas gracias!!

Qué tal cpu2,

Gracias por echarme un cable.

Corrígeme si me equivoco, pero el puerto TCP#21 es el que el servidor ftp usa para establecer la sesión de "comandos". Yo me refiero a la de datos de una comunición típica ftp...

Saludos

¿De qué cifrado se trata? ¿Flujo? ¿Bloque?

Danos pistas a nosotros sobre cuál es tu problema...

Hola el-brujo,

Gracias por tu respuesta! Sí, sé que lo suyo es irte a SFTP,... el problema es que eso no lo puedo tocar. Debe ser FTP no seguro.

Mmmmm, no sabía que había distros basadas en OpenBSD como pfsense, que "parte" de FreeBSD. Miraré a ver.

Respecto a los firewalls "HW", ¿se puede pueden hacer tareas de administración por conexión remota (y segura, claro, tipo SSH)? ¿Hay de estos firewalls que tengan funcionalidades de IDS/IPS (tipo Snort)?

Y otra pregunta un poco distinta pero que forma parte de mi problema,... ¿es posible configurar un firewall para forzar que una conexión FTP sólo transifera DATOS en un sentido? Es decir, una especie de comunicación unidireccional de datos... La idea es habilitar sólo transferencia de ficheros en un sentido, aunque por lo que he leído no tengo claro que se pueda hacer.

Muchas gracias!!!