| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
IP: Drop source routed frames (CONFIG_IP_NOSR)
Esta opción debería estar activada. Source routed frames contienen la ruta completa de sus destinos dentro del paquete. Esto significa que los enrutadores a través de los que circula el paquete no necesitan inspeccionarlo, y sólo lo reenvían. Esto podría llevar a que los datos que entran a su sistema puedan ser un exploit potencial.
IP: Firewalling (CONFIG_IP_FIREWALL)
Esta opción es necesaria si va a configurar su máquina como un cortafuegos, hacer enmascaramiento o desea proteger su estación de trabajo con línea telefónica de qeu alguien entre a través de su interfaz PPP.
IP: forwarding/gatewaying (CONFIG_IP_FORWARD)
Si activa reenvío IP (IP forwarding), su caja Linux esencialmente se convierte en un encaminador (router). Si su máquina está en una red, podría estar enviando datos de una red a otra, y quizás subvirtiendo un cortafuegos que esté puesto allí para evitar que esto suceda. Los usuario normales de conexión telefónica les interesará desactivar esto y otros usuarios se deberían concentrar en las implicaciones de seguridad de hacer esto. Las máquinas cortafuegos querrán esto activada y usarlo en conjunción con el software de cortafuegos.
Puede activarr y desactivar el reenvío IP (IP forwarding) dinámicamente usando el siguiente comando:
root# echo 1 > /proc/sys/net/ipv4/ip_forward |
y desactivarlo con el comando:
root# echo 0 > /proc/sys/net/ipv4/ip_forward |
Ese fichero (y muchos otros ficheros de /proc) aparecerán con longitud cero, pero de echo no lo son. Esto es una nueva característica introducida, por lo que tiene que tener un núcleo 2.0.33 o posterior.
IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE)
Esta opción le da información sobre los paquetes que su cortafuegos recibe, como remitente, recipiente, puerto, etc.
IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG)
Generalmente esta opción está desactivada, pero si esta construyendo un host cortafuegos o apra enmascaramiento, deberá activarla. Cuando se envía de un host a otro, no siempre se envía como un simple paquete de datos, sino que se fragmenta en varios trozos. El problema de esto es que los números de puerto sólo se almacenan en el primer fragmento. Esto significa que alguien puede insertar información en el resto de los paquetes para su conexión que se supone que no deberían estar allí.
IP: syn cookies (CONFIG_SYN_COOKIES)
El ataque SYN es un ataque de denegación de servicio (denial of service DoS) que cosume todos los recuroso de su máquina forzando un reinicio. No podemos encontrar ninguna razón por la que no debiera activar esto.
Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING)
Esta es ua opción disponible en los núcleos de la serie 2.1 que firmarán los paquetes NCP para una mayor seguridad. Normalmente puede dejarlo desactivado, pero está allí por si lo necesita.
IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK)
Esta es un hábil opción que le permite analizar los primeros 128 bytes de los paquetes en el espacio de programa de usuario, para determinar si le gustaría aceptar o denegar el paquete basado en su validez.
| <<< Previous | Home | Next >>> |
| 6. Seguridad del Núcleo | 6.2 Dispositivos del Núcleo |