viernes, mayo 15, 2009, 11:44 PM - Tecnología, Yo mismo, Opinión
En mi nueva vida laboral me toca ahora "estar al otro lado". He dejado de ser proveedor y he pasado a ser cliente, y la verdad que es una experiencia de lo más curiosa.
Hoy escribo para hablar de los dichosos "appliances". A fin de cuentas, un trasto de estos se supone que es la unión de un hardware específico con un sistema operativo "empotrado y optimizado" para ese hardware. Esta unión hace que ese cacharro sea (se supone) muy bueno para una tarea específica.
Appliances hay a patadas: cortafuegos, proxys, front-ends de correo, NAS, ldap, dns, ntp, buscadores web, antivirus, antispam... la gran mayoría son de servicios de infraestructura, aunque alguno he visto con cosas tipo ERP y CRM (flipa)
A mi una cosa que me hace una jartá de gracia es eso de que "este appliance se basa en una versión endurecida (o optimizada) de Linux (o de FreeBSD)". Entonces me salta la alarma.
Me salta la alarma porque pienso... "¿cómo que estos señores han mejorado la seguridad o el rendimiento de algo tan usado como un Linux o un FreeBSD cuando hay tanta gente metida en esto? ¿Habrán compartido esas mejoras con la comunidad?
A lo mejor le pides un appliance de pruebas a tu proveedor, y encantado, esperando negocio, te lo presta. Tu ves su fantástico interfaz web de administración y piensas: "me aburro; voy a verle las tripas al cacharro este"
Se va uno a la web del fabricante del appliance (donde muchas veces sale gente embelesada mirando al cielo como si lloviesen billetes de 500 €) y te bajas el manual. Te pones a leerte el manual que básicamente lo que hace es explicarte para que vale cada uno de los botones del interfaz web, hasta que llegas a la parte de "habilitar una consola". Premio.
Habilito la consola, entras (¿aún hay gente que usa telnet? joder...) y se te caen los palos del sombrajo. Literalmente.
Ante ti aparece una distribución de Linux de hace unos años, donde le han cambiado 4 paquetes y le han puesto un interfaz web. A lo mejor (si tienes suerte) tienen un kernel propio, casi siempre de hace más de dos años. Si es un *BSD igual, te encuentras un cacharro "casi por defecto".
¿Y no decían en su publicidad que esto era un cacharro "tuneado, optimizado y blindado" . Pues llega uno, mira las tripas, y se encuentra librerías openssl del año catapún, servidores viejecitos (postfix, squid, bind, apache...) con sus buenos 2-3 añitos, usuarios y grupos en la máquina por defecto, permisos de lo más laxos, un desastre, vamos. Pues si, está esto currao, si...
Querido lector, cuando vayas a mirar para comprar uno de estos appliances, te recomiendo los siguientes pasos:
Paso 1: pregúntale al vendedor: "¿En qué está basado esto"?.
Paso 2: Te vas a la web del fabricante y miras hace cuánto liberaron su último update/service_pack/parche/nuevo_firmware.
Paso 3: le haces un par de telnets a los puertos que presta servicio el cacharro (sea el 80/tcp, el ssh, smtp, el que sea, según el cacharro). Te apuntas las versiones de software que te dice que tiene
Paso 4: entras en el cacharro y miras las versiones de software, o a las malas, a base de "strings o hexdumps".
Paso 5: Te vas a la web de Security Focus y miras para tal versión de librería o demonio cuál es la última versión. Échale un rato y mira los agujeros de seguridad que tenían versiones anteriores.
Paso 6 y último: comparas tu búsqueda en SecurityFocus con lo que has encontrado en el paso 4 de esta guía y con lo que hay en la web del fabricante en el paso 2.
Muchos fabricantes de appliances montan software "por defecto" en sus cacharros, y lo actualizan muy de vez en cuando. ¿Es esto lo que queremos para dar servicio? ¿Nos estamos casando con estos señores (porque la plataforma es suya y sólo suya) para esto?
Por supuesto, no se puede generalizar. Hay fabricantes de appliances muy profesionales. Pero con el tiempo que llevo en esto os puedo decir que hay más paja que trigo
Última hora: ya no sólo hay appliances, también hay "virtual appliances". Ojito con lo que montáis...
[ 2 comentarios ] ( 1463 visualizaciones ) | [ 0 trackbacks ] | enlace permanente |
( 3 / 488 )
