| From: | Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org> |
|---|---|
| To: | Marcos Ortiz Valmaseda <mlortiz(at)estudiantes(dot)uci(dot)cu> |
| Cc: | elcotorro(at)gmail(dot)com, Guido Barosio <gbarosio(at)gmail(dot)com>, Lista Postgres <pgsql-es-ayuda(at)postgresql(dot)org> |
| Subject: | Re: seguridad |
| Date: | 2009-07-10 16:51:34 |
| Message-ID: | 20090710165134.GD9382@alvh.no-ip.org |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Marcos Ortiz Valmaseda escribió:
> Alvaro Herrera escribió:
>> Supongo que todo viaja por SSL, con lo cual reducirías el riesgo.
>> Además asegúrate de cerrar lo más posible en pg_hba.conf (idealmente
>> sólo al puñado de direcciones IP que puede acceder). Cambia las claves
>> regularmente (una vez a la semana, o más). Siempre estarás sujeto a
>> ataques como criptoanálisis diferencial, así que si tu información es
>> valiosa alguien puede intentar burlar la seguridad. Así que mientras
>> menos tiempo tengas esto expuesto a Internet y te consigas una VPN de
>> adeveras, tanto mejor.
>>
> ¿PostgreSQL está sujeto a este tipo de ataques? ¿Conocen algunas
> formas de evitarlo? ¿Cómo se aplica en Pg? Para conocer todo esto, ya
> que es un tema importante, al menos para mi.
Todo dato cifrado está expuesto a múltiples formas de ataque. Para
evitarlo, puedes:
1. no tener ningún dato (de esta forma no te los pueden robar)
2. no tener datos cifrados (si te los roban, te los roban; pero al menos
no rompieron la criptografía)
3. tener datos cifrados, pero lejos del alcance de los curiosos (o sea
que sea difícil para ellos tener acceso al dato cifrado, de manera que
no puedan descifrarlo)
4. si tus datos cifrados necesariamente deben pasar por una red espiable
como Internet, asegúrate de cambiar llaves lo más a menudo posible (si
mal no recuerdo, SSL hace "rekeying" periódicamente, pero no estoy
seguro si es posible obtener una llave privada a partir de la ruptura de
una conversación cifrada, en cuyo caso el rekeying no sirve de nada).
Reitero, para poder hacer un análisis útil de un sistema de seguridad,
primero échale un vistazo a los trabajos publicados al respecto, nunca
confíes en lo que un par de personas te digan (menos aún si son una
manga de ignorantes en el tema como los que estamos en esta lista), ni
menos aún confíes en tu propio sentido común porque si no eres un
experto, SIEMPRE falla.
--
Alvaro Herrera http://www.amazon.com/gp/registry/DXLWNGRJD34J
"You're _really_ hosed if the person doing the hiring doesn't understand
relational systems: you end up with a whole raft of programmers, none of
whom has had a Date with the clue stick." (Andrew Sullivan)
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Jaime Casanova | 2009-07-10 16:53:31 | Re: Caida Abrupta |
| Previous Message | Fredy Gonzales P. | 2009-07-10 16:45:29 | Servicios win2003 PostgreSQL |