martes, 27 de mayo de 2008

El Firewall No Tiene La Culpa

Un nuevo día en el trabajo, y otra vez un firewall estaba a punto de ser culpado de todos los males de la Red. Como siempre, el problema estaba en otro lado.

Esto me recordó los años que pase como administrador de una importante granja de firewall's, en donde todos los días, casi sin excepción, algún personaje del área de IT se aparecía con la intención de resolver sus problemas echándole la culpa al firewall.

Los enemigos No. 1 de los firewall's son los de Networking. De alguna forma hiere sus sentimientos que haya un dispositivo de red que no sea administrado por ellos, y que encima, sirva para controlar todas sus redes. No tengan dudas que al primer problema de conectividad siempre le van a echar la culpa al firewall.

Después vienen los de sistemas, acostumbrados a hacer y deshacer a su antojo, no soportan ser controlados. Para colmo, se la pasan usando protocolos multipuertos como NetBIOS. Sin dudas, al primer problema para copiar un archivo por recursos compartidos van a venir a preguntarte si el firewall tiene la culpa. Si es mas fácil preguntar que investigar el problema, ¿ o no ?

Pero los peores son los desarrolladores, a estos no les importa nada. Para que van a seguir las buenas practicas de programación, por ejemplo situando todas las aplicaciones Web en diferentes directorios del puerto 80, ¿ para que no ? si total hay 65535 puertos por IP, y es mas fácil ponerle a cada aplicación un puerto diferente. Después ya saben, al primer inconveniente con sus aplicaciones mal programadas e inseguras, no dudaran en ir a preguntarte si el firewall esta bloqueando algo.

Bueno ya esta, quien necesita un psicólogo pudiendo hacer catarsis en el Blog :-) ¿ Alguien tiene alguna anécdota para compartir ?

4 comentarios:

Lite dijo...

Estoy de acuerdo, lo vivo a diario y es muy tristre porque nuestra funcion termina siendo en muchos casos demostrar que el firewall no es el problema, incluso, luego encotramos el origen y aportamos las pautas para resolverlo, pero la verdad en estos años que uno gano un poquito de experiencia y respeto, en ocaciones es muy gratificante.

Gabolonte Blasfemus dijo...

A mi me pasa algo parecido en algunos clientes donde me encargo de todo el networking, inclído el firewall, y hay terceros que proveen diversos sistemas. Creo que está en la naturaleza humana, siempre es más fácil pensar que el problema está en aquello que no está bajo nuestro control, porque así no somos nosotros los que tenemo que trabajar en la solución, le estamos pasando el bolo a otro.

Como anécdota graciosa me acuerdo de un viejo avivado que fue a ofrecerle al gerente de una empresa, junto con un trabajo de desarrollo para el que se lo contrató, un "bonus gratuito" que incluía acceso VPN, un acceso que en realidad él iba a poner de todas formas porque era lo que estaba acostumbrado a usar para meterse a su antojo, y como según el tipo "había que hacer un cambio en la red" para que funcione, me hace llamar por el gerente para que le pase la clave de root del firewall; todo porque el chabón, además de tomar así el control de todo, quería cambiar el número de subred de la LAN de esa empresa porque era el mismo que el que le daban a él en el edificio donde vive y le jodía para su VPN. Un capo de los garcas, pero un ingenuo. Saludos!

Sepa dijo...

Totalmente de acuerdo !!!

El firewall no tiene la culpa ( la película si, porque es una gar%$$#& ). Ojo... los IDS y los IPS con sus falsos positivos son a veces detestables! pero como digo siempre: "Todo depende del administrador".

Ufff tengo una anécdota que se la podes preguntar a un conocido tuyo, Andres Pazos, sobre "un proxy es más critico que un PIX, aplica la reglas en el firewall antes que en el proxy" ajaja fue muy gracioso!

Salu2

Anónimo dijo...

El problema no es del firewall, del sector seguridad o networking... el problema son como actuan las personas.

LinkWithin