Seguridad de la red y Políticas de registro de datos
Una pregunta común que escuchamos es qué garantías existen para proteger a los usuarios? Haremos todo lo posible para responderles. Esto no es una lista exhaustiva de todos los procedimientos pero un breve resumen para aquellos que son técnicamente curiosos.
En primer lugar hay que destacar a todo el mundo que el IRC no es un medio seguro, pero hay medidas que cada usuario debe tomar para asegurarse de que están seguros en el lado del cliente. Está disponible amplia información y ayuda personal en la red en los canales relacionados con el anonimato.
Conexiones de los clientes
La Conexión SSL está disponibles en todos los servidores de la red, incluyendo la ruta completa SSL en nuestro webchat. Utilice el puerto 6697 en el cliente para conectarse a través de SSL. Como sucede con cualquier conexión a cualquier servidor en Internet, la conexión IP es visible si usted sabe dónde buscar. Todas las direcciones IP que se conectan a nuestra red están ofuscados por lo que no pueden ser vistos por otros usuarios. Esta acción se realiza de forma automática mediante un módulo de cifrado que tiene básicamente una clave generada aleatoriamente y ejecuta un algoritmo para hacer su IP irreconocible. Las claves se intercalan a intervalos regulares. Además, todos los nicks registrados están configurados con la función NickServ kill para evitar la suplantación.
Políticas de Registros de Datos
Tal y como decimos: no se mantienen ni existe ningun registro que pudiera identificar a un usuario . Esto incluye los registros IRCd, registros de servicios, los Informes del escaneo BOPM, respuestas VERSION o cualquier registro de sistema que puede de ninguna manera identificar a un usuario a través de chat normal.
Inspircd creará un archivo startup.log incluso cuando no se define ninguna etiqueta de registro. Este registro se envía a / dev / null por lo que nunca se escribe en el disco. BOPM no crea un registro de análisis en absoluto y el BOPM.log también se envía a / dev / null a pesar de que las conexiones detectadas por el BOPM no son usuarios reales. Los servicios crean archivos de registro con la fecha como parte de la extension, lo que hace más difícil la creación de enlaces a / dev / null. Estos registros se manejan mediante el comando shred (Triturar). La trituración se produce de forma automática cada 180 segundos. El archivo se sobrescribe con datos aleatorios en numerosas ocasiones, luego se sobrescribe con ceros. Esto hace que sea muy difícil para alguien la recuperación de datos sobre los usuarios de nuestros servidores.
Medidas de Seguridad
Llevamos a cabo la última versión de InspIRCd y Anope disponibles para asegurarse de que no somos vulnerables a los errores que se han descubierto. Comprobamos todos los días los informes de posibles errores y, si se ha descubierto alguno, tomamos las medidas adecuadas. Además de esto todo el software del sistema se mantiene al día mediante el uso de un gestor de paquetes cualquiera, o cuando la versión de software en los repositorios es viejo, vamos a los archivos fuente. Los repositorios son a menudo más viejos, por lo que nos vemos en la necesidad de compilar el código fuente más reciente.
Como se puede imaginar sólo porque un error no se ha informado o arreglado, no significa que no exista. Tomamos medidas adicionales para garantizar que el impacto de este evento se reduce al mínimo. Hacemos esto mediante el uso de varios monitores del sistema, como Tripwire, logwatch y IPS de red, por nombrar algunos. Nuestros IRCds ejecutan como un usuario sin privilegios y nuestro demonio de servicios se ejecuta como un usuario independiente de la IRCd, si uno se ve comprometida, el otro es seguro. Además de estas medidas, iptables se utilizan para restringir completamente el acceso de red entrante y saliente a nuestros centros de huellas digitales y subhubs asegurando que sólo las personas autorizadas pueden enviar y recibir datos a nuestra red central.
Siempre que sea posible corremos nuestros demonios SSH en diferentes IPs que no son públicas. Se requiere acceso SSH para nosotros para manejar nuestros servidores. Nos aseguramos de que está bloqueado tanto como sea posible. No permitimos la autenticación de contraseña a cualquier servidor de la red, sino que es sólo la autenticación de llaves. El acceso de root también está deshabilitado a través de SSH. Corremos sólo el último servidor OpenSSH con las últimas librerías openssl, todos compilados desde los últimos archivos fuente.
Nuestros sistemas de seguridad y procedimientos se ponen a prueba todos los días y no sólo por nosotros. Nosotros tenemos el derecho de defender nuestros servidores. Esto significa que si usted decide hacer DoS / DDoS, Nmap / portscan, intentan exploits simples, hacer fuerza bruta a nuestro SSH, hacer fuerza bruta a nuestras contraseñas de operadores, todo esto será registrado por nuestros sistemas de defensa/IPS.
