INN
El servidor de usenet INN ha tenido una larga y variopinta historia, durante un gran periodo no salían versiones oficiales, y parecía estar en el limbo. Sin embargo, parece que ha vuelto para bien. El software de servidor es el responsable de mantener una carga potencial enorme, si se coge una bandeja de noticias completa, el servidor tiene que procesar varios cientos de artículos por segundo, varios kilobytes de tamaño. Tiene que indexarlos, escribirlos a disco y entregárselos a los clientes que los han solicitado. INN es relativamente seguro en sí mismo, puesto que maneja datos dentro de un directorio y por lo general no tiene acceso más allá de ahí, sin embargo, hay que tener cuidado, al igual que con cualquier sistema de mensajería que se utilice para mantener material privado/confidencial. En la actualidad, INN lo mantiene el ISC, y se encuentra disponible en: http://www.isc.org/inn.html
Una de las principales amenazas de seguridad de INN es el consumo de recursos del servidor. Si alguien decide hacer un flood al servidor con artículos sin sentido o hay un repentino aumento de la actividad, se podrían tener problemas si escasea la capacidad. INN ha tenido diferentes agujeros de seguridad en el pasado, pero en el entorno actual, parece que los programadores han sabido cazarlos y eliminarlos todos (recientemente no ha surgido ninguno). Es altamente recomendable (por más motivos que los meramente de seguridad) ubicar el spool de noticias en un disco aparte, de forma que no pueda hacer caer al servidor.
En cuanto al acceso, definitivamente no se debería permitir acceso público. Cualquier servidor de noticias que esté accesible públicamente va a ser inmediatamente utilizado por la gente para leer noticias, enviar spam y asuntos parecidos. Restringe la lectura de noticias a tus clientes/red interna y si se está realmente preocupado, fuerza a la gente a hacer login. El acceso de clientes a INN se controla con el fichero nnrp.access. Se pueden especificar direcciones IP, nomres de dominios (como *.yo.com), al igual que existen niveles de acceso (leer y publicar), los grupos de noticias a los que se tiene o no acceso, y también se puede especificar un nombre de usuario y contraseña. Sin embargo, puesto que la contraseña está enlazada con el host/dominio, es algo lioso.
Ejemplo de fichero nnrp.acces:
:: -no - : -no- :!*
# deniega acceso desde todos los sitios, para todas las acciones
# (publicar y leer), a todos los grupos.
.yo.com::Read Post:::
# los hosts de yo.com tienen acceso total a todos los grupos
.ellos.com::Read:::*, !yo.*
# los hosts de ellos.com tienen acceso de lectura a todo salvo
# a la jerarquía yo.
.aol.com:Read Post:minombre:miclave:
# darme acceso a la cuenta de AOL utilizando usuario y clave
Si se va a ejecutar un servidor de noticias, recomendaría encarecidamente la lectura del libro de O’Reilly "Managing Usenet". Usenet es parecida al Sendmail, toda una bestia para conseguir que funcione y esté contenta.
Las noticias se deberían filtrar con un cortafuegos, puesto que la mayoría de los servidores alojan un grupo interno y las conexiones se hacen en uno o dos sentidos de los siguientes flujos:
ipfwadm –I –a accept –P tcp –S 10.0.0.0/8 –D 0.0.0.0/0 119
ipfwadm –I –a accept –P tcp –S un.host.fiable –D 0.0.0.0/0 119
ipfwadm –I –a deny –P tcp –S 0.0.0.0/0 –D 0.0.0.0/0 119
o
ipchains –A input –p tcp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 119
ipchains –A input –p tcp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 119
ipchains –A input –p tcp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 119
Diablo
Diablo es un software gratuito dirigido al transporte de la backbone, es decir, aceptar artículos desde otros servidores NNTP y alimentar con ellos a otros servidores, no está dirigido a usuarios finales para lectura o publicación. Se puede conseguir en: http://apollo.backplane.com/diablo/.
DNews
Servidor NNTP comercial para diferentes plataformas. Disponible en:
http://netwinsite.com/dnews.htm
Cyclone
Otro servidor NNTP comercial, al igual que Diablo. Disponible en: http://bcandid.com/
Typhoon
Typhoon es un servidor NNTP comercial dirigido a usuarios finales, es decir, les permite publicar y leer artículos. Se puede conseguir en: http://bcandid.com/
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.