2012/9/13 JulHer <jul...@escomposlinux.org>: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > El 13/09/12 17:38, PedroTron escribió: >> Lo que quiero hacer es convertir esos canales dedicados en canales >> seguros. Si es posible hacerlo tambien en la red local seria >> excelente, pero al menos deseo poder asegurar los canales >> dedicados. > > Esos canales dedicados... indica que son. Quiero decir que no se si > tienes varios router con líneas dedicadas entre ellos y unidos por ppp > o algún otro protocolo, o simplemente hay un bridge entre dos > segmentos de red... > > De todos modos, lo más práctico en mi opinión para comunicar dos > equipos independientes es IPsec, pero no me queda claro si hay que > proteger un enlace de datos por el que van las comunicaciones de > muchos equipos o los datos que intercambian dos equipos concretos. > > Un saludo >
Si quiere utilizar IPSec a nivel de red interna, solo puede hacerlo entre dos hosts. Esto quiere decir que precisará configurar tantos túneles como comunicaciones precise. Ejemplo: si quiere que un host se comunique con otros 10 hosts, necesitará configurar 10 túneles IPSec en ese host (y uno en cada uno de los otros 10). Con IPsec no existe la posibilidad de establecer un único túnel que lo abarque todo, a menos que tenga un iniciador/finalizador de túneles IPSec entre ese host y los otros 10 (un fw o un vpn concentrator). Desconcozco si por ejemplo con OpenVPN se puede hacer esto, pero cabe recordar que TODOS (lo digo para remarcar, no gritando) los fabricantes y productos opensource que asumen funciones SSL-VPN son vulnerables a uno de los ataques más antiguos que existen: MITM. Para las personas que preguntan que para qué se puede tener necesidad de hacer algo así, os pongo de ejemplo mi caso en mi empresa. Tenemos configurados túneles IPSec hacia un servidor DNS y un servidor de archivos (ambos en la misma red que las estaciones de trabajo). El servidor DNS replica datos de ciertos clientes nuestros y solo precisan ser vistos por ciertos usuarios. En el caso del servidor de archivos, ya os lo podéis imaginar: almacena docs confidenciales de la empresa así como de clientes. Y esto se suele hacer así por dos motivos: a) Poner acls a nivel de IP no resuelven el problema (y en nuestra empresa menos ya que los usuarios pueden cambiar la IP de sus portátiles) b) Hay que garantizar la integridad y confidencialidad de los datos en tránsito. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CAEjQA5+o=gensfp8gfbfarqym506r6thex+etbqpqlw0u89...@mail.gmail.com