[OT] Firewalls de filtrado y proxies

Wed, 25 Jul 2001 12:07:59 -0500 

Un saludo a todos.

Empieza aquí lo que a buen seguro será una dura serie de consultas
acerca de seguridad, filtrado de paquetes y proxies ;)

Empiezo:

Tengo que diseñar e implementar la seguridad de una red local.

Para empezar, en el diseño he separado las máquinas que ofrecerán
servicios a Internet y las estaciones de trabajo en dos subredes
diferentes. He creado, además, una tercera subred para una máquina
que tiene unas condiciones de seguridad muy específicas.

        Inet
         |
         |
     ----------
    | FIREWALL |
     ----------
         |
         |
 --------------------------------
 |              |               |
 |              |               |
SERVICIOS      LAN            ESPECIAL


En principio, esa topología parece sencilla y cubre las necesidades
básicas. No obstante, parece aconsejable colocar otro firewall
de la forma siguiente:

          Inet
           |
           |
          ------------
         | FIREWALL A |
          ------------
               |
               |
SERVICIOS -----|----- ESPECIAL
               |
               |
          ------------
         | FIREWALL B |
          ------------
               |
               |
              LAN

NECESIDADES:
============
        LAN: acceso a web, smtp, ldap y pop3.
        SERVICIOS: servicio web, smtp, ldap, pop3 y, eventualmente, ftp.
        ESPECIAL: da servicio web. Seguridad crítica.

FIREWALLS:
==========

Ahora vienen mis dudas:

Había pensado colocar un proxy para ofrecer los servicios necesarios a
la LAN. En teoría en el Firewall B. Bueno, sería un proxy por servicio,
es decir: squid (web), smtpd (smtp), perdition (pop3) y lo que no he
encontrado es un proxy para ldap. Además, no quiero usar sendmail,
y smtpd depende de él... ¿alguna otra alternativa fiable en debian?

El Firewall A se encargaría de enmascarar las direcciones IP
y redireccionar el tráfico a los diferentes servicios.

En el caso de ESPECIAL, dudo si colocarlo ahí o ponerlo
detrás de B, aunque eso sería complicar mucho las reglas 
de este firewall.

CONCLUSIÓN:
===========

Quería plantearles la idea para que ahora ustedes la masacren,
y me comenten todos los fallos (probablemente muchos) que 
encuentren a semejante engendro de diseño.

Porque a lo mejor ustedes colocarían el proxy en A o cualquier
otra cosa... no sé, divagaciones de uno.


Por cierto, muchas gracias desde ya ;)

-- 
(o_.'   Imobach González Sosa
//\c{}  [EMAIL PROTECTED]
V__)_   [EMAIL PROTECTED]
osoh en irc-hispano
Usuario Linux #201634
Debian GNU/Linux `Woody' con núcleo 2.4.7 sobre AMD K7 Athlon

Quien nos revelase la esencia del mundo nos produciría a todos la mayor
desilusión                                      -- F. Nietzsche --

Responder a