Re: Consulta de Infraestructura
El lun, 10-12-2007 a las 01:25 -0300, ciracusa escribió: [...] 1) El modem/router lo dejarías haciendo NAT o lo pasarías a Bridge para que todo dependa del Firewall en Linux? Normalmente se pone en bridge o monopuesto. El rendimiento (salvo que pongas un 386) suele ser mejor así. Ahora, tu verás que quieres tener expuesto. Es menos habitual un bug en un router DSL que en un linux. También suele tener menos mecanismos de defensa un router DSL que un linux. 2) Un posible esquema sería: Internet - modem/router - FIREWALL - ETH0 - DMZ - ETH1 - Red Local Y luego en el firewall aplicar las políticas que correspondan? Que opinas? Que una DMZ sería tres interfaces/direccionamientos mínimo: 1) Salida - Entrada (internet) 2) DMZ (servidores con puertos a internet) 3) Red local (puestos, otros servidores) Si sólo tienes dos interfaces físicas, se suele dejar una física para internet, y la otra la divides en dos virtuales, una para dmz y otra para red local. Otras veces se configuran las dos interfaces con channel bonding y se crean las subredes mediante bond0.1, bond0.2, bond0.3, etc y se conecta todo a un switch gestionable y se asignan vlans a los puertos del switch. Impementación típica de DMZ: Internet --- DSL --- eth0 --- firewall --- eth1.0 dmz \ \ \ --- eth1.1 red local Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Consulta de Infraestructura
Gonzalo Trujillo F. escribió: Concuerdo 100% con lo que dice Iñigo, y de pasadita te recomiendo que te documentes sobre el tema DMZ. Saludos Si es en plan casero, creo que mas facil seria, o por lo menos lo que yo haria seria poner entre el router y la red que dices que tienes un linux (Debian, por supuesto) Con iptables. de forma que de una pata iria al firewall y la otra pata a la red de servidores. de forma que le pondria las diferentes reglas filtrado. Asi le das utilidad a una maquina mas antigua, en mi caso tengo un pequeño pc que es un pent3. pero seguro que incluso maquinas mas antiguas valdrian para la solucion Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Consulta de Infraestructura
Iñigo Tejedor Arrondo wrote: El jue, 06-12-2007 a las 00:44 -0300, ciracusa escribió: Hola Lista. 1) Situación: Modem/Router que brinda salida a internet y detrás una red de clase C donde estan los clientes y los servers. Por algunos servicios que brindan los servers y que son accedidos desde clientes remotos vía internet estoy obligado a realizar algunos portforwarding en el Modem/Router los cuales apuntan a cada server, según el caso. 2) Pregunta: Para aumentar la seguridad, es posible implementar algún server que este entre el modem router y los server para que los portforwarding vayan a este server de seguridad y desde ahi puedan pasar a los demás servidores? Muchas Gracias. Lo normal en ese caso es implementar una DMZ, para aumentar un poco la seguridad. Luego, para cada servicio, puedes implementar algo de filtrado/seguridad en un server intermedio, o en el propio server que da el servicio. Normalizar los paquetes, descartar los inválidos, limitar conexiones por IP (-m conlimit), filtrado de capa 7, monitorización de ataques, sistema de detección de intrusiones, etc Para mejorar la estabilidad ante DoS, puedes implementar balanceo de carga, p.ej. en apache, replicando los servers que tienes detrás de la máquina intermedia. De todas maneras, la seguridad es como una cuerda tensa, se romperá en su punto más débil. Y si se rompe en cualquier lugar, toda la cuerda se irá abajo. La seguridad es un proceso constante. Seleccionas un sistema operativo de calidad, lo conoces a fondo y no instalas nada desconfiable. Haces copias de seguridad. Las almacenarlos en un medio seguro, no en la red. Utilizas varias herramientas para comprobar todo (cortafuegos, rootkit, ARP, snort, etc etc hasta llegar a ser pedante). Es cuestión de acostumbrarse. Y si eres cuidadoso con las copias de seguridad y que éstas formen parte de tu vida diaria y tienes un plan de contingencia, cuando la seguridad se rompe, tienes soluciones. Saludos Iñigo, gracias por tu respuesta. Te consulto: 1) El modem/router lo dejarías haciendo NAT o lo pasarías a Bridge para que todo dependa del Firewall en Linux? 2) Un posible esquema sería: Internet - modem/router - FIREWALL - ETH0 - DMZ - ETH1 - Red Local Y luego en el firewall aplicar las políticas que correspondan? Que opinas? Muchas Gracias. Salu2. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Consulta de Infraestructura
Concuerdo 100% con lo que dice Iñigo, y de pasadita te recomiendo que te documentes sobre el tema DMZ. Saludos El día 6/12/07, Iñigo Tejedor Arrondo [EMAIL PROTECTED] escribió: El jue, 06-12-2007 a las 00:44 -0300, ciracusa escribió: Hola Lista. 1) Situación: Modem/Router que brinda salida a internet y detrás una red de clase C donde estan los clientes y los servers. Por algunos servicios que brindan los servers y que son accedidos desde clientes remotos vía internet estoy obligado a realizar algunos portforwarding en el Modem/Router los cuales apuntan a cada server, según el caso. 2) Pregunta: Para aumentar la seguridad, es posible implementar algún server que este entre el modem router y los server para que los portforwarding vayan a este server de seguridad y desde ahi puedan pasar a los demás servidores? Muchas Gracias. Lo normal en ese caso es implementar una DMZ, para aumentar un poco la seguridad. Luego, para cada servicio, puedes implementar algo de filtrado/seguridad en un server intermedio, o en el propio server que da el servicio. Normalizar los paquetes, descartar los inválidos, limitar conexiones por IP (-m conlimit), filtrado de capa 7, monitorización de ataques, sistema de detección de intrusiones, etc Para mejorar la estabilidad ante DoS, puedes implementar balanceo de carga, p.ej. en apache, replicando los servers que tienes detrás de la máquina intermedia. De todas maneras, la seguridad es como una cuerda tensa, se romperá en su punto más débil. Y si se rompe en cualquier lugar, toda la cuerda se irá abajo. La seguridad es un proceso constante. Seleccionas un sistema operativo de calidad, lo conoces a fondo y no instalas nada desconfiable. Haces copias de seguridad. Las almacenarlos en un medio seguro, no en la red. Utilizas varias herramientas para comprobar todo (cortafuegos, rootkit, ARP, snort, etc etc hasta llegar a ser pedante). Es cuestión de acostumbrarse. Y si eres cuidadoso con las copias de seguridad y que éstas formen parte de tu vida diaria y tienes un plan de contingencia, cuando la seguridad se rompe, tienes soluciones. Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Consulta de Infraestructura
El jue, 06-12-2007 a las 00:44 -0300, ciracusa escribió: Hola Lista. 1) Situación: Modem/Router que brinda salida a internet y detrás una red de clase C donde estan los clientes y los servers. Por algunos servicios que brindan los servers y que son accedidos desde clientes remotos vía internet estoy obligado a realizar algunos portforwarding en el Modem/Router los cuales apuntan a cada server, según el caso. 2) Pregunta: Para aumentar la seguridad, es posible implementar algún server que este entre el modem router y los server para que los portforwarding vayan a este server de seguridad y desde ahi puedan pasar a los demás servidores? Muchas Gracias. Lo normal en ese caso es implementar una DMZ, para aumentar un poco la seguridad. Luego, para cada servicio, puedes implementar algo de filtrado/seguridad en un server intermedio, o en el propio server que da el servicio. Normalizar los paquetes, descartar los inválidos, limitar conexiones por IP (-m conlimit), filtrado de capa 7, monitorización de ataques, sistema de detección de intrusiones, etc Para mejorar la estabilidad ante DoS, puedes implementar balanceo de carga, p.ej. en apache, replicando los servers que tienes detrás de la máquina intermedia. De todas maneras, la seguridad es como una cuerda tensa, se romperá en su punto más débil. Y si se rompe en cualquier lugar, toda la cuerda se irá abajo. La seguridad es un proceso constante. Seleccionas un sistema operativo de calidad, lo conoces a fondo y no instalas nada desconfiable. Haces copias de seguridad. Las almacenarlos en un medio seguro, no en la red. Utilizas varias herramientas para comprobar todo (cortafuegos, rootkit, ARP, snort, etc etc hasta llegar a ser pedante). Es cuestión de acostumbrarse. Y si eres cuidadoso con las copias de seguridad y que éstas formen parte de tu vida diaria y tienes un plan de contingencia, cuando la seguridad se rompe, tienes soluciones. Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Consulta de Infraestructura
Hola Lista. 1) Situación: Modem/Router que brinda salida a internet y detrás una red de clase C donde estan los clientes y los servers. Por algunos servicios que brindan los servers y que son accedidos desde clientes remotos vía internet estoy obligado a realizar algunos portforwarding en el Modem/Router los cuales apuntan a cada server, según el caso. 2) Pregunta: Para aumentar la seguridad, es posible implementar algún server que este entre el modem router y los server para que los portforwarding vayan a este server de seguridad y desde ahi puedan pasar a los demás servidores? Muchas Gracias. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]