Port forwadding ...

Horst von Brand vonbrand en inf.utfsm.cl
Mar Jun 28 10:37:46 CLT 2005


Tipler <tipler en gmail.com> wrote:
> .. quisiera compartir con Uds. una experiencia que estoy realizando en
> estos días y ver si les parece adeacuada, comentarios, etc ...
> 
> .. el panorama es el siguiente ...
> 
> --------------
> Lugar A
>  Hosting compartido Web (Win2k)

Bota eso. Win2k esta descontinuado, ademas que es un verdadero asco.

> Lugar B
>  Web Server público (solo accesible por puerto 443, https. Linux)
>  |
>  |-Lan
>     |-Servidor Mysql 1 (Linux)
>     |-Servidor Mysql 2 (Linux)
>     |-Servidor Ms Sql Server 1 (w2k)
>     |-Servidor Ms Sql Server 2 (w2k)
> -------------

Idem respecto de Win2k.

> .. la idea es brindar algunos servicios, a nuestros clientes a través
> de Internet, que impacten sobre los servidores de DB MsSql Server de
> producción de nuestras aplicaciones transaccionales. Las DB Mysql las
> usaré para realizar registros de transacciones (logs) para ser vistas
> a través de la Intranet.

MySQL es un /directorio/ mas o menos decente, no es un RDBMS. Migra a
PostgreSQL. Y por sanidad mental basica, elimina MS SQL Server.

> .. por ello, todo formulario web, que sea leido desde Internet, estará
> hosteado por nosotros mismos e interactuará con el Web Server
> (Apache+Linux) vía SSL.(https)

Y cual es la idea? Estas aumentando la latencia gratuitamente.

> .. luego la interacción entre los formularios web (php) y las base de
> datos (MsSql y Mysql), en la LAN, también la realizaré de forma
> cifrada realizando "Port Forwadding".

Si crees en la seguridad de tu LAN, olvida la encriptacion: Solo aumenta la
carga de trabajo y la latencia si igual como pueden pinchar la red se
pueden llevar los discos para la casa.

[...]

> Entre los linux (utilizo debian) no hay grandes inconvenientes ...

Espero que sea la version estable (aunque si Debian me inclinaria por la
anterior estable por unos meses aun...)

> De linux a linux  (php -> mysql)
> . Genere la autenticación de llave pública. 
> . Luego corro ssh en background, entre ambos.
> . En el tunel cifrado generado establezco la comunicación php,mysql.  

Inutil.

> De linux a Win (php -> ms sql)
> . Instale CygWin (para poder utilizar OpenSsh bajo Win)
> ... es muy lindo ver un Win como Linux. Y correr cosas Win dentro de
> un entorno Linux como si fuera un linux. (http://www.cygwin.com/)

Si. Pero es mucho mas eficiente y productivo usar un Linux de a deveras.

> . Genere la autenticación de llave ública.
> . Luego corro ssh en background, entre ambos.
> . En el tunel cifrado generado establezco la comunicación php (linux),
> mssql (win).

Idem anterior.

> Para poder leer las db (mssql) con php (desde linux) instale las
> librerías DB del proyecto Pear. (http://pear.php.net)
> 
> Todo esto lo tengo en funcionamiento en etapa beta, funciona muy bien.
> Pero aún no se encuentra en producción.

Ahora, si nos contaras un poco de porque esta instalacion barroca, y en
particular cual(es) modelos de vulnerabilidad tienes en mente, y que clase
de datos manejas, tal vez podamos decirte si esto simplemente es demasiada
inversion en seguridad (como sospecho) o es demasiado poca cualquier cosa
tejida en casa (como la que propones).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513


Más información sobre la lista de distribución Linux