estrategia seguridad

Ariel Martinez ariel en farmacia.udea.edu.co
Mie Mar 30 19:45:06 CLT 2005 

On Tue, 29 Mar 2005, Jorge wrote:

> Que tal amigos, necesito saber su opinion con respecto a usar 2 tarjetas
> de red o 3 en un servidor, donde llega internet que esta expuesto.

Los servidores expuestos siempre deben pertenecer a una zona 
independiente, con reglas paranoicas acerca de lo que pasa de la DMZ hacia 
la red privada.  Necesitas tres tarjetas.

> los servicios que uso son los tipicos web, correo, dns para el exterior,

Esto justifica la nueva zona:  Si algún servicio (p.e.  web server con 
IIS) es comprometido desde internet, el firewall detiene el acceso a la 
Red Privada.  Simple.

> e 
> interior samba, proxy.
> 
> La consulta es la siguiente : con respecto a la seguridad en las 2
> alternativas, segun mi parecer es igual, puesto que en el primer punto
> utilizo una ip no valida 192.168.1.1,

Esa IP es válida.

> es decir una red distinta a la de
> la ip fija (200.72.251..), que me brinda cierta seguridad, puesto que
> desde el exterior, no pueden acceder directamente a mi red local.

Si tienes servicios de Internet en la red privada, claro que están
accediendo.  El problema no es que la red 192.168.1.0 no sea ruteable en
Internet.  El problema es que es posible que los servicios expuestos en
200.72.251.X sean atacados.  Igual el firewall está haciendo NAT de esos
servicios hacia la red privada.

> La
> diferencia en el punto 2 es que en este caso utilizo 2 ip internas
> (192.168.1.1 y 192.168.2.1)

Sip.

> , pero a mi parecer es lo mismo puesto que
> al igual que el anterior existen dos redes distintas entre 200.72.251...
> y 192.168.1.1 ;  y la 200.72.251.. y 192.168.2.1. Ahora es posible que
> en el punto 1) : por la red 200.72.251...  puedan entrar a la
> 192.168.1.1 

Cuando alguien ataca tus servicios desde Internet, están comprometiendo
directamente una máquina dentro de la red privada.  El Firewall (o la red
200.72.251.x) con IP pública no es el que se conecta a la víctima, sino
que reenvia el tráfico que le llega desde Internet, de acerdo con sus
reglas.

>o en el punto 2) puedan entrar desde 200.72.251.. a la
> 192.168.1.1 o 192.168.2.1.

Si en el firewall no existen reglas que redirijan tráfico desde internet
hacia 192.168.1.x, no entran.

El único caso donde no importaría si tiene 2 ó más trajetas es cuando se
compromete el firewall directamente.  Pero yo sé que ese firewall va a
tener reglas paranoicas, va a estar al día en actualizaciones y en ningún
momento tendrá servicios expuestos ni hacia la red privada ni hacia 
Internet.

-- 
Ariel Martinez.

Más información sobre la lista de distribución Linux