estrategia seguridad

Miguel Angel Amador L jokercl en gmail.com
Mie Mar 30 13:48:52 CLT 2005


On Tue, 29 Mar 2005 10:52:30 -0400, Jorge <junix en 123.cl> wrote:
>  
> Que tal amigos, necesito saber su opinion con respecto a usar 2 tarjetas de 
> red o 3 en un servidor, donde llega internet que esta expuesto.
3 a ojos cerrados...
 
> los servicios que uso son los tipicos web, correo, dns para el exterior, e 
> interior samba, proxy.
es mas seguro con tres tarjetas.
 samba y proxy deberias = dejarlos sobre tu lan, pero los servicios
como web, correo y dns deberias dejarlos sobre una dmz.
 
> La consulta es la siguiente : con respecto a la seguridad en las 2
> alternativas, segun mi parecer es igual, puesto que en el primer punto 
> utilizo una ip no valida 192.168.1.1, es decir una red distinta a la de la
> ip fija (200.72.251..), que me brinda cierta seguridad, puesto que desde el
> exterior, no pueden acceder directamente a mi red local.  La diferencia en 
> el punto 2 es que en este caso utilizo 2 ip internas (192.168.1.1 y
> 192.168.2.1) , pero a mi parecer es lo mismo puesto que al igual que el
> anterior existen dos redes distintas entre 200.72.251... y 192.168.1.1 ;   y
> la 200.72.251.. y 192.168.2.1. Ahora es posible que en el punto 1) : por la
> red 200.72.251...  puedan entrar a la 192.168.1.1   o en el punto 2) puedan
> entrar desde 200.72.251.. a la 192.168.1.1 o 192.168.2.1.

La diferencia de seguridad no la dan las zonas en si, si no las zonas
+ las reglas que apliques al firewall. claramente bajo un esquema con
3 tarjetas, los clientes solo podran acceder a servicios de inet via
proxy ¿no?, pero nadie de afuera accedera a ningun equipo de la lan.
de la misma forma para ir a buscar correos o ver la pagina web
ocuparas una zona aislada que sera la dmz, y solo permitiras que las
conexiones vayan desde la lan a la dmz, pero no al reves (conexiones
nuevas me refiero)
con eso si algun cracker se mete a tus servidores, no se mete con tus
usuarios, no accede al servidor samba o de fileserver, no imprime en
tus impresoras, no accede al pc del gerente, etc. solo a los correos,
a la pagina web o al dns. ya que al final desde internet solo podra
acceder a esos servicios y nada mas. y los servidores de la dmz solo
podran responder conexiones pero no iniciar nuevas.
 con lo que desde la dmz el fw no dejara pasar nuevos intentos de
conexion a la lan. salvo las respuestas a peticiones hechas desde
alli.
Eso a grandes rasgos... ... aunque si puedes poner 2 firewall seria
mas conveniente.
 algo asi como un esquema:
  Inet ----- fw1 ---- dmz ---- fw2 ---- lan
y en lo posible que los 2 firewall sea distintos, para que te
resguardes en caso que te adueñen del fw1 no lo hagan al tiro con el
fw2
 Eso basicamente hablando.


> 
> 
> gracias por su paciencia. 
> 
>   
> 
>   
> 
> PUNTO 1) Alternativa con 2 tarjeta de red 
[...dibujo feo borrado...]                    


inet ----- fw --------lan + servers


> Punto 2) Alternativa con 3 tarjetas de red 
[...dibujo feo borrado...]                    

inet ----- fw -------- lan 
                | 
               dmz


Propuesta 3)

  Inet ----- fw1 ---- dmz ---- fw2 ---- lan
 ( fw1 != fw2)

Saludos
-- 
Miguel Angel Amador L.
[ jokercl at gmail dot com |  User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]



Más información sobre la lista de distribución Linux