El jue, 06-12-2007 a las 00:44 -0300, ciracusa escribió:
Hola Lista.
1) Situación:
Modem/Router que brinda salida a internet y detrás una red de clase C
donde estan los clientes y los servers.
Por algunos servicios que brindan los servers y que son accedidos desde
clientes remotos vía internet estoy obligado a realizar algunos
"portforwarding" en el Modem/Router los cuales apuntan a cada server,
según el caso.
2) Pregunta:
Para aumentar la seguridad, es posible implementar algún server que este
entre el modem router y los server para que los portforwarding vayan a
este server de seguridad y desde ahi puedan pasar a los demás servidores?
Muchas Gracias.
Lo normal en ese caso es implementar una DMZ, para aumentar un poco la
seguridad.
Luego, para cada servicio, puedes implementar algo de filtrado/seguridad
en un server intermedio, o en el propio server que da el servicio.
Normalizar los paquetes, descartar los inválidos, limitar conexiones por
IP (-m conlimit), filtrado de capa 7, monitorización de ataques, sistema
de detección de intrusiones, etc
Para mejorar la estabilidad ante DoS, puedes implementar balanceo de
carga, p.ej. en apache, replicando los servers que tienes detrás de la
máquina intermedia.
De todas maneras, la seguridad es como una cuerda tensa, se romperá en
su punto más débil. Y si se rompe en cualquier lugar, toda la cuerda se
irá abajo.
La seguridad es un proceso constante. Seleccionas un sistema operativo
de calidad, lo conoces a fondo y no instalas nada desconfiable. Haces
copias de seguridad. Las almacenarlos en un medio seguro, no en la red.
Utilizas varias herramientas para comprobar todo (cortafuegos, rootkit,
ARP, snort, etc etc hasta llegar a ser pedante). Es cuestión de
acostumbrarse. Y si eres cuidadoso con las copias de seguridad y que
éstas formen parte de tu vida diaria y tienes un plan de contingencia,
cuando la seguridad se rompe, tienes soluciones.
Saludos