[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Server Web de cara a Internet o detras de Firewall en DMZ

2009/8/31 Angel Claudio Alvarez <dus.angel@gmail.com>:
> El lun, 31-08-2009 a las 11:51 +0200, Antonio Arriaga escribió:
>> Victor Padro escribió:
>> > 2009/8/28 Angel Claudio Alvarez <dus.angel@gmail.com>:
>> >> El vie, 28-08-2009 a las 11:29 -0500, Victor Padro escribió:
>> >>> 2009/8/28 Manuel Diego <manuel@radiohead.cl>:
>> >>>> Mientras puedas "delegar" o separar los servicios será siempre para mejor.
>> >>>> Lo del gasto de energía que decía un usuario por ahí, no lo veo como punto a
>> >>>> considerar si no eres de greenpeace.
>> >>>> Por tanto voy por endian.
>> >>>> El 27-08-2009, a las 20:10, leos.listas@gmail.com escribió:
>> >>>>
>> >>>> Buenas foro.
>> >>>>
>> >>>> Que opinan, es lo mismo montar un server web (LAMP) de cara a internet
>> >>>> protegiéndolo con Iptables (netfiter) o combiene ponerlo en una DMZ detrás
>> >>>> de un firewall que de momento es Endian Firewall?
>> >>>>
>> >>>> Muchas Gracias a todos.
>> >>>>
>> >>>>
>> >>>>
>> >>>> Leos
>> >>>>
>> >>>>
>> >>>> --
>> >>>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> >>>> with a subject of "unsubscribe". Trouble? Contact
>> >>>> listmaster@lists.debian.org
>> >>>>
>> >>>>
>> >>>>
>> >>>> ------------------------
>> >>>> Manuel Diego Paillafil Gamboa
>> >>>> manuel@radiohead.cl
>> >>>> Móvil: 06 - 801 60 24
>> >>>>
>> >>>>
>> >>>>
>> >>>>
>> >>> No sere de greenpeace pero si trabajo en IT y sabemos lo "importante
>> >>> que es la reduccion de costos"  ;)
>> >>> Si tienes un equipo que pueda hacer todo el trabajo y no dos que
>> >>> gastan mas energia, espacio, fuerza laboral, no crees?
>> >>>
>> >> Mas importante es la seguridad, y en este caso el "costo" es
>> >> insignificante
>> >> Ah y de firewall mete un openbsd, y dormis tranquilo
>> >>
>> >>> --
>> >>> Linux User #452368
>> >>> http://twitter.com/vpadro
>> >>>
>> >>> Manifiesto por una cultura libre:
>> >>> http://culturalibre.org/
>> >>>
>> >>> "Doing a thing well is often a waste of time."
>> >>>
>> >>>
>> >
>> > Eso es lo importante para ti, pero para el OP que sera?   :)
>> > Pfsense es lo que yo utilizo el cual esta basado en openbsd y
>> > freebsd...sin embargo el OT necesita usar algo bajo Linux(Debian,
>> > Endian)...
>> >
>>
>> Desde luego vaya tela lo que hay que oir...
>>
> no se oye se lee... ( si asi empezas...)
>
>> ¿que seguridad te va a portar un firewall independiente del servidor que
>> no puedas poner en un firewall en el mismo servidor?
>> ¿que ahorrarte una máquina no es importante?¿hardware, energía
>> (eléctrica, trabajo humano...), gestión de incidencias... no tienen nada
>> que decir?
>>
>> Amigo, si no tienes razón de peso, pon los dos servicios en la misma
>> máquina.
>>
> Un FW protege NO una sola maquina sino varias, en varias DMZs
> Si penetran el firewall TODAVIA deberian tratar de penetrar las otras
> maquinas, en cambio, en caso de tener todo en una sola, estas perdido(si
> yo fuera tu empleador y pasa eso, estarias sin trabajo)
> El kernel de openbsd tiene MUCHAS menos vulnerabilidades que un kernel
> linux, amen de tener que recompilarlo (en linux) para hacerlo monolitico
> Se ve que por tu forma de pensar, pones los costos por encima de la
> seguridad ( tipico de contadores y economistas, que despues se desgarran
> cuando pierden la informacion por la que escatimaron dinero)
> Podria seguir enumerando los muchos argumentos que tengo ( en realidad
> que he aprendido) para colocar un firewall sin software adicional pero
> mejor te invito a suscribirte a securityfocus  o kriptopolis para que te
> informes un poco sobre seguridad informatica
>
> atte.
>>
>>
>> --
>> ==============================================================
>> Antonio Arriaga
>> ==============================================================
>>
>>
>

Take it easy...

Repito:
Las necesidades del OP no son claras, no podemos hacer conclusiones
TAN profesionales, porque para ello no se ven en una lista de linux,
se tratan en una gerencia de IT, y creeme la seguridad no es como tu
la comentas, donde yo trabajo existen varios equipos checkpoint,
nokia, cisco, etc. que estan asignados exclusivamente para la
seguridad en capas de la empresa, tanto interna como externa, no es
nada mas poner un FW para que te proteja en tus DMZ, LANs, VPNs, etc.

Por ejemplo, protejes tus servidores que estan en la DMZ con un equipo
checkpoint haciendo NAT, despues en cada servidor le habilitas
iptables, packet filter, chrooteas, etc.  e instalas un equipo aparte
con snort para que te este auditando todo, y mil y un cosas que te
puedo decir, pero eso es una compañia GRANDE no una compañia donde
nada mas tienes un Dell Poweredge con un Intel core 2 duo, 2GB de RAM
y un disco de 160GB SATA...no crees?
Si estas en el ultimo caso necesitas tener todo en una sola maquina o
dos no solo por cuestiones practicas si no por costos.


Saludos.

-- 
Linux User #452368
http://twitter.com/vpadro

Manifiesto por una cultura libre:
http://culturalibre.org/

"Doing a thing well is often a waste of time."
Reply to: