[OT] Firewalls de filtrado y proxies
Un saludo a todos.
Empieza aquí lo que a buen seguro será una dura serie de consultas
acerca de seguridad, filtrado de paquetes y proxies ;)
Empiezo:
Tengo que diseñar e implementar la seguridad de una red local.
Para empezar, en el diseño he separado las máquinas que ofrecerán
servicios a Internet y las estaciones de trabajo en dos subredes
diferentes. He creado, además, una tercera subred para una máquina
que tiene unas condiciones de seguridad muy específicas.
Inet
|
|
----------
| FIREWALL |
----------
|
|
--------------------------------
| | |
| | |
SERVICIOS LAN ESPECIAL
En principio, esa topología parece sencilla y cubre las necesidades
básicas. No obstante, parece aconsejable colocar otro firewall
de la forma siguiente:
Inet
|
|
------------
| FIREWALL A |
------------
|
|
SERVICIOS -----|----- ESPECIAL
|
|
------------
| FIREWALL B |
------------
|
|
LAN
NECESIDADES:
============
LAN: acceso a web, smtp, ldap y pop3.
SERVICIOS: servicio web, smtp, ldap, pop3 y, eventualmente, ftp.
ESPECIAL: da servicio web. Seguridad crítica.
FIREWALLS:
==========
Ahora vienen mis dudas:
Había pensado colocar un proxy para ofrecer los servicios necesarios a
la LAN. En teoría en el Firewall B. Bueno, sería un proxy por servicio,
es decir: squid (web), smtpd (smtp), perdition (pop3) y lo que no he
encontrado es un proxy para ldap. Además, no quiero usar sendmail,
y smtpd depende de él... ¿alguna otra alternativa fiable en debian?
El Firewall A se encargaría de enmascarar las direcciones IP
y redireccionar el tráfico a los diferentes servicios.
En el caso de ESPECIAL, dudo si colocarlo ahí o ponerlo
detrás de B, aunque eso sería complicar mucho las reglas
de este firewall.
CONCLUSIÓN:
===========
Quería plantearles la idea para que ahora ustedes la masacren,
y me comenten todos los fallos (probablemente muchos) que
encuentren a semejante engendro de diseño.
Porque a lo mejor ustedes colocarían el proxy en A o cualquier
otra cosa... no sé, divagaciones de uno.
Por cierto, muchas gracias desde ya ;)
--
(o_.' Imobach González Sosa
//\c{} imobachgs@softhome.net
V__)_ a2419@correo.dis.ulpgc.es
osoh en irc-hispano
Usuario Linux #201634
Debian GNU/Linux `Woody' con núcleo 2.4.7 sobre AMD K7 Athlon
Quien nos revelase la esencia del mundo nos produciría a todos la mayor
desilusión -- F. Nietzsche --
Reply to: