Re: Sistemas de detección de intrusos.
On Fri, 2003-01-24 at 11:00, c x wrote:
> Hola a todos.
>
> Tengo un router que es el centro de mis comunicaciones con 3 patitas: internet,
> DMZ y red interna.
> Tengo un filtro de paquetes con iptables con todo muy cerradito (excepto
> lo que tengo que sevir a Internet por narices).
> ¿Es necesario instalar en esta máquina un sistema de detección de intrusos?
> ¿Cuál me recomendáis en Linux?
Si eres del tipo "hágalo usted mismo", o tienes poco presupuesto: snort
(y no estaría de más darle una pasada con nessus a tu red, a ver qué
encuentras).
También podrías poner un fierro. Yo he tenido que lidiar bastante, en
bancos y redes de compañías grandes, con cajas CheckPoint (Firewall NG,
Floodgate). Quiero decir, parecen ser populares. Ésto no quiere decir
mucho, yo sé, pero es lo que puedo reportarte.
En todo caso, yo cuestionaría que el router externo tenga acceso directo
a la red interna. Según yo, todo el punto de una DMZ es proteger la red
interna incluso de una ruptura en la seguridad externa. Lo que yo he
hecho siempre es poner un router/firewall externo, filtrando tráfico
entre la DMZ y la Internet; y un router/firewall interno, filtrando
tráfico entre la red interna y la DMZ. De forma que si te cae un
infeliz script kiddie, con aspiraciones de l33t h4x0r, y consigue poner
un rootkit en el router externo o en un servidor en la DMZ, tienes más
tiempo de detectarlo y detenerlo antes de que pueda entrar a la red
interna (y, naturalmente, los mainframes y bases de datos están en la
red interna, no en la DMZ).
-CR
Reply to: