Monopuesto o Multipuesto
Hola lista; Soy un usuario Novel de la informatica y mas del linux (version suse 10.1 actualmente), despues de leer mucho por la lista uno se acaba haciendo preguntas tontas, tengo un router como acceso a internet en modo multipuesto, pero.... ¿que es mejor? multipuesto o monopuesto. Todos os preguntareis depende para que, pues para nada en particular, quizas mirando hacia la seguridad o quizas mirando al rendimiento de programas p2p. Alguna idea. Gracias.
El 29/08/06, Nacho escribió:
¿que es mejor? multipuesto o monopuesto.
Multipuesto con cortafuegos activado (nivel alto mejor) y políticas de seguridad activadas, registro de intentos de acceso + SuSE (versión 10.0 o 10.1 mejor) con cortafuegos activado y con los parches de seguridad instalados. Esa es una configuración "bastante" segura... que se lleva fatal con el uso de programas p2p :-). Saludos, -- Camaleón
Camaleón escribió:
El 29/08/06, Nacho escribió:
¿que es mejor? multipuesto o monopuesto.
Multipuesto con cortafuegos activado (nivel alto mejor) y políticas de seguridad activadas, registro de intentos de acceso + SuSE (versión 10.0 o 10.1 mejor) con cortafuegos activado y con los parches de seguridad instalados.
Esa es una configuración "bastante" segura... que se lleva fatal con el uso de programas p2p :-).
Saludos,
vale vale, muy contundente, asi mejor y si nadie dice lo contrario asi creo que esta. Que es politicas de seguridad activadas, y registro de intentos de acceso. El suse 10.1 funcionando pero.... ¿de donde saco los parches de seguridad? Esto cada vez se parece mas al ruindows Gracias
El 29/08/06, Nacho escribió:
vale vale, muy contundente, asi mejor y si nadie dice lo contrario asi creo que esta.
Lo dudo... el amule te iría a pedales :-)
Que es politicas de seguridad activadas, y registro de intentos de acceso.
Algunos routers (los más nuevos) tienen varias opciones de seguridad, como las reglas de filtrado de puertos, el cortafuegos y un regsitro de eventos de intentos de acceso.
El suse 10.1 funcionando pero.... ¿de donde saco los parches de seguridad?
Puedes instalarlos desde Yast, o con zmd, el icono que tienes al lado de la hora (una bola azul) debería ponerse naranja de vez en cuando... el tipo de actualización puede ser de seguridad o simplemente recomendada.
Esto cada vez se parece mas al ruindows
Todo en esta vida necesita un parche de vez en cuando, hasta las lavadoras ;-) Saludos, -- Camaleón
Camaleón escribió:
El 29/08/06, Nacho escribió:
vale vale, muy contundente, asi mejor y si nadie dice lo contrario asi creo que esta.
Lo dudo... el amule te iría a pedales :-)
Pues va bien, o lo que yo considero bien, 40 o 50 de media, con un router en multipuesto pppoe, firewall funcionando con los puertos abiertos y firewall del suse 10.1 tambien funcionando y puertos requeridos abiertos
Que es politicas de seguridad activadas, y registro de intentos de acceso.
Algunos routers (los más nuevos) tienen varias opciones de seguridad, como las reglas de filtrado de puertos, el cortafuegos y un regsitro de eventos de intentos de acceso.
Esto no se si lo tengo puesto o ni siquiera si lo tiene mi router aunque ya tiene un par dde años por lo menos es un 3com crw y lo que sigue
El suse 10.1 funcionando pero.... ¿de donde saco los parches de seguridad?
Puedes instalarlos desde Yast, o con zmd, el icono que tienes al lado de la hora (una bola azul) debería ponerse naranja de vez en cuando... el tipo de actualización puede ser de seguridad o simplemente recomendada.
bueno pues los temas de los parches estan instalados, por que ahora solo me dice que tengo una actualización y que es para un scaner o sea que todo ok
Esto cada vez se parece mas al ruindows
Todo en esta vida necesita un parche de vez en cuando, hasta las lavadoras ;-)
Saludos,
Si pero al final hay que cambiarlas, Por cierto unas direcciónes desde donde realizar las actualizaciones. Gracias.
El 29/08/06, Nacho escribió:
¿que es mejor? multipuesto o monopuesto.
* Monopuesto siempre y lo del cortafuegos no hace falta mencionarlo, es obligatorio en cualquier circunstancia, a ver si el personal acaba de entender que el router en multipuesto es alcanzable desde internet, solo por esto, hay 30 razones mas, se debe evitar el multipuesto y se debe evitar por tanto tambien en una maquina que haga esta funcion aunque obviamente en este caso tendra menos agujeros, a mayor abundamiento los cortafuegos de los routers domesticos en su inmensa mayoria no son a nivel de auditoria de paquetes y los que lo tuvieren (seguimos hablando de domesticos), sus implementaciones son minimas, por razones obvias de espacio, potencia de proceso, memoria, etc ..... y del propio S.O. empotrado. * Y seria conveniente dejar de una vez de dar opiniones de "oreja" y estudiar las bases tecnicas de los protocolos, asi como las distintas implementaciones de las pilas en los distintos sistemas operativos, que ni son iguales, ni tienen las mismas caracteristicas en cuanto a seguridad por defecto.
El 30/08/06, jose maria escribió:
* Monopuesto siempre y lo del cortafuegos no hace falta mencionarlo, es obligatorio en cualquier circunstancia,
Hace 6 años, cuando todos nosotros estábamos pegándonos con los módems, ni cortafuegos ni nada, y además, yo por aquí con Windows 98... :-) Ahora se ha puesto de moda la seguridad con la banda ancha.
a ver si el personal acaba de entender que el router en multipuesto es alcanzable desde internet, solo por esto, hay 30 razones mas, se debe evitar el multipuesto
¿Y un router / modem en monopuesto no es alcanzable desde Internet? Pues también lo es, y va directo al equipo. Se trata de que en ambos casos, además de configurar una seguridad adecuada del modem / router se tengan los equipos protegidos y actualizados, se tenga el sistema operativo que se tenga. Huelga decir que tener un programa p2p como el amule o emule funcionando no suele ser para nada aconsejable en un equipo que se quiera protejer o que esté en una misma red.
* Y seria conveniente dejar de una vez de dar opiniones de "oreja" y estudiar las bases tecnicas de los protocolos, asi como las distintas implementaciones de las pilas en los distintos sistemas operativos, que ni son iguales, ni tienen las mismas caracteristicas en cuanto a seguridad por defecto.
Personalmente prefiero un cortafuegos dedicado. No pondría un equipo (por muy potente o sencillo que sea) a hacer esta función. A nivel usuario es complicado de configurar y a nivel empresarial no lo veo práctico (un equipo es costoso de mantener -tiempo y recursos-), mientras que un cortafuegos te permite más opciones de conectividad (unir dos routers de banda ancha)... Saludos, -- Camaleón
El Miércoles, 30 de Agosto de 2006 11:32, Camaleón escribió:
¿Y un router / modem en monopuesto no es alcanzable desde Internet?
* NO
Pues también lo es,
* Dios que cruz
y va directo al equipo.
* Exacto lo pillas .....
Se trata de que en ambos casos, además de configurar una seguridad adecuada del modem / router se tengan los equipos protegidos y actualizados, se tenga el sistema operativo que se tenga.
* Me encanta la poesia, pero en otros ambitos.
Huelga decir que tener un programa p2p como el amule o emule funcionando no suele ser para nada aconsejable en un equipo que se quiera protejer o que esté en una misma red.
* Esto no es ni mas ni menos que un programa de tantos, que pasa con un servidor web, o un ftp..., lo que se deberia hacer de usarse, es usar programas que trabajen como demonios, que sean enjaulables, compilables estaticamente, funcionando como usuarios sin privilegios, etc .... , ejemplo mldonkey.
Personalmente prefiero un cortafuegos dedicado.
* Me explique lo que es un cortafuegos dedicado, bueno no me lo expliques es una maquina linux/bsd/solaris, lo que sea, ejerciendo de tal ?. * Supongo que no habras caido en el error de creer que un Cisco, Santa Barbara, linksys o infiniband de 20.000 pavos, layer 3 o tipo F es algo magico, no es ni mas ni menos que una implementacion/modificacion de codigo bsd cerrada (por que se puede), por eso no quiero ni verlo por no cargar una version standard, o un solaris con asistentes graficos + hierro, si quieres bonito y de diseño, lo cual puedes hacer tu con una maquina casi regalada, y una tarjeta de cifrado, si esa fuera una caracteristica necesaria, con un linux o un bsd, la publicidad suele aportar como grandes logros de diseño un procesador de alto rendimiento, generalmente un risc o strong-arm, en absoluto un G4 de un miserable ibook, y algo mas que deberia, al menos, hacer pensar a mas de uno. * sic del manual, de uno que decidio que este le iva bien con el peinado: " el estupendo (no pondre marcas), ofrece un rendimiento de distribución IP sin precedentes a precios sorprendentemente atractivos (nota particular 23200 IVA incl. en distribucion) . El enrutador/firewall está equipado con un poderoso procesador que puede soportar una conexión a Internet cercana a los 100Mbps (notese que no se conoce precedente de semejante caudal enrutador) lo que es la velocidad de una conexión Fast Ethernet (a pues parece que si se conoce ....). Con este rendimiento sorprendente ( XDD... me parece que era) y un puerto de WAN de 10/100Mbps, el enrutador está listo para usarse con las más recientes soluciones de banda ancha tales como VDSL y FTTH" , me paro aqui por que las caracteristicas del cortafuegos no contienen misterio alguno. * Pongo a dios por testigo que bese los billetes, habia varios bin laden, una docena de veces y Ramon, comercial del distribuidor, a quien varios de esta lista conocen, me alargo una caja de Klinex, ante semejante despilfarro.
No pondría un equipo (por muy potente o sencillo que sea) a hacer esta función. A nivel usuario es complicado de configurar y a nivel empresarial no lo veo práctico (un equipo es costoso de mantener -tiempo y recursos-),
* No me lo puedo creer .....
mientras que un cortafuegos te permite más opciones de conectividad (unir dos routers de banda ancha)...
* Y esto ya me echa de los hilos de redes una temporada y tal vez per soecula soeculorum.
* Supongo que no habras caido en el error de creer que un Cisco, Santa Barbara, linksys o infiniband de 20.000 pavos, layer 3 o tipo F es algo magico, no es ni mas ni menos que una implementacion/modificacion de codigo bsd cerrada (por que se puede), por eso no quiero ni verlo por no cargar una version standard, o un solaris con asistentes graficos + hierro, si quieres bonito y de diseño, lo cual puedes hacer tu con una maquina casi regalada, y una tarjeta de cifrado, si esa fuera una caracteristica necesaria, con un linux o un bsd, la publicidad suele aportar como grandes logros de diseño un procesador de alto rendimiento, generalmente un risc o strong-arm, en absoluto un G4 de un miserable ibook, y algo mas que deberia, al menos, hacer pensar a mas de uno.
Tengo yo curiosidad por esto... la inspección de paquetes qué es? Tiene algo que ver con algo parecido a stateful inspection?? iptables tiene esta posibilidad? qué habría que usar si no la tuviese? (nótese que no sugiero que la tiene, sino que como ignorante autodefinido que soy, pregunto humildemente)
No pondría un equipo (por muy potente o sencillo que sea) a hacer esta función. A nivel usuario es complicado de configurar y a nivel empresarial no lo veo práctico (un equipo es costoso de mantener -tiempo y recursos-),
* No me lo puedo creer .....
en esto siempre he tenido (mis) dudas. Puede un servidor configurado adecuadamente (hw) tener el mismo rendimiento como firewall que los típicos, por decir algo, stonegates o checkpoints de la vida? Por rendimiento entiendo cantidad de trabajo realizado por unidad de tiempo.
* Y esto ya me echa de los hilos de redes una temporada y tal vez per soecula soeculorum.
No por dios, eso no. No nos prives de tu sapiencia! A tus años y tan sensible... :P -- Saludos, miguel
El Miércoles, 30 de Agosto de 2006 14:25, miguel gmail escribió:
iptables tiene esta posibilidad? qué habría que usar si no la tuviese?
* Que yo sepa iptables es la cuarta generacion del packet filtering de bsd ipfw, que recuerde lo ha tenido practicamente desde sus origenes, no recuerdo si se implemento en ipchains es posible que no, los modulos de contrack por ejemplo, de hecho es practicamente seguro que lo estes utilizando, por ejemplo cuando aplicas, RELATED, ESTABLISHED estas haciendo SPI, otra cosa es que tenga las mismas caracteristicas del hibrido de ipcop que en definitiva usa un conjunto de scripts para la inspeccion dinamica para aplicaciones (caracteristicas proxy), de todas maneras, para estas cosas yo prefiero los proxys para el nivel de aplicacion de forma independiente. * Hay parches por un tubo para iptables, seria dificil que caracteristicas de algun otro incluso "cosmeticas" no este, pero vamos puede ser perfectamente y al otro le faltaran cosas de este.
El 30/08/06, jose maria escribió:
¿Y un router / modem en monopuesto no es alcanzable desde Internet?
* NO
¿No? Pues podrías explicar por qué no lo es.
Pues también lo es,
* Dios que cruz
Una explicación breve, vendría muy bien.
y va directo al equipo.
* Exacto lo pillas .....
Ah, ¿entonces sí es accesible?
Se trata de que en ambos casos, además de configurar una seguridad adecuada del modem / router se tengan los equipos protegidos y actualizados, se tenga el sistema operativo que se tenga.
* Me encanta la poesia, pero en otros ambitos.
No veo rimas por ningún lado.
Huelga decir que tener un programa p2p como el amule o emule funcionando no suele ser para nada aconsejable en un equipo que se quiera protejer o que esté en una misma red.
* Esto no es ni mas ni menos que un programa de tantos, que pasa con un servidor web, o un ftp..., lo que se deberia hacer de usarse, es usar programas que trabajen como demonios, que sean enjaulables, compilables estaticamente, funcionando como usuarios sin privilegios, etc .... , ejemplo mldonkey.
¿Un programa de tantos? ¿Un programa que te pide abrir puertos del cortafuegos para poder funcionar, que permite el acceso a tu equipo y a los ficheros que quieres compartir?
Personalmente prefiero un cortafuegos dedicado.
* Me explique lo que es un cortafuegos dedicado, bueno no me lo expliques es una maquina linux/bsd/solaris, lo que sea, ejerciendo de tal ?.
* Supongo que no habras caido en el error de creer que un Cisco, Santa Barbara, linksys o infiniband de 20.000 pavos, layer 3 o tipo F es algo magico, no es ni mas ni menos que una implementacion/modificacion de codigo bsd cerrada (por que se puede), por eso no quiero ni verlo por no cargar una version standard, o un solaris con asistentes graficos + hierro, si quieres bonito y de diseño, lo cual puedes hacer tu con una maquina casi regalada, y una tarjeta de cifrado, si esa fuera una caracteristica necesaria, con un linux o un bsd, la publicidad suele aportar como grandes logros de diseño un procesador de alto rendimiento, generalmente un risc o strong-arm, en absoluto un G4 de un miserable ibook, y algo mas que deberia, al menos, hacer pensar a mas de uno.
Hablas con visión de usuario, no de empresa. Lo entiendo. Un equipo (ordenador con sistema operativo) haciendo cortafuegos tiene serias deventajas en estos entornos. Primero, el mantenimiento, la instalación, los componentes. No podemos hablar de un equipo haciendo de cortafuegos, tendrían que ser varios, por motivos de seguridad. Los ordenadores "al uso" son mucho más susceptibles a errores (placas base, fuentes atx, ventiladores, disco duro...) además del mantenimiento típico que se le da a un ordenador (actualizaciones de seguridad, limpieza de los componentes) todo lo cual repercute directamente en la empresa. A nivel "casero", pues pones una segunda tarjeta de red y te lías con las reglas del cortafuegos y el filtrado de paquetes... hasta que un día se te olvida actualizar el sistema, nada importante, un error en el cortafuegos de SuSE que permite al usuario externo el acceso al equipo. Como al modem el monopuesto (que no tiene ningún tipo de filtrado porque de eso ya se encarga el equipo destinado a tal uso) le va la moda del liberalismo económico "dejar hacer, dejar pasar" pues pasa lo que tiene que pasar.
No pondría un equipo (por muy potente o sencillo que sea) a hacer esta función. A nivel usuario es complicado de configurar y a nivel empresarial no lo veo práctico (un equipo es costoso de mantener -tiempo y recursos-),
* No me lo puedo creer .....
Yo sí. En una cuestión de "concepto". En caso de fallo, es más sencillo cambiar un cortafuegos dedicado que un equipo completo. Menos componentes, menos matenimiento.
mientras que un cortafuegos te permite más opciones de conectividad (unir dos routers de banda ancha)...
* Y esto ya me echa de los hilos de redes una temporada y tal vez per soecula soeculorum.
No creo que sea para tanto... Saludos, -- Camaleón
El 30/08/2006 15:21:03 Camaleón escribió: noelamac> > > ¿Y un router / modem en monopuesto no es alcanzable desde Internet? noelamac> > > noelamac> > noelamac> > * NO noelamac> noelamac> ¿No? Pues podrías explicar por qué no lo es. Es sencillo, porque funciona completamente abierto, como si no existiera. :-) Para hackear habrá que usar elementos mucho más accesibles que un router, por ejemplo "squid", ya que la salida de los equipos a Internet tendrán que hacerla a través de una sola máquina en DMZ. -- Saludos, Josep M. Queralt
A ver si me aclaran... entonces es mas vulnerable un router que un modem conectado a una pc con 2 placas de red? o al revez? ----- Original Message ----- From: "Josep M. Queralt" <jmqueralt@pobox.com> To: <suse-linux-s@suse.com> Sent: Wednesday, August 30, 2006 10:41 AM Subject: Re: [suse-linux-s] Monopuesto o Multipuesto El 30/08/2006 15:21:03 Camaleón escribió: noelamac> > > ¿Y un router / modem en monopuesto no es alcanzable desde Internet? noelamac> > > noelamac> > noelamac> > * NO noelamac> noelamac> ¿No? Pues podrías explicar por qué no lo es. Es sencillo, porque funciona completamente abierto, como si no existiera. :-) Para hackear habrá que usar elementos mucho más accesibles que un router, por ejemplo "squid", ya que la salida de los equipos a Internet tendrán que hacerla a través de una sola máquina en DMZ. -- Saludos, Josep M. Queralt __________ Información de NOD32, revisión 1.1730 (20060829) __________ Este mensaje ha sido analizado con NOD32 antivirus system http://www.nod32.com
Una pregunta que me surge relacionada con este tema, pues tengo actualmente mi router en multipuesto y he pensado permitir acceso por VPN, según entiendo deberia poner el router en monopuesto ¿verdad? el que se va a encargar del tema VPN será un cortafuegos dedicado (de los que le gustan a Camaleon) o un Suse Linux Enterprise Server 9 (de los que le gustan a Jose Maria) Que me podeis comentar al respecto de esto. Muchas Gracias
A ver si me aclaran... entonces es mas vulnerable un router que un modem conectado a una pc con 2 placas de red? o al revez?
Eso es intentar volver al principio de la discusión. Mejor releer el hilo y sacar tus propias conclusiones, pero ten en cuenta que el "router" puede ser configurado en monopuesto o multipuesto (el objeto de la discusión). Si el router se configura como "monopuesto" funciona de manera muy parecida a los modems RTB (telefonía basica), es decir, con todo abierto. Si el router se configura como "multipuesto" funciona con su firewall activo, abriendo o cerrando lo que interese. En el primer caso, toda la seguridad de la red recae en el cortafuegos de la máquina que tiene conexión con el router. En el segundo caso, la seguridad de la red se "comparte", en primer lugar por el firewall del router y, en segundo lugar, por el firewall de cada máquina que está conectada al router. A partir de ahí hay argumentos a favor y en contra de cual de los dos es el sistema menos vulnerable que puedes encontrar en este hilo y en el hilo, también de este mes, "falla la conexion adsl con amule"..... y ..... .... saca tus propias concluiones. -- Salutacions - Saludos, Josep M. Queralt
El Miércoles, 30 de Agosto de 2006 15:21, Camaleón escribió:
Pues también lo es,
* Dios que cruz
Una explicación breve, vendría muy bien.
* Es que si no eres capaz de entender tus propias deducciones, no puedo hacer nada.
y va directo al equipo.
* Exacto lo pillas .....
Ah, ¿entonces sí es accesible?
* NO.
¿Un programa de tantos? ¿Un programa que te pide abrir puertos del cortafuegos para poder funcionar, que permite el acceso a tu equipo y a los ficheros que quieres compartir?
* No habia caido en que los "Cortafuegos dedicados", dan los servicios por Osmosis Inversa.
Hablas con visión de usuario, no de empresa. Lo entiendo.
* Aqui es donde me has pillado.
Un equipo (ordenador con sistema operativo) haciendo cortafuegos tiene serias deventajas en estos entornos. Primero, el mantenimiento, la instalación, los componentes. No podemos hablar de un equipo haciendo de cortafuegos, tendrían que ser varios, por motivos de seguridad. Los ordenadores "al uso" son mucho más susceptibles a errores (placas base, fuentes atx, ventiladores, disco duro...) además del mantenimiento típico que se le da a un ordenador (actualizaciones de seguridad, limpieza de los componentes) todo lo cual repercute directamente en la empresa.
* La verdad es que no te sigo, estoy espeso, de repente el router (cacharrillo) , desaparece fisicamente ..., y la maquina (Gateway/cortafuegos/etc) unas veces es esto, y otras, es una maquina con 500 paquetes de software instalado, SuSE linux que menos, que ademas hace de cortafuegos. * Me has convencido, mañana mismo, llamo a todos mis proveedores y les digo que tiren todos mis enrutadores de sitios de respaldo remoto, P2 en 4U con linux en una tarjeta flash a la basura, tarjetas T3 y T1, incluidas y las tarjetas de repuesto tambien, que coño aqui no hay miseria...... * Huy, ahora que me acuerdo ninguno lleva SuSE linux, entre otras cosas por que el que mas ocupa no llega a 100MB, asi que me lo voy a pensar con mas calma.
-----原始郵件----- 寄件者: jose maria [mailto:letrados@usernix.org] 寄件日期: Wednesday, 30 August, 2006 23:13 收件者: suse-linux-s@suse.com 主旨: Re: [suse-linux-s] Monopuesto o Multipuesto El Miércoles, 30 de Agosto de 2006 15:21, Camaleón escribió:
Pues también lo es,
* Dios que cruz
Una explicación breve, vendría muy bien.
* Es que si no eres capaz de entender tus propias deducciones, no puedo hacer nada.
y va directo al equipo.
* Exacto lo pillas .....
Ah, ¿entonces sí es accesible?
* NO.
¿Un programa de tantos? ¿Un programa que te pide abrir puertos del cortafuegos para poder funcionar, que permite el acceso a tu equipo y a los ficheros que quieres compartir?
* No habia caido en que los "Cortafuegos dedicados", dan los servicios por Osmosis Inversa.
Hablas con visión de usuario, no de empresa. Lo entiendo.
* Aqui es donde me has pillado.
Un equipo (ordenador con sistema operativo) haciendo cortafuegos tiene serias deventajas en estos entornos. Primero, el mantenimiento, la instalación, los componentes. No podemos hablar de un equipo haciendo de cortafuegos, tendrían que ser varios, por motivos de seguridad. Los ordenadores "al uso" son mucho más susceptibles a errores (placas base, fuentes atx, ventiladores, disco duro...) además del mantenimiento típico que se le da a un ordenador (actualizaciones de seguridad, limpieza de los componentes) todo lo cual repercute directamente en la empresa.
* La verdad es que no te sigo, estoy espeso, de repente el router (cacharrillo) , desaparece fisicamente ..., y la maquina (Gateway/cortafuegos/etc) unas veces es esto, y otras, es una maquina con 500 paquetes de software instalado, SuSE linux que menos, que ademas hace de cortafuegos. * Me has convencido, mañana mismo, llamo a todos mis proveedores y les digo que tiren todos mis enrutadores de sitios de respaldo remoto, P2 en 4U con linux en una tarjeta flash a la basura, tarjetas T3 y T1, incluidas y las tarjetas de repuesto tambien, que coño aqui no hay miseria...... * Huy, ahora que me acuerdo ninguno lleva SuSE linux, entre otras cosas por que el que mas ocupa no llega a 100MB, asi que me lo voy a pensar con mas calma.
El 30/08/06, jose maria escribió:
* Es que si no eres capaz de entender tus propias deducciones, no puedo hacer nada.
:-? Si prefieres que el golpe se lo lleve un ordenador antes que el router, son preferencias tuyas. Por mi parte, una configuración del router con nat activado me viene de perlas.
Ah, ¿entonces sí es accesible?
* NO.
No, claro, es el equipo.
* No habia caido en que los "Cortafuegos dedicados", dan los servicios por Osmosis Inversa.
Yo no permitiría el uso de programas p2p en una empresa, ni con monopuesto ni con nat. Manías mías.
* La verdad es que no te sigo, estoy espeso, de repente el router (cacharrillo) , desaparece fisicamente ..., y la maquina (Gateway/cortafuegos/etc) unas veces es esto, y otras, es una maquina con 500 paquetes de software instalado, SuSE linux que menos, que ademas hace de cortafuegos.
Tranquilo, que es muy sencillo. Un cortafuegos dedicado (o cacharrillo, como prefieras) tiene menor mantenimiento que un ordenador... sólo se salvaría una placa nano o micro atx con ventilación pasiva, y aún así no sabría qué decirte.
* Me has convencido, mañana mismo, llamo a todos mis proveedores y les digo que tiren todos mis enrutadores de sitios de respaldo remoto, P2 en 4U con linux en una tarjeta flash a la basura, tarjetas T3 y T1, incluidas y las tarjetas de repuesto tambien, que coño aqui no hay miseria......
Hombre, no... seguro que les puedo dar buen uso. Los ventiladores de 4 cm. me vendrán bien para un Pentium III que tengo por aquí...
* Huy, ahora que me acuerdo ninguno lleva SuSE linux, entre otras cosas por que el que mas ocupa no llega a 100MB, asi que me lo voy a pensar con mas calma.
Buf, 100 MB. para un cortafuegos, un derroche, si con unos cuantos KB. es suficiente... Saludos, -- Camaleón
¿No? Pues podrías explicar por qué no lo es.
Porqué lo pones modo bridge (o sea, monopuesto). Es decir, no es más que una cañería más, pero a nivel de TCP/IP no existe, es transparente, por así decirlo.
Una explicación breve, vendría muy bien.
A nivel físico el paqteito de turno (llamémosle X) entra evidentemente por la ethernet externa del router, luego va a la interna del router y de esta a la ethernet externa del equipo. Pero como hemos puesto el router en modo bridge y la IP pública (en caso de tenerla, claro) en la ethernet del equipo, para el paquetito X el paso por el router no ha existido. Para él, según TCP/IP, se ha ido directamente hacía el equipo.
Ah, ¿entonces sí es accesible?
No.
Un equipo (ordenador con sistema operativo) haciendo cortafuegos tiene serias deventajas en estos entornos. Primero, el mantenimiento, la instalación, los componentes. No podemos hablar de un equipo haciendo de cortafuegos, tendrían que ser varios, por motivos de seguridad. Los ordenadores "al uso" son mucho más susceptibles a errores (placas base, fuentes atx, ventiladores, disco duro...) además del mantenimiento típico que se le da a un ordenador (actualizaciones de seguridad, limpieza de los componentes) todo lo cual repercute directamente en la empresa.
Si y no. ¿Conoces pfsense? Es una implementación FreeBSD de la maravilla pf (packet filter) de OpenBSD. La gente monta unos equipos MUY MUY limitados (por eso del mantenimiento, fallos de hierro y demás) le meten un pfsense y a correr. Tienen lo mismo que un Cisco de millonada y medio en rendimiento. Pues, evidentemente, lo mismo puedes hacer con un GNU/Linux y esa maravilla que es iptables. A eso se refiere José María: que no se puede comparar a un cacharillo (alías router de turno) con la potencia que te ofrece el kernel completo y la máquina que tienes detrás.
A nivel "casero", pues pones una segunda tarjeta de red y te lías con las reglas del cortafuegos y el filtrado de paquetes... hasta que un día se te olvida actualizar el sistema, nada importante, un error en el cortafuegos de SuSE que permite al usuario externo el acceso al equipo. Como al modem el monopuesto (que no tiene ningún tipo de filtrado porque de eso ya se encarga el equipo destinado a tal uso) le va la moda del liberalismo económico "dejar hacer, dejar pasar" pues pasa lo que tiene que pasar.
Si, eso si. Pero eso también te pasa si lo pones en "multipuesto" y tampoco lo configuras bien.
Yo sí. En una cuestión de "concepto". En caso de fallo, es más sencillo cambiar un cortafuegos dedicado que un equipo completo. Menos componentes, menos matenimiento.
Si, también. Pero a veces eso es relativo como he intentado explicarte antes. Personalmente he probado algún que otro cortafuegos de Dlink (nada del otro mundo, cosas para novatos pobres como yo) y te aseguro que me siento mucho más cómodo y seguro con una máquina GNU/Linux haciendo esa función.
El 30/08/06, Jordi Espasa Clofent escribió:
Pues, evidentemente, lo mismo puedes hacer con un GNU/Linux y esa maravilla que es iptables. A eso se refiere José María: que no se puede comparar a un cacharillo (alías router de turno) con la potencia que te ofrece el kernel completo y la máquina que tienes detrás.
Entiendo el punto de vista de José María. Lo que intento explicar es que no siempre la opción "optima" es la que mejor se adapta a las circunstancias de cada cual. Nacho (el autor del primer mensaje) preguntaba por una configuración mejor, monopuesto o multipuesto. Pues en ese caso quizá la mejor opción no sea lo que propone José María por varias razones: recursos (imaginemos que sólo tiene un equipo) y configuración (gestión del nuevo equipo-cortafuegos, montaje y configuración).
Si, eso si. Pero eso también te pasa si lo pones en "multipuesto" y tampoco lo configuras bien.
Obvio :-). Los cortafuegos no previenen de errores de programación, sólo hacen de "cañerías". Por eso, en el mensaje de respuesta que le di a Nacho le dije que tuviera los parches de seguridad instalados...
Personalmente he probado algún que otro cortafuegos de Dlink (nada del otro mundo, cosas para novatos pobres como yo) y te aseguro que me siento mucho más cómodo y seguro con una máquina GNU/Linux haciendo esa función.
Vale, "aceptamos" equipo-que-haga-de-cortafuegos-con-versión-ligera-de-GNU/Linux, BSD... y con un chasis que no necesite ventiladores ni refrigeración adicional, pequeño y silencioso. :-D Saludos, -- Camaleón
Personalmente he probado algún que otro cortafuegos de Dlink (nada del otro mundo, cosas para novatos pobres como yo) y te aseguro que me siento mucho más cómodo y seguro con una máquina GNU/Linux haciendo esa función.
Vale, "aceptamos" equipo-que-haga-de-cortafuegos-con-versión-ligera-de-GNU/Linux, BSD... y con un chasis que no necesite ventiladores ni refrigeración adicional, pequeño y silencioso.
Si teneis alguna máquina virtual instalada probad el "floppy firewall". La versión original funciona sobre un disquette de 1.4 Mb. http://www.vmware.com/vmtn/appliances/directory/382 -- Salutacions - Saludos, Josep M. Queralt
El Miércoles, 30 de Agosto de 2006 21:11, Camaleón escribió: .
Vale, "aceptamos" equipo-que-haga-de-cortafuegos-con-versión-ligera-de-GNU/Linux, BSD... y con un chasis que no necesite ventiladores ni refrigeración adicional, pequeño y silencioso.
* Un router domestico no es un "cortafuegos/gateway dedicado" * Y lo que es un "cortafuegos dedicado o check point" es una maquina corriente y moliente, asi que lo que "aceptamos" algunos, es que tu consideras un equipo dedicado en diseño y tamaño, no expansible, con hardware desactualizado, con el mismo software que hay en el mercado y con mas problemas de mantenimiento que un equipo con caja de sobremesa, por no llevar hardware standard en tamaño, y repuestos mucho mas caros, con una pantallita de cristal liquido y que tiene un coste parecido a lo que costaria tener tecnologia de 64 bits, es algo cojonudo para ti y en esto ultimo estoy de acuerdo, alla tu. * En circunstancias en que el espacio sea critico (esto es una tonteria, pero en fin), no hay color, te recomiendo que vayas a una tienda que vendan portatiles retirados de empresas, puedo darte direcciones (o en internet) y compra un ibook de 12 pulgadas, que lleva un procesador risc G3 que no lleva ventiladores, tienes una pantalla decente, tiene mejor desempeño que un pIII a 1600, dispone de un SAI incorporado de 4 horas, un disco duro al menos de 20GB, puedes tener wireless, airport, usb's y Firewire y los encuentras a partir de 200 Euros e instalale lo que te de la gana, y por cierto yo me preocuparia bastante mas de las actualizaciones y bugs de tu check point que de las de SuSE, por razones tambien evidentes.
El 31/08/06, jose maria escribió:
* Un router domestico no es un "cortafuegos/gateway dedicado"
Nadie ha dicho lo contrario.
* Y lo que es un "cortafuegos dedicado o check point" es una maquina corriente y moliente,
No sé qué entenderás tú por "máquina corriente y moliente" pero desde luego no lo es, ni por componentes ni por sistema.
asi que lo que "aceptamos" algunos, es que tu consideras un equipo dedicado en diseño y tamaño, no expansible, con hardware desactualizado,
Eso lo considerarás tú. Yo, desde luego, no.
con el mismo software que hay en el mercado y con mas problemas de mantenimiento que un equipo con caja de sobremesa, por no llevar hardware standard en tamaño,
No sabes de qué estás hablando. ¿Desde cuándo una placa base micro-atx no es estándar?
y repuestos mucho mas caros, con una pantallita de cristal liquido y que tiene un coste parecido a lo que costaria tener tecnologia de 64 bits, es algo cojonudo para ti y en esto ultimo estoy de acuerdo, alla tu.
¿Qué pinta una pantalla aquí?
* En circunstancias en que el espacio sea critico (esto es una tonteria, pero en fin),
Sigues pensando con mentalidad de usuario. En una empresa ni el espacio ni el ruido ni el mantenimeinto son una tontería.
no hay color, te recomiendo que vayas a una tienda que vendan portatiles retirados de empresas, puedo darte direcciones (o en internet) y compra un ibook de 12 pulgadas, que lleva un procesador risc G3 que no lleva ventiladores, tienes una pantalla decente, tiene mejor desempeño que un pIII a 1600, dispone de un SAI incorporado de 4 horas, un disco duro al menos de 20GB, puedes tener wireless, airport, usb's y Firewire y los encuentras a partir de 200 Euros e instalale lo que te de la gana, y por cierto yo me preocuparia bastante mas de las actualizaciones y bugs de tu check point que de las de SuSE, por razones tambien evidentes.
¿Y para qué quiero eso? De cortafuegos te aseguro que no. Saludos, -- Camaleón
-----原始郵件----- 寄件者: Camaleón [mailto:noelamac@gmail.com] 寄件日期: Thursday, 31 August, 2006 19:47 收件者: Lista SuSE (Novell) 主旨: Re: [suse-linux-s] Monopuesto o Multipuesto El 31/08/06, jose maria escribió:
* Un router domestico no es un "cortafuegos/gateway dedicado"
Nadie ha dicho lo contrario.
* Y lo que es un "cortafuegos dedicado o check point" es una maquina corriente y moliente,
No sé qué entenderás tú por "máquina corriente y moliente" pero desde luego no lo es, ni por componentes ni por sistema.
asi que lo que "aceptamos" algunos, es que tu consideras un equipo dedicado en diseño y tamaño, no expansible, con hardware desactualizado,
Eso lo considerarás tú. Yo, desde luego, no.
con el mismo software que hay en el mercado y con mas problemas de mantenimiento que un equipo con caja de sobremesa, por no llevar hardware standard en tamaño,
No sabes de qué estás hablando. ¿Desde cuándo una placa base micro-atx no es estándar?
y repuestos mucho mas caros, con una pantallita de cristal liquido y que tiene un coste parecido a lo que costaria tener tecnologia de 64 bits, es algo cojonudo para ti y en esto ultimo estoy de acuerdo, alla tu.
¿Qué pinta una pantalla aquí?
* En circunstancias en que el espacio sea critico (esto es una tonteria, pero en fin),
Sigues pensando con mentalidad de usuario. En una empresa ni el espacio ni el ruido ni el mantenimeinto son una tontería.
no hay color, te recomiendo que vayas a una tienda que vendan portatiles retirados de empresas, puedo darte direcciones (o en internet) y compra un ibook de 12 pulgadas, que lleva un procesador risc G3 que no lleva ventiladores, tienes una pantalla decente, tiene mejor desempeño que un pIII a 1600, dispone de un SAI incorporado de 4 horas, un disco duro al menos de 20GB, puedes tener wireless, airport, usb's y Firewire y los encuentras a partir de 200 Euros e instalale lo que te de la gana, y por cierto yo me preocuparia bastante mas de las actualizaciones y bugs de tu check point que de las de SuSE, por razones tambien evidentes.
¿Y para qué quiero eso? De cortafuegos te aseguro que no. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El Jueves, 31 de Agosto de 2006 13:47, Camaleón escribió:
Sigues pensando con mentalidad de usuario. En una empresa ni el espacio ni el ruido ni el mantenimeinto son una tontería.
* Pero de que espacio, ruido y mantenimiento hablas, comparado con que, que empresa no puede almacenar una caja de sobremesa 2U, sera un kiosko de prensa y ni asi. * Como sigues insistiendo tendre que decirtelo ya, lo que precisan las redes de empresas que administro, lo decido yo y nadie mas o no las administro, que son 15 y fueron mas de 50, retirandose que anda uno, con mas de 2000 desktops, mas de un tercio ya con ltsp, de los que no me ocupo, 128 conexiones contratadas T3 la menor, 16 enrutadores para sitios de respaldo en internet, proveedores auditados para 5 hubs de internet distintos en 3 continentes, 5 clusters, tres en Failover para groupware y dos Beowulf y alguna cosilla mas que me reservo, asi que no me digas lo que precisan las empresas, dime que tal o cual empresa precisa aquello, es que hasta los ISP's, asunto del espacio y tal y tal .., han empezado a evitar hardware dedicado, por lo menos aquellos que se han dado cuenta que en el departamento de Compras terminan los almuerzos con un Churchill de Romeo y Julieta.
El 31/08/06, jose maria escribió:
* Pero de que espacio, ruido y mantenimiento hablas, comparado con que, que empresa no puede almacenar una caja de sobremesa 2U, sera un kiosko de prensa y ni asi.
Comparado con el 87% de las empresas españolas, que son "microempresas" que no cuentan con más de 10 empleados (lo que se traduce en pocos recursos).
* Como sigues insistiendo tendre que decirtelo ya, lo que precisan las redes de empresas que administro, lo decido yo y nadie mas o no las administro,
Ese es uno de los mayores problemas de las empresas, que los administradores "queremos" ser imprescindibles... para todo. Hasta para configurar un cortafuegos. Y luego terminamos en la calle :-).
que son 15 y fueron mas de 50, retirandose que anda uno, con mas de 2000 desktops, mas de un tercio ya con ltsp, de los que no me ocupo, 128 conexiones contratadas T3 la menor, 16 enrutadores para sitios de respaldo en internet, proveedores auditados para 5 hubs de internet distintos en 3 continentes, 5 clusters, tres en Failover para groupware y dos Beowulf y alguna cosilla mas que me reservo,
Muy interesante. Podrías escribir un artículo sobre su gestión, puesta en marcha y mantenimiento, seguro que la gente lo agredecería.
asi que no me digas lo que precisan las empresas, dime que tal o cual empresa precisa aquello, es que hasta los ISP's, asunto del espacio y tal y tal .., han empezado a evitar hardware dedicado, por lo menos aquellos que se han dado cuenta que en el departamento de Compras terminan los almuerzos con un Churchill de Romeo y Julieta.
Son opciones, ambas válidas. Me parece acertado que un proveedor con recursos (espacio físico y administradores competentes) decida prescindir de un servicio (cortafuegos Cisco) en favor de otro (Pentium II con iptables) para amortizar su negocio. Saludos, -- Camaleón
El 29/08/2006 22:19:27 Camaleón escribió: noelamac> > ¿que es mejor? multipuesto o monopuesto. noelamac> noelamac> Multipuesto con cortafuegos activado (nivel alto mejor) y políticas de noelamac> seguridad activadas, registro de intentos de acceso + SuSE (versión noelamac> 10.0 o 10.1 mejor) con cortafuegos activado y con los parches de noelamac> seguridad instalados. noelamac> noelamac> Esa es una configuración "bastante" segura... que se lleva fatal con noelamac> el uso de programas p2p :-). Veo que estás "pasando" de leerte este tema: "falla la conexion adsl con amule" -- Saludos, Josep M. Queralt
participants (9)
-
Camaleón -
Jordi Espasa Clofent -
jose maria -
Josep M. Queralt -
Juan Gustavo Fogelman -
lywwing -
miguel gmail -
Nacho -
pichidamn pichidamn