Hola, Tengo un servidor que en poco tiempo empezará a dar servicios externos básicos (servidor web, correo, ftp...). El servidor tiene dos tarjetas de red: una conectada a un router (eth0) con direccionamiento del tipo 10.x.x.x y otra que actualmente está conectada a un switch (eth1) con direccionamiento 172.x.x.x. Son dos redes diferentes y no se ven (configuradas como vlan). La intención es que si el servidor que va a estar expuesto a Internet se ve comprometido, que no suceda lo mismo con la red local (172.0.0.x), es decir, que sólo pueda acceder a los datos del servidor en sí, pero no al resto de los equipos de la red interna. Se me ocurren dos opciones: 1) Que las dos tarjetas de red (eth0 y eth1) se configuren dentro de la misma red (10.x.x.x) y que se utilicen como "failover" (si falla una de ellas que siga la otra) y configurar ssh de forma remota para poder acceder desde un equipo a través de Internet (es decir, abrir el puerto 22 del router y direccionarlo al servidor). De esta forma me aseguro que sólo el servidor de la red 10.x.x.x se vea comprometido en caso de asalto, pero expongo demasiado al servidor al abrir el servicio ssh de forma remota... 2) Que la tarjeta conectada a la red local (eth1) tenga activado el cortafuegos para permitir sólo los accesos desde la red interna y rechazar todas las conexiones que le puedan venir desde fuera. De esta forma el servicio ssh lo puedo utilizar en local sin abrir los puertos del router, aunque no estoy del todo segura de que en el caso de verse comprometido el acceso al servidor por medio de una intrusión a través de la otra tarjeta de red (eth0) se podría tener acceso a la red local (eth1). Sugerencias, opiniones, modificaciones, alternativas... se agradecen. :-D Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-07 a las 12:52 +0100, Camaleón escribió:
Sugerencias, opiniones, modificaciones, alternativas... se agradecen.
:-D
Bueno, pero eso que describes no es una DMZ :-? +--------+ | | - -inet---| router +----> DMZ --- [Servidor] | FW | +---+----+ | ---> intranet (segura) De esta forma, ambas redes están diferenciadas. Nada en la intranet ofrece servicios, tan sólo "sale" a internet, a navegar o lo que sea. Todos los servicios al exterior están en la DMZ, que tiene (o puede tener, no estoy seguro) IPs "reales". - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEDeUetTMYHG2NR9URAiJdAJ91OlUjM5xrh9FKOuuHkEYkIFyslwCgmF5E 9Cv4cDLK2kTTtW1IS25IEY0= =XTUM -----END PGP SIGNATURE-----
El 7/03/06, Carlos E. R. escribió:
Bueno, pero eso que describes no es una DMZ :-?
Sí, mejor sería una especie de "bastión*", separado del resto de la red local... salvo por la segunda tarjeta de red que comunica con la red local y es la que me hace dudar... * http://en.wikipedia.org/wiki/Bastion_host
+--------+ | | - -inet---| router +----> DMZ --- [Servidor] | FW | +---+----+ | ---> intranet (segura)
El esquema sería el siguiente: 1) Router (ip fija externa + ip local 10.x.x.x) con puertos abiertos dirigidos a eth0 2) Cortafuegos (10.x.x.x) 3) Servidor expuesto (eth0: 10.x.x.x + eth1: 172.x.x.x) Red local: 1) Router (ip fija externa + ip local 172.x.x.x) con todos los puertos de entrada cerrados 2) Cortafuegos (172.x.x.x) 3) Equipos (172.x.x.x) La duda qe tengo es si el servidor-bastión se ve comprometido, ¿sería posible acceder al resto de los equipos de la red local por medio de la segunda tarjeta de red que enlaza con ella? Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-07 a las 22:18 +0100, Camaleón escribió:
Bueno, pero eso que describes no es una DMZ :-?
Sí, mejor sería una especie de "bastión*", separado del resto de la red local... salvo por la segunda tarjeta de red que comunica con la red local y es la que me hace dudar...
Claro, en ese caso siempre puedes poner un segundo cortafuegos más adentro. Pero el peligro es el mismo que si no tienes dmz, la máquina que está frente a internet es la más expuesta. Pero si te fijas, yo no puse realmente un bastión, sino un simple router. La cuestión es tener las máquinas que sirven cosas a internet en una subred distinta de la interna, separada en el router. Es como si las tuvieramos directamente conectadas a internet, fuera de casa, o con un cortafuegos distinto, de modo que los ataques no vayan contra la puerta de casa.
El esquema sería el siguiente:
A estas horas de la noche, mejor si me lo dibujas ;-) - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEDhihtTMYHG2NR9URAqCFAJ96r/TTvCrsdHiU9H2ohvQUEEl+jgCfdog7 Oh4g9omwgSdNwp42LloOmKg= =rmZz -----END PGP SIGNATURE-----
El 8/03/06, Carlos E. R. escribió:
A estas horas de la noche, mejor si me lo dibujas ;-)
La red tiene esta forma (no sé cómo saldrá el esquema en la lista, seguramente se deforme): RED 1 10.x.x.x router -- cortafuegos -- servidor (eth0 - eth1) | | 10.x.x.x 172.x.x.x | RED2 -------------------| 172.x.x.x | | |-- servidores router -- cortafuegos -- swicth |-- equipos |-- portátiles No me preocupa la exposición del servidor de la red 1 puesto que para eso está, lo que quiero evitar es que si alguien logra acceder a ese servidor, la red2 no sea accesible a través de él puesto que tiene contacto con la red 2 a través de su segunda interfaz de red (eth1). Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-08 a las 09:39 +0100, Camaleón escribió:
El 8/03/06, Carlos E. R. escribió:
A estas horas de la noche, mejor si me lo dibujas ;-)
La red tiene esta forma (no sé cómo saldrá el esquema en la lista, seguramente se deforme):
Ah, es que hay que usar fuente de ancho fijo, y sin tabuladores ;-) A ver si lo arreglo. No me termino de enterar... Lo tuyo no son los esquemitas ;-) RED 1 10.x.x.x router -- cortafuegos -- servidor (eth0 - eth1) | | 10.x.x.x 172.x.x.x | RED2 -------------------| 172.x.x.x | | |-- servidores router -- cortafuegos -- swicth |-- equipos |-- portátiles ¿Y por donde entra internet, por la red 1?
No me preocupa la exposición del servidor de la red 1 puesto que para eso está, lo que quiero evitar es que si alguien logra acceder a ese servidor, la red2 no sea accesible a través de él puesto que tiene contacto con la red 2 a través de su segunda interfaz de red (eth1).
Pues claro, para ello tienes que poner un segundo cortafuegos en la red interna. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEDrYUtTMYHG2NR9URAl7oAJ43ocO6sw6KG7lo7daPBOQ9Ge0eNgCfdnau Pic887tudA/v6eSSI8XAktg= =EYYS -----END PGP SIGNATURE-----
El 8/03/06, Carlos E. R. escribió:
Ah, es que hay que usar fuente de ancho fijo, y sin tabuladores ;-)
Pero si envío un mensaje con formato html puedo acabar con la paciencia de más de uno de la lista... ;-)
No me termino de enterar... Lo tuyo no son los esquemitas ;-)
No, por eso lo escribí. :-)
¿Y por donde entra internet, por la red 1?
A ver, hay dos redes independientes, separadas físicamente, cada una con su router y saliendo a Internet con su router.
Pues claro, para ello tienes que poner un segundo cortafuegos en la red interna.
¿Quieres decir que el cortafuegos de SuSE se puede configurar para que actúe en una sola de las tarjetas de red para que bloqueé todo el tráfico entrante (tanto desde la primera tarjeta de red como del router) y permitiendo el saliente (permitiendo conexiones desde la red local a la segunda tarjeta de red del servidor expuesto)? Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-08 a las 15:22 +0100, Camaleón escribió:
Ah, es que hay que usar fuente de ancho fijo, y sin tabuladores ;-)
Pero si envío un mensaje con formato html puedo acabar con la paciencia de más de uno de la lista... ;-)
No, texto plano, y programa cliente (kmail, balsa, evolution, Pine...) configurado para visualizar el correo en texto con fuente de ancho fijo.
No me termino de enterar... Lo tuyo no son los esquemitas ;-)
No, por eso lo escribí. :-)
¿Y por donde entra internet, por la red 1?
A ver, hay dos redes independientes, separadas físicamente, cada una con su router y saliendo a Internet con su router.
¿Dos redes totalmente independientes, sin conexión mutua? Entonces no hay dmz ni na. Cada una con su cortafuegos, su router, y sus defensas. Una para servidores al exterior y otra para las máquinas internas. Si quieres acceder desde dentro a las de fuera, se hace a través de internet... lo cual es un peligro. [ OJO: Visualizar con fuente de ancho fijo ] +----------> servidor 1 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 3 externo · · · · +----------> servidor 1 interno · | intranet + Inet -- FW -- router +----------> servidor 2 interno · | DMZ +----------> servidor 3 interno
Pues claro, para ello tienes que poner un segundo cortafuegos en la red interna.
¿Quieres decir que el cortafuegos de SuSE se puede configurar para que actúe en una sola de las tarjetas de red para que bloqueé todo el tráfico entrante (tanto desde la primera tarjeta de red como del router) y permitiendo el saliente (permitiendo conexiones desde la red local a la segunda tarjeta de red del servidor expuesto)?
Hablaba de un segundo cortafuegos físico, otra máquina. Y no es tu caso, porque acabas de decir que son dos redes total y físicamente separadas. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEDvd2tTMYHG2NR9URAi+5AKCSiU2fVJkkxdwFodI6ShqIDAk69gCfW6KS 2ktTbGoOR4F3I6YP/9XIwdQ= =Ncso -----END PGP SIGNATURE-----
El 8/03/06, Carlos E. R. escribió:
No, texto plano, y programa cliente (kmail, balsa, evolution, Pine...) configurado para visualizar el correo en texto con fuente de ancho fijo.
Ah, claro... este Gmail me está malacostumbrando.
¿Dos redes totalmente independientes, sin conexión mutua?
Bueno, sí hay una conexión mutua: la segunda tarjeta de red del servidor expuesto (bastión) conecta con la red local.
Entonces no hay dmz ni na. Cada una con su cortafuegos, su router, y sus defensas.
Esa era la cuestión, si utilizar un dmz o separar las redes por completo.
Una para servidores al exterior y otra para las máquinas internas. Si quieres acceder desde dentro a las de fuera, se hace a través de internet... lo cual es un peligro.
Vale, entonces nos quedamos con la opción de configurar un dmz un poco especial...
[ OJO: Visualizar con fuente de ancho fijo ]
+----------> servidor 1 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 3 externo · · · · +----------> servidor 1 interno · | intranet + Inet -- FW -- router +----------> servidor 2 interno · | DMZ +----------> servidor 3 interno
Vale, pero falta algo en este esquema. El servidor 1 externo tiene dos tarjetas de red y conecta con el servidor 1 interno. La pregunta es, si alguien logra acceder al servidor 1 externo ¿puede también acceder al servidor 1 interno?
Hablaba de un segundo cortafuegos físico, otra máquina. Y no es tu caso, porque acabas de decir que son dos redes total y físicamente separadas.
Sí y no. Tengo las dos opciones y debo elegir una de ellas: separarlas por completo o configurar un dmz, la pregunta es qué opción de estas dos aporta mayor seguridad a la red interna. En el primer mensaje que envié están más detalladas ambas opciones. ¿Pastilla roja o azul? Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-08 a las 18:11 +0100, Camaleón escribió:
El 8/03/06, Carlos E. R. escribió:
No, texto plano, y programa cliente (kmail, balsa, evolution, Pine...) configurado para visualizar el correo en texto con fuente de ancho fijo.
Ah, claro... este Gmail me está malacostumbrando.
Ah, ¡ya entiendo! :-P
¿Dos redes totalmente independientes, sin conexión mutua?
Bueno, sí hay una conexión mutua: la segunda tarjeta de red del servidor expuesto (bastión) conecta con la red local.
¡Ah, Caraio!
para servidores al exterior y otra para las máquinas internas. Si quieres acceder desde dentro a las de fuera, se hace a través de internet... lo cual es un peligro.
Vale, entonces nos quedamos con la opción de configurar un dmz un poco especial...
Y tanto! ...
Vale, pero falta algo en este esquema. El servidor 1 externo tiene dos tarjetas de red y conecta con el servidor 1 interno.
Veamos: [ OJO: Visualizar con fuente de ancho fijo ] · +----------> servidor 3 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 1 externo · | · | · | · +----------> servidor 1 interno · | intranet + Inet -- FW -- router +----------> servidor 2 interno · | DMZ · +----------> servidor 3 interno ¡Uff!
La pregunta es, si alguien logra acceder al servidor 1 externo ¿puede también acceder al servidor 1 interno?
Claro. Si lo pone a su servicio, desde luego. El 1 interno necesitará un cortafuegos que considere a esa conexión como externa, con todo cerrado. Sólo necesitas salir. Si yo tuviera que hacer eso, pondría un interruptor en medio para cortar el cable cuando no estuviera yo trabajando ahí. Podría incluso ser por puerto serie :-P Y además, alguien de dentro podría atacarte el servidor 1 interno, y salir por ahí al exterior a través del 1-externo, saltandose el cortafuegos y el router. No veo para qué, pero la posibilidad existe. En una empresa donde estuve, que eran bastante paranóicos con la seguridad, tenían unos programas que analizaban la red y descubrían las rutas "extrañas". Eso lo hubieran descubierto enseguida.
Hablaba de un segundo cortafuegos físico, otra máquina. Y no es tu caso, porque acabas de decir que son dos redes total y físicamente separadas.
Sí y no. Tengo las dos opciones y debo elegir una de ellas: separarlas por completo o configurar un dmz, la pregunta es qué opción de estas dos aporta mayor seguridad a la red interna. En el primer mensaje que envié están más detalladas ambas opciones.
¿Pastilla roja o azul?
Pito pito gorgorito... - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEDycvtTMYHG2NR9URAlYTAKCLMc5AwDM5TVMqod6cOYosEDapsQCgjCx7 WMcrE/tANVvyk/iwBy0Bjcc= =Ofay -----END PGP SIGNATURE-----
[ OJO: Visualizar con fuente de ancho fijo ]
· +----------> servidor 3 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 1 externo · | · | · | · +----------> servidor 1 interno · | intranet + Inet -- FW -- router +----------> servidor 2 interno · | DMZ · +----------> servidor 3 interno
¡Uff!
No es tan rara esta configuración, siempre y cuando la dmz de arriba se tenga que poder acceder desde la dmz de abajo para lo que sea (esto huele a algo como front end web, con un back end con el servidor de aplicaciones y bbdd :?). Lo que si que echo a faltar es un router+fw entre los servidores 1 interno y externo (o sea, entre las DMZ) que controle muy estrictamente los accesos (quien puede, dónde puede, qué puede). ¿Cómo estas comunicando entre los servidores 1? -- Saludos, miguel
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-08 a las 23:24 +0100, miguel gmail escribió:
[ OJO: Visualizar con fuente de ancho fijo ]
Oops, o sea, fe de erratas: · +----------> servidor 3 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 1 externo · | · | · | · +----------> servidor 1 interno · | intranet + Inet -- FW -- router +----------> servidor 2 interno · | · +----------> servidor 3 interno Como hice copypaste para ahorrarme lapiz, pues se me olvidó borrar la palabra DMZ abajo.
¡Uff!
No es tan rara esta configuración, siempre y cuando la dmz de arriba se tenga que poder acceder desde la dmz de abajo para lo que sea (esto huele a algo como front end web, con un back end con el servidor de aplicaciones y bbdd :?).
O, si la de abajo es intranet, pues simplemente para poder configurar el servidor web o lo que sea sin tener que entrar por el exterior, que implica abrir una puerta desde fuera, claro.
Lo que si que echo a faltar es un router+fw entre los servidores 1 interno y externo (o sea, entre las DMZ) que controle muy estrictamente los accesos (quien puede, dónde puede, qué puede).
¿Cómo estas comunicando entre los servidores 1?
Entendí que es un simple cable de tarjeta a tarjeta, o sea, será uno cruzado. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFED3DntTMYHG2NR9URAlT3AJ42Nn80JnJ9piUfD8qsVH9KwRSwnQCeOPK+ B5B00rwQbCHW/V2nD8OXX9w= =lAMG -----END PGP SIGNATURE-----
Oops, o sea, fe de erratas:
· +----------> servidor 3 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 1 externo · | · | · | · +----------> servidor 1 interno · | intranet + Inet -- FW -- router +----------> servidor 2 interno · | · +----------> servidor 3 interno
Como hice copypaste para ahorrarme lapiz, pues se me olvidó borrar la palabra DMZ abajo.
en defnitiva, será muy parecido (empecé escribiendo LAN en lugar de dmz de abajo). Si es un cable directo, el presunto atacante sólo tiene que esperar a un bug en cualquiera de los servicios de servidor 1 interno. No se, yo creo que cuesta poco poner un router + fw entre las dos maquinas, entre las dos redes. Por otro lado, si es un cable directo, y camaleon se pone malo, o se coje vacaciones... quien administra servidor 1 externo?? No es mejor administrar la conexion entre DMZ y LAN que entre máquinas? -- Saludos, miguel
El 9/03/06, miguel gmail escribió:
No se, yo creo que cuesta poco poner un router + fw entre las dos maquinas, entre las dos redes.
Propuesta aceptada... voy a hablar con administración, a ver si enseñándoles el esquema de Carlos, entienden la necesidad de un cortafuegos... ;-)
Por otro lado, si es un cable directo, y camaleon se pone malo, o se coje vacaciones... quien administra servidor 1 externo?? No es mejor administrar la conexion entre DMZ y LAN que entre máquinas?
Es un cable de red que va a un switch, cualquier operador con los permisos correspondientes puede gestionarlo desde los equipos de la red local, vía ssh. Además, cuando me pongo mala, envío a cualquiera de mis clones secretos para que me sustituyan... ;-D Saludos y gracias a todos por las respuestas (ha salido un hilo gordo), pero lo más importante, por aclarame las ideas para esta configuración. Saludos, -- Camaleón
No se, yo creo que cuesta poco poner un router + fw entre las dos maquinas, entre las dos redes.
Propuesta aceptada... voy a hablar con administración, a ver si enseñándoles el esquema de Carlos, entienden la necesidad de un cortafuegos... ;-)
para apoyar tú argumentación, puedes decir que la gran mayoría de ataques/accesos ilegales a un sistema se producen desde dentro de la red (si me obligas, podria buscar la referencia bibliografica ;-) ), así que necesitas un fw ahi en medio. Además, desde servidor externo 1 diría que la LAN es una zona externa, y por tanto, a protejer. Pregunté en este hilo cual es el rendimiento de un pc configurado como router + fw, pero no han contestado. Si el tráfico no es muy alto, seguro que podéis usar algun pc jubilado para este componente.
Por otro lado, si es un cable directo, y camaleon se pone malo, o se coje vacaciones... quien administra servidor 1 externo?? No es mejor administrar la conexion entre DMZ y LAN que entre máquinas?
Es un cable de red que va a un switch, cualquier operador con los permisos correspondientes puede gestionarlo desde los equipos de la red local, vía ssh. Además, cuando me pongo mala, envío a cualquiera de mis clones secretos para que me sustituyan... ;-D
En algun sitio leí que los switches tb se pueden esniffar (pero no me preguntes cómo, no lo recuerdo). Cuidadín con qué cosas se hacen en la LAN...
Saludos y gracias a todos por las respuestas (ha salido un hilo gordo), pero lo más importante, por aclarame las ideas para esta configuración.
Bueno, aunque solo sea para guardar las representaciones artísticas ASCII de Carlos... bien vale el hilo ;-D -- Saludos, miguel
No se, yo creo que cuesta poco poner un router + fw entre las dos maquinas, entre las dos redes.
Propuesta aceptada... voy a hablar con administración, a ver si enseñándoles el esquema de Carlos, entienden la necesidad de un cortafuegos... ;-)
para apoyar tú argumentación, puedes decir que la gran mayoría de ataques/accesos ilegales a un sistema se producen desde dentro de la red (si me obligas, podria buscar la referencia bibliografica ;-) ), así que necesitas un fw ahi en medio. Además, desde servidor externo 1 diría que la LAN es una zona externa, y por tanto, a protejer. Pregunté en este hilo cual es el rendimiento de un pc configurado como router + fw, pero no han contestado. Si el tráfico no es muy alto, seguro que podéis usar algun pc jubilado para este componente.
Por otro lado, si es un cable directo, y camaleon se pone malo, o se coje vacaciones... quien administra servidor 1 externo?? No es mejor administrar la conexion entre DMZ y LAN que entre máquinas?
Es un cable de red que va a un switch, cualquier operador con los permisos correspondientes puede gestionarlo desde los equipos de la red local, vía ssh. Además, cuando me pongo mala, envío a cualquiera de mis clones secretos para que me sustituyan... ;-D
En algun sitio leí que los switches tb se pueden esniffar (pero no me preguntes cómo, no lo recuerdo). Cuidadín con qué cosas se hacen en la LAN...
Saludos y gracias a todos por las respuestas (ha salido un hilo gordo), pero lo más importante, por aclarame las ideas para esta configuración.
Bueno, aunque solo sea para guardar las representaciones artísticas ASCII de Carlos... bien vale el hilo ;-D -- Saludos, miguel
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-09 a las 11:04 +0100, miguel gmail escribió: Por cierto, lo has mandado por duplicado :-?
Pregunté en este hilo cual es el rendimiento de un pc configurado como router + fw, pero no han contestado. Si el tráfico no es muy alto, seguro que podéis usar algun pc jubilado para este componente.
Me sospecho que el rendimiento es muy alto. Lo máximo que da una ethernet son 12.5 Mb/s, y eso, sin mediar discos, es pan comido.
En algun sitio leí que los switches tb se pueden esniffar (pero no me preguntes cómo, no lo recuerdo). Cuidadín con qué cosas se hacen en la LAN...
Si no me equivoco, en todos los puertos de un switch se ve todo lo que pasa por cualquiera de los puertos. Equivale a una red ethernet clásica con coaxial, y cada puerto es un conector pinchado al cable. Basta con conectarse poniendo tu etherned en modo "promiscuo".
Saludos y gracias a todos por las respuestas (ha salido un hilo gordo), pero lo más importante, por aclarame las ideas para esta configuración.
Bueno, aunque solo sea para guardar las representaciones artísticas ASCII de Carlos... bien vale el hilo ;-D
X'-) Pues tendríais que ver las obras de arte ascii que hay por ahí, con colorines y todo. Echad un vistazo: http://www.ascii-art.com/ - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEECg+tTMYHG2NR9URAmbpAJ0XZRxZju0of7qNHRaPJtXKeCzjOACfSCfA 7mcO9qlAiRqlsk1y5UYA74g= =AjjS -----END PGP SIGNATURE-----
Por cierto, lo has mandado por duplicado :-?
Bueno, aqui hay una incorreción. Yo no lo he mandado. Yo he escrito un mail y gmail se ha encargado de enviarlo. Y como gmail no estaba seguro de haberlo enviado, pues lo hizo por su cuenta y riesgo dos veces... pero no es culpa mia! En serio, ni idea de como ha pasado. Gmail me lleva dando problemas (por web) toda la mañana. El caso es que no puedo prometer que no lo volveré a hacer :D
Pregunté en este hilo cual es el rendimiento de un pc configurado como router + fw, pero no han contestado. Si el tráfico no es muy alto,ueno seguro que podéis usar algun pc jubilado para este componente.
Me sospecho que el rendimiento es muy alto. Lo máximo que da una ethernet son 12.5 Mb/s, y eso, sin mediar discos, es pan comido.
pero no es es solo eso. Los paquetes hay que analizarlos, tienen que llegar al kernel para poder filtrarlos. Vale, tb será muy alto.
En algun sitio leí que los switches tb se pueden esniffar (pero no me preguntes cómo, no lo recuerdo). Cuidadín con qué cosas se hacen en la LAN...
Si no me equivoco, en todos los puertos de un switch se ve todo lo que pasa por cualquiera de los puertos. Equivale a una red ethernet clásica con coaxial, y cada puerto es un conector pinchado al cable. Basta con conectarse poniendo tu etherned en modo "promiscuo".
Uhm... no lo se, pero me extrañaría. Entonces no habría ninguna diferencia etre un HUB y un switch, no? Es decir, la idea del switch es aligerar la red enviando el paquete al destino adecuado y no a toda la red.
Caray, lo más elaborado que yo conocia era el figlet! (mola para hacer motd y cosas de esas) -- Saludos, miguel
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-09 a las 14:52 +0100, miguel gmail escribió:
Por cierto, lo has mandado por duplicado :-?
Bueno, aqui hay una incorreción. Yo no lo he mandado. Yo he escrito un mail y gmail se ha encargado de enviarlo. Y como gmail no estaba seguro de haberlo enviado, pues lo hizo por su cuenta y riesgo dos veces... pero no es culpa mia!
Curioso... pues tienen distinto Message-ID e incluso hora distinta, que es lo que me ha llamado la atención, la hora.
En serio, ni idea de como ha pasado. Gmail me lleva dando problemas (por web) toda la mañana.
Bueno, gmail es beta al fin y al cabo.
El caso es que no puedo prometer que no lo volveré a hacer :D
X-)
Pregunté en este hilo cual es el rendimiento de un pc configurado como router + fw, pero no han contestado. Si el tráfico no es muy alto,ueno seguro que podéis usar algun pc jubilado para este componente.
Me sospecho que el rendimiento es muy alto. Lo máximo que da una ethernet son 12.5 Mb/s, y eso, sin mediar discos, es pan comido.
pero no es es solo eso. Los paquetes hay que analizarlos, tienen que llegar al kernel para poder filtrarlos. Vale, tb será muy alto.
Si, ya... pero vamos, no hay que hacer muchos cálculos, me imagino, no muy intensos. Depende de como esté la cosa de optimizada. Imagino que habrá estudios de eso :_?
En algun sitio leí que los switches tb se pueden esniffar (pero no me preguntes cómo, no lo recuerdo). Cuidadín con qué cosas se hacen en la LAN...
Si no me equivoco, en todos los puertos de un switch se ve todo lo que pasa por cualquiera de los puertos. Equivale a una red ethernet clásica con coaxial, y cada puerto es un conector pinchado al cable. Basta con conectarse poniendo tu etherned en modo "promiscuo".
Uhm... no lo se, pero me extrañaría. Entonces no habría ninguna diferencia etre un HUB y un switch, no? Es decir, la idea del switch es aligerar la red enviando el paquete al destino adecuado y no a toda la red.
¡Rayos! Estaba confundiendo los switches con los hub. :-/ Tienes razón. Tendré que mirar la wikipedia, es lo que tengo más a mano - oye, que invento. Antes no podía decir "voy a mirar la wikipedia", porque me costaba las pelas, pero ahora... jo, que gozada O:-)
Caray, lo más elaborado que yo conocia era el figlet! (mola para hacer motd y cosas de esas)
¿Verdad? Sólo hay que tener en cuenta un detalle. Esos dibujos están mostrados en html, pero originalmente se hacían para terminales ANSI, que son los de las BBS y también los del msdos si se cargaba el controlador. Es texto plano con unos "escapes" que permiten hacer cosas como posicionar el cursor, manejar colores, y bastante más. Un fichero de esos volcado en un terminal de linux hace muy poco, se vería basura. Por eso imagino que el autor los ha pasado a html. Bueno, y no es el único autor, pero ese lo tenía guardado del 99. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEEEEDtTMYHG2NR9URAqvYAJ4ire0ceja49KBQJiRQ2Etjb5a7tgCfUAD/ enL7G7ewDwFjO/gOD95np7M= =c/vV -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-09 a las 15:51 +0100, escribí:
¡Rayos! Estaba confundiendo los switches con los hub. :-/
Tienes razón. Tendré que mirar la wikipedia, es lo que tengo más a mano - oye, que invento. Antes no podía decir "voy a mirar la wikipedia", porque me costaba las pelas, pero ahora... jo, que gozada O:-)
http://en.wikipedia.org/wiki/Network_switch A network switch is a computer networking device that connects network segments. It uses the logic of a Network bridge but allows a physical and logical star topology. It is often used to replace network hubs. A switch is also often referred to as an intelligent hub or switching hub. Note that the term "switch" is abused in the networking industry to name many different types of device - see Multilayer switch. http://es.wikipedia.org/wiki/Switch Un switch (en castellano "interruptor" o "conmutador") es un dispositivo de interconexión de redes de ordenadores/computadoras que opera en la capa 2 (nivel de enlace de datos) del modelo OSI (Open Systems Interconection). Un switch interconecta dos o más segmentos de red, funcionando de manera similar a los puentes (bridges), pasando datos de una red a otra, de acuerdo con la dirección MAC de destino de los datagramas en la red. Los switches se utilizan cuando se desea conectar múltiples redes. Al igual que los bridges, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las LANs (Local Area Network- Red de Área Local). Y aquí dice como se hace para escuchar todo el tráfico: Flaws Switches provide difficulties in monitoring traffic because each port is isolated until it transmits data, and even then only the sending and receiving ports are connected. Two popular methods that are specifically designed to allow a network manager to monitor traffic are: * Port mirroring -- the switch sends a copy of network packets to a monitoring network connection. * SMON -- "Switch Monitoring" is described by RFC 2613 and is a protocol for controlling facilities such as port mirroring. Other "methods" (a.k.a. attacks) have been devised to allow snooping on another computer on the network without the cooperation of the switch: * ARP spoofing -- fooling the target computer into using your own MAC address for the network gateway, or alternatively getting it to use the broadcast MAC. * MAC flooding -- overloading the switch with a large number of MAC addresses, so that it drops into a "failopen mode". El articulo de la wikipedia en español es parecido, pero no el mismo que el de la inglesa, no es la traducción. Curioso. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEEHjHtTMYHG2NR9URAkK9AJ0QTlHwiWneEjGHWfQU83W+8kXzHwCfQDMA m2U5zj76LbJyoTfgqSM80jY= =WNay -----END PGP SIGNATURE-----
Pregunté en este hilo cual es el rendimiento de un pc configurado como router + fw, pero no han contestado. Si el tráfico no es muy alto, seguro que podéis usar algun pc jubilado para este componente.
Me sospecho que el rendimiento es muy alto. Lo máximo que da una ethernet son 12.5 Mb/s, y eso, sin mediar discos, es pan comido.
No lo sabía. ¿De dónde puede sacarse esta información? ¿Los mismos fabricantes de la ethernet? ¿Dependerá en todo caso del chipset que monte el dispositivo? Y entonces, me pregunto ¿que hay del tema 10/100/1000 Mbps? ¿No es lo mismo?
En algun sitio leí que los switches tb se pueden esniffar (pero no me preguntes cómo, no lo recuerdo). Cuidadín con qué cosas se hacen en la LAN...
Si no me equivoco, en todos los puertos de un switch se ve todo lo que pasa por cualquiera de los puertos. Equivale a una red ethernet clásica con coaxial, y cada puerto es un conector pinchado al cable. Basta con conectarse poniendo tu etherned en modo "promiscuo".
Bueno, no es tan fácil, pero se puede. Aquí se explica un método bastante clásico (envenenamiento de tabla ARP): http://robota.net/article?id=810 Creo que había alguna otra maneraq de hacerlo. -- Salut, Jordi Espasa
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-09 a las 17:03 +0100, Jordi Espasa Clofent escribió:
Me sospecho que el rendimiento es muy alto. Lo máximo que da una ethernet son 12.5 Mb/s, y eso, sin mediar discos, es pan comido.
No lo sabía. ¿De dónde puede sacarse esta información? ¿Los mismos fabricantes de la ethernet? ¿Dependerá en todo caso del chipset que monte el dispositivo?
Calma... :-) Que lo único que he hecho es un pequeño cálculo. Son 100 Mega bits, que equivalen a 12.5 Mega bytes ;-)
Si no me equivoco, en todos los puertos de un switch se ve todo lo que pasa por cualquiera de los puertos. Equivale a una red ethernet clásica con coaxial, y cada puerto es un conector pinchado al cable. Basta con conectarse poniendo tu etherned en modo "promiscuo".
Bueno, no es tan fácil, pero se puede. Aquí se explica un método bastante clásico (envenenamiento de tabla ARP): http://robota.net/article?id=810
Creo que había alguna otra maneraq de hacerlo.
Cuidado, que me equivoqué un poco, confundí hub con switch. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEEME5tTMYHG2NR9URAsyKAJ9GgyqlCFac9+W+YCxdPTsOUoGRHACcDI/K BHhehykUp4oJylaT1khstl4= =dwNa -----END PGP SIGNATURE-----
El 8/03/06, miguel gmail escribió:
· +----------> servidor 3 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 1 externo · | · CORTAFUEGOS · | · +----------> servidor 1 interno · | intranet + Inet -- FW -- router +----------> servidor 2 interno · | · +----------> servidor 3 interno
He hechos dos cambios en el esquema enviado por Carlos: - Añadir un cortafuegos entre ambas redes - Quizar la DMZ de la red local, pues no va a ver ninguna Resumiendo, ¿esta sería la configuración más segura? ¿alguna recomendación para el cortafuegos por hardware, marca y modelo que funcione bien, sea sencillo de configurar y no se caliente o cuelgue? :-)
Lo que si que echo a faltar es un router+fw entre los servidores 1 interno y externo (o sea, entre las DMZ) que controle muy estrictamente los accesos (quien puede, dónde puede, qué puede).
Ya está añadido al esquema.
¿Cómo estas comunicando entre los servidores 1?
Por un cable de red, que sale de la segunda tarjeta de red al switch de la red local. Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-09 a las 10:15 +0100, Camaleón escribió:
¿Cómo estas comunicando entre los servidores 1?
Por un cable de red, que sale de la segunda tarjeta de red al switch de la red local.
Entonces el esquema es incorrecto, y más peligroso. Veamos: · +----------> servidor 3 externo · | pseudo + Inet -- FW -- router +----------> servidor 2 externo · | DMZ · +----------> servidor 1 externo · | · (dmz) · | · +------+-------+ · | CORTAFUEGOS | · +------+-------+ · | · (lan) · +--------+ | · | +-----------------+ · | | · | +----------> servidor 1 interno · | | intranet + Inet -- FW --+ Switch +----------> servidor 2 interno · | | · | +----------> servidor 3 interno · +--------+ Tienes expuesta toda la intranet sin protección, si no pones el cortafuegos. Y de los buenos, puesto que conectas al switch, que es un cable, a efectos prácticos. Si que tienes una DMZ. Un poco atípica, pero es una DMZ. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEED4utTMYHG2NR9URAv5eAJ4k94R8IR2oQE0ymH6HlsqdXFucpwCeOk3d 9SgNVR26MIwzbWk32hg0VBA= =L6eg -----END PGP SIGNATURE-----
- -inet---| router +----> DMZ --- [Servidor]
| FW |
+---+----+
---> intranet (segura)
Hola Camaleón, La forma más correcta de hacerlo es cómo te comenta Carlos. POdrías poner una máquina GNU/Linux como router, con 3 ethernets: eth0 ---> tu IP pública. La que tiene salida a Internet [*] eth1 ---> dmz eht2 ---> lan [*] ¿cómo haces esto? Bien, pues configurando el router (el aparatito de turno) como módem; es decir, que haga sólo de "cañería". Así realmente todas las peticiones se van directamente a la eth0 y quién hace en realidad de router es la máquina GNU/Linux. Luego entonces lo que tendrás son redes físicamente segmentadas y la seguridad aumentará muchísimo. Evidentemente te vas a hartar de darte de /etc/sysconfig/SuSEfirwall2 :P No olvides, sobretodo, configurar también los FW de la LAN por si algún día la DMZ queda comprometida. Eso es precisamente lo que te inquieta, así que mucho ojo. Incluso podrías poner un bastión entre el router y la LAN, aunque eso ya serían quizá muchas máquinas y movida. PEro sería MUY seguro, eso si. -- Salut, Jordi Espasa
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-08 a las 09:22 +0100, Jordi Espasa Clofent escribió:
La forma más correcta de hacerlo es cómo te comenta Carlos. POdrías poner una máquina GNU/Linux como router, con 3 ethernets:
eth0 ---> tu IP pública. La que tiene salida a Internet [*] eth1 ---> dmz eht2 ---> lan
[*] ¿cómo haces esto? Bien, pues configurando el router (el aparatito de turno) como módem; es decir, que haga sólo de "cañería". Así realmente todas las peticiones se van directamente a la eth0 y quién hace en realidad de router es la máquina GNU/Linux.
Algunos routers pueden hacer ese equema directamente. Creo que el que tengo de tesa, el comtrend puede hacerlo, menciona "dmz" por algún sitio (es un linux 2.4). Un router dedicado es menos hardware que un PC. Si se pudieran comprar PCs nuevos con un hardware muy limitado y muy pequeños, con pentium-1 o menos (sin ventilador), sería interesante para estos usos. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEDrddtTMYHG2NR9URAmnbAJ9HrXzN4hNRE4IT9/D+cNG6MpUszwCfVNM4 a8fZ1Ph7eRnSsmffixsCAQw= =zscA -----END PGP SIGNATURE-----
El 08/03/2006 11:52:10 Carlos E. R. escribió: robin1.listas> robin1.listas> Si se pudieran comprar PCs nuevos con un hardware muy limitado y muy robin1.listas> pequeños, con pentium-1 o menos (sin ventilador), sería interesante para robin1.listas> estos usos. No es necesario comprar, se pueden "reciclar" máquinas antiguas (A partir del 200 MMX) para estos menesteres de rutado y también para proxy. Hace meses salió un artículo en "Linux Magazine" que precisamente describía como convertir un PC obsoleto en un router. De todas maneras como no tengas también las ethernet antiguas suficientes ..... -- Saludos, Josep M. Queralt
No es necesario comprar, se pueden "reciclar" máquinas antiguas (A partir del 200 MMX) para estos menesteres de rutado y también para proxy.
Hace meses salió un artículo en "Linux Magazine" que precisamente describía como convertir un PC obsoleto en un router.
De todas maneras como no tengas también las ethernet antiguas suficientes .....
qué rendimiento pueden dar estos routers? Cuantas peticiones pueden atender máquinas así configuradas? Hemos pedido prespuesto para dos routers Cisco, y tengo curiosidad por ver si dos pc´s podrían sustituirlos. Son para filtar los accesos a un portal web donde se esperan 500 usuarios concurrentes. -- Saludos, miguel
El Miércoles, 8 de Marzo de 2006 12:13, miguel gmail escribió:
No es necesario comprar, se pueden "reciclar" máquinas antiguas (A partir del 200 MMX) para estos menesteres de rutado y también para proxy.
Hace meses salió un artículo en "Linux Magazine" que precisamente describía como convertir un PC obsoleto en un router.
De todas maneras como no tengas también las ethernet antiguas suficientes .....
qué rendimiento pueden dar estos routers? Cuantas peticiones pueden atender máquinas así configuradas?
Coñe... pues no sé si en lo de a ethernets nos referimos; tendría que mirarse. Ahora, eso si, de cara al kernel que gestiona el tema... ues va ser que es un señorazo Linux. Sobran las palabras ¿no?
Hemos pedido prespuesto para dos routers Cisco, y tengo curiosidad por ver si dos pc´s podrían sustituirlos. Son para filtar los accesos a un portal web donde se esperan 500 usuarios concurrentes.
Creo que podrían ponerse una máquina GNU/Linux perfectamente para hacer eso. -- Salut, Jordi Espasa
El 08/03/2006 12:13:11 miguel gmail escribió: miguel.listas> > Hace meses salió un artículo en "Linux Magazine" que precisamente miguel.listas> > describía como convertir un PC obsoleto en un router. miguel.listas> > miguel.listas> > De todas maneras como no tengas también las ethernet antiguas miguel.listas> > suficientes ..... miguel.listas> miguel.listas> qué rendimiento pueden dar estos routers? Cuantas peticiones pueden miguel.listas> atender máquinas así configuradas? NPI. Dependerá de las tarjetas (hardware) porque la carga del sistema yo creo que sería insignificante. No necesitas gráficos, ni monitor, la escritura en disco mínima (salvo si configuras proxy) .... -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-03-08 a las 12:08 +0100, Josep M. Queralt escribió:
No es necesario comprar, se pueden "reciclar" máquinas antiguas (A partir del 200 MMX) para estos menesteres de rutado y también para proxy.
Ya...
De todas maneras como no tengas también las ethernet antiguas suficientes .....
Y memorias, fundamentalmente. Las memorias antiguas son muy dificiles de encontrar, y caras. Pero yo me refería a máquinas de procesador pequeño, de caja pequeña, pero con las prestaciones de sobra para tener un router o cortafuegos, por ejemplo. No necesariamente han de ser PCs. En los tiempos del pentium-1 era posible comprar PCs (8086) pequeños para uso industrial - y bastante caros, pero menos que los pentium industriales (rack profesional de 19"). La idea era que no se necesitaba un pentium para todos los usos, sino que se ponía aquello que hiciera falta; por ejemplo, para medir unas temperaturas y presiones y registrarlas o enviarlas, no hacía falta un pentium. Y menos ahora un p4 (ni un amd-64 ;-) ) Recientemente he visto camiones que les montan un "pececito" con GPS para control de ruta, y es media caja de zapatos, más o menos. Y en el SIMO de hace un par de años vi unos "PCs" para multimedia de salón, sin ventilador, con un procesador VIA, a 600Mhz. Me pareció una buena idea. O sea, que debieran existir cosas por ahí que se puedan usar para cortafuegos. La cuestión es el precio, claro. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEDs0CtTMYHG2NR9URAqQNAJ9A+goUmIlMjid0Ng9AEd+uKz6sMACfeR8H SxIAfEMlDGwuXY1zhYktvRg= =bZXP -----END PGP SIGNATURE-----
No es necesario comprar, se pueden "reciclar" máquinas antiguas (A partir del 200 MMX) para estos menesteres de rutado y también para proxy.
Hace meses salió un artículo en "Linux Magazine" que precisamente describía como convertir un PC obsoleto en un router.
De todas maneras como no tengas también las ethernet antiguas suficientes .....
Exacto Josep. Yo lo tenía en un PI con 48 de RAM y un disco de 1,2 GB. Y me sobraba máquina para el papel que desempeñaba. Yendo al extremo incluso te diría que puedes hacerlo en máquinas sin disco duro: a partir de distro-floppies a tal efecto, como podría ser LRP (http://www.linuxrouter.org/). Una vacilada total. Recuerdo en las news de FreeBSD que un compañero mencionaba que había gestionado una red de bastantes máquinas (no recuerdo el número, creo que sobre 10/20) de este modo: con un 386 sin HD. Y durante un par de años. Acojonante. -- Salut, Jordi Espasa
participants (5)
-
Camaleón
-
Carlos E. R.
-
Jordi Espasa Clofent
-
Josep M. Queralt
-
miguel gmail