[OT] Firewalls de filtrado y proxies

Wed, 25 Jul 2001 12:07:59 -0500 

Un saludo a todos.

Empieza aqu� lo que a buen seguro ser� una dura serie de consultas
acerca de seguridad, filtrado de paquetes y proxies ;)

Empiezo:

Tengo que dise�ar e implementar la seguridad de una red local.

Para empezar, en el dise�o he separado las m�quinas que ofrecer�n
servicios a Internet y las estaciones de trabajo en dos subredes
diferentes. He creado, adem�s, una tercera subred para una m�quina
que tiene unas condiciones de seguridad muy espec�ficas.

        Inet
         |
         |
     ----------
    | FIREWALL |
     ----------
         |
         |
 --------------------------------
 |              |               |
 |              |               |
SERVICIOS      LAN            ESPECIAL


En principio, esa topolog�a parece sencilla y cubre las necesidades
b�sicas. No obstante, parece aconsejable colocar otro firewall
de la forma siguiente:

          Inet
           |
           |
          ------------
         | FIREWALL A |
          ------------
               |
               |
SERVICIOS -----|----- ESPECIAL
               |
               |
          ------------
         | FIREWALL B |
          ------------
               |
               |
              LAN

NECESIDADES:
============
        LAN: acceso a web, smtp, ldap y pop3.
        SERVICIOS: servicio web, smtp, ldap, pop3 y, eventualmente, ftp.
        ESPECIAL: da servicio web. Seguridad cr�tica.

FIREWALLS:
==========

Ahora vienen mis dudas:

Hab�a pensado colocar un proxy para ofrecer los servicios necesarios a
la LAN. En teor�a en el Firewall B. Bueno, ser�a un proxy por servicio,
es decir: squid (web), smtpd (smtp), perdition (pop3) y lo que no he
encontrado es un proxy para ldap. Adem�s, no quiero usar sendmail,
y smtpd depende de �l... �alguna otra alternativa fiable en debian?

El Firewall A se encargar�a de enmascarar las direcciones IP
y redireccionar el tr�fico a los diferentes servicios.

En el caso de ESPECIAL, dudo si colocarlo ah� o ponerlo
detr�s de B, aunque eso ser�a complicar mucho las reglas 
de este firewall.

CONCLUSI�N:
===========

Quer�a plantearles la idea para que ahora ustedes la masacren,
y me comenten todos los fallos (probablemente muchos) que 
encuentren a semejante engendro de dise�o.

Porque a lo mejor ustedes colocar�an el proxy en A o cualquier
otra cosa... no s�, divagaciones de uno.


Por cierto, muchas gracias desde ya ;)

-- 
(o_.'   Imobach Gonz�lez Sosa
//\c{}  [EMAIL PROTECTED]
V__)_   [EMAIL PROTECTED]
osoh en irc-hispano
Usuario Linux #201634
Debian GNU/Linux `Woody' con n�cleo 2.4.7 sobre AMD K7 Athlon

Quien nos revelase la esencia del mundo nos producir�a a todos la mayor
desilusi�n                                      -- F. Nietzsche --

Responder a