On Fri, 2003-01-24 at 11:00, c x wrote: > Hola a todos. > > Tengo un router que es el centro de mis comunicaciones con 3 patitas: > internet, > DMZ y red interna. > Tengo un filtro de paquetes con iptables con todo muy cerradito (excepto > lo que tengo que sevir a Internet por narices). > �Es necesario instalar en esta m�quina un sistema de detecci�n de intrusos? > �Cu�l me recomend�is en Linux?
Si eres del tipo "h�galo usted mismo", o tienes poco presupuesto: snort (y no estar�a de m�s darle una pasada con nessus a tu red, a ver qu� encuentras). Tambi�n podr�as poner un fierro. Yo he tenido que lidiar bastante, en bancos y redes de compa��as grandes, con cajas CheckPoint (Firewall NG, Floodgate). Quiero decir, parecen ser populares. �sto no quiere decir mucho, yo s�, pero es lo que puedo reportarte. En todo caso, yo cuestionar�a que el router externo tenga acceso directo a la red interna. Seg�n yo, todo el punto de una DMZ es proteger la red interna incluso de una ruptura en la seguridad externa. Lo que yo he hecho siempre es poner un router/firewall externo, filtrando tr�fico entre la DMZ y la Internet; y un router/firewall interno, filtrando tr�fico entre la red interna y la DMZ. De forma que si te cae un infeliz script kiddie, con aspiraciones de l33t h4x0r, y consigue poner un rootkit en el router externo o en un servidor en la DMZ, tienes m�s tiempo de detectarlo y detenerlo antes de que pueda entrar a la red interna (y, naturalmente, los mainframes y bases de datos est�n en la red interna, no en la DMZ). -CR
