El día 12 de marzo de 2010 09:27, Antonio J. Romero Marquez > Sobre lo de todo en 1 se ve que a veces esta mal administrado pero las
> empresas quieren a veces invertir poco y "ganar" mucho, asi que les pido sus > opiniones en cuanto a velocidad / tratamiento de la informacion porque eso a > veces preguntan los gerentes: Va a funcionar? Claro pero el riesgo es > este...... y la contingencia es esta..... Aca hay varios temas que se estan mezclando, vamos a ordenarnos un poquito, sin embargo, para los que no van a leer tooooodo mi correo les digo las ideas importantes de una vez: 01.- Mezclar firewall y proxy es un tremendo error porque son funciones muy distintas y requieren hardware muy distinto, además de complicar la situación de seguridad. 02.- Busca hardware con fuente de poder redundante y donde reemplazar un disco duro o ampliar la capacidad de almacenamiento este al alcance en cuanto a dinero y facilidad de conseguir la pieza sin esperar semanas. 03.- Si llegas a mezclar funciones distintas como "proxy", "servidor de archivos" y "ERP" en un mismo equipo, hazlo en entornos virtualizados, asi facilitas enormemente los backups y el procedimiento para volver a levantar el servicio en otro equipo de HW distinto, ya sea por falla de hardware o por separación de funciones cuando tengas mas dinero. Ahora si la explicación mas "larga" :) A) El primero es "que funcionaría vs que me recomiendas". De funcionar, con el hardware adecuado funcionaría todo eso y con un servidor de Counterstrike y de StatusNet, el clone de Twitter pero ese NO es el punto importante. El punto importante es que por un tema de seguridad, que no es el algo hipotético sino MUY REAL, no es nada inteligente aumentar innecesariamente la superficie de exposición de un servidor de gateway/firewall colocando muchos otros servicios ahi. Trata de conceptualizarlo de esta manera: Si fueras el jefe de seguridad de una empresa donde custodias algo muy importante que orden la darías al personal de seguridad: ¿Que al retirarse dejen las llaves a su relevo bien guardadas en la garita de control o que cada uno de ellos saque un duplicado y lo lleven siempre consigo incluso cuando se vayan de juerga? En el segundo caso, la probabilidad de que alguno de ellos extravíe la llave o que alguien se las sustraiga es mucho mas alta. Además no se que manía tiene muchos sysadmin de mezclar las labores de un gateway/firewall con las de un proxy. Funcionalmente son cosas totalmente distintas y no veo porque deban ir en un mismo equipo. Lo que te recomendaría es armar una PC clónica nueva pero con la configuración mas modesta y barata que encuentras y con dos buenas tarjetas de red para que ese equipo sea dedicado exclusivamente a las labores de gateway/firewall. En ese equipo instala GNU/Linux y sigue todas las normas de "hardening" que puedas, por ejemplo, mejorar la configuración del servicio SSH de cara a la seguridad. Yo hace poco expuse sobre esto en las reuniones del PLUG, acá está la presentación: Y si puedes utilizar un S.O. menos frecuente y más seguro que GNU/Linux como lo es OpenBSD mucho mejor. Para el resto de servicios si debes buscar la máquina más potente que puedas: con el CPU más rápido posible, la mayor cantidad de núcleos posibles, el mayor tamaño de memoria caché, la mayor cantidad de memoria RAM, los discos duros más grandes y caros que puedas pagar (que suelen ser los mas rápidos), etc, etc. En ese otro equipo si puedes instalar las funciones de proxy (que si necesita de bastante disco, RAM e incluso CPU si utilizas un antivirus y configuraciones más avanzadas), el servidor de archivos e impresión (Samba) y quizás algunos de los otros servicios que mencionas. Para un ERP/Contabilidad, etc si te recomendaría oootro equipo muy aparte y si tienes una buena máquina virtualizar ahi como dos o tres VMs separadas las funciones de Proxy, Samba y el ERP. Esto no solo te facilita mucho los backups sino la facilidad de levantar la misma configuración en otro equipo cuando lo tengas disponible o si te falla el HW. B) Que HW comprar: de marca o clónico Aquí hay varios criterios que aplican, los equipos de marca que estan diseñados para ser servidores en empresas chicas / medianas suelen tener configuraciones adecuadas. Sin embargo eso creo que NO es lo importante, sino responder las siguientes preguntas: Si me falta espacio de disco o me falla uno ¿va a ser fácil y barato reemplazarlo? ¿Tengo espacio en el case? ¿Tengo facilidades tipo "hotswap"? Si me falla la fuente de poder ¿Es barato reemplazar? ¿Existe el repuesto de manera abundante en el mercado? ¿Tiene fuente redundante? Ese es el tipo de detalles que importante. Casi siempre esas características NO estan disponibles en servidores clónicos y SI estan disponibles en servidores de marca. Sin embargo, si consigues el case y las tarjetas controladoras adecuadas SI podrias tener fuente redundante y hotswap y otras facilidades en un equipo "clón". Antonio _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
