Ver Mensaje Individual
  #5 (permalink)  
Antiguo 27/11/2005, 06:42
albridi
 
Fecha de Ingreso: noviembre-2003
Ubicación: España
Mensajes: 212
Antigüedad: 21 años
Puntos: 3
Cita:
Iniciado por jariza
LAN (Red entre equipo 1 y equipo2): si es cable...lo permites todo, ya que ambos equipos son tuyos y no creo que tu te vayas a atacar a ti mismo.
Aquí es donde tengo más dudas. Si yo permito todo entre el PC 1 y el 2, y el 2 pide salir a Internet, culaquiera podría entrar ¿o no? ¿o tendrían antes que saltarse la barrera que supone el 1? Es decir, el Firewall del 1 ¿actuaría como Firewall también para el 2?

Cita:
Iniciado por jariza
...Puesto que tu firewall te permite independizar adaptadores es fácil traducir esta partición a reglas...
¿Crees que unas reglas más o menos así serían seguras?:

1) Bloquea TODO en el adaptador de Internet.

2) Permite TCP saliente en los puertos 80, 21, 25 y 110 en el adaptador de Internet.

3) Permite IP saliente en los puertos 80, 21, 25 y 110 en el adaptador de Internet.

4) Permite comunicación TCP en los puertos 80, 137, 138 y 139 con la máquina 192.168.0.2 en el adaptador LAN.

5) Permite comunicación IP en los puertos 80, 137, 138 y 139 con la máquina 192.168.0.2 en el adaptador LAN.

La idea es permitir solo direcciones salientes tanto en la LAN como en Internet, y utilizar servicios WEB, CORREO y FTP en Internet y servicios WEB y NetBIOS solamente en la LAN. ¿Por qué el puerto 80 en la LAN? para poder ver páginas web desde el PC 2. ¿Crees que el planteamiento es correcto o tiene inconsistencias en cuanto a la seguridad?

Con las reglas de arriba dejaría bloqueados los puertos UDP, que no tengo nada claro para qué valen.

Vale, lo de las MAC's me queda algo mas claro. O sea que lo de que alguien tenga tu misma MAC y ese alguien sea un atacante potencial es como que te toque El Gordo de La Primitiva ¿no?

Cita:
Iniciado por jariza
...Si tu firewall distingue adaptadores no será la misma IP la "192.168.0.2 de Internet" que la "192.168.0.2 de tu LAN"...
Aaaamigooo...vale, esto sí es más "lógico". Entiendo entonces que utilizar IP's te da mayor "seguridad" que utilizar direcciones MAC.

Cita:
Iniciado por jariza
...hay que tener un poco de paranoia, pero sólo la justa...
Sí, es cierto. Aunque con tanto Sniffer, Spoofer, Troyano, y derivados acbas por sucumbir a la tentación de montar un pequeño búnker.

Cita:
Iniciado por jariza
Supongo que compartes internet con la ICS de Microsoft, entonces ¿cómo inicias la conexión desde equipo 2?
Sí, así es, utilizo el ICS. Aunque de momento no funciona.

Creo que ICS es un PROXY (otro gran misterio para mí). El caso es que al recibir una petición desde la máquina 2, el equipo 1 debería autoconectarse a Internet, siempre que lo tenga permitido en el Firewall claro. Tendría que saber cual o cuales son los puertos que utiliza ICS para decirle al Firewall que deje actuar a ICS si la petición procede de 192.168.0.2.

Saludos.