18/11/2002, 07:00
|
| Colaborador | | Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes Puntos: 14 | |
No es lo más recomendable instalar el cortafuegos junto al servidor web y de correo. Sería mejor instalar un nuevo host para ubicar en el firewall... a partir de ahí las posibilidades de colocación son varias como por ejemplo la instalación de un DMZ para el cortafuegos de manera que un ataque existoso contra este sea más complicado. En esta zona podrías también ubicar los servidores de correos y web. Como la DMZ puede estar comprendida entre dos routers, estos podrían estar configurados para las direccionar las peticiones/respuestas dependiendo si van hacia la subred protegida de servidores o interior de tu red. La idea del DMZ es para la necesidad de ofrecer servicios, si no los tenemos y sólo necesitamos proteger nuestra red interna no es imprescindible, con una arquitectura Screened Host (INTERNET > ROUTER > CORTAFUEGOS > RED INTERNA) es suficiente. Eso es una explicación muy superficial.
El cortafuegos puede estar basado tanto en Linux ( lo más recomendable) o Windows. Hay que tener en cuenta que los cortafuegos basados en Linux como IPTables son mucho más fiables y potentes que los basados en windows. De entre los cortafuegos windows yo ( a título personal ) instalaría Sygate, Visnetic o Kerio. No se si tienes los PCs directamente a INET pero es altamente recomendable pasarlo por un proxy. Los routers ADSL que tienenes para conectar a INET son ya una primera barrera cortafuegos muy básica. Una solución cortafuegos/proxy bastante buena es Winroute pro que incluye el proxy y el cortafuegos Kerio.
El como configurar tu cortafuegos es un tema a parte ya que depende de la política de seguridad que quieras seguir. Puede ser una configuración simple o complicada. Hay que tener mucho cuidado con la configuración del firewall por defecto... no suelen ser muy recomendables. También hay limitar el tamaño de los logs de los cortafuegos o directamente o deshabilitaros cuando están basados en windiows ya que fallan con ataques tipo DOS. También hay que tener en cuenta el orden de las reglas.
La importancia que des a la seguridad de tu red será determinante a la hora de pensar en la posibilidad de instalar un IDS tal como Snort (de los mejores y gratuito tanto para UNIX/Linux como windows). Kerio dispone de un IDS que personalmente no me gusta.
Importante también el tema de las copias de respaldo, parcheo y actualización del software servidor, sistemas operativos, antivirus, reglas de IDS. Desactivación de servicios no usados. Cuidado con las aplicaciones que conecten a internet como browsers y clientes de correo, que sean seguras y fácilmente actualizables respecto a la seguridad. Ojo con las contraseñas, auditorias, políticas de seguridad tanto de S.O. como de acceso al proxy y por tanto a INET, etc, etc.... supongo que como administrador de una red de 60 PCs todo esto que te comento sobra porque lo sabes.
Ahora no se me ocurre nada más. |