| |||
Respuesta: Duda con una Dmz ¿Que dispositivos? ¿Conceptualmente o quieres "marcas"? Supongo que sabes lo que es una DMZ... Es una forma de tener una serie de máquinas accesibles o expuestas a Internet, manteniendo tu LAN cerrada y protegida en la medida de lo posible... Es decir, si algo quedase comprometido sería sólo en la DMZ. Esa es la teoría. ¿Que hace falta conceptualmente? Obviamente un cortafuegos entre la DMZ y tu LAN (y preferiblemente, aunque no obligatoriamente, otro cortafuegos entre internet y tu DMZ)... Podría ser el mismo cortafuegos con 3 interfaces de red. Es más difícil definir los servicios que expondrás en la DMZ y la forma de acceso que permitirás entre la red local y la DMZ (conexiones encriptadas, túneles, etc) que "que dispositivos debes usar"... En realidad hay decenas de cortafuegos que incluyen esta posibilidad (la mayor parte de ellos de bajo coste no incluyen cortafuegos full state, ojo). Una simple máquina linux con iptables y 3 tarjetas de red te haría la misma función (incluso mucho más, dado que puedes incorporarle más servicios, monitores de red, monitores de alerta, etc). No sé si he interpretado correctamente tu pregunta... Ni si te habrá ayudado en algo esta respuesta. Si puedes concretar, igual podemos enfocar mejor el detalle. |
| |||
Respuesta: Duda con una Dmz Como te he dicho tienes multiples formas de hacerlo... La más flexible SIEMPRE es colocar una pequeña máquian con Linux (u OpenBSD, mejor, aunque tienes más documentación para Linux y más ports de programas para un futuro). Eso te permite establecer un bastion host como dios manda (dado que no sólo dispondrás de filtrado de paquetes IP, sino que podrás incluir analizadores de tráfico, sensores de eventos de alarma, etc, si te interesa). Si no quieres currártelo, cualquier firewall comercial con boca DMZ te servirá (disponen de 3 NICS, generalmente, la WAN, la DMZ y la LAN... Muy obvias como ves). No suelo recomendar marcas, la verdad, porqu ecomo te digo, salvo muy contadas ocasiones en que me han forzado a colocar algún 3COM (muy regulares) o los conocidos Sonicwall (mejores), siempre he optado por una máquina con OpenBSD o Linux (según cliente y necesidades), como te he dicho. Umm... Supongo que sonicwall te valdría. No es lo más barato, desde luego. Pero cuando la seguridad importa, si no quieres currártelo con herramientas "open source", no puedes ir a lo más barato. Deberás configurar el rutado y las reglas de acceso entre la DMZ y la LAN. Eso es lo fundamental... |
Etiquetas: |