Migrar internet adsl a Enlace dedicado con 5 ips estáticas

Que tal?

Soy nuevo en las redes corporativas, en la empresa donde trabajo estamos dando el salto a un enlace dedicado fr 2mbps. Me van a entregar un enlace de fibra óptica convertido a fast ethernet para conectarlo a mi red y además me van a dar 5 direcciones Ip estáticas.

Actualmente tenemos nuestra conexión a internet des era "casera" con un modem de adsl. El cual pasa a través de un proxy por el cual toda nuestra LAN se comunica a internet, incluyendo los servidores.

Mi duda es la siguiente: que cambios me sugieren que haga para sacar el mayor provecho a este servicio que me están próximo a entregar, para dar uso a las Ip que me estarían entregando.

Espero sus respuestas, de antemano gracias!

Mi recomendación es que, salvo que quieras poner varios firewalls o complicar mucho tu extranet, con una IP pública vas sobrado.

Si te dan 5 es porque "puedes" conectar 5 puntos diferentes de servicio a Internet... Eso implica que tendrás que securizar y mantener 5 nodos de acceso enrtante diferentes. Pero que "puedas" no significa que "tengas" o que "debas".

Plantéate cuantos servicios vas a dar a Internet, al gran público, y sin que necesiten una VPN para conectarse a ti (por ejemplo, un servidor web de acceso público). Si necesitas muchos y del mismo tipo, entonces puede que necesites más de una IP pública (en realidad puedes usarlas todas si quieres, pero no me parece lo mejor...)

¿Que necesitas? Pues como mínimo un cortafuegos conectado a una IP pública (o un router con esa IP pública y un cortafuegos detrás... Y detrás el resto de tu red).

La configuración básica es igual que con un ADSL, sólo que cuentas con una mejor conexión... Pero la filosofía no varía.

Debes controlar los puntos de acceso a tu LAN desde el exterior, y viceversa, debes mantener aparte y contralada la DMZ, en caso de que la necesites, y el mismo sistema de proxy,firewall te vale...

Yo no me complicaría. Para empezar, simplemente usaría un router al que le daría una de las IPs fijas que tienes, conectado a un firewall/proxy (con dos tarjetas de red) y éste separando la LAN del router.

Mira a ver si te va mejor la cosa... A posteriori puedes incluir (en el mismo firewall/proxy si quieres o en otra máquina a la que llegues con NAT) un servidor de túneles VPN para conexiones tipo "road warriors".

Muchas gracias por tu respuesta,

Vaya, ya voy entendiendo esto, entonces no debo de tener mayor problema. Actualmente tengo IPCop como firewall/proxy y de ahí controlo el acceso a mi red. Por lo que veo no necesito mayor configuración hasta que vaya a incrementar los servicios.

Como firewall, que sistema me recomiendas?

Yo montaría un iptables sobre OpenBSD... Eso te permitirá ir escalando funcionalidades en el bastion host sin comprar mas maquinas ni mas programas (proxy, gateways/relays, IDS, etc...).

Vamos, que es un excelente sistema que favorece la escalabilidad en el tiempo sin aumentar la inversión (sólo necesitas invertir en aumentar tus conocimientos, lo cual, encima, es un plús para mi :) ).

Gracias moeb,

openBSD como anda de documentación, how-to, wikis, foros, etc? actualizaciones? hay buena cantidad de documentación como para hacer el cambio ?

pregunto esto ya que actualmente uso ipcop en mi proxy pero ya no le están dando mantenimiento.

saludos.

OpenBSD es una alternativa de seguridad EXCELENTE.

Mejor que Linux o cualquier otro S.O.

Es un Sistema puramente orientado a la seguridad... Los ports los verifican 10 personas diferentes línea a línea, y han tenido el índice más bajo CON DIFERENCIA de bugs críticos de seguridad de todos los S.O. en la última década.

Tienes mucha información sobre como montarlo y/o actualizarlo... Y si montas un iptables la configuración es idéntica a cualquier otro *NIX... Lo mismo para Squid.

La ventaja de Linux es que hay más ports (programas portados) que en OpenBSD. Pero como Bastion Host, es más robusto.

Si Theo de Raadt ve esto .. Open usa PF .. No NetFilter moeb .. :D

¡Cielos!

Tremenda metedura de pata... Putas prisas... Y eso que en esas fechas estaba montando no uno, sino DOS firewalls con OpenBSD para la misma empresa en dos sedes.... Que triste :)

De todas formas, Theo no tiene tiempo "pa" estas cosas... Entre sus discusiones con la peña, el OpenBSD y el alpinismo, no tiene tiempo para dedicarle a los pobres mortales :)

Gracias por la corrección ;)