[LUG.ro Mix] Sobre Infraestructura

Federico Lazcano flazcano en rosario.gov.ar
Lun Feb 11 09:27:59 ARDT 2008 

El Viernes, 8 de Febrero de 2008 19:02, Sebastian Pescio escribió:
> Hola lista.
>
> Les quería hacer una consulta (1) y pedir una opinión
> (2) sobre el armado de un FW para una Red (obvio en
> GNU/Linux).
>
> 1) Conocen alguna mother nueva que tenga 4 o 5 slots
> pci (para armar distintos segmentos)?, o en su defecto
> alguna placa multilan que sirva para realizar lo
> mismo?
>
> 2) Tengo las siguiente esquema:
>
> a) Salida a Internet Principal (Proveedor 1)
> b) Salida a Internet Secundaria (Proveedor 2)
> c) Acceso Wireless de distintas sucursales (hacia
> Internet o hacia un Aplication Server en Unix).
> d) Acceso Wireles de hacia internet exclusivamente.
> d) El Aplication Server Unix.
> e) La red Interna con 125 puestos de trabajo.
>
> Para separar todo esto he pensado en montar un FW en
> Linux y Squid 3 de la siguiente manera:
>
> - Pata 1: Iría a un Router Dual WAN donde conectaría
> ambas salidas a Internet.
> - Pata 2: Por aquí ingresarían las conexiones WIFI
> (con destino hacia internet y/o el aplication server
> por un port especifico).
> - Pata 3: Este es otro acceso wireless pero con salida
> exclusiva hacia internet, tráfico controlado y control
> de ancho de banda.
> - Pata 4: Conectado al Aplication Server
> - Pata 5: Red interna de clase C, tráfico controlado,
> squid, etc.
>
> Es correcto el esquema? Tienen alguna sugerencia para
> hacerme?
>
> Que ventajas obtendría implementando VLANs en este
> esquema?

Creo que implementando VLAN (por ejemplo usando un switch que tenga ACL) te 
ahorrarías un par de interfaces de red, como por ejemplo, condensando la 4 y 
5. Y posiblemente también puedas condensar la 2 y 3. Yo la 1 la dejaría 
dedicada, por seguridad.

Y los AP, si no los tenés implementados todavía, te recomendaría que utilices 
los Linksys WRT54GL, usando OpenWRT + Xwrt, para aumentar un poco más la 
seguridad, aislando la capa 2 fuera del firewall, y de esta manera evitando 
los posibles ataques del tipo QinQ.

Pero ojo que con un equipo tan complejo tenés un punto único de falla 
importante. Fijate de tener 2 equipos, o al menos una política para 
restauración rápida.

Saludos.-
-- 
Federico Lazcano
[flazcano en rosario.gov.ar]
+54 (341) 4802 568
msn: flazcano en rosario.gov.ar

Área Tecnología
Dirección General de Informática
Municipalidad de Rosario

http://es.wikipedia.org/wiki/GPG
http://es.wikipedia.org/wiki/Firma_digital
http://wwwkeys.pgp.net:11371/pks/lookup?op=vindex&search=0x36B658A4F0190C0E
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: no disponible
Url        : http://www.lugro.org.ar/pipermail/lugro-mix/attachments/20080211/7fe859dc/attachment.pgp

Más información sobre la lista de distribución Lugro-mix