[Duda] Una para los expertos en Seguridad IP y Servers [Archivo]

Ver Versión Completa : [Duda] Una para los expertos en Seguridad IP y Servers

Boxer7

02-abr-2012, 10:38

Qué es mejor.... DMZ al Server, o abrir los puertos necesarios direccionandolos a la IP interna del Server?

Obviamente, el Server tiene su propio Firewall con solo los puertos necesarios abiertos.

radykal

02-abr-2012, 20:40

Boxer7

02-abr-2012, 23:31

luismif

03-abr-2012, 00:59

Yo soy partidario de sólo abrir los puertos extrictamente necesarios y si los servicios son comunes pero no deben dar servicios públicos (http, https, ftp, ts, etc.) intento dejar abiertos externamente puertos extraños sin funciones aparentes y redirigirlos a los necesarios internamente.

Interesante....:xray:

Por dios, interesante no! Completamente necesario!! Ya te lo habia comentado en el post que nos hablabas de tu conexion, no dejes nunca el servidor expuesto a internet por mucho cortafuegos que tengas instalado. Por muy seguro que te parezca nunca es suficiente. Yo tengo una pauta parecida a la que te comenta radykal para saber de forma intuitiva que puerto abro para cada servicio, siempre en numeros de puerto sin uso. Por ejemplo, al numero de puerto que corresponde le sumas 3000 o antepones cifras, no se, algo por el estilo.

S2!

Boxer7

03-abr-2012, 21:30

Gracias a ambos por las respuestas y por la luz desplegada sobre este asunto que entiendo tienen mas relevancia de lo que muchas veces le damos.

Entiendo el planteamiento, pero no como llevarla a cabo sin perder la comunicación con el exterior.

Lo que proponéis es un cruce en los puertos de entrada/salida, pero.... los clientes exteriores si entran por el puerto convencional, lo encontrarán bloqueado, no?

Por ejemplo, en un Server que aloja una Base de Datos FileMaker Pro 11 Advance (por tanto con interface web al exterior) como debiera configurar los puertos exteriores:

22 SSH
443 HTTPS
5003 FileMaker
16000 Filemaker Ad
16001 Filemaker Op

Gracias de antemano por vuestros comentarios.

luismif

04-abr-2012, 15:49

Hola, si claro, logicamente si necesariamente tienes que manter los puertos convencionales no te queda mas remedio. La pauta del cambio de puertos es para dar mas seguridad a conexiones que puedas configurar tu o bien explicarles a los clientes como usarlas. Ejemplo chorras, una conexion de escritorio remoto en vez de por el 3389 la puedes mandar por el 33389 por ejemplo, o el ftp en vez de por el 21 pues por el 2121. Si tu servicio es usado por una aplicacion que no tiene posibilidad de configurar el puerto por el que se conecta no te queda mas remedio que dejar ese puerto abierto para dar ese servicio. Eso si, sin usar el server como enrutador o como firewall jejeje. Para eso puedes poner otra maquina que haga de puerta al exterior.

S2!

Boxer7

04-abr-2012, 23:36

Es que estoy negro con el router que me han puesto los de Telefónica.....Entre otras cosas no trae Nat Loopback, el DHCP no quiere saber nada de los Android, los ignora directamente. Y otras lindezas....

Gracias por la aclaración. Ya lo he pillado esta vez.

No uso ftp...... sftp o afp. Lo tengo capado en el Server.

.

luismif

05-abr-2012, 02:06

Yo te recomiendo que si el router te da problemas hagas una DMZ contra una maquina (preferentemente un linux) que haga de enrutador para la red y asi tener todo controlado desde una maquina alejada del server, o si no necesitas una configuracion tan avanzada, contra un router neutro y la red local colgada de este ultimo y ahi si tendras NAT.

S2!

SPTR

05-abr-2012, 02:11

yo te recomiendo que si el router te da problemas hagas una dmz contra una maquina (preferentemente un linux) que haga de enrutador para la red y asi tener todo controlado desde una maquina alejada del server, o si no necesitas una configuracion tan avanzada, contra un router neutro y la red local colgada de este ultimo y ahi si tendras nat.

S2!

+1

Boxer7

05-abr-2012, 19:05

luismif

05-abr-2012, 19:16

Gracias a ambos.....

Que conste que estaba dándole vueltas a esa posibilidad, pero no sabia si era viable, ya que Router neutro tengo (Time Capsule). De Linux no tengo ni idea (como de lo demás tampoco!).

Osea....DMZ contra el 2º Router (Time Capsule) , y de ahí abro los puertos necesarios al Server ?

Hola,

si, cambias la ip de lan del router de telefonica (por ejemplo, si ahora tienes la 192.168.1.1 pues la cambias a la 192.168.10.1) para asignarle al router que metes en medio la que tienes como lan local (supongo que la que tenia antes el de telefonica). En el router neutro nuevo le metes como ip de WAN la que quieras de la red 10.xxx (siguiendo mi ejemplo). DMZ en el de telefonica contra esa ip que asignas al router nuevo, con lo que todo el trafico pasa limpio al siguiente router y de ahi con el NAT que tiene este ultimo desvias el trafico como necesites.

S2!

Boxer7

05-abr-2012, 21:06

OK, perfecto. Le había asignado 192.168.2.1 y DMZ sobre 192.168.2.10 (Router neutro).
La nueva LAN, la antigua asignación 192.168.1.xxx

Ya estoy abriendo los puertos sobre el 2º Router.

:xray:

Boxer7

09-abr-2012, 20:57

luismif

10-abr-2012, 02:04

"Mi gozo en un pozo"

Mi router neutro, Time Capsule en este caso, protesta por que hay dos NAT "rulando", si elimino el NAT del Router de Telefónica, se corta el acceso a Internet.

Seguiré investigando....

Hombre, pues teniendo la DMZ activada el NAT deberia ser transparente. No conozco ese router en concreto, pero es raro. Tambien me tima que al desactivar el NAT del de telefonica te quedes sin acceso, pero son marcas que desconozco.

Boxer7

10-abr-2012, 08:07

Hombre, pues teniendo la DMZ activada el NAT deberia ser transparente. No conozco ese router en concreto, pero es raro. Tambien me tima que al desactivar el NAT del de telefonica te quedes sin acceso, pero son marcas que desconozco.

El de Telefónica es TELDAT iRouter1104-W.