[HACK] Firewall hardware

Martin Hoz mhoz at gama.fime.uanl.mx
Mon Apr 2 07:05:15 CEST 2001


> >De entrada, creo que hay que aclarar que un router que sea solamente
> >hardware no existe. Lo que existen, son equipos altamente especializados
> 
>  Vaaaale. Es evidente. Pero creo que todo el mundo (incluido tú)
> entendió lo que quería decir, ¿verdad? Tb se habla de "balanceador

Sip. El punto es que tu y yo (y probablemente la mayor parte de la
lista) sabe que es asi, sin embargo, a medida que se usa mas el
termino gana popularidad, y luego mucha gente lo cree (Especialmente
los no tecnicos que lo escuchan). Y luego sucedera lo que sucede
con el termino "hacker". En fin, solo punto de vista. :-)

>  ¿Qué me aconsejarías para un PoP (punto de presencia) de unas 10
> máquinas? Es importante protegerlo, porque ofrecerá soluciones
> e-business, entre otras cosas. Si hay HA de por medio, pues mejor que
> mejor. No necesito nada de antivirus ni similar. Me gustaría algo más
> o menos completo (que te permita crear reglas de filtrado complejas,
> si llegara el caso pero tampoco que sea la cosa más difícil del
> mundo), que permita sacar ciertas estadísticas (throughput, paquetes
> bloqueados, y cosas así), ante todo que sea robusto y de forma
> opcional (según precio, habría que estudiarlo) que incluya algo de
> IDS. La cosa es "de veras", como tu lo llamas ;-)

Si yo fuera, me quedaba con una solucion comercial. Porque donde
hay e-bussiness seguramente no queda la cosa en solo un firewall
con IDS y HA. Al rato habra que implantar VPN client-to-site para 
cuando las sesiones pasen trafico sensible, y recuerda que cuando 
es client-to-site tienes grandes probabilidades de que el cliente 
tenga Windows, entonces tienes que asegurarte soporte para eso. 
Al rato habra necesidad de administrar ancho de banda para
darle prioridad a ciertas conexiones. Y sobre todo, tu como
implementador tienes que asegurarte que no sea un dolor de cabeza
administrar todo eso (que un cambio lo puedas hacer en poco tiempo,
que las conexiones no se pierdan cuando ocurre un failover en el HA,
que puedas sacar reportes de manera rapida en tiempo real). Recuerda
que todo eso son requerimientos de negocios para tus clientes. :-)

 
>  BTW (pasando a soluciones más "caseras") ...
> 1) ¿Como veis de robusto un Linux 2.2.19 con ipchains + snort?

Es bueno.

> 2) Idem con 2.4.2 + iptables + snort

Todavia mejor. :-)


>  En funcionalidad sup que está claro que preferiría iptables a
> ipchains, pero como el 2.4.2 está menos rodado tengo mis dudas....
> quizás no sea demasiado recomendable poner un 2.4.2 en un sistema en
> producción. ¿Qué opinais?

Lo recomendable siempre sera lo que *tu* como implementador sienta
que puede soportar. Al menos esa es la regla general de las soluciones
con software libre. Si tienes tu mas "horas de vuelo" con ipchains y
crees hacerlo mejor, adelante. Si crees que iptables lo podras soportar
ante un eventual problema, adelante. :-) Al fin y al cabo, con quien
el usuario final se va a quejar si algo pasa es contigo... ;-)

Saludos.

-- 
Martin Humberto Hoz Salvador 
I. E. C.
EX-A-FIME 
http://gama.fime.uanl.mx/~mhoz

"Daddy, why doesn't this Magnet pick up this Floppy Disk ?"



More information about the hacking mailing list