Cómo configurar un firewall interno

Navega tus respuestas
1

Espero obtener algunos consejos sobre un proyecto que me pidieron que cuide en el trabajo. Yo hago todo el TI para una pequeña empresa que se encuentra dentro de una corporación más grande. Necesitamos evitar el acceso a ciertos sitios web para nuestro pequeño grupo, así que básicamente necesito configurar un firewall dentro de la infraestructura de la compañía más grande.

La compañía más grande va a configurar una VLAN por separado para nosotros, sin embargo, no quieren usar su equipo de firewall para realizar el filtrado real, por lo que necesito configurar el filtrado yo mismo. Tengo un servidor de reserva a mi disposición, así que espero lograr esto con un software (preferiblemente basado en Linux, ya que generalmente es barato / gratis y soy bastante bueno con Linux) en lugar de un dispositivo de hardware si es posible. Supongo que básicamente lo que necesito es un servidor de seguridad que actuará como puerta de enlace entre nuestro pequeño grupo y el servidor de seguridad de la corporación que luego llevará a Internet. También espero seguir utilizando el servidor DHCP de la compañía más grande para dar servicio a nuestras direcciones IP (si es posible pasar a través del firewall). Por último, tendré que poder filtrar sitios web según la dirección MAC que intenta acceder al sitio web.

Si alguien puede ofrecer consejos sobre qué software de firewall sería mejor usar en este escenario, eso sería muy apreciado. También estoy buscando consejos sobre la mejor manera de estructurar la red ... si continuamos usando su DHCP, si configuramos el nuestro, si usamos nuestro propio servidor DHCP, ¿cómo podemos evitar que sirva la dirección a otros usuarios? en otras VLAN? Soy bastante decente con las cosas de la red, simplemente nunca trabajé en un entorno con VLAN (conozco los conceptos básicos de las VLAN, pero eso es todo).

Gracias de antemano por cualquier ayuda, Harry

    
pregunta Harry Muscle 15.07.2012 - 07:52
fuente

3 respuestas

3

Primero en responder la pregunta de DHCP. DHCP funciona mediante el envío de una transmisión en una red, lo que significa que si el servidor DHCP puede escuchar la transmisión de un cliente (Descubrimiento de DHCP), el cliente y el servidor pueden negociar una dirección IP.

En su caso, se sentará en otra VLAN desde el servidor DHCP, por lo que efectivamente será una subred independiente. Teniendo esto en cuenta, si su subred es 192.168.1.0/24 y el servidor DHCP de la compañía se encuentra en 192.168.2.0/24, su cliente no podrá comunicarse con el servidor DHCP utilizando la transmisión de la red. Esto significa que, de manera realista, tiene la libertad de configurar un servidor DHCP para que sirva el rango de direcciones IP adecuado sin transmitir posteriormente al resto de la red.

Ahora es posible configurar una retransmisión DHCP en su enrutador que pasará el tráfico DHCP entre sus clientes y el servidor DHCP de la compañía más grande, si realmente lo desea, esta es una decisión para usted sobre cómo desea administrar las direcciones IP en su red.

En cuanto a la opción de firewall, mi preferencia es optar por una opción de Linux iptables y squid proxy. Puede reenviar el tráfico web de forma transparente a un proxy de calamar, esto es posible utilizando iptables:

enlace

En segundo lugar, desea filtrar por dirección mac. Squid soporta esto con ACL's:

enlace

    
respondido por el xpn-security 15.07.2012 - 12:05
fuente
1

Lo que puedes hacer es comprar un enrutador de hardware y usar un firewall de software, si realmente lo deseas. Esto funciona bastante bien. Si desea ahorrar dinero, puede usar un enrutador barato de 10GBps (pero mejor con la tabla ARP de un mínimo de 1024 entradas). El problema es que su empresa crecerá con el tiempo y que necesitará más y más datos para cambiar entre sus dispositivos, es posible que también deba dividirlos en diferentes vlans.

El firewall actúa solo como una puerta de enlace de Internet, por lo que es de hasta 1GBps. Necesitas la última generación de máquinas para manejar el reenvío de 1GBps usando Linux (como la máquina de núcleo pre-dual @ 3GHz tiene solo 200MBps).

Másadelante,puedesactualizarelconmutadordeestamanera:

El cambio de hoy con enlace ascendente de 10 GBps y chasis virtual es un requisito mínimo. Está disponible casi en todos los proveedores, excepto en los más baratos, como Dell (tienen apilamiento, pero no es un chasis virtual, y de todos modos es poco fiable).

También puede actualizar Vyatta a clúster, usando el modo HA.

Detodosmodos,serecomiendautilizarunfirewalldehardware.Lassolucionesdesoftwaresonbuenasparalanubeprincipalmente.Vyattaseríaunaexcepciónporquetienecaracterísticasdesolucionesdehardware,comolainterfazdeconfiguraciónatravésdelalíneadecomandos,dondeseconfiguratododesdeunaúnicainterfazunificada.TambiénhaySQUID.Snortfuedesaprobadoporqueseestabadesacelerando,sinembargo,estotambiénesalgonecesariosiejecutaserviciosorientadosaInternet.

LafunciónprincipaldeVyattaesproporcionarreenvío,inspeccióndepaquetesconestadoyNAT,asícomoproxyweb.Sinecesitaescaneodecorreoyotrascaracterísticas,puedeconfigurarmáquinasvirtualesconSpamAssassin,tambiénpuedeconfigurarlamáquinaconSnort,peronoempaquetodoenunapequeñaunidad.Inclusoestoproporcionaseguridad,fallaenlaestabilidadyelrendimiento.

Además,cuandocomprehardwareparafirewall,asegúresedequetengaPCIeylaredintegradadirectamenteconectadasalaCPUynoatravésdeotrochip.ElsistemabasadoenelpuentearenosodeIntelesmínimo,eslomismoquelastarjetasdedicadasconaceleración,etc.,quenofuncionandeestamaneraconningúnfirewalldesoftware,porloquesideseausarsupropiofirewall,debeasegurarsedequecoincidiráconelrendimientodeotro"hardware" uno, que en realidad es un software la mayor parte del tiempo, con una arquitectura diferente a la de una PC típica.

... así que incluso la máquina de un solo núcleo y de baja potencia manejará incluso 10GBps sin ningún problema, ya que la sobrecarga es muy pequeña. Se recomienda la tarjeta Intel porque tiene muy buenos controladores. Es posible que incluso tengas que sintonizarlos un poco si haces muchas conexiones a alta velocidad (para habilitar RSS y aumentar los buffers).

    
respondido por el Andrew Smith 15.07.2012 - 11:42
fuente
1

Si todo lo que buscas es restringir el acceso a ciertos sitios web, parece que quieres un servidor proxy y no un firewall.

Puedes intentar configurar iptables en linux si quieres un firewall.

    
respondido por el Ayrx 15.07.2012 - 07:56
fuente

Lea otras preguntas en las etiquetas

¿Cómo verificar que un objeto generado por el lado del cliente es genuino? ¿Cuál sería una buena manera de garantizar la seguridad del robo y la pérdida de datos confidenciales en un rack compartido?