Soluciones perimetrales en una sola maquina --> Filtrado de paquetes, Proxy Firewall de Aplicaciones, Sockes, IDS, Traffic Shapping, Scheduling, proxy-cache, Antivirus, Antispam, etc ..
Todo en uno, ese debería ser el titulo único de esta entrada, y es que cada vez es mas común encontrar soluciones que en una sola maquina corren muchos de los Servicios de Red que las pequeñas y medianas empresas necesitan (Pyme) servidores de correo, DNS, DHCP, Files server, VoIP, las soluciones perimetrales mencionadas arriba, etc.
Estas soluciones son casi siempre la respuesta a las necesidades de las Pyme, que a un costo mas bajo de inversión y soporte consiguen aliviar su inevitable dependencia de las Tecnologías de la Información y la Comunicación. Esta dependencia es común a cualquier idea de negocio que quiera sobrevivir a las reglas de juego en los mercados actuales, en donde es innegable la importancia de las TICs para alcanzar el éxito o mantenerlo; sin embargo es en las Pymes en donde tienen, no quizás un mayor impacto, pero si una importancia transcendental a la hora de competir y mantenerse a través del aprovechamiento de las ventajas comerciales de las Pymes: la versatilidad y la personalización. Es por todo esto que hacemos este análisis, en donde en breves palabras hacemos observaciones importantes a esta practica común: all-in-one.
Soluciones all-in-one
Una solución común all-in-one de servicios de red para una Pyme, incluye servicios como Filtrado de Paquetes, Proxy-web y proxy-cache, Antivirus, DNS, correo, y (cada vez mas común) Voip. Inicialmente podemos hacer una separación arbitraria entre los servicios de seguridad y los servicios de infraestructura:
Todo en uno, ese debería ser el titulo único de esta entrada, y es que cada vez es mas común encontrar soluciones que en una sola maquina corren muchos de los Servicios de Red que las pequeñas y medianas empresas necesitan (Pyme) servidores de correo, DNS, DHCP, Files server, VoIP, las soluciones perimetrales mencionadas arriba, etc.
Estas soluciones son casi siempre la respuesta a las necesidades de las Pyme, que a un costo mas bajo de inversión y soporte consiguen aliviar su inevitable dependencia de las Tecnologías de la Información y la Comunicación. Esta dependencia es común a cualquier idea de negocio que quiera sobrevivir a las reglas de juego en los mercados actuales, en donde es innegable la importancia de las TICs para alcanzar el éxito o mantenerlo; sin embargo es en las Pymes en donde tienen, no quizás un mayor impacto, pero si una importancia transcendental a la hora de competir y mantenerse a través del aprovechamiento de las ventajas comerciales de las Pymes: la versatilidad y la personalización. Es por todo esto que hacemos este análisis, en donde en breves palabras hacemos observaciones importantes a esta practica común: all-in-one.
Soluciones all-in-one
Una solución común all-in-one de servicios de red para una Pyme, incluye servicios como Filtrado de Paquetes, Proxy-web y proxy-cache, Antivirus, DNS, correo, y (cada vez mas común) Voip. Inicialmente podemos hacer una separación arbitraria entre los servicios de seguridad y los servicios de infraestructura:
- Servicios de Seguridad --> Filtrado de paquetes (Stateful inspection), Proxy-cache, proxy-web, Antivirus
- Servicios de Infraestructura --> DNS, Servidores de correo, DHCP, VoIP
De esta primera clasificacion extraemos la primera observacion importante, la seguridad:
Los servicios de infraestructura estan al mismo nivel que los servicios de seguridad, de cara al mundo exterior. Sin embargo es necesario aclarar que este nivel es solo fisico, ya que es posible definir diferentes niveles logicos en la ejecucion de estos servicios, por ejemplo, defiinir reglas de acceso que permitan el acceso a los servcios de infraestructura solo desde la interfaz de red en la Red LAN o dirigir inicialmente a los paquetes a traves de los servcios de seguridad para luego reenviarlos a los servicios de einfraestructura (Antivirus --> Antispam --> Correo). Este unico nivel obliga a tener mayor cuidado a la hora de configurar lo servicios y definir las reglas de acceso a la maquina all-in-one, por ejemplo:
- Servicios de red escuchado (LISTEN) solo en las interfaces de la Red en donde presten Servicio
- Reglas de acceso para las interfaces y redes autorizadas para el Servicio
- permitir el encanamiento IP desde las redes seguras
- permitir el trafico web (ftp, http y dns) hacia la red WAN
- permitir el trafico desde las redes seguras hacia los puertos de administracion de Firewall
- permitir el trafico generado en la maquina local (el Firewall)
- y fiiltrar por defecto todo lo que no se permita explicitamente
Estas reglas podrian ser suficientes, pero entonces es necesario abrir los puertos de las aplicaciones que corren en esta maquina, y ahi empiezan los problemas:
- Se abren puertos sin especificar la interfaces especificas en donde deben escuchar las aplicaciones, por ejemplo en la interfaz LAN para el sistema VoIP.
- No se especifica la direccion del trafico permitido a estas aplicaciones. En direccion al Localhost, a la red Local, a las redes Externas?; desde el Localhost, desde la red Local, desde las redes Externas?.
Y este se agraba si nuevos servicos son anadidos a la maquina bastion (el Firewall) despues de la configuracion inicial, pues despues solo se suele tener en cuenta el funcionamiento de las aplicaciones, relegando la seguridad a un segundo plano o asumiendo que la configuración inicial de seguridad es suficiente para el sistema.