Sugerencias para topología de red
-
Hola a todos.
quiero empezar con pfsense. Agradecería algún consejo sobre cual es la mejor topología de las aquí presentes en cuestión de seguridad.
se que hay muchas cuestiones involucradas en la configuración que deberé implementar en el pfsense, pero de entrada me iría muy bien conocer si alguna de estas configuraciones debería ser descartada, o si en cambio alguna es especialmente recomendable. Es para saber si mandar el Switch al reciclaje, no tengo claro si su presencia me puede sumar algo de seguridad o en cambio es simplemente un engorro
gracias!
-
La función de un switch no es dar seguridad, en principio. Es poder conectar varios equipos en red "estrella". Si el switch es administrable y admite VLAN entonces podríamos decir que ofrece seguridad porque podemos tener varias redes separadas entre sí. Los switches administrables también tienen algunas funcionalidades de control de tráfico pero no son ni enrutadores ni cortafuegos.
En cuanto al tomato veo que es un punto de acceso para wifi, http://www.polarcloud.com/tomato
Entonces, ¿qué tienes, todo clientes wifi o no?
-
hola!
no, la red es toda cableada y el switch es muy sencillo, no es administrable. Aunque es cableada uso el tomato por si eventualmente necesito conectar un wifi, pero por defecto el wireless está siempre apagado.
El tomato crea una subred despues de pf sense. Y por eso no tengo claro si el switch me puede sumar algo en la seguridad o lo contrario.
PCdescargas es el ordenador que tendrá muchos puertos abiertos para tráfico entrante. Entonces se pueden conectar los 3 ordenadores directamente al tomato para que él reparta el tráfico como en (1)(2)(3) o bien se puede usar el switch para dejar a PCdescargas fuera de la subred que crea tomato(4) .Pero mi duda con poner el switch es:
- ¿hay alguna diferencia real de seguridad entre (3) y (1)(2)?
- ¿la distribución (4) puede incrementar la seguridad?
- ¿la sóla presencia del switch puede afectar de algún modo en la seguridad del tráfico?. Es decir, ¿a pfsense o tomato no les suma ni resta seguridad que el tráfico de varios ordenadores les llegue físicamente desde un sólo un cable(usando el switch) o desde 3 cables distintos?.¿Dependerá sólo de una buena configuración o existe alguna diferencia aunque sea mínima?
Ya entiendo que todo lo de detrás de pfsense se debe considerar asegurado con una buena configuración, pero me pongo en un escenario de potenciales debilidades dependiendo de como esté montada la red. Entiendo que el tomato me hace una segunda línea de protección. Lo que no se, es si la presencia del switch puede afectar en algo o en nada.
muchas gracias por responder. La ayuda es agua de mayo
-
saludos, ya lo dijo el Master Ballera, el switch si no es administrable no ofrece un plus extra, creo que en la fig. 3 es donde tendrias la mejor opcion de seguridad, independientemente de como configures el Pfsense y tu Tomato. suerte
-
El pfSense es un enrutador y firewall.
-
si claro, se que es un enrutador y firewall. Lo que quiero es tener dos routers. La duda es porque pensaba que quizás debía existir alguna diferencia entre 3 cables directamente conectados al router o un sólo cable procedente de un switch con 3 PC. Supongo que el router no lo trabajará igual, una cosa es identificar los PC por los paquetes y otra por su conexión directa con el cable
pero a falta de explicación me imagino que finalmente no influye en más seguridad o menos. Si nadie lo nombra en ninguna parte supongo que será así.
gracias de todos modos,
-
Si tienes 3 PCs y lo que quieres es aislar cada uno de ellos entonces tendrías que montar pfSense con 3 LANs distintas. Pero en principio parece una seguridad paranoica, es decir, exceso de seguridad.
Cuando varias máquinas cuelgan de un switch no hay limitaciones (en principio) de tráfico entre ellas, salvo que tengan un cortafuegos (firewall) por software. Por ejemplo, con el cortafuegos de Windows se puede impedir que una máquina conteste a ping.
Si lo que te interesa es aislar el PC de descargas por ser una actividad problemática también lo podrías tener en una LAN específica para él, a modo de DMZ.
http://es.wikipedia.org/wiki/Zona_desmilitarizada_%28inform%C3%A1tica%29
Espero haberme explicado…
-
si, gracias :)
creo que optaré por la alternativa paranoica, con solo 3 equipos no me parece una complicación.
gracias de nuevo
