Instalando un nuevo cortafuegos
Bueno, ahora como cortafuegos tengo un viejete P100 con 1 GG de disco duro haciendo solo de cortafuegos, peor quiero cambiarlo, volver a la buena vida y tener en mi red Squid y una caché DNS.
La nueva máquina será un AMD K6-II con 192 de RAM y 12 GB de disco duro, uno de los cuales será destinado solamente a la caché del Squid. Bueno, lo primero:
¿Qué sistema operativo le pongo?
Creo que no hay dudas… Windows Server 2003 + ISA Server 2004 es el mejor. Me sale un 33% más barato que Linux, la instalación es un 70% más fácil, es mucho más seguro y además viene con IIS, que es un 276% más rápido que los servidores web de Linux, según cuentan algunas empresas que no tienen mejores cosas que hacer.
Dejando de lado las gilipolleces básicamente tenía que elegir entre Linux o no-Linux (*BSD, Hurd, Solaris, etc). He usado OpenBSD muy poco tiempo, también he usado muy poco FreeBSD y aunque no lo conozco tanto como Linux y por eso no obtendré un sistema tan seguro (Por ahora, ya profundizaré), usaré OpenBSD. ¿Por qué OpenBSD? Porque Linux tiene demasiados fallos y como un día leí en algún sitio, demasiados son 1 o más, y más que OpenBSD.
En fin, me he parado un rato leyendo unas cosas, acerca del ARP Poisoning y bueno, con un simple:
arpoison -i eth0 -d 10.0.0.3 -s 10.0.0.2 -t 00:40:F4:CE:8C:DD -r AA:BB:CC:DD:EE:EE
arpoison -i interface -d IP_Destino -s IP_Origen -t MAC_REAL_DE_LA_VICTIMA -r MAC_DE_MENTIRA
Si metemos las MAC a mano, teóricamnete sería invulnerable remotamente claro:
arp -i eth0 -s 10.0.0.2 00:11:2F:A6:EE:FF
He probado de nuevo con arpoison y sin resultado.
Bueno, Un artículo interesante.
A lo que iba, tengo que, sin desmontar todo probar el cortafuegos y todo, así que he pensado:
- Con 2 tarjetas ISA de 10 mbps en el cortafuegos nuevo, tener conectado por cable directo a las bocas 4 y 5 del switch respectivamente.
- En mi máquina, correr una máquina virtual. He pensado en Debian, en modo texto, con utilidades de dns, arp, monitor de red, y demás. Algún navegador como links2, también meteré wget y por otro lado, un servidor FTP, así pruebo el NAT y el modo pasivo. Creo que no se me olvida nada.
- Ahora, la idea es, desde la máquina virtual generar tráfico que entre por al interface conectada a la boca 4 y salga por la 5 y de ahí al P100 y a internet. Eso sería la salida, osea, si funciona el NAT el tráfico sería correcto, pero quiero tener servicios tras el cortafuegos, así que desde mi máquina conectaré mediante ftp al cortafuegos nuevo, ocupándose éste de redirigir la petición a la máquina virtual. No hay más, por si os parece poco.
Agur
Escrito por Gura 
28.Dec.05 y almacenado en las caterorías *BSD, OpenBSD, Redes.
También puede escribir un comentario, o referenciar esta entrada (trackback) desde su web.
te recomiendo la primera opcion que das (W 2003), jeje
Un cortafuegos en casa?? Siempre he tenido la ida de montar uno, pero me parece demasiado para casa, ya que entonces serían conectado un pc siempre (cortafuegos) y el pc que hace de servidor. Mucho consumo de enrgia para cosa buena.
Looks nice! Awesome content. Good job guys.