Instalando un nuevo cortafuegos

Bueno, ahora como cortafuegos tengo un viejete P100 con 1 GG de disco duro haciendo solo de cortafuegos, peor quiero cambiarlo, volver a la buena vida y tener en mi red Squid y una caché DNS.

La nueva máquina será un AMD K6-II con 192 de RAM y 12 GB de disco duro, uno de los cuales será destinado solamente a la caché del Squid. Bueno, lo primero:

¿Qué sistema operativo le pongo?
Creo que no hay dudas… Windows Server 2003 + ISA Server 2004 es el mejor. Me sale un 33% más barato que Linux, la instalación es un 70% más fácil, es mucho más seguro y además viene con IIS, que es un 276% más rápido que los servidores web de Linux, según cuentan algunas empresas que no tienen mejores cosas que hacer.

Dejando de lado las gilipolleces básicamente tenía que elegir entre Linux o no-Linux (*BSD, Hurd, Solaris, etc). He usado OpenBSD muy poco tiempo, también he usado muy poco FreeBSD y aunque no lo conozco tanto como Linux y por eso no obtendré un sistema tan seguro (Por ahora, ya profundizaré), usaré OpenBSD. ¿Por qué OpenBSD? Porque Linux tiene demasiados fallos y como un día leí en algún sitio, demasiados son 1 o más, y más que OpenBSD.

En fin, me he parado un rato leyendo unas cosas, acerca del ARP Poisoning y bueno, con un simple:

arpoison -i eth0 -d 10.0.0.3 -s 10.0.0.2 -t 00:40:F4:CE:8C:DD -r AA:BB:CC:DD:EE:EE

arpoison -i interface -d IP_Destino -s IP_Origen -t MAC_REAL_DE_LA_VICTIMA -r MAC_DE_MENTIRA

Si metemos las MAC a mano, teóricamnete sería invulnerable remotamente claro:

arp -i eth0 -s 10.0.0.2 00:11:2F:A6:EE:FF

He probado de nuevo con arpoison y sin resultado.

Bueno, Un artículo interesante.

A lo que iba, tengo que, sin desmontar todo probar el cortafuegos y todo, así que he pensado:

  1. Con 2 tarjetas ISA de 10 mbps en el cortafuegos nuevo, tener conectado por cable directo a las bocas 4 y 5 del switch respectivamente.
  2. En mi máquina, correr una máquina virtual. He pensado en Debian, en modo texto, con utilidades de dns, arp, monitor de red, y demás. Algún navegador como links2, también meteré wget y por otro lado, un servidor FTP, así pruebo el NAT y el modo pasivo. Creo que no se me olvida nada.
  3. Ahora, la idea es, desde la máquina virtual generar tráfico que entre por al interface conectada a la boca 4 y salga por la 5 y de ahí al P100 y a internet. Eso sería la salida, osea, si funciona el NAT el tráfico sería correcto, pero quiero tener servicios tras el cortafuegos, así que desde mi máquina conectaré mediante ftp al cortafuegos nuevo, ocupándose éste de redirigir la petición a la máquina virtual. No hay más, por si os parece poco.

Agur

3 Responses to “Instalando un nuevo cortafuegos”


  1. 1 alex 30 diciembre 2005 a las 22:05

    te recomiendo la primera opcion que das (W 2003), jeje

  2. 2 zarta 20 febrero 2006 a las 00:52

    Un cortafuegos en casa?? Siempre he tenido la ida de montar uno, pero me parece demasiado para casa, ya que entonces serían conectado un pc siempre (cortafuegos) y el pc que hace de servidor. Mucho consumo de enrgia para cosa buena.

  3. 3 Benedict Ash 20 julio 2006 a las 09:19

    Looks nice! Awesome content. Good job guys.


Comments are currently closed.



Las opiniones reflejadas en este blog son personales o ni siquiera son opiniones, y bajo ningún concepto representan las estrategias, opiniones o posturas de mi empresa actual, ni de ninguna en las que he trabajado, así como tampoco de ninguno de los clientes o proveedores de todas ellas.
La información se proporciona como está, sin garantías de ninguna clase, y no otorga ningún derecho. Los comentarios pertenecen a sus autores y bajo ningún concepto el autor del blog se hará responsable de los mismos.

Categorías

Archivos


A %d blogueros les gusta esto: