Arquitectura física: Dos firewall
- Montijeño
- PreparaTIC26
- Mensajes: 203
- Registrado: 05 Nov 2016, 08:25
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Arquitectura física: Dos firewall
Buenos días!
Toda la razón, anai. Menos mal que el examen será por la mañana, se ve que estoy más lúcido que por la tarde.
Ayer, supongo que ya nublado de tanta VLAN y tanto calor, no me fijé bien en el diagrama y vi un FW de más, de ahí que propusiera la conexión hacia SARA desde el subsistema de seguridad externo, pensando que se trataba del interno. Mis disculpas, grave error.
Como fallemos en la arquitectura física este año es pa colgarnos de los pulgares jejeje.
Saludos a todos y mil gracias por todas las aportaciones!
Toda la razón, anai. Menos mal que el examen será por la mañana, se ve que estoy más lúcido que por la tarde.
Ayer, supongo que ya nublado de tanta VLAN y tanto calor, no me fijé bien en el diagrama y vi un FW de más, de ahí que propusiera la conexión hacia SARA desde el subsistema de seguridad externo, pensando que se trataba del interno. Mis disculpas, grave error.
Como fallemos en la arquitectura física este año es pa colgarnos de los pulgares jejeje.
Saludos a todos y mil gracias por todas las aportaciones!
-
- PreparaTIC26
- Mensajes: 48
- Registrado: 02 Mar 2009, 10:11
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Arquitectura física: Dos firewall
Más sobre esto y teniendo ya claro que a SARA se llega mediante doble barrera de FW (gracias @anai):
No sé qué pensar... ¿alguna idea?
Repasando las medidas del ENS (¡dolor!) me he encontrado con esto:palindromo escribió: ↑07 Jul 2018, 20:11....Hoy se ha hablado de esto en la sesión. Parece una práctica habitual, aunque creo que no obligatoria, separar la red de usuarios de la red de datos, y considerar, de facto, a los usuarios, como a los usuarios externos en esa situación. No me parece una mala práctica, la verdad. Cualquiera sabe qué puede entrar desde la red de usuarios, así que mejor que no contamine los datos de negocio.
Hasta aquí entiendo que están hablando de una VLAN por segmento, sin problema. Pero sigue:5.4.4 Segregación de redes [mp.com.4].
La segregación de redes acota el acceso a la información y, consiguientemente, la propagación de los incidentes de seguridad, que quedan restringidos al entorno donde ocurren.
Categoría ALTA
La red se segmentará en segmentos de forma que haya:
a) Control de entrada de los usuarios que llegan a cada segmento.
b) Control de salida de la información disponible en cada segmento.
Y resulta que en [mp.com.1] hablan directamente de un cortafuegos para categoría baja y dos redundados para media y alta... ¿Quiere esto decir que hay que poner un FW por VLAN? ¿No es excesivo? ¿Soy yo o nos estamos volviendo todos locos?c) Las redes se pueden segmentar por dispositivos físicos o lógicos. El punto de interconexión estará particularmente asegurado, mantenido y monitorizado (como en [mp.com.1]).
No sé qué pensar... ¿alguna idea?
- anai
- PreparaTIC25
- Mensajes: 210
- Registrado: 06 May 2013, 18:59
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Arquitectura física: Dos firewall
Hola:
Sin ser una experta en redes creo que se puede poner en un mismo firewall junto con su redundado, soporte para las distintas Vlan de ese nivel o bien el punto de interconexión podría referirse a un switch con el mismo propósito.
No es típico que se dibujen todos los elementos de red en el diagrama porque en realidad no hay mucho tiempo.
Igual alguien que haya trabajado más el tema redes puede concretar al respecto.
Saludos
Sin ser una experta en redes creo que se puede poner en un mismo firewall junto con su redundado, soporte para las distintas Vlan de ese nivel o bien el punto de interconexión podría referirse a un switch con el mismo propósito.
No es típico que se dibujen todos los elementos de red en el diagrama porque en realidad no hay mucho tiempo.
Igual alguien que haya trabajado más el tema redes puede concretar al respecto.
Saludos
- palindromo
- Usuario registrado
- Mensajes: 555
- Registrado: 21 Abr 2018, 15:05
- Ubicación: Madrid
- Agradecido: 7 veces
- Agradecimiento recibido: 9 veces
Re: Arquitectura física: Dos firewall
Efectivamente, en la medida en que un equipo físico tenga bocas de red diferenciadas y capacidad de proceso, con un solo equipo (o par de ellos, por lo de la redundancia) se puede dar servicio a varias VLAN. Pero se presentan separados en los dibujos para delimitar mejor la topología de la red. Lo mismo se puede decir con respecto a los switches.
Desde la barrera.
- georgesperec
- PreparaTIC XXIII
- Mensajes: 65
- Registrado: 06 Oct 2011, 17:01
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Arquitectura física: Dos firewall
Como dicen Anai y Palíndromo, con un firewall (o un cluster de dos, por redundancia) puedes filtrar muchas vlanes, dependiendo de la combinación throughput/número de puertos. Por ejemplo, en una sede grande es normal que puedas tener muchos usuarios y varias vlanes de usuarios; aquí, una configuración típica sería que esas vlanes terminaran en un switch de core, el cual subiría luego hasta el firewall. La clave aquí estaría en dónde tienen el nivel 3 esas vlanes. Si lo tienen en el switch de core, no tienes posible barrera para cortar en caso de incidente de seguridad, y todos los usuarios podrían verse afectados. Si, por el contrario, subes el nivel 3 de esas vlan al firewall (lo cual puede ser especialmente útil si se activa el ips en el firewall), puedes lograr que el incidente se seguridad se quede en la vlan donde esté el equipo con problemas, y que este no pase a los usuarios del resto de vlan. Esta es la principal ventaja, y aquí puede estar la mayor duda. Que entre usuarios y vlanes de servidores tiene que haber firewall parece claro (porque el peligro muchas veces viene de los usuarios propios), sería un mínimo, y la duda está en si filtrar o no a los usuarios. Esto al final dependerá de la arquitectura, requisitos de seguridad o potencia del firewall, como comentaba antes, y lo que sí se suele hacer es llevar ahí las vlanes a nivel lógico. No parece muy viable llevar físicamente cada vlan a un puerto del firewall, porque los puertos de firewall son caros y escasos, así que se llevan a un switch, que para eso están, y desde ahí se suben las vlan en trunk hasta el cluster interno de firewalls, utilizando, esto siempre, al menos un par de enlaces (para tener redundancia y disponer de más ancho de banda, más adaptado al total) que pueden estar agregados en LACP (mediante, por ejemplo, los típicos port-channel o virtual port-channels de Cisco). Pero bueno, me estoy metiendo en cosas demasiado técnicas para este examen. Con la idea general y tener claros los conceptos básicos yo diría que es más que suficiente. Ánimo, que os queda el último empujón!!
-
- PreparaTIC27
- Mensajes: 130
- Registrado: 30 Ago 2017, 11:48
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Arquitectura física: Dos firewall
Sólo una aclaración, el FW como bien dices hace de nivel 3, por tanto NO filtra vlan (como indicas al comienzo), filtra IPs. Nunca he visto un FW haciendo de nivel 2 y además no tiene sentido. La estructura típica es FW (nivel 3) + switch (Nivel 2) + Router (Nivel 3).georgesperec escribió: ↑14 Jul 2018, 00:52Como dicen Anai y Palíndromo, con un firewall (o un cluster de dos, por redundancia) puedes filtrar muchas vlanes, dependiendo de la combinación throughput/número de puertos. Por ejemplo, en una sede grande es normal que puedas tener muchos usuarios y varias vlanes de usuarios; aquí, una configuración típica sería que esas vlanes terminaran en un switch de core, el cual subiría luego hasta el firewall. La clave aquí estaría en dónde tienen el nivel 3 esas vlanes. Si lo tienen en el switch de core, no tienes posible barrera para cortar en caso de incidente de seguridad, y todos los usuarios podrían verse afectados. Si, por el contrario, subes el nivel 3 de esas vlan al firewall (lo cual puede ser especialmente útil si se activa el ips en el firewall), puedes lograr que el incidente se seguridad se quede en la vlan donde esté el equipo con problemas, y que este no pase a los usuarios del resto de vlan. Esta es la principal ventaja, y aquí puede estar la mayor duda. Que entre usuarios y vlanes de servidores tiene que haber firewall parece claro (porque el peligro muchas veces viene de los usuarios propios), sería un mínimo, y la duda está en si filtrar o no a los usuarios. Esto al final dependerá de la arquitectura, requisitos de seguridad o potencia del firewall, como comentaba antes, y lo que sí se suele hacer es llevar ahí las vlanes a nivel lógico. No parece muy viable llevar físicamente cada vlan a un puerto del firewall, porque los puertos de firewall son caros y escasos, así que se llevan a un switch, que para eso están, y desde ahí se suben las vlan en trunk hasta el cluster interno de firewalls, utilizando, esto siempre, al menos un par de enlaces (para tener redundancia y disponer de más ancho de banda, más adaptado al total) que pueden estar agregados en LACP (mediante, por ejemplo, los típicos port-channel o virtual port-channels de Cisco). Pero bueno, me estoy metiendo en cosas demasiado técnicas para este examen. Con la idea general y tener claros los conceptos básicos yo diría que es más que suficiente. Ánimo, que os queda el último empujón!!
- georgesperec
- PreparaTIC XXIII
- Mensajes: 65
- Registrado: 06 Oct 2011, 17:01
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Arquitectura física: Dos firewall
Sí, totalmente, me he expresado mal. Lo que quería decir era poner el nivel 3 de las vlan en el firewall en vez de en un switch de capa 3, como está en algún que otro sitio . Con lo de filtrar tenía en mente a los usuarios, porque de esta forma se pueden filtrar, cosa que no ocurre si pones la capa 3 de sus vlan en un switch, por ejemplo. Gracias por la aclaración!