El 17/03/2011 7:27, Alberto García Fumero escribió:
La configuración que a mí me gustaría (no necesariamente es la que esté usando, que no soy quien manda aquí)es dejar todos los servidores bien dentro de la DMZ con una dirección privada, y encaminar con iptables todas las solicitudes de servicios que vengan de afuera hacia las máquinas respectivas. Ejecución diaria de scripts de tiger, chkrootkit y "demases" (plural de "demás") en la máquina pasarela. Instalación de OSSEC teniendo esa máquina pasarela como cliente y como servidor una máquina de administrador dentro de la red.
Desde ya empezaremos a estudiar esta opcion.
La navegación separada en dos acl, una para internacional y otra para nacional. La internacional no solo estaría regulada por la IP del equipo, sino además por contraseña.
Asi mismo lo tenemos configurado en nuestro organismo central y es lo que pensamos hacer en esta dependencia.
Dar direcciones IP fijas a las máquinas que pueden enviar correos, regulando con los mecanismos de Postifx cuáles son, y si es posible, las demás máquinas que solo trabajen con servicios internos y no tengan nada que hacer afuera ponerlas con IP fijas en otro tramo de red o servirles direcciones dinámicas si son demasiadas, igualmente en otro tramo de red. Y cualquier otra cosa que la paranoia nos dicte... ;-)
Igualmente asi esta en el organismo central, a diferencia que las maquinas que envian correos estan configuradas por DHCP, pregunto, cuales son los riesgos de tener esas maquinas por DHCP? ya que usted sugiere IP fijas para ellas especificamente y para el resto DHCP,
gracias por las sugerencias y por responder, saludos, -- Michael González Medina Administrador de Red Linux User #530254 Centro Nacional de Sanidad Vegetal CNSV ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
