FIREWALL ASA 5505

Iniciado por faca88, 23 Marzo 2010, 17:09 PM

0 Miembros y 1 Visitante están viendo este tema.

faca88

Hola a todos!!

En estos momentos me encuentro adecuando un firewall cisco asa 5505 a la red de la empresa donde trabajo, en donde la idea principal es aislar el servidor web en una DMZ.

mi pregunta es:

Al momento de aislar el servidor web se debe aislar con una direccion ip diferente, es decir se debe segmentar la red interna a fin de configurar el servidor en la DMZ?..

O hay alguna forma de implementar el firewall sin necesidad de modificar el direccionamiento de la red, para aislar el servidor?...

Agradezco su ayuda...


skapunky

Para aíslar la web a un servidor en una zona desmilitarizada, debería tener IP pública ya que las privadas són para subredes "internas" es decir, que tengas desde el exterior accéso.
Killtrojan Syslog v1.44: ENTRAR

faca88

Muchas gracias por responder skapunky

Mira lo que pasa es que estoy configurando el firewall asa de acuerdo a sus interfaces principales (inside, outside, DMZ). En la red interna de la empresa se encuentra el servidor web, con su direccion privada y su direccion publica, para la salida a internet.

Al momento de configurar el servidor en la interfaz que provee el cisco asa 5505 para la DMZ, debo de cambiar su direccionamiento para tener una mejor securizacion de este, esta es mi duda, ya que he intentado configurarlo con la misma direccion privada y nada.

por ejemplo

inside
192.x.x.x

outside
200.x.x.x

DMZ
192.x.x.8 Direccion ip del servidor.

Cuando estoy configurando cada interfaz del firewall me pide la direccion de red pertenecientes para cada una (inside, outside,DMZ), el problema es que no puede ser la misma direccion de red para la DMZ y para la inside, es por esto que mi duda es si se debe segmentar la red interna a fin de obtener una subred para poder aislar el servidor web..

Agradezco su ayuda...

 

skapunky

Haber, donde está el servidor y la parte privada, las ip's las pones tu (recuerda usar las IP's reservadas para redes privadas, hay un rango). La web evidentemente debe ir con IP pública y en la zona desmilitarizada porque sinó nadie podría visitarla. Deberías tener en cuenta:

1º Configuración correcta del firewall, cierra puertos para prevenir conexiónes a la red privada, también las salientes...

2º Que la web sea segura a nivel de programación y todo los archivos alojados en el host.
Killtrojan Syslog v1.44: ENTRAR

alex_9r

Tienes que definir efectivamente los 3 ambientes  tu inside es tu LAN tal cual por ejemplo direccion de clase C /24, la DMZ es también una red privada por ejemplo clase B/24, pero aqui viene lo bueno, las direcciones IP de tus servidores de DMZ, tendras que hacerles una traslacion estatica y aplicar mediante listas de acceso, quienes o quien puede ver o no.  y esas ips de dmz, tendras que definir por otro nat, con tus direcciones ip de tu lan de servidores, para que los proveedores o los externos no conozcan tu direccionamiento interno

SALUDOS

Mobiplayer

Cita de: alex_9r en 20 Junio 2012, 04:07 AM
Tienes que definir efectivamente los 3 ambientes  tu inside es tu LAN tal cual por ejemplo direccion de clase C /24, la DMZ es también una red privada por ejemplo clase B/24, pero aqui viene lo bueno, las direcciones IP de tus servidores de DMZ, tendras que hacerles una traslacion estatica y aplicar mediante listas de acceso, quienes o quien puede ver o no.  y esas ips de dmz, tendras que definir por otro nat, con tus direcciones ip de tu lan de servidores, para que los proveedores o los externos no conozcan tu direccionamiento interno

SALUDOS

Hola,

No veo la ventaja de hacer un NAT entre la DMZ y la LAN. Ocultas tu direccionamiento interno, ok; pero ¿qué más da? estás haciendo NAT estático e igualmente sabrán como alcanzar tu servidor... De eso se trata y por eso lo tienes en un segmento diferente ¿no? Solo veo útil ese tipo de NAT si vas a montar una VPN para algún proveedor/cliente y hay solapamiento de direccionamiento.

Saludos!