Todas estas decisiones de diseño implican un estudio de las alternativas disponibles:
- a nivel de hardware: switch, hub, router, balanceador, etc
- a nivel de software: sistema operativo, monitorización, balanceo, etc.
Las diferentes subredes (backbones) hacen de enlace entre máquinas. Se pueden crear simplemente con un switch (http://es.wikipedia.org/wiki/Conmutador_(dispositivo_de_red)), router (http://es.wikipedia.org/wiki/Router) o hub (http://es.wikipedia.org/wiki/Concentrador).
Es sumamente importante configurar una zona segura en la red del sistema. Es lo que se llama zona desmilitarizada o DMZ (demilitarized zone). Se trata de un área restringida o aislada, y totalmente controlada. La idea es controlar los servicios y aplicaciones ofrecidos a otras redes externas al DMZ.
Existen varias alternativas para conectar la granja web a otras redes:
1. Configuración sin DMZ
2. Configuración de DMZ simple
3. Configuración de DMZ tradicional
4. Configuración de DMZ doble
La estructura recomendada finalmente es la configuración de DMZ doble que se muestra a continuación:
Es la configuración más segura:
- El DMZ tiene un front-rail y un back-rail.
- El delantero es un segmento de red conectado a Internet.
- Los servidores quedan protegidos con el cortafuegos.
- El trasero está conectado a la subred interna (segura), y protegido con otro cortafuegos.
Para realizar esta configuración se necesitan máquinas con doble conexión al fron-rail y back-rail:
- Requiere doble tarjeta de red
- Adecuado para acceder a Internet y servidores internos
- Configuración para servidores HTTP, SMTP, POP3, FTP, etc
- Ofrecen servicios hacia Internet y a las subredes seguras
También máquinas con conexión sólo al front-rail:
- Requiere sólo una tarjeta de red
- Adecuado para acceder sólo a Internet
- Los servicios ofrecidos quedan aislados
- Configuración para servidores HTTP, SMTP, POP3, FTP, etc
- Ofrecen servicios hacia Internet
Y por último máquinas con conexión sólo al back-rail:
- Requiere sólo una tarjeta de red
- Para servidores que no necesitan acceso a Internet
- Servicios ofrecidos a las redes corporativas/seguras
- Configuración para servidores de BD o aplicaciones
Por último, la conexión a Internet depende de varios factores para asegurar la calidad del servicio y la seguridad:
1. Calidad del servicio y ancho de banda
2. Filtrado y bloqueo de paquetes
3. Network address translation (NAT)
En cuanto a los ejercicios que vamos planteando en los temas de teoría, en este tema hemos planteado los siguientes ejercicios:
Ejercicio T3.1: Buscar con qué órdenes de terminal o herramientas gráficas podemos configurar bajo Windows y bajo Linux el enrutamiento del tráfico de un servidor para pasar el tráfico desde una subred a otra.
Ejercicio T3.2: Buscar con qué órdenes de terminal o herramientas gráficas podemos configurar bajo Windows y bajo Linux el filtrado y bloqueo de paquetes.
Como ya indicamos, la entrega de los ejercicios de clase se realiza en el repositorio personal que cada cual mantenéis en github.com, en una carpeta que podemos llamar "ejercicios_de_clase".
No hay comentarios:
Publicar un comentario