Que serviço deve ter no Firewall

[durban]

Galera, estou com uma dúvida assim....

Estou querendo montar um Firewall, mas tipo, não sei se devo colocar o Proxy lá.... Uns dizem que sim, outros dizem que não.....
Mas o que eu quero, é o mais seguro possível. Outra coisa, dizem também que o QoS e a VPN devem ficar sempre na mesma máquina que o Firewall. É verdade??? O que deve ser feito?? Qual é a maneira mais segura? E a mais prática?

[gatoseco]

Vou dar minha humilde opiniao , se acaso vc quer proibir seus usuarios de acessar determinados sites e outros utilize o proxy, caso contrario apenas faça um eficaz controle de QoS, se acaso quiser ter um proxy ainda apenas para fazer cache de paginas vc pode rodar ele atras do firewall em uma maquina que servira somente pra isso ficara mais seguro, quanto ao fato da vpn ficar na mesma maquina que o firewall e apenas por questao de desempenho por que no mais apenas torna seu servidor mais vulneravel !!!


Abraçao

[durban]

Certo, mas deixa eu ser mais específico do que eu quero realizar no meu ambiente de trabalho:

Tenho na atualidade, uma máquina como Firewall com HTB. O que eu quero implementar agora. Um proxy e uma VPN.

A minha pergunta maior é:

Se eu colocar tudo isso numa máquina, vai aumentar a vulnerabilidade do meu Firewall. Então qual é o certo?

Ouvi dizer que o HTB e o VPN só funcionam se estiverem na mesma máquina que está roteando a internet (Firewall). Isso é verdade?

Se isso for verdade, na máquina do Firewall, tem que ter o HTB e o VPN e deixar isolada uma máquina para o Proxy.

E se não for verdade. Deixo a máquina do firewall só com ele, e na outra máquina, coloco o serviço Proxy, HTB e VPN. Mas e o desempenho? Cai muito?

Espero que alguem tire essas minhas dúvidas!!!!!

[xstefanox]

A questão do proxy é difícil de falar sem dizer pra qual tipo de rede o seu gateway é predestinado. Um proxy é ótimo para controlar o uso de internet, bloqueando sites indevidos e economizado uma banda legal com esquema de cache. A segunda opção torna o proxy-cache uma escolha legal para toda rede que gosta de economia de banda, mesmo que não seja empregada nenhuma forma de controle pelo proxy.

O HTB tornou-se essencial para provedores. QoS é um negócio que está na lista de "coisas básicas" para um provedor, aliás, sobretudo se ele utiliza tarifação por tamanho de banda.

Agora, relacionado à vulnerabilidade do seu firewall ou do seu gateway... eu posso dizer na minha humilde opinião que 90% dos casos de invasão ocorrem porque o administrador não tem conhecimento necessário. O legal para mexer com um firewall é saber um pouco mais de TCP/IP do que saber que para ter uma conexão tem que ter duas portas abertas e um meio físico entre elas.

Você pode ter a VPN na mesma máquina que roda o firewall, só que você vai ter que assegurar os meios que estão interligados por esse gateway, afinal de contas eu não gostaria muito que o usuário de uma rede mapeasse as impressoras da rede alheia e começasse a imprimir lá.

Se você colocar uma máquina razoável com um processamento legal, dá pra ir de boa com os serviços em uma máquina só, embora seja menos seguro em termos de estabilidade, não de penetração. Se a máquina eventualmente der pau, tudo deu pau.

[durban]

Entendi, mas me responde outra coisa....

No firewall, tendo serviço como o Apache, VPN, Proxy em uma máquina só, não estaria abrindo muitas portas no firewall... Dando maior oportunidade de invasão?

[xstefanox]

Epa... até aí eu não tinha lido nada à respeito de Apache.

Eu já dedicaria uma outra máquina para o Apache. Não exatamente pela questão das portas abertas, mas é que você está rodando mais aplicações no servidor e essas aplicações estão sujeitando seu servidor à mais bugs de segurança.

É porque eu também não sei a sua estrutura ou se você trabalha em indústria, comércio e o seu ambiente, mas dependendo pode sim rodar um Apache no gateway. Geralmente a gente faz isso quando administra alguma aplicação que roda no firewall (Por exemplo as regras de firewall).

[pssgyn]

Boa noite galera. Por aquelas questões de economia que sempre os empresários exigem da gente, eu acabei instalando o OpenVPN na mesma máquina que está firewall e o Proxy. Sinceramente, quand0 estava s0mente 0 firewall e Pr0xy estava r0dand0 bem. Mas dep0is que c0l0que 0penVPN degrad0u bastante 0 servid0r.
Desculpem se a letra 0 está saind0 errada. É que essa tecla c0meç0u a apresentar defeit0.
Inté + .................