BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Topología para red (Desarrolladores de software web)

BocaDePez
BocaDePez

Hola amigos. Quisiera saber si me pueden dar una mano. Hace un tiempo me asignaron la tarea de restructurar la red de mi trabajo. Quisiera escuchar algunas opiniones suyas.

Tengo 5 estaciones de trabajo unidas a un switch

y el swith a un router mikrotic

por otro lado tengo un host que es servidor web de producción

y otro servidor web de desarrollo

y un servidor de backup que deberia acceder a todos los equipos.

Yo quisiera que los servidores web estuvieran en una DMZ, o con alguna clase de protección.

Desde ya agradezco sus comentarios o sugerencias.

BocaDePez
BocaDePez

El de producción en la DMZ, y en de desarrollo dentro.

En el cortafuegos que separe las redes, definir muy cuidadosamente qué equipo(s) internos tienen acceso al servidor web de producción para modificaciones, y bajo qué protocolos. Siempre cifrados a poder ser, SSH, SCP, SFTP, etc.

El que llamas "servidor de backup", si explicas mejor su función...

🗨️ 2
BocaDePez
BocaDePez

El de backup es un equipo que tiene un sistema Bacula para hacer cópias de respaldo de todo el conjunto. Para ésto tiene que poder acceder por red a los equipos a respaldar. En ese caso no se bien como hacer. supongo que una vpn o algo por el estilo.

Muchas gracias por las respuestas.

🗨️ 1
BocaDePez
BocaDePez

Errata: y en de desarrollo dentro > y el de desarrollo dentro (aunque se entendía)

A ver, el objetivo de una DMZ es aislar el servicio que va a estar expuesto a Internet, para que si aparece algún agujero de seguridad en el proceso que ofrece el servicio al exterior (alguna vulnerabilidad del servidor web, de la base de datos, del motor de las páginas, de PHP, de quién sabe qué...) pues el atacante no consiga ir más allá y entrar en más ordenadores.

Por eso, los equipos de una DMZ nunca deben ser capaces de poder generar conexiones hacia la red privada interna, solo de recibirlas desde ella. Eso lo debes controlar en el propio sistema operativo, y en el cortafuegos que va a delimitar esa DMZ.

Si necesitas hacer backups, que sea el equipo servidor de backup quien, con las credenciales y cifrado que estimes oportuno, sea quien haga un "pull" de la información... nunca hacer un "push" de información desde el servidor expuesto al exterior a otro interno.