Saludos, me gusta dedicar parte de mi tiempo libre a intentar buscar y mejorar mi red a lo largo del tiempo. La verdad es que no dispongo de una red como plantearé a continuación (ya que dispongo de solo un router/firewall con openbsd y las 2 redes que expongo abajo [LAN y WLAN]), pero si me corrompe la curiosidad de como sería la mejor opción para dejarla lo más posible segura por el puro echo de disfrutar.

Mi intención es la siguiente y me gustaría que se me corrigieran errores, se aportarán ideas o cualquier cosa que se nos haga la boca agua. También puedo valorar opciones del tipo cisco (véase firewalls, ids, netflow,...) pero yo prefiero usar máquinas antiguas con bsd o linux o opensolaris y montar susodicha red.

Para aquellos que no comprendan porqué una red tan segura, solo diré que es por el mero hecho de construir algo bien, ya que me produce bastante satisfacción personal (supongo que no seré el único).

http://pastebin.com/m1db880de

INTERNET
|
|
MODEM
|
|
FIREWALL mode BRIDGE ----- FIREWALL mode BRIDGE ----- DMZ = {1 webserver, 1 mailserver}
|
|
IDS of NETWORK---------------------------
|					|
|					|
ROUTER(ACL)			ROUTER ACCESS POINT(ACL)
|					|
|					|
SWITCH				FIREWALL with IPSEC
|					|
|					|
LAN					WLAN

He leído por ahí criticas bastante fuertes de por ejemplo el propio creador del proyecto openbsd en sus listas de correo, donde comenta que los firewalls no deberían ser virtualizados ni de broma. Y aquí entro con mi primera duda.

- La virtualización puede ser una ventaja a nivel de servicios como http, bbdd, ficheros,... pero no creéis que puede ser una desventaja si se aplica en firewalls, ids, ...? Ya que si se "rompe" el sistema principal se compromete todo lo demás.

- Se debe dedicar un hardware completo por cada cosa? firewall 1 hardware, router 1 hardware, ids 1 hardware,... porque es muy común usar una sola máquina donde filtre, enrute, logee paquetes, analice paquetes, incorpore servicio dns, web, etc... y tengo entendido que esto es un gran error de seguridad. Se comenta mucho el "divide y vencerás". Esto es cierto? Por cada firewall o ids (hablo de los ids de red no los ids de host) que quiera poner necesito 1 hardware dedicado exclusivo a una tarea por ejemplo filtrar paquetes?

- Otra cuestión es que muchos firewalls incorporan acciones de NAT (Conversión de direcciones) y esto es una tarea normalmente de los routers. Se puede sustituir un firewall ya que filtra, natea, logea y redirige puertos a un router o viceversa? Se debe usar un firewall para filtrado y un router para enrutado o ambas cosas pueden ir en la misma máquina? Comprometería la seguridad?

- Los servidores DNS creo que como mínimo hay que crear una replica. Eso implica más hardware? Se pueden tener en el mismo lugar donde esta el router o el firewall?

- Sobre los firewall, he visto arquitecturas de red donde existe un dmz y 1 firewall pero también con doble firewalls por si el atacante supera el primero. Esto implica que los 2 firewalls han de tener el software totalmente diferente para que ambos no caigan en el mismo error? Véase usar uno basado en iptables o ipfw y el otro en pf.

Comentar antes de nada, que evidentemente la red se puede hacer como uno quiera, pero busco una red MUY SEGURA. Estoy abierto a cualquier tipo de opinión. Gracias de antemano a todos!!! :)