Buscar este blog

martes, 26 de marzo de 2013

Doble NAT - Problemas Seguros



El Problema del Doble NAT para equipos de Internet

La mala configuracion de equipos puede llevar a un desastre o peor a un configuracion imposible en equipos de comunicaciones.

Lo habitual cuando alguien pide una ADSL o un equipo router de Fibra, lo mas habitual es que este equipo haga NAT y comparta la ip publica del proveedor , con las ip locales de la red que generalmente son 192.168.1.x , siendo la mascara 255.255.255.0.

Esto funciona casi siempre generalmente bien, pero los problemas empiezan en breve cuando queremos poner un cortafuegos o bien un router wifi.


Un video sobre el NAT. ( de Draytek )

Lo primero que generalmente se hace es poner otra red en el firewall, para la interna y usar la 192.168.1.1 como externa,graficamente lo podemos ver asi .



 

El Nat lo que realmente hace es guardar un puntero de las direcciones de salida, esto hace que ahora mismo se guarden dos tablas de nat.

Problemas :

.- Si quieres hacer un port forwarding tienes que hacerlo en el router y en el firewall.

.- Si quieres hacer una VPN , no podras, o si pero con una dificultad mucho mayor

.- Muchos problems de configuracion.

.- El firewall realmente no es tu punto de ataque, tu punto de ataque es el router.

.- Los clientes VPN, PPTP, o IPSEC, te funcionaran o no dependiendo de donde este el cliente, pero te aseguro muchos quebraderos de cabeza.

 


Soluciones a este problema

El router hay que pasarlo a modo bridge o modo mopouesto.

Si tenemos varias ip publicas, podemos enlazar por una ip publica y el resto ponerla en el firewall.

Hay mucho documentos en nuestra web www.spw.es/util , sobre como pasar tu router a monopuesto.

Si consigues este paso , seguro que tu firewall funcionara mucho mejor, y consigues poder realizar vpn sin mayor dificultad.

sábado, 15 de septiembre de 2012

Cerramos Cortafuegos On Line



Hola :

Despues de varios años intentandolo, es imposible tener un tienda de cortafuegos, no estamos preparados, ni como empresa, ni como clientes.

Creo que muy dificil, tenemos que tener mucho cuidado porque cuando hay un fallo de precio, la gente nos llama corriendo, los proveedores, no se porque no nos envian las subidas de precios cuando van a subir, eso nos provoca que estemos unos dias vendiendo a un pvp que no se corresponde con la realidad, esto sumado con que todos los fabricante, excepto barracuda, no quieren los precios en la web, pero a final de trimestre si quieren vender y vender, pero vender es cuestion de ayudar , no solo de precio.
Por otro lado el mercado actual necesita mucha formacion, presentacion un firewall es un producto complejo, y de muchas funcionalidades, y es mejor una visita o demo comercial, que 20 horas de telefono.

Solo comentaros que seguimos adelante, como siempre desde nuestra web, www.spw.es, con todas las novedades del mercado.

Watchguard : Saca modelos nuevos XTM5, mas economicos.

Cyberoam: producto muy bien finalizado, ahora tiene un cortafuegos para web muy bueno, un WAF a la altura de los grandes, y unos reports espectaculares.

Palo Alto: Ya somos partners , por fin lo hemos logrado, tenemos una maquina para dejaros, yo no lo considero un firewall es un paso mas adelante.

Vmware : Excelente producto, ya somos partner Profesional, tenemos la certificaciones, tenemos todas las licencias y soporte a vuestra disposicion, por cierto ha salido la 5.1, esta semana.

Ruckus: Un producto ideal para wifi con control, es algo mas caro, pero da un monton de posibilidades para control y redes mesh.

Poco a poco, iremos poniendo mas novedades y detalladas.

Hasta la proxima.
LuisG








viernes, 8 de junio de 2012

XTMv - Un Firewall para Redes Virtual

Nuestro querido fabricante Watchguard, ha sacado esta semana un firewall para redes virtuales, realmente mas que un firewall para vmware, que seria decir tengo un firewall en una maquina virtual, el tema va mucho mas allá.

Yo sinceramente no creia en un firewall en un vmware, claro que no lo entendia, pero estaba claro que este fabricante no pretende crear un firewall perimetral de toda la vida, pasarlo a una simple aplicacion virtual.

Lo que watchguard propone con XTMv es un firewall para dentro de un vmware, es facil saber  cuando montas un servidor ESX de Vmware , que todas las maquinas se ven por dentro, si estan dentro del mismo switch virtual, y conectado a una interfaz Fisica,

Watchguard se instala como una maquina virtual OVF ,permite añadir una interfaz a cada switch virtual y de esta manera con el mismo programa que manejamos los firewalls fisicos, esta vez una version especial la 11.5.4, podemos controlar todo el trafico de maquinas virtuales a otras maquinas virtuales, tambien se puede o creo que se puede controlar las maquinas de escritorio vinculados .

Sinceramente creo que es una buena idea, y sobre todo facil de crear el sistema y si el cliente ya conoce el interface de Watchguard, pues tenemos practicamente todo ganado, la idea de separar redes y crear difererentes segmentos dentro de un propio esx o dentro de un vcenter.

En breve probaremos un XCSv , esto es mucho mas facil y simplemente es una portabilidad de la gran aplicacion que es un XCS a un sistema virtual, funciona perfectamente en vmware Player, con lo que creo que las demos de XCS son ahora mucho mas faciles de poder probar en los clientes.

Cualquier duda ya sabeis donde localizarme.

@LuisGimR

domingo, 4 de marzo de 2012

Nuevo Fabricante !! - Ruckus

Hola :

Hace tiempo que no escribo, la verdad es que llevo tiempo con mucha "prisa" como todos en este año de crisis, lo que se vende corre mucha prisa, porque se ha roto algo, nadie hace previsiones ni tiene tiempo de plantear nada .

Hemos incorporado un nuevo fabricante, despues de estar en un curso de Mikrotik, me he dado cuenta de que este fabricante solo hace cosas economicas y de poca calidad, y nosotros necesitamos tener el control sobre el Wireless, no podemos montar 40 puntos de acceso , sin tener un controlador y sobre todo controlar los SSID, e ir a diferentes direccionamientos de red, cada dia los colegios son mas grandes y los hoteles necesitan mucho mas control sobre el WIFI.

He probado esta semana un kit del Controlador 1100 de Ruckus Wireless he instalado 2 Puntos de Acceso, he dicho que necesitaba MESH  y una vez configurado esto, tenemos el controlador funcionando, con Active directory, una WIFI para invitados, y si quieres dar 2 clicks  mas tienes un hotspot de Calidad, la ultima prueba fue quitar el cable a un AP, no creo que tardara mas de 2 minutos en darse cuenta el controlador y automaticamente puso MESH a controlar el otro equipo, claro los AP llevan 2 radios. es decir un AP se replica con otro via WIFI, esto soluciona el problema de tener que cablear todos los AP, es decir puedes tener AP que reciba y distribuyan la red Wifi, para hacer MESH utiliza 5 Ghz, sinceramente llevo años buscando algo asi, no se porque me habia empeñado en un solo fabricante, cuando esta gente lo tiene solucionado perfectamente hace años.

Solo comentaros que la solucion es muy gradual no tienes que gastarte una fortuna para un colegio para tenerlo todo controlado, porque el producto en la primera pantalla, te dice :
                                
AP Funcionando Actualmente
Clientes conectados al AP
Ancho de Banda por AP , por SSID

y un monton de Informacion que creo sinceramente merece la pena, o alguien que tiene 40 Puntos de acceso, se puede plantear no tener control , aunque solo sea saber si estan conectados.


En fin seguimos en la brecha otro año mas, cada dia con mas ilusion en productos que ayuden a nuestros clientes.


Bye








domingo, 11 de septiembre de 2011

una pequeña maravilla de NAS - QNAP

Hola

Cierto es que parece que un NAS ( Network Attach Storage ) o lo que es lo mismo un disco de red, no vaya a tener mas funcionalidad que guardar ficheros.

Pero en el caso del fabricante de QNAP nos encontramos ante algo dificil de entender y de comprender, la cantidad de opciones, para Apple, Windows ( Incluido el AD ) y sobre todo claro para Linux.

Las Cajas son pequeñas para 1 o 2 discos pudiendo realizar raid y compatible con casi cualquier disco del mercado.

Una vez instalado , podemos acceder al menu de opciones, que seguramente sera dificil que alguien se sienta defraudado.

La ultima version , tiene para poder montar unidades ISO, directamente desde el qnap y compartirlas, pero os remito una resumen de funciones .

.- Maquina del Tiempo de Apple.
.- Smb para Windows - Sin Autenticacion.
.- NFS para Linux - Funciona para Vmware ESX
.- Backup hacia disco USB o eSATA, externo de la cabina
.- Progama NETBAK para realizar copias de tu ordeador al NAS
.-Servidor Syslog.
-. Compatibilidad con Lion de Mac
.- Posibilidad de Añadir Camaras ( 2 Licencias Incluidas )
.-ISCSI compatible y certificado con Vmware Vsphere 4 y 5 , facil de instalar....
.- Impresionante explorar de archivos via HTML, para usuarios que quieran acceder desde fuera.
.- Aplicaciones en Android e Iphone para ver los ficheros..

 y sobre todo algo que nos llevan pidiendo año....

Ahora ademas de poder realizar copias de un nas a otro , se va a poder replicar en caliente una carpeta a otra carpeta de otro Nas , asi que en el caso de caida, el Nas secudario puede dar servicio mientras el primero ha fallado o ha caido ....servicio que merece la pena probar ...

Os dejo un link de la unidad :
http://www.qnap.com/es/liveDemo.asp

Comparativa de las unidades.
http://www.qnap.com/es/Products.asp

Un saludo...
Ahhh y seguimos regalando IPAD´s con Watchguard , solo tienes que preguntarme ...
spw@spw.es

domingo, 24 de julio de 2011

Modelos SSL de Watchguard

llevamos esta semana probando con detalle un SSL de Watchguard para realizar un proyecto grande para un cliente.

El producto, el modelo 100, tiene licencia para 25 usuarios concurrentes, el producto tiene muchas ventajas para un usuario final..

El producto podemos destacar muchas ventajas, no es facil de administrar, al principio , luego si que te vas acostrumbrando, y la verdad es que es muy facil, las ventajas son muchas :

.- Facilidad de administracion,
.- Intregacion con el directorio activo,muy facil integracion, muy visual, mejor casi XTM...
.- Creacion de Portales para el usuario.
.- Facilidad para SSO ( Single Sign On ) una password para todo.
.- creacion de Grupos para seleccionar que aplicacion se ve en el Portal..
.- Facil integracion de certificados para el SSL.
.- Tuneles web y tuneles globales, validos para MAC y Windows.
.- Tuneles para aplicaciones Web, desde moviles. ( No java )

El producto es muy interesante para crear un portal de intranet a usuarios, final, adicionalmente puedes crear plugins para
.- RDP 2003/2008
.- SharePoint Portal Server.
.- Exchange OWA, ( Esto parece poco importante, pero lo puedes integrar en el menu )
.- Integracion con el mismo SSL , puedes realizar un plugin para administrar el mismo SSL.
y muchas mas opciones.

El producto es muy bueno, para la tipica empresa, que quiera conectar desde su web, acceso a su intranet, sin tener que comprar un equipo muy costoso y sin tener que desarrollar un conector complejo.

Mas info :
www.watchguard.com