Opinião de segurança VPN e Firewall no Ubuntu Server pra rede empresarial

[CarneiroInfo]

Boa noite. Axo que esse é meu primeiro tópico aqui no fórum, mais vamos lah..rs

Estou projetando uma rede em 3 empresas aqui na minha cidade, que são matriz e 2 filiais.

Inicialmente estou desenvolvendo o projeto na matriz da empresa, que axo que é simples..rs

Modem->Router Wireless(clientes acessam de graça).
Router Wireless->DMZ->Ubuntu Server(VPN, Firewall, NAT, etc...)
Ubuntu Server->Rede Interna
Rede Interna->APP-Server-Win2003(Servidor de aplicação do sistema da empresa, com WindowsServer 2003)
APP-Server-Win2003->MySQL-Server(Servidor de Bando de Dados, totalmente fora da rede interna é usado apenas pelo servidor de aplicação)
Rede Interna->Computadores, Impressoras, etc...(equipamentos usados pelos funcionarios da empresa)

A duvida é a seguinte, em relação a segurança da rede interna, poderia usar o mesmo servidor Ubuntu como VPN, Firewall e NAT ? Isso tudo, se bem configurado pode me trazer uma boa segurança interna, ou devo providenciar outra forma de conectar os servidores na rede ?

Outra duvida, meuy MySQLServer roda em Ubuntu também, e preciso repassar a conexão da matriz pra filial pra que o servidor de banco de dados replique seus dados em todos os servidores, tanto na matriz, quanto em todas as filiais possiveis, em relação a segurança, se eu abrir uma NAT do Ubuntu pra rede interna autorizando apenas o Win2003Server na porta 3306(MySQL), e abrir outra NAT no Server 2003 pra porta (3306) pra autorizar apenas o servidor do MySQL ter acesso, teria algum problema de segurança ?

Lembrando que pretendo primeiramente bloquear tudo nos sistemas, e após isso ir liberando aos poucos, tanto pelo IP das maquinas locais quanto pelas portas em questão, ou seja, até a internet na rede interna vai estar totalmente bloqueada, apenas algumas portas, como por exemplo pra alguns PCS na rede interna poder ter acesso a internet e principalmente ao servidor de aplicação.

O que quero aqui nesse topico é apenas seus pareceres sobre a segurança interna desta rede que pretendo montar e suas dicas pra melhorar, independentemente do custo, aqui vale as dicas de segurança e equipamentos.


E pra finalizar mais uma duvida, minha unica maquina antiga, é um Pentium-III - 800Mhz com 128Mb-RAM, placa mae COMPAQ(nao acho MEM pra essa maquina), HD-40GB, da pra rodar os serviços pretendidos no Ubuntu Server ?

Valew ai galeraa..

Abraçao..


Outra questão, se futuramente eu precisar instalar um LDAP+DNSServer+DHCP+WEBServer, onde deveria conectá-los ?
Poderia ser na rede local e depois abrir regras NAT no fireweall pra transportar os pacotes pelas portas especificas ?
E seu eu precisar de LDAP+DNSServer em todas as empresas, em caso de precisar controlar dominios localmente, caso haja perda de conexão com a matriz ?

[zekkerj]

pra finalizar mais uma duvida, minha unica maquina antiga, é um Pentium-III - 800Mhz com 128Mb-RAM, placa mae COMPAQ(nao acho MEM pra essa maquina), HD-40GB, da pra rodar os serviços pretendidos no Ubuntu Server ?

Não. Pouca memória. O Ubuntu Server exige 512MB só para o sistema.

Minha sugestão é que você invista em virtualização. Dá pra reduzir de 3 máquinas (Firewall, Servidor de Aplicação, MySQL) pra apenas uma, mais parruda.

Isso inclusive vai melhorar um pouco a segurança, pois assim todo o tráfego entre as máquinas virtuais vai ficar dentro do hospedeiro, fica mais fácil de filtrar o acesso.