Upload
warner-brezolin
View
3
Download
1
Embed Size (px)
DESCRIPTION
aula10_admredes
Citation preview
Administrao e gerncia de redesAula 10Segurana de permetroProf. Diovani Milhorim
Segurana de permetroRedes de permetro
O termo rede de permetro refere-se a um segmento de rede isolado no ponto em que uma rede corporativa alcana a Internet. As redes de permetro destinam-se a criar um limite que permite a separao do trfego entre redes internas e externas. Com este limite, possvel categorizar, colocar em quarentena e controlar o trfego da rede de uma empresa.
Segurana de permetroRedes de permetro
A segurana de permetro proporcionada por um dispositivo de permetro, como um firewall, por exemplo, que inspeciona os pacotes e as sesses para determinar se devem ser transmitidos para a rede protegida ou a partir dela ou ser abandonados.
Segurana de permetroRedes de permetro
Os servios e servidores que devem interagir com a Internet externa desprotegida so colocados na rede de permetro (conhecida como zona desmilitarizada) e na sub-rede filtrada. Isto ocorre para que, caso invasores consigam explorar vulnerabilidades em servios expostos, possam avanar apenas uma etapa no acesso rede interna confivel.
Segurana de permetroRedes de permetro
Figura 01: rede de permetro
Segurana de permetroZona Desmilitarizada DMZ
Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede, parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que contm todos os servios e informaes para clientes ou pblicos. A DMZ pode tambm incluir regras de acesso especfico e sistemas de defesa de permetro para que simule uma rede protegida e induzindo os possveis invasores para armadilhas virtuais de modo a se tentar localizar a origem do ataque.
Segurana de permetroZona Desmilitarizada DMZ
Podemos ter dois tipos de DMZs:
interna, s acessada pelo usurio da rede internaexterna, acessada por qualquer usurio da Internet.
Este conceito aliado ao de VLANs tambm permite a implantao de DMZs privadas, ou seja, a possibilidade de DMZs especficas para cada cliente de hosting ou para a hospedagem de servidores.
Segurana de permetroZona Desmilitarizada DMZ
As DMZs so sub-redes onde se hospedam os servidores/servios de um provedor, protegidos contra ataques da Internet por um firewall. Em geral necessrio especificar uma faixa de endereos IP, ou informar diretamente os endereos das mquinas que devem ser includas nessa zona.
Segurana de permetroZona Desmilitarizada projeto
A zona desmilitarizada comporta-se como uma outra sub-rede, atrs de um firewall, onde temos uma mquina segura na rede externa que no executa nenhum servio, mas apenas avalia as requisies feitas a ela e encaminha cada servio para a mquina destino na rede interna.
Segurana de permetroZona Desmilitarizada projeto
Figura 03: rede com DMZ tpica
Segurana de permetroZona Desmilitarizada projeto
No caso de uma invaso de primeiro nvel, o atacante ter acesso apenas ao firewall, no causando problema algum para a rede da empresa.
J em invases de segundo nvel, o atacante conseguir passar do firewall para a sub-rede interna, mas ficar preso na mquina do servio que ele explorar.
Segurana de permetroZona Desmilitarizada projeto
Em todos os casos, deve-se analisar com cuidado quais servios podem ser colocados dentro da DMZ. Exemplo:Primeiro nvelServidor de e-mailServidor wwwServidor FTPSegundo nvelDNSBanco de dados
Segurana de permetroBastion Hosts
Por definio, bastion host qualquer mquina configurada para desempenhar algum papel crtico na segurana da rede interna e provendo os servios permitidos segundo a poltica de segurana da empresa. Trata-se de uma mquina segura que est localizada no lado pblico da rede de permetro (acessvel publicamente), mas que no se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
Segurana de permetroBastion Hosts
Por definio, bastion host qualquer mquina configurada para desempenhar algum papel crtico na segurana da rede interna e provendo os servios permitidos segundo a poltica de segurana da empresa. Trata-se de uma mquina segura que est localizada no lado pblico da rede de permetro (acessvel publicamente), mas que no se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
Segurana de permetroBastion Hosts
Figura 02: Bastion hosts
Segurana de permetroBastion Hosts
Um bastion host deve ter uma estrutura simples, de forma que seja fcil de garantir a segurana. So normalmente usados como servidores Web, servidores DNS, servidores FTP, servidores SMTP e servidores NNTP. Como mais fcil proteger um nico servio em um nico bastion host, o ideal que eles sejam dedicados a executar apenas uma das funes citadas.
Segurana de permetroBastion Hosts
Os bastion hosts so configurados de uma maneira bem diferente dos hosts comuns. Todos os servios, protocolos, programas e interfaces de rede desnecessrias so desabilitados ou removidos e cada bastion host , normalmente, configurado para desempenhar uma funo especfica. A proteo de bastion hosts dessa maneira limita os mtodos potenciais de ataque.