Administrao e gerncia

de redes
Aula 10
Segurana de permetro
Prof. Diovani Milhorim

Segurana de permetro
Redes de permetro
O termo rede de permetro refere-se a um segmento
de rede isolado no ponto em que uma rede
corporativa alcana a Internet. As redes de permetro
destinam-se a criar um limite que permite a
separao do trfego entre redes internas e externas.
Com este limite, possvel categorizar, colocar em
quarentena e controlar o trfego da rede de uma
empresa.

Segurana de permetro
Redes de permetro
A segurana de permetro proporcionada por um
dispositivo de permetro, como um firewall, por
exemplo, que inspeciona os pacotes e as sesses
para determinar se devem ser transmitidos para a
rede protegida ou a partir dela ou ser abandonados.

Segurana de permetro
Redes de permetro
Os servios e servidores que devem interagir com a
Internet externa desprotegida so colocados na rede
de permetro (conhecida como zona desmilitarizada) e
na sub-rede filtrada. Isto ocorre para que, caso
invasores consigam explorar vulnerabilidades em
servios expostos, possam avanar apenas uma
etapa no acesso rede interna confivel.

Segurana de permetro
Redes de permetro

Figura 01: rede de permetro

Segurana de permetro
Zona Desmilitarizada DMZ
Uma DMZ ou ainda "Zona Neutra" corresponde ao
segmento ou segmentos de rede, parcialmente protegido,
que se localiza entre redes protegidas e redes
desprotegidas e que contm todos os servios e
informaes para clientes ou pblicos. A DMZ pode
tambm incluir regras de acesso especfico e sistemas de
defesa de permetro para que simule uma rede protegida e
induzindo os possveis invasores para armadilhas virtuais
de modo a se tentar localizar a origem do ataque.

Segurana de permetro
Zona Desmilitarizada DMZ
Podemos ter dois tipos de DMZs:
interna, s acessada pelo usurio da rede interna
externa, acessada por qualquer usurio da Internet.
Este conceito aliado ao de VLANs tambm permite a
implantao de DMZs privadas, ou seja, a
possibilidade de DMZs especficas para cada cliente
de hosting ou para a hospedagem de servidores.

Segurana de permetro
Zona Desmilitarizada DMZ
As DMZs so sub-redes onde se hospedam os
servidores/servios de um provedor, protegidos contra
ataques da Internet por um firewall. Em geral
necessrio especificar uma faixa de endereos IP, ou
informar diretamente os endereos das mquinas que
devem ser includas nessa zona.

Segurana de permetro
Zona Desmilitarizada projeto
A zona desmilitarizada comporta-se como uma outra
sub-rede, atrs de um firewall, onde temos uma
mquina segura na rede externa que no executa
nenhum servio, mas apenas avalia as requisies
feitas a ela e encaminha cada servio para a mquina
destino na rede interna.

Segurana de permetro
Zona Desmilitarizada projeto

Figura 03: rede com DMZ tpica

Segurana de permetro
Zona Desmilitarizada projeto
No caso de uma invaso de primeiro nvel, o atacante
ter acesso apenas ao firewall, no causando
problema algum para a rede da empresa.
J em invases de segundo nvel, o atacante
conseguir passar do firewall para a sub-rede interna,
mas ficar preso na mquina do servio que ele
explorar.

Segurana de permetro
Zona Desmilitarizada projeto
Em todos os casos, deve-se analisar com cuidado
quais servios podem ser colocados dentro da DMZ.
Exemplo:
Primeiro nvel

Servidor de e-mail
Servidor www
Servidor FTP

Segundo nvel

DNS
Banco de dados

Segurana de permetro
Bastion Hosts
Por definio, bastion host qualquer mquina
configurada para desempenhar algum papel crtico na
segurana da rede interna e provendo os servios
permitidos segundo a poltica de segurana da
empresa. Trata-se de uma mquina segura que est
localizada no lado pblico da rede de permetro
(acessvel publicamente), mas que no se encontra
protegida por um firewall ou um roteador de filtragem,
expondo-se totalmente a ataques.

Segurana de permetro
Bastion Hosts
Por definio, bastion host qualquer mquina
configurada para desempenhar algum papel crtico na
segurana da rede interna e provendo os servios
permitidos segundo a poltica de segurana da
empresa. Trata-se de uma mquina segura que est
localizada no lado pblico da rede de permetro
(acessvel publicamente), mas que no se encontra
protegida por um firewall ou um roteador de filtragem,
expondo-se totalmente a ataques.

Segurana de permetro
Bastion Hosts

Figura 02: Bastion hosts

Segurana de permetro
Bastion Hosts
Um bastion host deve ter uma estrutura simples, de
forma que seja fcil de garantir a segurana. So
normalmente usados como servidores Web,
servidores DNS, servidores FTP, servidores SMTP e
servidores NNTP. Como mais fcil proteger um
nico servio em um nico bastion host, o ideal que
eles sejam dedicados a executar apenas uma das
funes citadas.

Segurana de permetro
Bastion Hosts
Os bastion hosts so configurados de uma maneira
bem diferente dos hosts comuns. Todos os servios,
protocolos, programas e interfaces de rede
desnecessrias so desabilitados ou removidos e
cada bastion host , normalmente, configurado para
desempenhar uma funo especfica. A proteo de
bastion hosts dessa maneira limita os mtodos
potenciais de ataque.