DMZ ZONA DESMILITARIZADA

Documentos relacionados
TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

Curso de Tecnologia em Redes de Computadores

Firewall. Alunos: Hélio Cândido Andersson Sales

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Características de Firewalls

Entendendo como funciona o NAT

Firewalls. Firewalls

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

UNIVERSIDADE FEDERAL DE PELOTAS

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

INFORMÁTICA FUNDAMENTOS DE INTERNET. Prof. Marcondes Ribeiro Lima

Arquitetura de Rede de Computadores

Componentes de um sistema de firewall - I

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

SUMÁRIO 1. AULA 6 ENDEREÇAMENTO IP:... 2

Segurança da Informação

PROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS -ARQUITETURAS DE APLICAÇÃO MÓVEL. Prof. Angelo Augusto Frozza, M.Sc.

Desenvolvimento e Implementação de Políticas de Segurança: Projeto e Implementação de uma Zona Desmilitarizada

Segurança na Rede Local Redes de Computadores

MÓDULO 7 Modelo OSI. 7.1 Serviços Versus Protocolos

Segurança na Rede UFBA

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

SISTEMAS DISTRIBUIDOS

PARANÁ GOVERNO DO ESTADO

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

9. Quais as características a tecnologia de conexão à Internet denominada ADSL A) Conexão permanente, custo variável, linha telefônica liberada e

CONCEITOS INICIAIS. Agenda A diferença entre páginas Web, Home Page e apresentação Web;

NUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO.

Nível de segurança de uma VPN

ESTUDO DE CASO: IMPLEMENTAÇÃO DE UM SERVIÇO DE PARA O DEPARTAMENTO DE COMPUTAÇÃO

Redes de Computadores. Prof. Késsia Marchi

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

Rede de Computadores

Firewall IPTables e Exemplo de Implementação no Ambiente Corporativo.

WebZine Manager. Documento de Projeto Lógico de Rede

Protocolo. O que é um protocolo? Humano: que horas são? eu tenho uma pergunta

Objetivos: i) Verificar o impacto de loops em redes locais ii) Configurar o protocolo STP para remover loops da rede

Introdução ao Active Directory AD

1969 ARPANet - Advanced Research Projects Agency Network

Política de Utilização da Rede Sem Fio (Wireless)

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

Servidor, Proxy e Firewall. Professor Victor Sotero

Nexcode Systems, todos os direitos reservados. Documento versão

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

USO GERAL DOS PROTOCOLOS SMTP, FTP, TCP, UDP E IP

Segurança de Redes de Computadores

Informática - Prof. Frank Mattos

UNIVERSIDADE FEDERAL DE SANTA CATARINA DEPARTAMENTO DE INFORMÁTICA E ESTÁTISTICA GRADUAÇÃO EM CIÊNCIAS DA COMPUTAÇÃO DISCIPLINA: COMUNICAÇÃO DE DADOS

Redes de Computadores. Prof. Dr. Rogério Galante Negri

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

Capítulo 7 CAMADA DE TRANSPORTE

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Interconexão de redes locais. Repetidores. Pontes (Bridges) Hubs. Pontes (Bridges) Pontes (Bridges) Existência de diferentes padrões de rede

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Aula Prática Roteador

Conheça melhor os equipamentos de Rede de Computadores

Sistemas para Internet 06 Ataques na Internet

Firewall. Qual a utilidade em instalar um firewall pessoal?

Introdução ao Modelos de Duas Camadas Cliente Servidor

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Tecnologia PCI express. Introdução. Tecnologia PCI Express

17/03/ :04 Leite Júnior QUESTÕES FCC 2010 REDES (INTERNET/INTRANET)

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

Capítulo 8 - Aplicações em Redes

Curso de Instalação e Gestão de Redes Informáticas

4. Qual seria o impacto da escolha de uma chave que possua letras repetidas em uma cifra de transposição?

Capítulo 5 Métodos de Defesa

Conheça a nova solução de servidor que ajuda pequenas empresas a fazer mais Com menos.

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

Prof. Edson Maia Graduado em Web Design e Programação Bacharel e Licenciado em Geografia Especialista em Gestão Ambiental Complementação para

Processos Técnicos - Aulas 4 e 5

Resolução de Problemas de Rede. Disciplina: Suporte Remoto Prof. Etelvira Leite

1. Quem somos nós? A AGI Soluções nasceu em Belo Horizonte (BH), com a simples missão de entregar serviços de TI de forma rápida e com alta qualidade.

Arquitetura dos Sistemas de Informação Distribuídos

INTRODUÇÃO: 1 - Conectando na sua conta

RESOLUÇÃO POLÍTICA DE ATUALIZAÇÃO DE EQUIPAMENTOS E SOFTWARES.

5.2 MAN s (Metropolitan Area Network) Redes Metropolitanas

SISTEMAS DISTRIBUÍDOS

Infraestrutura: devo usar a nuvem? Prof. Artur Clayton Jovanelli

1 INTRODUÇÃO Internet Engineering Task Force (IETF) Mobile IP

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SERVIÇOS DE ACESSO REMOTO (TELNET E TERMINAL SERVICES) Professor Carlos Muniz

REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO

REDE DE COMPUTADORES

Figura 1 Taxas de transmissão entre as redes

Gerência e Administração de Redes

Payment Card Industry (PCI)

Transcrição:

69 DMZ ZONA DESMILITARIZADA Miguel Fabrício Zamberlan 1 RESUMO A maioria dos sites na Internet, embora todos os avanços, apresenta, ainda, uma topologia com uma única rede protegida por um filtro de pacotes simples. Essa topologia é útil e segura para redes domésticas, onde não há necessidade de se oferecer serviço através da rede. Porém, para redes que necessitam prover serviços, essa topologia não é adequada. Caso ocorra alguma invasão passando pelo filtro e atingindo um dos servidores, a segurança de toda a rede fica comprometida, pois não existe nenhum tipo de proteção entre os servidores e as outras estações que impeça o invasor de um ataque geral à rede. Logo, uma maneira de impossibilitar que as estações de trabalho sejam invadidas torna-se atrativa. A utilização de uma Zona Desmilitarizada resolveria tal problema, diminuindo o impacto de uma invasão através da segmentação da rede. O objetivo de uma Zona Desmilitarizada é fazer toda uma reestruturação lógica e física da topologia da rede de forma a limitar as possíveis proporções alcançadas por uma invasão e, ao mesmo tempo, não impedir a disponibilização dos seus serviços. PALAVRAS-CHAVE: DMZ, Firewall, Segurança. ABSTRACT: The majority of the sites in the Internet still today presents a topology that consists only of an only net protected for a filter of simple packages. This topology is useful and insurance for domestic nets, where it does not have necessity of if offering no service through the net. However, for nets that need to provide services, this topology is not adjusted. In case that some invasion occurs passing for the filter and reaching one of the servers, the security of all the net is compromised, therefore no type of protection between the servers and the other stations does not exist that the invader of a general attack to the net hinders. Soon, a way to disable that the work stations are invaded if becomes attractive. The use of a Demilitarized Zone decides this problem, diminishing the impact of an invasion through the segmentation of the net. The objective of a Demilitarized Zone is to make all all a reorganization logical and physical of the topology of the form net to limit the possible ratios reached for an invasion and, at the same time, not to hinder the availability them its services. KEY WORDS: DMZ, Firewall, Security. 1 Pós-graduando em Redes de Computadores pela FACIMED Faculdade de Ciências Biomédicas de Cacoal. Graduado em Sistemas de Informação pela UNESC União das Escolas Superiores de Cacoal. Profissional da Área de Gerência de Redes de Computadores na FACIMED.

70 INTRODUÇÃO A sociedade atual encontra-se em plena era da Internet, surgindo facilidades de troca de informação entres as pessoas e empresas. Utilizar estes benefícios para as organizações faz com que elas se tornem competitivas no mercado. No entanto, ao mesmo tempo em que ocorreu um enorme avanço na comunicação entre redes, tornando possível o compartilhamento globalizado de seus recursos e informações, a segurança destas redes passou a ser crítica. Se por um lado este compartilhamento permite aumentar o dinamismo das comunicações e a troca de informações, por outro, ele possibilita que pessoas não autorizadas obtenham acesso a dados sigilosos. Devido a esses e outros fatores, surge a preocupação com a proteção dada a essas informações que é o patrimônio não palpável das empresas. Uma conexão entre uma empresa e a internet deve ser muito bem planejada e projetada para que alcance os objetivos e extraia o máximo de recursos disponíveis de sua infra-estrutura, sem oferecer riscos para as informações dos seus usuários. Por isso, a segurança é considerada essencial no projeto de uma rede, seja esta corporativa, acadêmica ou até mesmo pessoal. As razões dessa nova preocupação estão relacionadas diretamente com o valor dos dados armazenados e ainda com a necessidade de se garantir diferentes níveis de privacidade, integridade e autenticidade para cada tipo de dado. DMZ: Forma de trabalhar ou Conceito? O DMZ Demilitarized Zone 2, zona desmilitarizada, é um conceito e não um software ou hardware. Consiste, basicamente, em separar por meio físico e lógico os setores, departamentos ou estações de uma rede corporativa. Este conceito é largamente utilizado por grandes corporações, governos e bancos. Geralmente essas companhias possuem como maior valor corporativo as informações, para elas é muito mais caro 2 DMZ Demilitarized Zone: pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.

71 perder uma base de dados inteira do que um funcionário de renome. A informação é a alma da empresa. A segurança neste caso deve ser uma preocupação básica ao se elaborar projeto de uma rede. Inicialmente devemos lembrar que as simplicidades da aplicação de estratégias de segurança são fundamentais em um projeto de redes, isso porque um servidor de uma determinada rede pode prover vários serviços, porém, quando isto ocorre pode gerar problemas de segurança já que as possibilidades de falhas acontecerem são bem maiores. Dentre cuidados a ser tomados, e que evitem inicialmente, tais problemas, podemos citar: - Exposição da rede interna à Internet: os serviços da rede interna (e-mail, por exemplo) estarem localizados na mesma máquina que provê os serviços externos (web, por exemplo), deixarão os dados do usuário expostos em caso de uma invasão; - Maior fragilidade a vulnerabilidades conhecidas: o fato de concentrar muitos serviços em uma única máquina gera esse tipo de problema, pois quanto mais serviços disponíveis, mais vulnerabilidades podem ser exploradas e, conseqüentemente, existe um maior grau de exposição e risco de invasão; A partir daqui poderemos falar mais claramente sobre os conceitos de DMZ, pois uma solução para os problemas acima seria a divisão dos serviços críticos, separando assim os diversos servidores: Internet, E-mail, DNS 3 e outros. Portanto, se um dos servidores forem afetados por ataque de um Black Hacker 4, apenas aquele serviço será parado e o restante funcionará normalmente. Usando um Firewall Firewall 5 é um quesito de segurança com cada vez mais importância no mundo da computação e principalmente em uma rede com arquitetura de DMZ. À medida que 3 O DNS (Domain Name System) é hoje um serviço essencial para o funcionamento da Internet. Essa importância, associada à natureza das informações que ele armazena (dados sobre os endereços dos computadores da rede interna), o tornam um dos alvos mais atraentes para atacantes. 4 Black Hacker Pessoa com alto conhecimento na área de informática, principalmente em sistemas operacionais e que usa esses conhecimentos para atos ilícitos. 5 Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet).

72 o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e conceitos de segurança eficientes. O firewall é uma opção praticamente imprescindível. Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum. Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada. Implantar um firewall, com regras rígidas de segurança e que não permita que as máquinas da rede sejam acessadas por máquinas remotas, é uma grande conquista em termos de segurança. Por vezes, algumas máquinas da rede precisam receber acessos externos, é o caso de servidores SMTP 6 e servidores Web, por exemplo. Para permitir que estas máquinas possam desempenhar suas funções, mas que ao mesmo tempo o restante da rede continue protegida, muitos firewalls oferecem a opção de criar uma zona onde essa vigilância é mais fraca conhecida como DMZ. Nesse caso, o controle de acesso a Internet pode ser feito através de um projeto de DMZ, permitindo que todo o tráfego entre os servidores da empresa, a rede interna e a Internet passe por um firewall e pelas regras de segurança criadas para a proteção da rede interna. Assim, os firewalls se tornaram um único ponto de acesso à rede em que o tráfego pode ser analisado e controlado por meio de scripts 7 de firewall que definem o aplicativo, o endereço e os parâmetros de usuário. Esses scripts ajudam a proteger os caminhos de conectividade para redes e centros de dados externos. Zona de Perímetro 6 SMTP - (Simple Mail Transfer Protocol) Protocolo de Transferência de Simples Mensagens, utilizado para enviar e receber mensagens via Internet. Através dele podemos ter nosso endereço e-mail, como "fulano@provedor.com.br". É um dos mais antigos protocolos de Internet. 7 Roteiros, procedimentos, programas.

73 O termo rede de perímetro refere-se a um segmento de rede isolado no ponto em que uma rede corporativa alcança a Internet. As redes de perímetro destinam-se a criar um limite que permite a separação do tráfego entre redes internas e externas. Com este limite, é possível categorizar, colocar em quarentena e controlar o tráfego da rede de uma empresa. A segurança de perímetro é proporcionada por um dispositivo de perímetro, como um firewall, por exemplo, que inspeciona os pacotes e as sessões para determinar se devem ser transmitidos para a rede protegida ou a partir dela ou ser abandonados. Os serviços e servidores que devem interagir com a Internet externa desprotegida são colocados na rede de perímetro (conhecida como zona desmilitarizada) e na sub-rede filtrada. Isto ocorre para que, caso invasores consigam explorar vulnerabilidades em serviços expostos, possam avançar apenas uma etapa no acesso à rede interna confiável. Enfim, a Zona Desmilitarizada Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede, parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que contém todos os serviços e informações para clientes ou públicos. A DMZ pode também incluir regras de acesso específico e sistemas de defesa de perímetro para que simule uma rede protegida e induzindo os possíveis invasores para armadilhas virtuais de modo a se tentar localizar a origem do ataque. Podemos ter dois tipos de DMZ s: a interna, só acessada pelo usuário da rede interna e a DMZ externa, acessada por qualquer usuário da Internet. Este conceito aliado ao de VLAN s 8 também permite a implantação de DMZ s privadas, ou seja, a possibilidade de DMZ s específicas para cada cliente de hosting 9 ou para a hospedagem de servidores. 8 Uma VLAN, Virtual Local Área Network ou Rede Local Virtual, é uma segmentação lógica de uma rede física que se comporta como uma rede local independente do resto da rede física à qual está ligada. 9 Serviço que visa o armazenamento de seu site em um servidor de terceiros mediante pagamento de uma taxa.

74 As DMZ s são sub-redes onde se hospedam os servidores/serviços de um provedor, protegidos contra ataques da Internet por um firewall. Em geral é necessário especificar uma faixa de endereços IP 10, ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona. Implantando a DMZ O projeto lógico de uma rede que visa conexões com a Internet deve envolver a criação de uma DMZ. Esta DMZ será protegida por um sistema de defesa de perímetro, onde os usuários de Internet podem entrar livremente para acessar os servidores web públicos, enquanto que os dispositivos localizados nos pontos de acesso (firewall, switch e servidor de perímetro) filtram todo o trafego não permitido, como por exemplo, pacotes de dados que tentam prejudicar o funcionamento do sistema. Ao mesmo tempo a rede interna privada esta protegida por um outro firewall. A zona desmilitarizada comporta-se como uma outra sub-rede, atrás de um firewall, onde temos uma máquina segura na rede externa que não executa nenhum serviço, mas apenas avalia as requisições feitas a ela e encaminha cada serviço para a máquina destino na rede interna. No caso de uma invasão de primeiro nível, o atacante terá acesso apenas ao firewall, não causando problema algum para a rede da empresa. Já em invasões de segundo nível, o atacante conseguirá passar do firewall para a sub-rede interna, mas ficará preso na máquina do serviço que ele explorar. Em todos os casos, deve-se analisar com cuidado quais serviços podem ser colocados dentro da DMZ. Por exemplo, na maioria das situações, o servidor de e-mail é inserido em uma DMZ. Nesse caso, em uma invasão ao servidor de e-mail, os únicos dados que poderão ser comprometidos são os e-mails e mais nenhum outro. Já a colocação de um servidor de DNS em uma DMZ não é recomendável para a segurança da rede. Como uma DMZ permite acesso menos seguro a certas partes da rede, a colocação de um servidor de DNS nessa situação poderia comprometer a segurança dos endereços de todos os servidores da rede local e roteadores. 10 IP pode ser um acrónimo para:* Internet Protocol, o protocolo sob o qual assenta a infraestrutura da Internet;* Endereço IP, um modelo de endereçamento utilizado pelo protocolo IP acima.

75 Convém salientar que durante a elaboração do projeto da rede, é recomendável se manter os serviços separados uns dos outros. Assim, será possível adotar as medidas de segurança mais adequadas para cada serviço. CONCLUSÃO Toda rede possui um perímetro, um acesso para a Internet. Esses perímetros podem ajudar a gerenciar as atividades baseadas na Internet, porém devem ser cuidadosamente protegidos. Uma única exposição não reconhecida, como um perímetro não protegido, pode comprometer toda a rede corporativa. As necessidades do negócio e o valor da informação mantida na rede da empresa são os fatores que devem determinar a arquitetura da rede e qual solução será implantada. Com este estudo podemos projetar e implementar uma nova topologia para uma rede, de maneira que nela fosse incluída uma zona desmilitarizada. Lembramos que o uso de uma zona desmilitarizada pode melhorar a segurança da rede, mas ela também pode ser restritiva, pois para acessos de fora da rede, nenhum serviço, em teoria, pode ser acessado senão aqueles disponibilizados na própria zona. A solução adotada seria criar um túnel coreano conectando usuários externos ao servidor SSH 11 interno através do servidor da zona desmilitarizada. Desse modo, foi assumido o risco de ter a rede interna comprometida, caso alguma vulnerabilidade do SSH fosse explorada, em detrimento de uma maior liberdade para os usuários. Mesmo com esta flexibilização, esse método ainda apresenta a vantagem de correr este risco somente para o serviço de SSH. Usando-se uma única rede, qualquer um dos serviços poderia comprometer a rede. REFERÊNCIAS - CARMONA, Tadeu. Redes de Computadores, 1º Edição, Ed. Digerati Books, São Paulo, 2006. 11 Em informática, o Secure Shell ou SSH é, simultaneamente, um programa de computador e um protocolo de rede que permite a conexão com outro computador na rede, de forma a executar comandos de uma unidade remota com a vantagem da conexão entre o cliente e o servidor ser criptografada.

- KOMAR, Brian, BEEKELAAR Ronald, Wettern, Joern. Firewall for dummies, 2º Edição, Ed. Wiley Publishing.INC, New York, 2003. - TANENBAUM, A. S. Redes de computadores, 3ª edição, Ed. Prentice Hall, New York, 1996. 76 - CARMONA, Tadeu. Treinamento Prático em Linux, 1º Edição, Ed. Digerati Books, São Paulo, 2006. - PUC-RIO, Desvendando a Rede Segura, disponível em: http://publique.rdc.puc-rio.br/rdc/media/desvendando%20a%20rede%20segura.pdf, acesso em [04 ago 2006]. WIKIPÉDIA, A enciclopédia livre ON LINE Redes DMZ, disponível em: http://pt.wikipedia.org/wiki/dmz, acesso em [08 ago 2006]. CERT-BR, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, disponível em: http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html, acesso em [08 ago 2006]. PROJETO DE REDES, VPN - com DMZ, disponível em: http://www.projetoderedes.com.br/tutoriais/tutorial_projeto_de_gateway_vpn_01.php, acesso em [15 ago 2006]. PROJETO DE REDES, VPN - com DMZ, disponível em: http://www.projetoderedes.com.br/tutoriais/tutorial_projeto_de_gateway_vpn_02.php, acesso em [15 ago 2006]. RNP, News Generation, disponível em: http://www.rnp.br/newsgen/9708/n3-3.html, acesso em [15 ago 2006]. UFSC, Departamento de Engenharia de Produção e Sistemas, disponível em: http://www.eps.ufsc.br, acesso em [20 ago 2006].

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback