69 DMZ ZONA DESMILITARIZADA Miguel Fabrício Zamberlan 1 RESUMO A maioria dos sites na Internet, embora todos os avanços, apresenta, ainda, uma topologia com uma única rede protegida por um filtro de pacotes simples. Essa topologia é útil e segura para redes domésticas, onde não há necessidade de se oferecer serviço através da rede. Porém, para redes que necessitam prover serviços, essa topologia não é adequada. Caso ocorra alguma invasão passando pelo filtro e atingindo um dos servidores, a segurança de toda a rede fica comprometida, pois não existe nenhum tipo de proteção entre os servidores e as outras estações que impeça o invasor de um ataque geral à rede. Logo, uma maneira de impossibilitar que as estações de trabalho sejam invadidas torna-se atrativa. A utilização de uma Zona Desmilitarizada resolveria tal problema, diminuindo o impacto de uma invasão através da segmentação da rede. O objetivo de uma Zona Desmilitarizada é fazer toda uma reestruturação lógica e física da topologia da rede de forma a limitar as possíveis proporções alcançadas por uma invasão e, ao mesmo tempo, não impedir a disponibilização dos seus serviços. PALAVRAS-CHAVE: DMZ, Firewall, Segurança. ABSTRACT: The majority of the sites in the Internet still today presents a topology that consists only of an only net protected for a filter of simple packages. This topology is useful and insurance for domestic nets, where it does not have necessity of if offering no service through the net. However, for nets that need to provide services, this topology is not adjusted. In case that some invasion occurs passing for the filter and reaching one of the servers, the security of all the net is compromised, therefore no type of protection between the servers and the other stations does not exist that the invader of a general attack to the net hinders. Soon, a way to disable that the work stations are invaded if becomes attractive. The use of a Demilitarized Zone decides this problem, diminishing the impact of an invasion through the segmentation of the net. The objective of a Demilitarized Zone is to make all all a reorganization logical and physical of the topology of the form net to limit the possible ratios reached for an invasion and, at the same time, not to hinder the availability them its services. KEY WORDS: DMZ, Firewall, Security. 1 Pós-graduando em Redes de Computadores pela FACIMED Faculdade de Ciências Biomédicas de Cacoal. Graduado em Sistemas de Informação pela UNESC União das Escolas Superiores de Cacoal. Profissional da Área de Gerência de Redes de Computadores na FACIMED.
70 INTRODUÇÃO A sociedade atual encontra-se em plena era da Internet, surgindo facilidades de troca de informação entres as pessoas e empresas. Utilizar estes benefícios para as organizações faz com que elas se tornem competitivas no mercado. No entanto, ao mesmo tempo em que ocorreu um enorme avanço na comunicação entre redes, tornando possível o compartilhamento globalizado de seus recursos e informações, a segurança destas redes passou a ser crítica. Se por um lado este compartilhamento permite aumentar o dinamismo das comunicações e a troca de informações, por outro, ele possibilita que pessoas não autorizadas obtenham acesso a dados sigilosos. Devido a esses e outros fatores, surge a preocupação com a proteção dada a essas informações que é o patrimônio não palpável das empresas. Uma conexão entre uma empresa e a internet deve ser muito bem planejada e projetada para que alcance os objetivos e extraia o máximo de recursos disponíveis de sua infra-estrutura, sem oferecer riscos para as informações dos seus usuários. Por isso, a segurança é considerada essencial no projeto de uma rede, seja esta corporativa, acadêmica ou até mesmo pessoal. As razões dessa nova preocupação estão relacionadas diretamente com o valor dos dados armazenados e ainda com a necessidade de se garantir diferentes níveis de privacidade, integridade e autenticidade para cada tipo de dado. DMZ: Forma de trabalhar ou Conceito? O DMZ Demilitarized Zone 2, zona desmilitarizada, é um conceito e não um software ou hardware. Consiste, basicamente, em separar por meio físico e lógico os setores, departamentos ou estações de uma rede corporativa. Este conceito é largamente utilizado por grandes corporações, governos e bancos. Geralmente essas companhias possuem como maior valor corporativo as informações, para elas é muito mais caro 2 DMZ Demilitarized Zone: pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
71 perder uma base de dados inteira do que um funcionário de renome. A informação é a alma da empresa. A segurança neste caso deve ser uma preocupação básica ao se elaborar projeto de uma rede. Inicialmente devemos lembrar que as simplicidades da aplicação de estratégias de segurança são fundamentais em um projeto de redes, isso porque um servidor de uma determinada rede pode prover vários serviços, porém, quando isto ocorre pode gerar problemas de segurança já que as possibilidades de falhas acontecerem são bem maiores. Dentre cuidados a ser tomados, e que evitem inicialmente, tais problemas, podemos citar: - Exposição da rede interna à Internet: os serviços da rede interna (e-mail, por exemplo) estarem localizados na mesma máquina que provê os serviços externos (web, por exemplo), deixarão os dados do usuário expostos em caso de uma invasão; - Maior fragilidade a vulnerabilidades conhecidas: o fato de concentrar muitos serviços em uma única máquina gera esse tipo de problema, pois quanto mais serviços disponíveis, mais vulnerabilidades podem ser exploradas e, conseqüentemente, existe um maior grau de exposição e risco de invasão; A partir daqui poderemos falar mais claramente sobre os conceitos de DMZ, pois uma solução para os problemas acima seria a divisão dos serviços críticos, separando assim os diversos servidores: Internet, E-mail, DNS 3 e outros. Portanto, se um dos servidores forem afetados por ataque de um Black Hacker 4, apenas aquele serviço será parado e o restante funcionará normalmente. Usando um Firewall Firewall 5 é um quesito de segurança com cada vez mais importância no mundo da computação e principalmente em uma rede com arquitetura de DMZ. À medida que 3 O DNS (Domain Name System) é hoje um serviço essencial para o funcionamento da Internet. Essa importância, associada à natureza das informações que ele armazena (dados sobre os endereços dos computadores da rede interna), o tornam um dos alvos mais atraentes para atacantes. 4 Black Hacker Pessoa com alto conhecimento na área de informática, principalmente em sistemas operacionais e que usa esses conhecimentos para atos ilícitos. 5 Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet).
72 o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e conceitos de segurança eficientes. O firewall é uma opção praticamente imprescindível. Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum. Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada. Implantar um firewall, com regras rígidas de segurança e que não permita que as máquinas da rede sejam acessadas por máquinas remotas, é uma grande conquista em termos de segurança. Por vezes, algumas máquinas da rede precisam receber acessos externos, é o caso de servidores SMTP 6 e servidores Web, por exemplo. Para permitir que estas máquinas possam desempenhar suas funções, mas que ao mesmo tempo o restante da rede continue protegida, muitos firewalls oferecem a opção de criar uma zona onde essa vigilância é mais fraca conhecida como DMZ. Nesse caso, o controle de acesso a Internet pode ser feito através de um projeto de DMZ, permitindo que todo o tráfego entre os servidores da empresa, a rede interna e a Internet passe por um firewall e pelas regras de segurança criadas para a proteção da rede interna. Assim, os firewalls se tornaram um único ponto de acesso à rede em que o tráfego pode ser analisado e controlado por meio de scripts 7 de firewall que definem o aplicativo, o endereço e os parâmetros de usuário. Esses scripts ajudam a proteger os caminhos de conectividade para redes e centros de dados externos. Zona de Perímetro 6 SMTP - (Simple Mail Transfer Protocol) Protocolo de Transferência de Simples Mensagens, utilizado para enviar e receber mensagens via Internet. Através dele podemos ter nosso endereço e-mail, como "fulano@provedor.com.br". É um dos mais antigos protocolos de Internet. 7 Roteiros, procedimentos, programas.
73 O termo rede de perímetro refere-se a um segmento de rede isolado no ponto em que uma rede corporativa alcança a Internet. As redes de perímetro destinam-se a criar um limite que permite a separação do tráfego entre redes internas e externas. Com este limite, é possível categorizar, colocar em quarentena e controlar o tráfego da rede de uma empresa. A segurança de perímetro é proporcionada por um dispositivo de perímetro, como um firewall, por exemplo, que inspeciona os pacotes e as sessões para determinar se devem ser transmitidos para a rede protegida ou a partir dela ou ser abandonados. Os serviços e servidores que devem interagir com a Internet externa desprotegida são colocados na rede de perímetro (conhecida como zona desmilitarizada) e na sub-rede filtrada. Isto ocorre para que, caso invasores consigam explorar vulnerabilidades em serviços expostos, possam avançar apenas uma etapa no acesso à rede interna confiável. Enfim, a Zona Desmilitarizada Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede, parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que contém todos os serviços e informações para clientes ou públicos. A DMZ pode também incluir regras de acesso específico e sistemas de defesa de perímetro para que simule uma rede protegida e induzindo os possíveis invasores para armadilhas virtuais de modo a se tentar localizar a origem do ataque. Podemos ter dois tipos de DMZ s: a interna, só acessada pelo usuário da rede interna e a DMZ externa, acessada por qualquer usuário da Internet. Este conceito aliado ao de VLAN s 8 também permite a implantação de DMZ s privadas, ou seja, a possibilidade de DMZ s específicas para cada cliente de hosting 9 ou para a hospedagem de servidores. 8 Uma VLAN, Virtual Local Área Network ou Rede Local Virtual, é uma segmentação lógica de uma rede física que se comporta como uma rede local independente do resto da rede física à qual está ligada. 9 Serviço que visa o armazenamento de seu site em um servidor de terceiros mediante pagamento de uma taxa.
74 As DMZ s são sub-redes onde se hospedam os servidores/serviços de um provedor, protegidos contra ataques da Internet por um firewall. Em geral é necessário especificar uma faixa de endereços IP 10, ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona. Implantando a DMZ O projeto lógico de uma rede que visa conexões com a Internet deve envolver a criação de uma DMZ. Esta DMZ será protegida por um sistema de defesa de perímetro, onde os usuários de Internet podem entrar livremente para acessar os servidores web públicos, enquanto que os dispositivos localizados nos pontos de acesso (firewall, switch e servidor de perímetro) filtram todo o trafego não permitido, como por exemplo, pacotes de dados que tentam prejudicar o funcionamento do sistema. Ao mesmo tempo a rede interna privada esta protegida por um outro firewall. A zona desmilitarizada comporta-se como uma outra sub-rede, atrás de um firewall, onde temos uma máquina segura na rede externa que não executa nenhum serviço, mas apenas avalia as requisições feitas a ela e encaminha cada serviço para a máquina destino na rede interna. No caso de uma invasão de primeiro nível, o atacante terá acesso apenas ao firewall, não causando problema algum para a rede da empresa. Já em invasões de segundo nível, o atacante conseguirá passar do firewall para a sub-rede interna, mas ficará preso na máquina do serviço que ele explorar. Em todos os casos, deve-se analisar com cuidado quais serviços podem ser colocados dentro da DMZ. Por exemplo, na maioria das situações, o servidor de e-mail é inserido em uma DMZ. Nesse caso, em uma invasão ao servidor de e-mail, os únicos dados que poderão ser comprometidos são os e-mails e mais nenhum outro. Já a colocação de um servidor de DNS em uma DMZ não é recomendável para a segurança da rede. Como uma DMZ permite acesso menos seguro a certas partes da rede, a colocação de um servidor de DNS nessa situação poderia comprometer a segurança dos endereços de todos os servidores da rede local e roteadores. 10 IP pode ser um acrónimo para:* Internet Protocol, o protocolo sob o qual assenta a infraestrutura da Internet;* Endereço IP, um modelo de endereçamento utilizado pelo protocolo IP acima.
75 Convém salientar que durante a elaboração do projeto da rede, é recomendável se manter os serviços separados uns dos outros. Assim, será possível adotar as medidas de segurança mais adequadas para cada serviço. CONCLUSÃO Toda rede possui um perímetro, um acesso para a Internet. Esses perímetros podem ajudar a gerenciar as atividades baseadas na Internet, porém devem ser cuidadosamente protegidos. Uma única exposição não reconhecida, como um perímetro não protegido, pode comprometer toda a rede corporativa. As necessidades do negócio e o valor da informação mantida na rede da empresa são os fatores que devem determinar a arquitetura da rede e qual solução será implantada. Com este estudo podemos projetar e implementar uma nova topologia para uma rede, de maneira que nela fosse incluída uma zona desmilitarizada. Lembramos que o uso de uma zona desmilitarizada pode melhorar a segurança da rede, mas ela também pode ser restritiva, pois para acessos de fora da rede, nenhum serviço, em teoria, pode ser acessado senão aqueles disponibilizados na própria zona. A solução adotada seria criar um túnel coreano conectando usuários externos ao servidor SSH 11 interno através do servidor da zona desmilitarizada. Desse modo, foi assumido o risco de ter a rede interna comprometida, caso alguma vulnerabilidade do SSH fosse explorada, em detrimento de uma maior liberdade para os usuários. Mesmo com esta flexibilização, esse método ainda apresenta a vantagem de correr este risco somente para o serviço de SSH. Usando-se uma única rede, qualquer um dos serviços poderia comprometer a rede. REFERÊNCIAS - CARMONA, Tadeu. Redes de Computadores, 1º Edição, Ed. Digerati Books, São Paulo, 2006. 11 Em informática, o Secure Shell ou SSH é, simultaneamente, um programa de computador e um protocolo de rede que permite a conexão com outro computador na rede, de forma a executar comandos de uma unidade remota com a vantagem da conexão entre o cliente e o servidor ser criptografada.
- KOMAR, Brian, BEEKELAAR Ronald, Wettern, Joern. Firewall for dummies, 2º Edição, Ed. Wiley Publishing.INC, New York, 2003. - TANENBAUM, A. S. Redes de computadores, 3ª edição, Ed. Prentice Hall, New York, 1996. 76 - CARMONA, Tadeu. Treinamento Prático em Linux, 1º Edição, Ed. Digerati Books, São Paulo, 2006. - PUC-RIO, Desvendando a Rede Segura, disponível em: http://publique.rdc.puc-rio.br/rdc/media/desvendando%20a%20rede%20segura.pdf, acesso em [04 ago 2006]. WIKIPÉDIA, A enciclopédia livre ON LINE Redes DMZ, disponível em: http://pt.wikipedia.org/wiki/dmz, acesso em [08 ago 2006]. CERT-BR, Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, disponível em: http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html, acesso em [08 ago 2006]. PROJETO DE REDES, VPN - com DMZ, disponível em: http://www.projetoderedes.com.br/tutoriais/tutorial_projeto_de_gateway_vpn_01.php, acesso em [15 ago 2006]. PROJETO DE REDES, VPN - com DMZ, disponível em: http://www.projetoderedes.com.br/tutoriais/tutorial_projeto_de_gateway_vpn_02.php, acesso em [15 ago 2006]. RNP, News Generation, disponível em: http://www.rnp.br/newsgen/9708/n3-3.html, acesso em [15 ago 2006]. UFSC, Departamento de Engenharia de Produção e Sistemas, disponível em: http://www.eps.ufsc.br, acesso em [20 ago 2006].