Re: [GTER] Solução para firewall/nat

Lao DanTong danton at inexo.com.br
Mon Aug 9 14:35:00 -03 2004 

On Mon, 9 Aug 2004, Henrique wrote:

> Obrigado pelas respostas! Mas continuando:
>
> O Problema da rede 128.1.0.0 é antigo e to a tempo para mudar, desde que
> entrei aqui ja tinha essa rede.
> Então isso não será mais problemas. Respondendo/perguntando ao Ricardo:

é bom mesmo obedecer a BCP-5.

> Minha unidades remotas são confiáveis.
> O Problema da DMZ: Eu tenho servidores que são servidores "web" e de
> intranet. Por exemplo:
> O Servidor de email é um BDC da rede, e um dos servidores web funciona com
> um "estoque" de scripts web que
> sao acessados via netbios. Tem como fazer isso? O Servidor estar em uma dmz
> e ficar transparente para quem tenta
> acessá-lo?

o que é um BDC? se for algo a ver com domain controller de redes
microsoft, recomendo que não seja visível na internet de jeito nenhum.
DMZ de verdade é parte da internet! não entendi o que os scripts web tem a
ver com netbios.

teu modelo de firewall não é de DMZ porque a rede interna e a dos
servidores compartilha da mesma camada 2. O modelo que você segue é o
chamado "screened hosts", que pode ser suficiente para teus requisitos de
segurança.

o modelo ortodoxo de DMZ envolve dois roteadores, embora eles possam ser
realizados por uma mesma máquina:

rede interna----[roteador interno]----DMZ----[roteador externo]----Internet

os roteadores interno e externo não se falam. os servidores colocados na
DMZ são denominados bastiões e só devem ter serviços estritamente para
Internet, porisso acho que 'domain controller' ou 'netbios' aí está fora
de cogitação.

note que os segmentos de rede são segregados. a idéia é que as máquinas na
DMZ são bois de piranha, se elas forem conquistadas dificilmente poderão
ser usadas para atacar a rede interna. Uma alternativa de DMZ é faz-la com
um único roteador (segue ASCII-art, fonte monospace, por favor):

rede interna ---------[roteador]------- Internet
                          |
           DMZ -----------+

mas tem que se tomar especial cuidado ao escrever as regrasd e controle de
acesso para evitar, mesmo via NAT, o tráfego direto entre rede interna e
Internet.

recomendo o livro de E.Zwicki e outros "Building Internet Firewalls"
editora O'Reilly.

> Hoje cada server na "DMZ" tem o seu IP válido.

Tem mais que ter mesmo, já que DMZ está na Internet.

danton

More information about the gter mailing list