Re: [GTER] Solução para firewall/nat

Ricardo Kleber rk at ufrnet.br
Mon Aug 9 15:20:23 -03 2004 

Henrique,

Se você confia nas unidades remotas, tudo bem, mas seria interessante 
colocar um firewall entre elas e sua rede local, até para um eventual 
necessidade de bloqueio por infestação de vírus em alguma das localidades 
remotas e inibição de ataques internos contra sua intranet sem mecanismos 
de bloqueio entre eles.

Um problema EXTREMAMENTE CRÍTICO é você deixar seus servidores públicos 
dentro de sua intranet (Está usando NAT 1:1 não é?). Veja que você está 
fornecendo uma ponte para ataques externos às suas máquinas teoricamente 
protegidas. Um ataque com sucesso a um destes servidores seria um 
trampolim para, a partir dele, o atacante vasculhar e bombardear sua rede 
interna sem registro algum em qualquer firewall.

DMZ é uma rede ISOLADA com servidores PÚBLICOS sem acesso direto a partir 
da Intranet (por isso é DesMilitariZada).

Aconselho que separe seus serviços internos dos serviços externos. Sei que 
para isso é preciso de mais máquinas, mas, isto é justificável diante da 
possibilidade de manter sua intranet protegida de ataques externos.

Se realmente você tem que acessar esses servidores, visualizando-os como 
máquinas da Intranet (mesma rede lógica) a partir da sua Intranet, 
Sugiro isolá-los na DMZ e fazer um NAT somente para pacotes vindos de sua 
Intranet para estas máquinas (fornece um edereço IP de sua rede privada 
para cada servidor e o firewall faz um NAT 1:1 para a máquina na DMZ).
Com este artifício você teria conectividade, mas, também, poderia 
estabelecer regras de acesso a partir das máquinas da DMZ para máquinas de 
sua Intranet.

[]'s

Ricardo Kléber
Security Officer - SI/UFRN
rk at ufrnet.br * http://www.ufrnet.br/~rk
NARIS - Núcleo de Atendimento e Resposta a Incidentes de Segurança
(http://naris.info.ufrn.br)


On Mon, 9 Aug 2004, Henrique wrote:

> Obrigado pelas respostas! Mas continuando:
>
> O Problema da rede 128.1.0.0 é antigo e to a tempo para mudar, desde que
> entrei aqui ja tinha essa rede.
> Então isso não será mais problemas. Respondendo/perguntando ao Ricardo:
>
> Minha unidades remotas são confiáveis.
> O Problema da DMZ: Eu tenho servidores que são servidores "web" e de
> intranet. Por exemplo:
> O Servidor de email é um BDC da rede, e um dos servidores web funciona 
> com um "estoque" de scripts web que
> sao acessados via netbios. Tem como fazer isso? O Servidor estar em uma 
> dmz e ficar transparente para quem tenta
> acessá-lo?
>
> Hoje cada server na "DMZ" tem o seu IP válido.

More information about the gter mailing list