Re: [GTER] Solução para firewall/nat
Ricardo Kleber
rk at ufrnet.br
Mon Aug 9 15:20:23 -03 2004
Henrique,
Se você confia nas unidades remotas, tudo bem, mas seria interessante
colocar um firewall entre elas e sua rede local, até para um eventual
necessidade de bloqueio por infestação de vírus em alguma das localidades
remotas e inibição de ataques internos contra sua intranet sem mecanismos
de bloqueio entre eles.
Um problema EXTREMAMENTE CRÍTICO é você deixar seus servidores públicos
dentro de sua intranet (Está usando NAT 1:1 não é?). Veja que você está
fornecendo uma ponte para ataques externos às suas máquinas teoricamente
protegidas. Um ataque com sucesso a um destes servidores seria um
trampolim para, a partir dele, o atacante vasculhar e bombardear sua rede
interna sem registro algum em qualquer firewall.
DMZ é uma rede ISOLADA com servidores PÚBLICOS sem acesso direto a partir
da Intranet (por isso é DesMilitariZada).
Aconselho que separe seus serviços internos dos serviços externos. Sei que
para isso é preciso de mais máquinas, mas, isto é justificável diante da
possibilidade de manter sua intranet protegida de ataques externos.
Se realmente você tem que acessar esses servidores, visualizando-os como
máquinas da Intranet (mesma rede lógica) a partir da sua Intranet,
Sugiro isolá-los na DMZ e fazer um NAT somente para pacotes vindos de sua
Intranet para estas máquinas (fornece um edereço IP de sua rede privada
para cada servidor e o firewall faz um NAT 1:1 para a máquina na DMZ).
Com este artifício você teria conectividade, mas, também, poderia
estabelecer regras de acesso a partir das máquinas da DMZ para máquinas de
sua Intranet.
[]'s
Ricardo Kléber
Security Officer - SI/UFRN
rk at ufrnet.br * http://www.ufrnet.br/~rk
NARIS - Núcleo de Atendimento e Resposta a Incidentes de Segurança
(http://naris.info.ufrn.br)
On Mon, 9 Aug 2004, Henrique wrote:
> Obrigado pelas respostas! Mas continuando:
>
> O Problema da rede 128.1.0.0 é antigo e to a tempo para mudar, desde que
> entrei aqui ja tinha essa rede.
> Então isso não será mais problemas. Respondendo/perguntando ao Ricardo:
>
> Minha unidades remotas são confiáveis.
> O Problema da DMZ: Eu tenho servidores que são servidores "web" e de
> intranet. Por exemplo:
> O Servidor de email é um BDC da rede, e um dos servidores web funciona
> com um "estoque" de scripts web que
> sao acessados via netbios. Tem como fazer isso? O Servidor estar em uma
> dmz e ficar transparente para quem tenta
> acessá-lo?
>
> Hoje cada server na "DMZ" tem o seu IP válido.
More information about the gter
mailing list