[GTER] RES: Posicionamento de DNS externos.

MARLON BORBA MBORBA at trf3.jus.br
Tue Jan 20 13:25:10 -02 2009


Uma DMZ (demilitarized zone) deve permitir controle de acesso tanto dos
clientes internos da corporação quanto dos usuários de fora (i.e. da
selva da Internet). Não é necessário o uso de IPs reservados (RFC
1918).

Para citar um exemplo de um serviço bem-colocado em uma DMZ, podemos
ter um servidor Web que depende de informações presentes "do lado de
dentro", e portanto pode conectar-se de forma limitada com serviços
internos (é comum o uso de um SGBD relacional com algumas informações
coroporativas). Os visitantes provenientes da "selva" só podem
comunicar-se com o servidor nas portas dos serviços cuja disponibilidade
é necessária.

É evidente que as aplicações expostas pelo servidor Web, e até mesmo o
próprio sistema operacional dele, devem passar por um processo de
"hardening" para evitar que, mesmo em uma DMZ, o equipamento seja vítima
de ataques. Confiar *apenas* no "firewall" de fronteira é perigoso (até
porque muito tráfego, em particular o HTTP, porta 80, não pode ser
trivialmente filtrado sem prejudicar a própria disponibilidade do
serviço).


-- 

Abraços,

Marlon Borba, CISSP, APC DataCenter Associate
Técnico Judiciário · Segurança da Informação
IPv6 Evangelist · MoReq-Jus Evangelist
TRF 3 Região
(11) 3012-1683
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--


Em 20/1/2009 às 12:07, "Cristiano Maynart Pereira" <cpereira at unisc.br>
gravou:

[...]

> 
> Olá Cristina.
> 
> Ter os servidores em uma DMZ ou simplesmente atrás de um Firewall não

> significa que deve ser utilizado NAT, e sim que estes servidores
devem estar 
> protegidos de acessos externos e internos. O Firewall, em termos de
segurança 
> terá o mesmo papel e confiabilidade utilizando ou não o NAT, desde
que 
> corretamente configurado. Quem determina o que pode ou não ser
acessado são 
> as regras/filtros. 
> 
> Inclusive, você pode ter todas as suas estações com IP público.
>  
> 
> Cristiano Maynart
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list