[GTER] RES: Posicionamento de DNS externos.
MARLON BORBA
MBORBA at trf3.jus.br
Tue Jan 20 13:25:10 -02 2009
Uma DMZ (demilitarized zone) deve permitir controle de acesso tanto dos
clientes internos da corporação quanto dos usuários de fora (i.e. da
selva da Internet). Não é necessário o uso de IPs reservados (RFC
1918).
Para citar um exemplo de um serviço bem-colocado em uma DMZ, podemos
ter um servidor Web que depende de informações presentes "do lado de
dentro", e portanto pode conectar-se de forma limitada com serviços
internos (é comum o uso de um SGBD relacional com algumas informações
coroporativas). Os visitantes provenientes da "selva" só podem
comunicar-se com o servidor nas portas dos serviços cuja disponibilidade
é necessária.
É evidente que as aplicações expostas pelo servidor Web, e até mesmo o
próprio sistema operacional dele, devem passar por um processo de
"hardening" para evitar que, mesmo em uma DMZ, o equipamento seja vítima
de ataques. Confiar *apenas* no "firewall" de fronteira é perigoso (até
porque muito tráfego, em particular o HTTP, porta 80, não pode ser
trivialmente filtrado sem prejudicar a própria disponibilidade do
serviço).
--
Abraços,
Marlon Borba, CISSP, APC DataCenter Associate
Técnico Judiciário · Segurança da Informação
IPv6 Evangelist · MoReq-Jus Evangelist
TRF 3 Região
(11) 3012-1683
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--
Em 20/1/2009 às 12:07, "Cristiano Maynart Pereira" <cpereira at unisc.br>
gravou:
[...]
>
> Olá Cristina.
>
> Ter os servidores em uma DMZ ou simplesmente atrás de um Firewall não
> significa que deve ser utilizado NAT, e sim que estes servidores
devem estar
> protegidos de acessos externos e internos. O Firewall, em termos de
segurança
> terá o mesmo papel e confiabilidade utilizando ou não o NAT, desde
que
> corretamente configurado. Quem determina o que pode ou não ser
acessado são
> as regras/filtros.
>
> Inclusive, você pode ter todas as suas estações com IP público.
>
>
> Cristiano Maynart
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list