YouTube Facebook Twitter
Apostilas Artigos Tutoriais Aulas Vídeos Blog Ferramentas de Rede Fórum Downloads Colabore Fale Conosco
» artigos
:: Redes de Perímetro

José Mauricio Santos Pinheiro em 14/12/2004

 

A Internet é um ambiente aberto criado com a finalidade de facilitar a troca de informações. Utilizar esse ambiente de rede e outros serviços de comunicação disponíveis traz grandes benefícios para as organizações, que podem se tornar mais ágeis e competitivas no mercado. No entanto, a ampliação do alcance proporcionado pela Internet também torna a segurança das informações vulnerável a novos tipos de ameaças. Por esse motivo, a conexão de uma empresa a uma rede externa deve ser bem projetada para que alcance todos os seus objetivos e extraia ao máximo todos os recursos disponíveis de sua infra-estrutura sem oferecer riscos para as informações dos seus usuários.

Aspectos de segurança

A segurança deve ser uma preocupação básica ao se elaborar o projeto de uma rede de computadores. Normalmente a segurança é inversamente proporcional à simplicidade e facilidade de uso/configuração da rede. Por exemplo, um servidor da rede pode centralizar diversos serviços para atender a rede externa (Internet) e a rede privada (interna). Esta configuração gera problemas de segurança como:

Exposição da rede interna à Internet - Os serviços da rede interna (e-mail, por exemplo) estando localizados na mesma máquina que provê os serviços externos (web, por exemplo), deixarão os dados do usuário expostos em caso de uma invasão;

Maior fragilidade a vulnerabilidades conhecidas - O fato de concentrar muitos serviços em uma única máquina gera esse tipo de problema, pois quanto mais serviços disponíveis, mais vulnerabilidades podem ser exploradas e, conseqüentemente, existe um maior grau de exposição e risco de invasão;

A solução para estes problemas está na divisão dos serviços por níveis de criticidade e a criação de uma DMZ (Zona Desmilitarizada). Separa-se assim, por exemplo, o servidor de e-mail do servidor web, pois o servidor de e-mail é o serviço predileto para ataques externos e neste caso, se invadido, não representará maiores riscos para o servidor web, um serviço crítico para os sistemas baseados em web.

Opção pelo firewall

Um firewall é uma passagem ("gateway") que restringe e controla o fluxo do tráfego de dados entre redes, mais comumente entre uma rede interna e a Internet. Os firewalls podem também estabelecer passagens seguras entre redes internas. Implantar um firewall, com regras rígidas de segurança e que não permita que as máquinas da rede sejam acessadas por máquinas remotas é uma grande conquista em termos de segurança.

Por vezes, algumas máquinas da rede precisam receber acessos externos, é o caso de servidores SMTP e servidores Web, por exemplo. Para permitir que estas máquinas possam desempenhar suas funções, mas que ao mesmo tempo o restante da rede continue protegida, muitos firewalls oferecem a opção de criar uma zona onde essa vigilância é mais fraca conhecida como DMZ. Nesse caso, o controle de acesso a Internet pode ser feito através de um projeto de DMZ (DeMilitarized Zone), permitindo que todo o tráfego entre os servidores da empresa, a rede interna e a Internet passe por um firewall e pelas regras de segurança criadas para a proteção da rede interna.

Assim, os firewalls se tornaram um único ponto de acesso à rede em que o tráfego pode ser analisado e controlado por meio de scripts de firewall que definem o aplicativo, o endereço e os parâmetros de usuário. Esses scripts ajudam a proteger os caminhos de conectividade para redes e centros de dados externos.

Figura 1 - Rede com Firewall e DMZ

Rede de Perímetro

O termo rede de perímetro refere-se a um segmento de rede isolado no ponto em que uma rede corporativa alcança a Internet. As redes de perímetro destinam-se a criar um limite que permite a separação do tráfego entre redes internas e externas. Com este limite, é possível categorizar, colocar em quarentena e controlar o tráfego da rede de uma empresa. A segurança de perímetro é proporcionada por um dispositivo de perímetro, como um firewall, por exemplo, que inspeciona os pacotes e as sessões para determinar se devem ser transmitidos para a rede protegida ou a partir dela ou ser abandonados.

Os serviços e servidores que devem interagir com a Internet externa desprotegida são colocados na rede de perímetro (conhecida como zona desmilitarizada) e na sub-rede filtrada. Isto ocorre para que, caso invasores consigam explorar vulnerabilidades em serviços expostos, possam avançar apenas uma etapa no acesso à rede interna confiável.

Figura 2 - Rede de perímetro

Zona Desmilitarizada – DMZ

Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede, parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que contém todos os serviços e informações para clientes ou públicos. A DMZ pode também incluir regras de acesso específico e sistemas de defesa de perímetro para que simule uma rede protegida e induzindo os possíveis invasores para armadilhas virtuais de modo a se tentar localizar a origem do ataque.

Podemos ter dois tipos de DMZ’s: a interna, só acessada pelo usuário da rede interna e a DMZ externa, acessada por qualquer usuário da Internet. Este conceito aliado ao de VLAN’s também permite a implantação de DMZ’s privadas, ou seja, a possibilidade de DMZ’s específicas para cada cliente de hosting ou para a hospedagem de servidores.

As DMZ’s são sub-redes onde se hospedam os servidores/serviços de um provedor, protegidos contra ataques da Internet por um firewall. Em geral é necessário especificar uma faixa de endereços IP, ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona.

Bastion Hosts

Por definição, bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.

Este tipo de máquina também recebe a denominação de "application gateway" porque funciona como um gateway ao nível de aplicação. Os servidores disponíveis nos bastion host são denominados de proxy servers, ou seja, servidores por procuração que atuam como intermediários entre o cliente e o servidor.

Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP, servidores SMTP e servidores NNTP. Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.

Figura 3 - Bastion Host

Os bastion hosts são configurados de uma maneira bem diferente dos hosts comuns. Todos os serviços, protocolos, programas e interfaces de rede desnecessárias são desabilitados ou removidos e cada bastion host é, normalmente, configurado para desempenhar uma função específica. A proteção de bastion hosts dessa maneira limita os métodos potenciais de ataque. Por esse motivo os bastion hosts são um ponto crítico na segurança de uma rede, geralmente necessitando de cuidados extras como auditorias regulares.

Implantação da DMZ

O projeto lógico de uma rede que visa conexões com a Internet deve envolver a criação de uma DMZ. Esta DMZ será protegida por um sistema de defesa de perímetro, onde os usuários de Internet podem entrar livremente para acessar os servidores web públicos, enquanto que os dispositivos localizados nos pontos de acesso (firewall, switch e servidor de perímetro) filtram todo o trafego não permitido, como por exemplo, pacotes de dados que tentam prejudicar o funcionamento do sistema. Ao mesmo tempo a rede interna privada esta protegida por um outro firewall.

A zona desmilitarizada comporta-se como uma outra sub-rede, atrás de um firewall, onde temos uma máquina segura na rede externa que não executa nenhum serviço, mas apenas avalia as requisições feitas a ela e encaminha cada serviço para a máquina destino na rede interna.

No caso de uma invasão de primeiro nível, o atacante terá acesso apenas ao firewall, não causando problema algum para a rede da empresa. Já em invasões de segundo nível, o atacante conseguirá passar do firewall para a sub-rede interna, mas ficará preso na máquina do serviço que ele explorar.

Em todos os casos, deve-se analisar com cuidado quais serviços podem ser colocados dentro da DMZ. Por exemplo, na maioria das situações, o servidor de e-mail é inserido em uma DMZ. Nesse caso, em uma invasão ao servidor de e-mail, os únicos dados que poderão ser comprometidos são os e-mails e mais nenhum outro.

Já a colocação de um servidor de DNS em uma DMZ não é recomendável para a segurança da rede. Como uma DMZ permite acesso menos seguro a certas partes da rede, a colocação de um servidor de DNS nessa situação poderia comprometer a segurança dos endereços de todos os servidores da rede local e roteadores.

Convém salientar que durante a elaboração do projeto da rede, é recomendável se manter os serviços separados uns dos outros. Assim, será possível adotar as medidas de segurança mais adequadas para cada serviço.

Figura 4 - Exemplo de rede com DMZ

Conclusão

Toda rede possui um perímetro, um acesso para a Internet. Esses perímetros podem ajudar a gerenciar as atividades baseadas na Internet, mas devem ser cuidadosamente protegidos. Uma única exposição não reconhecida, como um perímetro não protegido, pode comprometer toda a rede corporativa. As necessidades do negócio e o valor da informação mantida na rede da empresa são os fatores que devem determinar a arquitetura da rede e qual solução será implantada.

Embora cada perímetro seja diferente, cada um é uma área estratégica aberta à manipulação. As DMZ’s demarcam essas áreas de acesso público, estando localizadas geralmente em pontos da rede que não necessitam de segurança (sem firewall) ou que necessitam apenas de uma segurança mais branda (firewall fraco). Nesses casos, um firewall fraco (ou outro ponto de acesso) permite o acesso à área da DMZ e um segundo firewall, mais forte, é posicionado atrás da DMZ visando restringir fortemente o acesso à rede interna.

Os firewalls permitem aos usuários da rede interna acessar a DMZ livremente. Contudo, usuários localizados fora da rede interna, que necessitarem de acesso externo, deverão estar submetidos às regras de acesso comuns para acessos de Internet ou discados, feitos através da rede externa (um servidor de discagem instalado na DMZ com sua lista de acesso própria, por exemplo).

Por fim, sempre é bom lembrar que o mais importante ao iniciar o projeto de uma rede de computadores é pensar sobre as necessidades dos seus usuários, pois são eles que irão determinar a arquitetura da rede e quais as soluções que serão adotadas.

José Maurício Santos Pinheiro
Professor Universitário, Projetista e Gestor de Redes, 
membro da BICSI, Aureside e IEC.

Autor dos livros:
 
· Guia Completo de Cabeamento de Redes ·
· Cabeamento Óptico ·
· Infraestrutura Elétrica para Redes de Computadores
·
· Biometria nos Sistemas Computacionais - Você é a Senha ·

E-mail: jm.pinheiro@projetoderedes.com.br

© www.projetoderedes.com.br - Termos e Condições de Uso