[FUGSPBR] Re: [OFF-TOPIC] Solução para firewall/nat

Pablo Santiago Sanchez pablo.sanchez em cidades.gov.br
Seg Ago 9 16:03:17 BRT 2004 

Nops! Como disse antes o melhor seria assim:

   [internet/WAN]
         |
      [router]
         |
[firewall/vpn server]--[aqui cabe um IDS]--[DMZ]
         |
       [LAN]

Não ligue a DMZ diretamente à rede interna em nenhum caso. Uma invasão a
qualquer um dos servidores (DNS, Web, etc) comprometeria totalmente sua
rede.

O ideal é criar regras para filtragem de estado no firewall permitindo
acesso da LAN para a DMZ, mas nunca o contrário. Acesso da internet/WAN
para a DMZ apenas nos serviços desejados. Nenhum acesso da DMZ para
nenhuma das duas redes, pois isso permite que seu servidor seja invadido
e utilizado como zumbi por um hacker, deixando sua máquina logada na
vítima do ataque dele. Já imaginou que bonito a PF batendo na sua porta
com mandado de prisão e você sem ter o que fazer? Ah sim, ative tudo que
é tipo de IDS na sua DMZ. Lembre-se que é a parte exposta da sua rede.

Para maiores detalhes, aconselho a ler "Desvendando Segurança de Redes".
Não lembro a editora mas deve ser a Campus para variar.

FUI!


On Mon, 2004-08-09 at 18:20, marcio em lists.slchapeco.org wrote:
> > Marcio, o que eu quero é "tunar" a rede, pq eu acho que ela não está
> > certa.
> > A DMZ, a rede interna, firewall, e as VPNS chegam todas no mesmo lugar,
> > elas
> > estão lineares..
> >
> > Seria isso o certo?
> 
> Henrique,
> Isso já virou OFF-TOPIC, mas tudo bem, famos lá.
> Eu acredito que o servidor de Firewall deve estar na frente da sua rede, ok?
> [ internet ]---- [ Roteador ] ---- [ Firewall ] ---- [ DMZ ]
>  							|
> 							|
> 					     [ Rede - Interna ]
> 
> Dessa forma você pode fazer a vpn sem problemas, ou fazer um outro
> gateway, se você acha que esse (firewall) não deve ser o gateway da sua
> rede interna, mas não recomendo fazer isso, pois você pode ter problemas
> futuros com as vpn.
> 
> []'s
> Márcio
> 
> _______________________________________________________________
> Para enviar um novo email para a lista: fugspbr em fugspbr.org
> Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
-- 
Pablo Santiago Sánchez
==========================================
Coordenador de Desenvolvimento e Sistemas
Ministério das Cidades
==========================================
Microsoft: "Where do you want to go today?"
Linux: "Where do you want to go tomorrow?"
FreeBSD: "What are you doing back there? Are you coming or what?"

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd