1.3- Implantando a DMZ

O projeto lógico de uma rede que visa conexões com a Internet deve envolver a criação de uma DMZ. Esta DMZ será protegida por um sistema de defesa onde os usuários de Internet podem entrar livremente para acessar os servidores web públicos, enquanto que os dispositivos localizados nos pontos de acesso filtram todo o trafego não permitido, como por exemplo, pacotes de dados que tentam prejudicar o funcionamento do sistema.

A zona desmilitarizada comporta-se como uma outra sub-rede, atrás de um firewall, onde temos uma máquina segura na rede externa que não executa nenhum serviço, mas apenas avalia as requisições feitas a ela e encaminha cada serviço para a máquina destino na rede interna.

No caso de uma invasão de primeiro nível, o atacante terá acesso apenas ao firewall, não causando problema algum para a rede da empresa. Já em invasões de segundo nível, o atacante conseguirá passar do firewall para a sub-rede interna, mas ficará preso na máquina do serviço que ele explorar.

 Para implementar uma DMZ podemos utilizar diversos tipos de dispositivos, sendo que o nível de segurança pode ser variado dependendo das funcionalidades disponíveis em cada dispositivo.

Em roteadores SOHO é possível criar uma DMZ rapidamente, porém este tipo de DMZ somente libera o acesso de um dispositivo da rede interna para a rede externa sem adicionar funcionalidades avançadas de segurança. Mas se você quer montar uma DMZ que utilize múltiplas camadas de segurança, você precisa reunir diversas funcionalidades como packet filtering, stateful packet filtering e um servidor de proxy.

Quanto aos equipamentos para implementação de uma DMZ, podemos utilizar roteadores com sistema operacional, que permita funções avançadas de segurança ou servidores utilizando Linux. Como dito acima, na nossa disciplina vamos concentrar nos roteadores.

Copyright © 2014 AIEC.