3.1– Configuração da DMZ Simples

Para a configuração da DMZ, o primeiro passo é a definição da política de segurança da DMZ:

Os dispositivos da rede externa só poderão realizar acesso HTTP no servidor WEB localizado na DMZ;
Os dispositivos da rede interna poderão realizar acesso HTTP no servidor WEB localizado na DMZ e em dispositivos da rede externa;
A estação de trabalho DTI poderá realizar ICMP e HTTP para o servidor WEB localizado na DMZ e para dispositivos da rede externa;
Qualquer outro tipo de tráfego deverá ser bloqueado;
Todo o tráfego HTTP que entrar no roteador deverá ser inspecionado;
Todos os logs de inspeção de pacotes deverão ser encaminhados para o servidor de LOG.

Vamos utilizar para a configuração da DMZ o processo Stateful Packet Filtering em roteadores Cisco. Siga a sequência lógica de implementação dos comandos de ACL e de inspeção de pacotes, de acordo com as etapas a seguir:

Etapa 01 - Identificar as interfaces internas e externas;
Etapa 02 - Definir as regras de ACLs nas interfaces;
Etapa 03 - Definir as regras de inspeção de pacotes;
Etapa 04 - Aplicar as regras de inspeção de pacotes e as ACLs nas interfaces;
Etapa 05 - Configurar o servidor que receberá as mensagens de auditoria;
Etapa 06 - Testar e verificar as configurações aplicadas.

Etapa 01 - Identificar as interfaces internas e externas

Router0 - porta fa0/0: Será a porta interna
Router0 - porta s0/0/0: Será a porta externa
Router0 - porta fa0/1: Será a porta da DMZ que contem o Servidor WEB e de LOG

Etapa 02 - Definir as regras de ACLs das interfaces

Entre no modo configuração com o comando “conf t” e digite (todo texto após o sinal de exclamação (!) é considerado como comentário e não será processado pelo roteador).
(config)# ip access-list extended rede_interna ! cria uma ACL estendida com nome rede_interna
(config-ext-nacl)# permit tcp any any eq www ! permite todo tráfego tcp de qualquer origem para qualquer destino que tenha a porta 80
(config-ext-nacl)# permit icmp any any ! permite todo tráfego icmp de qualquer origem para qualquer destino
(config-ext-nacl)# deny ip any any ! nega todo o tráfego ip de qualquer origem para qualquer destino. Comando implícito em qualquer ACL
(config-ext-nacl)# ip access-list extended dmz ! cria uma ACL estendida com nome dmz
(config-ext-nacl)# permit icmp any host 192.168.0.1 ! permite todo tráfego icmp de qualquer origem para o host 192.168.0.1
(config-ext-nacl)#deny ip any any ! nega todo o tráfego ip de qualquer origem para qualquer destino
(config)# ip access-list extended rede_externa ! cria uma ACL estendida com nome rede_externa
(config-ext-nacl)# permit tcp any host 190.16.1.1 eq www ! permite todo tráfego tcp de qualquer origem para o host 190.16.1.1 que tenha a porta 80
(config-ext-nacl)# permit icmp any host 192.168.0.1 echo-reply ! permite todo tráfego icmp de resposta de qualquer origem para o host 192.168.0.1

Saia do modo global.

Etapa 03 - Definir as regras de inspeção de pacotes

Comande “conf t” se necessário para entrar no modo (config).
(config)# ip inspect name DMZ http audit-trail on ! define uma regra de inspeção de pacotes, com o nome DMZ onde todo o tráfego http será inspecionado e logado. A inspeção de pacotes http permite automaticamente o retorno do tráfego de todas as sessões http, mesmo que haja uma regra de bloqueio por uma ACL.

Veja a definição do comando de inspeção separadamente:

ip inspect: Habilita a inspeção de pacotes;
name: Define que a regra de inspeção terá um nome;
DMZ: Nome da inspeção (define um nome para a regra de inspeção, pode ser qualquer nome);
http: Somente os pacotes http serão inspecionados;
audit-trail on: Habilita o rastreamento dos pacotes para fins de auditoria, neste caso vamos mandar os logs para um servidor de log.

Etapa 04 - Aplicar as regras de inspeção de pacotes e as ACLs nas interfaces

(config)# interface FastEthernet0/0 ! entra no modo da interface
(config-if)# ip access-group rede_interna in ! aplica a ACL rede_interna para pacotes que entram na interface
(config-if)# ip inspect dmz in ! aplica a inspeção de pacotes DMZ para pacotes que entram na interface
(config)# interface FastEthernet0/1 ! entra no modo da interface
(config-if)ip access-group dmz in ! aplica a ACL dmz para pacotes que entram na interface
(config)# interface serial0/0/0 ! entra no modo da interface
(config-if)#ip access-group rede_externa in ! aplica a ACL rede_externa para pacotes que entram na interface
(config-if)#ip inspect dmz in ! aplica a inspeção de pacotes DMZ para pacotes que entram na interface

Etapa 05 - Configurar o servidor que receberá as mensagens de auditoria

(config)# logging on ! habilita os logs
(config)# logging 190.16.1.1 ! configura o endereço IP do servidor que receberá os logs

Etapa 06 - Testar e verificar as configurações aplicadas

#show ip access-lists ! mostra as listas de acessos configuradas e o número de pacotes que foram associados
#show ip inspect name DMZ ! mostra as regras de inspeção de pacotes DMZ
#show ip inspect interfaces ! mostra as regras de inspeção de pacotes configuradas nas interfaces
#show ip inspect sessions ! mostra informações das sessões que estão sendo inspecionadas
#show ip inspect statistics ! mostra estatísticas das regras de inspeção de pacotes
Confira todas as informações e estatísticas mostradas pelo roteador e verifique se as regras estabelecidas
estão consistentes (as do 1º passo – Definição da política de segurança da DMZ).