A filtragem total de pacotes limita o tráfego baseado no destino e na origem dos endereços IPs, portas, flags além de realizar “stateful inspection” uma inspeção de pacotes que permite o armazenamento de dados de cada conexão em uma tabela de sessão, a qual armazena o estado do fluxo de pacotes e serve como ponto de referência para determinar se os pacotes pertencem a uma conexão existente ou se são pacotes de uma fonte não autorizada.

Uma das arquiteturas mais utilizadas são as DMZs que utilizam uma solução de defesa em camadas.
Quanto aos equipamentos para implementação de uma DMZ, podemos utilizar roteadores com sistema operacional que permita funções avançadas de segurança ou servidores utilizando Linux.

As quatro características mais importantes de uma DMZ são:

  1. Servidores que precisam ser acessados externamente são posicionados dentro de uma DMZ;
  2. é estabelecida entre as zonas insegura e segura;
  3. realiza o controle do tráfego do que entra e do que sai da rede;
  4. pode conter um ataque sem que o mesmo passe para a rede interna.

Para a configuração da DMZ siga os passos abaixo:

Etapa 01 - Identificar as interfaces internas e externas;
Etapa 02 - Definir as regras de ACLs nas interfaces;
Etapa 03 - Definir as regras de inspeção de pacotes;
Etapa 04 - Aplicar as regras de inspeção de pacotes e as ACLs nas interfaces;
Etapa 05 - Configurar o servidor que receberá as mensagens de auditoria;
Etapa 06 - Testar e verificar as configurações aplicadas.

O uso de uma zona desmilitarizada pode melhorar a segurança da rede, mas ela também pode ser restritiva, pois para acessos de fora da rede, nenhum serviço, em teoria, pode ser acessado senão aqueles disponibilizados na própria zona.

Copyright © 2014 AIEC.