DMZ - Introdução
Com a finalidade de prover uma camada adicional de segurança os engenheiros de redes desenvolveram um conceito chamdo de "screened subnet based on creating a buffer network", uma pequena rede com filtros e cache localizada entre duas zonas de segurança conhecida como DMZ (Zona Desmilitarizada).
Uma DMZ fica localizada entre uma rede interna e uma rede externa:
Conforme a figura o servidore web, de e-mail e arquivos podem ser acessados de ambas as redes. Normalmente administradores de redes não permitem que qualquer tráfego passe diretamente através de uma DMZ. Uma DMZ pode ser implementada com fitros de rede configurados nas suas bordas, estes filtros são responsáveis por realizar o controle de acesso do que entra e do que sai da DMZ e podem ser do tipo packet filtering, stateful packet filtering e de cache como servidores de proxy conhecidos como ALGs (Application Layer Gateway).
O Packet filtering limita o tráfego dentro da rede baseado no destino e na origem de endereços IPs, portas e outras flags que podem ser utilizadas na implementação das regras de filtro.
O Stateful packet filtering filtra o tráfego baseado no destino e na origem dos endereços IPs, portas, flags além de realizar “stateful inspection” uma inspeção de pacotes que permite o armazenamento de dados de cada conexão em uma tabela de sessão. Esta tabela armazena o estado do fluxo de pacotes e serve como ponto de referência para determinar se os pacotes pertencem a uma conexão existente ou se são pacotes de uma fonte não autorizada.
As ALGs funcionam no nível da aplicação e interceptam e estabelecem conexões dos hosts da rede interna com a rede externa, autorizando ou não a conexão.
As DMZs podem possuir a capacidade de conter um ataque e limitar os danos na rede. Uma das arquiteturas mais utilizadas são as DMZs que utilizam uma solução de defesa em camadas.
As multiplas camadas de segurança que uma DMZ ofereçe são distribuidas entre pontos de serviços e de filtragem:
- Os pontos de filtragem inicialmente servem para proteger os serviços. Se os serviços da rede são comprometidos, a capacidade de um ataque prosseguir fica limitado. Tanto o tráfego que entra e sai da DMZ é filtrado, seja por roteadores ou por meio de firewalls;
- Os servidores públicos que ficam localizados na DMZ exigem medidas de segurança adequadas. Os serviços são duramente protegidos, aumentando a dificuldade de um invasor comprometer os serviços disponíveis dentro do perímetro da DMZ;
- As ALGs (servidores de proxy) localizados em uma DMZ, servem como intermediários entre os hosts da rede interna e as redes externas como à Internet. É possível impor restrições de acesso com base no horário, login, endereço IP entre outros. Uma ALG serve também como cache de rede, armazenando as informações de páginas e arquivos já acessados.
- Quando um ataque consegue entrar na DMZ, o ataque não é capaz de passar para a rede interna devido aos pontos de filtragem que oferecem uma defesa adicional. A implementação de funcionalidades tais como VLANs podem ajudar a combater estes ataques.
Para implementar uma DMZ podemos utilizar diversos tipos de dispositivos, sendo que o nível de segurança pode ser variado dependendo das funcionalidades disponíveis em cada dispositivo. Em roteadores SOHO é possível criar uma DMZ rapidamente, porem este tipo de DMZ somente libera o acesso de um dispositivo da rede interna para a rede externa sem adicionar funciolalidades avançadas de segurança (vídeo abaixo). Mas se você quer montar uma DMZ que utilize multiplas camadas de segurança, você precisa reunir diversas funcionalidades como packet filtering, stateful packet filtering e um servidor de proxy.
Quanto aos equipamentos para implementação de uma DMZ, podemos utilizar roteadores com sistema operacional que permita funções avançadas de segurança, appiliances de segurança específicos ou servidores utilizando linux.
Características de uma DMZ:
- Servidores que precisam ser acessados externamente são posicionados dentro de uma DMZ;
- As DMZs são estabelecidas entre duas zonas de segurança;
- Em uma DMZ pode-se posicionar dispositivos para realizarem um cache de rede;
- As DMZs realizam o controle do tráfego do que entra e do que sai da rede;
- A DMZ pode conter um ataque sem que o mesmo passe para a rede interna.
Click aqui e faça uma atividade!
Autor: Rodrigo Salvo