Creditos:
segunda-feira, 7 de dezembro de 2009
4 erros que devemos evitar como profissionais de TI
Creditos:
quinta-feira, 19 de novembro de 2009
Instalando servidor Debian
Faça download do Debian netinst em:
http://www.debian.org/CD/netinst/index.pt.html
OBS: Debian netinst contém apenas a quantidade mínima de software para começar a instalação e obter os outros pacotes através da Internet.
Caso queira, use uma versão mais completa:
Versão oficial mais recente das imagens de CD da distribuição estável: 3.1 rev3. Faça download em:
http://www.debian.org/CD/http-ftp/
Durante a instalação, atribua o nome ao servidor. Exemplo: servidor
O superusuário "root" será criado.
Crie também o usuário comum "admin" para uso do sistema sem comprometê-lo.
Ao terminar, logue-se como root para proceder as configurações restantes.
Faça atualização do Debian:
# apt-get update
Instale mais alguns pacotes necessários (caso ainda não tenha):
# apt-get install squid (Proxy - Cache e controle de acesso a internet)
# apt-get install samba (Integra sistema de arquivos Linux x Windows)
# apt-get install bind9 (DNS - Servidor de nomes)
# apt-get install apache (Servidor Web)
# apt-get install php4 (Linguagem de programação para fazer websites)
# apt-get install dhcp3-server (Servidor de IP fixo/dinâmico)
# apt-get install ssh (Acesso remoto)
# apt-get install sarg (Gerador de Relatórios do Squid)
OBS:
1) Caso a versão a versão Debian não venha com interface gráfica, como é o caso do netinst, instale-a:
# apt-get update
# apt-get install x-window-system xserver-xfree86 gnome-core gdm
Caso após a instalação e configuração houver problemas com a interface gráfica, reconfigure-a:
# dpkg-reconfigure xserver-xfree86
2) Caso precise, baixe o mozilla firefox:
# apt-get update
# apt-get install mozilla-firefox-locale-pt-br
Estrutura geral da rede
------------------+
| |
| Internet |
| |
+------------------+
|
+---------+--------+ +------------------+ +------------------+
| Roteador | | pc-1 | | pc-2 |
| 192.168.0.1 | | 10.0.0.2 | | 10.0.0.3 |
| (ou outro IP) | | | | |
+---------+--------+ +---------+--------+ +------------------+
| | /
+---------+--------+ +---------+--------+` +------------------+
| Servidor | | | | pc-n |
| eth0 192.168.0.2 +--+ Hub/Switch +--+ 10.0.0.n |
| eth1 10.0.0.1 | | | | |
+------------------+ +------------------- --------------------
Políticas adotadas
Políticas de Acesso a Internet (AI):
01) Definir AI somente para PCs da rede interna (Intranet)
02) Definir AI para todos PCs, fora do horário de expediente
03) Proibir AI de determinados PCs no horário de expediente
04) Definir lista de PC(s) sem AI (bloqueados) 24h/dia
05) Proibir uso do Internet Explorer (Estimular Firefox)
06) Definir PC(s) com permissão para uso do Internet Explorer
07) Proibir formatos de vídeos, áudio e arquivos de risco
08) Proibir palavras e sites impróprios/imoral
09) Proibir downloads com mais de 5 MB
10) Definir PC(s) (admin) com privilegio total de AI
OBS: O controle dos computadores (PC) será feito pelo seu endereço físico (MAC) e não pelo IP.
Políticas do administrador da rede:
01) Utilizar DHCP para atribuir IP fixo associado ao MAC da placa de rede
02) Fazer o controle de acesso por endereço MAC (placa de rede) e não por IP
03) Definir PCs autorizados ao AI (por endereço MAC)
04) Analisar Log de acesso com SARG
05) Definir proxy transparente no iptables e Squid
Configure as placas de redes do servidor (deve haver duas)
Defina um IP fixo e máscara de rede para as duas placas de redes:
Fica convencionado:
eth0 (internet) - inet 192.168.0.2 masca 255.255.255.0 (Recebe a Internet)
eth1 (intranet) - inet 10.0.0.1 masc 255.0.0.0
Perceba que, pelo exemplo acima, os computadores da rede deverão ter IP fixo 10.0.0.2, 10.0.0.3, 10.0.0.n. No nosso caso em particular, tais IPs fixos serão atribuídos pelo DHCP, sem a necessidade de configuração no cliente.
Abra o arquivo /etc/network/interfaces e atualize para:
# /etc/network/interfaces
#
# Interface de rede local - loopback
#***********************************
auto lo
iface lo inet loopback
#
# Primeira placa de rede - Internet
#**********************************
# auto eth0
# iface eth0 inet dhcp
auto eth0
iface eth0 inet static
address 192.168.0.2
netmask 255.255.255.0
broadcast 192.168.0.255
network 192.168.0.0
gateway 192.168.0.1 # IP do roteador
#
# Segunda placa de rede - Intranet
#*********************************
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.0.0.0
broadcast 10.255.255.255
network 10.0.0.0
Reinicie a rede: # /etc/init.d/networking restart
Configure o Bind9 - Servidor de nomes (DNS) e DHCP
Abra o arquivo /etc/resolv.conf e atualize para:
# /etc/resolv.conf
#
search localdomain
nameserver 10.0.0.1
nameserver 192.168.0.1
nameserver 200.195.192.133
Reinicie o serviço: # /etc/init.d/bind9 restart
Configure o DHCP - Servidor de IP (associado ao MAC)
Para atribuir IP fixo sem configurá-lo no cliente, utilize o DHCP com associação ao endereço MAC da placa de rede.
Abra o arquivo /etc/dhcp3/dhcpd.conf e atualize para:
# /etc/dhcp3/dhcpd.conf
#
# Configurações gerais
#*********************
#
INTERFACES="eth1";
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
subnet 10.0.0.0 netmask 255.0.0.0 {
range 10.0.0.5 10.0.0.50;
option routers 10.0.0.1;
option domain-name-servers 200.195.192.133;
option broadcast-address 10.0.0.255;
}
host pc-1 {
hardware ethernet 00:C0:9F:E5:9B:18;
fixed-address 10.0.0.2;
}
host pc-2 {
hardware ethernet 00:00:86:3B:AD:96;
fixed-address 10.0.0.3;
}
Reinicie o serviço: # /etc/init.d/dhcp3-server restart
Iptables - Firewall
Utilizaremos o iptables para:
1) Proxy Transparente - Redirecionar o fluxo da porta 80 (http) para a porta 3128 (squid);
2) Compartilhar a Internet;
Para isto, crie o arquivo que conterá as regras:
# touch /etc/init.d/iptables.conf
# chmod 755 /etc/init.d/iptables.conf
Abra o arquivo /etc/etc/init.d/iptables.conf e atualize para:
#!/bin/bash
#
# /etc/etc/init.d/iptables.conf
#
# Limpa e inicializa os modulos
#******************************
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (Redireciona para o squid) - eth1 -> Placa de rede da intranet
#********************************************************
#
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
# Compartilha Internet - eth0 -> Placa de rede da internet
#********************************************************
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Coloque o iptables.conf para rodar na inicialização:
# cd /etc/rc2.d
# ln -s /etc/init.d/iptables.conf /etc/rc2.d/S99iptables.conf
Inicie o serviço: # /etc/init.d/iptables.conf
Configure o Squid (Proxy) - Controle de acessos
Abra o arquivo /etc/squid/squid.conf e atualize para:
# Autor: TAYLOR LOPES - taylor@pop.com.br
# Arquivo: /etc/squid/squid.conf
#
# Políticas de Acesso a Internet (AI) adotadas
#*********************************************
#
# 01. Definir AI somente para PCs da rede interna (Intranet)
# 02. Definir AI para todos PCs, fora do horário de expediente
# 03. Proibir AI de determinados PCs no horário de expediente
# 04. Definir lista de PC(s) sem AI (bloqueados) 24h/dia
# 05. Proibir uso do Internet Explorer (Estimular Firefox)
# 06. Definir PC(s) com permissão para uso do Internet Explorer
# 07. Proibir formatos de vídeos, áudio e arquivos de risco
# 08. Proibir palavras e sites impróprios/imoral
# 09. Proibir downloads com mais de 5 MB
# 10. Definir PC(s) (admin) com privilegio total de AI
#
# OBS: O controle dos computadores (PC) é feito pelo seu
# endereço físico (MAC) e não pelo IP.
#
# Configuração Geral
#*******************
#
http_port 3128
cache_mem 32 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
error_directory /usr/share/squid/errors/Portuguese
emulate_httpd_log on
visible_hostname servidor.4pef
cache_mgr taylor@pop.com.br
#
# Proxy Transparente
#*******************
#
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#
# acl - Recomendadas
#*******************
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
#
# acl - Personalizadas
#*********************
#
# *** Define portas liberadas
acl Safe_ports port 3050 # Interbase/Firebird
acl Safe_ports port 23000 # Serpro
acl Safe_ports port 13352 # SIRF
acl Safe_ports port 500 # FAP Digital
#
# *** Define a rede interna (Intranet)
acl intranet src 10.0.0.0/255.0.0.0
#
# *** Define PC(s) com privilegio total - CUIDADO!
acl admin arp "/etc/squid/list/admin.txt"
#
# *** Define a lista de PC(s) autorizados ao acesso a Internet
acl internet arp "/etc/squid/list/internet.txt"
#
# *** Define a lista de sites impróprios
acl site dstdomain -i "/etc/squid/list/site.txt"
#
# *** Define a lista de palavras impróprias
acl palavra url_regex -i "/etc/squid/list/palavra.txt"
#
# *** Define os formatos de vídeo, áudio e outros de risco
acl video urlpath_regex .wma$ .asf$ .mov$ mpg$ .mpeg$ .avi$
acl audio urlpath_regex .mp3$ .wav$ .mid$
acl risco urlpath_regex .exe$ .pps$ .com$ .bat$ .scr$
#
# *** Define o browser Internet Explorer
acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
#
# *** Define PC(s) autorizados a usar o Internet Explorer
acl ie_usuario arp "/etc/squid/list/browser.txt"
#
# *** Define PC(s) sem acesso a Internet (bloqueados) 24h/dia
acl bloqueado arp "/etc/squid/list/bloqueado.txt"
#
# *** Define o horário do expediente
acl exp1_seg-qui time MTWH 08:00-12:00
acl exp2_seg-qui time MTWH 13:30-17:00
acl exp1_sex time F 08:00-12:00
#
# http_access - Recomendadas
#***************************
#
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
# http_access - Personalizadas
#*****************************
#
# *** Libera dowloads de ate 5 MB
reply_body_max_size 5242880 allow all !admin
#
# *** Nega sites improprios
http_access deny site !admin
#
# *** Nega palavras impróprias
http_access deny palavra !admin
#
# *** Nega os formatos de vídeo, áudio e outros de risco
http_access deny video !admin
http_access deny audio !admin
http_access deny risco !admin
#
# *** Nega o Internet Explorer
http_access deny ie_browser !ie_usuario !admin
#
# *** Nega Internet no expediente para quem não esta na lista
http_access deny !internet !admin exp1_seg-qui
http_access deny !internet !admin exp2_seg-qui
http_access deny !internet !admin exp1_sex
#
# *** Nega PC(s) sem acesso a internet (bloqueados)
http_access deny bloqueado
#
# Permite acesso da rede interna (Intranet)
http_access allow intranet
#
# *** Nega tudo que não foi liberado ou negado
http_access deny all
Crie os diretórios/arquivos de controle:
# mkdir /etc/squid/list
# touch /etc/squid/list/admin.txt
# touch /etc/squid/list/bloqueado.txt
# touch /etc/squid/list/browser.txt
# touch /etc/squid/list/internet.txt
# touch /etc/squid/list/palavra.txt
# touch /etc/squid/list/site.txt
# chmod 755 /etc/etc/squid/list
# chmod 755 /etc/squid/list/admin.txt
# chmod 755 /etc/squid/list/bloqueado.txt
# chmod 755 /etc/squid/list/browser.txt
# chmod 755 /etc/squid/list/internet.txt
# chmod 755 /etc/squid/list/palavra.txt
# chmod 755 /etc/squid/list/site.txt
Exemplo do conteúdo dos arquivos de controle:
# Arquivo /etc/squid/list/admin.txt
# Lista de PCs com MAC de privilegio total
00:00:00:00:00:00 # Default - Não remova!
00:C0:9F:E3:9B:21 # pc-1
# Arquivo /etc/squid/list/bloqueado.txt
# Lista de PCs com MAC bloqueados a Internet 24h/dia
00:00:00:00:00:00 # Default - Não remova!
00:C0:86:B3:AD:88 # pc-4
02:D0:F6:C4:F7:32 # pc-7
00:A0:A1:B3:21:19 # pc-8
# Arquivo /etc/squid/list/browser.txt
# Lista de PCs com MAC autorizados usar Internet Explorer
00:00:00:00:00:00 # Default - Não remova!
00:A0:A1:B3:21:19 # pc-8
# Arquivo /etc/squid/list/internet.txt
# Lista de PCs com MAC liberados a Internet
00:00:00:00:00:00 # Default - Não remova!
00:C0:9F:E3:9B:21 # pc-1
00:DD:31:F2:C1:96 # pc-5
# Arquivo /etc/squid/list/palavra.txt
# Lista de palavra impróprios proibidos
default.default # Default - Não remova!
sexo
sexy
porn
# Arquivo /etc/squid/list/site.txt
# Lista de sites impróprios proibidos
default.default # Default - Nao remova!
playboy.abril.com.br
astalavista.com
Reinicie o squid: # squid -k reconfigure
(atualiza sem parar o serviço)
Ou:
# /etc/init.d/squid restart
Sarg - Gerador de relatórios para o Squid
NÃO ABORDADO: Configure o Apache - Servidor Web
Basicamente após a instalação, o Apache estará funcionando normalmente. Em breve maiores informações...
Configure o Sarg - Gerador de relatórios para o squid
Abra o arquivo /etc/squid/sarg.conf e atualize para:
# Traducao: TAYLOR LOPES - taylor@pop.com.br
# OBS: Algumas TAGs foram omitidas!
# /etc/squid/sarg.conf
#
# *** Idioma
language Portuguese
#
# *** Arquivo de log a ser lido para gerar relatório
access_log /var/log/squid/access.log
#
#*** Usar Gráfico - yes | no
graphs yes
#
# *** Título da pagina HTML
title "Relatorio de uso da Internet"
#
# *** Fonte da pagina HTML
font_face Tahoma,Verdana,Arial
#
# *** Nome do diretorio temporário dos arquivos em trabalho
# sarg -w dir
temporary_dir /tmp
#
# *** Diretório onde serão salvos os relatórios
# sarg -o dir
output_dir /var/www/squid-reports
#
# *** Converte IP em DNS (nome) - yes | no
# sarg -n
resolve_ip
#
# *** Usa IP ao inves de userid nos relatórios - yes | no
# sarg -p
user_ip no
#
# *** Ordena - normal | reverse
# Campos permitidos: USER | CONNECT | BYTES | TIME
topuser_sort_field BYTES reverse
#
# *** Usuarios contidos no sarg.users São excluídos do relatório
exclude_users /etc/squid/sarg.users
#
# *** Exclui host, domínios ou subredes do relatório
# Ex: 192.168.10.10 - exclui ip apenas
# 192.168.10.0 - exclui toda classe C
# s1.acme.foo - exclui hostname apenas
# acme.foo - exclui tod domínio
exclude_hosts /etc/squid/sarg.hosts
#
# *** Formata a data do relatório
# e (European=dd/mm/yy)
# u (American=mm/dd/yy)
# w (Weekly=yy.ww)
date_format e
#
# *** Remove relatórios antigos automaticamente
# 0 - sem limites.
lastlog 0
#
# *** Remove os arquivos temerários
remove_temp_files yes
#
# *** Gera o index.html - yes | no | only
# only - gera apenas um unico index.html principal
index yes
#
# *** Sobrescrever relatório - yes | no
overwrite_report yes
#
# *** O que fazer com registros sem identificação no access.log
# ignore - Ignora os registros
# ip - Usa o IP
# everybody - Usa o texto "everybody"
records_without_userid ip
#
# *** Usa vírgula ao invés de ponto no | yes
use_comma yes
#
# *** Comando para enviar relatório via SMTP - mail|mailx
mail_utility mailx
#
# *** Quantidade de sites do relatório topsites
topsites_num 100
#
# *** Ordena os topsites - CONNECT|BYTES A|D
# Onde A=Crescente, D=Descendente
topsites_sort_order CONNECT D
#
# *** Ordena o index.html - A | D
# Onde A=Crescente, D=Descendente
index_sort_order D
#
# *** Ignora registros com alguns códigos
# Ex: NONE/400
exclude_codes /etc/squid/sarg.exclude_codes
#
# *** Máximo de tempo decorrido (milliseconds)
# Use 0 para nao checar
max_elapsed 28800000
#
# *** O que os relatorios geram:
# topsites - exibe o site, conexao e bytes
# sites_users - exibe que usuario esteve num site
# users_sites - exite site acessados pelo usuario
# date_time - exibe a quatidade de bytese num dia/h
# denied - exibe todos os sites negados
# auth_failures - exibe as falhas nas autenticacoes
# site_user_time_date - exibe sites, datas, tempo e bytes
# Ex.: report_type topsites denied
#
report_type topsites sites_users users_sites date_time denied auth_failures site_user_time_date
#
# *** Troca o IP ou userid pelo nome do usuario no relatorio
# Ex:
# SirIsaac Isaac Newton
# vinci Leonardo da Vinci
# 192.168.10.1 Karol Wojtyla
# Cada linha precisa terminar com ' ' (enter)
usertab /etc/squid/sarg.usertab
#
# *** Exibe a URL longa ou so o site - yes | no
long_url no
#
# *** Data/Hora ou Tempo decorrido - bytes | elapsed
date_time_by bytes
#
# *** Padroes de multilinguagem
# Voce pode usar os seguintes caracteres:
# Latin1 - West European
# Latin2 - East European
# Latin3 - South European
# Latin4 - North European
# Cyrillic
# Arabic
# Greek
# Hebrew
# Latin5 - Turkish
# Latin6
# Windows-1251
# Koi8-r
charset Latin1
#
# *** Gera relatorios apenas dos usuarios listados
# Ex: include_users "user1:user2:...:usern"
#include_users none
#
# *** Gera relatorio ignorando uma lista de string
# Ex: exclude_string "string1:string2:...:stringn"
#exclude_string none
#
# *** Exibe mensagem de sussesso do relatorio gerado-yes|no
show_successful_message no
#
# *** Exibe a leitura de algumas estatisticas
show_read_statistics no
#
# *** Quais campos devem ser do relatorio Topuser
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
#
# *** Quais campos devem ser do relatorio User
user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
#
# *** Quantidade de usuarios do relatorio Topsites
# 0 = sem limites
topuser_num 0
#
# *** Gera relatorio em formato de lista ou tabela-list|table
site_user_time_date_type table
#
# *** Salva o resultado do relatorio em um arquivo
#datafile /tmp/p8
#
# *** Usa um caracter separador dos campos no arquivo
#datafile_delimiter ";"
#
# *** Quais campos de dados devem ter o arquivo
# Ex: datafile_fields all ou user
# Campos permitidos:
# user;date;time;url;connect;bytes;
# in_cache;out_cache;elapsed
#datafile_fields
#user;date;time;url;connect;bytes;in_cache;out_cache;elapsed
#
# *** Dias da semana levados em conta (Domingo->0,Sabado->6)
# Ex: weekdays 1-3,5
#weekdays 0-6
#
# *** Horas levadas conta
# Ex: hours 7-12,14,16,18-20
#hours 0-23
#
# *** Gera um relatorio para o log do SquidGuard
# Ex: squidguard_conf /usr/local/squidGuard/squidGuard.conf
#squidguard_conf none
#
# *** Exibe informacoes do sarg e site no relatorio - yes|no
#show_sarg_info yes
#
# *** Exibe logotipo do sarge - yes|no
show_sarg_logo yes
#
# *** Onde esta seus documentos Web
#www_document_root /var/www
#
# *** Sufixo de arquivos considerados como dowloads no
# relatorio de downloads. Use 'none' para desabilitar
download_suffix "zip, arj, bzip, gz, ace, doc, iso, adt, bin, cab, com, dot, drv$, lha, lzh, mdb, mso, ppt, rtf, src, shs, sys, exe, dll, mp3, avi, mpg, mpeg"
Para gerar relatórios, vá ao terminal e digite:
# sarg
OBS: Abra com o browser o arquivo squid-reports gerado em /var/www/ ou abra o browser (firefox) e digite http://localhost/squid-reports.
IMPORTANTE: Seu servidor Apache deve estar funcionado!
Tendências tecnológicas em 2010 para você sair na frente
segunda-feira, 16 de novembro de 2009
O mito do megapixel: não se deixe enrolar
segunda-feira, 9 de novembro de 2009
Editor de textos VI
quinta-feira, 5 de novembro de 2009
Redes de Perímetro
Rede de Perímetro
O termo rede de perímetro refere-se a um segmento de rede isolado no ponto em que uma rede corporativa alcança a Internet. As redes de perímetro destinam-se a criar um limite que permite a separação do tráfego entre redes internas e externas. Com este limite, é possível categorizar, colocar em quarentena e controlar o tráfego da rede de uma empresa. A segurança de perímetro é proporcionada por um dispositivo de perímetro, como um firewall, por exemplo, que inspeciona os pacotes e as sessões para determinar se devem ser transmitidos para a rede protegida ou a partir dela ou ser abandonados.
Os serviços e servidores que devem interagir com a Internet externa desprotegida são colocados na rede de perímetro (conhecida como zona desmilitarizada) e na sub-rede filtrada. Isto ocorre para que, caso invasores consigam explorar vulnerabilidades em serviços expostos, possam avançar apenas uma etapa no acesso à rede interna confiável.
Zona Desmilitarizada – DMZ
Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede, parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que contém todos os serviços e informações para clientes ou públicos. A DMZ pode também incluir regras de acesso específico e sistemas de defesa de perímetro para que simule uma rede protegida e induzindo os possíveis invasores para armadilhas virtuais de modo a se tentar localizar a origem do ataque.
Podemos ter dois tipos de DMZ’s: a interna, só acessada pelo usuário da rede interna e a DMZ externa, acessada por qualquer usuário da Internet. Este conceito aliado ao de VLAN’s também permite a implantação de DMZ’s privadas, ou seja, a possibilidade de DMZ’s específicas para cada cliente de hosting ou para a hospedagem de servidores.
As DMZ’s são sub-redes onde se hospedam os servidores/serviços de um provedor, protegidos contra ataques da Internet por um firewall. Em geral é necessário especificar uma faixa de endereços IP, ou informar diretamente os endereços das máquinas que devem ser incluídas nessa zona.
Bastion Hosts
Por definição, bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna e provendo os serviços permitidos segundo a política de segurança da empresa. Trata-se de uma máquina segura que está localizada no lado público da rede de perímetro (acessível publicamente), mas que não se encontra protegida por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques.
Este tipo de máquina também recebe a denominação de "application gateway" porque funciona como um gateway ao nível de aplicação. Os servidores disponíveis nos bastion host são denominados de proxy servers, ou seja, servidores por procuração que atuam como intermediários entre o cliente e o servidor.
Um bastion host deve ter uma estrutura simples, de forma que seja fácil de garantir a segurança. São normalmente usados como servidores Web, servidores DNS, servidores FTP, servidores SMTP e servidores NNTP. Como é mais fácil proteger um único serviço em um único bastion host, o ideal é que eles sejam dedicados a executar apenas uma das funções citadas, pois quanto mais funções cada um desempenha, maior a probabilidade de uma brecha de segurança passar despercebida.
Figura 3 - Bastion Host
Os bastion hosts são configurados de uma maneira bem diferente dos hosts comuns. Todos os serviços, protocolos, programas e interfaces de rede desnecessárias são desabilitados ou removidos e cada bastion host é, normalmente, configurado para desempenhar uma função específica. A proteção de bastion hosts dessa maneira limita os métodos potenciais de ataque. Por esse motivo os bastion hosts são um ponto crítico na segurança de uma rede, geralmente necessitando de cuidados extras como auditorias regulares.
Implantação da DMZ
O projeto lógico de uma rede que visa conexões com a Internet deve envolver a criação de uma DMZ. Esta DMZ será protegida por um sistema de defesa de perímetro, onde os usuários de Internet podem entrar livremente para acessar os servidores web públicos, enquanto que os dispositivos localizados nos pontos de acesso (firewall, switch e servidor de perímetro) filtram todo o trafego não permitido, como por exemplo, pacotes de dados que tentam prejudicar o funcionamento do sistema. Ao mesmo tempo a rede interna privada esta protegida por um outro firewall.
A zona desmilitarizada comporta-se como uma outra sub-rede, atrás de um firewall, onde temos uma máquina segura na rede externa que não executa nenhum serviço, mas apenas avalia as requisições feitas a ela e encaminha cada serviço para a máquina destino na rede interna.
No caso de uma invasão de primeiro nível, o atacante terá acesso apenas ao firewall, não causando problema algum para a rede da empresa. Já em invasões de segundo nível, o atacante conseguirá passar do firewall para a sub-rede interna, mas ficará preso na máquina do serviço que ele explorar.
Em todos os casos, deve-se analisar com cuidado quais serviços podem ser colocados dentro da DMZ. Por exemplo, na maioria das situações, o servidor de e-mail é inserido em uma DMZ. Nesse caso, em uma invasão ao servidor de e-mail, os únicos dados que poderão ser comprometidos são os e-mails e mais nenhum outro.
Já a colocação de um servidor de DNS em uma DMZ não é recomendável para a segurança da rede. Como uma DMZ permite acesso menos seguro a certas partes da rede, a colocação de um servidor de DNS nessa situação poderia comprometer a segurança dos endereços de todos os servidores da rede local e roteadores.
Convém salientar que durante a elaboração do projeto da rede, é recomendável se manter os serviços separados uns dos outros. Assim, será possível adotar as medidas de segurança mais adequadas para cada serviço.
Figura 4 - Exemplo de rede com DMZ
Conclusão
Toda rede possui um perímetro, um acesso para a Internet. Esses perímetros podem ajudar a gerenciar as atividades baseadas na Internet, mas devem ser cuidadosamente protegidos. Uma única exposição não reconhecida, como um perímetro não protegido, pode comprometer toda a rede corporativa. As necessidades do negócio e o valor da informação mantida na rede da empresa são os fatores que devem determinar a arquitetura da rede e qual solução será implantada.
Embora cada perímetro seja diferente, cada um é uma área estratégica aberta à manipulação. As DMZ’s demarcam essas áreas de acesso público, estando localizadas geralmente em pontos da rede que não necessitam de segurança (sem firewall) ou que necessitam apenas de uma segurança mais branda (firewall fraco). Nesses casos, um firewall fraco (ou outro ponto de acesso) permite o acesso à área da DMZ e um segundo firewall, mais forte, é posicionado atrás da DMZ visando restringir fortemente o acesso à rede interna.
Os firewalls permitem aos usuários da rede interna acessar a DMZ livremente. Contudo, usuários localizados fora da rede interna, que necessitarem de acesso externo, deverão estar submetidos às regras de acesso comuns para acessos de Internet ou discados, feitos através da rede externa (um servidor de discagem instalado na DMZ com sua lista de acesso própria, por exemplo).
Por fim, sempre é bom lembrar que o mais importante ao iniciar o projeto de uma rede de computadores é pensar sobre as necessidades dos seus usuários, pois são eles que irão determinar a arquitetura da rede e quais as soluções que serão adotadas.
Creditos:
http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php
Viva a colaboração
Referências:
http://www.bbc.co.uk/portuguese/ciencia/story/2005/12/051215_wikipediacomparacaofn.shtml;
Marian Sader. Encyclopedias, Atlases, and Dictionaries. New Providence, NJ: R. R. Bowker (A Reed Reference Publishing Company), 1995. ISBN 0-8352-3669-2;
"Encyclopedias and Dictionaries". Encyclopædia Britannica (15th edition) 18. (2007). Encyclopædia Britannica, Inc.. 257–286.
http://blog.franciscosouza.net/2009/08/viva-colaboracao.html
quarta-feira, 4 de novembro de 2009
Cinco passos para gerenciar o estresse profissional
terça-feira, 3 de novembro de 2009
Cloud computing: o que o CIO precisa entender sobre o tema
Leia também:
Sabic economiza 77% com e-mail baseado em cloud computing
Aumenta o interesse por armazenamento na nuvem
Creditos: http://cio.uol.com.br/tecnologia/2009/10/26/cloud-computing-o-que-o-cio-precisa-entender-sobre-o-tema/
Os sete pecados das políticas de segurança
Os riscos que o CIO corre ao perder o discurso técnico
Créditos: Kristin Burnham, da CIO/EUA
http://cio.uol.com.br/carreira/2009/10/29/os-riscos-que-o-cio-corre-ao-perder-o-discurso-tecnico/
Endereços da web podem se esgotar em 2010
domingo, 1 de novembro de 2009
Para onde vai o lixo eletrônico que você produz?
Creditos: http://carreiradeti.com.br/tecnologia-manual-de-reciclagem-lixo-eletronico/