7 - segurança - dmz vpn
TRANSCRIPT
Sobre este material
• Vídeos da apresentação em:
https://youtu.be/gofQvm0kf7c
Este trabalho está licenciado sob uma Licença Creative Commons Atribuição-NãoComercial-SemDerivações 4.0 Internacional. Para ver uma
cópia desta licença, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.
Controle de Acesso Lógico
• Tipos de Serviço/Acesso
• Serviços de Acesso Público• Disponíveis para acesso via internet• Acessado por clientes, parceiros, curiosos e atacantes
• Serviços de Acesso Privado• Acessados apenas internamente• Quando necessário acesso remoto → criação de
conexão segura (VPN)
Controle de Acesso Lógico
• Barreiras Lógicas com Firewalls
Controle de Acesso Lógico
• Barreiras Lógicas com Firewalls
DMZ: Zona Desmilitarizada
subrede entre internet e rede interna → criação de perímetro lógico
Controle de Acesso Lógico
• Barreiras Lógicas com Firewalls
Acesso Público:
web, email, DNS (authoritative),...
Controle de Acesso Lógico
• Barreiras Lógicas com Firewalls Política:regras permissivas para acesso aos serviços públicos
Controle de Acesso Lógico
• Barreiras Lógicas com Firewalls
Acesso Privado:
banco de dados, sistemas internos, servidor de terminal remoto, servidores de VPN,ativos de rede, ...
Controle de Acesso Lógico
• Barreiras Lógicas com Firewalls Política:regras restritivas ao acesso proveniente da internet
Política:regras permissivas ao acesso proveniente da rede interna
Controle de Acesso Lógico
• Barreiras Lógicas com Firewalls
Redes isoladascada setor em uma subrede
isolamento,controle de acesso,melhor auditoria,facilidade na aplicação da PSI
Controle de Acesso Lógico
• Hierarquia de endereços IP
Controle de Acesso Lógico
• Hierarquia de endereços IP● facilita administração da rede;● simplificação de rotas;● simplificação de regras de FW;● melhor auditoria
Controle de Acesso Lógico
• Implementação da estrutura de firewall:
• múltiplos equipamentos• equipamento único com múltiplas portas de rede• equipamento único + VLAN• ...
Controle de Acesso Lógico
• Acesso Privado Remoto
• Utilização de redes virtuais privadas (VPN)• aplicação cliente/servidor• encapsulamento, compactação e cifragem de tráfego
• tipos de encapsulamento: • layer 2 / layer 3
• tipos de serviço: • road warrior / site-to-site
Controle de Acesso Lógico
• VPN layer 3 - site-to-site
Controle de Acesso Lógico
• VPN layer 3 - site-to-site
● conexão entre 2 redes remotas● servidor/cliente de VPN operam como roteadores● alternativa a redes WAN
Controle de Acesso Lógico
• VPN layer 3 - site-to-site
Controle de Acesso Lógico
• VPN layer 3 - site-to-site
Controle de Acesso Lógico
• VPN layer 3 - site-to-site
Controle de Acesso Lógico
• VPN layer 3 - site-to-site
Visão do usuário:redes interligadas pelos roteadores
Controle de Acesso Lógico
• VPN layer 2 - road warrior
Controle de Acesso Lógico
• VPN layer 2 - road warrior
● conexão entre estação e rede● servidor de VPN opera como bridge
Controle de Acesso Lógico
• VPN layer 2 - road warrior
Controle de Acesso Lógico
• VPN layer 2 - road warrior
Controle de Acesso Lógico
• VPN layer 2 - road warrior
Controle de Acesso Lógico
• VPN layer 2 - road warrior
Visão do usuário:conexão direta com a rede interna
Controle de Acesso Lógico
• VPN site-to-site e road warrior
Controle de Acesso Lógico
• Localização de servidores VPN
Controle de Acesso Lógico
• Localização de servidores VPN
VPN road-warrior
Utilização de servidor VPN em DMZ permite que o tráfego da estação remota seja controlado
Isto ocorre após a saída dos pacotes da VPNEntre o servidor de VPN e a rede interna
Controle de Acesso Lógico
• Localização de servidores VPN
VPN site-to-site
A VPN pode ser estabelecida no firewall
Torna transparente a sua existência
Permite o controle do tráfego em ambas as pontas