Trabalho de internet - Firewall

Screened Subnet Firewall

Também conhecido como De-Militarized Zone(DMZ), é uma combinação de um screened host com um screening router, sendo que este é ligado após o gate. Este screened router adiciona um nível de proteção a mais ao screened host ao adicionar uma rede perimétrica que isola ainda mais a rede interna da rede externa. As funções de cada elemento deste firewall são:

  1. Choke externo:


    • Bloquear os pacotes:
      • de serviços que você não deseja que passem pelo firewall;
      • de pacotes que tenham rotas IP definidas (IP source routing), ou outro conjunto de opções estranhas;
      • endereçados a sua rede interna ou ao seu choke interno.
    • Passar somente os pacotes que tenham como endereço IP fonte ou destino o do seu gate.

  2. Gate:


    • Rodar servidores proxies para possibilitar os usuários da sua rede interna usar serviços na rede externa;
    • Atuar como um servidor de mail ou receber estas mails e enviá-las para algum host designado dentro da rede interna.

  3. Choke interno:


    • Permitir a passagem de pacotes cujo endereço IP de destino ou fonte sejam o do gate e para os quais os portos são os de proxies definidos no gate.
    • Bloquear os pacotes:
      • de serviços que você não deseja que passem pelo firewall;
      • de pacotes que tenham rotas IP definidas (IP source routing), ou outro conjunto de opções estranhas;
      • endereçados ao seu choke externo;
      • qualquer outro não especificado.


Porquê a rede perimétrica isola ainda mais a rede interna da rede externa? Em muitas configuraçoes de rede, é possível que qualquer máquina da rede enxergar todo o tráfego desta (como na Ethernet, Token Ring, FDDI, etc); e com o uso de snoopers pode-se pegar as senhas de usuários via sessões telnet, rlogin e ftp. Caso um hacker conseguisse invadir o bastion host e instalar um snooper nele, ele vai apenas "espiar" dados que vão de ou para o bastion host para a Internet, e não conseguirá observar o tráfego interno.

Vantagens:

A vantagem deste sistema é o nível de segurança muito maior do que o obtido pelos outros tipos de firewalls .

Desvantagens:

A complexidade deste sistema é alta e a sua configuração e manutenção da subnet não é tão simples como a das firewalls anteriores. O acesso a rede é também retardado porque o tráfego deve passar pela subrede. Além disto, o custo deste tipo de firewall é bem elevado.




About ...