[FUGSPBR] Re: Network Streaming audi.

Jefferson Carvalho jefferson em armazemparaiba.com.br
Sex Set 14 13:50:41 BRT 2001 

Vinicius ,
	na verdade essa "rede interna" é uma rede delimitada por mais um FIREWALL.
>>>

----- ROUTER  ( CISCO 2502 )
           |
	     |
       Firewall
	     |
           |
           Int. Externa ( Na mesma rede da Ethernet do Router )
	     |
           |
           Int. Interna ( Em uma sub rede intermadiária )
            (172.16.99.0/24 )
	     |
           |
           |
           Firewall Interno
           |
           |
           |
           Placa ( rede 172.16.99.0 )
           |
           |
           Placa ( rede 172.16.12.0 )
	essa rede 99 é chamada de rede dos gateways por que ela interliga várias
empresas.
e cada uma delas tem um firewall nas pontas ... com regras .. específicas.

	-Jefferson


-----Original Message-----
From: owner-fugspbr em fugspbr.org [mailto:owner-fugspbr em fugspbr.org]On
Behalf Of Vinicius Moreira Mello
Sent: Friday, September 14, 2001 12:29 PM
To: fugspbr em fugspbr.org
Subject: [FUGSPBR] Re: Network Streaming audi.


Oi,

        Voce nao consegue chegar as portas POP3 e SMTP porque esses servicos
estao na rede interna e ela nao tem IPs
roteaveis validos.
        Pelo o que estou entendendo essa sua maquina "FIREWALL" eh uma
maquina dual-homed host com filtragem de pacotes...se
alguem conseguir entrar na FIREWALL por algum bug desses servicos que estao
rodando esse alguem tera' acesso a rede interna
podendo capturar dados importantes..
        Eu sugiro a seguinte configuracao:


INTERNET
        |
        |            / - - SERVER 1 (DNS 1, DNS 2, PROXY)
ROUTER - (if. externa)
        |            \ - - SERVER 2 (HTTP, SMTP, POP3)
        |
        |
( if. interna )
Rede Interna


Ou seja, voce coloca a rede interna e a rede externa em diferentes
interfaces do roteador. Isso e' mais seguro no sentido que
um roteador e' mais dificil de ser penetrado do que uma maquina rodando
varios servicos. (so' nao esqueca de desabilitar
qualquer login externo no roteador...permita apenas manipulacao do roteador
via console). Quem fará agora o filtro de pacotes
agora será o roteador. Crie regras que não permitam que a rede interna envie
pacotes diretamente para a Internet e nem
receba dados que não sejam de SERVER 1 e SERVER 2. Tambem nao deixe que a
rede interna confie demais nos dois servidores,
para no caso de algum deles ser invadido a rede interna nao ser
comprometida. O SERVER 1 e SERVER 2 nao precisam fazer
filtragem de pacotes, visto que o roteador pode fazer isso pra eles, apenas
configure neles os servicos de forma segura,  e o
rode o DNS de prefirencia em ambiente chroot.

        Existem com certeza outras maneiras tambem seguras de fazer a
arquitetura da sua rede. Eu sugeri essa porque mantem o
numero de maquinas que voce citou na configuracao original (e ainda libera a
antiga maquina "FIREWALL" para ser uma cliente
da rede interna ou mais um servidor na rede externa).

--
Vinicius


Jefferson Carvalho wrote:

> --------ROUTER----------
>           |
>             |
>        FIREWALL ( FreeBSD 4.3 - Apache + FTP Server )
>           |
>           _ external interface
>
>           _ internal interface ----------- |
>                                            |
>                                            |
>                                            |
>                                       Network ( 172.16.99.0 )
>                                            |
>                                            |
>                                            -------------------- |
>                                                                 |
>                                                                 |
>                                                                 ----------
----------- DNS 1 + PROXY ( 172.16.99.50 )
>                                                                 ----------
----------- DNS 2 + Mail Server ( 172.16.99.51 )
>
> - Depois de auditar o que eu precisaria liberar pra minha network
>   cheguei a seguinte conclusão.
>
>   Para o Meu DNS1 :
>         UDP 53
>   Para o Meu DNS2 :
>         UDP 53
>         TCP 25
>         TCP 110
> O problema é que se eu der um IP DENY para as máquinas
> acima , mesmo depois de ter dado um allow nas portas
> de serviços tenho algums problemas :
>
> DNS1 :
>
> Meus usuários ficam sem navegar.
>
> DNS2 :
>
> Não consigo chegar nas portas de POP3
> e SMTP por fora da minha rede.
>
> O que eu fiz ???
>

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
---
Incoming mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.274 / Virus Database: 144 - Release Date: 23/8/2001

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.274 / Virus Database: 144 - Release Date: 23/8/2001

----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.

Mais detalhes sobre a lista de discussão freebsd