[FUG-BR] Off topic: DMZ

[Eduardo Alvarenga]

> Estou fazendo um projeto de segurança na rede de um amigo e estou com
> um problema que não vejo solução segura. Vamos fazer uma DMZ
> back-to-back, com um fw externo e um interno.
> No projeto atual, apenas os servidores Web e de e-mail externo é que
> ficam na DMZ, e o servidor web só hospedaria sites sem conteúdo
> crítico.
> Acontece que empresa quer disponibilizar para acesso externo um portal
> que precisa acessar arquivos e bancos de dados que contém informações
> críticas.
> Minha primeira sugestão foi colocar esse sistema na rede interna e
> fazer uma VPN. O que não é viável pro cliente.
> Não quero colocar os servidores de banco de dados e de arquivos na
> DMZ, mas deixá-los dentro também não é bom pois os sistemas que rodam
> na DMZ ( Webbased) teriam que ter acesso, o que comprometeria a
> segurança.

Adicione uma vlan - ou nova placa de rede ao firewall interno e crie
uma nova rede para esses servidores críticos. Desta forma, você estará
fornecendo proteção tanto para ataques externos quanto internos.

Desta maneira:

[internet]
   |
[fwext]
   |
DMZ
   |
[fwint] ---- Rede Segura
   |
LAN

Outra maneira é tentar replicar o seu banco de dados seguro para um
outro em uma área mais livre, porém somente com acesso read-only.
Assim ataques a ele não surtiriam efeito no banco verdadeiro. Claro
que isso depende da sua aplicação que raramente irá se comportar
direito desta maneira, mas quem sabe é uma idéia.

E pra completar, outra idéia bacana é fazer um proxy reverso (caso sua
aplicação seja web). Neste caso você o instala na DMZ e permite via
firewall que só esse proxy consulte seus servidores protegidos e
forneça a informação desejada para a internet de forma transparente
para o usuário final.

Existem mais dezenas de idéias, caras e baratas, boas e ruins, mas vai
depender muito do que seu cliente realmente deseja gastar e obter.



Grande abraço,

-- 
Eduardo Alvarenga