7 - segurança - dmz vpn

Gerência de Redes de Computadores

- Controle de Acesso Lógico -

Prof. André [email protected]

Sobre este material

• Vídeos da apresentação em:

https://youtu.be/gofQvm0kf7c

Este trabalho está licenciado sob uma Licença Creative Commons Atribuição-NãoComercial-SemDerivações 4.0 Internacional. Para ver uma

cópia desta licença, visite http://creativecommons.org/licenses/by-nc-nd/4.0/.



http://creativecommons.org/licenses/by-nc-nd/4.0/

Controle de Acesso Lógico

• Tipos de Serviço/Acesso

• Serviços de Acesso Público• Disponíveis para acesso via internet• Acessado por clientes, parceiros, curiosos e atacantes

• Serviços de Acesso Privado• Acessados apenas internamente• Quando necessário acesso remoto → criação de

conexão segura (VPN)


• Barreiras Lógicas com Firewalls



DMZ: Zona Desmilitarizada

subrede entre internet e rede interna → criação de perímetro lógico



Acesso Público:

web, email, DNS (authoritative),...


• Barreiras Lógicas com Firewalls Política:regras permissivas para acesso aos serviços públicos



Acesso Privado:

banco de dados, sistemas internos, servidor de terminal remoto, servidores de VPN,ativos de rede, ...


• Barreiras Lógicas com Firewalls Política:regras restritivas ao acesso proveniente da internet

Política:regras permissivas ao acesso proveniente da rede interna



Redes isoladascada setor em uma subrede

isolamento,controle de acesso,melhor auditoria,facilidade na aplicação da PSI


• Hierarquia de endereços IP


• Hierarquia de endereços IP● facilita administração da rede;● simplificação de rotas;● simplificação de regras de FW;● melhor auditoria


• Implementação da estrutura de firewall:

• múltiplos equipamentos• equipamento único com múltiplas portas de rede• equipamento único + VLAN• ...


• Acesso Privado Remoto

• Utilização de redes virtuais privadas (VPN)• aplicação cliente/servidor• encapsulamento, compactação e cifragem de tráfego

• tipos de encapsulamento: • layer 2 / layer 3

• tipos de serviço: • road warrior / site-to-site


• VPN layer 3 - site-to-site



● conexão entre 2 redes remotas● servidor/cliente de VPN operam como roteadores● alternativa a redes WAN



Visão do usuário:redes interligadas pelos roteadores


• VPN layer 2 - road warrior



● conexão entre estação e rede● servidor de VPN opera como bridge



Visão do usuário:conexão direta com a rede interna


• VPN site-to-site e road warrior


• Localização de servidores VPN



VPN road-warrior

Utilização de servidor VPN em DMZ permite que o tráfego da estação remota seja controlado

Isto ocorre após a saída dos pacotes da VPNEntre o servidor de VPN e a rede interna



VPN site-to-site

A VPN pode ser estabelecida no firewall

Torna transparente a sua existência

Permite o controle do tráfego em ambas as pontas

7 - segurança - dmz vpn

Education

Transcript of 7 - segurança - dmz vpn