Questões de Segurança da Informação - DMZ (DeMilitarized Zone) para Concurso

Os sistemas IPS mantêm informação de estado, realizam detecção de anomalias e, após tais tarefas, encaminham os pa- cotes permitidos. Um IPS baseado em rede monitora todo o tráfego em busca de códigos maliciosos ou ataques e, quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto o tráfego normal continua seu caminho.

Na solução 2, apenas o tráfego permitido pelo firewall é passado ao IPS, o qual, por sua vez, tem função de promover uma inspeção mais detalhada. Por exemplo, caso se tente fazer um telnet, a partir de uma máquina externa, a um servidor web localizado na DMZ, o firewall poderia bloquear tal acesso sem necessidade de uso de qualquer funcionalidade mais elaborada do IPS.

Na solução 1, todos os pacotes passariam inicialmente pelo IPS antes de chegarem à interface outside do firewall. A razão de se ter o IPS na rede outside é para permitir que ele proteja o firewall ou que limite as novas conexões para o IPS.

Um IPS complementa o trabalho realizado por um firewall stateless. Os firewalls stateless analisam os pacotes em todas as camadas TCP/IP e guardam o estado de cada conexão de maneira a impedir o tráfego de pacotes ilegítimos.

A solução 2 é adequada tanto em projetos em que os equipamentos são distintos quanto naqueles em que o IPS consiste em um módulo do firewall. Nesta solução é ainda comum que o firewall selecione os tipos de tráfego que serão direcionados ao IPS ( em vez de se fazer o espelhamento completo), ação que também contribui para um melhor uso dos recursos de IPS.

O desenho e implementação de uma DMZ estão intimamente ligados à utilização de sistemas de firewall.

Caso um invasor consiga ter acesso à DMZ por conta de uma vulnerabilidade de algum serviço, ele normalmente permanece sem acesso à rede interna, uma vez que um firewall pode estar configurado para proteger a rede interna.

A implementação padrão de DMZ utiliza normalmente dois firewalls, um separando a rede WAN da DMZ e outro separando a DMZ da rede interna.

Uma DMZ separa os serviços e os usuários da rede interna de um possível ataque vindo de uma rede insegura, como a Internet.

É recomendável colocar serviços como Exchange, DNS interno ou servidores de aplicativos que necessitam acessar um banco de dados e transitar informações sensíveis dentro da DMZ.

proxy.

VPN.

firewall.

DMZ.

intranet.