Upload
internet
View
105
Download
0
Embed Size (px)
Citation preview
ESTG LeiriaESTG Leiria4 de Abril de 20014 de Abril de 2001
ESTG LeiriaESTG Leiria4 de Abril de 20014 de Abril de 2001
Definição e implementação de uma Definição e implementação de uma política de segurança para as política de segurança para as
instalações de comunicação de dados instalações de comunicação de dados da ESTGda ESTG
Definição e implementação de uma Definição e implementação de uma política de segurança para as política de segurança para as
instalações de comunicação de dados instalações de comunicação de dados da ESTGda ESTG
Carlos CanudoCarlos CanudoCarlos CanudoCarlos Canudo
Objectivos Levantamento do estado-da-arte em segurança de
redes IP. Identificação de todos os recursos de comunicação de
dados da ESTG Definição de uma política de segurança para a ESTG. Configuração e optimização das redes de dados, dos
servidores e dos serviços a disponibilizar. Definição das regras de filtragem de pacotes que
assegurem o cumprimento da política de segurança definida e que deverá corresponder ás necessidades dos utilizadores.
Selecção, instalação e configuração dos serviços a fornecer.
Arquitectura de rede Rede sob vigilância Endereçamento privado na rede
Interna Encaminhador interior +
encaminhador exterior Estrutura de VLANs na rede Interna Antepara para protecção da rede de
serviços administrativos/académicos
Rede Privada Instituição
Internet
Rede Serviços Administrativos
Rede Serviços Académicos
DMZ
Bastião2 Mirrors de software
NATBastião1 NNTP
Mail HTTP Profs
Mail HTTP Alunos
DNS Syslog
Antepara
DHGW
Encaminhador Exterior
Encaminhador Interior
Filtragem Encaminhador Exterior
Listas reflexivas no IOS da CISCO Interface Interior
Procuradores transparentes Servidor NAT
Resolução automática de endereços (Ipchains)
Antepara Serviços Académicos Utilização do IPF
Implementação de Serviços Resolução de nomes DNS Sincronização de hora NTP Correio electrónico SMTP Correio electrónico POP3 Transferencia de ficheiros FTP WWW Terminais Remotos – Telnet, SSH Registos SYSLOG Notícias NNTP
Resolução de nomes DNS
DNS interno (verdadeiro) Endereços privados Servidor primário + secundários
(controlador domínio) Integração com servidor WINS
DNS externo (falso) Endereços públicos Situado na DMZ Primário + Backup
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1
ns1.iplei.pt
ComputadorBastião 2
ns2.iplei.pt
DNS InternoServidor
Real(master)
DNSInternoAlunos(Slave)
AcessoRemoto (RCU)
DMZ-2
DNS InternoServiços Ac/
Admin
Rede ServiçosAdministrativos
Rede Alunos Rede de Professores
Clientes DNS -Alunos
Clientes DNS -Professores
Clientes DNS - ServiçosAcadémicos +
Administrativos(Slave)
Transferência de ZonaPedido/Resposta DNSPedidos/ Respota DNS ao exterior
DMZ
DNS InternoProfessores
(Slave)
Pedidos DNS do exterior
UAns.ua.pt
Transferência de Zona (exterior)
Sincronização de Tempo NTP
Disponível para toda a rede interna Servidores para DMZ instalados nos
computadores bastião Sincronização com o UTC via FCCN
Controladores domínio – Servidores NTP para a respectiva rede.
Importante para a correcta análise de registos.
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1
ComputadorBastião 2
NTP Interno
PDCInternoAlunos
AcessoRemoto (RCU)
DMZ-2
NTP InternoServiços Ac/
Admin
Rede ServiçosAdministrativos
Rede Alunos Rede de Professores
Clientes NTP -Alunos
Clientes NTP -Professores
Clientes NTP - ServiçosAcadémicos +
Administrativos
Sincronização de Tempo
DMZ
PDC InternoProfessores
ServidorNTP
FCCN
Correio electrónico SMTP Disponível através de procuração Registos MX internos e externos diferentes
Servidor público na DMZ
Queue + relay Smap, Smapd do
FWTK da TIS Encaminhamento de
mensagens para o interior via DNS
Servidores Internos protegidos do exterior
Contas dos utilizadores nas máquinas internas
Mensagens para o exterior encaminhadas para o procurador na DMZ
Mensagens do exterior entregues através de procurador
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1
ComputadorBastião 2
Mail InternoAcad+Adm
AcessoRemoto (RCU)
DMZ-2
Mail InternoAlunos
Rede Alunos
Rede dos ServiçosAdministrativos
Rede de Professores
Clientes Mail -Serviços Acad
+ Admin
Clientes Mail -Professores
Clientes Mail - Alunos
SMTP saídaSMTP entrada
DMZ
Mail InternoProfessores
FCCN...
.fccn.pt
Correio electrónico POP3 Serviços POP3 disponível em toda a rede POP3 cifrado, com suporte SSL
EntradaEntrada Através de
procurador plug-gw Bastião1 –
professores Bastião2 - alunos
SaídaSaída Utilização de
procurador transparente através de NAT
Disponível para rede de alunos e professores
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1
ComputadorBastião 2
POP3Interno
Acad+Adm
AcessoRemoto (RCU)
DMZ-2
POP3 InternoAlunos
Rede Alunos
Rede dos ServiçosAdministrativos
Rede de Professores
Clientes POP3-Serviços Acad
+ Admin
Clientes POP3- Professores
Clientes POP3 - Alunos
Pedidos POP3/POP3S máquinainternas
POP3/POP3S entrada
DMZ
POP3 InternoProfessores
NAT(Networkaddress
Translation)
POP3/POP3S saída
Transferência de ficheiros FTP
SaídaSaída Através de
procuração (ftp-gw do FWTK da TIS)
EntradaEntrada Servidor FTP anónimo
instalado na DMZ Rede professores,
através de procuração com autenticação
Rede de alunos, procuração sem autenticação restrita à máquina de alunos
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1
ComputadorBastião 2
DHGW
AcessoRemoto (RCU)
DMZ-2POP3
RedeAlunos
Rede dos ServiçosAdministrativos
Rede de Professores
Clientes FTP-Serviços Acad +
Admin
Clientes FTP-Professores
Clientes FTPAlunos
FTP de Entrada Rede ProfessoresFTP de Entrada Rede Alunos
DMZ
FTP de saída
www.student.estg.iplei.ptomega
(contaspessoais)
NFS
www.estg.iplei.pt
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1
ComputadorBastião 2
DHGH
AcessoRemoto (RCU)
DMZ-2POP3
Rede Alunos
Rede dos ServiçosAdministrativos
Rede de Professores
Clientes FTPServiços Acad +
Admin
Clientes FTPProfessores
Clientes FTPAlunos
Acessos FTP (Servidor Instituição)
DMZ
ServidorFTP
(anónimo)
WWW
EntradaEntrada Através de
procurador HTTP (Squid)
Instalado no CB2 Ligação automática
à máquina interna consoante a URL
Servidores internos protegidos do acesso a partir da Internet
SaídaSaída Através de procurador
com cache (Squid) Suporte HTTP/HTTPS Disponível em toda a
rede
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1Servidor
Procurador
ComputadorBastião 2
AceleradorHTTP
www.estg.iplei.pt
AcessoRemoto (RCU)
DMZ-2
Plug-gw TIS
Rede ServiçosAdministrativos
Rede Alunos Rede de Professores
Clientes HTTP- Alunos
Clientes HTTP- Professores
Clientes HTTP - ServiçosAcadémicos +
Administrativos
Pedidos HTTP para o exterior
DMZ
www.dei.estg.iplei.pt
Pedidos HTTP do exterior
www.dem.estg.iplei.pt
omega (ContasAlunos)
www.student.estg.iplei.ptHomes
exportadaspor NFS
Terminais Remotos – Telnet, SSH
Telnet – texto -> inseguro SSH – cifrado -> orientado à segurança
Permite utilização de túneis cifrados
EntradaEntrada Através de
procurador tn-gw com autenticação
Bastião1 – professores
SSH ainda não disponível
SaídaSaída Telnet através de
procurador no computador bastião1 – rede professores
SSH disponível através de procurador transparente – rede professores
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1
ComputadorBastião 2
AcessoRemoto (RCU)
DMZ-2
POP3 InternoAlunos
Rede Alunos
Rede dos ServiçosAdministrativos
Rede de Professores
ClientesTelnet/SSH-
Serviços Acad+ Admin
ClientesTelnet/SSH-Professores
Clientes Telnet/SSH -Alunos
Telnet de Entrada
Telnet de Saída
DMZ
NAT(Networkaddress
Translation)
Tuneís cifrados
Registos SYSLOG
Utilização restrita aos servidores Armazenamento centralizado de registos Permite detecção e registo de anomalias e ataques Análise diária de registos
Rede Privada InstituiçãoInternet
EncaminhadorInterior
EncaminhadorExterior
ComputadorBastião 1Servidor
Procurador
ComputadorBastião 2
AceleradorHTTP
www.estg.iplei.ptmail.estg.iplei.pt
AcessoRemoto (RCU)
DMZ-2
Plug-gw TIS
Rede ServiçosAdministrativos
Rede Alunos Rede de Professores
Mensagens de syslog (UDP)
DMZ
www.dei.estg.iplei.ptwww.dem.e
stg.iplei.pt
omega (ContasAlunos) www.student
.estg.iplei.pt,mailHomes
exportadaspor NFS
Servidor Syslog192.168.0.26
news.iplei.
pt
ComputadorVitima (NAT)
Perguntas