Sr.Professor
Banido
Um Bastion Host é um misto de Firewall, Router, Web Proxy, IDS, Servidor DNS e DHCP e Analisador de Tráfego, condensado numa única aplicação. Por uma questão de robustez e segurança, corre em plataforma LINUX sem que, o administrador de rede necessite de possuir qualquer conhecimento do Sistema Operativo.
O Sistema Operativo mais usado para Bastion Host é a “SmoothWall Express 2.0”, que é gratuita, podendo ser feio o download e a sua instalação não é mais do que fazer Boot a partir do CD e responder a algumas questões de configuração, que pressupõem o conhecimento de alguma terminologia de configuração de redes.
Numa rede de dimensão média é comum haver necessidade de utilizadores geograficamente afastado acederem aos recursos da rede interna, no entanto, sabemos também que a Internet é perigosa e que o Ciber-Crime é uma realidade.
Como contornamos este problema?
A resposta é: “Segmentação da Rede”
DMZ (zone de desmilitarização): Basicamente, funciona como uma fronteira vigiada por onde passam as comunicações
antes de terem acesso à rede interna, salvaguardando-a contra eventuais riscos. O Bastion Host funciona como ponto de reencaminhamento entre zonas bloqueando todo e qualquer tráfego que não seja expressamente autorizado. A cada zona corresponde um NIC no BH.
DMZ - Pinhole: Um Pinhole é uma regra criada no Bastion Host que permite que uma máquina
presente na DMZ consiga comunicar com outra na rede interna. Por definição, as máquinas da rede interna conseguem comunicar com a DMZ sem necessidade de qualquer configuração, mas o inverso não é permitido por questões de segurança.
IDS (Intrusion Detection System): Nesta aplicação, o sistema integrado é o SNORT, que verifica o tráfego de rede e
compara-o com as assinaturas conhecidas de ataques típicos. Sempre que é detectado um ataque é efectuado um registo (log) com os dados do atacante e perfil de ataque.
Port Forwarding: Na realidade, são as regras que permitem ao Bastion Host reencaminhar os diversos pedidos para a zona correspondente, mediante o protocolo e porta utilizados. Por exemplo, se o BH recebe da Internet uma comunicação TCP na porta 80, é natural que a reencaminhe para a DMZ, para o servidor WEB na porta 80 ou outra porta se desejarmos usar portas não convencionais.
Web Proxy: Funciona como um servidor intermédio de acesso à Internet, guardando as páginas e outros elementos em disco. Sempre que a mesma página for pedida por outro utilizador, será este servidor a fornecer a página, evitando o congestionamento da linha de Internet. É necessário "afinar" o tamanho da cache e analisar a performance através dos
gráficos de tráfego na zona vermelha.
-------------
By: Sr.Professor
O Sistema Operativo mais usado para Bastion Host é a “SmoothWall Express 2.0”, que é gratuita, podendo ser feio o download e a sua instalação não é mais do que fazer Boot a partir do CD e responder a algumas questões de configuração, que pressupõem o conhecimento de alguma terminologia de configuração de redes.
Numa rede de dimensão média é comum haver necessidade de utilizadores geograficamente afastado acederem aos recursos da rede interna, no entanto, sabemos também que a Internet é perigosa e que o Ciber-Crime é uma realidade.
Como contornamos este problema?
A resposta é: “Segmentação da Rede”
DMZ (zone de desmilitarização): Basicamente, funciona como uma fronteira vigiada por onde passam as comunicações
antes de terem acesso à rede interna, salvaguardando-a contra eventuais riscos. O Bastion Host funciona como ponto de reencaminhamento entre zonas bloqueando todo e qualquer tráfego que não seja expressamente autorizado. A cada zona corresponde um NIC no BH.
DMZ - Pinhole: Um Pinhole é uma regra criada no Bastion Host que permite que uma máquina
presente na DMZ consiga comunicar com outra na rede interna. Por definição, as máquinas da rede interna conseguem comunicar com a DMZ sem necessidade de qualquer configuração, mas o inverso não é permitido por questões de segurança.
IDS (Intrusion Detection System): Nesta aplicação, o sistema integrado é o SNORT, que verifica o tráfego de rede e
compara-o com as assinaturas conhecidas de ataques típicos. Sempre que é detectado um ataque é efectuado um registo (log) com os dados do atacante e perfil de ataque.
Port Forwarding: Na realidade, são as regras que permitem ao Bastion Host reencaminhar os diversos pedidos para a zona correspondente, mediante o protocolo e porta utilizados. Por exemplo, se o BH recebe da Internet uma comunicação TCP na porta 80, é natural que a reencaminhe para a DMZ, para o servidor WEB na porta 80 ou outra porta se desejarmos usar portas não convencionais.
Web Proxy: Funciona como um servidor intermédio de acesso à Internet, guardando as páginas e outros elementos em disco. Sempre que a mesma página for pedida por outro utilizador, será este servidor a fornecer a página, evitando o congestionamento da linha de Internet. É necessário "afinar" o tamanho da cache e analisar a performance através dos
gráficos de tráfego na zona vermelha.
-------------
By: Sr.Professor