AV2 REDES - Inst Servidores e Mec de Segurança

Prévia do material em texto

UNIVERSIDADE VEIGA DE ALMEIDA 
CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS 
 
 
 
 
Avaliação 2: 
PROJETO INSTALAÇÃO DE SERVIDORES E MECANISMOS DE 
SEGURANÇA 
 
 
 
 
 
 
 
Daiana de Assis Leão 
 
 
 
Rio de janeiro 
2018 
DMZ – Desmilitarized zone (área de segurança) 
 
Será feita uma área onde os servidores ficarão isolados com acesso a internet, 
separando assim os servidores que precisam de acesso à internet e os que não 
precisam que rodarão somente locais. 
 
Haverá comunicação da LAN com a DMZ e vice e versa, e as duas farão comunicação 
com a internet sempre passando pelo firewall. 
 
O será utilizado o OPNSense para criação da DMZ. 
 
DNS 
DNS portas UDP e TPC 53, atuando como autoritativo para o mundo e recursivo para a 
rede interna com DNSsec habilitado com criptografia implementada, permitindo 
verificar se as respostas são autênticas, com filtros anti-spoofing recomendados na 
BC38 e, DNS reverso resolve o endereço IP, buscando nome de domínio associado ao 
host. 
 
DHCP 
O acesso a rede se dará por meio do cadastro e liberação do endereço físico associado 
à interface de comunicação que conecta o dispositivo a rede, endereço MAC. Isto para 
que haja controle e que seja possível rastrear todas as conexões, que inicialmente 
ficarão ativas com endereço IP atribuídos dinamicamente pelo DHCP. 
O switch será configurado um DHCP Relay Agent, que terá a função de pegar os 
pacotes enviados pelos clientes DHCP e enviar para o Servidor DHCP, para que isso seja 
possível será habilitado o serviço RRAS. 
O DHCP é um protocolo da camada de aplicação e usa o protocolo UDP na camada de 
transporte e usa as portas 67 e 68. 
 
WEB 
Será utilizado Servidor Web apache versão para Linux com identidade formada por IP, 
uma porta 80 e um header, pois ele contém estrutura modular de fácil personalização 
e também é uma fonte aberta que permite adicionar módulos de servidor e fazer 
modificações adequadas. 
 
 
SEGURANÇA DA REDE 
Será utilizado Firewall pfSense por sua robustez, onde os pacotes de rede podem ser 
filtrados por endereço IP, protocolo ou Porta, incorpora proxy Squid para otimização 
do acesso a web, regras NAT e regras de firewall. 
Serão adotadas múltiplas camadas de defesa incluindo a tecnologia de hardware e 
software e gerência de acesso. Será adotada políticas de senhas com regras de 
tamanho, formação e periodicidade de troca, políticas de backup com regras da 
frequência de execução, políticas de privacidade, política de confidencialidade, 
monitoramento de acesso, uso de software antivírus e antimalware, todos esses 
recursos junto a uma rede VPN, buscando salvaguardar as informações. 
Será implementado um NIDS antes do firewall para impedir que um usuário esterno 
venha conhecer a topologia da rede e um depois do firewall na DMZ para detectar 
algum ato que o firewall não tenha detectado. E para detectar ataques advindos da 
rede interna o HIDS para os servidores de risco como o Servidor Web. 
Será feito um backup com SAN que facilita o compartilhamento de uso em vários 
servidores de rede, o San será conectado diretamente aos servidores e controlado 
pelos mesmos. Tudo isso para o caso da necessidade de restauração da configuração 
de um deles ou em caso de falha. 
 
Servidores 
Servidor Web: Firewall, sistema operacional LInux Ubuntu Server 18.04, responsável 
pela proteção da rede interna, associação das redes internas a internet. 
 
Servidor Web Backup: Servidor clone do servidor para utilização em eventuais falhas. 
 
Servidor DHCP: sistema operacional LInux Ubuntu Server 18.04, responsável pela 
entrega de endereços nas empresas, vinculado cada faixa de endereço a uma 
determinada VLAN. 
 
Servidor Backup DHCP: Servidor clone do servidor para utilização em eventuais falhas. 
 
Servidor DNS: sistema operacional LInux Ubuntu Server 18.04, servidor DNS da rede, 
atuando como DNS será autoritativo para o mundo e recursivo para a rede interna 
com DNSsec habilitado com criptografia implementada, permitindo verificar se as 
respostas são autênticas, com filtros anti-spoofing recomendados na BC38 e DNS 
reverso. 
 
Servidor Backup DNS: Servidor clone do servidor para utilização em eventuais falhas. 
 
Mapa da rede 
Desenho feito no app Draw.io
 
Endereçamento 
 
Para endereçamento IPv4 da rede, IP de classe C será utilizada conforme descrito abaixo: 
 
A faixa de IP 192.168.1.0/24 reservada para rede A 
A faixa de IP 192.168.2.0/24 reservada para rede B 
 
Foi criada mais uma faixa de rede para isolamento dos servidores, foi a IP 192.168.3.0/24. 
 
De acordo com os padrões RFC 1918. O endereçamento será feito com base no levantamento de requisitos feito as empresas. 
 
Segue abaixo a tabela da distribuição de: 
 
ID Subrede Endereço de Rede Endereço em Broadcast IP Inicial IP Final Bits Subrede Total hosts 
A 192.168.1.0/24 192.168.1.0 192.168.1.127 192.168.1.1 192.168.1.126 24 6 
B 192.168.2.0/24 192.168.2.0 192.168.2.127 192.168.2.1 192.168.2.126 24 6 
 Serv. 192.168.3.0/24 192.168.3.0 192.168.3.127 192.168.3.0 192.168.2.126 24 3 
Bibliografia 
 
TANENBAUM, A. S.; WETHERALL, D. Redes de computadores. 5. Ed. São 
Paulo: Pearson, 2011 
 
KUROSE, J. F.; ROSS, K. W. Redes de computadores e a internet: uma 
abordagem top-down. 6. edição. São Paulo: Pearson, 2013.