A empresa AVU está implementando uma área de segurança chamada de DMZ (Desmilitarized Zone) para isolar os servidores que precisam de acesso à inte...

A empresa AVU está implementando uma área de segurança chamada de DMZ (Desmilitarized Zone) para isolar os servidores que precisam de acesso à internet dos servidores que serão executados localmente. A comunicação entre a LAN (rede local) e a DMZ será feita através de um firewall. Para a criação da DMZ, será utilizado o OPNSense. Os servidores serão distribuídos da seguinte forma: 1. Servidor DNS: - Endereço IP na rede interna A: 192.168.1.10 - Endereço IP na DMZ: 192.168.3.2 - Atuará como servidor DNS autoritativo para o mundo e recursivo para a rede interna. Também terá o DNSsec habilitado para criptografia e autenticação das respostas. 2. Servidor DHCP: - Endereço IP na rede interna A: 192.168.1.20 - Responsável pela entrega de endereços IP às empresas, vinculado a cada faixa de endereço a uma VLAN. Os endereços serão atribuídos dinamicamente pelo servidor DHCP. 3. Servidor Web: - Endereço IP na rede interna B: 192.168.2.10 - Endereço IP na DMZ: 192.168.3.3 - Utilizará o servidor web Apache para Linux, com identidade formada pelo IP, porta 80 e um header. O servidor web é de código aberto e altamente personalizável. Além disso, será utilizado o firewall pfSense para garantir a segurança da rede. O pfSense permitirá filtrar pacotes de rede por endereço IP, protocolo ou porta, e também incorporará o proxy Squid para otimização do acesso à web. Serão adotadas múltiplas camadas de defesa, incluindo tecnologia de hardware e software, políticas de senhas, políticas de backup, políticas de privacidade, políticas de confidencialidade, monitoramento de acesso, uso de software antivírus e antimalware, e uma rede VPN para proteger as informações. Também será implementado um sistema de detecção de intrusões de rede (NIDS) antes do firewall para evitar que usuários externos descubram a topologia da rede, e um NIDS na DMZ para detectar atividades não detectadas pelo firewall. Para detectar ataques provenientes da rede interna, será utilizado um sistema de detecção de intrusões em host (HIDS) nos servidores de alto risco, como o Servidor Web. Será realizado um backup com SAN (Storage Area Network) conectado diretamente aos servidores para facilitar o compartilhamento e o controle pelos próprios servidores. Isso permitirá a restauração da configuração ou recuperação em caso de falhas. Os servidores serão configurados com os seguintes sistemas operacionais e funções: - Servidor Web: Firewall, sistema operacional Linux Ubuntu Server 18.04, responsável pela proteção da rede interna e associação das redes internas à internet. - Servidor Web Backup: Servidor clone do servidor principal para uso em caso de falhas. - Servidor DHCP: Sistema operacional Linux Ubuntu Server 18.04, responsável pela entrega de endereços IP às empresas, vinculado a cada faixa de endereço a uma determinada VLAN. - Servidor Backup DHCP: Servidor clone do servidor principal para uso em caso de falhas. - Servidor DNS: Sistema operacional Linux Ubuntu Server 18.04, servidor DNS da rede, atuando como DNS autoritativo para o mundo e recursivo para a rede interna. Terá o DNSsec habilitado com criptografia implementada e filtros anti-spoofing recomendados na BC38. - Servidor Backup DNS: Servidor clone do servidor principal para uso em caso de falhas. O endereçamento IPv4 da rede seguirá a seguinte estrutura: - Rede interna A: Faixa de IP 192.168.1.0/24 - Rede interna B: Faixa de IP 192.168.2.0/24 - DMZ: Faixa de IP 192.168.3.0/24 Essa configuração atende aos requisitos de segurança da empresa AVU, fornecendo um ambiente seguro e separado para os servidores que precisam de acesso à internet, enquanto mantém os