estg leiria 4 de abril de 2001 estg leiria 4 de abril de 2001 definição e implementação de uma...

ESTG LeiriaESTG Leiria4 de Abril de 20014 de Abril de 2001

ESTG LeiriaESTG Leiria4 de Abril de 20014 de Abril de 2001

Definição e implementação de uma Definição e implementação de uma política de segurança para as política de segurança para as

instalações de comunicação de dados instalações de comunicação de dados da ESTGda ESTG

Definição e implementação de uma Definição e implementação de uma política de segurança para as política de segurança para as

instalações de comunicação de dados instalações de comunicação de dados da ESTGda ESTG

Carlos CanudoCarlos CanudoCarlos CanudoCarlos Canudo

Objectivos Levantamento do estado-da-arte em segurança de

redes IP. Identificação de todos os recursos de comunicação de

dados da ESTG Definição de uma política de segurança para a ESTG. Configuração e optimização das redes de dados, dos

servidores e dos serviços a disponibilizar. Definição das regras de filtragem de pacotes que

assegurem o cumprimento da política de segurança definida e que deverá corresponder ás necessidades dos utilizadores.

Selecção, instalação e configuração dos serviços a fornecer.

Arquitectura de rede Rede sob vigilância Endereçamento privado na rede

Interna Encaminhador interior +

encaminhador exterior Estrutura de VLANs na rede Interna Antepara para protecção da rede de

serviços administrativos/académicos

Rede Privada Instituição

Internet

Rede Serviços Administrativos

Rede Serviços Académicos

DMZ

Bastião2 Mirrors de software

NATBastião1 NNTP

Mail HTTP Profs

Mail HTTP Alunos

DNS Syslog

Antepara

DHGW

Encaminhador Exterior

Encaminhador Interior

Filtragem Encaminhador Exterior

Listas reflexivas no IOS da CISCO Interface Interior

Procuradores transparentes Servidor NAT

Resolução automática de endereços (Ipchains)

Antepara Serviços Académicos Utilização do IPF

Implementação de Serviços Resolução de nomes DNS Sincronização de hora NTP Correio electrónico SMTP Correio electrónico POP3 Transferencia de ficheiros FTP WWW Terminais Remotos – Telnet, SSH Registos SYSLOG Notícias NNTP

Resolução de nomes DNS

DNS interno (verdadeiro) Endereços privados Servidor primário + secundários

(controlador domínio) Integração com servidor WINS

DNS externo (falso) Endereços públicos Situado na DMZ Primário + Backup

Rede Privada InstituiçãoInternet

EncaminhadorInterior

EncaminhadorExterior

ComputadorBastião 1

ns1.iplei.pt


ns2.iplei.pt

DNS InternoServidor

Real(master)

DNSInternoAlunos(Slave)

AcessoRemoto (RCU)

DMZ-2

DNS InternoServiços Ac/

Admin

Rede ServiçosAdministrativos

Rede Alunos Rede de Professores

Clientes DNS -Alunos

Clientes DNS -Professores

Clientes DNS - ServiçosAcadémicos +

Administrativos(Slave)

Transferência de ZonaPedido/Resposta DNSPedidos/ Respota DNS ao exterior

DMZ

DNS InternoProfessores

(Slave)

Pedidos DNS do exterior

UAns.ua.pt

Transferência de Zona (exterior)

Sincronização de Tempo NTP

Disponível para toda a rede interna Servidores para DMZ instalados nos

computadores bastião Sincronização com o UTC via FCCN

Controladores domínio – Servidores NTP para a respectiva rede.

Importante para a correcta análise de registos.






NTP Interno

PDCInternoAlunos

AcessoRemoto (RCU)

DMZ-2

NTP InternoServiços Ac/

Admin



Clientes NTP -Alunos

Clientes NTP -Professores

Clientes NTP - ServiçosAcadémicos +

Administrativos

Sincronização de Tempo

DMZ

PDC InternoProfessores

ServidorNTP

FCCN

Correio electrónico SMTP Disponível através de procuração Registos MX internos e externos diferentes

Servidor público na DMZ

Queue + relay Smap, Smapd do

FWTK da TIS Encaminhamento de

mensagens para o interior via DNS

Servidores Internos protegidos do exterior

Contas dos utilizadores nas máquinas internas

Mensagens para o exterior encaminhadas para o procurador na DMZ

Mensagens do exterior entregues através de procurador






Mail InternoAcad+Adm

AcessoRemoto (RCU)

DMZ-2

Mail InternoAlunos

Rede Alunos

Rede dos ServiçosAdministrativos

Rede de Professores

Clientes Mail -Serviços Acad

+ Admin

Clientes Mail -Professores

Clientes Mail - Alunos

SMTP saídaSMTP entrada

DMZ

Mail InternoProfessores

FCCN...

.fccn.pt

Correio electrónico POP3 Serviços POP3 disponível em toda a rede POP3 cifrado, com suporte SSL

EntradaEntrada Através de

procurador plug-gw Bastião1 –

professores Bastião2 - alunos

SaídaSaída Utilização de

procurador transparente através de NAT

Disponível para rede de alunos e professores






POP3Interno

Acad+Adm

AcessoRemoto (RCU)

DMZ-2

POP3 InternoAlunos

Rede Alunos


Rede de Professores

Clientes POP3-Serviços Acad

+ Admin

Clientes POP3- Professores

Clientes POP3 - Alunos

Pedidos POP3/POP3S máquinainternas

POP3/POP3S entrada

DMZ

POP3 InternoProfessores

NAT(Networkaddress

Translation)

POP3/POP3S saída

Transferência de ficheiros FTP

SaídaSaída Através de

procuração (ftp-gw do FWTK da TIS)

EntradaEntrada Servidor FTP anónimo

instalado na DMZ Rede professores,

através de procuração com autenticação

Rede de alunos, procuração sem autenticação restrita à máquina de alunos






DHGW

AcessoRemoto (RCU)

DMZ-2POP3

RedeAlunos


Rede de Professores

Clientes FTP-Serviços Acad +

Admin

Clientes FTP-Professores

Clientes FTPAlunos

FTP de Entrada Rede ProfessoresFTP de Entrada Rede Alunos

DMZ

FTP de saída

www.student.estg.iplei.ptomega

(contaspessoais)

NFS

www.estg.iplei.pt






DHGH

AcessoRemoto (RCU)

DMZ-2POP3

Rede Alunos


Rede de Professores

Clientes FTPServiços Acad +

Admin

Clientes FTPProfessores

Clientes FTPAlunos

Acessos FTP (Servidor Instituição)

DMZ

ServidorFTP

(anónimo)

WWW


procurador HTTP (Squid)

Instalado no CB2 Ligação automática

à máquina interna consoante a URL

Servidores internos protegidos do acesso a partir da Internet

SaídaSaída Através de procurador

com cache (Squid) Suporte HTTP/HTTPS Disponível em toda a

rede




ComputadorBastião 1Servidor

Procurador


AceleradorHTTP

www.estg.iplei.pt

AcessoRemoto (RCU)

DMZ-2

Plug-gw TIS



Clientes HTTP- Alunos

Clientes HTTP- Professores

Clientes HTTP - ServiçosAcadémicos +

Administrativos

Pedidos HTTP para o exterior

DMZ

www.dei.estg.iplei.pt

Pedidos HTTP do exterior

www.dem.estg.iplei.pt

omega (ContasAlunos)

www.student.estg.iplei.ptHomes

exportadaspor NFS

Terminais Remotos – Telnet, SSH

Telnet – texto -> inseguro SSH – cifrado -> orientado à segurança

Permite utilização de túneis cifrados


procurador tn-gw com autenticação

Bastião1 – professores

SSH ainda não disponível

SaídaSaída Telnet através de

procurador no computador bastião1 – rede professores

SSH disponível através de procurador transparente – rede professores






AcessoRemoto (RCU)

DMZ-2

POP3 InternoAlunos

Rede Alunos


Rede de Professores

ClientesTelnet/SSH-

Serviços Acad+ Admin

ClientesTelnet/SSH-Professores

Clientes Telnet/SSH -Alunos

Telnet de Entrada

Telnet de Saída

DMZ

NAT(Networkaddress

Translation)

Tuneís cifrados

Registos SYSLOG

Utilização restrita aos servidores Armazenamento centralizado de registos Permite detecção e registo de anomalias e ataques Análise diária de registos




ComputadorBastião 1Servidor

Procurador


AceleradorHTTP

www.estg.iplei.ptmail.estg.iplei.pt

AcessoRemoto (RCU)

DMZ-2

Plug-gw TIS



Mensagens de syslog (UDP)

DMZ

www.dei.estg.iplei.ptwww.dem.e

stg.iplei.pt

omega (ContasAlunos) www.student

.estg.iplei.pt,mailHomes

exportadaspor NFS

Servidor Syslog192.168.0.26

news.iplei.

pt

ComputadorVitima (NAT)

Perguntas

estg leiria 4 de abril de 2001 estg leiria 4 de abril de 2001 definição e implementação de uma...

Documents