> Estou fazendo um projeto de segurança na rede de um amigo e estou com > um problema que não vejo solução segura. Vamos fazer uma DMZ > back-to-back, com um fw externo e um interno. > No projeto atual, apenas os servidores Web e de e-mail externo é que > ficam na DMZ, e o servidor web só hospedaria sites sem conteúdo > crítico. > Acontece que empresa quer disponibilizar para acesso externo um portal > que precisa acessar arquivos e bancos de dados que contém informações > críticas. > Minha primeira sugestão foi colocar esse sistema na rede interna e > fazer uma VPN. O que não é viável pro cliente. > Não quero colocar os servidores de banco de dados e de arquivos na > DMZ, mas deixá-los dentro também não é bom pois os sistemas que rodam > na DMZ ( Webbased) teriam que ter acesso, o que comprometeria a > segurança.
Adicione uma vlan - ou nova placa de rede ao firewall interno e crie uma nova rede para esses servidores críticos. Desta forma, você estará fornecendo proteção tanto para ataques externos quanto internos. Desta maneira: [internet] | [fwext] | DMZ | [fwint] ---- Rede Segura | LAN Outra maneira é tentar replicar o seu banco de dados seguro para um outro em uma área mais livre, porém somente com acesso read-only. Assim ataques a ele não surtiriam efeito no banco verdadeiro. Claro que isso depende da sua aplicação que raramente irá se comportar direito desta maneira, mas quem sabe é uma idéia. E pra completar, outra idéia bacana é fazer um proxy reverso (caso sua aplicação seja web). Neste caso você o instala na DMZ e permite via firewall que só esse proxy consulte seus servidores protegidos e forneça a informação desejada para a internet de forma transparente para o usuário final. Existem mais dezenas de idéias, caras e baratas, boas e ruins, mas vai depender muito do que seu cliente realmente deseja gastar e obter. Grande abraço, -- Eduardo Alvarenga ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd