Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouMatheushenrique Serio Alterado mais de 9 anos atrás
1
ESTG Leiria 4 de Abril de 2001 ESTG Leiria 4 de Abril de 2001 Definição e implementação de uma política de segurança para as instalações de comunicação de dados da ESTG Carlos Canudo
2
Objectivos Levantamento do estado-da-arte em segurança de redes IP. Identificação de todos os recursos de comunicação de dados da ESTG Definição de uma política de segurança para a ESTG. Configuração e optimização das redes de dados, dos servidores e dos serviços a disponibilizar. Definição das regras de filtragem de pacotes que assegurem o cumprimento da política de segurança definida e que deverá corresponder ás necessidades dos utilizadores. Selecção, instalação e configuração dos serviços a fornecer.
3
Arquitectura de rede Rede sob vigilância Endereçamento privado na rede Interna Encaminhador interior + encaminhador exterior Estrutura de VLANs na rede Interna Antepara para protecção da rede de serviços administrativos/académicos
4
Rede Privada Instituição Internet Rede Serviços Administrativos Rede Serviços Académicos DMZ Bastião2 Mirrors de software NATBastião1NNTP Mail HTTP Profs Mail HTTP Alunos DNSSyslog Antepara DHGW Encaminhador Exterior Encaminhador Interior
5
Filtragem Encaminhador Exterior Listas reflexivas no IOS da CISCO Interface Interior Procuradores transparentes Servidor NAT Resolução automática de endereços (Ipchains) Antepara Serviços Académicos Utilização do IPF
6
Implementação de Serviços Resolução de nomes DNS Sincronização de hora NTP Correio electrónico SMTP Correio electrónico POP3 Transferencia de ficheiros FTP WWW Terminais Remotos – Telnet, SSH Registos SYSLOG Notícias NNTP
7
Resolução de nomes DNS DNS interno (verdadeiro) Endereços privados Servidor primário + secundários (controlador domínio) Integração com servidor WINS DNS externo (falso) Endereços públicos Situado na DMZ Primário + Backup
9
Sincronização de Tempo NTP Disponível para toda a rede interna Servidores para DMZ instalados nos computadores bastião Sincronização com o UTC via FCCN Controladores domínio – Servidores NTP para a respectiva rede. Importante para a correcta análise de registos.
11
Correio electrónico SMTP Disponível através de procuração Registos MX internos e externos diferentes Servidor público na DMZ Queue + relay Smap, Smapd do FWTK da TIS Encaminhamento de mensagens para o interior via DNS Servidores Internos protegidos do exterior Contas dos utilizadores nas máquinas internas Mensagens para o exterior encaminhadas para o procurador na DMZ Mensagens do exterior entregues através de procurador
13
Correio electrónico POP3 Serviços POP3 disponível em toda a rede POP3 cifrado, com suporte SSL Entrada Através de procurador plug-gw Bastião1 – professores Bastião2 - alunos Saída Utilização de procurador transparente através de NAT Disponível para rede de alunos e professores
15
Transferência de ficheiros FTP Saída Através de procuração (ftp-gw do FWTK da TIS) Entrada Servidor FTP anónimo instalado na DMZ Rede professores, através de procuração com autenticação Rede de alunos, procuração sem autenticação restrita à máquina de alunos
18
WWW Entrada Através de procurador HTTP (Squid) Instalado no CB2 Ligação automática à máquina interna consoante a URL Servidores internos protegidos do acesso a partir da Internet Saída Através de procurador com cache (Squid) Suporte HTTP/HTTPS Disponível em toda a rede
20
Terminais Remotos – Telnet, SSH Telnet – texto -> inseguro SSH – cifrado -> orientado à segurança Permite utilização de túneis cifrados Entrada Através de procurador tn-gw com autenticação Bastião1 – professores SSH ainda não disponível Saída Telnet através de procurador no computador bastião1 – rede professores SSH disponível através de procurador transparente – rede professores
22
Registos SYSLOG Utilização restrita aos servidores Armazenamento centralizado de registos Permite detecção e registo de anomalias e ataques Análise diária de registos
24
Perguntas
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.