Embed Size (px)
Citation preview
Utilização do PIX Firewall no CDTN
Características da rede e do firewall
• Aproximadamente 500 máquinas nas redes internas, espalhadas por diversos prédios
• Segmentação dos endereços (plano de endereçamento com uma sub-rede por prédio)
• Firewall Cisco PIX 515:
64 MB RAM, 16 MB flash, Pentium 200 MHz, 6 interfaces ethernet
Licença VPN DES
Capacidade de tráfego de 146 Mbps
OS versão 6.22
Situação até 2001
Internet
roteador4500
sub-rede 1200.17.181.0
sub-rede 2200.131.27.0
filtros de pacotes com políticapermite tudo que não éexplícitamente proibido
Configuração do roteador como firewall
(situação até início de 2002)
Internet
roteador4500
sub-rede 1200.17.181.0
sub-rede 2200.131.27.0
f i l t r o s d e p a c o t e s c o mpolítica proíbe tudo que nãoé explícitamente permitido
configuração de segurançado roteador
Planejamento da instalação do firewall
• Processo do instalação em passos para minimizar o tempo de parada da rede e reduzir riscos (04 passos)
• Plano de numeração IP utilizando endereçamento com IPs privativos (RFC1918) e NAT para acesso externo
• NAT n-1 com um endereço de NAT por sub-rede
• Teste da configuração do PIX em laboratório
Passo 1:
Introdução dos endereços privativos fazendo NAT no roteador
Internet
roteador4500
sub-rede 1endereço privativo
(RFC1918)
sub-rede 2endereço privativo
(RFC1918)
f i l t ros de pac o tes c ompolítica proíbe tudo que nãoé explícitamente permitido
configuração de segurançado roteador
NAT n-1, um endereço parade NAT para toda a rede
sub-rede 2
DMZ200.17.181.0
sub-rede 1
roteador4500
Internet
firewall com política proibetudo que não é explícitamntepermitido
NAT n-1 por sub-rede
rede privativaCNEN
f iltros de pacotes com políticap e r m i t e t u d o q u e n ã o éexplícitamente proibido
conf iguração de segurança doroteador
Passo 2:
Instalação do PIX mantendo a topologia original
Passo 3:
Implementação da rede CPD
sub-rede 2
DMZ200.17.181.0
CPD
sub-rede 1
roteador4500 PIX
Internetrede privativa
CNEN
rede privativaCNEN
DMZ200.17.181.0
CPD
sub-redes de usuários
roteador4500
Internet
Passo 4:
Segmentação das redes 1 e 2 com um switch-router
Facilidades básicas utilizadas
• Filtros de pacotes com estado
• NAT estático
• NAT dinâmico
• Anti-spoofing
• Interface gráfica via browser
• Backup de configuração via TFTP
• LOGs
Interface gráfica
Facilidades adicionais utilizadas
• Gateways de aplicação
• Acesso através de SSH
• Sincronização de relógio via NTP
• Monitoração via SNMP
Linha de comando através de SSH
Outras facilidades que poderão ser utilizadas
• VPNs (IPSec)
• Função de IDS básico
• Autenticação via TACACS/RADIUS
• Multicast
• Filtragem de URLs
• Failover (redundância)
Avaliação - dificuldades
• Falta de treinamento
• Configuração inicial trabalhosa
• Interface gráfica precisa ser melhorada
• Problemas com xdmcp
Avaliação – pontos positivos
• Integração hardware/software
• Confiabilidade
• Linha de comando semelhante à dos roteadores
• Gateways de aplicação (smtp, http, ftp, etc.)
• Interface gráfica via browser com SSL (ajuda muito nas listas de acesso)
• Facilidade/custo de atualização do sistema operacional
