UNIVERSIDADE VEIGA DE ALMEIDA
Análise e Desenvolvimento de Sistemas EAD
Aluna: Vinicius Figueira Coelho Alves
Matrícula: 1220303904
DISCIPLINA: FUNDAMENTOS DE REDES DE COMPUTADORES
Tutor: FABIO CONTARINI CARNEIRO
AVA2
DMZ – Desmilitarized zone (área de segurança) Será feita uma área onde os servidores
ficarão isolados com acesso a internet, separando assim os servidores que precisam de
acesso à internet e os que não precisam que rodarão somente locais.
Haverá comunicação da LAN com a DMZ e vice e versa, e as duas farão comunicação com
a internet sempre passando pelo firewall.
O será utilizado o OPNSense para criação da DMZ.
DNS - portas UDP e TPC 53, atuando como autoritativo para o mundo e recursivo para a
rede interna com DNSsec habilitado com criptografia implementada, permitindo verificar se
as respostas são autênticas, com filtros anti-spoofing recomendados na BC38 e, DNS
reverso resolve o endereço IP, buscando nome de domínio associado ao host.
�DHCP - O acesso a rede se dará por meio do cadastro e liberação do endereço físico
associado à interface de comunicação que conecta o dispositivo a rede, endereço MAC. Isto
para que haja controle e que seja possível rastrear todas as conexões, que inicialmente
ficarão ativas com endereço IP atribuídos dinamicamente pelo DHCP.
O switch será configurado um DHCP Relay Agent, que terá a função de pegar os pacotes
enviados pelos clientes DHCP e enviar para o Servidor DHCP, para que isso seja possível
será habilitado o serviço RRAS.
O DHCP é um protocolo da camada de aplicação e usa o protocolo UDP na camada de
transporte e usaas portas 67 e 68.
WEB - Será utilizado Servidor Web apache versão para Linux com identidade formada por
IP, uma porta 80 e um header, pois ele contém estrutura modular de fácil personalização e
também é uma fonte aberta que permite adicionar módulos de servidor e fazer modificações
adequadas.
SEGURANÇA DA REDE Será utilizado Firewall pfSense por sua robustez, onde os pacotes
de rede podem ser filtrados por endereço IP, protocolo ou Porta, incorpora proxy Squid para
otimização do acesso a web, regras NAT e
regras de firewall. Serão adotadas múltiplas camadas de defesa incluindo a tecnologia de
hardware e software e gerênciade acesso. Será adotada políticas de senhas com regras de
tamanho, formação e periodicidade de troca, políticas de backup com regras da frequência
de execução, políticas de privacidade, política de confidencialidade, monitoramento de
acesso, uso de software antivírus e antimalware, todos esses recursos junto a uma rede
VPN, buscando salvaguardar as informações. Será implementado um NIDS antes do firewall
para impedir que um usuário esterno venha conhecer a topologia da rede e um depois do
firewall na DMZ para detectar algum ato que o firewall não tenha detectado. E para detectar
ataques advindos da rede interna o HIDS para os servidores de risco como o
Servidor Web. Será feito um backup com SAN que facilita o compartilhamento de uso em
vários servidores de rede, o San será conectado diretamente aos servidores e controlado
pelos mesmos. Tudo isso para o caso da necessidade de restauração da configuração de
um deles ou em caso de falha.
Servidores Servidor Web: Firewall, sistema operacional LInux Ubuntu Server 18.04,
responsável pela proteção da rede interna, associação das redes internas a internet.
Servidor Web Backup: Servidor clone do servidor para utilização em eventuais falhas.
�Servidor DHCP: sistema operacional LInux Ubuntu Server 18.04, responsável pela entrega
de endereços nas empresas, vinculado cada faixa de endereço a uma determinada VLAN.
Servidor Backup DHCP: Servidor clone do servidor para utilização em eventuais falhas.
Servidor DNS: sistema operacional LInux Ubuntu Server 18.04, servidor DNS da rede,
atuando como DNS será autoritativo para o mundo e recursivo para a rede interna com
DNSsec habilitado comcriptografia implementada, permitindo verificar se as respostas são
autênticas, com filtros anti-spoofing recomendados na BC38 e DNS reverso. Servidor
Backup DNS: Servidor clone do servidor para utilização em eventuais falhas.
Endereçamento Para endereçamento IPv4 da rede, IP de classe C será utilizada conforme
descrito abaixo:
A faixa de IP 192.168.1.0/24 reservada para rede A
A faixa de IP 192.168.2.0/24 reservada para rede B
Foi criada mais uma faixa de rede para isolamento dos servidores, foi a IP 192.168.3.0/24.
De acordo com os padrões RFC 1918. O endereçamento será feito com base no
levantamento de requisitos feito as empresas.
