Capítulos 5,6 - Departamento de Ciência da Computação
Capítulos 5,6 - Departamento de Ciência da Computação
Capítulos 5,6 - Departamento de Ciência da Computação
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
• Servidores proxy<br />
São vistos através <strong>de</strong> um perímetro <strong>de</strong> segurança como servidor ou<br />
cliente do serviço <strong>de</strong>man<strong>da</strong>do ou oferecido, fazendo intermediação do serviço<br />
e acrescentando funcionali<strong>da</strong><strong>de</strong> aos gateways <strong>de</strong> base múltipla.<br />
Sua principal característica <strong>de</strong> segurança é permitir ocultar ao tráfego<br />
externo as máquinas do perímetro interno que hospe<strong>da</strong>m serviços oferecidos,<br />
pois ataques baseados em escuta requerem visibili<strong>da</strong><strong>de</strong> do alvo.<br />
• proxy <strong>de</strong> aplicação........oferecem serviços <strong>de</strong> intermediação <strong>de</strong> acesso a<br />
uma aplicação específica, como ftp, telnet, www, etc.<br />
• proxy genérico...............funcionam como retransmissores <strong>de</strong> pacote com<br />
filtragem a nível <strong>de</strong> portas basea<strong>da</strong> no estado <strong>da</strong>s sessões TCP.<br />
Pressupõe o uso recomen<strong>da</strong>do <strong>de</strong> portas para os WKS.<br />
• proxy <strong>de</strong> circuito...........acrescentam funcionali<strong>da</strong><strong>de</strong> aos proxys<br />
genéricos, estabelecendo um circuito virtual fim-a-fim entre o usuário <strong>da</strong><br />
re<strong>de</strong> interna e vários serviços <strong>de</strong> um <strong>de</strong>stino. Requerem a instalação <strong>de</strong><br />
programas-cliente que reconheçam o intermediador (ex.: SOCKS).<br />
• Hospe<strong>de</strong>iro guardião (Bastion host)<br />
Uma máquina que hospe<strong>de</strong> um gateway ou função <strong>de</strong> roteamento em um<br />
ponto crítico para a segurança <strong>da</strong> re<strong>de</strong>, é chamado <strong>de</strong> bastion host. Para que a<br />
proteção <strong>de</strong>seja<strong>da</strong> seja efetiva, os serviços a serem providos pelo bastion host<br />
<strong>de</strong>vem ser minima e criteriosamente selecionados.<br />
Um bastion host <strong>de</strong>ve possuir recursos redun<strong>da</strong>ntes <strong>de</strong> armazenamento,<br />
não dispor <strong>de</strong> ferramentas <strong>de</strong> programação, <strong>de</strong> contas e serviços <strong>de</strong>sne-<br />
cessários, nem <strong>de</strong> programas com permissão SUID e SGID (unix).<br />
74