Boas práticas de publicação de serviços
Boas práticas são padrões definidos por conjuntos de empresas e/ou conunidades, e que auxiliam as demais empresas e usuários a manterem um padrão seguro e organizado para os seus produtos, processos e serviços.
Desta maneira, trataremos aqui de dois itens importantes quando falamos de publicação de serviços para a internet.
Mascaremento de portas (NAT/DNAT/SNAT)
Quando algum serviço precisa ser publicado na internet, o ideal é que este passe por diversas camadas de segurança, forçando o usuário a vencer cada uma delas para que consiga acessar aquela determinada aplicação. Para isso, são usados firewalls e outros recursos que efetuam um redirecionamento/mascaramento de portas externas para as portas internas daquele determinado servidor ou serviço.
Usando estes recursos, é possível criar regras que redirecionam o tráfego de uma porta públicada para um servidor/serviço interno.
Através deste redireciomaneto é possível filtrar o tráfego e definir diversas políticas de segurança para mitigar vulnerabilidades e controlar como e de qual origem este serviço poderá ser acessado.
Isolamento Lógico (DMZ)
A DMZ (Demilitarized Zone) é uma VLan (VirtualLan) ou rede física, usada pra isolar lógica ou fisicamente servidores que posssuem algum tipo de acesso público dos servidores usados na rede local.
Nesta VLan/Rede, devem ser colocados todos os serviços que possuem algum tipo de acesso externo, independente da porta usada, e todo o tráfego com origem da DMZ que possui a LAN (ou outras redes) como destino, deverá passar por algum controle que limitará exatamente o que poderá ser acessado e como.
Desta forma, um ataque bem sucedido em algum servidor que está publicado, também precisará vencer a segurança aplicada no firewall para acessar as demais redes e computadores da empresa.
O isolamento por DMZ também poderá ser configurado diretamente em switches de camada 3, porém o indicado é que sejam usados firewalls de nova geração que atuam também na camada 7, controlando não somente as portas, mas também o que está trafegando naquela porta.