Uma recomendação básica para proteger sua rede de estações da rede de servidores é a adoção de um servidor intermediário, ou Jump Server. Vamos entender.
Segmentação
Para dificultar uma movimentação lateral, a segmentação de rede é bastante utilizada. Não se deve colocar todos os ovos na mesma cesta, devemos ter redes específicas para estações, e outra para servidores.
Entre estas duas redes, cria-se mais uma. Está servirá de ponte entre as outras duas.
Vamos segmentar da seguinte maneira:
| Nome | Rede |
|---|---|
| Desktops | 192.168.10.0 |
| Servidores web | 10.20.30.0 |
| Jump | 10.100.30.0 |
Da rede Desktops criamos uma ACL permitindo apenas 3389 para a rede Jump. Com isso podemos acessar a área de trabalho remota do Jump Server.
Da rede Jump, criamos ACL permitindo 3389 para a Servidores. Outras portas de gerenciamento podem ser adicionadas.
Da rede Desktops para a Servidores web, abrimos as portas necessárias para acessar os sites, geralmente 80 e 443, mas apenas para sistemas relacionados ao negócio da empresa. Consoles web de gerenciamento de gerenciamento dos sistemas, somente pelo jump server.
Pronto, se precisar gerenciar algo, usa o Jump Server, já os demais usuários acessam apenas os sites.
Esse é um ponto de partida, como se vê, não deve haver tráfego entre as redes de desktop e de servidores que permita qualquer gerenciamento.
Melhorando a segurança.
As regras de firewall podem ser mais abrangentes e não precisam apontar de servidor para servidor, mas de rede para rede, fica mais fácil. Faça a regra direta se o servidor for muito crítico.
É possível ter o jump server fora do domínio, mas isso requer um gerenciamento adicional, principalmente com as contas dos usuários,
Deve-se aplicar diretivas de grupo e outros bloqueios para evitar tráfego não desejado entre as rede, como área de transferência ou redirecionamento de USB.
Também é possível alterar a porta para uma qualquer no lugar da 3389.
