Observação:

Adicionando segurança à arquitetura do sistema de nomes de domínio usando o firewall pfSense

Introdução

A OraStage é uma empresa líder no setor de energia, especializada em soluções de energia renovável e tecnologias de energia inovadoras, a empresa anunciou uma decisão estratégica de migrar suas cargas de trabalho para a Oracle Cloud Infrastructure (OCI) para melhorar o desempenho, a escalabilidade e a segurança.

image

Tendo em conta as necessidades e condições específicas que o OraStage delineou, a empresa requer uma solução híbrida de Domain Name System (DNS) na nuvem, e por híbrida aqui significa: usar seu próprio sistema DNS Berkeley Internet Name Domain versão 9 (BIND9) além do serviço DNS do OCI, onde a arquitetura final que eles estão procurando construir é mostrada na imagem a seguir.

image

OraStage Requisitos de DNS:

Esta série de tutoriais irá guiá-lo passo a passo para alcançar os requisitos descritos acima, construindo toda a solução do zero. Você pode navegar facilmente para cada tutorial na lista abaixo:

Visão geral

Neste tutorial, exploraremos como melhorar a segurança de nossa arquitetura DNS, aproveitando o pfSense, um firewall de código aberto e uma plataforma de roteador.

O DNS é um componente crítico da infraestrutura de rede, mas geralmente é vulnerável a ataques como falsificação de DNS, envenenamento por cache e Negação de Serviço Distribuída (DDoS). Ao integrar o pfSense com medidas de segurança do DNS, você pode adicionar uma camada robusta de proteção, garantindo que o tráfego de DNS da sua rede seja seguro e resiliente. Portanto, é recomendável configurar seu firewall de forma a filtrar consultas de DNS, bloquear domínios maliciosos e fortalecer a integridade geral do DNS.

Qual é o benefício adicional de colocar um firewall pfSense na frente de um servidor DNS?

No geral, colocar um firewall na frente do seu servidor DNS melhora a segurança, o desempenho e a resiliência do servidor, impedindo o acesso não autorizado, detectando tráfego malicioso e oferecendo proteção robusta contra uma ampla gama de ameaças relacionadas ao DNS.

Objetivos

Observação:

Arquitetura final

image

Pré-requisitos

image

Tarefa 1: Configurar Componentes de Rede de Roteamento e Segurança

Tarefa 1.1: Criar uma Rede Virtual na Nuvem (Hub-VCN)

Certifique-se de que a VCN do Hub (10.4.0.0/16) já tenha sido criada, contendo Hub-Private-Subnet (10.4.0.0/24) e Hub-Public-Subnet (10.4.1.0/24).

image

Observação:

Tarefa 1.2: Configurar Roteamento e Segurança para Hub-VCN

image

image

image

Tarefa 1.3: Configurar Roteamento e Segurança para LSN-VCN

Tarefa 1.4: Configurar Roteamento e Segurança para DNS-VCN

Tarefa 1.5: Configurar o Roteamento e a Segurança para a VCN Frontend

Tarefa 1.6: Configurar o Roteamento e a Segurança da VCN de Backend

Observação: Não altere nada nas regras de entrada e saída.

Tarefa 1.7: Configurar Roteamento de VCNs Spoke no DRG

O objetivo desta tarefa é garantir que todo o tráfego enviado de qualquer uma das redes (DNS/LSN/Frontend/Backend) e recebido no DRG, seja roteado para o hub, onde será inspecionado pelo firewall.

Tarefa 2: Provisionar um Windows Jump Server

Tarefa 3: Instalar e Configurar o Firewall pfSense

Observação: Se você já tiver outro tipo de solução de firewall, poderá ignorar a Tarefa 3.1 a 3.7 e prosseguir da 3.8.

Tarefa 3.1: Fazer Download da Imagem pfSense

Tarefa 3.2: Criar um Bucket do OCI Object Storage

Nesta tarefa, criaremos um bucket do OCI Object Storage que será usado para fazer upload da imagem pfSense e usar essa imagem de objeto para criar uma imagem personalizada no OCI.

Tarefa 3.3: Fazer Upload da Imagem pfSense para o Bucket de Armazenamento

Tarefa 3.4: Criar uma Imagem Personalizada

Fizemos upload da imagem pfSense. Agora, precisamos criar uma imagem personalizada da OCI com base nela. Essa imagem personalizada será usada para criar a instância do firewall pfSense.

image

Tarefa 3.5: Criar uma Instância com a Imagem pfSense Personalizada

Tarefa 3.6: Instalar pfSense na Instância

Precisamos fazer a instalação inicial e a configuração do firewall pfSense. Já temos a instância em execução.

Tarefa 3.7: Conecte-se à GUI (Web Graphic User Interface) pfSense e Conclua a Configuração Inicial

A instalação foi concluída, agora precisamos estabelecer conexão com a GUI web do firewall pfSense. Mas antes disso, certifique-se de permitir o tráfego HTTP/HTTPS proveniente de Hub-Public-Subnet, pois estabeleceremos conexão com a GUI do firewall do Jump-Server colocado lá. Já permitimos que todo o tráfego de todas as VCNs (10.0.0.0/8) passasse pelo firewall na Tarefa 1.2.

Tarefa 3.8: Rotear Tráfego para o Firewall pfSense

Na Tarefa 1, configuramos o roteamento em nossas VCNs e DRG, de forma a forçar todo o tráfego enviado para fora dos raios, a entrar na rede hub (seta verde). Esta tarefa responde como rotear todo esse tráfego para o firewall pfSense (seta vermelha).

image

Faremos isso criando uma tabela de roteamento de entrada (Tabela de roteamento de trânsito). Esta é basicamente uma tabela de roteamento que você cria no nível da VCN, mas a designa no DRG, para que o tráfego que entra no hub seja roteado para um destino específico de sua escolha (firewall pfSense em nosso cenário).

Tarefa 3.9: Permitir que o Tráfego passe por pfSense

Neste tutorial, vamos aproveitar dois recursos do pfSense.

Lembre-se de que você pode fazer muito mais com o pfSense, mas nosso foco aqui é mais instalar o pfSense na OCI e integrá-lo à nossa arquitetura de rede existente com a implementação do roteamento e da segurança adequados na OCI.

Primeira Regra (Opcional):

image

Segunda Regra:

image

Terceira Regra:

image

Quarta Regra:

image

Quinta Regra:

image

Sexta Regra:

image

Tarefa 4: Testar e Validar

Cenário de Teste 1

Cenário de Teste 2

Conclusão

Parabéns! Finalmente chegamos ao fim de nossa jornada de DNS.

Neste tutorial, focamos em melhorar a arquitetura DNS da OraStage com pfSense, que fornece uma camada crucial de defesa contra uma variedade de ataques e vulnerabilidades baseados em DNS. Ao filtrar o tráfego, aplicar protocolos DNS seguros e bloquear domínios maliciosos, o OraStage pode garantir que seus servidores DNS operem de forma segura e eficiente.

Ao longo da série, você aprendeu algumas habilidades importantes na OCI. Cada tutorial foi desenvolvido no último, dando a você uma base sólida na OCI e confiando em uma abordagem de aprendizado progressivo. Essas habilidades ajudarão você a gerenciar e otimizar sua infraestrutura de nuvem de forma eficaz:

Confirmações

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.