Administração e

segurança de redes
Aula 04
Arquitetura de gerenciamento OSI
Prof. Luiz Sérgio

Fonte : Material de aula do Prof. Diovani Milhorim

 Modelo OSI

 convenção da ISO (International Organization for

Standartization), por intermédio do grupo de pesquisa do
projeto OSI (Open Systems Interconnection)
 documento 7498-4
 também reconhecido pelo ITU-T (International
Telecommunication Union) - recomendações da série
X-700
 definição de três modelos
 Modelo Informacional
 Modelo Funcional
 Modelo Organizacional
 Modelo Informacional

 define os objetos de gerência (classes, atributos e nomes), as relações

e as operações sobre esses objetos
 utilização de OO

• objetos com características semelhantes são agrupados em

classes de objetos
• uma classe pode ser uma subclasse de outra, e a primeira
herda todas as propriedades da segunda
• uma classe é definida pelos atributos da classe, pelas ações
que podem ser invocadas, pelos eventos que podem ser
relatados, pela subclasse a qual ela deriva e pela superclasse
na qual ela está contida
 cada objeto é identificado por uma sequência de números,
correspondente aos nós percorridos desde a raiz, até o objeto em
questão
 MIB: necessária para armazenar os objetos gerenciados
Modelo Funcional
 divisão gerência de redes em cinco
áreas descrevendo as funcionalidades
de gerência
 gerência de falhas, gerência de
configuração, gerência de desempenho,
gerência de contabilidade e gerência de
segurança.
 FCAPS (faults, configuration,
accounting, performance, security)
 Modelo Organizacional
 estabelece a hierarquia entre sistemas de gerência em
um domínio de gerência, dividindo o ambiente a ser
gerenciado em vários domínios
 dependendo do tamanho e complexidade da rede,
sistemas de gerência baseados em um único gerente
podem ser inapropriados
 alto volume de informações que devem ser tratadas e
que podem pertencer a localizações geograficamente
distantes do gerente
 necessidade da distribuição da gerência na rede, através
da divisão das responsabilidades entre gerentes locais
que controlem domínios distintos e da expansão das
funcionalidades dos agentes
 Modelo Organizacional

 define a disposição dos gerentes na rede e a distribuição

das funções de gerência
 cada gerente local de um domínio pode prover acesso a
um gerente responsável (pessoa que interage com o
sistema de gerenciamento) local e/ou ser automatizado
para executar funções delegadas por um gerente de mais
alto nível, geralmente denominado de Centro de
Operações da Rede (NOC - Network Operation Center)
 NOC: responsável por gerenciar os aspectos
interdomínios, tal como um enlace que envolva vários
domínios, ou aspectos específicos de um domínio, devido
à inexistência de gerente local
 CMIP
 CMIP (Common Management Information Protocol) e CMIS
(Commom Management Information Services) - (1991)
 definidos pela isso como protocolo e serviço de
gerenciamento de rede do nível de aplicação do modelo
OSI
 OSF/DME (Open Software Foundation/Distributed
Management Environment)
 objetivo: suporte aos padrões OSI de gerenciamento
 função: fornecer facilidades que permitam integrar o
gerenciamento de sistemas em ambientes
heterogêneos, satisfazendo três requisitos básicos de
interoperabilidade, consistência e flexibilidade.
 CMOT – CMIP over TCP/IP (1992)
Gerência de Falhas
 processo de localização de problemas,
ou falhas, na rede e correção das
mesmas
 falha: condição anormal que requer
atenção (ou ação) gerencial
 erro: evento isolado
 Uma falha é geralmente indicada por
imperfeições para operar corretamente
ou por erros excessivos.
 Gerência de Falhas
 Passos
 detecção: descoberta da ocorrência da falha através de
um agente
• polling aos dispositivos (ping) ou notificação de
eventos críticos
• SGR deve alertar o gerente
 análise e diagnóstico: verificar se a falha é relevante e
procurar causa da falha
• consulta ao estado atual e histórico dos dispositivos
 resolução: aplicar ações de correção da falha e analisar
se a falha desapareceu
• utilização de dispositivos que permitem reconfiguração
Gerência de Falhas
 Vantagens
 aumenta a confiabilidade da rede
 detecção e recuperação de problemas
mais rapidamente
 evita o comum “apagar incêndios”
 Gerência de Falhas
 Definição das falhas de interesse
 falhas possuem prioridades diferentes

• depende do impacto da falha (ex. queda de link interno

da organização vs externo)
 nem todos eventos reportados são falhas
 necessária a filtragem de eventos
 tamanho da rede pode limitar o número de eventos para
análise
• pequena: gerência completa de todos os dispositivos
• média: gerência apenas dos eventos críticos de cada
dispositivo
• grande: gerência dos eventos críticos para alguns
dispositivos
Gerência de Configuração
 processo de identificação, localização e
configuração dos dispositivos críticos da
rede
 Vantagens

 aumenta o controle sobre a configuração

dos dispositivos de rede
 acesso mais rápido às informações
 permite a atualização de configurações
de maneira mais eficiente
 Gerência de Configuração
 Passos
 obter informações sobre o ambiente atual da rede
• processo de “automapping”
• permitir a busca de dispositivos
 utilização dos dados para reconfiguração dos dispositivos
de rede
• deve permitir a recuperação de configurações anteriores
• gerar advertências para configurações inadequadas
 armazenamento dos dados
• arquivos texto ou SGBD
 geração de relatórios
• configuração completa
• modificações recentes
Gerência de Contabilidade
 mede a utilização dos recursos da rede de modo a
estabelecer métricas, verificar quotas, determinar custos
e taxar os usuários
 o levantamento do perfil de uso dos recursos permite
revelar possíveis abusos de privilégio no uso dos
mesmos, auxiliando a melhoria de desempenho e o
planejamento de capacidade da rede
 Vantagens
 habilita a medição e documentação de informações de
contabilização
 permite entender o comportamento de usuários
 auxilia na determinação de onde recursos devem ser alocados
e o custo-benefício de novas tecnologias
Gerência de Contabilidade
 Passos
 obter dados de utilização dos recursos da rede
 usar métricas para ajudar a definir quotas de uso

• definição de métricas para contabilização:

número de transações, número de conexões...
• RFC 1272 - Internet Accounting Background
• repartição justa dos recursos: definição de
quotas para usuários ou grupos de usuários
• se a quota for excedida pode-se cobrar
mais caro pelo uso do recurso
 Gerência de Contabilidade
 Passos (cont.)
 taxar os usuários pelo uso da rede

• utilização de política
• instalação e taxa mensal fixa
• número total de transações realizadas, bytes
recebidos/enviados, etc
• utilização de extratos para os usuários
 planejamento

• previsões sobre a necessidade de mais recursos

• previsão sobre utilização de usuário (ou grupo de
usuários)
• dados históricos e tendência corrente de uso
 Gerência de Desempenho
 medição do desempenho de software e hardware da rede
visando assegurar que a rede esteja sempre acessível e
com recursos disponíveis
 pode ser utilizado para antecipar problemas iminentes, dada
uma possível degradação dos indicadores de desempenho
 permite estabelecer limiares de comportamento permitidos
para cada componente, e emite notificações para motivar
uma ação, quando esses valores forem atingidos
 Vantagens:
 auxilia no oferecimento de um nível de serviço satisfatório aos
usuários
 monitoração da utilização dos dispositivos de rede e links
 ajuda no planejamento de capacidade da rede
Gerência de Desempenho
 Passos
 coletade dados sobre a utilização dos
serviços, dispositivos e links
• coleta de dados em tempo real
• dispositivos com métricas diferentes
• utilização de histórico (logs)
 análise dos dados relevantes
• apresentação dos dados em tempo real
• resultado das medidas mostrados em gráficos
(histórico)
Gerência de Desempenho
 Passos (cont.)
 definição de limites de utilização

• valor limite (threshold) usado para a geração de

eventos (alarmes)
 simulação da rede

• verificar o comportamento da rede em eventuais

mudanças
• identificação de possíveis melhorias antes de se
adquirir novos equipamentos e/ou software
• previsão de condições críticas de uso
• auxílio em capacity planning – teste de cenários
Gerência de Segurança
 controle de acesso às informações na rede
 envolve a proteção de dados sensíveis dos dispositivos
de rede através do controle de acesso aos pontos onde
tais informações se localizam
 realiza a identificação dos pontos de acesso e
manutenção destes sob constante vigilância, informando
inclusive as tentativas de acesso indevido para uma
ação preventiva
 organiza a segurança de informações sensíveis em
relação necessidade de acesso dos usuários.
 devem limitar o acesso e notificar o ER em caso de
brechas na segurança
Gerência de Segurança
 Vantagens
 Segurança
• eliminar o acesso a informações sensíveis
através da rede de comunicação de dados
• Solução drástica e não prática
 Gerência de Segurança
• oferecimento de uma alternativa prática,
para transferência e armazenamento de
informações
 Gerência de Segurança
 Passos
 identificação das informações sensíveis

• definidas pela política da empresa

• identificação das máquinas que guardam tais informações
 identificação dos pontos de acesso

• conexão física, login remoto (Telnet), transferência de

arquivos (FTP), correio eletrônico (e-mail), execução
remota de processos (rsh), servidores de diretórios e
arquivos
• qualquer serviço de rede é uma porta de entrada.
 prover segurança para os pontos de acesso

• pode ser implantada em várias camadas da rede

 Gerência de Segurança
 Criptografia, na camada de enlace de dados
 Codificação da informação
 Indicada quando o meio é compartilhado
 Algoritmos de chave privada

• mesma chave para codificação e decodificação

• chave deve ser trocada periodicamente.
 Algoritmos de chave pública

• chaves com duas partes: uma privada e outra pública

• codificação feita com chave pública e decodificação
com chave privada.
• DES (Data Encryption Standard)
• SNMPv2 usa algoritmo de chave pública
Gerência de Segurança
 Filtros de pacotes, na camada de rede
 permite que pacotes passem (ou não)
pelo DR, dependendo de seu endereço
 DR deve ser configurado
 mudanças no endereço da fonte pode
atrapalhar o funcionamento do filtro.
• Ex: Endereço MAC de placa de rede
• Ex: Programas que permitem alterar
endereço MAC
 Gerência de Segurança
 Autenticação, na camada de aplicação
 Autenticação de Host
• permite o acesso a um serviço baseado no identificador do host
• xhosts +athenas
• Informação de identificação do host pode ser facilmente alterada
 Autenticação de usuário
• identificação do usuário antes de permitir acesso.
• Uso de senha
• formato texto
• senhas fáceis (mnemônicas)
• Uso de criptografia para senhas
• Secure Shell (SSH)
• Uso de senhas descartáveis
• se for roubada não poderá ser usada.
Gerência de Segurança
 Autenticação, na camada de aplicação (cont.)
 Autenticação de chave.
 Provê autenticação de usuário e de host em
conjunto.
 Servidor de chaves

• acesso remoto só pode ser feito com uma

chave válida
• servidor autentica fonte (usuário e host) e gera
a chave para aquela transação.
 Kerberos, (MIT - Massachusetts Institute of
Technology).
Gerência de Segurança
 Passos (cont.)
 manter a segurança dos pontos de acesso
• localização de brechas atuais ou potenciais na
segurança
• programas geradores de senhas e chaves de criptografia
• programas de ataques
• lançando desafios a hackers
• monitoração em tempo real dos pontos de acesso
• interação com a interface gráfica para geração de avisos
e alarmes
• tentativas de acessos não autorizados
• tentativas sucessivas
• “inteligência” para analisar o registro de eventos.
Gerência de Segurança
 Passos (cont.)
 análise
das conseqüências das
medidas de segurança
• restrição de tráfego
• desempenho dos DR