Você está na página 1de 33

Projeto Integrador 2011.

Infraestrutura de redes

Magna Medeiros - Railma Freitas Jud Teixeira - Unelby Klermon

NATAL/RN Junho de 2011

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

Proposta de Infraestrutura de Redes de Computadores para o XXXI CONGRESSO DA SOCIEDADE BRASILEIRA DE COMPUTAO

MEMORIAL DESCRITIVO
Projeto Integrador das disciplinas: Segurana de Redes, Cabeamento Estruturado e Gerncia de Redes, lecionadas pelos professores Carlos Rocha, Soraya Christiane e Alex Fabiano, respectivamente, objetivando a implementao da Infraestrutura de Redes de Computadores.

Magna Medeiros - Railma Freitas Jud Teixeira - Unelby Klermon

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

SUMRIO
1. INTRODUO .................................................................................. pg. 05 1.1. Nossa proposta .................................................................... pg. 05 ESTRUTURA FSICA E SEUS SUBSISTEMAS.........................................pg. 06 2.1. Situao atual e necessidades .............................................. pg. 06 2.1.1. Quantidade de pontos requisitados .......................... pg. 06 2.1.2. Quantidade de pontos de rede sugerida ................... pg. 07 2.1.3. Topologia lgica sugerida .................. ....................... pg. 08 2.1.4. Topologia fsica sugerida ........................................... pg. 09 2.2. Conexo internet ............................................................... pg. 11 2.3. Subsistema de cabeamento horizontal ................................ pg. 11 2.4. Subsistema de rea de trabalho ........................................... pg. 11 2.5. Subsistema de cabeamento vertical ..................................... pg. 12 2.6. Subsistema de administrao ............................................... pg. 12 2.7. Sala de equipamentos e telecomunicaes .......................... pg. 12 EQUIPAMENTOS UTILIZADOS .......................................................... pg. 14 GERENCIAMENTO DA REDE ............................................................ pg. 17 4.1. Porque gerenciar .................................................................. pg. 17 4.2. Tecnologias utilizadas .......................................................... pg. 18 4.2.1. Protocolo SNMP ........................................................ pg. 18 4.2.2. Software de Gerenciamento Zabbix .......................... pg. 19 4.3. O que gerenciar .................................................................... pg. 19 4.3.1. Access points .............................................................. pg. 20 4.3.2. Servidores ..................................................................pg. 20 4.3.3. Switches ..................................................................... pg. 20 4.3.4. No-breaks .................................................................. pg. 21 SEGURANA DA INFORMAO ....................................................... pg. 21 5.1. Procedimentos gerais ........................................................... pg. 21 5.2. Firewall ................................................................................. pg. 21 5.3. IDS ........................................................................................ pg. 22

2.

3. 4.

5.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

5.4. Proxy .................................................................................... pg. 23 5.5. Poltica de backup ................................................................ pg. 23


5.5.1. Servidor de Backup ................................................... pg. 23 5.5.2. Cloud storage ............................................................ pg. 24 Controle de acesso fsico .................................................... pg. 24 Controle de acesso lgico - VLANs ...................................... pg. 24 5.7.1. Identificao das VLANs ........................................... pg. 25 5.7.2. O processo de entroncamento .................................. pg. 25 5.7.3. VTP ............................................................................ pg. 25 5.7.4. VLAN de gerenciamento e associao dinmica ....... pg. 26

5.6. 5.7.

5.8. Segurana dos equipamentos .............................................. pg. 27


5.8.1. Proteo fsica ........................................................... pg. 27 5.8.2. Vigilncia ................................................................... pg. 27 Alimentao eltrica ............................................................ pg. 27 5.9.1. Recomendaes de aterramento ............................. pg. 28

5.9.

6. 7.

CONCLUSO .................................................................................... pg. 29 REFERNCIAS .................................................................................. pg. 30 7.1. Livros .................................................................................... pg. 30 7.2. Pginas WEB ........................................................................ pg. 30 FIGURAS E TABELAS ........................................................................ pg. 31 ANEXO I PLANTA BAIXA - EQUIPAMENTOS E PONTOS DE REDE ANEXO II PLANTA BAIXA CABEAMENTO DE REDE ANEXO III PLANILHA DE ORAMENTO ANEXO IV POLTICA DE SEGURANA PARA O CONGRESSO

8.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

1.

INTRODUO

A TechNET vem, atravs deste Memorial e seus anexos, explanar seu projeto de infraestrutura de Redes de Computadores a ser adotada no Centro de Convenes de Natal, especificando materiais a serem utilizados e a devida configurao destes. Complementando este Memorial, h documentos inerentes ao projeto: - Planta baixa de pontos de rede e cmeras. - Planta baixa do cabeamento horizontal e vertical; - Planilha de custos/oramento geral; - Poltica de Segurana para o XXXI CSBC. 1.1 Nossa proposta

O presente projeto visa montar uma estrutura de cabeamento estruturado para o centro de convenes, a ser utilizado pelo XXXI Congresso da Sociedade Brasileira de Computao e eventos posteriores, que possibilite a implementao de um sistema de dados de maneira eficiente e que atenda s necessidades do cliente levando em considerao o layout preestabelecido, provendo uma estrutura totalmente documentada, de fcil manuteno e que comporte expanses de rede, tudo em conformidade com as normas NBR 14565, ANSI/TIA/EIA 568B, ANSI/TIA/EIA 569A, ANSI/TIA/EIA 606 e ANSI/TIA/EIA 607. Neste projeto esto contemplados tanto a implementao da rede cabeada, quanto da rede sem fio, bem como, questes de gerncia dos dispositivos da rede e segurana fsica e lgica. No prximo tpico, detalha-se a estrutura sugerida por este projeto.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

2.

ESTRUTURA FSICA E SEUS SUBSISTEMAS

2.1 Situao atual e necessidades O Centro de Convenes de Natal est localizado na Via Costeira em uma regio elevada, sobre as dunas do Parque das Dunas. Foi projetado para abrigar eventos sociais, como feiras, congressos, encontros, seminrios, entre outros. O CCN possui uma estrutura de grande porte, com ambientes para diversos tipos de eventos. Apesar de haver, na maioria dos eventos, necessidade de conectividade entre os usurios, visitantes, no est implementada uma estrutura de rede. Falta padronizao de identificao dos pontos de rede e ativos, entre outros itens bsicos exigidos pelas normas ANSI/TIA/EIA 568A. 2.1.1 Quantidade de pontos requisitados O cliente solicita um nmero mnimo de pontos fsicos de rede para atender s suas necessidades (Tabela 2.1).
Tabela 2.1 Pontos fsicos de rede requisitados pelo cliente

Local Secretaria Recepo Sala Pitanga 1 Sala Pitanga 2 Sala Zumbi Sala Muri Sala Maracaja Sala Pipa Sala Baa Formosa Sala VIP-1 Cyber Coffee - 2 Stands Apoio Auditrio Reis Magos Auditrio Lavoisier Maia Sala VIP - 2 Sala Camurupim Salo Genipabu 1 Salo Genipabu 2

Quantidade de Pontos de Rede 10 04 02 02 02 02 02 02 02 04 20 10 02 02 02 04 02 02 02

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

Sala Ponta Negra 02 Cyber Coffee - 1 20 SC-1 04 SC-2 04 SC-3 04 Restaurante 00* Coffee Break 00* TOTAL 112 *Estes ambientes sero atendidos pela rede sem fio 2.1.2 Quantidade de pontos de rede sugerida Em funo de o ambiente ser atpico, alguns aspectos foram seguidos nas normas, outros foram analisados em funo do ambiente e da necessidade de possveis mudanas, conforme descreve a Tabela 2.2.
Tabela 2.2 Pontos fsicos de rede sugeridos

Local Secretaria Recepo Sala Pitangui 1 Sala Pitangui 2 Sala Zumbi Sala Muri Sala Maracaja Sala Pipa Sala Baa Formosa Sala VIP-1 Cyber Coffee - 2 Stands Apoio Auditrio Reis Magos Auditrio Lavoisier Maia Sala VIP - 2 Sala Camurupim Salo Genipabu 1 Salo Genipabu 2

Quantidade de Pontos de Rede 18 12 8 8 8 8 8 8 8 8 20 14 6 8 8 8 8 8 8

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

Sala Ponta Negra 08 Cyber Coffee - 1 20 SC-1 04 SC-2 04 SC-3 04 Restaurante 00* Coffee Break 00* TOTAL 222 *Estes ambientes sero atendidos pela rede sem fio Com base na quantidade mdia de usurios previstos para a rede, foi estabelecido um nmero de tomadas de telecomunicaes a serem instaladas no prdio capaz de atender esta demanda. Tambm foi considerada uma quantidade de pontos necessrios a garantir seu crescimento sem transtornos (escalabilidade).
Tabela 2.3 Tomadas de Telecomunicao por pavimento

Pavimento A B C D TOTAL

Tomadas de Telecomunicao 47 20 28 16 111

Nos ambientes apenas metade dos pontos de rede estaro ativos. Com exceo do Cyber Coffee 1 e 2 e dos stands. Os pontos no ativos podero ser usados para voz ou dados, conforme as necessidades. A disposio espacial dos pontos pode ser analisada no Anexo I. A rede foi implementada com 111 tomadas de telecomunicaes (Tabela 2.3) distribudas ao longo dos 4 pavimentos do edifcio, conforme a necessidade de cada ambiente. 2.1.3 Topologia lgica sugerida A topologia lgica sugerida (Figura 2.1) atende bem aos requisitos mnimos de escalabilidade e gerenciamento de links no que diz respeito velocidade de conexo em cada terminal atendido.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

Figura 2.1 Topologia lgica sugerida

A ocupao das portas do switch core foi mnima, considerando o pequeno nmero de switches secundrios, possibilitando um crescimento futuro sem muitas mudanas no cabeamento vertical. 2.1.4 Topologia fsica sugerida Temos neste modelo (Figura 2.2) um servidor operando a funo de Firewall, ligando a rede externa (Internet) ao core. Este ltimo um switch gerencivel de 24 portas que interfaceia o Firewall, o servidor misto (ProLiant DL360 / item 3 deste documento) e a rede interna composta por 5 switches layer 3 de 48 portas cada.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

10

Figura 2.2 Topologia fsica sugerida

O Anexo II (Planta baixa do Cabeamento e equipamentos de Rede) mostra claramente a localizao e disposio dos ativos de rede. possvel tambm identificar a organizao fsica do cabeamento, que est definido em cada um dos quatro pavimentos por cores diferentes. A ligao fsica dos Access Points independe da sua lgica de funcionamento dentro da rede. Apesar de cada um dos APs estar ligado ao Armrio de telecomunicao mais prximo, todos esto participando da mesma Rede Virtual (VLAN): 40. Isso melhor especificado no item 5.5.1 deste documento. Os trechos em verde (Anexo II) so parte do cabeamento vertical a ligao dos switches de cada pavimento ao Switche CORE.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

11

2.2

Conexo Internet

O acesso internet ocorre por meio de um link contratado pelo Projeto. Este link chega ao Firewall CCN por uma interface de fibra ptica. O Firewall possui duas interfaces de rede pticas: uma conectada ao link externo e a outra ligada ao Switch CORE. O acesso e auditagem ao contedo acessado na WEB melhor discutido na seo 5.2. 2.3 Subsistema de cabeamento horizontal

Nas instalaes foram usados aproximadamente 10.300 metros de cabos UTP categoria 6 com conectorizao padro Rj45/568-A, com suporte para trfego a 1.000 Mbps para atendimento dos servios de dados do cabeamento horizontal. Os cabos foram lanados por eletrocalhas em forma de feixes, e organizados com abraadeiras de velcro onde possvel. Os cabos tm origem nos racks fechados em cada pavimento do prdio chegando at as reas de trabalho [ANSI/TIA 568B]. Foi adotado como recomendao para o modelo bsico de infraestrutura o sistema composto por canaletas, eletrocalhas e eletrodutos (rea externa). Esse sistema de encaminhamento de cabos permite uma excelente flexibilidade e capacidade de expanso com custo reduzido. Algumas adaptaes na infraestrutura predial sero realizadas para permitir o lanamento da quantidade de cabos necessrios nos subsistemas de cabeamento horizontal dos pavimentos do prdio (Anexo II). A certificao do cabeamento UTP da rede dever estar em conformidade com os requisitos da TIA/EIA TSB-67 (Transmission Performance Specification for Field Testing of Unshielded Twisted-Pair Cabling). 2.4 Subsistema de rea de trabalho

Nas reas de trabalho foram usadas caixas de superfcie aparente. Em cada caixa foram instalados dois pontos de dados (usando tomadas com conectores Rj45). Dependendo das necessidades de uso de cada ambiente, apenas um dos pontos de dados estar ativo, o ponto excedente e no usado deve estar completamente fechado por mdulos cegos para impedir a entrada de objetos ou poeira. As tomadas Rj45 usadas nas reas de trabalho apresentam configurao de terminao em conformidade com o padro de pinagem 568-A [ANSI/TIA 568B].

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

12

As estaes de trabalho e demais equipamentos de rede sero conectados s tomadas de telecomunicaes nas caixas de superfcies por meio de patch cords flexveis com 3 metros de comprimento. 2.5 Subsistema de cabeamento vertical

Considerando a conformidade com as normas de cabeamento estruturado e a abrangncia da rede para sua implantao nos 4 pavimentos do Centro de Convenes, adotou-se um cabeamento vertical usando os cabos UTP par tranado categoria 6 com conectorizao padro Rj45/568-A. No backbone para os servios de dados interconectando o switch core aos switches de distribuio em cada pavimento do edifcio foram usados 583 metros de cabos UTP par tranado categoria 6 com conectorizao padro Rj45/568-A (530m somado a 10% deste valor). O backbone parte da sala de equipamentos localizada no 1 andar onde se encontram os servidores de rede e o switch core. Os segmentos de cabos instalados dentro do prdio entre os racks localizados nos pavimentos e a sala de equipamentos foram lanados em lances nicos sem emendas (de acordo com as normas aplicveis). 2.6 Subsistema de administrao

Todos os pontos sero identificados na rede para garantir uma administrao eficiente, obedecendo ao seguinte esquema (EIA/TIA 568A): [Pavimento] [Armrio de Telecomunicaes] [Patch Panel] [Nmero sequencial do ponto]. Exemplo: A-AT01-01-010 o ponto de rede nmero 10 no pavimento A no armrio de telecomunicaes 01 no Patch Panel 01 [ANSI/TIA 606 e NBR 14565]. 2.7 Salas de equipamentos e telecomunicaes Os racks funcionam como centro de fiao para o pavimento e local de instalao dos equipamentos de interconexo da rede. No primeiro andar localizase a sala de equipamentos que contm os servidores de rede e o switch core. No interior dessa sala, o cabeamento ser distribudo por meio de eletrocalhas instaladas sob o teto. No projeto no foram implantadas salas exclusivas de telecomunicaes nos pavimentos, mas gabinetes fechados (Racks 12U) que desempenham a funo de sala de telecomunicaes (Figura 2.3).

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

13

Figura 2.3 Rack de parede 12U

A Sala de Equipamentos ser a mesma utilizada para gerenciamento e possuir um rack de 36U (Figura 2.4). No rack estaro instalados os servidores, o switch core e o patch panel de onde partir o cabeamento vertical.

Figura 2.4 Rack de parede 36U

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

14

3.

O rack utilizado possui as seguintes especificaes: Rack 19'' fabricado em ao SAE 1020 1,5mm de espessura, com porta frontal embutida, visor em fum 2,0mm de espessura e fechadura escamotevel. Altura: 36U Largura: 19" Profundidade: 1000 mm Pintura: Eletrosttica epxi-p micro-texturizada. Personalizaes: Rguas, Bandejas, Organizadores, Ventilao EQUIPAMENTOS UTILIZADOS

As mquinas utilizadas para servios e roteamento (Figura 3.1) sero do tipo acoplvel a rack (blade). O Servidor Dedicado para servios virtualizados (Figura 3.1) um HP ProLiant DL380 G7 e possui caractersticas de um Servidor robusto: 2 processadores six-core de 3.46Ghz cada um (cache 8MB L3); Memria RAM 8GB DDR3, expansvel at 192GB, capacidaded de armazenamento interno de at 4TB e duas interfaces de rede GIGAbit.

Figura 3.1 Servidores utilizados neste projeto

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

15

Esta mquina comportar os seguintes servios virtualizados: Autenticao, SAMBA, DNS, DHCP e FTP. Devido s propridades de hardware mais avanadas destes servidores de rack, seu valor aumenta consideravelmente (Anexo III). J a mquina utilizada para roteamento e proteo de rede (Firewall, IDS e Proxy) ser uma HP ProLiant DL160 G6. Esta possui caractersticas um pouco diferentes do modelo anterior. Trata-se de uma mquina com: 2 processadores quad-core de 3.33Ghz cada um (cache 4MB L3); Memria RAM 6GB DDR3, expansvel at 192GB, capacidade de armazenamento interno de at 4TB e duas interfaces de rede GIGAbit.

Figura 3.2 Switches utilizados no projeto

O switch core utilizado ser do modelo DELL 6224. Os switches utilizados nos pavimentos (48 portas) sero do modelo DELL 6248 (Figura 3.2). Os Access Points utilizados sero do Modelo Cisco 1240AG, que possuem potncia aplicvel a ambientes corporativos (Figura 3.3). Os Access Points dos pavimentos C e D sero equipados com antenas Omnidirecionais de 15dbi (Figura 3.4).

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

16

Figura 3.3 Access Point Cisco AiroNet 1240AG

Figura 3.4 Antena Omnidirecional de 15dBi

Os Access Points do pavimento B e do ptio interno sero equipados com painis setoriais de 14dbi (Figura 3.5), voltadas para as reas mais requisitadas, conforme planta baixa de pontos e APs (Anexo I). A disposio das antenas e a localizao dos Access Points pode ser observada melhor no Anexo I.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

17

Figura 3.5 Painel setorial 14dBi

Os pontos de acesso sero alimentados eletricamente atravs do cabo UTP CAT6, seguindo o padro 802.3af. Este assunto melhor explanado no item 5.6 (alimentao eltrica). 4. GERENCIAMENTO DA REDE Pode-se definir gerncia de redes como o conjunto de atividades voltadas para o planejamento, monitoramento e o funcionamento contnuo dos servios oferecidos para os usurios. Gerenciar saber o que acontece em tempo real com nossos ativos de rede. 4.1 Porque gerenciar Para garantir o funcionamento contnuo da rede e assegurar um elevado grau de qualidade dos servios oferecidos, a atividade de gerenciamento da rede essencial.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

18

O gerenciamento da rede ser feito utilizando um protocolo que realize a comunicao com os equipamentos que precisam ser monitorados e/ou configurados. Nesse documento especificaremos as tecnologias utilizadas para o gerenciamento da rede de computadores do Centro de Convenes, assim como as polticas de gerncia. 4.2 Tecnologias Utilizadas: Para gerenciar ativos de uma rede precisamos de um protocolo e de uma aplicao que tratem os dados colhidos pelo software. O protocolo ser o SNMP, e o software o Zabbix. 4.2.1 Protocolo SNMP Utilizaremos o protocolo SNMP (Simple Network Management Protocol) cuja funo permitir aos administradores de rede gerenciar o desempenho da rede e encontrar seus eventuais problemas. Os dados so obtidos atravs de requisies de um gerente a um ou mais agentes utilizando os servios do protocolo de transporte para enviar e receber suas mensagens. Um gerente SNMP uma entidade que gera requisies para recuperar e modificar informaes. Ele administra as respostas as suas requisies ou as reportagens de eventos assncronas vindas dos agentes. J o agente SNMP, pode ser definido como uma entidade que assume o papel operacional de receber, processar e responder requisies bem como gerar reportagens de eventos. Um agente deve ter acesso a informaes de gerenciamento da rede para responder requisies e, quando for o caso, deve poder ser notificado, atravs de interfaces especializadas, de eventos internos dos dispositivos. Alm disso, o protocolo SNMP define uma forma padronizada de se solicitar informaes aos equipamentos. Atualmente, praticamente todos os equipamentos de rede que suportam o gerenciamento entendem o protocolo SNMP. O gerenciamento da rede atravs do SNMP permite o acompanhamento simples e fcil do estado, em tempo real, da rede, podendo ser utilizado para gerenciar diferentes tipos de sistemas. Idealmente todos os equipamentos de rede deveriam suportar gerenciamento. No entanto, para reduzir os custos, existem modelos de equipamentos que no o fazem. Isso acontece, por exemplo, com vrios modelos de switches. Na rede do CCN utilizaremos switches gerenciveis.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

19

4.2.2 Software de Gerenciamento Zabbix Ser utilizado o software de monitoramento Zabbix para tratar as informaes recebidas pelo SNMP. O Zabbix projetado para monitorar o status de vrios servios de rede, servidores, bem como outros equipamentos de rede. Um dos aspectos mais importantes do Zabbix a monitorao de desempenho. A carga do processador, o nmero de processos em funcionamento, a atividade do disco, o status da memria virtual, e a disponibilidade da memria, analise de integridade de arquivos so alguns dos parmetros que o sistema Zabbix pode monitorar. O Zabbix fornece ao administrador de sistema a informao sobre o desempenho dos ativos de rede. Alm disso, o Zabbix pode produzir grficos das demandas da rede para ajudar a identificar os problemas de desempenho do sistema. Isso possibilita a identificao e soluo precoce de problemas na rede. 4.3 O que gerenciar Os itens a serem gerenciados geraro relatrios em tempo real, bem como alertas pr-definidos pelo administrador da rede. Estes dados estaro disponveis aos responsveis para anlise e tomada de decises. Quando o estado operacional de um equipamento crtico da rede muda para no operacional, o equipamento em questo pode mudar de cor no mapa da rede ficar vermelho, por exemplo ou um e-mail e/ou SMS pode ser enviado ao operador do sistema. Ao se gerenciar uma rede, primeiramente, deve-se analisar hipteses relacionadas camada fsica separadas das hipteses relacionadas camada de enlace e assim por diante. As hipteses da camada fsica so as primeiras a serem testadas. Em seguida vm as da camada de enlace e assim sucessivamente. Duas razes nos fazem gerenciar itens que dizem respeito ao funcionamento da camada fsica [HAUGDAHL, 2000]: 90% dos problemas de uma rede recaem em problemas de cabeamento; Cabo rompido ou danificado Conector defeituoso ou mal instalado Equipamento de interconexo defeituoso Placa de rede ou porta de equipamento de interconexo defeituosas Interferncia no cabo

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

20

Se a camada fsica no est bem, as demais camadas tambm no estaro, pois dependem dela para seu bom funcionamento. Violao de regras de cabeamento Ethernet Saturao de banda em segmentos Ethernet compartilhados

Especificamos a seguir sugestes de aspectos a serem gerenciados e alertas a serem criados. 4.3.1 Access Points Gerenciar: I/O Quantidade de pacotes entrando e saindo; Processamento. Alertas: Indisponibilidade. 4.3.2 Servidores Gerenciar: Disponibilidade dos servios. Alerta: Indisponibilidade. 4.3.3 Switches Gerenciar: I/O Trfego de entrada e sada Perda de pacotes; Taxa de erro. Processamento; Portas utilizadas; Memria; Conexes ativas. Alertas: Travamento (processamento lento ou interrompido); Indisponibilidade.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

21

4.3.4 No-breaks Gerenciar: Tempo de bateria Tenso de entrada e sada Potncia Alertas: Falta de energia eltrica principal (energia convencional).

5.

SEGURANA DA INFORMAO

Considera-se como segurana da informao a preservao da autenticidade, confidencialidade, integridade e disponibilidade da informao do Centro de Convenes de Natal. 5.1 Procedimentos gerais Esta parte do projeto tem como objetivo descrever a estrutura de segurana que ser utilizada na rede do Centro de Convenes, sendo considerada a segurana fsica e lgica. No aspecto lgico so observados itens como: quais os usurios tero privilgios de acesso a determinadas reas da rede, polticas de backup, controle de acesso rede, autenticao, monitoramento de sistemas, dentre outros aspectos. J na parte fsica os aspectos contemplados so: proteo dos equipamentos da instituio, integridade fsica dos dados e controle de acesso fsico. Foi desenvolvida uma poltica de segurana (ANEXO IV) que define uma srie de diretrizes do que aceito, tolerado ou proibido pela organizao proprietria da rede. A poltica de segurana engloba controle sobre servio, comportamentos e usurios. 5.2 Firewall Firewall o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma poltica de acesso a um determinado ponto de controle da rede. Utilizamos este servio para controlar as comunicaes que ocorrem para dentro e para fora da rede. Basicamente, um firewall um processo que aplica uma srie de regras de filtragem em um trfego na internet. As regras

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

22

de filtragem so derivadas da poltica de segurana determinada pela organizao proprietria da rede. Alm disso, este servio tem como funo impedir a recepo e transmisso de dados ou informaes nocivas ou no autorizadas de uma rede para outra. O Firewall CCN estar funcionando de forma virtualizada no servidor ProLiant na sala do Core (Anexo II). Dados tcnicos: Sistema operacional: Debian Servio: Iptables

5.3 IDS (Sistema de deteco de intrusos) Sistema de deteco de intrusos ou simplesmente IDS (em ingls: Intrusion detection system) refere-se a meios tcnicos de descobrir em uma rede quando esta est tendo acessos no autorizados que podem indicar a ao de um cracker ou at mesmo funcionrios mal intencionados. Este servio foi implementado na rede com o intuito de detectar, analisar e reportar atividades e/ou trfegos no autorizados ou danosos que possam prejudicar o bom funcionamento da mesma. Os sistemas de deteco de intruso so aplicaes que monitoram e correlacionam uma srie de eventos que ocorrem em uma rede e em sistemas computacionais, em geral. Sero monitorados os seguintes eventos na rede no Centro de Convenes: Horrios em que servios de rede foram requisitados, processos e usurios que os requisitaram, tentativas fracassadas de login no sistema, dentre outros. Esses eventos, medida que ocorrem, so registrados em arquivos especiais denominados logs do sistema. O IDS examina os logs procurando por eventos que possam indicar um comportamento suspeito na rede. Caso isso ocorra, sero gerados alertas com o propsito de avisar aos administradores da rede sobre uma possvel tentativa de invaso. responsabilidade dos administradores de rede determinar os eventos de interesse, o que considerado atividade suspeita e que eventos podem ser correlacionados para indicar suspeita de invaso. Dados tcnicos: Sistema operacional: Debian Servio: Snort

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

23

Este servio funcionar de forma virtualizada no servidor ProLiant na sala do Core (Anexo II). 5.4 Proxy Atende a requisies repassando os dados do cliente frente. Um usurio (cliente) conecta-se a um servidor proxy, requisitando algum servio, como um arquivo, conexo, website, ou outro recurso disponvel em outro servidor. Um servidor proxy pode, opcionalmente, alterar a requisio do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode tambm atuar como um servidor que armazena dados em forma de cache em redes de computadores. So instalados em mquinas com ligaes tipicamente superiores s dos clientes e com poder de armazenamento elevado. Esses servidores tm uma srie de usos, como filtrar contedo, providenciar anonimato, entre outros. Na rede esse servio ser usado, por exemplo, para o gerenciamento de web sites que podero ser acessados. Dados tcnicos: Sistema operacional: Debian Servio: Squid

5.5 Poltica de Backup Os dados gerados diariamente pelo sistema da instituio no so isentos a falhas, por isso podem, a qualquer momento, serem perdidos devido a uma falha fsica, como HD, Switch, memria, entre outros, como tambm por problemas externos, como incndio, dentre outros fatores. No Centro de Convenes de Natal, a segurana dos dados e a garantia da sua redundncia so extremamente importantes. Portanto, elaboramos 2 (duas) polticas de backup independentes. 5.5.1 Servidor de Backup A primeira poltica orienta utilizao de um computador dotado de HD com alta capacidade, para servir somente como ferramenta de armazenamento de cpia de segurana de todos os dados inerentes ao bom funcionamento de todo o sistema.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

24

Esta mquina um Desktop simples da HP com um HD de 2TB e instalado em local no divulgado. 5.5.2 Cloud Storage A segunda poltica ser voltada a uma forma de cpia/backup adicional, com armazenamento em nuvem, de modo que a TechNet se responsabilizar em locar este servio em um provedor local devidamente habilitado para este fim. 5.6 Controle de Acesso fsico

Somente funcionrios do setor de informtica devidamente autorizado tero acesso aos ativos de rede e equipamentos correspondentes. 5.7 Controle de acesso lgico - VLANs A implementao de VLANs tem como propsito a segmentao da rede, proporcionando assim o crescimento e o sucesso dos negcios relacionado ao Centro de Convenes. A tecnologia VLAN permite a uma rede suportar metas com mais flexibilidade. Os benefcios primrios de usar VLANs so os seguintes: Segurana Grupos que tm dados confidenciais so separados do restante da rede, o que diminui as chances de violaes das informaes confidenciais. Os computadores dos funcionrios esto na VLAN 10, estando totalmente separados do trfego de dados dos expositores, da VLAN 20, dos equipe de TI, na VLAN 30, da rede sem fio VLAN40 e gerenciamento na VLAN 50. Reduo de custo Economia de custos resultante da menor necessidade das atualizaes de rede caras e do uso mais eficiente da largura de banda. Desempenho mais alto Dividir as redes da Camada 2 simplesmente em vrios grupos de trabalho lgicos (domnios de broadcast) reduz um trfego desnecessrio na rede e aumenta o desempenho. Tempestade de broadcast Dividir uma rede em VLANs reduz o nmero de dispositivos que podem participar de uma situao de descontrole por excesso de broadcast. Por exemplo, uma mensagem de broadcast enviada por um dispositivo membro de uma VLAN 10 no ser propagada para portas do switch associadas a uma VLAN 20. Isso pode evitar fenmenos onerosos para a rede, como as tempestades de broadcast .

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

25

Por meio da criao de VLANs, o gerente de rede adquire o controle sobre cada porta e cada usurio. Os switches podem ser configurados para informar a uma estao gerenciadora da rede sobre qualquer tentativa de acesso a recursos no - autorizados. Quando uma VLAN torna-se muito volumosa, mais VLANS podem ser criadas para evitar que mensagens broadcast consumam uma largura de banda excessiva, pois quanto menor o nmero de usurios em uma VLAN, menor o domnio de broadcast criado. 5.7.1 IDENTIFICAO DE VLANs Utilizando o recurso de identificao de frames, os switches podem direcionar os frames para as portas apropriadas. Podendo ser dividida da seguinte forma: Funcionrios - VLAN 10 Expositores/clientes - VLAN 20 Equipe de TI - VLAN 30 Rede sem fio (visitantes e expositores) - VLAN 40 Gerenciamento - VLAN 50 5.7.2 O PROCESSO DE ENTRONCAMENTO O processo de entroncamento de links permite ao gerente de rede, responsvel pelo gerenciamento da rede, configurar uma interface ponto-a-ponto entre dois dispositivos de rede que transporta mais de uma VLAN. Um tronco de VLAN permite estender as VLANs atravs de uma rede inteira. 5.7.3 VTP O Protocolo de entroncamento de possibilita simplificar o gerenciamento do switches, assim como a consistncia de adio, a excluso e a renomeao [TANNENBAUM, 2006]. VLAN (VTP - VLAN Trunking Protocol) banco de dados de VLAN em diversos configurao de VLAN gerenciando a das VLANs em diversos switches

Para permitir que o protocolo VTP gerencie as VLANS existentes na rede, necessrio, antes, a criao de um servidor VTP. Este ser implementado no switch

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

26

CORE, localizado no primeiro andar. Enquanto que, os outros switches sero configurados como modo de operao cliente. Alm disso, todos os switches devem compartilhar informaes sobre VLANs utilizando a mesma identificao de domnio, e um switch pode se encontrar em apenas um domnio a cada vez. Informaes VTP so enviadas entre switches atravs das portas de transporte (trunk ports). 5.7.4 VLAN de gerenciamento e associao dinmica Atravs do uso de softaware especficos de gerenciamento, possvel o mapeamento de endereos de hardware (MAC), protocolos e at mesmo aplicaes ou logins de usurios para VLANS especficas. Por exemplo, um host conectado porta de um switch que no tenha uma VLAN associada, o software gerenciador procurar pelos endereos de hardware armazenados e, ento, associar e configurar a porta do switch para a VLAN correta, mapeamento entre MAC e VLAN. Caso mude de lugar, o switch poder associar automaticamente a VLAN correta para ele, onde quer que esteja. Todos os Access Points faro parte da mesma VLAN e tero suas SSIDs iguais. Desta forma, o usurio final pode se deslocar por todo o Centro de Convenes sem perder sinal de rede sem fio. Cada AP ocupar um canal diferente [nmeros pares]. Todos os APs tero ligao FSICA com o AT correspondente (o mais prximo): AP-1 >> CORE Ptio Interno, Pavimento D AP-2 >> AT-3 Pavimento B AP-3 >> AT-4 Auditrio Lavoisier Maia, Pavimento C AP-4 >> AT-5 Pavimento D Os servidores tero uma VLAN prpria (diferente das VLANS dos Switches nos Armrios de Telecomunicaes de cada pavimento) e tero conexo direta apenas com o firewall. As VLANS tero acesso limitado umas s outras: - O acesso ser filtrado e gerenciado pelo firewall - Servios permitidos entre VLANS: DNS; FTP; HTTP e outros servios que sero definidos posteriormente pela equipe de TI.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

27

Segurana dos equipamentos 5.8.1 Proteo fsica Os ativos de rede estaro protegidos fisicamente por seus respectivos armrios de telecomunicao (racks), com excesso dos Access Points. Os Access Points, com exceo do AP-01, esto protegidos de intempries naturais e de contato humano, por estarem localizados em ambientes cobertos e com acesso controlado (Anexo I). Por estar em ambiente aberto, o AP-01 possui uma camada extra de proteo fsica. Trata-se de uma Caixa hermtica PVC que envolve o equipamento, apenas deixando sobressair os cabos coaxiais que interligam os painis setoriais ao AP. Estes painis esto na parte externa, expostos ao ambiente (Anexo I). 5.8.2 Vigilncia Para inibir o acesso fsico indevido ser feito monitoramento atravs de cmeras instaladas em todas as reas comuns e corredores. A Planta Baixa com Pontos de rede e Cmeras (Anexo II) mostra mais detalhadamente a disposio das cmeras. A sala de equipamentos ser a mesma de administrao de redes, havendo uma divisria para proteger o core, com acesso restrito por biometria. Deve haver um ar condicionado na sala (divisria) do core. 5.9 Alimentao eltrica

5.8

Figura 5.1 No-break 600VA

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

28

Em cada armrio de telecomunicao dos pavimentos (AT-01, AT-02, AT-03, AT-04 e AT-05) haver um no-break bivoltagem (entrada automtica de 110v e 220v) de 600VA (Figura 5.1) (SMS Net Station), alimentando eletricamente os switches.

Figura 5.2 No-break 1200VA

Haver um no-break de 1200VA (SMS Net Station) (Figura 5.2) para cada um dos itens que seguem: Servidor Misto [HP ProLiantDL160] (Sala do Core); Servidor de Segurana (Firewall, IDS e Proxy) (Sala do Core); Switche Core (Sala do Core); Desktop HP para backup (local no divulgado, definido pela equipe de TI local).

Os Access Points devero ser alimentados via POE (Power Over Ethernet, Protocolo 802.3af). 5.10 Recomendaes de aterramento Segundo a norma ANSI/TIA/EIA-607 deve haver o aterramento adequado para toda a instalao eltrica do prdio.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

29

6.

CONCLUSO:

Foi detalhado neste Memorial a estrutura lgica e fsica de rede a ser implantada no Centro de Convenes de natal, considerando o ponto de vista tcnico. Acreditamos que, em qualquer setor (produtivo, administrativo, executivo) de uma grande empresa h a necessidade constante de troca de dados e instrues em tempo real para que haja operao til e consciente de suas atividades. Para isso, precisa-se implementar toda uma poltica de comunicao que proporcione rapidez com segurana, alto fluxo sem vulnerabilidades. Proporcionar o bom funcionamento desta estrutura a nossa Misso.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

30

7.

REFERNCIAS: 7.1 Livros KUROSE, James F. e ROSS, Keit W. Redes de Computadores e a Internet: Uma abordagem top-down 3 ed. So Paulo: Pearson Addison Wesley, 2006. TANENBAUM, Andrew S.: Redes de Computadores 4 ed. So Paulo: Editora Campus, 2006. Junior, F.J.. Tudo sobre cabeamento de redes . Rio de Janeiro: Campus, 1996. Print. LOPES, Raquel. Melhores Prticas para a Gerncia de Redes de Computadores. Campus, 2003. NAKAMURA, Emlio Tissato.Segurana em redes: em Corporativos. 2. ed. So Paulo: Futura, 2003. 472 p. Ambientes

Haugdahl, J. Scott. Network analysis and troubleshooting. Reading, Mass.: Addison-Wesley, 2000. Putman, Byron W. 802.11 WLAN hands-on analysis: unleashing the network monitor for troubleshooting &optimization. Bloomingtown, Indiana: Authorhouse, 2006. 7.2 Pginas WEB MORIMOTO, Carlos E. "Tutoriais e Livros GDH Press - Hardware.com.br Web. 4-Maio-2010. <http://hardware.com.br>. "Catlogo ABNT ABNT Catalogo. <http://www.abntcatalogo.com.br>. Web. 8-Junho-2011.

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

31

8.

FIGURAS E TABELAS

Figura 2.1 Topologia lgica sugerida Figura 2.2 Topologia fsica sugerida Figura 2.3 - Rack de parede 12U Figura 2.8 Rack de parede 36U Figura 3.1 Servidores utilizados neste projeto Figura 3.2 Switche utilizados no projeto Figura 3.3 Access Point Cisco AiroNet 1240AG Figura 3.4 Antena Omnidirecional de 15dBi Figura 3.5 Painel setorial 14dBi Figura 5.1 No-break 600VA Figura 5.2 No-break 1200VA Tabela 2.1 - Pontos fsicos de rede requisitados pelo cliente Tabela 2.2 - Pontos fsicos de rede sugeridos Tabela 2.3 Tomadas de telecomunicao por pavimento

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

32

ANEXO III PLANILHA DE ORAMENTO

2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

33

ANEXO III PLANILHA DE ORAMENTO

Planilha de Oramento - Infra-estrutura de Rede do CCN


ATIVOS DE REDE E NO-BREAKS Descrio Switch DELL PowerConnect 6248 Switch DELL PowerConnect 6224 Servidor HP Proliant DL160 G6 [Proxy e Firewall] Servidor HP ProLiant DL380 G7 [Servidor Misto] Desktop HP [backup local] com HD 2TB Access Point Cisco Aironet 1240AG Antena/Painel Setorial 14 DBI Antena Omnidirecional Airwep 15 DBI Nobreak 1200va Sms Net Station Bivolt Nobreak 600va Sms Net Station Bivolt Total = Unidade UND UND UND UND UND UND UND UND UND UND R$ 59.525,00 VL Unitrio QTDE R$ 6.099,00 5 R$ 3.299,00 1 R$ 5.627,00 1 R$ 9.458,00 1 R$ 2.355,00 1 R$ 1.010,00 4 R$ 310,00 3 R$ 149,00 4 R$ 375,00 4 R$ 245,00 5 VL TT R$ 30.495,00 R$ 3.299,00 R$ 5.627,00 R$ 9.458,00 R$ 2.355,00 R$ 4.040,00 R$ 930,00 R$ 596,00 R$ 1.500,00 R$ 1.225,00

EQUIPAMENTOS DE PROTEO E IDENTIFICAO Total = R$ 10.125,00 Descrio Unidade VL Unitrio QTDE Caixa hermtica PVC para AP UND R$ 52,00 1 Rack de Piso 19" 36U Fechado e acessrios [SEQ] UND R$ 1.800,00 1 Mini Rack de Parede 12u x 450mm Padro 19'' UND R$ 378,00 5 Parafuso com porca gaiola PCTE C/ 100 R$ 60,00 1 Patch Panel Black Box CAT 6 24 portas UND R$ 350,00 14 Organizador de cabos 1U para Rack 19'' UND R$ 16,00 12 Rgua de Tomadas com 6 sadas UND R$ 50,00 6 Etiqueta X-61-483 aplicao em Racks e Eqptos. CX C/ 100 R$ 230,00 1 Etiqueta X-17-422 aplicao em Espelho (500 unid.) UND R$ 195,00 1 Etiqueta XC-375-422 aplicao em Patch Panel ROLO R$ 180,00 1 Etiqueta XSL-103-427 para Cabo UTP (250 unid.) UND R$ 163,00 2 CABEAMENTO E ACESSRIOS Total = R$ 37.245,00 Descrio Unidade VL Unitrio QTDE Cabo de Rede UTP 4P 23AWG Rgido CAT6 Amarelo CX. C/ 300m R$ 740,00 35 Patch Cord UTP 1,5 metros RJ45 CAT 6E UND R$ 4,00 350 Eletrocalha (75 X 50MM X 3M) PEA C/ 3m R$ 20,00 189 Canaleta PVC 55x35x2mm Metro R$ 13,00 180 Abraadeiras de pvc para cabos nas eletrocalhas UND R$ 0,95 300 Espelho Black Box fmea dupla RJ45 UND R$ 29,50 120 TOTAL GERAL

VL TT R$ 52,00 R$ 1.800,00 R$ 1.890,00 R$ 60,00 R$ 4.900,00 R$ 192,00 R$ 300,00 R$ 230,00 R$ 195,00 R$ 180,00 R$ 326,00

VL TT R$ 25.900,00 R$ 1.400,00 R$ 3.780,00 R$ 2.340,00 R$ 285,00 R$ 3.540,00 R$ 106.895,00

Você também pode gostar