Você está na página 1de 33
Projeto Integrador 2011.1 Infraestrutura de redes Magna Medeiros - Railma Freitas Judá Teixeira - Unelby

Projeto Integrador 2011.1

Infraestrutura de redes

Projeto Integrador 2011.1 Infraestrutura de redes Magna Medeiros - Railma Freitas Judá Teixeira - Unelby Klermon

Magna Medeiros - Railma Freitas Judá Teixeira - Unelby Klermon

NATAL/RN Junho de 2011

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

2

Proposta de Infraestrutura de Redes de Computadores para o XXXI CONGRESSO DA SOCIEDADE BRASILEIRA DE COMPUTAÇÃO

MEMORIAL DESCRITIVO

Projeto Integrador das disciplinas:

Segurança de Redes, Cabeamento Estruturado e Gerência de Redes, lecionadas pelos professores Carlos Rocha, Soraya Christiane e Alex Fabiano, respectivamente, objetivando a implementação da Infraestrutura de Redes de Computadores.

Magna Medeiros - Railma Freitas Judá Teixeira - Unelby Klermon

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

3

SUMÁRIO

1. INTRODUÇÃO

pág. 05

1.1.

Nossa proposta

pág. 05

2. ESTRUTURA FÍSICA E SEUS SUBSISTEMAS

pág.

06

2.1. Situação atual e necessidades

pág. 06

2.1.1. Quantidade de pontos requisitados

pág. 06

2.1.2. Quantidade de pontos de rede sugerida

pág. 07

2.1.3. Topologia lógica sugerida

pág. 08

2.1.4. Topologia física sugerida

pág. 09

2.2. Conexão à internet

pág. 11

2.3. Subsistema de cabeamento horizontal

pág. 11

2.4. Subsistema de área de trabalho

pág. 11

2.5. Subsistema de cabeamento vertical

pág. 12

2.6. Subsistema de administração

pág. 12

2.7. Sala de equipamentos e telecomunicações

pág. 12

3. EQUIPAMENTOS UTILIZADOS

pág. 14

4. GERENCIAMENTO DA REDE

pág. 17

4.1. Porque gerenciar

pág. 17

4.2. Tecnologias utilizadas

pág. 18

4.2.1. Protocolo SNMP

pág. 18

4.2.2. Software de Gerenciamento Zabbix

pág. 19

4.3. O que gerenciar

pág. 19

4.3.1. Access points

pág. 20

4.3.2. Servidores

pág.

20

4.3.3. Switches

pág. 20

4.3.4. No-breaks

pág. 21

5. SEGURANÇA DA INFORMAÇÃO

pág. 21

5.1. Procedimentos gerais

pág. 21

5.2. Firewall

pág. 21

5.3. IDS

pág. 22

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

4

5.4. Proxy

pág. 23

5.5. Política de backup

pág. 23

5.5.1. Servidor de Backup

pág. 23

5.5.2. Cloud storage

pág. 24

5.6. Controle de acesso físico

pág. 24

5.7. Controle de acesso lógico - VLAN’s

pág. 24

5.7.1. Identificação das VLAN’s

pág. 25

5.7.2. O processo de entroncamento

pág. 25

5.7.3. VTP

pág. 25

5.7.4. VLAN de gerenciamento e associação dinâmica

pág. 26

5.8. Segurança dos equipamentos

pág. 27

5.8.1. Proteção física

pág. 27

5.8.2. Vigilância

pág. 27

5.9. Alimentação elétrica

pág. 27

5.9.1.

Recomendações de aterramento

pág. 28

6. CONCLUSÃO

pág. 29

7. REFERÊNCIAS

pág. 30

7.1. Livros

pág. 30

7.2. Páginas WEB

pág. 30

8. FIGURAS E TABELAS

pág. 31

ANEXO I PLANTA BAIXA - EQUIPAMENTOS E PONTOS DE REDE

ANEXO II PLANTA BAIXA CABEAMENTO DE REDE

ANEXO III PLANILHA DE ORÇAMENTO

ANEXO IV POLÍTICA DE SEGURANÇA PARA O CONGRESSO

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

5

1.

INTRODUÇÃO

A TechNET vem, através deste Memorial e seus anexos, explanar seu

projeto de infraestrutura de Redes de Computadores a ser adotada no Centro de Convenções de Natal, especificando materiais a serem utilizados e a devida

configuração destes. Complementando este Memorial, há documentos inerentes ao projeto:

- Planta baixa de pontos de rede e câmeras.

- Planta baixa do cabeamento horizontal e vertical;

- Planilha de custos/orçamento geral;

- Política de Segurança para o XXXI CSBC.

1.1 Nossa proposta

O presente projeto visa montar uma estrutura de cabeamento estruturado

para o centro de convenções, a ser utilizado pelo XXXI Congresso da Sociedade Brasileira de Computação e eventos posteriores, que possibilite a implementação

de um sistema de dados de maneira eficiente e que atenda às necessidades do cliente levando em consideração o layout preestabelecido, provendo uma estrutura totalmente documentada, de fácil manutenção e que comporte expansões de rede, tudo em conformidade com as normas NBR 14565, ANSI/TIA/EIA 568B, ANSI/TIA/EIA 569A, ANSI/TIA/EIA 606 e ANSI/TIA/EIA 607. Neste projeto estão contemplados tanto a implementação da rede cabeada, quanto da rede sem fio, bem como, questões de gerência dos dispositivos da rede e segurança física e lógica. No próximo tópico, detalha-se a estrutura sugerida por este projeto.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

6

2. ESTRUTURA FÍSICA E SEUS SUBSISTEMAS

2.1 Situação atual e necessidades

O Centro de Convenções de Natal está localizado na Via Costeira em uma

região elevada, sobre as dunas do Parque das Dunas. Foi projetado para abrigar

eventos sociais, como feiras, congressos, encontros, seminários, entre outros.

O CCN possui uma estrutura de grande porte, com ambientes para diversos

tipos de eventos. Apesar de haver, na maioria dos eventos, necessidade de conectividade entre os usuários, visitantes, não está implementada uma estrutura de rede. Falta padronização de identificação dos pontos de rede e ativos, entre outros itens básicos exigidos pelas normas ANSI/TIA/EIA 568A.

2.1.1 Quantidade de pontos requisitados

O cliente solicita um número mínimo de pontos físicos de rede para atender

às suas necessidades (Tabela 2.1).

Tabela 2.1 Pontos físicos de rede requisitados pelo cliente

Local

Quantidade de Pontos de Rede

Secretaria

10

Recepção

04

Sala Pitanga 1

02

Sala Pitanga 2

02

Sala Zumbi

02

Sala Muriú

02

Sala Maracajaú

02

Sala Pipa

02

Sala Baía Formosa

02

Sala VIP-1

04

Cyber Coffee - 2

20

Stands

10

Apoio

02

Auditório Reis Magos

02

Auditório Lavoisier Maia

02

Sala VIP - 2

04

Sala Camurupim

02

Salão Genipabu 1

02

Salão Genipabu 2

02

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

7

Sala Ponta Negra

02

Cyber Coffee - 1

20

SC-1

04

SC-2

04

SC-3

04

Restaurante

00*

Coffee Break

00*

TOTAL

112

*Estes ambientes serão atendidos pela rede sem fio

2.1.2 Quantidade de pontos de rede sugerida

Em função de o ambiente ser atípico, alguns aspectos foram seguidos nas normas, outros foram analisados em função do ambiente e da necessidade de possíveis mudanças, conforme descreve a Tabela 2.2.

Tabela 2.2 Pontos físicos de rede sugeridos

Local

Quantidade de Pontos de Rede

Secretaria

18

Recepção

12

Sala Pitangui 1

8

Sala Pitangui 2

8

Sala Zumbi

8

Sala Muriú

8

Sala Maracajaú

8

Sala Pipa

8

Sala Baía Formosa

8

Sala VIP-1

8

Cyber Coffee - 2

20

Stands

14

Apoio

6

Auditório Reis Magos

8

Auditório Lavoisier Maia

 

8

 

Sala VIP - 2

8

Sala Camurupim

8

Salão Genipabu 1

8

Salão Genipabu 2

8

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

8

Sala Ponta Negra

08

Cyber Coffee - 1

20

SC-1

04

SC-2

04

SC-3

04

Restaurante

00*

Coffee Break

00*

TOTAL

222

*Estes ambientes serão atendidos pela rede sem fio

Com base na quantidade média de usuários previstos para a rede, foi estabelecido um número de tomadas de telecomunicações a serem instaladas no prédio capaz de atender esta demanda. Também foi considerada uma quantidade de pontos necessários a garantir seu crescimento sem transtornos (escalabilidade).

Tabela 2.3 Tomadas de Telecomunicação por pavimento

Pavimento

Tomadas de Telecomunicação

A

47

B

20

C

28

D

16

TOTAL

111

Nos ambientes apenas metade dos pontos de rede estarão ativos. Com exceção do Cyber Coffee 1 e 2 e dos stands. Os pontos não ativos poderão ser usados para voz ou dados, conforme as necessidades. A disposição espacial dos pontos pode ser analisada no Anexo I. A rede foi implementada com 111 tomadas de telecomunicações (Tabela 2.3) distribuídas ao longo dos 4 pavimentos do edifício, conforme a necessidade de cada ambiente.

2.1.3 Topologia lógica sugerida

A topologia lógica sugerida (Figura 2.1) atende bem aos requisitos mínimos de escalabilidade e gerenciamento de links no que diz respeito à velocidade de conexão em cada terminal atendido.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

9

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon 9 Figura 2.1 – Topologia lógica sugerida

Figura 2.1 Topologia lógica sugerida

A ocupação das portas do switch core foi mínima, considerando o pequeno número de switches secundários, possibilitando um crescimento futuro sem muitas mudanças no cabeamento vertical.

2.1.4 Topologia física sugerida

Temos neste modelo (Figura 2.2) um servidor operando a função de Firewall, ligando a rede externa (Internet) ao core. Este último é um switch gerenciável de 24 portas que interfaceia o Firewall, o servidor misto (ProLiant DL360 / item 3 deste documento) e a rede interna composta por 5 switches layer 3 de 48 portas cada.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

10

M. Medeiros; R. Freitas; J. Teixeira; U. Klermon 1 0 Figura 2.2 – Topologia física sugerida

Figura 2.2 Topologia física sugerida

O Anexo II (Planta baixa do Cabeamento e equipamentos de Rede) mostra

claramente a localização e disposição dos ativos de rede. É possível também identificar a organização física do cabeamento, que está definido em cada um dos quatro pavimentos por cores diferentes.

A ligação física dos Access Points independe da sua lógica de funcionamento

dentro da rede. Apesar de cada um dos AP’s estar ligado ao Armário de telecomunicação mais próximo, todos estão participando da mesma Rede Virtual (VLAN): 40. Isso é melhor especificado no item 5.5.1 deste documento.

Os trechos em verde (Anexo II) são parte do cabeamento vertical a ligação dos switches de cada pavimento ao Switche CORE.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

11

2.2 Conexão à Internet

O acesso à internet ocorre por meio de um link contratado pelo Projeto.

Este link chega ao Firewall CCN por uma interface de fibra óptica.

O Firewall possui duas interfaces de rede ópticas: uma conectada ao link

externo e a outra ligada ao Switch CORE.

O acesso e auditagem ao conteúdo acessado na WEB é melhor discutido na

seção 5.2.

2.3

Subsistema de cabeamento horizontal

Nas instalações foram usados aproximadamente 10.300 metros de cabos UTP categoria 6 com conectorização padrão Rj45/568-A, com suporte para tráfego a 1.000 Mbps para atendimento dos serviços de dados do cabeamento horizontal. Os cabos foram lançados por eletrocalhas em forma de feixes, e organizados com abraçadeiras de velcro onde possível. Os cabos têm origem nos racks fechados em cada pavimento do prédio chegando até as áreas de trabalho [ANSI/TIA 568B]. Foi adotado como recomendação para o modelo básico de infraestrutura o sistema composto por canaletas, eletrocalhas e eletrodutos (área externa). Esse sistema de encaminhamento de cabos permite uma excelente flexibilidade e capacidade de expansão com custo reduzido. Algumas adaptações na infraestrutura predial serão realizadas para permitir o lançamento da quantidade de cabos necessários nos subsistemas de cabeamento horizontal dos pavimentos do prédio (Anexo II).

A certificação do cabeamento UTP da rede deverá estar em conformidade

com os requisitos da TIA/EIA TSB-67 (Transmission Performance Specification for

Field Testing of Unshielded Twisted-Pair Cabling).

2.4 Subsistema de área de trabalho

Nas áreas de trabalho foram usadas caixas de superfície aparente. Em cada caixa foram instalados dois pontos de dados (usando tomadas com conectores Rj45). Dependendo das necessidades de uso de cada ambiente, apenas um dos pontos de dados estará ativo, o ponto excedente e não usado deve estar completamente fechado por módulos cegos para impedir a entrada de objetos ou poeira. As tomadas Rj45 usadas nas áreas de trabalho apresentam configuração de terminação em conformidade com o padrão de pinagem 568-A [ANSI/TIA 568B].

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

12

As estações de trabalho e demais equipamentos de rede serão conectados

às tomadas de telecomunicações nas caixas de superfícies por meio de patch cords

flexíveis com 3 metros de comprimento.

2.5 Subsistema de cabeamento vertical

Considerando a conformidade com as normas de cabeamento estruturado e

a abrangência da rede para sua implantação nos 4 pavimentos do Centro de

Convenções, adotou-se um cabeamento vertical usando os cabos UTP par trançado categoria 6 com conectorização padrão Rj45/568-A. No backbone para os serviços de dados interconectando o switch core aos switches de distribuição em cada pavimento do edifício foram usados 583 metros de cabos UTP par trançado categoria 6 com conectorização padrão Rj45/568-A (530m somado a 10% deste valor). O backbone parte da sala de equipamentos localizada no 1º andar onde se encontram os servidores de rede e o switch core. Os segmentos de cabos instalados dentro do prédio entre os racks localizados nos pavimentos e a sala de equipamentos foram lançados em lances únicos sem emendas (de acordo com as normas aplicáveis).

2.6 Subsistema de administração

Todos os pontos serão identificados na rede para garantir uma administração eficiente, obedecendo ao seguinte esquema (EIA/TIA 568A):

[Pavimento] [Armário de Telecomunicações] [Patch Panel] [Número sequencial do ponto]. Exemplo: A-AT01-01-010 é o ponto de rede número 10 no pavimento A no armário de telecomunicações 01 no Patch Panel 01 [ANSI/TIA 606ª e NBR 14565].

2.7 Salas de equipamentos e telecomunicações

Os racks funcionam como centro de fiação para o pavimento e local de instalação dos equipamentos de interconexão da rede. No primeiro andar localiza-

se a sala de equipamentos que contém os servidores de rede e o switch core. No interior dessa sala, o cabeamento será distribuído por meio de eletrocalhas instaladas sob o teto. No projeto não foram implantadas salas exclusivas de telecomunicações nos pavimentos, mas gabinetes fechados (Racks 12U) que desempenham a função de sala de telecomunicações (Figura 2.3).

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

13

M. Medeiros; R. Freitas; J. Teixeira; U. Klermon 1 3 Figura 2.3 – Rack de parede

Figura 2.3 Rack de parede 12U

A Sala de Equipamentos será a mesma utilizada para gerenciamento e possuirá um rack de 36U (Figura 2.4). No rack estarão instalados os servidores, o switch core e o patch panel de onde partirá o cabeamento vertical.

os servidores, o switch core e o patch panel de onde partirá o cabeamento vertical. Figura

Figura 2.4 Rack de parede 36U

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

14

O rack utilizado possui as seguintes especificações:

Rack 19'' fabricado em aço SAE 1020 1,5mm de espessura, com porta frontal embutida, visor em fumê 2,0mm de espessura e fechadura escamoteável.

Altura: 36U

Largura: 19"

Profundidade: 1000 mm

Pintura: Eletrostática epóxi-pó micro-texturizada.

Personalizações: Réguas, Bandejas, Organizadores, Ventilação

3.

EQUIPAMENTOS UTILIZADOS

As máquinas utilizadas para serviços e roteamento (Figura 3.1) serão do tipo acoplável a rack (blade). O Servidor Dedicado para serviços virtualizados (Figura 3.1) é um HP ProLiant DL380 G7 e possui características de um Servidor robusto: 2 processadores six-core de 3.46Ghz cada um (cache 8MB L3); Memória RAM 8GB DDR3, expansível até 192GB, capacidaded de armazenamento interno de até 4TB e duas interfaces de rede GIGAbit.

armazenamento interno de até 4TB e duas interfaces de rede GIGAbit. Figura 3.1 – Servidores utilizados

Figura 3.1 Servidores utilizados neste projeto

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

15

Esta máquina comportará os seguintes serviços virtualizados: Autenticação, SAMBA, DNS, DHCP e FTP. Devido às propridades de hardware mais avançadas destes servidores de rack, seu valor aumenta consideravelmente (Anexo III).

Já a máquina utilizada para roteamento e proteção de rede (Firewall, IDS e

Proxy) será uma HP ProLiant DL160 G6. Esta possui características um pouco diferentes do modelo anterior. Trata-se de uma máquina com: 2 processadores quad-core de 3.33Ghz cada um (cache 4MB L3); Memória RAM 6GB DDR3, expansível até 192GB, capacidade

de armazenamento interno de até 4TB e duas interfaces de rede GIGAbit.

interno de até 4TB e duas interfaces de rede GIGAbit. Figura 3.2 – Switches utilizados no

Figura 3.2 Switches utilizados no projeto

O switch core utilizado será do modelo DELL 6224. Os switches utilizados

nos pavimentos (48 portas) serão do modelo DELL 6248 (Figura 3.2). Os Access Points utilizados serão do Modelo Cisco 1240AG, que possuem

potência aplicável a ambientes corporativos (Figura 3.3). Os Access Points dos pavimentos C e D serão equipados com antenas Omnidirecionais de 15dbi (Figura 3.4).

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

16

M. Medeiros; R. Freitas; J. Teixeira; U. Klermon 1 6 Figura 3.3 – Access Point Cisco

Figura 3.3 Access Point Cisco AiroNet 1240AG

1 6 Figura 3.3 – Access Point Cisco AiroNet 1240AG Figura 3.4 – Antena Omnidirecional de

Figura 3.4 Antena Omnidirecional de 15dBi

Os Access Points do pavimento B e do pátio interno serão equipados com painéis setoriais de 14dbi (Figura 3.5), voltadas para as áreas mais requisitadas, conforme planta baixa de pontos e AP’s (Anexo I). A disposição das antenas e a localização dos Access Points pode ser observada melhor no Anexo I.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

17

M. Medeiros; R. Freitas; J. Teixeira; U. Klermon 1 7 Figura 3.5 – Painel setorial 14dBi

Figura 3.5 Painel setorial 14dBi

Os pontos de acesso serão alimentados eletricamente através do cabo UTP CAT6, seguindo o padrão 802.3af. Este assunto é melhor explanado no item 5.6 (alimentação elétrica).

4. GERENCIAMENTO DA REDE

Pode-se definir gerência de redes como o conjunto de atividades voltadas para o planejamento, monitoramento e o funcionamento contínuo dos serviços oferecidos para os usuários. Gerenciar é saber o que acontece em tempo real com nossos ativos de rede.

4.1 Porque gerenciar

Para garantir o funcionamento contínuo da rede e assegurar um elevado grau de qualidade dos serviços oferecidos, a atividade de gerenciamento da rede é essencial.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

18

O gerenciamento da rede será feito utilizando um protocolo que realize a comunicação com os equipamentos que precisam ser monitorados e/ou configurados. Nesse documento especificaremos as tecnologias utilizadas para o gerenciamento da rede de computadores do Centro de Convenções, assim como as políticas de gerência.

4.2 Tecnologias Utilizadas:

Para gerenciar ativos de uma rede precisamos de um protocolo e de uma aplicação que tratem os dados colhidos pelo software. O protocolo será o SNMP, e o software é o Zabbix.

4.2.1 Protocolo SNMP

Utilizaremos o protocolo SNMP (Simple Network Management Protocol) cuja função é permitir aos administradores de rede gerenciar o desempenho da rede e encontrar seus eventuais problemas. Os dados são obtidos através de requisições de um gerente a um ou mais agentes utilizando os serviços do protocolo de transporte para enviar e receber suas mensagens. Um gerente SNMP é uma entidade que gera requisições para recuperar e modificar informações. Ele administra as respostas as suas requisições ou as reportagens de eventos assíncronas vindas dos agentes. Já o agente SNMP, pode ser definido como uma entidade que assume o papel operacional de receber, processar e responder requisições bem como gerar reportagens de eventos. Um agente deve ter acesso a informações de gerenciamento da rede para responder requisições e, quando for o caso, deve poder ser notificado, através de interfaces

especializadas, de eventos internos dos dispositivos.

Além disso, o protocolo SNMP define uma forma padronizada de se solicitar informações aos equipamentos. Atualmente, praticamente todos os equipamentos de rede que suportam o gerenciamento entendem o protocolo SNMP. O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil do estado, em tempo real, da rede, podendo ser utilizado para gerenciar diferentes tipos de sistemas. Idealmente todos os equipamentos de rede deveriam suportar gerenciamento. No entanto, para reduzir os custos, existem modelos de equipamentos que não o fazem. Isso acontece, por exemplo, com vários modelos de switches. Na rede do CCN utilizaremos switches gerenciáveis.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

19

4.2.2 Software de Gerenciamento Zabbix

Será utilizado o software de monitoramento Zabbix para tratar as informações recebidas pelo SNMP. O Zabbix é projetado para monitorar o status de vários serviços de rede, servidores, bem como outros equipamentos de rede. Um dos aspectos mais importantes do Zabbix é a monitoração de desempenho. A carga do processador, o número de processos em funcionamento, a atividade do disco, o status da memória virtual, e a disponibilidade da memória, analise de integridade de arquivos são alguns dos parâmetros que o sistema Zabbix

pode monitorar.

O Zabbix fornece ao administrador de sistema a informação sobre o

desempenho dos ativos de rede. Além disso, o Zabbix pode produzir gráficos das demandas da rede para ajudar a identificar os problemas de desempenho do sistema. Isso possibilita a identificação e solução precoce de problemas na rede.

4.3

O que gerenciar

Os

itens a serem gerenciados gerarão relatórios em tempo real, bem como

alertas pré-definidos pelo administrador da rede. Estes dados estarão disponíveis

aos responsáveis para análise e tomada de decisões. Quando o estado operacional de um equipamento crítico da rede muda para não operacional, o equipamento em questão pode mudar de cor no mapa da rede ficar vermelho, por exemplo ou um e-mail e/ou SMS pode ser enviado ao operador do sistema. Ao se gerenciar uma rede, primeiramente, deve-se analisar hipóteses relacionadas à camada física separadas das hipóteses relacionadas à camada de enlace e assim por diante. As hipóteses da camada física são as primeiras a serem testadas. Em seguida vêm as da camada de enlace e assim sucessivamente.

gerenciar

dizem respeito ao

funcionamento da camada física [HAUGDAHL, 2000]:

90% dos problemas de uma rede recaem em problemas de cabeamento;

Duas

razões

nos

fazem

itens

que

Cabo rompido ou danificado

Conector defeituoso ou mal instalado

Equipamento de interconexão defeituoso

Placa de rede ou porta de equipamento de interconexão defeituosas

Interferência no cabo

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

20

Se a camada física não está bem, as demais camadas também não estarão, pois dependem dela para seu bom funcionamento.

Violação de regras de cabeamento Ethernet

Saturação de banda em segmentos Ethernet compartilhados

Especificamos a seguir sugestões de aspectos a serem gerenciados e alertas a serem criados.

4.3.1 Access Points

Gerenciar:

I/O

Quantidade de pacotes entrando e saindo;

Processamento. Alertas:

Indisponibilidade.

4.3.2 Servidores

Gerenciar:

Disponibilidade dos serviços. Alerta:

Indisponibilidade.

4.3.3 Switches

Gerenciar:

I/O

Tráfego de entrada e saída

Perda de pacotes;

Taxa de erro.

Processamento;

Portas utilizadas;

Memória;

Conexões ativas.

Alertas:

Travamento (processamento lento ou interrompido);

Indisponibilidade.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

21

4.3.4

Gerenciar:

No-breaks

Tempo de bateria

Tensão de entrada e saída

Potência

Alertas:

Falta de energia elétrica principal (energia convencional).

5.

SEGURANÇA DA INFORMAÇÃO

Considera-se como segurança da informação a preservação da autenticidade, confidencialidade, integridade e disponibilidade da informação do Centro de Convenções de Natal.

5.1 Procedimentos gerais

Esta parte do projeto tem como objetivo descrever a estrutura de segurança que será utilizada na rede do Centro de Convenções, sendo considerada a segurança física e lógica.

No aspecto lógico são observados itens como: quais os usuários terão privilégios de acesso a determinadas áreas da rede, políticas de backup, controle de acesso à rede, autenticação, monitoramento de sistemas, dentre outros aspectos. Já na parte física os aspectos contemplados são: proteção dos equipamentos da instituição, integridade física dos dados e controle de acesso físico.

Foi desenvolvida uma política de segurança (ANEXO IV) que define uma série de diretrizes do que é aceito, tolerado ou proibido pela organização proprietária da rede. A política de segurança engloba controle sobre serviço, comportamentos e usuários.

5.2 Firewall

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de acesso a um determinado ponto de controle da rede. Utilizamos este serviço para controlar as comunicações que ocorrem para dentro e para fora da rede. Basicamente, um firewall é um processo que aplica uma série de regras de filtragem em um tráfego na internet. As regras

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

22

de filtragem são derivadas da política de segurança determinada pela organização proprietária da rede.

Além disso, este serviço tem como função impedir a recepção e transmissão de dados ou informações nocivas ou não autorizadas de uma rede para outra.

forma virtualizada no servidor

ProLiant na sala do Core (Anexo II).

O

Firewall

CCN

estará

funcionando

de

Dados técnicos:

Sistema operacional: Debian

Serviço: Iptables

5.3 IDS (Sistema de detecção de intrusos)

Sistema de detecção de intrusos ou simplesmente IDS (em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação de um cracker ou até mesmo funcionários mal intencionados. Este serviço foi implementado na rede com o intuito de detectar, analisar e reportar atividades e/ou tráfegos não autorizados ou danosos que possam prejudicar o bom funcionamento da mesma.

Os sistemas de detecção de intrusão são aplicações que monitoram e correlacionam uma série de eventos que ocorrem em uma rede e em sistemas computacionais, em geral. Serão monitorados os seguintes eventos na rede no Centro de Convenções: Horários em que serviços de rede foram requisitados, processos e usuários que os requisitaram, tentativas fracassadas de login no sistema, dentre outros. Esses eventos, à medida que ocorrem, são registrados em arquivos especiais denominados logs do sistema. O IDS examina os logs procurando por eventos que possam indicar um comportamento suspeito na rede. Caso isso ocorra, serão gerados alertas com o propósito de avisar aos administradores da rede sobre uma possível tentativa de invasão.

É responsabilidade dos administradores de rede determinar os eventos de interesse, o que é considerado atividade suspeita e que eventos podem ser correlacionados para indicar suspeita de invasão.

Dados técnicos:

Sistema operacional: Debian

Serviço: Snort

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

23

Este serviço funcionará de forma virtualizada no servidor ProLiant na sala do Core (Anexo II).

5.4 Proxy

Atende a requisições repassando os dados do cliente à frente. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor.

Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem nem mesmo se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado.

Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar anonimato, entre outros. Na rede esse serviço será usado, por exemplo, para o gerenciamento de web sites que poderão ser acessados.

Dados técnicos:

Sistema operacional: Debian

Serviço: Squid

5.5 Política de Backup

Os dados gerados diariamente pelo sistema da instituição não são isentos a falhas, por isso podem, a qualquer momento, serem perdidos devido a uma falha física, como HD, Switch, memória, entre outros, como também por problemas externos, como incêndio, dentre outros fatores.

No Centro de Convenções de Natal, a segurança dos dados e a garantia da sua redundância são extremamente importantes. Portanto, elaboramos 2 (duas) políticas de backup independentes.

5.5.1 Servidor de Backup

A primeira política orienta à utilização de um computador dotado de HD com alta capacidade, para servir somente como ferramenta de armazenamento de cópia de segurança de todos os dados inerentes ao bom funcionamento de todo o

sistema.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

24

Esta máquina é um Desktop simples da HP com um HD de 2TB e instalado em local não divulgado.

5.5.2 Cloud Storage

A segunda política será voltada a uma forma de cópia/backup adicional,

com armazenamento em nuvem, de modo que a TechNet se responsabilizará em locar este serviço em um provedor local devidamente habilitado para este fim.

5.6 Controle de Acesso físico

Somente funcionários do setor de informática devidamente autorizado terão acesso aos ativos de rede e equipamentos correspondentes.

5.7 Controle de acesso lógico - VLANs

A implementação de VLANs tem como propósito a segmentação da rede,

proporcionando assim o crescimento e o sucesso dos negócios relacionado ao Centro de Convenções. A tecnologia VLAN permite a uma rede suportar metas com mais flexibilidade. Os benefícios primários de usar VLANs são os seguintes:

Segurança Grupos que têm dados confidenciais são separados do restante da rede, o que diminui as chances de violações das informações confidenciais. Os computadores dos funcionários estão na VLAN 10, estando totalmente separados do tráfego de dados dos expositores, da VLAN 20, dos equipe de TI, na VLAN 30, da rede sem fio VLAN40 e gerenciamento na VLAN 50.

Redução de custo Economia de custos é resultante da menor necessidade das atualizações de rede caras e do uso mais eficiente da largura de banda.

Desempenho mais alto Dividir as redes da Camada 2 simplesmente em vários grupos de trabalho lógicos (domínios de broadcast) reduz um tráfego desnecessário na rede e aumenta o desempenho.

Tempestade de broadcast Dividir uma rede em VLANs reduz o número de dispositivos que podem participar de uma situação de descontrole por excesso de broadcast. Por exemplo, uma mensagem de broadcast enviada por um dispositivo membro de uma VLAN 10 não será propagada para portas do switch associadas a uma VLAN 20. Isso pode evitar fenômenos onerosos para a rede, como as “ tempestades de broadcast ”.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

25

Por meio da criação de VLANs, o gerente de rede adquire o controle sobre cada porta e cada usuário. Os switches podem ser configurados para informar a uma estação gerenciadora da rede sobre qualquer tentativa de acesso a recursos não - autorizados.

Quando uma VLAN torna-se muito volumosa, mais VLANS podem ser criadas para evitar que mensagens broadcast consumam uma largura de banda excessiva, pois quanto menor o número de usuários em uma VLAN, menor o domínio de broadcast criado.

5.7.1 IDENTIFICAÇÃO DE VLANs

Utilizando o recurso de identificação de frames, os switches podem direcionar os frames para as portas apropriadas. Podendo ser dividida da seguinte forma:

Funcionários - VLAN 10

Expositores/clientes - VLAN 20

Equipe de TI - VLAN 30

Rede sem fio (visitantes e expositores) - VLAN 40

Gerenciamento - VLAN 50

5.7.2 O PROCESSO DE ENTRONCAMENTO

O processo de entroncamento de links permite ao gerente de rede, responsável pelo gerenciamento da rede, configurar uma interface ponto-a-ponto entre dois dispositivos de rede que transporta mais de uma VLAN. Um tronco de VLAN permite estender as VLANs através de uma rede inteira.

5.7.3 VTP

O Protocolo de entroncamento de VLAN (VTP - VLAN Trunking Protocol) possibilita simplificar o gerenciamento do banco de dados de VLAN em diversos switches, assim como a consistência de configuração de VLAN gerenciando a adição, a exclusão e a renomeação das VLANs em diversos switches [TANNENBAUM, 2006].

Para permitir que o protocolo VTP gerencie as VLANS existentes na rede, é necessário, antes, a criação de um servidor VTP. Este será implementado no switch

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

26

CORE, localizado no primeiro andar. Enquanto que, os outros switches serão configurados como modo de operação cliente. Além disso, todos os switches devem compartilhar informações sobre VLANs utilizando a mesma identificação de domínio, e um switch pode se encontrar em apenas um domínio a cada vez. Informações VTP são enviadas entre switches através das portas de transporte (trunk ports).

5.7.4 VLAN de gerenciamento e associação dinâmica

Através do uso de softaware específicos de gerenciamento, é possível o mapeamento de endereços de hardware (MAC), protocolos e até mesmo aplicações ou logins de usuários para VLANS específicas. Por exemplo, um host é conectado à porta de um switch que não tenha uma VLAN associada, o software gerenciador procurará pelos endereços de hardware armazenados e, então, associará e configurará a porta do switch para a VLAN correta, mapeamento entre MAC e VLAN. Caso mude de lugar, o switch poderá associar automaticamente a VLAN correta para ele, onde quer que esteja.

Todos os Access Points farão parte da mesma VLAN e terão suas SSID’s iguais. Desta forma, o usuário final pode se deslocar por todo o Centro de Convenções sem perder sinal de rede sem fio. Cada AP ocupará um canal diferente [números pares]. Todos os AP’s terão ligação FÍSICA com o AT correspondente (o mais próximo):

AP-1 >> CORE Pátio Interno, Pavimento D

AP-2 >> AT-3 Pavimento B

AP-3 >> AT-4 Auditório Lavoisier Maia, Pavimento C

AP-4 >> AT-5 Pavimento D Os servidores terão uma VLAN própria (diferente das VLANS dos Switches nos Armários de Telecomunicações de cada pavimento) e terão conexão direta apenas com o firewall. As VLANS terão acesso limitado umas às outras:

- O acesso será filtrado e gerenciado pelo firewall - Serviços permitidos entre VLANS: DNS; FTP; HTTP e outros serviços que serão definidos posteriormente pela equipe de TI.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

27

5.8 Segurança dos equipamentos

5.8.1 Proteção física

Os ativos de rede estarão protegidos fisicamente por seus respectivos armários de telecomunicação (racks), com excessão dos Access Points. Os Access Points, com exceção do AP-01, estão protegidos de intempéries naturais e de contato humano, por estarem localizados em ambientes cobertos e com acesso controlado (Anexo I). Por estar em ambiente aberto, o AP-01 possui uma camada extra de proteção física. Trata-se de uma Caixa hermética PVC que envolve o equipamento, apenas deixando sobressair os cabos coaxiais que interligam os painéis setoriais ao

AP. Estes painéis estão na parte externa, expostos ao ambiente (Anexo I).

5.8.2 Vigilância

Para inibir o acesso físico indevido será feito monitoramento através de câmeras instaladas em todas as áreas comuns e corredores. A Planta Baixa com Pontos de rede e Câmeras (Anexo II) mostra mais detalhadamente a disposição das câmeras.

A sala de equipamentos será a mesma de administração de redes, havendo uma divisória para proteger o core, com acesso restrito por biometria. Deve haver um ar condicionado na sala (divisória) do core.

5.9 Alimentação elétrica

Deve haver um ar condicionado na sala (divisória) do core. 5.9 Alimentação elétrica Figura 5.1 –

Figura 5.1 No-break 600VA

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

28

Em cada armário de telecomunicação dos pavimentos (AT-01, AT-02, AT-03, AT-04 e AT-05) haverá um no-break bivoltagem (entrada automática de 110v e 220v) de 600VA (Figura 5.1) (SMS Net Station), alimentando eletricamente os switches.

) (SMS Net Station), alimentando eletricamente os switches. Figura 5.2 – No-break 1200VA Haverá um no-break

Figura 5.2 No-break 1200VA

Haverá um no-break de 1200VA (SMS Net Station) (Figura 5.2) para cada um dos itens que seguem:

Servidor Misto [HP ProLiantDL160] (Sala do Core);

Servidor de Segurança (Firewall, IDS e Proxy) (Sala do Core);

Switche Core (Sala do Core);

Desktop HP para backup (local não divulgado, definido pela equipe de TI local).

Os Access Points deverão ser alimentados via POE (Power Over Ethernet, Protocolo 802.3af).

5.10 Recomendações de aterramento

Segundo a norma ANSI/TIA/EIA-607 deve haver o aterramento adequado para toda a instalação elétrica do prédio.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

29

6.

CONCLUSÃO:

Foi detalhado neste Memorial a estrutura lógica e física de rede a ser implantada no Centro de Convenções de natal, considerando o ponto de vista técnico.

Acreditamos que, em qualquer setor (produtivo, administrativo, executivo) de uma grande empresa há a necessidade constante de troca de dados e instruções em tempo real para que haja operação útil e consciente de suas atividades. Para isso, precisa-se implementar toda uma política de comunicação que proporcione rapidez com segurança, alto fluxo sem vulnerabilidades.

Proporcionar o bom funcionamento desta estrutura é a nossa Missão.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

30

7.

REFERÊNCIAS:

7.1 Livros

KUROSE, James F. e ROSS, Keit W. Redes de Computadores e a Internet:

Uma abordagem top-down” 3 ed. São Paulo: Pearson Addison Wesley,

2006.

TANENBAUM, Andrew S.: “Redes de Computadores” 4 ed. São Paulo:

Editora Campus, 2006.

Junior, F.J

Tudo sobre cabeamento de redes . Rio de Janeiro: Campus,

1996. Print.

LOPES, Raquel. Melhores Práticas para a Gerência de Redes de Computadores”. Campus, 2003.

NAKAMURA, Emílio Tissato.Segurança em redes: em Ambientes Corporativos. 2. ed. São Paulo: Futura, 2003. 472 p.

Haugdahl, J. Scott. Network analysis and troubleshooting. Reading, Mass.:

Addison-Wesley, 2000.

Putman, Byron W. 802.11 WLAN hands-on analysis: unleashing the network monitor for troubleshooting &optimization. Bloomingtown, Indiana:

Authorhouse, 2006.

7.2 Páginas WEB

MORIMOTO, Carlos E. "Tutoriais e Livros GDH Press - Hardware.com.br” - Web. 4-Maio-2010. <http://hardware.com.br>.

ABNT”

<http://www.abntcatalogo.com.br>.

"Catálogo

ABNT

Catalogo.

Web.

8-Junho-2011.

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

31

8. FIGURAS E TABELAS

Figura 2.1 Topologia lógica sugerida Figura 2.2 Topologia física sugerida Figura 2.3 - Rack de parede 12U Figura 2.8 Rack de parede 36U Figura 3.1 Servidores utilizados neste projeto Figura 3.2 Switche utilizados no projeto Figura 3.3 Access Point Cisco AiroNet 1240AG Figura 3.4 Antena Omnidirecional de 15dBi Figura 3.5 Painel setorial 14dBi

Figura 5.1 No-break 600VA Figura 5.2 No-break 1200VA

Tabela 2.1 - Pontos físicos de rede requisitados pelo cliente Tabela 2.2 - Pontos físicos de rede sugeridos Tabela 2.3 Tomadas de telecomunicação por pavimento

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

32

ANEXO III PLANILHA DE ORÇAMENTO

©2011 M. Medeiros; R. Freitas; J. Teixeira; U. Klermon

33

ANEXO III PLANILHA DE ORÇAMENTO

Planilha de Orçamento - Infra-estrutura de Rede do CCN

 

ATIVOS DE REDE E NO-BREAKS

Total =

R$ 59.525,00

   

Descrição

Unidade

VL Unitário

QTDE

VL TT

Switch DELL PowerConnect 6248 Switch DELL PowerConnect 6224 Servidor HP Proliant DL160 G6 [Proxy e Firewall] Servidor HP ProLiant DL380 G7 [Servidor Misto] Desktop HP [backup local] com HD 2TB Access Point Cisco Aironet 1240AG Antena/Painel Setorial 14 DBI Antena Omnidirecional Airwep 15 DBI Nobreak 1200va Sms Net Station Bivolt Nobreak 600va Sms Net Station Bivolt

UND

R$ 6.099,00

5

R$ 30.495,00

UND

R$ 3.299,00

1

R$ 3.299,00

UND

R$ 5.627,00

1

R$ 5.627,00

UND

R$ 9.458,00

1

R$ 9.458,00

UND

R$ 2.355,00

1

R$ 2.355,00

UND

R$ 1.010,00

4

R$ 4.040,00

UND

R$ 310,00

3

R$ 930,00

UND

R$ 149,00

4

R$ 596,00

UND

R$ 375,00

4

R$ 1.500,00

UND

R$ 245,00

5

R$ 1.225,00

EQUIPAMENTOS DE PROTEÇÃO E IDENTIFICAÇÃO

Total =

R$ 10.125,00

   

Descrição

Unidade

VL Unitário

QTDE

VL TT

Caixa hermética PVC para AP Rack de Piso 19" 36U Fechado e acessórios [SEQ] Mini Rack de Parede 12u x 450mm Padrão 19'' Parafuso com porca gaiola Patch Panel Black Box CAT 6 24 portas Organizador de cabos 1U para Rack 19'' Régua de Tomadas com 6 saídas Etiqueta X-61-483 aplicação em Racks e Eqptos. Etiqueta X-17-422 aplicação em Espelho (500 unid.) Etiqueta XC-375-422 aplicação em Patch Panel Etiqueta XSL-103-427 para Cabo UTP (250 unid.)

UND UND UND PCTE C/ 100 UND UND UND CX C/ 100 UND ROLO UND

R$ 52,00

1

R$ 52,00

R$ 1.800,00

1

R$ 1.800,00

R$ 378,00

5

R$ 1.890,00

R$ 60,00

1

R$ 60,00

R$ 350,00

14

R$ 4.900,00

R$ 16,00

12

R$ 192,00

R$ 50,00

6

R$ 300,00

R$ 230,00

1

R$ 230,00

R$ 195,00

1

R$ 195,00

R$ 180,00

1

R$ 180,00

R$ 163,00

2

R$ 326,00

CABEAMENTO E ACESSÓRIOS

Total =

R$ 37.245,00

   

Descrição

Unidade

VL Unitário

QTDE

VL TT

Cabo de Rede UTP 4P 23AWG Rígido CAT6 Amarelo Patch Cord UTP 1,5 metros RJ45 CAT 6E Eletrocalha (75 X 50MM X 3M) Canaleta PVC 55x35x2mm Abraçadeiras de pvc para cabos nas eletrocalhas Espelho Black Box fêmea dupla RJ45

CX. C/ 300m UND PEÇA C/ 3m Metro UND UND

R$ 740,00

35

R$ 25.900,00

R$ 4,00

350

R$ 1.400,00

R$ 20,00

189

R$ 3.780,00

R$ 13,00

180

R$ 2.340,00

R$ 0,95

300

R$ 285,00

R$ 29,50

120

R$ 3.540,00

TOTAL GERAL R$ 106.895,00
TOTAL GERAL
R$ 106.895,00