Template para a criação de documentos da fábrica

FACSENAC
PROSEC
Documento de Projeto Lógico
de Rede
Versão 1.4
Data 06/11/2013
Identificador do documento: Projeto Lógico de Redes do Tribunal Themis
Versão do Template Utilizada na Confecção
Localização: www.h6projetos.com.br
Todos os direitos reservados a H6Projetos©
PROSEC
Versão 1.4, 06/11/2013
Histórico de revisões
Versão
Data
Autor
Descrição
1.0
05/10/2013
César Lorenzetti de Carvalho
23/10/2013
Andre Martins Candido
1.2
29/10/2013
Andre Martins Candido
1.3
05/11/2013
Andre Martins Candido
1.4
06/11/2013
Jackson dos Santos Monteiro
Elaboração do Projeto Lógico
de Redes.
Revisão do Projeto Lógico de
Redes.
Revisão no Esquema de
roteamento e inclusão do
firewall.
Correção do endereçamento
IP e projeto lógico.
Correção de todos os itens
desde a versão 1.1 até a 1.3.
1.1
Documento de Projeto Lógico de
Rede
H6Projetos
Página 2 de 13
PROSEC
Versão 1.4, 06/11/2013
Índice
ÍNDICE DE FIGURAS ................................................................................................................................ 4
ÍNDICE DE TABELAS ............................................................................................................................... 5
1. INTRODUÇÃO ......................................................................................................................................... 6
2. VISÃO GERAL DA REDE ...................................................................................................................... 8
3. DESCRIÇÃO DOS PROTOCOLOS ....................................................................................................... 9
4. ESQUEMA DE ROTEAMENTO .......................................................................................................... 12
5. MECANISMOS E PRODUTOS DE SEGURANÇA ............................................................................ 13
Documento de Projeto Lógico de
Rede
H6Projetos
Página 3 de 13
PROSEC
Versão 1.4, 06/11/2013
Índice de Figuras
FIGURA 1 - TOPOLOGIA LÓGICA ......................................................................................................... 8
Documento de Projeto Lógico de
Rede
H6Projetos
Página 4 de 13
PROSEC
Versão 1.4, 06/11/2013
Índice de Tabelas
TABELA 1 - DEFINIÇÕES, ACRÔNIMOS E ABREVIAÇÕES............................................................. 7
TABELA 2 - ESQUEMA DE ENDEREÇAMENTO ............................................................................... 10
Documento de Projeto Lógico de
Rede
H6Projetos
Página 5 de 13
PROSEC
Versão 1.4, 06/11/2013
1. Introdução
1.1. Propósito
Este documento especifica projeto lógico de rede a serem desenvolvido pela
H6PROJETOS, fornecendo aos desenvolvedores as informações necessárias para o
projeto e implementação, assim como para a realização dos testes e homologação do
sistema.
1.2. Público Alvo
Este documento se destina aos arquitetos de rede, engenheiros de rede e testadores.
1.3. Escopo
Este documento realiza o projeto lógico de uma determinada rede.
1.4. Definições, Acrônimos e Abreviações.
BROWSER
HTTP
HTTPS
SERVIDOR CLOUD
SERVIDOR DE APLICAÇÃO
JBDC
WEB SERVICE
Documento de Projeto Lógico de
Rede
É um programa de computador que habilita seus
usuários a interagirem com documentos virtuais
da Internet, também conhecidos como páginas
da web.
É um protocolo de comunicação (na camada de
aplicação segundo o Modelo OSI) utilizado para
sistemas de informação de hipermídia, distribuídos
e colaborativos. Ele é a base para a comunicação
de dados da World Wide Web.
É uma implementação do protocolo HTTP sobre
uma camada adicional de segurança que utiliza o
protocolo SSL/TLS. Essa camada adicional permite
que os dados sejam transmitidos por meio de uma
conexão criptografada e que se verifique a
autenticidade do servidor e do cliente por meio de
certificados digitais.
Uma tecnologia para guardar arquivos importantes
na nuvem e acessar a qualquer momento,
mediante login e senha.
É um servidor que disponibiliza um ambiente para
a instalação e execução de certas aplicações,
centralizando e dispensando a instalação nos
computadores clientes.
É um conjunto de classes e interfaces (API)
escritas em Java que fazem o envio de
instruções SQL para qualquer banco de dados
relacional.
WebService é uma solução utilizada na integração
de sistemas e na comunicação entre aplicações
diferentes. Com esta tecnologia é possível que
H6Projetos
Página 6 de 13
PROSEC
Versão 1.4, 06/11/2013
novas aplicações possam interagir com aquelas
que já existem e que sistemas desenvolvidos em
plataformas diferentes sejam compatíveis.
Técnica que consiste em reescrever o endereço IP
de origem de um pacote que passa por um router
ou firewall de maneira que um computador de uma
rede interna tenha acesso ao exterior.
DMZ, em segurança da informação, é a sigla para
de DeMilitarized Zone ou "zona desmilitarizada",
em português. Também conhecida como Rede de
Perímetro, a DMZ é uma pequena rede situada
entre uma rede confiável e uma não confiável,
geralmente entre a rede local e a Internet.
Indica a rede interna, confiável e protegida.
Contrário a DMZ.
NAT
DMZ
MZ
É um dispositivo de uma rede de computadores
que tem por objetivo aplicar uma política de
segurança a um determinado ponto da rede
Firewall
Tabela 1 - Definições, Acrônimos e Abreviações
1.5. Referências
Slides da aula de Infraestrutura de Redes – Faculdade Senac, Prof. José Henrique.
Redes de Computadores – 5ª Edição – Tanenbaum.
Redes de Computadores – Versão revisada e Atualizada – Gabriel Torres
Sites: http://www.ibm.com/developerworks/br/local/opensource/dns_protocol/
1.6. Visão geral do documento






A seção 2 apresenta a topologia lógica da rede;
A seção 3 apresenta uma descrição dos protocolos de nível 2
(comutação) e nível 3 (roteamento), incluindo qualquer recomendação
sobre o uso desses protocolos;
A seção 4 apresenta um esquema de endereçamento e atribuição de
nomes;
A seção 5 apresenta um esquema de roteamento;
A seção 6 apresenta os mecanismos e produtos recomendados para a
segurança, incluindo um resumo de políticas de segurança e
procedimentos associados (um plano completo de segurança pode ser
incluído como apêndice);
A seção 7 apresenta as recomendações sobre arquitetura e produtos para
a gerência.
Documento de Projeto Lógico de
Rede
H6Projetos
Página 7 de 13
PROSEC
Versão 1.4, 06/11/2013
2. Visão Geral da Rede
Figura 1 - Topologia Lógica
Documento de Projeto Lógico de
Rede
H6Projetos
Página 8 de 13
PROSEC
Versão 1.4, 06/11/2013
3. Descrição dos protocolos
Este projeto contempla toda a estrutura lógica de redes que o Tribunal Themis
deverá possuir para manter o sistema PROSEC funcionando e manter as
informações contidas no banco de dados em segurança.
A rede será constituída por 3 partes, zona desmilitarizada, zona militarizada e
rede local.
A função da rede desmilitarizada é manter todos os serviços que possuem acesso
externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da
rede local, limitando assim o potencial dano em caso de comprometimento de
algum destes serviços por um invasor.
A função da rede militarizada é manter em segurança os dados contidos no banco
de dados do Tribunal Themis
Os protocolos utilizados serão:
DHCP: Dynamic Host Configuration Protocol (Protocolo de configuração dinâmica
de host), é um protocolo de serviço TCP/IP que oferece configuração dinâmica de
terminais, com concessão de endereços IP de host, Máscara de sub-rede, Default
Gateway (Gateway Padrão), Número IP de um ou mais servidores DNS, Número
IP de um ou mais servidores WINS e Sufixos de pesquisa do DNS.
Servidor Web: Pode ser um programa de computador responsável por aceitar
pedidos HTTP de clientes, geralmente os navegadores, e servi-los com respostas
HTTP, incluindo opcionalmente dados, que geralmente são páginas web, tais
como documentos HTML com objetos embutidos (imagens, etc.).
Servidor DNS: O DNS (Domain Name System) é um serviço que utilizamos
sempre que fazemos um acesso à internet, mesmo que não saibamos disso.
Quando digitamos um endereço em um Browser, ele irá fazer uso do DNS para
transformar o nome do host em um endereço IP.
HTTP: (HyperText Transfer Protocol Secure), é sobre uma camada adicional de
segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os
dados sejam transmitidos por meio de uma conexão criptografada e que se
verifique a autenticidade do servidor e do cliente por meio de certificados digitais.
SSL/TLS: O Transport Layer Security - TLS (em português: Segurança da
Camada de Transporte) e o seu antecessor, Secure Sockets Layer - SSL (em
português: Protocolo de Camada de Sockets Segura), são protocolos
criptográficos que conferem segurança de comunicação na Internet para serviços
como email (SMTP), navegação por páginas (HTTPS) e outros tipos de
transferência de dados
SMTP: protocolo SMTP (Simple Mail Transfer Protocol, que se pode traduzir por
Protocolo Simples de Transferência de Correio) é o protocolo standard que
permite transferir o correio de um servidor a outro em conexão ponto a ponto.
POP3: O protocolo POP (Post Office Protocol , que se pode traduzir por "protocolo
de posto dos correios") permite, como o seu nome o indica, recuperar o seu
correio num servidor distante (o servidor POP). É necessário para as pessoas não
Documento de Projeto Lógico de
Rede
H6Projetos
Página 9 de 13
PROSEC
Versão 1.4, 06/11/2013
ligadas permanentemente à Internet, para poderem consultar os mails recebidos
offline.
IMAP: O protocolo IMAP (Internet Message Access Protocol) é um protocolo de
gerenciamento de correio eletrônico superior em recursos ao POP3, e oferece
muitas possibilidades:

Permite gerir vários acessos simultâneos

Permite gerir várias caixas de correio

Permite triar o correio de acordo com mais critérios
FTP: Significa File Transfer Protocol (Protocolo de Transferência de Arquivos), e é
uma forma bastante rápido e versátil de transferir arquivos (também conhecidos
como ficheiros), sendo uma das mais usadas na Internet.
Esquema de Endereçamento e Atribuição de Nomes
Para essa rede, um esquema de endereçamento possível seria o indicado na
Tabela 2.
Local/Setor
IP Público 1
IP Público 2
Roteador Externo 1
Roteador Externo 2
Zona Desmilitarizada
Zona Militarizada
Rede Local
Servidor
Servidor
Servidor
Servidor
Servidor
Dados
DHCP
DNS
HTTP/HTTPS
de E-mail
de Banco de
Endereço de Rede e mascara
189.27.17.233
186.213.248.153
192.168.10.1
192.168.10.2
192.168.10.0
255.255.255.192
192.168.10.64
255.255.255.192
192.168.10.128
255.255.255.192
192.168.10.190
192.168.10.4
192.168.10.5
192.168.10.6
192.168.10.66
Faixa de Endereços
192.168.10.0 a
192.168.10.63
192.168.10.64 a
192.168.10.127
192.168.10.128 a
192.168.10.191
-
Tabela 2 - Esquema de Endereçamento
O servidor de DHCP será responsável por fornecer automaticamente os endereços de
IPs válidos aos computadores e outros dispositivos de rede com base em TCP/IP.
O servidor de DNS será responsável por oferecer a resolução de nome para redes
baseadas em TCP/IP. Ou seja, possibilita que usuários de computadores clientes
usem nomes, em vez de endereços IP numéricos, para identificar hosts remotos. Um
computador cliente envia o nome de um host remoto a um servidor DNS, que
responde com o endereço IP correspondente.
Documento de Projeto Lógico de
Rede
H6Projetos
Página 10 de 13
PROSEC
Versão 1.4, 06/11/2013
O servidor de HTTP será responsável por aceitar pedidos HTTP/HTTPS de clientes,
geralmente os navegadores, e servi-los com respostas HTTP/HTTPS.
O servidor de E-mail será responsável por o envio e recebimento de e-mails dos
usuários do Tribunal Themis.
O servidor de FTP será responsável pela a transferência de ficheiros de um
computador para outro.
O Servidor de Banco de Dados junto com o SGBD será responsável por armazenar,
fornecer e gerenciar todos os dados necessários para a aplicação.
Documento de Projeto Lógico de
Rede
H6Projetos
Página 11 de 13
PROSEC
Versão 1.4, 06/11/2013
4. Esquema de Roteamento
Considerando o roteamento estático, o esquema de roteamento a ser usado torna-se
simples. Basicamente:
Os servidores (DNS, HTTP, E-mail e FTP) que se encontram na zona desmilitarizada
terão como rota default o Switch2.
O servidor (Banco de dados) que se encontra na zona militarizada terá como rota
default o Switch3.
O servidor DHCP terá como rota default o Switch 1
O Switch 2 terá como rota default o firewall de borda
Os Switch 1 e 3 terá como rota default o Firewall interno.
O Firewall interno terá como rota default o Switch 2;
Os computadores (Secretaria 1,2 e 3) e coordenador terão como rota default o
Switch 1;
O Firewall de borda terá como rota default os roteadores 1 e 2.
Os roteadores 1 e 2 terão roda default os provedores de acesso à internet que estão
configurados nos IPs (189.27.17.233 e 186.213.248.153).
Documento de Projeto Lógico de
Rede
H6Projetos
Página 12 de 13
PROSEC
Versão 1.4, 06/11/2013
5. Mecanismos e Produtos de Segurança
Como abordagem básica de segurança, foi adotado o uso de dois níveis de Firewall,
com implementação de endereçamento privado para a rede interna.
Entre os mecanismos de segurança de rede será utilizado:

Autenticação: Será atribuído para cada usuário da rede um login e senha, se
estiverem corretos terão acesso às aplicações da rede de acordo com o nível
de permissão atribuído.

O acesso às aplicações estará disponível apenas no horário estabelecido pela
empresa Tribunal Themis.

Níveis de Permissão: Para cada usuário deverá ser atribuído um nível de
permissão que definirá quais funcionalidades que este poderá acessar de
acordo com o nível atribuído.

Antivírus: A empresa usará um software antivírus para detectar e remover
arquivos ou programas nocivos.

Toda comunicação externa deverá passar pelo firewall baseado em hardware
e software que será configurado para controlar o tráfego de dados entre a
empresa e a rede mundial de computadores – internet.

O Tribunal Themis deverá elaborar política de segurança.

A empresa Tribunal Themis contratará dois serviços distintos de internet, que
servirá de rota de emergência na indisponibilidade de um serviço ou então
para balancear o tráfego entre elas.
Documento de Projeto Lógico de
Rede
H6Projetos
Página 13 de 13