Adicionar à colecção (s) Adicionar a salvo
  1. Engenharia
  2. Ciência da computação
  3. Software em linguagem de montagem

Agenda - Logic

Propaganda 
Segurança, Estabilidade e
Desempenho no mesmo
backbone :
Isto é possível ?
Marco Antônio Chaves Câmara
LOGIC Engenharia Ltda
[email protected]
Quem é o Palestrante ?
Marco Antônio Chaves Câmara
– Engenheiro Eletricista (UFBA);
– Professor
• Universidade Católica do Salvador;
• Universidade do Estado da Bahia.
– Trabalha com redes desde 1987;
– Certificações
?
• CNE e CNI (Novell);
• MCP (Microsoft);
• Projetista e Instalador (Lucent Technologies)
– Diretor técnico da LOGIC Engenharia
Salvador - BA.
?
?
?
?
?
Requisitos de
Segurança em
um backbone
Requisitos de Segurança
• Separação de Tráfego entre
segmentos
• Segurança Física
• Configuração de Equipamentos
• Camada usada na separação de
tráfego
• Políticas de interligação de
segmentos
Separação de Tráfego
• Estratégia de VLANs
–
–
–
–
Por porta
Por endereço MAC
Por protocolo
Por grupos multicast
• A VLAN mais segura é a VLAN por
porta
– Adaptador de rede em modo “promíscuo”
não escuta tráfego alheio;
– Ataques exigem acesso à segurança física
ou de configuração.
Separação de Tráfego
• Estratégia de VLANs
• A VLAN é identificada por
portas de switch que dela
fazem parte;
• No caso de HUBs ou
switches
• A VLAN mais segura é a VLAN
por s/ suporte a
VLAN, todos os pontos a
porta
ele interligação fazem
– Adaptador de rede em modo “promíscuo”
parte da mesma VLAN;
não escuta tráfego alheio;
– Ataques exigem acesso à segurança
físicare-configuração
• Exige
ou de configuração.
quando ocorre mudança no
local de conexão.
–
–
–
–
Por porta
Por endereço MAC
Por protocolo
Por grupos multicast
Separação de Tráfego
• Estratégia de VLANs
• Os endereços MAC são
agrupados em “tabelas” de
dispositivos de cada
VLAN;
• Configuração
complexa,
• A VLAN mais segura é a VLAN
por
facilitada por softwares
porta
específicos;
– Adaptador de rede em modo “promíscuo”
não escuta tráfego alheio;
• Usuário está sempre na sua
– Ataques exigem acesso à segurança
física mesmo com
VLAN,
ou de configuração.
mudanças.
–
–
–
–
Por porta
Por endereço MAC
Por protocolo
Por grupos multicast
Separação de Tráfego
• Estratégia de VLANs
–
–
–
–
Por porta
Por endereço MAC
Por protocolo
Por grupos multicast
• Identifica os participantes
– Por tipo de protocolo;
– Por endereço de camada de
rede
• A VLAN mais segura é a VLAN por
• Permite mudanças sem
– Adaptador de rede em modo “promíscuo”
reconfiguração;
não escuta tráfego alheio;
• Exige switches mais
– Ataques exigem acesso à segurança física
potentes.
ou de configuração.
porta
Separação de Tráfego
• Estratégia de VLANs
–
–
–
–
Por porta
Por endereço MAC
Por protocolo
Por grupos multicast
• Associada a aplicação, já
que determina VLAN pelo
grupo de multicast
• A VLAN mais segura é a VLAN–por
Multicast tende a ser comum
porta
• Participação está associada
– Adaptador de rede em modo “promíscuo”
ao uso da aplicação;
não escuta tráfego alheio;
• Também exige switches
– Ataques exigem acesso à segurança física
potentes.
ou de configuração.
Segurança Física
• O acesso não autorizado ao
rack de equipamentos deve ser
evitado
– Pontos de Concentração devem
ser preferencialmente isolados;
– Cuidado com os pontos de
concentração fora do CPD;
– Invasões não autorizadas podem
ser facilmente detectadas
• Arrombamentos são visíveis !
• O acesso informal é sempre mais
perigoso.
Configuração de Equipamentos
• Habilitar senhas de
acesso
– Determinar claramente os
direitos de acesso;
– Dificultar o acesso a
portas de console
• Criar sub-rede específica
para configuração de
equipamentos;
• Documentar cuidadosamente os arquivos.
Camada usada na separação de tráfego
• Camada 1
– Muito radical, embora
implementada;
• Camada 2
– Muito segura, envolve
implementação baseada em
switches
• Camada 3
– Muito simples, porém de baixo
custo;
– Não exige hardware específico
• Lembrar da interligação !
Rede
Enlace
Física
Políticas de Interligação
• Executada por equipamentos de camada 3
– Roteadores ou ...
– Switches de camada 3
• Deve ser evitada, se possível inclusive banida
– Cada VLAN preferencialmente deve ter acesso apenas
aos seus próprios recursos.
• Recursos compartilhados
– Não exigem interligação;
– Não devem funcionar como ponte entre VLANs.
Segurança
X
Performance
Dilemas envolvendo Segurança
• Além dos problemas enfrentados na própria
implementação, alguns dilemas devem ser
enfrentados por aqueles que optam pela
implementação de uma política de segurança :
– Segurança X Custo
– Segurança X Gerenciamento
– Segurança X Performance
Segurança X Performance
• A diferença da camada
– Serviços implementados
em camadas mais altas são
sempre mais lentos;
– Alguns julgam as políticas
de segurança das camadas
mais baixas mais seguras e
mais baratas;
– O grande problema está na
flexibilidade e facilidade de
gerenciamento
Segurança X Performance
• A diferença do processamento
– Exigir do hardware um processamento muito
elaborado certamente trará implicações para o
desempenho do ambiente
• Evitar a utilização do processamento de camada 3, ou
melhor, o roteamento (mesmo qdo. este existir);
– Filtros de pacotes e firewalls também exigem
processamento complementar;
– Tabelas também precisam ser pesquisadas e
indexadas
– VLANs por MAC Address, por exemplo.
Segurança X Performance
• A diferença do delay
– Quanto mais alta a camada, mais fundo precisamos ir
na análise das mensagens (exemplos ethernet !)
• Switches de camada 2 podem ler apenas endereços de
destino (14bytes);
• Switches com VLAN802.1Q precisam ler o tag (20bytes);
• Switches de camada 3 precisam abrir o pacote IP
(40+bytes);
• Filtros de quadro/pacote precisam conferir tudo (1518
bytes).
– Capacidade de processamento não interfere neste
atraso ...
Estratégias de
Implementação
Estratégias de Implementação
• Separando os
segmentos;
• Escolhendo a camada
de segmentação;
• Gerenciando o tráfego
entre segmentos
Separando os segmentos
• O melhor é escolher os segmentos por aplicação /
servidor
– Aplicações/Bases de Dados residem em servidores diferentes;
– Tipicamente temos usuários participando simultaneamente de
vários segmentos (sobreposição de VLANs).
• Segmentação geográfica
– Interessante em empresas que dividem o mesmo site ou para
separar setores específicos
• Exemplo : Área acadêmica e administrativa de uma universidade.
– Recursos corporativos normalmente ficam alojados na
sobreposição de VLANs
• Roteadores WAN, acesso à Internet, servidores etc
Escolhendo a camada
• Camada 1
– Sites muito pequenos, sem nenhuma necessidade de
comunicação;
– Maior segurança possível (embora radical ...).
• Camada 2
– Sites de qualquer tamanho, com ou sem necessidade de
segmentação;
– Envolve custo um pouco maior;
– Índice elevado de segurança;
• Camada 3
– Sites pequenos, com pequenas necessidades de interligação;
– Performance mais baixa e índice relativo de segurança.
Gerenciando tráfego entre segmentos
• Um ambiente ideal é o que reduz ao máximo o tráfego
entre segmentos;
• Instalar recursos corporativos compartilhados apenas em
áreas comuns às VLANs;
• Limitar a interligação
– Pequenos volumes de dados;
– Segurança reforçada
• Firewalls, filtros de pacotes etc
– A queda de desempenho, se acontecer (provável), será
localizada.
Dúvidas ?
Marco Antônio C. Câmara
Tel. (071) 351-2127
FAX (071) 351-1460
email [email protected]
Documentos relacionados
presença na internet: poder das redes sociais 1. poder do boca-a
presença na internet: poder das redes sociais 1. poder do boca-a
Virtual Local Area Network
Virtual Local Area Network
Execícios de Revisão
Execícios de Revisão
Telefonia Celular – Exercícios
Telefonia Celular – Exercícios
controle de tráfego em um dispositivo multimídia - PRP
controle de tráfego em um dispositivo multimídia - PRP
Linha Nobre Os tapetes da Linha Nobre possuem o
Linha Nobre Os tapetes da Linha Nobre possuem o
Lista de Termos Para Etapa II
Lista de Termos Para Etapa II
Tecnólogo em Redes de Computadores 4º Período – Laboratório de
Tecnólogo em Redes de Computadores 4º Período – Laboratório de
C. Vitae
C. Vitae
Comunicação de Dados
Comunicação de Dados
ppt - Instituto de Telecomunicações
ppt - Instituto de Telecomunicações
unidade continente
unidade continente
Apresentação do PowerPoint
Apresentação do PowerPoint
AVALIACAO EL55B1[1]
AVALIACAO EL55B1[1]
configuracao_de_vlans_em_ambiente_cisco
configuracao_de_vlans_em_ambiente_cisco
Protocolo de resolução de endereços
Protocolo de resolução de endereços
EIGRP, VLANs - Dei-Isep
EIGRP, VLANs - Dei-Isep
Lista 1 de exercícios
Lista 1 de exercícios
Edifício Dacon - SP
Edifício Dacon - SP
Slide 1
Slide 1
Introdução às VLAN - Departamento de Ciência de Computadores
Introdução às VLAN - Departamento de Ciência de Computadores
redes virtuais
redes virtuais
Download
Propaganda