Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Marco Antônio Chaves Câmara
Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ? Marco Antônio Chaves Câmara LOGIC Engenharia Ltda
2
Quem é o Palestrante ? Marco Antônio Chaves Câmara ? ? ? ? ? ?
Engenheiro Eletricista (UFBA); Professor Universidade Católica do Salvador; Universidade do Estado da Bahia. Trabalha com redes desde 1987; Certificações CNE e CNI (Novell); MCP (Microsoft); Projetista e Instalador (Lucent Technologies) Diretor técnico da LOGIC Engenharia Salvador - BA. ? ? ? ? ? ?
3
Requisitos de Segurança em um backbone
4
Requisitos de Segurança
Separação de Tráfego entre segmentos Segurança Física Configuração de Equipamentos Camada usada na separação de tráfego Políticas de interligação de segmentos
5
Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração.
6
Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. A VLAN é identificada por portas de switch que dela fazem parte; No caso de HUBs ou switches s/ suporte a VLAN, todos os pontos a ele interligação fazem parte da mesma VLAN; Exige re-configuração quando ocorre mudança no local de conexão.
7
Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. Os endereços MAC são agrupados em “tabelas” de dispositivos de cada VLAN; Configuração complexa, facilitada por softwares específicos; Usuário está sempre na sua VLAN, mesmo com mudanças.
8
Separação de Tráfego Estratégia de VLANs Identifica os participantes
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. Identifica os participantes Por tipo de protocolo; Por endereço de camada de rede Permite mudanças sem reconfiguração; Exige switches mais potentes.
9
Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. Associada a aplicação, já que determina VLAN pelo grupo de multicast Multicast tende a ser comum Participação está associada ao uso da aplicação; Também exige switches potentes.
10
Segurança Física O acesso não autorizado ao rack de equipamentos deve ser evitado Pontos de Concentração devem ser preferencialmente isolados; Cuidado com os pontos de concentração fora do CPD; Invasões não autorizadas podem ser facilmente detectadas Arrombamentos são visíveis ! O acesso informal é sempre mais perigoso.
11
Configuração de Equipamentos
Habilitar senhas de acesso Determinar claramente os direitos de acesso; Dificultar o acesso a portas de console Criar sub-rede específica para configuração de equipamentos; Documentar cuidadosa-mente os arquivos.
12
Camada usada na separação de tráfego
Muito radical, embora implementada; Camada 2 Muito segura, envolve implementação baseada em switches Camada 3 Muito simples, porém de baixo custo; Não exige hardware específico Lembrar da interligação ! Rede Enlace Física
13
Políticas de Interligação
Executada por equipamentos de camada 3 Roteadores ou ... Switches de camada 3 Deve ser evitada, se possível inclusive banida Cada VLAN preferencialmente deve ter acesso apenas aos seus próprios recursos. Recursos compartilhados Não exigem interligação; Não devem funcionar como ponte entre VLANs.
14
Segurança X Performance
15
Dilemas envolvendo Segurança
Além dos problemas enfrentados na própria implementação, alguns dilemas devem ser enfrentados por aqueles que optam pela implementação de uma política de segurança : Segurança X Custo Segurança X Gerenciamento Segurança X Performance
16
Segurança X Performance
A diferença da camada Serviços implementados em camadas mais altas são sempre mais lentos; Alguns julgam as políticas de segurança das camadas mais baixas mais seguras e mais baratas; O grande problema está na flexibilidade e facilidade de gerenciamento
17
Segurança X Performance
A diferença do processamento Exigir do hardware um processamento muito elaborado certamente trará implicações para o desempenho do ambiente Evitar a utilização do processamento de camada 3, ou melhor, o roteamento (mesmo qdo. este existir); Filtros de pacotes e firewalls também exigem processamento complementar; Tabelas também precisam ser pesquisadas e indexadas VLANs por MAC Address, por exemplo.
18
Segurança X Performance
A diferença do delay Quanto mais alta a camada, mais fundo precisamos ir na análise das mensagens (exemplos ethernet !) Switches de camada 2 podem ler apenas endereços de destino (14bytes); Switches com VLAN802.1Q precisam ler o tag (20bytes); Switches de camada 3 precisam abrir o pacote IP (40+bytes); Filtros de quadro/pacote precisam conferir tudo (1518 bytes). Capacidade de processamento não interfere neste atraso ...
19
Estratégias de Implementação
20
Estratégias de Implementação
Separando os segmentos; Escolhendo a camada de segmentação; Gerenciando o tráfego entre segmentos
21
Separando os segmentos
O melhor é escolher os segmentos por aplicação / servidor Aplicações/Bases de Dados residem em servidores diferentes; Tipicamente temos usuários participando simultaneamente de vários segmentos (sobreposição de VLANs). Segmentação geográfica Interessante em empresas que dividem o mesmo site ou para separar setores específicos Exemplo : Área acadêmica e administrativa de uma universidade. Recursos corporativos normalmente ficam alojados na sobreposição de VLANs Roteadores WAN, acesso à Internet, servidores etc
22
Escolhendo a camada Camada 1 Camada 2 Camada 3
Sites muito pequenos, sem nenhuma necessidade de comunicação; Maior segurança possível (embora radical ...). Camada 2 Sites de qualquer tamanho, com ou sem necessidade de segmentação; Envolve custo um pouco maior; Índice elevado de segurança; Camada 3 Sites pequenos, com pequenas necessidades de interligação; Performance mais baixa e índice relativo de segurança.
23
Gerenciando tráfego entre segmentos
Um ambiente ideal é o que reduz ao máximo o tráfego entre segmentos; Instalar recursos corporativos compartilhados apenas em áreas comuns às VLANs; Limitar a interligação Pequenos volumes de dados; Segurança reforçada Firewalls, filtros de pacotes etc A queda de desempenho, se acontecer (provável), será localizada.
24
Dúvidas ? Marco Antônio C. Câmara Tel. (071) 351-2127
FAX (071)
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.