A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Marco Antônio Chaves Câmara

PublicouVictoria Vasques Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Marco Antônio Chaves Câmara"— Transcrição da apresentação:

1 Marco Antônio Chaves Câmara
Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ? Marco Antônio Chaves Câmara LOGIC Engenharia Ltda

2 Quem é o Palestrante ? Marco Antônio Chaves Câmara ? ? ? ? ? ?
Engenheiro Eletricista (UFBA); Professor Universidade Católica do Salvador; Universidade do Estado da Bahia. Trabalha com redes desde 1987; Certificações CNE e CNI (Novell); MCP (Microsoft); Projetista e Instalador (Lucent Technologies) Diretor técnico da LOGIC Engenharia Salvador - BA. ? ? ? ? ? ?

3 Requisitos de Segurança em um backbone

4 Requisitos de Segurança
Separação de Tráfego entre segmentos Segurança Física Configuração de Equipamentos Camada usada na separação de tráfego Políticas de interligação de segmentos

5 Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração.

6 Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. A VLAN é identificada por portas de switch que dela fazem parte; No caso de HUBs ou switches s/ suporte a VLAN, todos os pontos a ele interligação fazem parte da mesma VLAN; Exige re-configuração quando ocorre mudança no local de conexão.

7 Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. Os endereços MAC são agrupados em “tabelas” de dispositivos de cada VLAN; Configuração complexa, facilitada por softwares específicos; Usuário está sempre na sua VLAN, mesmo com mudanças.

8 Separação de Tráfego Estratégia de VLANs Identifica os participantes
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. Identifica os participantes Por tipo de protocolo; Por endereço de camada de rede Permite mudanças sem reconfiguração; Exige switches mais potentes.

9 Separação de Tráfego Estratégia de VLANs
Por porta Por endereço MAC Por protocolo Por grupos multicast A VLAN mais segura é a VLAN por porta Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; Ataques exigem acesso à segurança física ou de configuração. Associada a aplicação, já que determina VLAN pelo grupo de multicast Multicast tende a ser comum Participação está associada ao uso da aplicação; Também exige switches potentes.

10 Segurança Física O acesso não autorizado ao rack de equipamentos deve ser evitado Pontos de Concentração devem ser preferencialmente isolados; Cuidado com os pontos de concentração fora do CPD; Invasões não autorizadas podem ser facilmente detectadas Arrombamentos são visíveis ! O acesso informal é sempre mais perigoso.

11 Configuração de Equipamentos
Habilitar senhas de acesso Determinar claramente os direitos de acesso; Dificultar o acesso a portas de console Criar sub-rede específica para configuração de equipamentos; Documentar cuidadosa-mente os arquivos.

12 Camada usada na separação de tráfego
Muito radical, embora implementada; Camada 2 Muito segura, envolve implementação baseada em switches Camada 3 Muito simples, porém de baixo custo; Não exige hardware específico Lembrar da interligação ! Rede Enlace Física

13 Políticas de Interligação
Executada por equipamentos de camada 3 Roteadores ou ... Switches de camada 3 Deve ser evitada, se possível inclusive banida Cada VLAN preferencialmente deve ter acesso apenas aos seus próprios recursos. Recursos compartilhados Não exigem interligação; Não devem funcionar como ponte entre VLANs.

14 Segurança X Performance

15 Dilemas envolvendo Segurança
Além dos problemas enfrentados na própria implementação, alguns dilemas devem ser enfrentados por aqueles que optam pela implementação de uma política de segurança : Segurança X Custo Segurança X Gerenciamento Segurança X Performance

16 Segurança X Performance
A diferença da camada Serviços implementados em camadas mais altas são sempre mais lentos; Alguns julgam as políticas de segurança das camadas mais baixas mais seguras e mais baratas; O grande problema está na flexibilidade e facilidade de gerenciamento

17 Segurança X Performance
A diferença do processamento Exigir do hardware um processamento muito elaborado certamente trará implicações para o desempenho do ambiente Evitar a utilização do processamento de camada 3, ou melhor, o roteamento (mesmo qdo. este existir); Filtros de pacotes e firewalls também exigem processamento complementar; Tabelas também precisam ser pesquisadas e indexadas VLANs por MAC Address, por exemplo.

18 Segurança X Performance
A diferença do delay Quanto mais alta a camada, mais fundo precisamos ir na análise das mensagens (exemplos ethernet !) Switches de camada 2 podem ler apenas endereços de destino (14bytes); Switches com VLAN802.1Q precisam ler o tag (20bytes); Switches de camada 3 precisam abrir o pacote IP (40+bytes); Filtros de quadro/pacote precisam conferir tudo (1518 bytes). Capacidade de processamento não interfere neste atraso ...

19 Estratégias de Implementação

20 Estratégias de Implementação
Separando os segmentos; Escolhendo a camada de segmentação; Gerenciando o tráfego entre segmentos

21 Separando os segmentos
O melhor é escolher os segmentos por aplicação / servidor Aplicações/Bases de Dados residem em servidores diferentes; Tipicamente temos usuários participando simultaneamente de vários segmentos (sobreposição de VLANs). Segmentação geográfica Interessante em empresas que dividem o mesmo site ou para separar setores específicos Exemplo : Área acadêmica e administrativa de uma universidade. Recursos corporativos normalmente ficam alojados na sobreposição de VLANs Roteadores WAN, acesso à Internet, servidores etc

22 Escolhendo a camada Camada 1 Camada 2 Camada 3
Sites muito pequenos, sem nenhuma necessidade de comunicação; Maior segurança possível (embora radical ...). Camada 2 Sites de qualquer tamanho, com ou sem necessidade de segmentação; Envolve custo um pouco maior; Índice elevado de segurança; Camada 3 Sites pequenos, com pequenas necessidades de interligação; Performance mais baixa e índice relativo de segurança.

23 Gerenciando tráfego entre segmentos
Um ambiente ideal é o que reduz ao máximo o tráfego entre segmentos; Instalar recursos corporativos compartilhados apenas em áreas comuns às VLANs; Limitar a interligação Pequenos volumes de dados; Segurança reforçada Firewalls, filtros de pacotes etc A queda de desempenho, se acontecer (provável), será localizada.

24 Dúvidas ? Marco Antônio C. Câmara Tel. (071) 351-2127
FAX (071)

Carregar ppt "Marco Antônio Chaves Câmara"

Apresentações semelhantes

Redes de computadores I

Redes de computadores I
Paulo Landgraf ICEC Landgraf.paulo@gmail.com 24/03/2017 Projeto de Redes Paulo Landgraf ICEC Landgraf.paulo@gmail.com.

Paulo Landgraf ICEC 24/03/2017 Projeto de Redes Paulo Landgraf ICEC
2.10) Os elementos básicos de uma Rede

2.10) Os elementos básicos de uma Rede
Tecnologias de Wan e Roteamento

Tecnologias de Wan e Roteamento
Rede Local - Instalação

Rede Local - Instalação
Rotas estáticas Existem dois tipos de rotas que podem ser utilizadas por um roteador: rotas estáticas e dinâmicas. As rotas estáticas são explicitamente.

Rotas estáticas Existem dois tipos de rotas que podem ser utilizadas por um roteador: rotas estáticas e dinâmicas. As rotas estáticas são explicitamente.
VLAN - DEFINIÇÃO Grupo de PCs, Servidores e outros recursos de redes que estão localizados em qualquer parte da rede, mas comunicam-se como se estivessem.

VLAN - DEFINIÇÃO Grupo de PCs, Servidores e outros recursos de redes que estão localizados em qualquer parte da rede, mas comunicam-se como se estivessem.
DISCIPLINA: Introdução à Computação

DISCIPLINA: Introdução à Computação
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Introdução Ligações inter-redes.

Introdução Ligações inter-redes.
Endereçamento de hardware e identificação de quadros

Endereçamento de hardware e identificação de quadros
Prof. Marcelo Diniz Fonte:

Prof. Marcelo Diniz Fonte:
Endereçamento ARP MAC Nível de Rede Nível de Enlace CEL Placa de Rede

Endereçamento ARP MAC Nível de Rede Nível de Enlace CEL Placa de Rede
ESTRUTURA DE COMUNICAÇÃO DE DADOS

ESTRUTURA DE COMUNICAÇÃO DE DADOS
Redes Privadas Virtuais (VPN)

Redes Privadas Virtuais (VPN)
3 – Projeto Lógico da Rede

3 – Projeto Lógico da Rede
Visão Geral de Equipamentos de Rede

Visão Geral de Equipamentos de Rede
Requisitos de Rede para uma Implantação com Sucesso de um ERP

Requisitos de Rede para uma Implantação com Sucesso de um ERP
Componentes e Dispositivos de uma Rede

Componentes e Dispositivos de uma Rede

Apresentações semelhantes

Anúncios Google