A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ? Marco Antônio Chaves Câmara LOGIC Engenharia Ltda

Apresentações semelhantes


Apresentação em tema: "Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ? Marco Antônio Chaves Câmara LOGIC Engenharia Ltda"— Transcrição da apresentação:

1 Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ? Marco Antônio Chaves Câmara LOGIC Engenharia Ltda

2 Quem é o Palestrante ? Marco Antônio Chaves Câmara –Engenheiro Eletricista (UFBA); –Professor Universidade Católica do Salvador; Universidade do Estado da Bahia. –Trabalha com redes desde 1987; –Certificações CNE e CNI (Novell); MCP (Microsoft); Projetista e Instalador (Lucent Technologies) –Diretor técnico da LOGIC Engenharia Salvador - BA. ? ? ?? ? ?

3 Requisitos de Segurança em um backbone

4 Requisitos de Segurança Separação de Tráfego entre segmentos Segurança Física Configuração de Equipamentos Camada usada na separação de tráfego Políticas de interligação de segmentos

5 Separação de Tráfego Estratégia de VLANs –Por porta –Por endereço MAC –Por protocolo –Por grupos multicast A VLAN mais segura é a VLAN por porta –Adaptador de rede em modo promíscuo não escuta tráfego alheio; –Ataques exigem acesso à segurança física ou de configuração.

6 Separação de Tráfego Estratégia de VLANs –Por porta –Por endereço MAC –Por protocolo –Por grupos multicast A VLAN mais segura é a VLAN por porta –Adaptador de rede em modo promíscuo não escuta tráfego alheio; –Ataques exigem acesso à segurança física ou de configuração. A VLAN é identificada por portas de switch que dela fazem parte; No caso de HUBs ou switches s/ suporte a VLAN, todos os pontos a ele interligação fazem parte da mesma VLAN; Exige re-configuração quando ocorre mudança no local de conexão.

7 Separação de Tráfego Estratégia de VLANs –Por porta –Por endereço MAC –Por protocolo –Por grupos multicast A VLAN mais segura é a VLAN por porta –Adaptador de rede em modo promíscuo não escuta tráfego alheio; –Ataques exigem acesso à segurança física ou de configuração. Os endereços MAC são agrupados em tabelas de dispositivos de cada VLAN; Configuração complexa, facilitada por softwares específicos; Usuário está sempre na sua VLAN, mesmo com mudanças.

8 Separação de Tráfego Estratégia de VLANs –Por porta –Por endereço MAC –Por protocolo –Por grupos multicast A VLAN mais segura é a VLAN por porta –Adaptador de rede em modo promíscuo não escuta tráfego alheio; –Ataques exigem acesso à segurança física ou de configuração. Identifica os participantes –Por tipo de protocolo; –Por endereço de camada de rede Permite mudanças sem reconfiguração; Exige switches mais potentes.

9 Separação de Tráfego Estratégia de VLANs –Por porta –Por endereço MAC –Por protocolo –Por grupos multicast A VLAN mais segura é a VLAN por porta –Adaptador de rede em modo promíscuo não escuta tráfego alheio; –Ataques exigem acesso à segurança física ou de configuração. Associada a aplicação, já que determina VLAN pelo grupo de multicast –Multicast tende a ser comum Participação está associada ao uso da aplicação; Também exige switches potentes.

10 Segurança Física O acesso não autorizado ao rack de equipamentos deve ser evitado –Pontos de Concentração devem ser preferencialmente isolados; –Cuidado com os pontos de concentração fora do CPD; –Invasões não autorizadas podem ser facilmente detectadas Arrombamentos são visíveis ! O acesso informal é sempre mais perigoso.

11 Configuração de Equipamentos Habilitar senhas de acesso –Determinar claramente os direitos de acesso; –Dificultar o acesso a portas de console Criar sub-rede específica para configuração de equipamentos; Documentar cuidadosa- mente os arquivos.

12 Camada usada na separação de tráfego Camada 1 –Muito radical, embora implementada; Camada 2 –Muito segura, envolve implementação baseada em switches Camada 3 –Muito simples, porém de baixo custo; –Não exige hardware específico Lembrar da interligação ! Física Enlace Rede

13 Políticas de Interligação Executada por equipamentos de camada 3 –Roteadores ou... –Switches de camada 3 Deve ser evitada, se possível inclusive banida –Cada VLAN preferencialmente deve ter acesso apenas aos seus próprios recursos. Recursos compartilhados –Não exigem interligação; –Não devem funcionar como ponte entre VLANs.

14 Segurança X Performance

15 Dilemas envolvendo Segurança Além dos problemas enfrentados na própria implementação, alguns dilemas devem ser enfrentados por aqueles que optam pela implementação de uma política de segurança : –Segurança X Custo –Segurança X Gerenciamento –Segurança X Performance

16 Segurança X Performance A diferença da camada –Serviços implementados em camadas mais altas são sempre mais lentos; –Alguns julgam as políticas de segurança das camadas mais baixas mais seguras e mais baratas; –O grande problema está na flexibilidade e facilidade de gerenciamento

17 Segurança X Performance A diferença do processamento –Exigir do hardware um processamento muito elaborado certamente trará implicações para o desempenho do ambiente Evitar a utilização do processamento de camada 3, ou melhor, o roteamento (mesmo qdo. este existir); –Filtros de pacotes e firewalls também exigem processamento complementar; –Tabelas também precisam ser pesquisadas e indexadas –VLANs por MAC Address, por exemplo.

18 Segurança X Performance A diferença do delay –Quanto mais alta a camada, mais fundo precisamos ir na análise das mensagens (exemplos ethernet !) Switches de camada 2 podem ler apenas endereços de destino (14bytes); Switches com VLAN802.1Q precisam ler o tag (20bytes); Switches de camada 3 precisam abrir o pacote IP (40+bytes); Filtros de quadro/pacote precisam conferir tudo (1518 bytes). –Capacidade de processamento não interfere neste atraso...

19 Estratégias de Implementação

20 Separando os segmentos; Escolhendo a camada de segmentação; Gerenciando o tráfego entre segmentos

21 Separando os segmentos O melhor é escolher os segmentos por aplicação / servidor –Aplicações/Bases de Dados residem em servidores diferentes; –Tipicamente temos usuários participando simultaneamente de vários segmentos (sobreposição de VLANs). Segmentação geográfica –Interessante em empresas que dividem o mesmo site ou para separar setores específicos Exemplo : Área acadêmica e administrativa de uma universidade. –Recursos corporativos normalmente ficam alojados na sobreposição de VLANs Roteadores WAN, acesso à Internet, servidores etc

22 Escolhendo a camada Camada 1 –Sites muito pequenos, sem nenhuma necessidade de comunicação; –Maior segurança possível (embora radical...). Camada 2 –Sites de qualquer tamanho, com ou sem necessidade de segmentação; –Envolve custo um pouco maior; –Índice elevado de segurança; Camada 3 –Sites pequenos, com pequenas necessidades de interligação; –Performance mais baixa e índice relativo de segurança.

23 Gerenciando tráfego entre segmentos Um ambiente ideal é o que reduz ao máximo o tráfego entre segmentos; Instalar recursos corporativos compartilhados apenas em áreas comuns às VLANs; Limitar a interligação –Pequenos volumes de dados; –Segurança reforçada Firewalls, filtros de pacotes etc –A queda de desempenho, se acontecer (provável), será localizada.

24 Dúvidas ? Marco Antônio C. Câmara Tel.(071) FAX(071)


Carregar ppt "Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ? Marco Antônio Chaves Câmara LOGIC Engenharia Ltda"

Apresentações semelhantes


Anúncios Google