A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Dicas em Administração de Redes Monitoradas ENCOSIS III – 2014 MONITORAMENTO DE REDE E SERVIDORES UTILIZANDO O CACTIEZ E SNMP.

Apresentações semelhantes


Apresentação em tema: "Dicas em Administração de Redes Monitoradas ENCOSIS III – 2014 MONITORAMENTO DE REDE E SERVIDORES UTILIZANDO O CACTIEZ E SNMP."— Transcrição da apresentação:

1 Dicas em Administração de Redes Monitoradas ENCOSIS III – 2014 MONITORAMENTO DE REDE E SERVIDORES UTILIZANDO O CACTIEZ E SNMP

2 Componentes de uma Rede  O Cabeamento  O sistema de cabeamento (cabling) é a infraestrutura básica para a implantação do caminho físico necessário para a transmissão de sinais entre dois ou mais dispositivos.  Esse caminho é responsável pela integridade das informações sendo composto principalmente por: tomadas, pacth panels, cordões de manobra e os componentes que protegem mecanicamente os cabos. 2

3 Componentes de uma Rede  O Cabeamento  Pesquisas revelam que mais de 85% dos problemas em redes estão relacionados à falta de projeto específico de cabeamento e à má qualidade dos componentes e serviços empregados em sua implementação.  A Furukawa possui um treinamento de boas práticas de cabeamento estruturado:  Boas Práticas de Instalação em Cabeamento Estruturado_Minuta da Rev Shortcut.lnk Boas Práticas de Instalação em Cabeamento Estruturado_Minuta da Rev Shortcut.lnk 3

4 Componentes de uma Rede  O Hardware de Rede  É o conjunto de equipamentos necessários para a implantação de uma rede de dados. Os principais equipamentos são:  Servidores e estações de trabalho;  Impressoras, plotters e scanners de rede;  Placas de rede (metálico, fibra ou wireless);  Hubs e switchs (L2, L3, L4, gerenciáveis ou não). 4

5 Componentes de uma Rede  O Software  É comum encontrarmos profissionais tendenciosos a sistemas operacionais, vamos agora conversar sobre esse assunto:  Qual o melhor SO do mercado? E porque? 5

6 Componentes de uma Rede  O Software  O fato é que existem conceitos que transcendem o fabricante do sistema operacional.  O importante é possuir tais conceitos bem claros para entender como um determinado sistema funciona, quais recursos permitem implementar uma configuração mais segura e quais são suas potenciais vulnerabilidades.  Por mais que o SO ofereça recursos que permitam uma configuração segura, cabe ao administrador mantê-las. 6

7 Componentes de uma Rede  Switches  Existem diversos tipos de switches, com características diferentes como número de portas, velocidades, recursos de gerenciamento e valor de mercado.  Atualmente o mercado subdividiu os modelos em:  Switches de Acesso – Conectam estações de trabalho.Acesso  Switches de Distribuição – Conectam Switches de Acesso.Distribuição  Switches Core – Conectam Switches de Distribuição.Core  Obs.: Também existem os Switches Topo de Rack. 7

8 Componentes de uma Rede  Switches  O Switch constrói uma tabela de endereços MAC relacionada a cada porta, conhecida como SAT.  Sempre que um endereço não é encontrado na SAT, é realizado um broadcast em todas as portas sobre ele. Esse procedimento é conhecido como flooding.  Existem ataques internos à rede, nos quais um programa provoca uma quantidade enorme de pacotes de broadcast, forçando os switches a operarem repetindo os pacotes por todas as suas portas. 8

9 Switches  Broadcast storm  Acontece quando a quantidade de broadcasts consome quase toda a banda disponível no switch.  Alguns equipamentos possuem o recursos de descartar (drop) os quadros quando o broadcast consome mais de 25% da banda disponível.  É altamente recomendável que seja habilitado em todos os switches da rede. 9

10 Switches  Trunk ou Link Aggregation  O Trunk ou Link Aggregation (IEEE802.3ad) possibilita a união de várias interfaces físicas (portas) para formar uma única interface lógica, geralmente de 2 a 8 portas.  Pode ser configurada de forma estática (porta a porta) ou de forma dinâmica via protocolo LACP.  Quando utilizado aumenta a disponibilidade da informação e geralmente o desempenho na velocidade de entrega dos dados. 10

11 Switches  Virtual LAN (VLAN)  Padronizada pelo IEEE802.1Q é um conceito baseado na criação de uma rede virtual em que um conjunto de dispositivos é associado a um grupo (VLAN) e assim participam deste segmento lógico independente, podendo estar conectados fisicamente no mesmo switch ou não.  Restringe o tráfego, independe da rede física e proporciona confidencialidade dos dados dentro da VLAN. 11

12 Switches  Spanning Tree  O (IEEE802.1d) é um protocolo que gerencia os links entre os switches, de tal forma que prevê redundância e evita a ocorrência de loops.  O protocolo que gerencia este recursos é o STP (Spanning Tree Protocol). 12

13 Switches  Controle de acesso  O (IEEE802.1x) estabelece uma ligação ponto-a-ponto, na qual o usuário, deve solicitar autorização ao autenticador para ter acesso a uma porta do switch.  O servidor RADIUS examina as credenciais fornecidas pelo autenticador a partir do suplicante e provê a autenticação do serviço e pode ter como base de dados um diretório como o LDAP ou o Active Directory. 13

14 Switches  Interligação de Switchs  Através de cascateamento:  Cabo metálico;  Cabo de fibra ótica;  Conversores de mídia ou transceivers (SFP).  Através de empilhamento:  Cabo Stack proprietário.  Através de placa de interconexão:  Chassis 14

15 Switches  Interligação de Switchs  Conversores de Mídia Ethernet  Dispositivos utilizados para compatibilizar dois meios físicos diferentes, geralmente de fibra ótica para cabo metálico.  Transceivers Ethernet  Dispositivos hot-swaappable que podem ser plugados a um slot diretamente no switch sem a necessidade de conversão de mídia, ou seja, podem ser utilizados para cascatear switchs via fibra ótica diretamente. 15

16 Equipamentos para Redes  Interfaces de Rede  Na caracterização da placa tem-se: a tecnologia de rede, a velocidade de transmissão, o tipo de barramento do computador e os recursos disponíveis.  Em estações de trabalho geralmente apresentam:  Auto negociação, Remote LAN Wake Up, VLAN, Qos, TCP checksum offload, Flow Control.  Em servidores:  Tolerância a falhas (failover), balanceamento de carga dinâmico (clustering), aggregation e TCP Segmentation/Large Send Offload. 16

17 Servidores  Configurações específicas  Cluster  Conjunto de servidores administrados por um software específico ou hardware e interligados por um switch dedicado de alta velocidade.  Storage  NAS (Network Attached Storage)  SAN (Storage Area Network)  Management  SNMP (Simple Network Management Protocol) 17

18 Normas Técnicas  Internacionais  ANSI/TIA/EIA-568B  Define os principais conceitos do cabeamento estruturado, seus elementos, a topologia, tipos de cabos e tomadas, distâncias e testes de certificação.  ANSI/TIA/EIA-569B  Define a área ocupada pelos elementos do cabeamento estruturado, as dimensões e a taxa de ocupação dos encaminhamentos e construtivas.  ANSI/TIA/EIA-606A  Especifica técnicas e métodos para identificar e gerenciar a infraestrutura de telecomunicações. 18

19 Normas Técnicas  Internacionais  TIA-942  Define a infraestrutura, a topologia e os elementos para o projeto de um data center.  Integra diversas áreas de conhecimento e sistemas de suporte, incluindo:  Construção civil; Elétrica; Ar-Condicionado  Telecomunicações; Gestão; Manutenção  Segurança 19

20 Normas Técnicas  Internacionais  TIA-942  O vídeo a seguir demonstra um estudo de caso sobre um data center construído sobre todas as normas citadas e outras relacionadas:  Data Center UOL Data Center UOL 20

21 Hardware e Periféricos  Introdução  Um ataque pode ser direcionado ao hardware da mesma maneira que um malware afeta o software.  A BIOS é responsável por controlar os diferentes tipos de componentes, tais como disco rígido, vídeo e teclado.  Devido a tais operações vitais para o computador, a BIOS é o primeiro sistema a ser iniciado quando o computador é ligado.  Algumas dicas são de suma importância neste ponto: 21

22 Hardware e Periféricos  BIOS  Inserir senha de “admin”;  Definir a ordem de Boot;  Inserir senha de “user” para notebooks;  Definir a ordem de boot;  Desativar recursos não utilizados como, por exemplo, o Wake on Lan;  Manter o firmware atualizado; 22

23 Hardware e Periféricos  Unidades de Disco  Existe uma concepção errada de que a formatação lógica do disco rígido é algo suficiente para prevenir vazamento de informação.  É necessário ao menos fazer uma formatação de baixo nível utilizando software especialistas como o Disk Wipe ou mais simples como CCleaner.  Existem outros métodos para evitar o furto de dados pós descarte, como: 23

24 Hardware e Periféricos  Unidades de Disco  Sobrescrever os dados  Reescrever os dados com uma sequência de bits 0.  Desmagnetizar os discos  Expor os discos a um campo magnéticos que altera a estrutura original do disco.  Disk Shredding  Destruir fisicamente os discos utilizando um processo de destruição chamado Disk Shredding. 24

25 Hardware e Periféricos  Unidades Removíveis  Há uma série de riscos relacionados ao livre uso de disco removível em um ambiente corporativo, tais como:  Vazamento de informações  Pirataria de software  Softwares maliciosos  Pirataria de mídia  Dual boot  Perda de dados 25

26 Hardware e Periféricos  NAS e SAN  Com o advento desse tipo de tecnologia o gerenciamento dos privilégios de acesso a recursos compartilhados se tornou um desafio à parte para o profissionais de segurança.  ComputaçãoMóvel  Computação Móvel  Podemos citar o abuso do serviço, ponto de partida para ataques, acesso a dados bancários, engenharia social. 26

27 Conceito de Rede Segura  Infraestrutura de rede segura: Intranet Servidores de atualizações Internet Servidor Antivirus Servidor DHCP Servidor DNS Dispositivos IEEE 802.1X Serviço de Diretório (LDAP) Servidores Externos Rede restrita Cliente em quarentena Rede de perímetro

28 Conceito de Rede Segura  Infraestrutura de rede segura: Filial Sede Internet

29 Conceito  Proteção em camadas (ou defense-in-depth)  Depois de descobrir e documentar os riscos que sua organização corre, a próxima etapa é examinar e organizar as proteções que você usará para fornecer uma solução de segurança.  O modelo de segurança de proteção em camadas é um ótimo ponto de partida para essa solução. Esse modelo identifica sete níveis de segurança que devem ser abordados.

30 Conceito  Proteção em camadas (ou defense-in-depth)  As camadas de proteção fornecem uma visão geral do ambiente, área por área, que deve ser levada em conta na criação de uma estratégia de segurança da rede.

31 Conceito  Proteção em camadas (ou defense-in-depth)  As camadas do modelo de segurança da proteção em camadas são: Documentos de segurança, treinamento do usuário Diretivas, procedimentos e conhecimento Segurança física Proteção do SO, autenticação Firewalls Protetores, travas Segmentos de rede, IPsec Proteção de aplicativos, antivírus ACLs, criptografia, EFS Perímetro Rede interna Host Aplicativo Dados

32 Dados  Camada de Dados  Essa camada concentra-se no acesso aos dados organizacionais, como documentos, conteúdo de banco de dados ou informações de cliente.  As possíveis proteções incluem permissões NTFS, permissões de banco de dados e permissões em aplicativos.

33 Dados  Serviços de Diretório  São serviços que provém às organizações controle e segurança à rede de computadores no quesito identidade e acesso, ou seja, a partir da ID de usuário fornecida juntamente com a senha correta o colaborador obtém acesso aos recursos disponíveis ao seu nível de perfil de rede.

34 Dados  Serviços de Diretório  Linux  Protocolo LDAP (SAMBA)  Windows  Protocolo LDAP (Active Directory)

35 Dados  Access control list (ACL)  Contém a lista dos usuários, grupos ou computadores que possuem acesso à um determinado recurso no domínio.  Access control entry(ACE)  É cada registro de usuário, grupo ou computador dentro de uma ACL.

36 Dados  Permissões de arquivo  Permitem acesso à um determinado arquivo, seja local ou via rede, através de uma ACL e ACEs.  Permissões de compartilhamento  Permitem acesso via rede à uma determinada pasta compartilhada.

37 Aplicativo  Camada de Aplicativo  Essa camada concentra-se nos riscos a um aplicativo em execução. Em geral, trata- se de algum tipo de malware que aproveita uma vulnerabilidade em um aplicativo.  As possíveis proteções incluem garantir que as atualizações mais recentes sejam aplicadas aos aplicativos e reduzir o número de aplicativos, se possível.

38 Aplicativo  Antivirus, Antimalware, Antispyware  São ferramentas que mantém o computador livre de malwares, cavalos de tróia, vírus e spywares.  Devem ter a instalação automatizada e o gerenciamento centralizado.  Devem gerar relatório para análise diária.

39 Host  Camada de Host  Essa camada concentra-se nos riscos ao sistema operacional e aos serviços do sistema operacional.  Em geral, trata-se de algum tipo de malware que aproveita uma vulnerabilidade no sistema operacional.  As melhores proteções limitarão os serviços somente a aqueles que são exigidos e aplicarão atualizações de segurança rapidamente.  O Firewall do Windows também pode ser usado para impedir o acesso à rede de executar serviços que não são autorizados.

40 Host  Firewall  É um mecanismo de proteção que controla a passagem de pacotes entre redes, tanto locais como externas.  É um dispositivo que possui um conjunto de regras especificando que tráfego ele permitirá ou negará.  É um dispositivo que permite a comunicação entre redes, de acordo com a política de segurança definida e que são utilizados quando há uma necessidade de que redes com níveis de confiança variados se comuniquem entre si.

41 Rede Interna  Camada de Rede Interna  Essa camada concentra-se nos riscos aos dados na rede interna.  A principal preocupação é o acesso não autorizado aos dados enquanto estes estiverem na rede.  Vários métodos podem ser usados para garantir que os clientes sejam autenticados adequadamente antes de receberem acesso à rede.  Os dados de rede também podem ser criptografados usando o IPSec.

42 Rede Interna  IPSec  O IPSec fornece diversas opções para executar a encriptação e autenticação na camada de rede.  Quando dois nós desejam se comunicar com segurança, eles devem determinar quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).  Após escolher os algoritmos, as chaves de sessão devem ser trocadas.

43 Rede Interna  IPSec  Associação de Segurança é o método utilizado pelo IPSec para lidar com todos estes detalhes de uma determinada sessão de comunicação.  Uma SA representa o relacionamento entre duas ou mais entidades que descreve como estas utilizarão os serviços de segurança para se comunicarem.

44 Rede de Perímetro  Camada de Rede de perímetro  Essa camada concentra-se nos riscos que surgem quando se acessa recursos na rede de perímetro pela Internet.  A configuração do firewall é o principal método de proteção dessa camada, mas outros métodos, como sistema de detecção de invasão, também podem ser usados

45 Segurança Física  Camada de Segurança Física  Essa camada concentra-se no acesso físico a dispositivos e nos riscos associados a esse acesso.  Alguns riscos físicos incluem dispositivos USB com malware e inicialização de sistemas em um sistema operacional alternativo para acesso a dados.

46 Diretivas, procedimentos e reconhecimento  Camada de Diretivas, procedimentos e reconhecimento  Essa camada cerca todas as outras camadas, pois afeta todas elas.  As políticas e os procedimentos que sua organização implementa são essenciais para prevenir riscos à segurança em cada camada.  Além disso, o reconhecimento desses procedimentos e políticas é necessário para garantir que eles sejam seguidos.


Carregar ppt "Dicas em Administração de Redes Monitoradas ENCOSIS III – 2014 MONITORAMENTO DE REDE E SERVIDORES UTILIZANDO O CACTIEZ E SNMP."

Apresentações semelhantes


Anúncios Google