Administração e segurança de redes Aula 04 Arquitetura de gerenciamento OSI Prof. Diovani Milhorim

Modelo OSI convenção da ISO (International Organization for Standartization), por intermédio do grupo de pesquisa do projeto OSI (Open Systems Interconnection) documento 7498-4 também reconhecido pelo ITU-T (International Telecommunication Union) - recomendações da série X-700 definição de três modelos Modelo Informacional Modelo Funcional Modelo Organizacional

Modelo Informacional define os objetos de gerência (classes, atributos e nomes), as relações e as operações sobre esses objetos utilização de OO objetos com características semelhantes são agrupados em classes de objetos uma classe pode ser uma subclasse de outra, e a primeira herda todas as propriedades da segunda uma classe é definida pelos atributos da classe, pelas ações que podem ser invocadas, pelos eventos que podem ser relatados, pela subclasse a qual ela deriva e pela superclasse na qual ela está contida cada objeto é identificado por uma sequência de números, correspondente aos nós percorridos desde a raiz, até o objeto em questão MIB: necessária para armazenar os objetos gerenciados

Modelo Funcional divisão gerência de redes em cinco áreas descrevendo as funcionalidades de gerência gerência de falhas, gerência de configuração, gerência de desempenho, gerência de contabilidade e gerência de segurança. FCAPS (faults, configuration, accounting, performance, security)

Modelo Organizacional estabelece a hierarquia entre sistemas de gerência em um domínio de gerência, dividindo o ambiente a ser gerenciado em vários domínios dependendo do tamanho e complexidade da rede, sistemas de gerência baseados em um único gerente podem ser inapropriados alto volume de informações que devem ser tratadas e que podem pertencer a localizações geograficamente distantes do gerente necessidade da distribuição da gerência na rede, através da divisão das responsabilidades entre gerentes locais que controlem domínios distintos e da expansão das funcionalidades dos agentes

Modelo Organizacional define a disposição dos gerentes na rede e a distribuição das funções de gerência cada gerente local de um domínio pode prover acesso a um gerente responsável (pessoa que interage com o sistema de gerenciamento) local e/ou ser automatizado para executar funções delegadas por um gerente de mais alto nível, geralmente denominado de Centro de Operações da Rede (NOC - Network Operation Center) NOC: responsável por gerenciar os aspectos interdomínios, tal como um enlace que envolva vários domínios, ou aspectos específicos de um domínio, devido à inexistência de gerente local

CMIP CMIP (Common Management Information Protocol) e CMIS (Commom Management Information Services) - (1991) definidos pela isso como protocolo e serviço de gerenciamento de rede do nível de aplicação do modelo OSI OSF/DME (Open Software Foundation/Distributed Management Environment) objetivo: suporte aos padrões OSI de gerenciamento função: fornecer facilidades que permitam integrar o gerenciamento de sistemas em ambientes heterogêneos, satisfazendo três requisitos básicos de interoperabilidade, consistência e flexibilidade. CMOT – CMIP over TCP/IP (1992)

Gerência de Falhas processo de localização de problemas, ou falhas, na rede e correção das mesmas falha: condição anormal que requer atenção (ou ação) gerencial erro: evento isolado Uma falha é geralmente indicada por imperfeições para operar corretamente ou por erros excessivos.

Gerência de Falhas Passos detecção: descoberta da ocorrência da falha através de um agente polling aos dispositivos (ping) ou notificação de eventos críticos SGR deve alertar o gerente análise e diagnóstico: verificar se a falha é relevante e procurar causa da falha consulta ao estado atual e histórico dos dispositivos resolução: aplicar ações de correção da falha e analisar se a falha desapareceu utilização de dispositivos que permitem reconfiguração

Gerência de Falhas Vantagens aumenta a confiabilidade da rede detecção e recuperação de problemas mais rapidamente evita o comum “apagar incêndios”

Gerência de Falhas Definição das falhas de interesse falhas possuem prioridades diferentes depende do impacto da falha (ex. queda de link interno da organização vs externo) nem todos eventos reportados são falhas necessária a filtragem de eventos tamanho da rede pode limitar o número de eventos para análise pequena: gerência completa de todos os dispositivos média: gerência apenas dos eventos críticos de cada dispositivo grande: gerência dos eventos críticos para alguns dispositivos

Gerência de Configuração processo de identificação, localização e configuração dos dispositivos críticos da rede Vantagens aumenta o controle sobre a configuração dos dispositivos de rede acesso mais rápido às informações permite a atualização de configurações de maneira mais eficiente

Gerência de Configuração Passos obter informações sobre o ambiente atual da rede processo de “automapping” permitir a busca de dispositivos utilização dos dados para reconfiguração dos dispositivos de rede deve permitir a recuperação de configurações anteriores gerar advertências para configurações inadequadas armazenamento dos dados arquivos texto ou SGBD geração de relatórios configuração completa modificações recentes

Gerência de Contabilidade mede a utilização dos recursos da rede de modo a estabelecer métricas, verificar quotas, determinar custos e taxar os usuários o levantamento do perfil de uso dos recursos permite revelar possíveis abusos de privilégio no uso dos mesmos, auxiliando a melhoria de desempenho e o planejamento de capacidade da rede Vantagens habilita a medição e documentação de informações de contabilização permite entender o comportamento de usuários auxilia na determinação de onde recursos devem ser alocados e o custo-benefício de novas tecnologias

Gerência de Contabilidade Passos obter dados de utilização dos recursos da rede usar métricas para ajudar a definir quotas de uso definição de métricas para contabilização: número de transações, número de conexões... RFC 1272 - Internet Accounting Background repartição justa dos recursos: definição de quotas para usuários ou grupos de usuários se a quota for excedida pode-se cobrar mais caro pelo uso do recurso

Gerência de Contabilidade Passos (cont.) taxar os usuários pelo uso da rede utilização de política instalação e taxa mensal fixa número total de transações realizadas, bytes recebidos/enviados, etc utilização de extratos para os usuários planejamento previsões sobre a necessidade de mais recursos previsão sobre utilização de usuário (ou grupo de usuários) dados históricos e tendência corrente de uso

Gerência de Desempenho medição do desempenho de software e hardware da rede visando assegurar que a rede esteja sempre acessível e com recursos disponíveis pode ser utilizado para antecipar problemas iminentes, dada uma possível degradação dos indicadores de desempenho permite estabelecer limiares de comportamento permitidos para cada componente, e emite notificações para motivar uma ação, quando esses valores forem atingidos Vantagens: auxilia no oferecimento de um nível de serviço satisfatório aos usuários monitoração da utilização dos dispositivos de rede e links ajuda no planejamento de capacidade da rede

Gerência de Desempenho Passos coleta de dados sobre a utilização dos serviços, dispositivos e links coleta de dados em tempo real dispositivos com métricas diferentes utilização de histórico (logs) análise dos dados relevantes apresentação dos dados em tempo real resultado das medidas mostrados em gráficos (histórico)

Gerência de Desempenho Passos (cont.) definição de limites de utilização valor limite (threshold) usado para a geração de eventos (alarmes) simulação da rede verificar o comportamento da rede em eventuais mudanças identificação de possíveis melhorias antes de se adquirir novos equipamentos e/ou software previsão de condições críticas de uso auxílio em capacity planning – teste de cenários

Gerência de Segurança controle de acesso às informações na rede envolve a proteção de dados sensíveis dos dispositivos de rede através do controle de acesso aos pontos onde tais informações se localizam realiza a identificação dos pontos de acesso e manutenção destes sob constante vigilância, informando inclusive as tentativas de acesso indevido para uma ação preventiva organiza a segurança de informações sensíveis em relação necessidade de acesso dos usuários. devem limitar o acesso e notificar o ER em caso de brechas na segurança

Gerência de Segurança Vantagens Segurança Gerência de Segurança eliminar o acesso a informações sensíveis através da rede de comunicação de dados Solução drástica e não prática Gerência de Segurança oferecimento de uma alternativa prática, para transferência e armazenamento de informações

Gerência de Segurança Passos identificação das informações sensíveis definidas pela política da empresa identificação das máquinas que guardam tais informações identificação dos pontos de acesso conexão física, login remoto (Telnet), transferência de arquivos (FTP), correio eletrônico (e-mail), execução remota de processos (rsh), servidores de diretórios e arquivos qualquer serviço de rede é uma porta de entrada. prover segurança para os pontos de acesso pode ser implantada em várias camadas da rede

Gerência de Segurança Criptografia, na camada de enlace de dados Codificação da informação Indicada quando o meio é compartilhado Algoritmos de chave privada mesma chave para codificação e decodificação chave deve ser trocada periodicamente. Algoritmos de chave pública chaves com duas partes: uma privada e outra pública codificação feita com chave pública e decodificação com chave privada. DES (Data Encryption Standard) SNMPv2 usa algoritmo de chave pública

Gerência de Segurança Filtros de pacotes, na camada de rede permite que pacotes passem (ou não) pelo DR, dependendo de seu endereço DR deve ser configurado mudanças no endereço da fonte pode atrapalhar o funcionamento do filtro. Ex: Endereço MAC de placa de rede Ex: Programas que permitem alterar endereço MAC

Gerência de Segurança Autenticação, na camada de aplicação Autenticação de Host permite o acesso a um serviço baseado no identificador do host xhosts +athenas Informação de identificação do host pode ser facilmente alterada Autenticação de usuário identificação do usuário antes de permitir acesso. Uso de senha formato texto senhas fáceis (mnemônicas) Uso de criptografia para senhas Secure Shell (SSH) Uso de senhas descartáveis se for roubada não poderá ser usada.

Gerência de Segurança Autenticação, na camada de aplicação (cont.) Autenticação de chave. Provê autenticação de usuário e de host em conjunto. Servidor de chaves acesso remoto só pode ser feito com uma chave válida servidor autentica fonte (usuário e host) e gera a chave para aquela transação. Kerberos, (MIT - Massachusetts Institute of Technology).

Gerência de Segurança Passos (cont.) manter a segurança dos pontos de acesso localização de brechas atuais ou potenciais na segurança programas geradores de senhas e chaves de criptografia programas de ataques lançando desafios a hackers monitoração em tempo real dos pontos de acesso interação com a interface gráfica para geração de avisos e alarmes tentativas de acessos não autorizados tentativas sucessivas “inteligência” para analisar o registro de eventos.

Gerência de Segurança Passos (cont.) análise das conseqüências das medidas de segurança restrição de tráfego desempenho dos DR