1 / 24

Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ?

Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ?. Marco Antônio Chaves Câmara LOGIC Engenharia Ltda mcamara@logicsoft.com.br. Quem é o Palestrante ?. Marco Antônio Chaves Câmara Engenheiro Eletricista (UFBA); Professor Universidade Católica do Salvador;

vidal
Download Presentation

Segurança, Estabilidade e Desempenho no mesmo backbone : Isto é possível ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Segurança, Estabilidade e Desempenho no mesmo backbone :Isto é possível ? Marco Antônio Chaves Câmara LOGIC Engenharia Ltda mcamara@logicsoft.com.br

  2. Quem é o Palestrante ? Marco Antônio Chaves Câmara • Engenheiro Eletricista (UFBA); • Professor • Universidade Católica do Salvador; • Universidade do Estado da Bahia. • Trabalha com redes desde 1987; • Certificações • CNE e CNI (Novell); • MCP (Microsoft); • Projetista e Instalador (Lucent Technologies) • Diretor técnico da LOGIC Engenharia Salvador - BA. ? ? ? ? ? ?

  3. Requisitos de Segurança em um backbone

  4. Requisitos de Segurança • Separação de Tráfego entre segmentos • Segurança Física • Configuração de Equipamentos • Camada usada na separação de tráfego • Políticas de interligação de segmentos

  5. Separação de Tráfego • Estratégia de VLANs • Por porta • Por endereço MAC • Por protocolo • Por grupos multicast • A VLAN mais segura é a VLAN por porta • Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; • Ataques exigem acesso à segurança física ou de configuração.

  6. Separação de Tráfego • Estratégia de VLANs • Por porta • Por endereço MAC • Por protocolo • Por grupos multicast • A VLAN mais segura é a VLAN por porta • Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; • Ataques exigem acesso à segurança física ou de configuração. • A VLAN é identificada por portas de switch que dela fazem parte; • No caso de HUBs ou switches s/ suporte a VLAN, todos os pontos a ele interligação fazem parte da mesma VLAN; • Exige re-configuração quando ocorre mudança no local de conexão.

  7. Separação de Tráfego • Estratégia de VLANs • Por porta • Por endereço MAC • Por protocolo • Por grupos multicast • A VLAN mais segura é a VLAN por porta • Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; • Ataques exigem acesso à segurança física ou de configuração. • Os endereços MAC são agrupados em “tabelas” de dispositivos de cada VLAN; • Configuração complexa, facilitada por softwares específicos; • Usuário está sempre na sua VLAN, mesmo com mudanças.

  8. Separação de Tráfego • Estratégia de VLANs • Por porta • Por endereço MAC • Por protocolo • Por grupos multicast • A VLAN mais segura é a VLAN por porta • Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; • Ataques exigem acesso à segurança física ou de configuração. • Identifica os participantes • Por tipo de protocolo; • Por endereço de camada de rede • Permite mudanças sem reconfiguração; • Exige switches mais potentes.

  9. Separação de Tráfego • Estratégia de VLANs • Por porta • Por endereço MAC • Por protocolo • Por grupos multicast • A VLAN mais segura é a VLAN por porta • Adaptador de rede em modo “promíscuo” não escuta tráfego alheio; • Ataques exigem acesso à segurança física ou de configuração. • Associada a aplicação, já que determina VLAN pelo grupo de multicast • Multicast tende a ser comum • Participação está associada ao uso da aplicação; • Também exige switches potentes.

  10. Segurança Física • O acesso não autorizado ao rack de equipamentos deve ser evitado • Pontos de Concentração devem ser preferencialmente isolados; • Cuidado com os pontos de concentração fora do CPD; • Invasões não autorizadas podem ser facilmente detectadas • Arrombamentos são visíveis ! • O acesso informal é sempre mais perigoso.

  11. Configuração de Equipamentos • Habilitar senhas de acesso • Determinar claramente os direitos de acesso; • Dificultar o acesso a portas de console • Criar sub-rede específica para configuração de equipamentos; • Documentar cuidadosa-mente os arquivos.

  12. Camada usada na separação de tráfego • Camada 1 • Muito radical, embora implementada; • Camada 2 • Muito segura, envolve implementação baseada em switches • Camada 3 • Muito simples, porém de baixo custo; • Não exige hardware específico • Lembrar da interligação ! Rede Enlace Física

  13. Políticas de Interligação • Executada por equipamentos de camada 3 • Roteadores ou ... • Switches de camada 3 • Deve ser evitada, se possível inclusive banida • Cada VLAN preferencialmente deve ter acesso apenas aos seus próprios recursos. • Recursos compartilhados • Não exigem interligação; • Não devem funcionar como ponte entre VLANs.

  14. SegurançaXPerformance

  15. Dilemas envolvendo Segurança • Além dos problemas enfrentados na própria implementação, alguns dilemas devem ser enfrentados por aqueles que optam pela implementação de uma política de segurança : • Segurança X Custo • Segurança X Gerenciamento • Segurança X Performance

  16. Segurança X Performance • A diferença da camada • Serviços implementados em camadas mais altas são sempre mais lentos; • Alguns julgam as políticas de segurança das camadas mais baixas mais seguras e mais baratas; • O grande problema está na flexibilidade e facilidade de gerenciamento

  17. Segurança X Performance • A diferença do processamento • Exigir do hardware um processamento muito elaborado certamente trará implicações para o desempenho do ambiente • Evitar a utilização do processamento de camada 3, ou melhor, o roteamento (mesmo qdo. este existir); • Filtros de pacotes e firewalls também exigem processamento complementar; • Tabelas também precisam ser pesquisadas e indexadas • VLANs por MAC Address, por exemplo.

  18. Segurança X Performance • A diferença do delay • Quanto mais alta a camada, mais fundo precisamos ir na análise das mensagens (exemplos ethernet !) • Switches de camada 2 podem ler apenas endereços de destino (14bytes); • Switches com VLAN802.1Q precisam ler o tag (20bytes); • Switches de camada 3 precisam abrir o pacote IP (40+bytes); • Filtros de quadro/pacote precisam conferir tudo (1518 bytes). • Capacidade de processamento não interfere neste atraso ...

  19. Estratégias de Implementação

  20. Estratégias de Implementação • Separando os segmentos; • Escolhendo a camada de segmentação; • Gerenciando o tráfego entre segmentos

  21. Separando os segmentos • O melhor é escolher os segmentos por aplicação / servidor • Aplicações/Bases de Dados residem em servidores diferentes; • Tipicamente temos usuários participando simultaneamente de vários segmentos (sobreposição de VLANs). • Segmentação geográfica • Interessante em empresas que dividem o mesmo site ou para separar setores específicos • Exemplo : Área acadêmica e administrativa de uma universidade. • Recursos corporativos normalmente ficam alojados na sobreposição de VLANs • Roteadores WAN, acesso à Internet, servidores etc

  22. Escolhendo a camada • Camada 1 • Sites muito pequenos, sem nenhuma necessidade de comunicação; • Maior segurança possível (embora radical ...). • Camada 2 • Sites de qualquer tamanho, com ou sem necessidade de segmentação; • Envolve custo um pouco maior; • Índice elevado de segurança; • Camada 3 • Sites pequenos, com pequenas necessidades de interligação; • Performance mais baixa e índice relativo de segurança.

  23. Gerenciando tráfego entre segmentos • Um ambiente ideal é o que reduz ao máximo o tráfego entre segmentos; • Instalar recursos corporativos compartilhados apenas em áreas comuns às VLANs; • Limitar a interligação • Pequenos volumes de dados; • Segurança reforçada • Firewalls, filtros de pacotes etc • A queda de desempenho, se acontecer (provável), será localizada.

  24. Dúvidas ? Marco Antônio C. Câmara Tel. (071) 351-2127 FAX (071) 351-1460 email mcamara@logicsoft.com.br

More Related