CONTROLE DE REDE
Prof. José Augusto Suruagy Monteiro
2


Capítulo 3 de William Stallings. SNMP, SNMPv2,
SNMPv3, and RMON 1 and 2, 3rd. Edition.
Addison-Wesley, 1999.
Baseado em slides do Prof. Chu-Sing Yang
(Department of Electrical Engineering – National
Cheng Kung University)
Roteiro
3



Introdução
Controle de Configuração
Controle de Segurança
Introdução
4


Controle de rede está relacionado com a modificação
de parâmetros e em causar ações a serem executadas
pelos sistemas finais, sistemas intermediários e pelas
sub-redes
FCAPS envolve tanto a monitoração como o controle

Monitoração de rede
Monitoração de desempenho
 Monitoração de falha
 Monitoração de contabilização


Ênfase em controle de rede
Controle de configuração
 Controle de segurança

Roteiro
5



Introdução
Controle de Configuração
Controle de Segurança
Gerenciamento de configuração
6


Está relacionado com a inicialização, manutenção e desligamento de
componentes individuais e subsistemas lógicos dentro da configuração total
dos recursos de computação e comunicação de uma instalação
Dita o processo de inicialização através da identificação e especificação
das características dos recursos de rede que constituirão a “rede”



Especifica valores iniciais ou default para os atributos


Recursos físicos identificáveis (ex., servidor ou roteador)
Objetos lógicos de baixo nível (ex. temporizador de retransmissão da camada
de transporte)
Recursos gerenciados operam nos estados desejados, possuem os valores
adequados dos parâmetros e formam o relacionamento desejado com outros
componentes
Enquanto a rede estiver em operação, CM é responsável por monitorar a
configuração e realizar mudanças em resposta a comandos do usuário ou
em resposta a outras funções de gerenciamento de redes


PM detecta que o tempo de resposta está degradando
FM detecta e isola a falha
Funções do Gerenciamento de
Configurações
7







Define a informação de configuração
Atribui e modifica valores de atributos
Define e modifica relacionamentos
Inicializa e encerra operações da rede
Distribui software
Examina valores e relacionamentos
Relata o status de configuração
Monitoração de configuração
8

Examina valores e relacionamentos
 Através
de uma interação de consulta-resposta, o
gerente examina a informação de configuração
mantida pela estação agente

Relata o status de configuração
 Através
de relatórios de eventos, um agente relata
uma mudança de status para um gerente
Informação de configuração
9


Descreve a natureza e o status de recursos de interesse
para o gerenciamento da rede
Inclui uma especificação dos recursos sob
gerenciamento e os atributos destes recursos

Recursos de rede

Recursos físicos


Recursos lógicos


Sistemas finais, roteadores, switches, bridges, recursos e serviços de
comunicação, meios de comunicação, modems
Temporizadores, contadores e circuitos virtuais
Atributos

Nome, endereço, número de ID, características operacionais,
número de versão do software, nível de release
Informação de configuração
10

Como uma lista simples estruturada de campos de dados



Cada campo contém um único valor
Abordagem SNMP
Como um banco de dados orientado a objetos

Cada elemento é representado por um ou mais objetos


Cada objeto contém atributos cujos valores refletem as características dos elementos
representados
Um objeto pode também conter comportamentos




Notificações são emitidas se ocorrerem certos eventos relacionados com o elemento
Usa relacionamentos de “containment” e herança entre objetos
Abordagem do gerenciamento de rede OSI
Como um banco de dados relacional


Campos individuais do banco de dados contêm valores que refletem as
características dos elementos de rede
A estrutura do banco de dados reflete os relacionamentos entre os elementos
de rede
Função de controle de erro
11

Permite ao usuário especificar a faixa e tipo dos valores
que podem ser atribuídos aos atributos especificados de um
recurso em um agente em particular




A faixa pode ser uma lista de todos os estados possíveis
Os limites inferior e superior permitidos para parâmetros e
atributos
O tipo do valor permitido para um atributo pode ser também
especificado
Define novos tipos de objetos ou tipos de elementos de
dados a depender do tipo do banco de dados

Define novos objetos on-line a ser criados nos agentes e proxies
apropriados
Atribui e modifica valores de atributos
12


Função de controle de configuração permite a um
gerente atribuir e modificar valores de atributos
remotamente em agentes e proxies
Duas limitações
 Preocupação
com segurança: um gerente deve estar
autorizado
 Alguns atributos refletem a realidade em um recurso, e
não podem ser modificados remotamente
 Número
de portas em um roteador
Modificação de atributo
13

Apenas atualização da base de dados



Atualização da base de dados e modificação do recurso



Gerente emite um comando de modificação para um agente para que
este modifique um ou mais valores na base de dados de configuração
Gerente muda a informação de contato
Um comando de modificação atualiza valores do BD de configuração e
afeta um recurso associado
Muda o atributo de estado de uma porta física para desabilitado
(disabled)
Atualização da base de dados e ação



Alguns NMSs não possuem “comandos de ação” diretos
Atribui parâmetros no BD para iniciar uma determinada ação
Gerente seta parâmetro de reinicialização para “V”

Durante a reinicialização, o parâmetro é setado para “F” e o roteador é
reinicializado
Define e modifica relacionamentos
14

Descreve uma associação, conexão ou condição que
existe entre recursos ou componentes de rede
Uma topologia, hierarquia, uma conexão física ou lógica
 Um domínio de gerenciamento

É um conjunto de recursos que compartilham um conjunto comum
de atributos de gerenciamento
 Ou um conjunto de recursos comuns compartilhando a mesma
autoridade de gerenciamento


Permitida a modificação on-line dos recursos

O usuário pode adicionar, deletar e modificar os
relacionamentos entre os recursos de rede
Inicializa e encerra operações da rede
15

CM inclui mecanismos que permitem os usuários
inicializar e encerrar a operação da rede ou da subrede

Inicialização
Verifica que todos os atributos e relacionamentos de recursos
foram apropriadamente setados
 Notifica usuários sobre qualquer recurso, atributo ou
relacionamento que ainda precisa ser setado
 Valida comandos de inicialização de usuários


Encerramento

Permite aos usuários solicitar a recuperação de estatísticas, blocos
ou informações de status especificados antes que os
procedimentos de encerramento sejam completados.
Distribui software
16

CM provê a capacidade de distribuir software através da
configuração do sistema final e de sistemas intermediários




A função de distribuição de software inclui software executável,
tabelas e outros dados que guiam o comportamento de um nó


Permite a solicitação de carga de software
Transmite a versão especificada do software
Atualiza a configuração dos sistemas de rastreamento
Tabelas de roteamento usadas pelos roteadores
O usuário necessita mecanismos para examinar, atualizar e
gerenciar diferentes versões de software e informação de
roteamento

Usuários podem especificar a carga de diferentes versões de software
ou tabelas de roteamento baseados numa condição particular

Taxa de erros
Roteiro
17



Introdução
Controle de Configuração
Controle de Segurança
Controle de Segurança
18

Segurança computacional


Conjunto de ferramentas projetadas para proteger os
dados e bloquear hackers
Segurança de rede
Usa os recursos de rede e de comunicação para transportar
dados entre o terminal do usuário e o computador
 Necessita proteger os dados durante a sua transmissão


Gerenciamento de segurança

Lida com a provisão de segurança tanto computacional
como de rede para recursos sob seu gerenciamento

Inclui o próprio NMS
Requisitos de segurança
19

Sigilo

Informação no sistema computacional pode ser acessível
apenas para leitura por parceiros autorizados


Impressão, apresentação
Integridade
Recursos do sistema computacional podem ser modificados
apenas por parceiros autorizados
 Modificação inclui escrita, modificação, descarte, criação


Disponibilidade

Recursos computacionais estão disponíveis para os parceiros
autorizados
Tipos de Ameaças
20

Fluxo normal

Interrupção

Um recurso do sistema é
destruído, se torna
indisponível ou inutilizável
Ameaça à disponibilidade
 Destrói uma peça de
hardware, corta uma linha de
comunicação, desabilita o
sistema de gerenciamento de
arquivos

Tipos de Ameaças
21

Interceptação:

Parceiros não autorizados
ganham acesso a um dado
conteúdo


É uma ameaça ao sigilo
Parceiro não autorizado pode
ser uma pessoa, um programa
ou um computador

Modificação:

Parceiros não autorizados não
apenas ganham acesso, mas
modificam um conteúdo


É uma ameaça à integridade
Modifica valores em um
arquivo de dados, altera um
programa para executar de
forma diferente e modifica o
conteúdo de mensagens sendo
transmitidas pela rede
Tipos de Ameaças
22

Fabricação
 Um
parceiro não autorizado insere objetos falsificados
no sistema
É
uma ameaça à integridade
 Insere mensagens espúrias em uma rede ou adiciona
registros em um arquivo
Recursos e Ameaças de Segurança
23
Recursos e Ameaças de Segurança
24
Disponibilidade
Sigilo
Integridade
Hardware
Equipamento é roubado
ou desabilitado
negando, portanto,
serviço
---
---
Software
Programas são
deletados, negando
acesso aos usuários
É realizada uma cópia
não autorizada do
software
Um programa é modificado
para que falhe durante a
execução ou execute alguma
tarefa não esperada
Dados
Arquivos são deletados,
negado acesso aos
usuários
É realizada uma leitura
de dados não
autorizada. Uma análise
de dados estatísticos
revela dados subjacentes
Arquivos existentes são
modificados ou novos
arquivos são fabricados
Enlaces de
comunicação
Mensagens são
destruídas ou
descartadas. Enlaces de
comunicação ou redes
ficam indisponíveis
Mensagens são lidas. É
observado o padrão de
tráfego de mensagens
Mensagens são modificadas,
atrasadas, reordenadas ou
duplicadas. Mensagens
falsas são fabricadas.
Ameaças aos Sistemas Computacionais
25

Ameaças ao hardware




Inclui dano acidental deliberado ao equipamento assim como
roubo
Necessita medidas de segurança física e administrativa
Afeta a disponibilidade
Ameaças ao software



SO, programas utilitários e aplicações são o que tornam o
hardware dos sistemas computacionais útil para empresas e
indivíduos
Software pode ser deletado, alterado ou danificado
Modificação no software pode fazer com que o programa ainda
funcione mas se comporte de forma diferente do eu antes



Vírus de computador e ataques relacionados
Sigilo de software
Afetam Disponibilidade, sigilo e integridade
Ameaças aos Dados
26

Disponibilidade
 Destruição

dos arquivos de dados
Sigilo
 Leitura
não autorizada de arquivos ou bancos de
dados
 Análise de dados e uso de base de dados estatísticos
que provê informação agregada

Integridade
 Uma
grande preocupação em muitas instalações
Ameaças de Segurança Ativas e
Passivas
27

Ameaças passivas
 Acesso
ao conteúdo de mensagens
 Análise de tráfego

Ameaças ativas
 Interrupção
(disponibilidade)
 Modificação (integridade)
 Fabricação (integridade)
Ameaças Passivas
28
São a natureza das escutas ou monitoração de
transmissões
 Acesso ao conteúdo de mensagens


Conversas telefônicas, e-mail, arquivos
Análise de tráfego
O atacante identifica a localização e a identidade dos
hosts comunicantes
 Observa a frequência e o comprimento das mensagens
trocadas
 Pode ser útil para adivinhar a comunicação


São muito difíceis de serem detectadas
Ameaças Ativas
29
Envolve alguma modificação no fluxo de dados ou a criação de um
fluxo falso
 Modificação de um fluxo de mensagens


Algumas partes de mensagens legítimas são alteradas, ou as mensagens
são atrasadas, reproduzidas, ou reordenadas, de modo a produzir um
efeito não autorizado
Negação de serviço de mensagem


Previne ou inabilita o uso ou gerenciamento normal dos recursos de
comunicação
Interrompe toda a rede



Desabilitando a rede
Sobrecarregando a rede com mensagens que degradam o desempenho
Falsidade Ideológica (Mascaramento)

Uma entidade se faz passar por uma outra


Inclui uma das outras duas formas de ataque ativo
Captura e reproduz uma sequência de autenticação
Ameaças ao NMS
30

Mascaramento do usuário


Mascaramento do gerente da rede


Um usuário que não está autorizado a executar funções de
gerência de rede pode tentar acessar aplicação e
informação de gerência de rede
Um computador pode se disfarçar de estação de gerência
da rede
Interferência na comunicação entre gerente e agente

Observa o tráfego do protocolo gerente-agente para
extrair informações de gerência sensíveis

Modifica o tráfego para interromper a operação do agente ou
dos recursos gerenciados
Funções da Gerência de Segurança
31


Os recursos de segurança de um sistema ou de uma
rede de sistemas consiste de um conjunto de
serviços e mecanismos de segurança
Foco no gerenciamento dos recursos de segurança
 Manutenção
de informação de segurança
 Controle do serviço de acesso a recursos
 Controle do processo de encriptação
Manutenção de informação de
segurança
32

Informação de segurança


Inclui chaves, informação de autenticação, informação de direitos de
acesso e parâmetros de operação de serviços e mecanismos de
segurança
Funções







Registro de eventos, e manutenção e exame de registros de segurança
Monitoração de rastros de auditoria de segurança
Monitoração de uso e usuários de recursos relacionados com segurança
Relato de violações de segurança
Recepção de notificação de violações de segurança
Manutenção de cópias de backup para todos ou parte dos arquivos
relacionados com segurança
Manutenção de perfis gerais dos usuários de rede, e perfis de uso para
recursos específicos, para permitir referências para conformidade com
perfis de segurança designados
Controle do serviço de acesso a
recursos
33

Controle de acesso é um serviço central para os recursos de
segurança




Autenticação
Autorização
Decisão para garantir ou recusar acesso a recursos específicos
Protege uma larga faixa de recursos de rede






Códigos de segurança
Roteamento pela origem e informação de registro de rotas
Diretórios
Tabelas de roteamento
Níveis de limiares de alarmes
Tabelas de contabilização
Controle do serviço de acesso a
recursos
34

Gerenciamento de segurança gerencia o serviço de
controle de acesso
 Mantém
perfis gerais dos usuários da rede e perfis de
uso para recursos específicos
 Atribui prioridades de acesso
 Permitem que o usuário
 Crie/descarte
objetos relacionados com segurança
 Modifique atributos ou estado
 Afete os relacionamentos entre os objetos de segurança
Controle do processo de encriptação
35
O gerenciamento de segurança
 Encripta (codifica) qualquer troca de mensagens
entre gerentes e agentes
 Facilita o uso de encriptação por outras entidades
de rede
 Determina os algoritmos de criptografia
 Provê a distribuição de chaves