MONITORAMENTO DE REDE E SERVIDORES UTILIZANDO O CACTIEZ E SNMP
Dicas em Administração de
Redes Monitoradas
ENCOSIS III – 2014
Componentes de uma Rede

O Cabeamento

O sistema de cabeamento (cabling) é a infraestrutura básica para a
implantação do caminho físico necessário para a transmissão de sinais
entre dois ou mais dispositivos.

Esse caminho é responsável pela integridade das informações sendo
composto principalmente por: tomadas, pacth panels, cordões de
manobra e os componentes que protegem mecanicamente os cabos.
2
Componentes de uma Rede

O Cabeamento

Pesquisas revelam que mais de 85% dos problemas em redes estão
relacionados à falta de projeto específico de cabeamento e à má
qualidade dos componentes e serviços empregados em sua
implementação.

A Furukawa possui um treinamento de boas práticas de cabeamento
estruturado:

Boas Práticas de Instalação em Cabeamento Estruturado_Minuta da
Rev.5.2 - Shortcut.lnk
3
Componentes de uma Rede

O Hardware de Rede

É o conjunto de equipamentos necessários para a implantação de uma
rede de dados. Os principais equipamentos são:

Servidores e estações de trabalho;

Impressoras, plotters e scanners de rede;

Placas de rede (metálico, fibra ou wireless);

Hubs e switchs (L2, L3, L4, gerenciáveis ou não).
4
Componentes de uma Rede

O Software

É comum encontrarmos profissionais tendenciosos a sistemas
operacionais, vamos agora conversar sobre esse assunto:

Qual o melhor SO do mercado? E porque?
5
Componentes de uma Rede

O Software

O fato é que existem conceitos que transcendem o fabricante do sistema
operacional.

O importante é possuir tais conceitos bem claros para entender como um
determinado sistema funciona, quais recursos permitem implementar uma
configuração mais segura e quais são suas potenciais vulnerabilidades.

Por mais que o SO ofereça recursos que permitam uma configuração
segura, cabe ao administrador mantê-las.
6
Componentes de uma Rede

Switches

Existem diversos tipos de switches, com características diferentes como
número de portas, velocidades, recursos de gerenciamento e valor de
mercado.

Atualmente o mercado subdividiu os modelos em:


Switches de Acesso – Conectam estações de trabalho.

Switches de Distribuição – Conectam Switches de Acesso.

Switches Core – Conectam Switches de Distribuição.
Obs.: Também existem os Switches Topo de Rack.
7
Componentes de uma Rede

Switches

O Switch constrói uma tabela de endereços MAC relacionada a cada porta,
conhecida como SAT.

Sempre que um endereço não é encontrado na SAT, é realizado um
broadcast em todas as portas sobre ele. Esse procedimento é conhecido
como flooding.

Existem ataques internos à rede, nos quais um programa provoca uma
quantidade enorme de pacotes de broadcast, forçando os switches a
operarem repetindo os pacotes por todas as suas portas.
8
Switches

Broadcast storm

Acontece quando a quantidade de broadcasts consome quase toda a
banda disponível no switch.

Alguns equipamentos possuem o recursos de descartar (drop) os quadros
quando o broadcast consome mais de 25% da banda disponível.

É altamente recomendável que seja habilitado em todos os switches da
rede.
9
Switches

Trunk ou Link Aggregation

O Trunk ou Link Aggregation (IEEE802.3ad) possibilita a união de várias
interfaces físicas (portas) para formar uma única interface lógica,
geralmente de 2 a 8 portas.

Pode ser configurada de forma estática (porta a porta) ou de forma
dinâmica via protocolo LACP.

Quando utilizado aumenta a disponibilidade da informação e geralmente o
desempenho na velocidade de entrega dos dados.
10
Switches

Virtual LAN (VLAN)

Padronizada pelo IEEE802.1Q é um conceito baseado na criação de uma
rede virtual em que um conjunto de dispositivos é associado a um grupo
(VLAN) e assim participam deste segmento lógico independente, podendo
estar conectados fisicamente no mesmo switch ou não.

Restringe o tráfego, independe da rede física e proporciona
confidencialidade dos dados dentro da VLAN.
11
Switches

Spanning Tree

O (IEEE802.1d) é um protocolo que gerencia os links entre os switches, de
tal forma que prevê redundância e evita a ocorrência de loops.

O protocolo que gerencia este recursos é o STP (Spanning Tree Protocol).
12
Switches

Controle de acesso

O (IEEE802.1x) estabelece uma ligação ponto-a-ponto, na qual o usuário,
deve solicitar autorização ao autenticador para ter acesso a uma porta do
switch.

O servidor RADIUS examina as credenciais fornecidas pelo autenticador a
partir do suplicante e provê a autenticação do serviço e pode ter como
base de dados um diretório como o LDAP ou o Active Directory.
13
Switches

Interligação de Switchs


Através de cascateamento:

Cabo metálico;

Cabo de fibra ótica;

Conversores de mídia ou transceivers (SFP).
Através de empilhamento:


Cabo Stack proprietário.
Através de placa de interconexão:

Chassis
14
Switches

Interligação de Switchs

Conversores de Mídia Ethernet


Dispositivos utilizados para compatibilizar dois meios físicos
diferentes, geralmente de fibra ótica para cabo metálico.
Transceivers Ethernet

Dispositivos hot-swaappable que podem ser plugados a um slot
diretamente no switch sem a necessidade de conversão de mídia, ou
seja, podem ser utilizados para cascatear switchs via fibra ótica
diretamente.
15
Equipamentos para Redes

Interfaces de Rede

Na caracterização da placa tem-se: a tecnologia de rede, a velocidade de
transmissão, o tipo de barramento do computador e os recursos
disponíveis.

Em estações de trabalho geralmente apresentam:


Auto negociação, Remote LAN Wake Up, VLAN, Qos, TCP checksum
offload, Flow Control.
Em servidores:

Tolerância a falhas (failover), balanceamento de carga dinâmico
(clustering), aggregation e TCP Segmentation/Large Send Offload.
16
Servidores

Configurações específicas

Cluster



Conjunto de servidores administrados por um software específico ou
hardware e interligados por um switch dedicado de alta velocidade.
Storage

NAS (Network Attached Storage)

SAN (Storage Area Network)
Management

SNMP (Simple Network Management Protocol)
17
Normas Técnicas

Internacionais

ANSI/TIA/EIA-568B


ANSI/TIA/EIA-569B


Define os principais conceitos do cabeamento estruturado, seus
elementos, a topologia, tipos de cabos e tomadas, distâncias e testes
de certificação.
Define a área ocupada pelos elementos do cabeamento estruturado,
as dimensões e a taxa de ocupação dos encaminhamentos e
construtivas.
ANSI/TIA/EIA-606A

Especifica técnicas e métodos para identificar e gerenciar a
infraestrutura de telecomunicações.
18
Normas Técnicas

Internacionais

TIA-942


Define a infraestrutura, a topologia e os elementos para o projeto de
um data center.
Integra diversas áreas de conhecimento e sistemas de suporte, incluindo:

Construção civil; Elétrica; Ar-Condicionado

Telecomunicações; Gestão; Manutenção

Segurança
19
Normas Técnicas

Internacionais

TIA-942

O vídeo a seguir demonstra um estudo de caso sobre um data center
construído sobre todas as normas citadas e outras relacionadas:

Data Center UOL
20
Hardware e Periféricos

Introdução

Um ataque pode ser direcionado ao hardware da mesma maneira que um
malware afeta o software.

A BIOS é responsável por controlar os diferentes tipos de componentes,
tais como disco rígido, vídeo e teclado.

Devido a tais operações vitais para o computador, a BIOS é o primeiro
sistema a ser iniciado quando o computador é ligado.

Algumas dicas são de suma importância neste ponto:
21
Hardware e Periféricos

BIOS

Inserir senha de “admin”;

Definir a ordem de Boot;

Inserir senha de “user” para notebooks;

Definir a ordem de boot;

Desativar recursos não utilizados como, por exemplo, o Wake on Lan;

Manter o firmware atualizado;
22
Hardware e Periféricos

Unidades de Disco

Existe uma concepção errada de que a formatação lógica do disco rígido é
algo suficiente para prevenir vazamento de informação.

É necessário ao menos fazer uma formatação de baixo nível utilizando
software especialistas como o Disk Wipe ou mais simples como CCleaner.

Existem outros métodos para evitar o furto de dados pós descarte, como:
23
Hardware e Periféricos

Unidades de Disco

Sobrescrever os dados


Desmagnetizar os discos


Reescrever os dados com uma sequência de bits 0.
Expor os discos a um campo magnéticos que altera a estrutura original
do disco.
Disk Shredding

Destruir fisicamente os discos utilizando um processo de destruição
chamado Disk Shredding.
24
Hardware e Periféricos

Unidades Removíveis

Há uma série de riscos relacionados ao livre uso de disco removível em um
ambiente corporativo, tais como:

Vazamento de informações

Pirataria de software

Softwares maliciosos

Pirataria de mídia

Dual boot

Perda de dados
25
Hardware e Periféricos

NAS e SAN


Com o advento desse tipo de tecnologia o gerenciamento dos privilégios
de acesso a recursos compartilhados se tornou um desafio à parte para o
profissionais de segurança.
Computação Móvel

Podemos citar o abuso do serviço, ponto de partida para ataques, acesso a
dados bancários, engenharia social.
26
Conceito de Rede Segura

Infraestrutura de rede segura:
Serviço de
Diretório
(LDAP)
Dispositivos
IEEE 802.1X
Servidores
Externos
Servidor DNS
Internet
Rede de
perímetro
Servidor DHCP
Intranet
Servidor
Antivirus
Rede restrita
Servidores de
atualizações
Cliente em
quarentena
Conceito de Rede Segura

Infraestrutura de rede segura:
Filial
Sede
Internet
Conceito

Proteção em camadas (ou defense-in-depth)

Depois de descobrir e documentar os riscos que sua organização corre, a próxima
etapa é examinar e organizar as proteções que você usará para fornecer uma
solução de segurança.

O modelo de segurança de proteção em camadas é um ótimo ponto de partida para
essa solução. Esse modelo identifica sete níveis de segurança que devem ser
abordados.
Conceito

Proteção em camadas (ou defense-in-depth)

As camadas de proteção fornecem uma visão geral do ambiente, área por área, que
deve ser levada em conta na criação de uma estratégia de segurança da rede.
Conceito

Proteção em camadas (ou defense-in-depth)

As camadas do modelo de segurança da proteção em camadas são:
Dados
ACLs, criptografia, EFS
Aplicativo
Proteção de aplicativos, antivírus
Host
Proteção do SO, autenticação
Rede interna
Segmentos de rede, IPsec
Perímetro
Firewalls
Segurança física
Diretivas, procedimentos e
conhecimento
Protetores, travas
Documentos de segurança,
treinamento do usuário
Dados

Camada de Dados

Essa camada concentra-se no acesso aos dados organizacionais, como documentos,
conteúdo de banco de dados ou informações de cliente.

As possíveis proteções incluem permissões NTFS, permissões de banco de dados e
permissões em aplicativos.
Dados

Serviços de Diretório

São serviços que provém às organizações controle e segurança à rede de
computadores no quesito identidade e acesso, ou seja, a partir da ID de usuário
fornecida juntamente com a senha correta o colaborador obtém acesso aos
recursos disponíveis ao seu nível de perfil de rede.
Dados

Serviços de Diretório

Linux


Protocolo LDAP (SAMBA)
Windows

Protocolo LDAP (Active Directory)
Dados

Access control list (ACL)


Contém a lista dos usuários, grupos ou computadores que possuem acesso à um
determinado recurso no domínio.
Access control entry(ACE)

É cada registro de usuário, grupo ou computador dentro de uma ACL.
Dados

Permissões de arquivo


Permitem acesso à um determinado arquivo, seja local ou via rede, através de uma
ACL e ACEs.
Permissões de compartilhamento

Permitem acesso via rede à uma determinada pasta compartilhada.
Aplicativo

Camada de Aplicativo

Essa camada concentra-se nos riscos a um aplicativo em execução. Em geral, tratase de algum tipo de malware que aproveita uma vulnerabilidade em um aplicativo.

As possíveis proteções incluem garantir que as atualizações mais recentes sejam
aplicadas aos aplicativos e reduzir o número de aplicativos, se possível.
Aplicativo

Antivirus, Antimalware, Antispyware

São ferramentas que mantém o computador livre de malwares, cavalos de tróia,
vírus e spywares.

Devem ter a instalação automatizada e o gerenciamento centralizado.

Devem gerar relatório para análise diária.
Host

Camada de Host

Essa camada concentra-se nos riscos ao sistema operacional e aos serviços do
sistema operacional.

Em geral, trata-se de algum tipo de malware que aproveita uma vulnerabilidade no
sistema operacional.

As melhores proteções limitarão os serviços somente a aqueles que são exigidos e
aplicarão atualizações de segurança rapidamente.

O Firewall do Windows também pode ser usado para impedir o acesso à rede de
executar serviços que não são autorizados.
Host

Firewall

É um mecanismo de proteção que controla a passagem de pacotes entre redes,
tanto locais como externas.

É um dispositivo que possui um conjunto de regras especificando que tráfego ele
permitirá ou negará.

É um dispositivo que permite a comunicação entre redes, de acordo com a política
de segurança definida e que são utilizados quando há uma necessidade de que
redes com níveis de confiança variados se comuniquem entre si.
Rede Interna

Camada de Rede Interna

Essa camada concentra-se nos riscos aos dados na rede interna.

A principal preocupação é o acesso não autorizado aos dados enquanto estes
estiverem na rede.

Vários métodos podem ser usados para garantir que os clientes sejam autenticados
adequadamente antes de receberem acesso à rede.

Os dados de rede também podem ser criptografados usando o IPSec.
Rede Interna

IPSec

O IPSec fornece diversas opções para executar a encriptação e
autenticação na camada de rede.

Quando dois nós desejam se comunicar com segurança, eles devem
determinar quais algoritmos serão usados (se DES ou IDEA, MD5 ou SHA).

Após escolher os algoritmos, as chaves de sessão devem ser trocadas.
Rede Interna

IPSec

Associação de Segurança é o método utilizado pelo IPSec para lidar com todos
estes detalhes de uma determinada sessão de comunicação.

Uma SA representa o relacionamento entre duas ou mais entidades que descreve
como estas utilizarão os serviços de segurança para se comunicarem.
Rede de Perímetro

Camada de Rede de perímetro

Essa camada concentra-se nos riscos que surgem quando se acessa recursos na rede
de perímetro pela Internet.

A configuração do firewall é o principal método de proteção dessa camada, mas
outros métodos, como sistema de detecção de invasão, também podem ser usados
Segurança Física

Camada de Segurança Física

Essa camada concentra-se no acesso físico a dispositivos e nos riscos associados a
esse acesso.

Alguns riscos físicos incluem dispositivos USB com malware e inicialização de
sistemas em um sistema operacional alternativo para acesso a dados.
Diretivas, procedimentos e
reconhecimento

Camada de Diretivas, procedimentos e reconhecimento

Essa camada cerca todas as outras camadas, pois afeta todas elas.

As políticas e os procedimentos que sua organização implementa são essenciais
para prevenir riscos à segurança em cada camada.

Além disso, o reconhecimento desses procedimentos e políticas é necessário para
garantir que eles sejam seguidos.