segurança, estabilidade e desempenho no mesmo backbone : isto é possível ? marco antônio chaves...
TRANSCRIPT
Segurança, Estabilidade e Segurança, Estabilidade e Desempenho no mesmo Desempenho no mesmo
backbonebackbone : :Isto é possível ?Isto é possível ?
Marco Antônio Chaves CâmaraMarco Antônio Chaves CâmaraLOGIC Engenharia LtdaLOGIC Engenharia Ltda
[email protected]@logicsoft.com.br
Quem é o Palestrante ?
Marco Antônio Chaves Câmara– Engenheiro Eletricista (UFBA);
– Professor• Universidade Católica do Salvador;
• Universidade do Estado da Bahia.
– Trabalha com redes desde 1987;
– Certificações• CNE e CNI (Novell);
• MCP (Microsoft);
• Projetista e Instalador (Lucent Technologies)
– Diretor técnico da LOGIC Engenharia
Salvador - BA.
?? ? ? ?
?
Requisitos de Requisitos de Segurança em Segurança em um um backbonebackbone
Requisitos de Segurança
• Separação de Tráfego entre segmentos
• Segurança Física• Configuração de Equipamentos• Camada usada na separação de
tráfego• Políticas de interligação de
segmentos
Separação de Tráfego
• Estratégia de VLANs– Por porta
– Por endereço MAC
– Por protocolo
– Por grupos multicast
• A VLAN mais segura é a VLAN por porta– Adaptador de rede em modo “promíscuo”
não escuta tráfego alheio;
– Ataques exigem acesso à segurança física ou de configuração.
Separação de Tráfego
• Estratégia de VLANs– Por porta
– Por endereço MAC
– Por protocolo
– Por grupos multicast
• A VLAN mais segura é a VLAN por porta– Adaptador de rede em modo “promíscuo”
não escuta tráfego alheio;
– Ataques exigem acesso à segurança física ou de configuração.
• A VLAN é identificada por portas de switch que dela fazem parte;
• No caso de HUBs ou switches s/ suporte a VLAN, todos os pontos a ele interligação fazem parte da mesma VLAN;
• Exige re-configuração quando ocorre mudança no local de conexão.
Separação de Tráfego
• Estratégia de VLANs– Por porta
– Por endereço MAC
– Por protocolo
– Por grupos multicast
• A VLAN mais segura é a VLAN por porta– Adaptador de rede em modo “promíscuo”
não escuta tráfego alheio;
– Ataques exigem acesso à segurança física ou de configuração.
• Os endereços MAC são agrupados em “tabelas” de dispositivos de cada VLAN;
• Configuração complexa, facilitada por softwares específicos;
• Usuário está sempre na sua VLAN, mesmo com mudanças.
Separação de Tráfego
• Estratégia de VLANs– Por porta
– Por endereço MAC
– Por protocolo
– Por grupos multicast
• A VLAN mais segura é a VLAN por porta– Adaptador de rede em modo “promíscuo”
não escuta tráfego alheio;
– Ataques exigem acesso à segurança física ou de configuração.
• Identifica os participantes– Por tipo de protocolo;
– Por endereço de camada de rede
• Permite mudanças sem reconfiguração;
• Exige switches mais potentes.
Separação de Tráfego
• Estratégia de VLANs– Por porta
– Por endereço MAC
– Por protocolo
– Por grupos multicast
• A VLAN mais segura é a VLAN por porta– Adaptador de rede em modo “promíscuo”
não escuta tráfego alheio;
– Ataques exigem acesso à segurança física ou de configuração.
• Associada a aplicação, já que determina VLAN pelo grupo de multicast– Multicast tende a ser comum
• Participação está associada ao uso da aplicação;
• Também exige switches potentes.
Segurança Física
• O acesso não autorizado ao rack de equipamentos deve ser evitado– Pontos de Concentração devem
ser preferencialmente isolados;
– Cuidado com os pontos de concentração fora do CPD;
– Invasões não autorizadas podem ser facilmente detectadas
• Arrombamentos são visíveis !
• O acesso informal é sempre mais perigoso.
Configuração de Equipamentos
• Habilitar senhas de acesso– Determinar claramente os
direitos de acesso;
– Dificultar o acesso a portas de console
• Criar sub-rede específica para configuração de equipamentos;
• Documentar cuidadosa-mente os arquivos.
Camada usada na separação de tráfego
• Camada 1– Muito radical, embora
implementada;
• Camada 2– Muito segura, envolve
implementação baseada em switches
• Camada 3– Muito simples, porém de baixo
custo;
– Não exige hardware específico
• Lembrar da interligação !
FísicaFísica
EnlaceEnlace
RedeRede
Políticas de Interligação
• Executada por equipamentos de camada 3– Roteadores ou ...
– Switches de camada 3
• Deve ser evitada, se possível inclusive banida– Cada VLAN preferencialmente deve ter acesso apenas
aos seus próprios recursos.
• Recursos compartilhados– Não exigem interligação;
– Não devem funcionar como ponte entre VLANs.
SegurançaSegurançaXX
PerformancePerformance
Dilemas envolvendo Segurança
• Além dos problemas enfrentados na própria implementação, alguns dilemas devem ser enfrentados por aqueles que optam pela implementação de uma política de segurança :– Segurança X Custo– Segurança X Gerenciamento– Segurança X Performance
Segurança X Performance
• A diferença da camada– Serviços implementados
em camadas mais altas são sempre mais lentos;
– Alguns julgam as políticas de segurança das camadas mais baixas mais seguras e mais baratas;
– O grande problema está na flexibilidade e facilidade de gerenciamento
Segurança X Performance
• A diferença do processamento– Exigir do hardware um processamento muito
elaborado certamente trará implicações para o desempenho do ambiente
• Evitar a utilização do processamento de camada 3, ou melhor, o roteamento (mesmo qdo. este existir);
– Filtros de pacotes e firewalls também exigem processamento complementar;
– Tabelas também precisam ser pesquisadas e indexadas
– VLANs por MAC Address, por exemplo.
Segurança X Performance
• A diferença do delay– Quanto mais alta a camada, mais fundo precisamos ir
na análise das mensagens (exemplos ethernet !)• Switches de camada 2 podem ler apenas endereços de
destino (14bytes);
• Switches com VLAN802.1Q precisam ler o tag (20bytes);
• Switches de camada 3 precisam abrir o pacote IP (40+bytes);
• Filtros de quadro/pacote precisam conferir tudo (1518 bytes).
– Capacidade de processamento não interfere neste atraso ...
Estratégias de Estratégias de ImplementaçãoImplementação
Estratégias de Implementação
• Separando os segmentos;
• Escolhendo a camada de segmentação;
• Gerenciando o tráfego entre segmentos
Separando os segmentos
• O melhor é escolher os segmentos por aplicação / servidor– Aplicações/Bases de Dados residem em servidores diferentes;
– Tipicamente temos usuários participando simultaneamente de vários segmentos (sobreposição de VLANs).
• Segmentação geográfica– Interessante em empresas que dividem o mesmo site ou para
separar setores específicos• Exemplo : Área acadêmica e administrativa de uma universidade.
– Recursos corporativos normalmente ficam alojados na sobreposição de VLANs
• Roteadores WAN, acesso à Internet, servidores etc
Escolhendo a camada• Camada 1
– Sites muito pequenos, sem nenhuma necessidade de comunicação;
– Maior segurança possível (embora radical ...).
• Camada 2– Sites de qualquer tamanho, com ou sem necessidade de
segmentação;
– Envolve custo um pouco maior;
– Índice elevado de segurança;
• Camada 3– Sites pequenos, com pequenas necessidades de interligação;
– Performance mais baixa e índice relativo de segurança.
Gerenciando tráfego entre segmentos
• Um ambiente ideal é o que reduz ao máximo o tráfego entre segmentos;
• Instalar recursos corporativos compartilhados apenas em áreas comuns às VLANs;
• Limitar a interligação– Pequenos volumes de dados;
– Segurança reforçada• Firewalls, filtros de pacotes etc
– A queda de desempenho, se acontecer (provável), será localizada.