administração e segurança de redes aula 04 arquitetura de gerenciamento osi prof. diovani...
TRANSCRIPT
Administração e segurança de redes
Aula 04
Arquitetura de gerenciamento OSIProf. Diovani Milhorim
Modelo OSI
convenção da ISO (International Organization for Standartization), por intermédio do grupo de pesquisa do projeto OSI (Open Systems Interconnection)
documento 7498-4 também reconhecido pelo ITU-T (International
Telecommunication Union) - recomendações da série X-700
definição de três modelos Modelo Informacional Modelo Funcional Modelo Organizacional
Modelo Informacional
define os objetos de gerência (classes, atributos e nomes), as relações e as operações sobre esses objetos utilização de OO
• objetos com características semelhantes são agrupados em classes de objetos
• uma classe pode ser uma subclasse de outra, e a primeira herda todas as propriedades da segunda
• uma classe é definida pelos atributos da classe, pelas ações que podem ser invocadas, pelos eventos que podem ser relatados, pela subclasse a qual ela deriva e pela superclasse na qual ela está contida
cada objeto é identificado por uma sequência de números, correspondente aos nós percorridos desde a raiz, até o objeto em questão
MIB: necessária para armazenar os objetos gerenciados
Modelo Funcional
divisão gerência de redes em cinco áreas descrevendo as funcionalidades de gerênciagerência de falhas, gerência de
configuração, gerência de desempenho, gerência de contabilidade e gerência de segurança.
FCAPS (faults, configuration, accounting, performance, security)
Modelo Organizacional
estabelece a hierarquia entre sistemas de gerência em um domínio de gerência, dividindo o ambiente a ser gerenciado em vários domínios
dependendo do tamanho e complexidade da rede, sistemas de gerência baseados em um único gerente podem ser inapropriados alto volume de informações que devem ser tratadas e
que podem pertencer a localizações geograficamente distantes do gerente
necessidade da distribuição da gerência na rede, através da divisão das responsabilidades entre gerentes locais que controlem domínios distintos e da expansão das funcionalidades dos agentes
Modelo Organizacional
define a disposição dos gerentes na rede e a distribuição das funções de gerência
cada gerente local de um domínio pode prover acesso a um gerente responsável (pessoa que interage com o sistema de gerenciamento) local e/ou ser automatizado para executar funções delegadas por um gerente de mais alto nível, geralmente denominado de Centro de Operações da Rede (NOC - Network Operation Center)
NOC: responsável por gerenciar os aspectos interdomínios, tal como um enlace que envolva vários domínios, ou aspectos específicos de um domínio, devido à inexistência de gerente local
CMIP
CMIP (Common Management Information Protocol) e CMIS (Commom Management Information Services) - (1991) definidos pela isso como protocolo e serviço de
gerenciamento de rede do nível de aplicação do modelo OSI
OSF/DME (Open Software Foundation/Distributed Management Environment) objetivo: suporte aos padrões OSI de gerenciamento função: fornecer facilidades que permitam integrar o
gerenciamento de sistemas em ambientes heterogêneos, satisfazendo três requisitos básicos de interoperabilidade, consistência e flexibilidade.
CMOT – CMIP over TCP/IP (1992)
Gerência de Falhas
processo de localização de problemas, ou falhas, na rede e correção das mesmasfalha: condição anormal que requer
atenção (ou ação) gerencialerro: evento isoladoUma falha é geralmente indicada por
imperfeições para operar corretamente ou por erros excessivos.
Gerência de Falhas
Passos detecção: descoberta da ocorrência da falha através de
um agente• polling aos dispositivos (ping) ou notificação de
eventos críticos• SGR deve alertar o gerente
análise e diagnóstico: verificar se a falha é relevante e procurar causa da falha
• consulta ao estado atual e histórico dos dispositivos resolução: aplicar ações de correção da falha e analisar
se a falha desapareceu• utilização de dispositivos que permitem
reconfiguração
Gerência de Falhas
Vantagensaumenta a confiabilidade da rededetecção e recuperação de problemas
mais rapidamenteevita o comum “apagar incêndios”
Gerência de Falhas
Definição das falhas de interesse falhas possuem prioridades diferentes
• depende do impacto da falha (ex. queda de link interno da organização vs externo)
nem todos eventos reportados são falhas necessária a filtragem de eventos tamanho da rede pode limitar o número de eventos para
análise
• pequena: gerência completa de todos os dispositivos
• média: gerência apenas dos eventos críticos de cada dispositivo
• grande: gerência dos eventos críticos para alguns dispositivos
Gerência de Configuração
processo de identificação, localização e configuração dos dispositivos críticos da rede
Vantagensaumenta o controle sobre a
configuração dos dispositivos de redeacesso mais rápido às informaçõespermite a atualização de configurações
de maneira mais eficiente
Gerência de Configuração
Passos obter informações sobre o ambiente atual da rede
• processo de “automapping”• permitir a busca de dispositivos
utilização dos dados para reconfiguração dos dispositivos de rede
• deve permitir a recuperação de configurações anteriores• gerar advertências para configurações inadequadas
armazenamento dos dados• arquivos texto ou SGBD
geração de relatórios• configuração completa• modificações recentes
Gerência de Contabilidade
mede a utilização dos recursos da rede de modo a estabelecer métricas, verificar quotas, determinar custos e taxar os usuários
o levantamento do perfil de uso dos recursos permite revelar possíveis abusos de privilégio no uso dos mesmos, auxiliando a melhoria de desempenho e o planejamento de capacidade da rede
Vantagens habilita a medição e documentação de informações de
contabilização permite entender o comportamento de usuários auxilia na determinação de onde recursos devem ser alocados
e o custo-benefício de novas tecnologias
Gerência de Contabilidade
Passos obter dados de utilização dos recursos da rede usar métricas para ajudar a definir quotas de uso
• definição de métricas para contabilização: número de transações, número de conexões...
• RFC 1272 - Internet Accounting Background• repartição justa dos recursos: definição de
quotas para usuários ou grupos de usuários• se a quota for excedida pode-se cobrar
mais caro pelo uso do recurso
Gerência de Contabilidade
Passos (cont.) taxar os usuários pelo uso da rede
• utilização de política• instalação e taxa mensal fixa• número total de transações realizadas, bytes
recebidos/enviados, etc• utilização de extratos para os usuários
planejamento• previsões sobre a necessidade de mais recursos• previsão sobre utilização de usuário (ou grupo de
usuários)• dados históricos e tendência corrente de uso
Gerência de Desempenho
medição do desempenho de software e hardware da rede visando assegurar que a rede esteja sempre acessível e com recursos disponíveis
pode ser utilizado para antecipar problemas iminentes, dada uma possível degradação dos indicadores de desempenho
permite estabelecer limiares de comportamento permitidos para cada componente, e emite notificações para motivar uma ação, quando esses valores forem atingidos
Vantagens: auxilia no oferecimento de um nível de serviço satisfatório aos
usuários monitoração da utilização dos dispositivos de rede e links ajuda no planejamento de capacidade da rede
Gerência de Desempenho
Passoscoleta de dados sobre a utilização dos
serviços, dispositivos e links• coleta de dados em tempo real
• dispositivos com métricas diferentes
• utilização de histórico (logs)
análise dos dados relevantes• apresentação dos dados em tempo real
• resultado das medidas mostrados em gráficos (histórico)
Gerência de Desempenho
Passos (cont.) definição de limites de utilização
• valor limite (threshold) usado para a geração de eventos (alarmes)
simulação da rede• verificar o comportamento da rede em eventuais
mudanças• identificação de possíveis melhorias antes de se
adquirir novos equipamentos e/ou software• previsão de condições críticas de uso• auxílio em capacity planning – teste de cenários
Gerência de Segurança
controle de acesso às informações na rede envolve a proteção de dados sensíveis dos dispositivos
de rede através do controle de acesso aos pontos onde tais informações se localizam
realiza a identificação dos pontos de acesso e manutenção destes sob constante vigilância, informando inclusive as tentativas de acesso indevido para uma ação preventiva
organiza a segurança de informações sensíveis em relação necessidade de acesso dos usuários.
devem limitar o acesso e notificar o ER em caso de brechas na segurança
Gerência de Segurança
VantagensSegurança
• eliminar o acesso a informações sensíveis através da rede de comunicação de dados
• Solução drástica e não prática
Gerência de Segurança• oferecimento de uma alternativa prática,
para transferência e armazenamento de informações
Gerência de Segurança
Passos identificação das informações sensíveis
• definidas pela política da empresa• identificação das máquinas que guardam tais
informações identificação dos pontos de acesso
• conexão física, login remoto (Telnet), transferência de arquivos (FTP), correio eletrônico (e-mail), execução remota de processos (rsh), servidores de diretórios e arquivos
• qualquer serviço de rede é uma porta de entrada. prover segurança para os pontos de acesso
• pode ser implantada em várias camadas da rede
Gerência de Segurança
Criptografia, na camada de enlace de dados Codificação da informação Indicada quando o meio é compartilhado Algoritmos de chave privada
• mesma chave para codificação e decodificação• chave deve ser trocada periodicamente.
Algoritmos de chave pública• chaves com duas partes: uma privada e outra pública• codificação feita com chave pública e decodificação
com chave privada.• DES (Data Encryption Standard)• SNMPv2 usa algoritmo de chave pública
Gerência de Segurança
Filtros de pacotes, na camada de redepermite que pacotes passem (ou não)
pelo DR, dependendo de seu endereçoDR deve ser configuradomudanças no endereço da fonte pode
atrapalhar o funcionamento do filtro.• Ex: Endereço MAC de placa de rede
• Ex: Programas que permitem alterar endereço MAC
Gerência de Segurança
Autenticação, na camada de aplicação Autenticação de Host
• permite o acesso a um serviço baseado no identificador do host• xhosts +athenas
• Informação de identificação do host pode ser facilmente alterada
Autenticação de usuário• identificação do usuário antes de permitir acesso.• Uso de senha
• formato texto• senhas fáceis (mnemônicas)
• Uso de criptografia para senhas• Secure Shell (SSH)
• Uso de senhas descartáveis• se for roubada não poderá ser usada.
Gerência de Segurança
Autenticação, na camada de aplicação (cont.) Autenticação de chave. Provê autenticação de usuário e de host em
conjunto. Servidor de chaves
• acesso remoto só pode ser feito com uma chave válida
• servidor autentica fonte (usuário e host) e gera a chave para aquela transação.
Kerberos, (MIT - Massachusetts Institute of Technology).
Gerência de Segurança
Passos (cont.) manter a segurança dos pontos de acesso
• localização de brechas atuais ou potenciais na segurança
• programas geradores de senhas e chaves de criptografia
• programas de ataques
• lançando desafios a hackers
• monitoração em tempo real dos pontos de acesso• interação com a interface gráfica para geração de avisos
e alarmes• tentativas de acessos não autorizados
• tentativas sucessivas
• “inteligência” para analisar o registro de eventos.
Gerência de Segurança
Passos (cont.)análise das conseqüências das
medidas de segurança• restrição de tráfego
• desempenho dos DR