Baixe Projeto de redes linux e outras Manuais, Projetos, Pesquisas em PDF para Redes de Computadores, somente na Docsity! FACULDADES INTEGRADAS TORRICELLI Tecnologia em Redes de Computadores PIPA – “Projeto Integrado de Pesquisa Acadêmica” Guarulhos 2010 18 5.3.4. Aplicação e impressão........................................................................................... 14 19 5.3.5. Serviços de permissão de usuário, DNS, e-mail.................................................... 14 20 5.3.6. Servidor Firewall e Proxy....................................................................................... 14 20.1 Telefone Grafite Force Lineu........................................................................................... 17 8.1.7. Segurança física 38 8.1.8. Segurança lógica 39 9. Cotação do projeto 40 10. Pesquisa academica 41 10.1. Raid 42 10.1.1. Tecnologia Raid 42 10.1.2. Implementações Raid 43 10.1.3. Niveis de Raid 44 10.2. NAS. 45 10.3. SAN 46 10.4. Segurança em redes TCP/IP 50 10.5. Vpn 50 10.6. Politica de segurança 51 10.6.1. Firewall 52 10.6.2. Filtros 52 10.6.3. Proxy 52 10.6.4. Bastion host 53 10.6.5.DMZ. 53 11.Conclusão 54 12. Bibliografias e referencias 55 PAGE \* MERGEFORMAT 3 1. Resumo A empresa Viagem Certa do ramo de turismo visa uma adequação em sua estrutura física no setor de tecnologia da informação tendo como objetivo principal a integração de suas novas unidades adquiridas. Através de um projeto elaborado pela consultoria Zinigem será aplicado na área de informática, um conceito de software livre focando a diminuição de custos e também otimizando todo o processo de comunicação da empresa através de tecnologias que proporcionam rapidez e facilidade de uso. PAGE \* MERGEFORMAT 3 2. Introdução A implementação de um projeto requer todo o custo material e pessoal para a implementação do mesmo, é necessário na maior parte das vezes a compra de novos equipamentos e a contratação de pessoal especializado para instalação, configuração de equipamentos, servidores e outros equipamentos da rede e o projeto sempre visa corrigir falhas existentes no intuito de diminuir custo. Esse projeto tem como objetivo através de um trabalho de consultoria apresentar soluções para integração da rede da empresa com foco na comunicação que é de grande importância para uma empresa de turismo. 3. Consultoria Para desenvolver o projeto de integração de redes a nossa consultoria ZINIGEM foi contratada para elaborar proposta de reestruturação da agência Viagem Certa. PAGE \* MERGEFORMAT 3 Para as interligações existe em todas as unidades um roteador e um switch de 48 portas, e a comunicação entre a matriz em São Paulo e o Rio de Janeiro é realizada por um link dedicado da Telefônica de 2MB e as demais filiais se comunicam por Vpn implementada pelo Windows Server 2003. O banco de dados da empresa é o Microsoft SQL e a empresa não utiliza ERP e sim intranet. Nos dois prédios adquiridos em Florianópolis e Porto Alegre não há servidor, e as maquinas utilizadas são celeron com 512MB de memória RAM e 120GB de HD. É utilizado o antivírus AVG FREE. Nessas duas unidades citadas acima o cabeamento é distribuído através de canaletas externas e a comunicação entre elas e feita por um link dedicado de 2 MB da Embratel e em ambas as unidades tem 1 roteador e 1 switch de 48 portas. Já o Backup é feito em HDs externos que somam 500 GB divididos em 4 HDs que ficam guardados na sala do diretor. 4.3. Cenário da Empresa Unidades São Paulo, Rio de Janeiro, Belo horizonte e Curitiba. Térreo 1º Andar PAGE \* MERGEFORMAT 3 Unidades de Florianópolis e Porto alegre Térreo 1ºandar 4.4. Topologia Atual Unidades São Paulo, Rio de Janeiro, Belo Horizonte e Curitiba Unidades Florianópolis e Porto Alegre PAGE \* MERGEFORMAT 3 5. Solução 5.1. Equipamentos e estações • Sugerimos a compra de 10 servidores (sendo 2 para cada filial) e na matriz serão mantidos os 2 servidores atuais. • Também será solicitado a compra de 5 nobreaks (sendo 1 para cada filial), pois apenas a matriz tem nobreak. • Sugerimos a compra de 3 hds externos, 6 racks e 172 aparelhos ip para voip. • Os hosts em todas as unidades serão mantidas nas configurações atuais de seus hardwares. • Em todas as unidades sugerimos a instalação de ar condicionado na sala da T.i. • Sugerimos a compra de 6 switches para implementar os telefones voips e 6 roteadores para aplicar a dmz. • As impressoras serão trocadas pelo fato de não terem entrada de rede, e serão sugeridas a compra de 48 impressoras e 6 multifuncionais. • O cabeamento das unidades será mantido. 5.2. Sistema Operacional - Servidor PAGE \* MERGEFORMAT 3 5.3. Serviços instalados no Servidor A seguir teremos as definições básicas dos serviços que serão utilizados para a realização do projeto. 5.3.1. Backups O backup dos dados da empresa será feito em duas etapas: • Backup Centralizado. Todos os dias, após o expediente, os dados administrativos das filiais serão enviados e centralizados na matriz, já os demais dados será feito o backup de 3 em 3 dias. O backup central será feito em horário agendado pelo software open source bacula. Estes dados serão gravados no servidor da matriz e o Backup através do software bacula será feito em hds externos. Os Backups serão do tipo incremental, onde serão gravados apenas os arquivos que foram alterados depois do último backup. Os horários dos backups serão determinados de acordo com o melhor momento para que este não interfira no desempenho da Rede. 5.3.2. Software Backup As informações de uma empresa compõem seu ativo mais valioso e podem ser perdidas acidentalmente, seja por falha física, ou por falha humana, a qualquer momento, por isso sugerimos o uso de um software livre Bacula para centralização de backup. Vantagens de um sistema de Backup Centralizado (viabilizado pelo Bacula): - Economia do espaço subutilizado. - Facilidade na administração, correção de erros, troca e controle de mídias. -Economia de hardware (storages). - Maior agilidade (time sharing). - Facilidade no restore (catálogo único) Quaisquer bancos de dados relacionais com uma única base de código podem utilizar bancos de dados livres ou proprietários como catálogos de metadados do Bacula. 5.3.3. Banco de Dados PAGE \* MERGEFORMAT 3 O banco de dados será reestruturado, e utilizaremos o MySQL opensource. Este Banco de dados será acessado pelos principais aplicativos utilizados na empresa. Para ser acessado, o usuário precisará de uma conta com permissão, assim como o os serviços de arquivos. O banco de dados ficará centralizado na matriz, através de configuração ip via vpn às demais filiais serão integradas ao banco de dados e assim ao fazer o login no erp, à filial em questão terá disponíveis os dados necessários para seu pleno funcionamento. Como exemplo seria configurado assim: São Paulo - Matriz Rio – filial 1, Belo horizonte – filial 2, Curitiba – filial 3, Florianópolis – filial 4, Porto Alegre – filial 5 5.3.4. Aplicação e impressão Os serviços de aplicação conterão todos os principais programas utilizados pela empresa. O serviço utilizado para gerenciamento dos aplicativos será o do próprio sistema operacional, Fedora 12 de acordo com as permissões de acesso de cada usuário. O próprio Fedora 12 irá controlar também as impressões, através de seu serviço de impressão de acordo com as permissões nele configurado. 5.3.5. Serviços de permissão de usuário, DNS, e-mail. Para todos esses serviços será utilizado quotas de usuário e domínio de resolução de nomes por setores, devidamente configurado para um desempenho correto e otimizado. 5.3.6. Servidor Firewall e Proxy Para a segurança da empresa instalaremos os servidores de Firewall e Proxy. Para que isso seja possível será implementado também os serviços de Firewall e Proxy que podem ser configurados controles de pacotes na rede que será permitido ou não, dependendo do grupo o qual um usuário está vinculado. Para isso será instalado como proteção um servidor de Firewall, Proxy com o serviço (software) Squid e o Firewall Iptables. Squid é um ProxyCache de alta performance para clientes Web, suportando protocolos FTP e HTTP. O Squid mantém meta dados e especialmente objetos armazenados em sua memória RAM, cacheia buscas de DNS e implementa cache negativo de Requests falhos, suporta SSL, listas de acesso complexas e login completo. Por utilizar o Internet Cache PAGE \* MERGEFORMAT 3 Protocol, o Squid pode ser configurado para trabalhar de forma hierárquica ou mista para melhor aproveitamento da banda. 5.4. Sistema Operacional – Desktops Nas maquinas em todas as unidades serão instalados o sistema operacional Debian com o gerenciador de janela Blane. Com esse sistema instalado que se caracteriza pelo fato de não necessitar de maquinas com hardware super potentes, por esse motivo continuaremos com as maquinas existentes em todas as unidades. O fato de o Debian com o gerenciador de janela Blane ter uma aparência amigável aos usuários também foi um dos motivos preponderantes para sua escolha. Abaixo imagem da tela do Debian com visual semelhante ao Windows 2000: 5.5. Link de comunicação A conexão entre a matriz em São Paulo e a filial do Rio de janeiro continuará sendo feita através de um link dedicado devido ser as unidades que mais geram fluxo de dados. As filiais de Belo horizonte e Curitiba continuarão se comunicando com a matriz através de Vpn. As duas unidades adquiridas em Porto Alegre e Florianópolis se conectaram com a matriz em São Paulo através de VPN e o link dedicado entre as unidades não será mais utilizado provendo economia. PAGE \* MERGEFORMAT 3 diversos departamentos, automatização e armazenamento de todas as informações de negócios. Estaremos utilizando os módulos de RH, financeiro, administrativo e compras e vendas. 6. Alteração cenário Abaixo está demonstrado a alteração do cenário das filiais em seu 1º andar. Nessa alteração o RH que está nas filiais é substituído por uma sala de reunião que terá a disposição internet wi- fi e um projetor para auxiliar nas atividades recorrentes. O Rh portanto ficará situado apenas na matriz. 6.1 Topologias externa geral PAGE \* MERGEFORMAT 3 6.2 Topologia interna das unidades Tabela IP Matriz rede: 200.0.0.0 broadcast: 200.0.0.255 gateway: 200.0.0.254 máscara: 255.255.255.0 Servidor Firewall Proxy Dns ip: 200.0.0.1 PAGE \* MERGEFORMAT 3 Servidor Banco de dados ip: 200.0.0.2 Diretoria host: diretoria 200.0.0.6 impressora 200.0.0.253 Secretaria diretoria host: sec_dir 200.0.0.7 impressora 200.0.0.252 Dono host: dono 200.0.0.8 impressora 200.0.0.251 T.I host: infra_01 200.0.0.3 host: infra_02 200.0.0.4 host: helpdesk 200.0.0.5 PAGE \* MERGEFORMAT 3 host: inte_02 200.0.0.23 host: inte_03 200.0.0.24 impressora 200.0.0.245 Passagens nacionais host: naci_01 200.0.0.25 host: naci_02 200.0.0.26 host: naci_03 200.0.0.27 host: naci_04 200.0.0.28 impressora 200.0.0.244 Filial rede: 201.0.0.0 broadcast: 201.0.0.255 gateway: 201.0.0.254 máscara: 255.255.255.0 Servidor firewall proxy dns PAGE \* MERGEFORMAT 3 ip: 201.0.0.1 Servidor Banco de dados ip: 201.0.0.2 Diretoria host: diretoria 201.0.0.6 impressora 201.0.0.253 Secretaria diretoria host: sec_dir 200.0.0.7 impressora 201.0.0.252 Dono host: dono 200.0.0.8 impressora 201.0.0.251 T.I host: infra_01 201.0.0.3 host: infra_02 201.0.0.4 PAGE \* MERGEFORMAT 3 host: helpdesk 201.0.0.5 impressora 201.0.0.250 Sala de reunião host: reunião 201.0.0.9 Financeiro host: fin_01 201.0.0.10 host: fin_02 201.0.0.11 host:fin_03 201.0.0.12 host:fin_04 201.0.0.13 impressora 201.0.0.249 Secretaria geral host: sec_geral 201.0.0.14 Pacotes especiais host: especial_01 PAGE \* MERGEFORMAT 3 Serão estabelecidas as seguintes políticas de segurança para os funcionários da agência Viagem Certa. O uso da conta e senha de autenticação é obrigatório para que o funcionário tenha acesso à rede e aos recursos computacionais. As senhas são de caráter pessoal e intrasferível, nenhum funcionário poderá fornecer a sua senha de acesso a terceiros para que tenham acesso à rede, caso isto aconteça o funcionário deverá sofrer uma penalidade de acordo com as normas da empresa. Cada funcionário deverá efetuar o logoff da maquina em que estiver trabalhando após terminar a sua tarefa. O acesso a sites indevidos e conteúdos inapropriados são proibidos, como jogos on-line, bate papo (exceto o setor de marketing e vendas), sites com conteúdo pornográficos, e páginas de origem duvidosas. Os usuários deverão trocar suas senhas caso haja desconfiança que a sua senha tenha sido descoberta ou reportar ao administrador da rede. 8.1.1. Contas Por questão de segurança e bom funcionamento da rede fica incumbido à total responsabilidade do administrador e funcionários de informática a criação e gerenciamento das contas de usuários. Serão criadas contas de usuários baseadas no setor em que usuário trabalha. As contas de funcionários da empresa serão criadas com os sobrenomes de cada funcionário seguido das iniciais do nome completo, caso haja funcionários com sobrenomes e iniciais idênticas serão acrescidas uma numeração em ordem crescente. Os usuários terão que assinar um termo de responsabilidade de acesso e ficarem cientes de que estão sendo monitorados. Para funcionários que forem demitidos serão bloqueadas as suas contas no ato da demissão. As contas dos funcionários licenciados serão periodicamente suspensas até que o funcionário retorne ao trabalho de forma efetiva. PAGE \* MERGEFORMAT 3 8.1.2. Senhas As senhas por padrão deverão ter um mínimo de 6 caracteres. Será aconselhado o não uso de senha de fácil dedução como data de nascimento, CPF, número do celular, etc. A atribuição de senhas para os funcionários ficará a critério dos funcionários a digitação de sua senha pessoal, mas seguindo o padrão da empresa, usando números, letras maiúsculas e minúsculas. Abaixo o termo de responsabilidade sobre uso da rede corporativa, sobre sigilo de logins e senhas. 8.1.3. Modelo do termo de responsabilidade TERMO DE RESPONSABILIDADE Política de Uso da rede corporativa, computadores, Internet e/ou utilização de e-mails corporativos. Eu, _______________________________________________________________________ Setor: _____________________________Função: _________________________________ CPF: ______________________________ Identidade: ______________________________ Matricula: __________________________ Ramal:________________________________ PAGE \* MERGEFORMAT 3 User ID da rede corporativa: ____________________________, Declaro haver solicitado acesso a rede corporativa, computadores, Internet e/ou utilização de e-mail e me comprometendo a: a) Acessar a rede corporativa, computadores, Internet e/ou utilização de e-mail, somente com autorização (usuário/senha), por necessidade de serviço ou por determinação expressa de superior hierárquico, realizando as tarefas e operações em estrita observância aos procedimentos, normas e disposições contidas na instrução normativa que rege o acesso a rede corporativa, computadores, Internet e/ou utilização de e-mail; b) Utilizar a caixa postal (e-mail) colocada a minha disposição somente por necessidade de serviço ou por determinação expressa de superior hierárquico, realizando as tarefas e operações, em estrita observância aos procedimentos, normas e disposições contidas na instrução normativa que rege o acesso a rede corporativa, computadores, Internet e/ou utilização de e-mail; c) Não revelar, fora do âmbito profissional, fato ou informação de qualquer natureza de que tenha conhecimento por força de minhas atribuições, salvo em decorrência de decisão competente na esfera legal ou judicial, bem como de autoridade superior; d) Manter a necessária cautela quando da exibição de dados em tela, impressora ou na gravação em meios eletrônicos, a fim de evitar que deles venham a tomar ciência pessoas não autorizadas; e) Não me ausentar da estação de trabalho sem encerrar a sessão de uso do navegador, bloquear estação de trabalho, bem como encerrar a seção do cliente de correio, garantindo assim a impossibilidade de acesso indevido por terceiros; f) Não revelar minha senha de acesso a rede corporativa, computadores, Internet e/ou de minha caixa postal (e-mail) a ninguém e tomar o máximo de cuidado para que ela permaneça somente de meu conhecimento; g) Responder, em todas as instâncias, pelas conseqüências das ações ou omissões de minha parte que possam pôr em risco ou comprometer a exclusividade de conhecimento de minha senha ou das transações a que tenha acesso. Declaro, ainda, estar plenamente esclarecido e consciente que: 1) Não é permitida a navegação em sites pornográficos, defensores do uso drogas, de Pedofilia ou sites de cunho racistas e similares; 2) É minha responsabilidade cuidar da integridade, confidencialidade e disponibilidade das informações contidas em minha caixa postal (e-mail), devendo comunicar por escrito à chefia imediata PAGE \* MERGEFORMAT 3 8.1.6. Backup O Backup é um fator fundamental na segurança, pois é necessário ter a cópia das informações importantes em dispositivos adicionais e em locais seguros para garantir a continuidade do negócio em caso de desastres e falhas técnicas nos equipamentos. Para a realização do Backup será destacado um funcionário da T.I, que terá a tarefa de realizar o backup e armazená lo. 8.1.7. Segurança Física Não será permitida a entrada de pessoas não autorizadas na sala da T.I, que terá porta de aço e leitor de biometria par ter acesso ao ambiente citado. Será de uso restrito aos administradores de redes o acesso aos livros de ocorrência. Será mantida em local seguro e confiável toda a documentação relacionada ao projeto da rede que poderá ser visto apenas por pessoas autorizadas. Equipes de segurança patrimonial devem ser avisadas sempre sobre pessoas que trabalham a noite, principalmente usando computadores. Quando acharem necessários, de vem questionar tais funcionários. Outro ponto é adotar critérios rigorosos para a contratação de empresas terceirizadas. Manter fora da empresa em local seguro as copias de Backup para evitar que em caso de incêndio ou outro tipo desastre natural, os dados não se percam. 8.1.8. Segurança Lógica Desabilitar os login remotos durante a noite e fins de semana (FTP, telnet) Desabilitar contas de usuários que saíram de férias. Estabelecer como parte do procedimento de demissão a desativação da conta. Não permitir que funcionários instalem hardware. Para determinadas contas, estabelecer dias e horas de uso. Desabilitar as portas abertas, e hardware não utilizado. PAGE \* MERGEFORMAT 3 9. Cotação do projeto PESQUISA ACADÊMICA PAGE \* MERGEFORMAT 3 10.1. RAID O termo RAID significa "Redundant Array of Inexpensive Disks", indicando justamente o uso de Hds padronizados e baratos como "blocos de montagem" para a criação de sistemas que se comportam como um único disco rígido, maior, mais rápido e/ou mais confiável do que suas peças individuais. A tecnologia RAID desenvolve a forma de agrupar dois ou mais discos de forma que apareçam como um só dispositivo no sistema operativo que os aloja. Isto é, um RAID combina numa só unidade lógica vários discos, desta forma, o sistema operativo em vez de ver vários discos rígidos diferentes, vê apenas um. O objetivo desta tecnologia é aumentar o rendimento e o nível de proteção de dados. 10.1.1. Tecnologia Raid Há alturas em que se enchem de dados, ficam sem espaço livre e, portanto perdem a capacidade de armazenar mais informação e com isto o seu propósito. Outras vezes simplesmente deixam de funcionar. Entre todos os componentes que se encontram nos nossos equipamentos o disco rígido é o que mais sofre. Temos que ter em conta que se trata de um dispositivo que gira a mais ou menos 10 mil voltas por minuto e isso durante horas e horas. O disco rígido será por isso PAGE \* MERGEFORMAT 3 10.2. NAS (Network-attached storage) é o nome dado a dispositivos de armazenamento dedicados que podem ser conectados diretamente a uma rede local provendo aos demais computadores da rede facilidades de acesso e armazenamento de dados centralizados. O conceito de NAS difere de um servidor de arquivos tradicional. O dispositivo NAS é um computador dedicado a uma função específica O sistema operacional e demais softwares provêem quase que exclusivamente a funcionalidade de armazenamento e acesso a dados. Os protocolos tipicamente suportados incluem o NFS (popular em ambiente UNIX) ou o CIFS/ SMB (Common Internet File System/Server Message Block) usado em ambiente Windows, além do bom e velho FTP. Em termos de armazenamento físico, uma unidade NAS típica contem um ou mais discos. Os modelos mais sofisticados suportam redundância organizando os discos em arrays RAID. Um dispositivo NAS usa hardware especificamente desenvolvido para a função de NAS, com um sistema operacional embarcado. Mas também pode ser implementado por computadores de prateleira rodando softwares especialmente configurados para as funções de NAS. Até a Microsoft possui uma versão de Windows Server voltada para implementação de soluções NAS: o Windows Storage Server 2003. Equipamentos NAS vem sendo usados pelo mundo corporativo por algum tempo. Mais recentemente, com a redução do custo destes dispositivos e a popularização de redes domésticas e redes em pequenos escritórios, diversos produtos NAS surgiram para estes mercados. O mercado potencial emergente para dispositivos NAS é o mercado de usuários pessoais, com grande quantidade de dados multimídia. O preço de dispositivos deste tipo tem caído bastante, viabilizando o acesso aos recursos de NAS por um custo ligeiramente mais alto do que um disco externo. Estes dispositivos NAS de uso doméstico são baseados em processadores baratos rodando uma versão embarcada de Linux. Alem do baixo custo, têm baixo consumo de energia. A instalação é relativamente simples e a configuração se dá por uma interface Web. Também existem pacotes open source para implementação de soluções caseiras de NAS, utilizando equipamentos de prateleira mais antigos e de menor consumo. Os mais conhecidos são o FreeNas (baseado em FreeBSD), o NASLite e o Openfiler. PAGE \* MERGEFORMAT 3 10.3. SAN (Storage Area Network) A SAN poderia ser definido como uma rede de alta velocidade, comparada à LAN (Local Area Network), que permite o estabelecimento de conexões diretas entre os dispositivos de armazenamento e processadores (servidores) centralizados à extensão suportada pela distância das fibras óticas. A SAN pode ser vista como uma extensão do conceito que permite que os dispositivos de armazenamento sejam compartilhados entre servidores e interconectados entre si. Uma SAN pode ser compartilhada entre servidores ou dedicada a um servidor local ou remoto. As interfaces de SAN podem ser: • ESCON (Enterprise Systems Connection) • SCSI (Small Computer Systems Interface) • SSA (Serial Storage Architecture) • HIPPI (High Performance Parallel Interface) • FC (Fibre Channel) • Qualquer outra nova interface emergente A figura abaixo mostra uma visão geral de uma SAN conectando vários servidores a vários sistemas de armazenamento: SANs criam novos métodos de conexão de armazenamento aos servidores. Estes novos métodos prometem uma notável melhora em performance e disponibilidade. SANs são usadas para conectar conjuntos de armazenamento compartilhados a vários servidores, e são usadas por servidores em ambiente de cluster para fail over. Elas podem interconectar discos ou fitas de mainframe a servidores ou clientes de rede e podem criar caminhos paralelos de dados para ambientes de computação e de alta largura de banda. A SAN é uma outra rede que difere das redes tradicionais, porque foi concebida a partir de interfaces de armazenamento. Além disso, a SAN pode ser usada para contornar os conhecidos gargalos de rede, pois suporta diretamente altas velocidades de transferência de dados entre os servidores e dispositivos de armazenamento nas seguintes formas: PAGE \* MERGEFORMAT 3 Servidor para storage: é o modelo tradicional de interação com os dispositivos de armazenamento e cuja vantagem é que um mesmo dispositivo de armazenamento pode ser acessado serial ou concorrentemente por múltiplos servidores. Servidor para servidor: no qual a SAN pode ser usada para alta velocidade e comunicações de alto volume entre servidores. Storage para storage: permite a movimentação dos dados sem intervenção do servidor, liberando o processador para outras atividades. Por exemplo: um disco pode realizar o backup de dados para uma fita sem a intervenção do servidor ou um espelhamento de dispositivo remoto através da SAN. O uso de Sãs gera uma melhora de performance das aplicações, por exemplo, permitindo que o dado enviado diretamente do dispositivo de origem ao dispositivo de destino não requeira intervenção do servidor. As Sãs também habilitam novas arquiteturas de rede nas quais vários computadores (host) acessam vários dispositivos de armazenamento conectados na mesma rede. Conheça outros benefícios que o uso da SAN pode oferecer às empresas: Mais disponibilidade: armazenamento independente de aplicações acessíveis através de caminhos alternativos de dados. Alta performance: os dados são descarregados do servidor e movidos para uma rede independente. Armazenamento centralizado e consolidado: gerenciamento mais simples, escalabilidade, flexibilidade e disponibilidade. Transferência e armazenamento: cópia remota de dados habilitada para proteção contra falhas e desastres. Gerenciamento centralizado mais simplificado: a imagem simples do meio de armazenamento simplifica o gerenciamento. Assim, os ambientes de SAN são uma rede de armazenamento de alta velocidade gerenciada centralmente, que consiste de vários fabricantes de sistemas de armazenamento, software de gerenciamento de armazenamento, servidores de aplicação e hardware de rede que permitem a sua empresa explorar da melhor forma o valor da informação do seu negócio, e ainda ganhar em produtividade e performance protegendo seus investimentos em TI. PAGE \* MERGEFORMAT 3 Podemos assim interligar redes locais distantes entre si, utilizando a internet com meio de transmissão, fazendo com que a interligação entre as redes comporte-se como uma rede privada (não compartilhada por estranhos às redes da empresa). A vantagem desse tipo de solução é que uma empresa pode montar uma rede corporativa com baixo investimento em canais de comunicação, utilizando a internet como meio de comunicação de seus dados. Uma VPN permite assim uma comunicação entre computadores e redes distantes entre si, utilizando uma rede pública de comunicação de dados, coma segurança que as redes privadas com LPs dedicadas fornecem. O conceito de VPN é criar um túnel privativo lógico virtual entre dois pontos, com criptografia dos dados entre a origem e o destino final (criptografia end-to-end), de forma que ninguém possa interceptar os dados ao longo do caminho. Soluções Vpn podem ser implantadas em firewalls da rede. A vantagem do uso de VPNs por uma empresa é principalmente a é principalmente a econômica, pois não utiliza links dedicados LPs nem redes de pacotes como frame-relay ou x. 25 para conectar redes remotas. Utiliza neste caso internet, por meio de um provedor, a custo menor e com um alcance mundial. A VPN utiliza protocolos que fazem a criptografia dos dados antes de transmiti-los, de forma a fornecer segurança na transmissão dos dados contra intrusos. Os protocolos de segurança e criptografia mais utilizados são: Os protocolos de segurança e criptografia mais utilizados são: • IPSEC (Internet Protocol Security) • L2TP (Layer 2 Tunneling Protocol) • L2F(Layer 2 Forwarding) • PPTP ( Point to Point Tunneling Protocol) 10.6. Política de segurança A segurança em redes TCP/IP possui outros componentes que devem ser considerados no projeto de redes. O planejamento da segurança de uma rede nasce no projeto, em que as necessidades de segurança da empresa devem ser analisadas. PAGE \* MERGEFORMAT 3 O desenvolvimento de uma política de segurança é à base da segurança da informação em uma empresa. Alguns padrões e normas internacionais de segurança foram desenvolvidos por organizações normatizadoras como a ISSO (International Standars Organization) e a BS (british Standard), como a isso 17799 e a BS7799. A política de segurança é desenvolvida considerando – se aspectos físicos e lógicos. A segurança física é aquela que envolve aspectos como prevenção contra falhas de equipamentos, incêndios, acesso de pessoas a locais restritos, enchentes, desastre naturais, acidentes, roubo e demais aspectos físicos. A segurança lógica envolve aspectos de prevenção contra interceptação e modificação de informações, sigilo no tráfego dos dados na rede, alterações de softwares, invasões em sistemas , acessos não autorizados a informações e demais aspectos relacionados ao acesso e manipulação dos dados da empresa. O uso e o controle de senhas de acesso e criptografia de dados fazem parte de uma política de segurança, assim com o uso de firewall. 10.6.1. Firewall É uma aplicação que faz a filtragem dos pacotes, por meio de seus endereços IP e de seus ports TCP, evitando que determinados ports e endereços sejam acessados. Desta forma, endereços e aplicações são bloqueados para acesso pelos usuários. Em uma política de segurança definimos quais endereços e aplicações serão bloqueados. O firewall é formado de vários componentes como filtros (bloqueio de endereços), Proxy (bloqueio de aplicações), bastion host (equipamento usado para acesso externo, isolado da rede interna) e zonas deslimilirarizadas (zonas de isolamento entre a rede externa e a interna). Controla e isola o tráfego entre duas redes, em especial a internet, para proteger redes corporativas de ataques e fornecer segurança à rede que tem informações e recursos que não devem estar disponíveis aos usuários de outras redes. O firewall pode ser implementado em roteadores, configurando regras de filtragem que permitem ou descartam pacotes de acordo com regras definidas. 10.6.2. Filtros PAGE \* MERGEFORMAT 3 De acordo com as regras de filtragem estabelecidas, as aplicações d filtragem estabelecidas, as aplicações de filtragem do firewall encaminham ou bloqueiam e descartam pacotes de acordo com os endereços IP ou ports dos campos de controles dos pacotes IP ou TCP. O filtro de pacotes opera nas camadas de rede e transporte do TCP/IP. Filtrando pacotes com base no endereço IP de origem. Endereço IP de destino, porta da aplicação de origem e porta da aplicação de destino. 10.6.3. Proxy São aplicações que atuam como interface ou gateway entre duas redes, permitindo ou negando as requisições dos usuários para acesso a outros sistemas e redes. O usuário primeiramente se conecta ao servidor onde está a aplicação Proxy que então reencaminha para área externa, caso o usuário esteja autorizado. 10.6.4. Bastion host Nesses equipamentos são instalados os sistemas e informações disponibilizados para acesso de usuários pela internet. Ou seja, os dados da empresa que estarão disponíveis na internet ficam em um equipamento apartado da rede interna da empresa, de forma que se houver alguma invasão e alterações das bases de dados desses equipamentos, elas não alterarão os dados da rede interna da empresa que estão em outros servidores internamente na empresa e fora do acesso externo. 10.6.5. DMZ (DeMilitarized Zone ou perimeter network) É uma área de rede que fica entre a rede externa (Internet, por exemplo) e a rede interna que deve ser protegida. Caso ocorra algum problema ou ataque a um dos equipamentos dentro dessa área, não afeta a rede interna da empresa que continuará segura e fora do alcance dos ataques externos. A função de uma Dmz é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, etc.) separados da rede local, limitando assim o potencial risco de danos caso haja uma invasão. PAGE \* MERGEFORMAT 3 12. Bibliografias e Referências MORIMOTO, Carlos E. Hardware, o Guia Definitivo. Editora GDH Press e Sul Editores, 2007. Sousa, L.B. TCP/IP Básico e conectividade em redes. 4º edição.Editora Érica,2008. Vieira, F.M. Trabalhando em Redes. Editora Érica,2002 h�p://www.cisco.com/web/BR/index.html h�p://www.dell.com.br h�p://www.bacula.org h�p://www.projetofedora.org h�p://www.vivaolinux.com.br h�p://www.debian.org h�p://www.guiadohardware.net h�p://www.asterisk.org h�p://www.openvpn.net h�p:/www.openerpbrasil.org h�p://www.forceline.com.br h�p://www.5�.com.br h�p://www.lg.com.br h�p://www.mysql.com PAGE \* MERGEFORMAT 3 PAGE \* MERGEFORMAT 3 PAGE \* MERGEFORMAT 3