Projeto de redes e segurança da Informação

Foi definida uma infraestrutura física e lógica, apoiada em conceitos de Gerência de Redes de Computadores e Segurança da Informação. Por meio da criação de VLANs (Virtual Local Area Network) e definição da DMZ (Demilitarized Zone), deseja-se atingir o nível de segurança e gerência de redes desejado pelo departamento de informática, assim como proporcionar uma maior confiabilidade e integridade das informações que trafegam na rede para que os usuários possam executar suas tarefas de forma mais dinâmica em um ambiente seguro e ágil. O trabalho oferece uma visão sobre como é elaborado um projeto na área de TI e sobre os problemas envolvidos em sua na elaboração. Palavras chave: Segurança da Informação; Redes de Computadores; Projeto de Redes.

LISTA DE FIGURAS Figura 1 - Sala de Servidores/Monitoramento 15 Figura 2 - Quadro Elétrico a ser Instalado no Data Center 18 Figura 4 - Estrutura Lógica da rede 20 Figura 5 - Rede Segura 21 Figura 6 - Cronograma teórico de implantação do projeto 33 Sumário Resumo 5 1. Justificativa 12 2. Detalhamento do Produto 12 3. Descrição do Ambiente de Informática da Empresa 15 3. Definição do espaço para a sala de servidores / CPD 15 3. Dimensionamento dos geradores de energia elétrica, quadros e painéis elétricos 17 3. Especificação de ferramentas de proteção contra softwares maliciosos 26 4. Transmissão / Recepção de dados com criptografia 26 4. Proposta para segurança em conexões Web envolvendo protocolos e certificados digitais 26 5. Descrição do ambiente que envolve dados da empresa 27 5. Projeto de backup e restore de dados 27 5. Introdução A questão da segurança em redes de computadores tem se tornado cada vez mais importante à medida que a Internet tornou-se um ambiente hostil e as ferramentas para capturar tráfego, quebrar sistemas de encriptação, capturar senhas e explorar vulnerabilidades diversas tornam-se cada vez mais sofisticadas [COMER, 2007].

Além disso, cada vez mais tecnologias diferentes de acesso e transmissão de dados estão sendo empregadas, o que torna manter uma rede segura, uma tarefa mais complicada, já que existem diversas formas inadequadas de se obter informações que poderão ser usadas para prejudicar os processos. Neste sentido, torna-se cada vez mais necessário a proteção dos dados que trafegam na rede [COMER, 2007]. Dessa forma, é necessária a implantação de um ambiente de segurança na rede da empresa de TI, em questão, visou trazer melhor qualidade e agilidade a todos os setores e serviços que necessitam da rede para funcionar, e dessa forma proporcionar um ambiente seguro e ágil para que todos os usuários da empresa possam exercer suas tarefas de forma mais dinâmica.

Motivações e Objetivo O presente trabalho tem o objetivo apresentar um desenvolvimento de um projeto de redes para uma empresa, solucionar problemas de disponibilidade e comunicação ininterrupta dos serviços dessa empresa, implantar rede sem fio em todas as unidades, matriz e filiais, centralizar toda a rede, estabelecendo uma comunicação entre todas as unidades de ensino à distância e campus; implantar telefonia IP e comunicação com telefonia móvel para reduzir custos. Para os ativos de rede, de preferência serem todos da mesma marca, preferencialmente CISCO, para que a compatibilidade e interoperabilidade entre os equipamentos seja sempre a melhor. Recursos Os seguintes recursos visam atender as necessidades atuais e futuras para os sistemas de redes de computadores e telecomunicações da empresa: Será implementada redundância de link’s dedicados de provedores diferentes, por caminhos diferentes, garantindo a disponibilidade dos serviços através de dois roteadores em cada extremidade, sendo redundantes links e roteadores, a disponibilidade de internet para todas as filiais, será feita através Sede em São Paulo, que possuirá redundância de internet.

Serão interligadas através de VPN todas as filiais que também possuirão um firewall e redundância de internet. No projeto serão utilizados seis switches layer 3 cisco Nexus 9000 para interligar as filiais, estabelecendo a conexão principal, os roteadores atuais serão aproveitados para a comunicação dos campus dos estados, exceto os que farão a interligação entre os estados citados anteriormente. Os funcionários e clientes da empresa poderão se autenticar em qualquer lugar onde o grupo estiver presente, e, além disso, será implantada rede sem fio de qualidade em todos os campus e unidades para acesso à internet de clientes e funcionários, para atender essa demanda, utilizaremos o AP Cisco Aironet 3700 Series. Todos os computadores terão o sistema operacional Windows 10 com exceção dos servidores que utilizarão sistema operacional Windows Server 2012 Standard Edition, estaremos protegidos por um software de antivírus em todas as estações.

Será feita a instalação de um software ERP para gerenciamento do estabelecimento. Cada máquina possuirá sistema operacional, um cliente do software ERP com um módulo configurado para a determinada área. As estações administrativas contarão com o pacote de aplicações do Microsoft Office 2016. Antes do término do projeto será executado o projeto piloto para identificação de possíveis erros no funcionamento geral da rede como um todo. Isso de certa forma é mais seguro também, pois era possível clonar ou alterar o endereçamento físico dos adaptadores de rede, possibilitando o ingresso a outra sub-rede sem a devida autorização. Para a configuração da DMZ utilizou-se dos 3 servidores físicos disponíveis na empresa de TI, sendo aplicadas as regras já existentes no firewall para determinar o acesso aos principais serviços da DMZ.

Os testes e validação desta proposta foram realizados com o apoio do software Zabbix, por meio de comparativos que permitiram analisar as informações da rede antes e depois das mudanças aplicadas, bem como se comportou a nova estrutura de rede, e também mediante a confirmação do Departamento de Informática da empresa de TI perante os resultados alcançados. Também foi utilizado o software SARG (Squid Analysis Report Generator) que tem a função de gerar relatórios de acesso à internet. Todo esse acesso é mantido pelo Squid16 e fica armazenado em um arquivo chamado access. Sendo os dados processados e disponibilizados pelos servidores, o data center é o espaço dedicado à instalação de servidores e todos os sistemas de armazenamento de dados, bem como os equipamentos ativos de rede que permitam a comunicação de dados entre os sistemas existentes e comunicação desses dados para o exterior.

São ainda componentes do data center todos os equipamentos com intuito de monitorar funcionamento do mesmo. Em linhas gerais, qualquer data center deverá ter bem definidos os seguintes aspetos: a) Espaço físico; b) Infraestrutura de rede; c) Segurança física; d) Combate e prevenção contra incêndios; e) Arrefecimento; f) Energia. O sistema utilizado no arrefecimento dos servidores consiste em sua ventilação interna com várias ventoinhas que fazem o ar atravessar o chassi do servidor da parte da frente para trás. Normalmente, o ar que é expelido pela traseira de um servidor foi aquecido pela transferência de calor resultante do arrefecimento dos componentes do servidor. Figura 2 - Quadro Elétrico a ser Instalado no Data Center 3. Definição das UPSs e PDUs Serão adquiridas duas unidades APC MGE Galaxy 300 com a capacidade de 30kVA e autonomia de 25 minutos (a 75% da carga).

A aquisição destas duas unidades terá como principal objetivo a instalação em paralelo de forma a permitir a continuidade de serviço em caso de anomalia de alguma destas unidades ou mesmo permitir a manutenção de alguma delas sem necessidade de qualquer interrupção do fornecimento de energia. A existência das duas unidades, instaladas em paralelo, servirá também para duplicar a autonomia do sistema no seu conjunto. Desta forma passa-se a ter, à carga atual de 75% por unidade, 50 minutos de autonomia do sistema. Projeto de controle de acesso e automação predial O único acesso ao Data Center é feito através da sua porta. A sala do Data Center é desprovida de janelas ou quaisquer outras aberturas para o exterior. A entrada de cabos será subterrânea e feita através de 3 passagens com 15 cm de diâmetro cada.

A porta de acesso ao Data Center foi especificada com dimensões que permitissem a passagem dos diversos equipamentos habituais num espaço destes, pelo que as suas dimensões são de 2000x1000x230mm. Trata-se de uma porta blindada (de ferro) com acabamento de madeira contendo dobradiças com espigões de segurança bem como com fechadura de segurança. Projeto de comunicação com as filiais A topologia do projeto foi elaborada de tal modo que atenda a necessidade de toda a empresa, como existe uma distância significativa entre a sede e filiais, foi necessário a implementação de VPNs, visando diminuir o custo com a infraestrutura. Os links de dados de internet terão 1Gbit/s de velocidade para fornecer acesso à internet de qualidade a todos os campi.

Os links de transmissão de dados dedicados interligando as filiais terão 30 Mbits/s de redundância. Os links dedicados interligando a sede a cada filial terão 10 Mbits/s e a redundância terá 5 Mbits/s. Todos os links serão interligados por fibra ótica. Todos os computadores (exceto os notebooks) estarão com a configuração para o bloqueio de uso deste tipo de equipamento. Permissão de utilização ao usuário: Os usuários que necessitem utilizar este tipo de dispositivo, deverão apresentar a justificativa através de chamado no Helpdesk com a autorização do Gerente responsável do departamento no próprio chamado o qual estará autorizando o usuário a utilizar o (s) dispositivo (s) dentro da empresa solicitando também o desbloqueio do computador para a utilização do dispositivo.

Os computadores desbloqueados para o uso dos dispositivos terão as senhas padrão para acesso a estação alterada, onde somente o usuário e o Gerente do Departamento terão conhecimento, não permitindo o uso do mesmo por pessoas não autorizadas. O Usuário autorizado e o Gerente do Departamento serão os responsáveis pela estação de trabalho o qual estará liberado para a conexão do dispositivo de armazenamento. Os mesmos serão responsáveis por quaisquer danos causados nos recursos da empresa, decorrentes da má utilização deste recurso na estação trabalho o qual é responsável. Implementaremos um servidor de proxy com a finalidade de melhoramento do tempo de respostas com a criação de cache das requisições mais frequentes das páginas web acessadas em uma rede, reduzindo a utilização da conexão.

Com isso os resultados apresentados serão acessos mais rápidos, aparentando inclusive um aumento de banda de rede, apenas com uma boa gerência da conexão, havendo a possibilidade também de implementação de um proxy reverso, onde todas as conexões originadas externamente são endereçadas para um dos servidores Web através de um roteamento feito pelo servidor proxy, que pode tratar ele mesmo a requisição ou, encaminhar a requisição toda ou parcialmente a um servidor Web que tratará a requisição. ABNT ISO/IEC 27002:2005 no item 11. orienta que haja regras de controle de acessos e no item 11. letra a que rege sobre acessos permitidos aos serviços de rede. em relação a autenticação para conexão externa do usuário).

Proposta para segurança em conexões Web envolvendo protocolos e certificados digitais A empresa terá seu certificado digital emitidos por entidades chamadas Autoridade Certificadora (AC). Geralmente, o certificado emitido por uma AC oficial envolve custo financeiro para emissão e renovação anual do mesmo. Então, muitas instituições, governos e corporações adotam a emissão de seus próprios certificados digitais (auto assinados). A fim de evitar o “roubo” de informações, principalmente de login e de senha de acesso da aplicação web, solicitaremos que o usuário: a) Mantenha o seu navegador web com a versão mais recente e com todas as atualizações aplicadas; b) Mantenha seu computador seguro com as atualizações do sistema operacional e antivírus aplicadas; c) Digite a URL (Uniform Resource Locator), ou seja, o endereço de rede da aplicação, diretamente no navegador.

As cópias deverão ser feitas de forma escalonada em mídias diferentes para cada dia da semana. As mídias deverão ser armazenadas em local seguro, fora das instalações do CPD para evitar perda de dados em casos sinistros. Semanalmente, no final do expediente de sexta feira um conjunto de backup deverá ser enviado para um local externo em outro endereço a ser definido pela diretoria. Neste local deverá haver permanentemente um conjunto completo de backup capaz de restaurar todos os dados da empresa em caso de algum sinistro. O conjunto de backup armazenado externamente deverá sofrer rodízio semanal com um dos conjuntos de backup ativo. O Setor de Informática poderá, visando evitar a entrada de vírus na empresa, bloquear o recebimento de e-mails provenientes de sites gratuitos.

Política de segurança da informação Aos usuários, como norma da empresa no processo de admissão serão entregues a Política de Segurança da Informação e de Uso dos Recursos Computacionais e assinar o Termo de Compromisso da empresa responsabilizando-se por possíveis danos causados à mesma, decorrentes da violação de uma ou mais normas. O Termo de Compromisso conterá a identificação para o acesso aos recursos computacionais e acesso à rede de computadores da empresa. O documento ficará em poder do RH, podendo o usuário solicitar uma cópia do mesmo para seu controle. O diretor de cada setor será responsável pela solicitação ao Departamento de Informática da inclusão/alteração/exclusão de permissão de uso dos Recursos Computacionais da empresa nos casos de admissão, desligamento ou transferência de setor do Usuário.

Segurança para dispositivos móveis Não será permitido o compartilhamento de pastas nos computadores e desktops da empresa. Todos os dados deverão ser armazenados nos Servidores da rede, e a autorização para acessá-los deverá ser fornecida pelo Servidor AD (Active Directory). O Pessoal de TI está orientado a periodicamente todos os compartilhamentos existentes nas estações de trabalho e garantir que dados considerados confidenciais e/ou restritos não estejam armazenados na rede. Os compartilhamentos de impressoras devem estar sujeitos as autorizações de acesso do AD. Não serão permitidos na empresa o compartilhamento de dispositivos móveis tais como pen-drivers e outros tipos de mídias. O Setor de Informática fará auditorias periódicas do acesso dos usuários às informações, verificando: • Que tipo de informação o usuário pode acessar; • Quem está autorizado a acessar determinada rotina e/ou informação; • Quem acessou determinada rotina e informação; • Quem autorizou o usuário a ter permissão de acesso à determinada rotina ou informação; • Que informação ou rotina determinado usuário acessou; • Quem tentou acessar qualquer rotina ou informação sem estar autorizado.

Verificação O controle de uso, a concessão de permissões e a aplicação de restrições em relação a rede da empresa, assim como, o uso de eventuais sistemas instalados nos computadores, é responsabilidade do setor de Informática, de acordo com as definições da Diretoria da empresa. O Setor de Informática é responsável pela aplicação da Política da empresa de TI fictícia, em relação a definição de compra e substituição de “software” e “hardware”. Qualquer necessidade de novos programas ("softwares") ou de novos equipamentos de informática (hardware) deverá ser discutida com o responsável pelo setor de Informática. Não será permitido a compra ou o desenvolvimento de "softwares" ou "hardwares" diretamente pelos usuários. O link de tronco não pertence a nenhuma das VLANs individualmente.

A configuração foi realizada por meio da implementação de um script no Linux. A Figura 8 apresenta o script para configurar as TAGs da VLANs. As regras de firewall são relacionadas ao tráfego de rede para determinar quais operações de transmissão de dados podem ser executadas controlando, assim, a entrada (in) e a saída (out). O firewall também deve estabelecer o que pode ou não pode passar entre uma rede e outra, além de fazer o papel de roteamento entre as VLANs. Acesso: 10 jun. CERT. br. Centro de Estudos, Respostas e Tratamentos de Incidentes de Segurança do Brasil. Disponível em: <http://www. “Conheça a NBR ISO/IEC 27002”. Disponível em: <http://www. profissionaisti. com. br/2010/03/conheca-a-nbr-isoiec-27002-parte-1/>.