TCC PRONTO - Redes de Computadores
Tipo de documento:Plano de negócio
Área de estudo:Tecnologia
O que é Alta Disponibilidade. Disponibilidade básica. Qualidade de Serviço (QOS). Gerenciamento de Redes. Redes de Longa Distância. Criptografia. Utilização no projeto. Equipamentos. Orçamento. Política de Segurança da Empresa. – Explicação sobre antiga rede e rede atual………………………………………………. Data Center. Conclusão. Referencias bibliográficas. TERMO DE ABERTURA DO PROJETO Introdução Nossa empresa tem um grande apelo nos serviços voltados que utilizam a rede e nas ultimas analises coletadas, foi possível notar que a mesma não estava apresentando um bom desempenho e que seu serviço tinha uma disponibilidade baixa, levando em conta os dados coletados foi possível ver que os clientes estavam procurando outros serviços que fosse seguros e assim fazendo com que a empresa tivesse prejuízo e que perdesse sua consolidação no mercado e confiabilidade.
O fato de ambos servidores se encontram em funcionamento e ligados à rede não implica, porém, que se encontrem a desempenhar as mesmas tarefas. Esse é uma decisão por parte do administrador e que tem o nome de balanceamento de carga. Um dos termos de comparação geralmente utilizado na avaliação de soluções HA: níveis de disponibilidade segundo tempos de indisponibilidade (downtime). Excluídos desta tabela, os tempos de downtime estimados (geralmente para manutenção ou reconfiguração dos sistemas) são alheios às soluções e muito variáveis. Para que se entenda a Alta Disponibilidade faz-se necessário, antes de mais nada, perceber que a Alta Disponibilidade não é apenas um produto ou uma aplicação que se instale, e sim uma característica de um sistema computacional.
Chega-se então na Disponibilidade Contínua, o que significa que todas as paradas planejadas e não planejadas são mascaradas, e o sistema está sempre disponível. Objetivos Como já pode ser percebido de sua definição, o principal objetivo da Alta Disponibilidade é buscar uma forma de manter os serviços prestados por um sistema a outros elementos, mesmo que o sistema em si venha a se modificar internamente por causa de uma falha. Aí está implícito o conceito de mascaramento de falhas, através de redundância ou replicação (termos que serão conceituados mais tarde). Um determinado serviço, que se quer altamente disponível, é colocado por trás de uma camada de abstração, que permita mudanças em seus mecanismos internos mantendo intacta a interação com elementos externos.
Este é o coração da Alta Disponibilidade, uma subárea da Tolerância a Falhas, que visa manter a disponibilidade dos serviços prestados por um sistema computacional, através da redundância de hardware e reconfiguração de software. Os administradores trabalharam na gerencia Pró Ativa. Gerencia de Desempenho – A gerencia de desempenho consiste em medir, monitorar e avaliar os níveis de desempenhos atuais da rede, também vale lembrar que tem como o objetivo principal garantir a capacidade mínima em que a rede pode operar e assegurar que os dispositivos possam tratar o tráfego presente na rede, essa gerencia trata-se de dados colhidos da rede, onde será verificado o que estão acessando na rede. Na gerencia de desempenho também utilizaremos ferramentas de monitoração para verificar o tráfego atual da rede, o que esta sendo acessado e por quanto tempo, onde ira gerar gráficos de desempenho para que a rede atinja sua maior performance.
Nossa gerência de desempenho baseia-se em Continuidade de serviço, Planejamento de capacidade, Recuperabilidade, Utilização de link e históricos de dados acessados. Gerencia de Configuração – Trata-se do controle e monitoração das condições do ambiente de rede, onde será identificado de houve alguma mudança de configuração em algum dispositivo da rede, onde será arquivado e documentado toda e qualquer alteração feita em qualquer equipamento de rede, ou qualquer equipamento novo na rede, manutenção de softwares instalados, mudança de conexão garantindo o controle total do Software, Hardware e suas respectivas configurações. Essa relação de vizinhança pode definir aos roteadores uma relação de speakers ou peers. Tratando-se de um protocolo importante que requer confiabilidade em sua comunicação para garantir a alcançabilidade entre todas as redes da Internet, é necessário que seja utilizada uma forma confiável de troca de informações deste protocolo.
Isso é obtido pela utilização do protocolo TCP entre dois roteadores que trocam informações do protocolo BGP. A porta utilizada para a comunicação é 179. Para identificar univocamente cada sistema autônomo, todos os AS possui um número que o identifica mediante os demais ASs da Internet. A atualização de tabelas de rotas entre roteadores vizinhos não ocorre em intervalos de tempo pré-definidos, mas sim quando a tabela BGP sofre alguma mudança. Isso torna a divulgação mais leve, visto que ao nível do BGP o número total de rotas da Internet é muito grande e o anúncio de todas as rotas seria inviável. Esta forma de anúncio pode ser definida como incremental, ou seja, sendo enviadas apenas as atualizações. Este modo de atualizações incremental diminui consideravelmente o overhead e a banda utilizada para anúncios.
Para a comunicação entre roteadores BGP existem alguns tipos de mensagens onde cada um deles tem um papel importante na comunicação BGP. Esta conexão deve ter sido previamente configurada pelo administrador do sistema. O próximo estado é o de CONNECT e no caso da tentativa ser mal sucedida, volta ao estado IDLE. • CONNECT: Neste estado o BGP aguarda pela conexão no nível de transporte, com destino na porta 179. Quando a conexão a este nível estiver estabelecida, ou seja, com o recebimento da mensagem de OPEN, passa-se ao estado de OPENSENT. Se a conexão do nível de transporte não for bem sucedida, o estado vai para ACTIVE. Em seguida, acerta-se o tempo de Hold Time, sendo optado o menor tempo entre os dois peers.
Depois deste acerto, compara-se o número AS local e o número AS enviado pelo peer, com o intuito de detectar se trata-se de uma conexão iBGP (números de AS iguais) ou eBGP (números de AS diferentes). Em caso de desconexão em nível de protocolo de transporte, o estado passa para ACTIVE. Para as demais situações de erro, como expiração do Hold Time, envia-se uma mensagem de NOTIFICATION com o código de erro correspondente e retorna-se ao estado de IDLE. No caso de intervenção do administrador ou o próprio sistema, também retorna-se o estado IDLE. A partir da máquina de estados apresentada anteriormente, é possível saber qual o status de uma sessão BGP entre dois roteadores, podendo também iniciar uma investigação sobre qual problema pode estar ocorrendo em alguma sessão.
O objetivo esperado é que todas as sessões BGP de um roteador mantenham-se no estado ESTABLISHED, visto que somente neste estado ocorre a troca de anúncios com o roteador vizinho. Metro Ethernet Por muitos anos, o padrão Ethernet tem sido o protocolo dominante em redes LAN; hoje, mais de 98% do tráfego corporativo passa por interfaces Ethernet. Isto é motivado pela simplicidade, facilidade de operação, alto grau de integração e padronização do protocolo Ethernet, o que torna esta tecnologia extremamente atrativa em termos de custo. Por outro lado, o mesmo não acontece com as redes MAN e WAN, com as operadoras oferecendo serviços baseados em ATM, Frame Relay e linhas privativas, todos significantemente mais complicados e com custo mais elevado. Análise e Desempenho de Redes Cálculo da Disponibilidade Em um sistema real, se um componente falha, ele é reparado ou substituído por um novo componente.
Se este novo componente falha, é substituído por outro e assim por diante. O componente reparado é tido como no mesmo estado que um componente novo. Durante sua vida útil, um componente pode ser considerado como estando em um destes estados: funcionando ou em reparo. O estado funcionando indica que o componente está operacional e o estado em reparo significa que ele falhou e ainda não foi substituído por um novo componente. Estas palavras, que parecem tão próximas, na verdade designam a ocorrência de algo anormal em três universos diferentes de um sistema computacional. Falha Uma falha acontece no universo físico, ou seja, no nível mais baixo do hardware. Uma flutuação da fonte de alimentação, por exemplo, é uma falha. Uma interferência eletromagnética também.
Estes são dois eventos indesejados, que acontecem no universo físico e afetam o funcionamento de um computador ou de partes dele. Para que uma máquina assuma o lugar de outra, é necessário que descubra de alguma forma que a outra falhou. Isso é feito através de testes periódicos, cujo período deve ser configurável, nos quais a máquina secundária testa não apenas se a outra está ativa, mas também fornecendo respostas adequadas a requisições de serviço. Um mecanismo de detecção equivocado pode causar instabilidade no sistema. Por serem periódicos, nota-se que existe um intervalo de tempo durante o qual o sistema pode estar indisponível sem que a outra máquina o perceba. Failover O processo no qual uma máquina assume os serviços de outra, quando esta última apresenta falha, é chamado failover.
Failback Ao ser percebida a falha de um servidor, além do failover é obviamente necessário que se faça manutenção no servidor falho. Ao ser recuperado de uma falha, este servidor será recolocado em serviço, e então se tem a opção de realizar o processo inverso do failover, que se chama failback. O failback é portanto o processo de retorno de um determinado serviço de uma outra máquina para sua máquina de origem. Também pode ser automático, manual ou até mesmo indesejado. Em alguns casos, em função da possível nova interrupção na prestação de serviços, o failback pode não ser atraente. A Solução Conectiva para Alta Disponibilidade A Conectiva tem participado de projetos internacionais de Alta Disponibilidade, colaborando com a elaboração de diversos programas que suprem funcionalidades básicas na construção de ambientes de Alta Disponibilidade.
O interesse em trabalhar na integração de diversas tecnologias e estendê-las individualmente vem do objetivo de prover uma solução simples e flexível, que possa ser otimizada para as particularidades de cada aplicação. Todos estes projetos seguem a filosofia do Software Livre, assim como a solução apresentada pela Conectiva em seu Conectiva Linux. Neste espírito, a solução é baseada em quatro blocos básicos, que são: replicação de disco, monitoração de nodos, monitoração de serviços e sistema de arquivos robusto. Estes quatro blocos podem ser utilizados em conjunto ou individualmente, possibilitando a criação de soluções com failover e failback, automáticos ou manuais, com ou sem replicação de dados, e mesmo suportando paradas planejadas. Nem todos os sistemas de arquivos garantem isso, portanto para esta solução se escolheu trabalhar com o Ext3 File system.
Este sistema de arquivos trabalha com journal, o que significa que todas as alterações de dados são antes registradas no disco para que, caso o sistema venha a falhar durante este processo, a transação possa ser recuperada quando o sistema voltar. Isto confere agilidade ao processo de recuperação de falhas, bem como aumenta muito a confiabilidade das informações armazenadas. Monitoração de serviços A monitoração de serviços é feita através do Mon, um super- escalonador de testes que pode verificar centenas de máquinas e serviços de forma rápida e ágil, enviando alertas para endereços de correio eletrônico, pagers ou telefones celulares, garantindo que os administradores dos serviços estejam sempre bem informados sobre seu estado de operação.
Suporta dependências entre testes, portanto não perde tempo verificando se um servidor de HTTP está respondendo em uma máquina que sabe estar inoperante. Mas questão aqui não é apenas performance. Esta infraestrutura é responsável por manter as informações geradas pelos usuários. Grande parte do conhecimento de hoje está armazenado em discos rígidos. Este conhecimento precisa estar disponível com segurança. É importante para um profissional de sistemas operacionais conhecer um mínimo desta área. Com a combinação de discos conseguimos aumentar a performance e reduzir o risco de indisponibilidades de uma infraestrutura de discos. Algumas configurações permitem que 2 ou mais discos falhem ao mesmo tempo sem que o acesso aos dados seja interrompido. Alguns equipamentos permitem que os discos sejam substituídos sem indisponibilidades (Hot-Swap ou troca a quente).
RAID é um acrônimo formado pelas palavras Redundant Array of Independent Disks (Conjunto redundante de discos indepentendes). Disco Lógico vs Disco Físico Um disco lógico é a área de armazenamento que é disponibilizada para o sistema operacional depois que uma configuração RAID foi executada. A pesquisa definiu que tecnicamente, a controladora de discos costuma estar embutida no disco. O que estou chamando de controladora aqui é a Host Bus Adapter (HBA) ou Host Adapter, que é a placa que realmente faz a interface (onde você conecta os cabos) com a infraestrutura de armazenamento. No Brasil é muito comum ouvir as pessoas chamarem a HBA de controladora de discos. Embora seja possível montar configurações RAID por meio do Windows, a melhor opção é a utilização de controladoras com esta funcionalidade.
A configuração feita no hardware oferece melhor desempenho (incluindo o menor uso do processador) e flexibilidade. Note a figura com um exemplo simplificado com apenas 6 blocos. Do ponto de vista do sistema operacional, os 6 blocos de dados foram armazenados em um disco lógico. Do ponto de vista da controladora, o disco lógico é composto por 6 discos físicos. Quando o striping é utilizado, estes 6 blocos são distribuídos entre os 6 discos físicos diferentes. O striping é o principal responsável pela diferença de desempenho em um RAID. Isto ficará mais claro quando eu apresentar configurações que envolvem o uso de paridade. Espelhamento: técnica que consiste em duplicar os mesmos dados em dois discos físicos diferentes. Além disso, existe a possibilidade de duplicar controladoras para garantir que não exista um ponto único de falha.
Hot-swaping: conforme já citei anteriormente, alguns equipamentos permitem a troca do disco a quente, sem parar o ambiente. Hot-spare: todas as configurações de RAID devem suportar a perda de, ao menos, 1 disco (você verá que o RAID 0 é uma exceção). O Windows é capaz de criar volumes (via software) com os RAIDs 0, 1 e 5. Para os demais, é necessária uma controladora que ofereça este suporte via hardware. Novamente: quando o RAID é criado por hardware, o sistema operacional vê o disco lógico como se fosse um disco simples, não importando qual RAID está configurado por trás dos bastidores. RAID 0 O RAID 0 não possui redundância. É isto mesmo. Outra opção interessante é a utilização em ambientes de testes ou então como áreas temporárias para processamento e edição de vídeos e imagens.
Um ótimo lugar para utilizar o RAID 0 é no seu seu desktop pessoal. Se você tiver a disciplina de manter um backup atualizado em uma mídia externa, como um disco USB, você estará seguro e garantirá um ótimo desempenho. Nunca utilize RAID 0 onde dados de produção estiverem em jogo. Entenda dados de produção como os principais sistemas da companhia utilizados para tocar a operação. Isto não é muito bom. O RAID 1+0 é uma configuração cara e é, normalmente, utilizado apenas em ambientes de alta criticidade e datacenters. A indicação é para o uso com aplicações de missão crítica que necessitam de alta performance e disponibilidade. É mais comum encontrar este tipo de configuração em equipamentos dedicados para o armazenamento de dados, também chamados de Storages como a linha Clariion ou a linha Symmetrix, ambos da EMC.
RAID 1 O RAID 1 utiliza o espelhamento para garantir a disponibilidade dos dados. Embora possa parecer excelente por proporcionar uma forma de armazenar um espelho dos dados, tenha em mente que o RAID 1 não substitui o backup. Se uma bobagem for cometida no disco 0, esta bobagem será replicada par o disco 1 simultaneamente. Neste caso, você precisará do backup histórico. RAID 3 No RAID 3 os dados são divididos nos discos da matriz, com exceção de um, que armazena informações de paridade. Caso haja algum tipo de recuperação será possível garantir a integridade dos dados. No RAID 5 a paridade é armazenada de forma alternada em todos os discos. Se qualquer dos discos contidos no sistema tiver qualquer tipo de problema, o mesmo poderá ser substituído e reconstruído através do processo chamado de rebuild.
RAID 6 Este RAID é muito parecido ao RAID 5, no entanto difere-se pelo dobro de bits de paridade encontrado nele. Esta diferença faz com que haja garantia da integridade dos dados mesmo com falha de dois dos HDs ao mesmo tempo. RAID 10 O RAID 10 possui características do RAID 0 e o 1. O tráfego é distribuído ao longo de vários roteadores (gateways) usando um único IP virtual e múltiplos mac-address. O protocolo para balanceamento de carga trabalha com no máximo 4 roteadores, todos eles participam do processo para o encaminhamento dos dados. O protocolo GLBP provê a redundância a nível de rede(Layer 3), além de oferecer balanceamento, diferentemente de VRRP e HSRP que funcionam num esquemativo/Passivo. Com ele você pode adicionar redundância à sua rede, tendo dois ou mais gateways assumindo requisições para um único ip virtual, a utilização de um ip virtual implifica o processo de configuração dos hosts, permitindo também, no caso de uma rede já em produção, a adição de Gateways sem necessidade alguma de reconfiguração nos hosts.
Um Grupo GLBP é formando pelos Gateways(roteadores) que participarão no processo de prover a redundância na rede. Configurando o GLBP Ative o GLBP na interface através do comando glbp [grupo] ip [endereçovirtual]; Exemplo – Router(config-if)# glbp 1 ip 192. Configure o valor da prioridade do roteador através do comando glbp[grupo] priority [prioridade]. O valor deste atributo pode variar entre 1 e 255, sendo que 100 é o padrão. Exemplo – Router(config-if)# glbp 1 priority 150 Exemplo com um roteador principal e um link para a Internet e um roteador de backup, também com um link para a Internet: Caso os roteadores desta topologia estivessem configurados para utilizar HSRP, a alta disponibilidade estaria garantida, mas somente o roteador A estaria encaminhando tráfego e o roteador B estaria ocioso e seu link inutilizado.
Com o GLBP, além da disponibilidade oferecida, o balanceamento de carga também será aplicado e ambos os links dos roteadores A e B serão utilizados pelos hosts internos. Para compreender melhor, você pode imaginar um firewall como sendo uma portaria de um condomínio: para entrar, é necessário obedecer a determinadas condições, como se identificar, ser esperado por um morador e não portar qualquer objeto que possa trazer riscos à segurança; para sair, não se pode levar nada que pertença aos condôminos sem a devida autorização. Neste sentido, um firewall pode impedir uma série de ações maliciosas: um malware que utiliza determinada porta para se instalar em um computador sem o usuário saber, um programa que envia dados sigilosos para a internet, uma tentativa de acesso à rede a partir de computadores externos não autorizados, entre outros.
Um firewall atua como uma espécie de barreira que verifica quais dados podem passar ou não. Esta tarefa só pode ser feita mediante o estabelecimento de políticas, isto é, de regras, como você também já sabe. Em um modo mais restritivo, um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede. A filtragem normalmente se limita às camadas de rede e de transporte: a primeira é onde ocorre o endereçamento dos equipamentos que fazem parte da rede e processos de roteamento, por exemplo; a segunda é onde estão os protocolos que permitem o tráfego de dados, como o TCP e o UDP (User Datagram Protocol). Com base nisso, um firewall de filtragem pode ter, por exemplo, uma regra que permita todo o tráfego da rede local que utilize a porta UDP 123, assim como ter uma política que bloqueia qualquer acesso da rede local por meio da porta TCP 25.
Filtragens estática e dinâmica É possível encontrar dois tipos de firewall de filtragem de pacotes. O primeiro utiliza o que é conhecido como filtros estáticos, enquanto que o segundo é um pouco mais evoluído, utilizando filtros dinâmicos. Na filtragem estática, os dados são bloqueados ou liberados meramente com base nas regras, não importando a ligação que cada pacote tem com outro. Observe: Proxy Perceba que todo o fluxo de dados necessita passar pelo proxy. Desta forma, é possível, por exemplo, estabelecer regras que impeçam o acesso de determinados endereços externos, assim como que proíbam a comunicação entre computadores internos e determinados serviços remotos. Este controle amplo também possibilita o uso do proxy para tarefas complementares: o equipamento pode registrar o tráfego de dados em um arquivo de log; conteúdo muito utilizado pode ser guardado em uma espécie de cache (uma página Web muito acessada fica guardada temporariamente no proxy, fazendo com que não seja necessário requisitá-la no endereço original a todo instante, por exemplo); determinados recursos podem ser liberados apenas mediante autenticação do usuário; entre outros.
A implementação de um proxy não é tarefa fácil, haja visto a enorme quantidade de serviços e protocolos existentes na internet, fazendo com que, dependendo das circunstâncias, este tipo de firewall não consiga ou exija muito trabalho de configuração para bloquear ou autorizar determinados acessos. Proxy transparente No que diz respeito a limitações, é conveniente mencionar uma solução chamada de proxy transparente. Os pacotes de dados iniciais informam quais portas TCP serão usadas para esta tarefas. Se de repente o tráfego começar a fluir por uma porta não mencionada, o firewall pode então detectar esta ocorrência como uma anormalidade e efetuar o bloqueio. Arquitetura dos firewalls Você certamente percebeu que, a julgar pela variedade de tipos, os firewalls podem ser implementados de várias formas para atender às mais diversas necessidades.
Este aspecto leva a outra característica importante do assunto: a arquitetura de um firewall. Quando falamos de arquitetura, nos referimos à forma como o firewall é projetado e implementado. Perceba então que se trata de uma camada extra de segurança: a comunicação ocorre no sentido rede interna - bastion host - screening router - rede externa e vice versa. O roteador normalmente trabalha efetuando filtragem de pacotes, sendo os filtros configurados para redirecionar o tráfego ao bastion host. Este, por sua vez, pode decidir se determinadas conexões devem ser permitidas ou não, mesmo que tenham passado pelos filtros do roteador. Sendo o ponto crítico da estrutura, o bastion host precisa ser bem protegido, do contrário, colocará em risco a segurança da rede interna ou ainda poderá torná-la inacessível.
Screened Subnet A arquitetura Screened Subnet também conta com a figura do bastion host, mas este fica dentro de uma área isolada de nome interessante: a DMZ, sigla para Demilitarized Zone - Zona Desmilitarizada. Além disso, é comum desenvolvedores de antivírus oferecerem outras opções de proteção junto ao software, entre elas, um firewall. Mas, para quem procura uma solução mais eficiente e que permita vários tipos de ajustes, é possível encontrar inúmeras opções, muitas delas gratuitas. Usuários de Windows, por exemplo, podem contar com o ZoneAlarm, com o Cômodo, entre outros. Independente de qual seja o seu sistema operacional, vale a pena pesquisar por uma opção que possa atender às suas necessidades. Firewall de hardware Já foi mencionado neste texto o fato de um firewall poder ser uma solução de software ou hardware.
Mas, tal como evidencia o tópico sobre limitações, um firewall não é capaz de proteger totalmente uma rede ou um computador, razão pela deve ser utilizado em conjunto com outros recursos, como antivírus, sistemas de detecção de intrusos, VPN (Virtual Private Network) e assim por diante. O pensamento que se deve ter é o de que o firewall é parte da segurança, não a segurança em si, da mesma forma que acontece em um prédio, por exemplo: muros, portões, câmeras de vigilância e alarmes fazem a segurança de maneira conjunta, havendo menos eficiência se apenas um ou outro item for utilizado. Visão geral sobre Backup O utilitário Backup ajuda a proteger os dados de perdas acidentais se ocorrerem falhas de hardware ou de mídia de armazenamento no sistema.
Por exemplo, você pode usar o utilitário Backup para criar uma cópia dos dados que estão no disco rígido e arquivá-los em outro dispositivo de armazenamento. A mídia de armazenamento de backup pode ser uma unidade lógica, como um disco rígido, um dispositivo de armazenamento separado, como um disco removível, ou uma biblioteca inteira de discos ou fitas organizados e controlados por alterador robótico. • Fazer uma cópia da partição do sistema, da partição de inicialização e dos arquivos necessários para inicializar o sistema caso ocorra uma falha do computador ou da rede. • Agendar backups regulares para manter atualizados os dados arquivados. • O utilitário de backup também executa funções simples de gerenciamento de mídia como, por exemplo, formatação.
Tarefas de gerenciamento mais avançadas, como montagem e desmontagem de uma fita ou de um disco, são realizadas por um serviço denominado Armazenamento Removível. Para obter informações sobre o Armazenamento Removível, consulte Visão geral sobre o Armazenamento Removível. No entanto, a recuperação de arquivos pode ser difícil e lenta porque o conjunto de backup pode estar armazenado em vários discos ou fitas. Normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez. Verificar se você pode se conectar a todas as pastas compartilhadas nos outros computadores dos quais também é preciso fazer backup. Observação: você não pode fazer backup do estado do sistema de outro computador ou de outro controlador de domínio.
Os arquivos não são marcados como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Backup diferencial Um backup diferencial copia arquivos criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial. Backup incremental Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. Para restringir o acesso a um arquivo de backup, selecione Permitir que somente o proprietário e o administrador tenham acesso aos dados de backup na caixa de diálogo Informações sobre o trabalho de backup.
Se você selecionar essa opção, somente um administrador ou a pessoa que criou o arquivo de backup poderá restaurar os arquivos e as pastas. Observações • Você só pode usar o utilitário de backup localmente; não é possível fazer backup de um computador remoto. • Você só pode fazer backup e restauração dos dados do Estado do Sistema em um computador local. Você não poderá fazer backup dos dados do estado do sistema nem restaurá-los em um computador remoto se for um administrador no computador remoto. J {"Nome_Do_Trabalho"} Especifica o nome do trabalho a ser usado no arquivo de relatório de backup. Normalmente, nome do trabalho descreve os arquivos e pastas que estão sofrendo backup no trabalho de backup atual. P {"Nome_Do_Pool"} Especifica o pool de mídia no qual está a mídia que você deseja usar.
Em geral, será um subpool do pool de mídia de backup, por exemplo, 4mm DDS. Se você fizer essa seleção, não poderá usar as opções de linha de comando /A, /G, /F ou /T. IS {"Nome_Do_Servidor"} Faz backup do arquivo de Armazenamento de informações do Microsoft Exchange Server especificado. A Executa uma operação de acréscimo. G ou /T devem ser usados junto com essa opção. Não use essa opção junto com /P. V:{yes | no} Verifica se há erros no disco que poderiam ter ocorrido quando os arquivos foram copiados em uma fita. O tipo de backup deve ser um dos seguintes: cópia, diferencial, normal, incremental e diário. Exibe ajuda no prompt de comando. Comentários • Você não pode restaurar arquivos a partir da linha de comando usando o comando ntbackup.
• As opções de linha de comando a seguir têm como padrão o que você tiver definido através da versão de interface gráfica do usuário (GUI) do Backup, a menos que sejam alteradas por uma opção de linha de comando: /V /R /L /M /RS /HC. Por exemplo, se a compactação de hardware tiver sido ativada na caixa de diálogo Opções do Backup, ela será usada se a opção /HC não for especificada na linha de comando. ntbackup backup \\iggy-multi\c$ /m normal /j "Meu trabalho 1" /p "Backup" /n "Backup de linha de comando 1" /d "Funcionalidade da linha de comando" /v:yes /r:no /l:s /rs:no /hc:on Para executar um backup de cópia O exemplo a seguir executa um backup de cópia denominado "Meu Trabalho 2" na unidade D:\ local.
Os arquivos e pastas de backup serão acrescentados a uma fita denominada "Backup de linha de comando 1". Todas as outras opções serão padrão, de acordo com a especificação do programa Backup. ntbackup backup d:\ /j "Meu trabalho 2" /a /t "Backup de linha de comando 1" /m copy Para executar um backup usando o tipo de backup especificado em Backup O exemplo a seguir executa um backup usando o tipo de backup especificado no programa Backup. Será usado o arquivo de seleção de backup denominado Linhadecomando. bkf, o usuário podia especificar \\iggy-multi\d$\backup. bkf como destino de backup). ntbackup backup \\iggy-multi\d$ /j "Backup de linha de comando 4" /f "D:\backup. bkf" ntbackup backup \\iggy-multi\d$ /j "Backup de linha de comando 5" /f "D:\backup.
bkf" /a ntbackup backup \\iggy-multi\d$ /j "Backup de linha de comando 6" /f "D:\backup. Por exemplo, se você digitar *. txt, os arquivos com extensão. txt não serão submetidos a backup. Criptografia A criptografia, considerada como a ciência e a arte de escrever mensagens em forma cifrada ou em código, é um dos principais mecanismos de segurança que você pode usar para se proteger dos riscos associados ao uso da Internet. A primeira vista ela até pode parecer complicada, mas para usufruir dos benefícios que proporciona você não precisa estudá-la profundamente e nem ser nenhum matemático experiente. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la. Qual chave usar para codificar depende da proteção que se deseja, se confidencialidade ou autenticação, integridade e não repúdio.
A chave privada pode ser armazenada de diferentes maneiras, como um arquivo no computador, um smartcard ou um token. Exemplos de métodos criptográficos que usam chaves assimétricas são: RSA, DSA, ECC e Diffie-Hellman. A criptografia de chave simétrica, quando comparada com a de chaves assimétricas, é a mais indicada para garantir a confidencialidade de grandes volumes de dados, pois seu processamento é mais rápido. O hash é gerado de tal forma que não é possível realizar o processamento inverso para se obter a informação original e que qualquer alteração na informação original produzirá um hash distinto. Apesar de ser teoricamente possível que informações diferentes gerem hashes iguais, a probabilidade disto ocorrer é bastante baixa. Assinatura digital A assinatura digital permite comprovar a autenticidade e a integridade de uma informação, ou seja, que ela foi realmente gerada por quem diz ter feito isto e que ela não foi alterada.
A assinatura digital baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente pode decodificá-lo. No caso do certificado digital esta entidade é uma Autoridade Certificadora (AC). Uma AC emissora é também responsável por publicar informações sobre certificados que não são mais confiáveis. Sempre que a AC descobre ou é informada que um certificado não é mais confiável, ela o inclui em uma "lista negra", chamada de "Lista de Certificados Revogados" (LCR) para que os usuários possam tomar conhecimento.
A LCR é um arquivo eletrônico publicado periodicamente pela AC, contendo o número de série dos certificados que não são mais válidos e a data de revogação. De forma geral, os dados básicos que compõem um certificado digital são: • versão e número de série do certificado; • dados que identificam a AC que emitiu o certificado; • dados que identificam o dono do certificado (para quem ele foi emitido); • chave pública do dono do certificado; • validade do certificado (quando foi emitido e até quando é válido); • assinatura digital da AC emissora e dados para verificação da assinatura. Inclui a verificação de que a empresa foi legalmente registrada, encontra-se ativa e que detém o registro do domínio para o qual o certificado será emitido, além de dados adicionais, como o endereço físico.
Programas de criptografia Para garantir a segurança das suas mensagens é importante usar programas leitores de e-mails com suporte nativo a criptografia (por exemplo, que implementam S/MIME -Secure/Multipurpose Internet Mail Extensions) ou que permitam a integração de outros programas e complementos específicos para este fim. Programas de criptografia, como o GnuPG2, além de poderem ser integrados aos programas leitores de e-mails, também podem ser usados separadamente para cifrar outros tipos de informação, como os arquivos armazenados em seu computador ou em mídias removíveis. Existem também programas (nativos do sistema operacional ou adquiridos separadamente) que permitem cifrar todo o disco do computador, diretórios de arquivos e dispositivos de armazenamento externo (como pen-drives e discos), os quais visam preservar o sigilo das informações em caso de perda ou furto do equipamento.
O GnuPG não utiliza o conceito de certificados digitais emitidos por uma hierarquia de autoridades certificadoras. Estratégias: Trabalho vai funcionar com prazos pré-determinados e será implementado as tecnologias de acordo com a necessidade do cliente. Prognóstico realizando a proposta: Projeto será implementado de forma produtiva e que satisfaça o cliente. Prognóstico não realizando a proposta: Não haverá problema, caso o cliente queira nos contatar estaremos sempre à Disposição. Recursos: Os recursos requeridos são: Estações de trabalho, servidores, Roteadores Switches e protocolos de comunicações, como técnogia Ethernet, MPLS, DHCP, DNS e link de dados. Envolvidos: Os envolvidos serão os Diretores da empresa que será prestada o serviço, e os responsáveis pela RKB Solutions que será Leonardo Pinho – responsável pela documentação do projeto, Alexandre Casso lato – responsável pela topologia lógica da rede, Rover Santos – Responsável pela criação políticas da Empresa, Lucas Ferras – Responsável pelos servidores e implantação de serviços, Everton Bravo – Responsável por alguns protocolos de redundância, e Guilherme Batista da Cruz – responsável por segurança, criptografia e backup.
a 4. mês] (Dependendo dos defeitos) Comentários: Projeto elaborado com sucesso, aguardando a aprovação do cliente. Equipamentos Utilizados Figura 1 – Notebook Ultrabook Lenovo S400U com Intel® Core i3 - 4GB 500GB 32GB SSD Windows 8 LED 14 Glare HDMI Ultrabook com mobilidade total para se divertir. Conta com 4GB de memória e 500GB de HD. Tem tela LED Glare widescreen de 14''. • Segurança avançada: proteja informações importantes, mantenha usuários não autorizados fora da rede e preserve a continuidade das operações. • Confiabilidade: aproveite os métodos baseados em padrões ou pilha FlexStack para maior confiabilidade e rapidez de recuperação dos problemas. Você também pode adicionar uma fonte de alimentação redundante para aumentar ainda mais a confiabilidade. • Configuração fácil: use o Cisco Catalyst Smart Operations e o Cisco Network Assistant para simplificar configuração, atualizações e solução de problemas.
• Tranquilidade: Todos os switches Catalyst série 2960 Series são protegidos por toda a vida útil do produto pela Cisco Limited Lifetime Hardware Warranty e atualizações de software ilimitadas. e - Ready (Wireless QoS), 802. f (Wireless Roaming) • Portas: 10BASE-T/100BASE-TX Ethernet, 12 VDC • LEDsPower, PoE, Wireless, Ethernet Setup / ConfigWebUI Built-in interface web para configuração do navegador baseado Fácil (HTTP / HTTPS) • Gestão: SNMP SNMP Versão 1, 2c,3 • Registro de Eventos: E-mail de notificaçãoSyslog remoto • Web atualização F / WFirmware Atualizável Através de Web-Browser • Diags: Flash, etc , Flash, RAM, LAN, WLAN • Cliente DHCP, Modos de Operação • Ponto de Acesso: Modo Access Point, Point-to-Point Modo Bridge, Point-to-Multipoint Bridge Mode, Modo Repeater Sem fio • Spec / ModulaçãoRádio e Modulação • Tipo: 802. b/DSSS, 11g/OFDM • Canais Canais de operação: 11 da América do Norte, 13 A maior parte da Europa (ETSI e Japão) # De Ant externa.
Omni-direcional) SMA destacável • Potência de TransmissãoPotência de transmissão (ajustável) @ Faixa de Temp Normal: 11b - 18 ~ 19 dBm; 11g - 14 ~ 15 dBm, Ganho da antena em dBi2 • Sensibilidade do receptor11. g: 54 Mbps -72 dBm @, 11. Figura 8 – Servidor Servidor HP Principais Características • Processador e memória • Processador: 1 AMD Atum II Dual Core de 1,5 GHz • Cache: Cache de 2 MB • Tipo de memória: DDR3 PC3-10600E, operando a um máximo de 800 MHz • Slots de memória: 2 slots DIMM • Memória máxima: 8 GB (2 x 4 GB), 2 GB padrão+2GB Grátis(Módulo Avulso) = Total 4GB • Proteção avançada de memória: ECC sem buffer • Armazenamento: Máximo de unidades internas: 4 unidades NON hot plug • Armazenamento interno máximo: 8 TB (4 x unidades SATA de 3,5 pol. de 2 TB), sendo o disco e 250GB (1x 250GB) padrão da máquina • Controladora de armazenamento: RAID 0/1 controlador SATA incorporado • Slots de expansão: 2 PCI Express (x16 e x1) • Implantação: Tamanho: Torre ulta micro, • Fonte de alimentação: 200 watts • Controlador de rede: Adaptador de servidor embutido NC107i PCI Express Gigabit Ethernet • Gerenciamento remoto: Cartão de acesso remoto opcional • USB: 4 frontais, 2 traseiras.
Sistemas Operacionais Compatíveis para instalação - Microsoft Windows Server e Linux • Mini-Servidor com ótimo custo/benefício, além de atender as necessidades da empresa, tem armazenamento interno expansível até 8 TB e memória até 4 GB. Figura 9 – Rack Fechado HP1004419970P Rack 44U Fechado para Piso 19 Polegadas • Rack fechado de piso, composto por estrutura monobloco soldada, placas laterais e traseira removíveis por fecho rápido e porta em aço com fechadura e vidro cristal temperado. Cor:Preto; Altura: 44u; Profundidade Interna: 970mm • Profundidade Externa: 1000mm; • Composição Standard:2 pares de planos de montagem,Base com pés niveladores; Porta em aço e vidro cristal temperado; Placas laterais e traseira removíveis; • Inteligência: Projeto otimizado que racionaliza o espaço interno do rack. • Bandeja Simples: Estrutura em aço SAE 1010/20 soldada.
Acabamento padrão bege RAL 7032. • Calha de Tomadas: Disponíveis com 2, 4, 6, 8 e 12 Tomadas. Plug 2P + T e cabo com 2,5 m. Acabamento em bege RAL 7032. • Planos de montagem com espaçamento universal (EIA 310-D) possibilitam a instalação de diversos tipos de equipamentos Figura 10 - Rack Aberto Rack Aberto/Coluna 44U Preto é indicado para o acondicionamento de uma variedade de painéis e equipamentos padrão 19, concentrando equipamentos em um único rack. Ideal para locais com espaço reduzido, áreas de testes e equipamentos de pequena profundidade Permite instalação de guias de cabos laterais. • Estrutura soldada em chapa de aço de 1,50mm • Base de fixação no piso soldada em chapa de aço 1,50mm. • Furação de ½ em ½ U, perfurados para utilização de Porca Gaiola. • Acompanha kit de parafusos e buchas para fixação no piso.
• Fornecido na cor cinza. • Fornecido com ícones de identificação (ícones na cor cinza) e abraçadeiras plasticas para organização. • Instalação direta em racks de 19". • Atende FCC part 68. EMI - Indução Eletromagnética). Especificações: • Duas Teclas de Linhas com Led Bicolor, 2 contas SIP com 2 chamadas simultâneas cada, 3 teclas programáveis por XML sensíveis ao contexto, conferência a 3; • Monofone com audio HD wideband, viva-voz com cancelamento de eco acústico; • Serviço de Informações automático (por exemplo previsão do tempo), ring tone personalizado • Display Gráfico de 128x40 pixels • Phonebook com até 500 contatos e histórico com até 200 entradas • Duas portas de rede ethernet 10/100Mbps auto-sensing, PoE integrado • Provisionamento automatico usando o TR-069 ou arquivo de configuração em XML crip[tografado com AES via TFTP/HTTP/HTTPS, SRTP e TLS para segurança avançada, 802.
x para controle de acesso à mídia. Definição dos equipamentos 5 maquinas 4 notebooks – Diretoria; 2 impressoras colorida multifuncional 21 maquinas e 2 notebooks – Financeiro; 1 impressora colorida 21 maquinas e 2 notebooks – Importação; 1 impressora colorida 21 maquinas e 2 notebooks – RH; 1 impressora colorida no RH 23 Serviços de vendas e Call Center 16 maquinas e 3 notebooks - TI 14 maquinas e 1 notebooks - Area tecnica 6 maquinas e 1 notebook – Estoque 1 impressora Ethernet em cada andar Orçamento Orçamento Equipamentos Equipamentos Marca Quantidade Preço Unidade Preço Total Desktop Dell Vostro Slim 260S 121 R$ 2. R$ 261. Roteador Cisco 2811 3 R$ 4. R$2. Custo link OI (Mensal) 1 R$2. R$2. POLÍTICA DE SEGURANÇA Apresentação Ciente da importância de aprimorar os controles de gestão e governança, garantindo a proteção da informação e zelando pela integridade e sigilo dos dados corporativos, principalmente os dados dos Participantes e Assistidos.
O referido documento contém as principais diretrizes para todas as ações e demais regulamentos relacionados ao tema. Os benefícios evidentes são reduzir os riscos com vazamentos, fraudes, erros, uso indevido, sabotagens, roubo de informações e diversos outros problemas que possam comprometer esses princípios básicos. Integridade: garantia da veracidade da informação, que não pode ser corrompida. A informação não deve ser alterada enquanto está sendo transferida ou armazenada. Além disso, ninguém pode modificar seu conteúdo e muito menos eliminá-lo. Confidencialidade: proteção da informação compartilhada contra acessos não autorizados. Os conteúdos acessados e transmitidos através dos recursos de tecnologia da RKB devem ser legais, de acordocom o Código de Ética da entidade, e devem contribuir para as atividades profissionais do usuário.
Cada usuário é responsável pelo uso dos recursos que lhe foram fisicamente entregues e estão sob sua custódia, garantindo a conservação, guarda e legalidade dos programas (softwares) instalados. Em caso de roubo ou furto de recursos físicos de tecnologia, o usuário deve fazer o registro da ocorrência em unidade policial, comunicar ao seu gestor e à TI. Os recursos de tecnologia, disponibilizados para os usuários, não podem ser repassados para outra pessoa interna ou externa da organização. Ao identificar qualquer irregularidade no recurso de tecnologia o usuário deve comunicar imediatamente à TI. c. Programas utilizados no computador Os programas aplicativos, programas básicos (sistema operacional e ferramentas) e componentes físicos são implantados e configurados pela TI. É proibido ao usuário implantar novos programas ou alterar configurações sem a permissão formalizada da TI.
É proibido ao usuário implantar ou alterar componentes físicos no computador. d. Responsabilidades do usuário O usuário que utiliza o recurso computador deve: Cuidar adequadamente do equipamento. O usuário é o Custodiante deste recurso. Garantir a sua integridade física e o seu perfeito funcionamento, seguindo as regras e orientações fornecidas pela TI. g. Informações contidas no computador O usuário tem a responsabilidade de transferir para o servidor designado as informações que estão no computador portátil e que precisam possuir cópias de segurança. O acesso à Internet deve ser feito exclusivamente com os programas (softwares) autorizados e disponibilizados para os usuários pela TI. O usuário não deve alterar as configurações implantadas no computador, notebook, etc. que utiliza.
c. Responsabilidade e forma de uso O usuário que utiliza o acesso à Internet: É responsável por todo acesso realizado com a sua identificação/autenticação. Uso de serviço de mensagem instantânea. É proibido o uso de serviços de mensagem instantânea (MSN, etc), através dos computadores, exceto em eventuais situações de uso profissional autorizado pelo gestor da área e pela TI. e. Uso de serviço de rádio, TV, download de vídeos, filmes e músicas. É proibido o uso de serviços de rádio, TV, download de vídeos, filmes e músicas, através dos computadores, exceto em eventuais situações de uso profissional autorizado pelo gestor da área e pela TI. b. Criação, manutenção e exclusão do endereço de correio eletrônico A utilização desse endereço de correio eletrônico pelo usuário necessita ser autorizada pelo seu Gestor.
A liberação do endereço de correio eletrônico será feita pela TI de maneira controlada e segura com o objetivo de garantir que apenas o usuário tenha possibilidade de utilizar o referido endereço. Quando acontecer desligamento de usuário do tipo empregado ou estagiário, a FCS (Central de Serviços) deve comunicar à TI seu nome e a identificação. Quando acontecer desligamento de usuário do tipo não empregado e não estagiário, o Gestor da Informação deve comunicar à TI o nome e a identificação desse usuário. e. Envio e recebimento de mensagens O endereço eletrônico de usuário do tipo prestador de serviço ou tipo estagiário somente poderá enviar e receber mensagens de endereços de correio eletrônico.
O endereço eletrônico dos demais tipos de usuário pode enviar e receber mensagens internas ou externas. f. Propriedades do endereço O endereço de correio eletrônico disponibilizado para o usuário e as mensagens associadas a esse endereço são de propriedade da RKB. Possuam informação pornográfica, obscena ou imprópria para um ambiente profissional. Sejam susceptíveis de causar qualquer tipo de prejuízo a terceiros. Sejam hostis ou transmitam indiretamente mensagens hostis. Defendam ou possibilitem a realização de atividades ilegais. Sejam ou sugiram a formação ou divulgação de correntes de mensagens. Deve avaliar se é conveniente para a RKB que outro usuário interno possa acessar suas mensagens de correio eletrônico e antecipadamente delegar esse acesso, quando se ausentar por um período maior que uma semana.
h. Cópias de segurança Para que seja possível uma gestão segura, efetiva, confiável, administrável e passível de auditoria: A cópia de segurança das mensagens de correio eletrônico deve ser feita de forma centralizada no ambiente dos equipamentos servidores corporativos ou servidores regionais, sob a responsabilidade da TI. A TI fornecerá o serviço de recuperação de mensagens de correio eletrônico, a partir de arquivos de cópia de segurança, cumprindo parâmetros de nível de serviço previamente estabelecido. Todos os dados da empresa deverão ser protegidos através de rotinas sistemáticas de Backup. O conjunto de backup armazenado externamente deverá sofrer rodízio semanal com um dos conjuntos de backup ativo. Validação do Backup – Mensalmente o backup devera ser testado pelo pessoal de Ti, voltando-se parte ou todo o conteúdo do backup em um HD previamente definido para este fim.
Esta operação devera ser acompanhada pelo Gerente da Empresa responsável por supervisionar a área de Ti. CÓPIAS DE SEGURANÇA DE ARQUIVOS EM DESKTOPS Não é política da Empresa o armazenamento de dados em desktops individuais, entretanto, existem alguns programas fiscais que não permitem o armazenamento em rede. Nestes e em outros casos, o pessoal de TI deverá alertar ao usuário que ele deve fazer backup dos dados de sua maquina periodicamente. • Autenticação • Certificados digitais (linha telefônica,filial e campus). • Controle de Acesso • listas de acesso em roteadores: WAN e gateway. • Firewall entre a Internet e a empresa. • Autenticação de rota. • Criptografia (filiais e campus) Serviços Multilink – PPP • Balanceia a carga de tráfego através de múltiplos enlaces paralelos.
A solução para esse problema foi o protocolo spanning tree que tem como função evitar que loops de rede ocorram em camada 2. O STP monitora constantemente a rede identificando todos os links em atividade e certificando-se que loops não ocorram, através da desativação de links redundantes. STP PPP – Autenticação Troca nomes e senhas de modo que cada dispositivo possa verificar a identidade do dispositivo na outra extremidade do enlace. Existem dois tipos de autenticação. PAP e CHAP. com Etapa 3: Gerar chaves assimétricas R2(config) # crypto key generate rsa É recomendável a utilização de um tamanho de módulo mínimo de 1024. Configuração de segurança em portas (Port Security) Segurança em portas (switchport security) é um modo de se evitar que usuários conectem um dispositivo ao switch sem que o administrador tenha conhecimento.
Configurando segurança em portas CENÁRIO ATUAL Topologia lógica e de infraestrutura Prédio principal Nesse cenário antigo do cliente temos apenas um link por switch e praticamente nenhuma redundãncia. Depois Fizemos um upgrade com Etherchannel que realiza uma combinação entre os links agregados ao switch, isso nos proporciona segurança e alta velocidade. Prédio principal 1 Prédio 2 Conexão com a Matriz – Frame Relay A conexão com a matriz e filial não é mais Frame Relay, substituimos por Metroethernet porque o custo é baixo e o serviço é muito bom. Capacity plan: • Levantar relatórios da rede, Taxa de crescimento do Data Center, monitorar o inventário de software e hardware, administrar computadores remotamente. Do • Treinar colaboradores, fornecedores e gestores, e assim melhorar o conhecimento das funcionalidades dos equipamentos e sistema.
• O Treinamento será executado respeitando as políticas de segurança da empresa, como o sigilo das informações confidenciais, utilização de forma apropriada do sistema, respeitando o que pode ou não fazer. • Definir as soluções implantadas, não tivemos problemas de compatibilidade, desempenho ou até indisponibilidade dos sistemas, porem isto terá uma avaliação diariamente. Check • Efetuar testes de integridade: Penetration Test (Teste de Invasão) • Efetuar funcionalidade: Stress test (Testes de estresse) • Efetuar disponibilidade: Simulação • Monitorar link de dados, refrigeração, link de telecomunicação, segurança física, segurança logica de sistemas, firewalls, atualizações, antivírus e capacidade. • Compartilhamento indevido de senhas pessoais com outros funcionários podem trazer consequências graves para a empresa, essas senhas sendo utilizadas de má fé trazem grandes riscos para a empresa.
• Os funcionários que não cumprem a política de segurança da empresa, com essa atitude pode deixar a rede vulnerável. • Falta de treinamento para todos os funcionários, não criar um treinamento específico para os mesmos. Isto deixa a nossa segurança mais vulnerável. • Não comparecimento dos funcionários nos treinamentos de segurança, essa atitude pode mostra a falta de interesse dos funcionários pela segurança, deixando então a segurança vulnerável a vírus, congestionamentos e ataques. Esta política é aplicada a todos os sistemas, processos e atividades que utilizam recursos de informação da PI, tendo como premissa básica o cumprimento e comprometimento de todos os colaboradores que possuam tais acessos. Definições e Premissas Disponibilidade: Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.
Confidencialidade: Garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso. Proprietário: O líder da área geradora do ativo de informação é responsável pela sua identificação, manutenção e aplicação, de acordo com o Procedimento de Controle de Documentos e Registros vigente bem como pela classificação e tratamento, de acordo com o estabelecido neste documento. Criptografia: Disciplina que compreende o estudo dos princípios, meios e métodos para transformar dados a fim de ocultar seu conteúdo, impedir sua modificação indetectável, e/ou impedir seu uso não autorizado. É toda informação que pode ou deve ser divulgada para o público interno ou externo sem restrições, devidamente aprovada pela área jurídica da Voe Feliz.
Podendo ser de caráter informativo ou promocional. Interno É toda informação de conhecimento e uso está restrito interno e propósitos operacionais da organização, estando disponível para todos os usuários autorizados a acessar seus ativos de informação. Sua divulgação pode trazer impactos negativos aos negócios ou operação gerando inclusive vantagens aos concorrentes da PI. Externo Toda informação externo a Você Feliz, tais como documentos de uso setorial pertencente a fornecedores por exemplo. Penalidade: Não se aplica • E-mail Corporativo. O e-mail corporativo fornecido pela empresa PI, é um instrumento de comunicação interna e externa para realização de negócios da empresa. As mensagens deverão ser escritas em linguagem profissional e não devem comprometer a imagem da empresa, não podem ser contrarias a legislação vigente e nem aos princípios éticos da empresa.
O uso do e-mail é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço. O usuário deve desconfiar de todos os e-mails com assuntos estranhos ao ambiente de trabalho. Em caso de acesso a sites proibidos a penalidade será o desligamento por justa causa. • Realização de Downloads. A realização de downloads somente poderá ser efetuada pelo departamento de TI, é expressamente proibido o download de quaisquer arquivos sem autorização do TI. Penalidade: Advertência. Em caso de reincidência o funcionário ficará sem acesso a internet por um período de 30 dias. Atenção, se utilizado a senha para agir de má fé, em atitudes que tragam danos a integridade dos sistemas ou dados essenciais da empresa, a penalidade será o desligamento por justa causa.
Compartilhamento de dados ou informações Não é permitido o compartilhamento de pastas nos computadores e desktops da empresa. Todos os dados deverão ser armazenados nos servidores da rede, e a autorização para acessá-los deverá ser fornecida pelo servidor AD (Active Directory). O setor de TI está autorizado a periodicamente verificar todos os compartilhamentos existentes nas estações de trabalho e garantir que dados considerados confidenciais e/ou restritos não estejam armazenados na rede. Penalidade: Advertência. Quaisquer modificações e alterações no teor do documento deve ser feita mediante reunião do conselho diretor da empresa, setor de TI e demais diretores. Distribuição elétrica Um sistema ideal de distribuição de energia elétrica poderia ter os seguintes atributos: Novos circuitos podem ser adicionados ou alterados com segurança em um sistema energizado.
Não é necessário ter cabos abaixo do piso. Todos os circuitos são monitorados quanto a energia elétrica. O status de todos os disjuntores é monitorado remotamente. O sistema de distribuição de energia elétrica mostrado na Figura 1 inclui todos esses elementos em uma arquitetura que é idealmente adequada para data centers modernos de alta densidade. Figura 1 O sistema de distribuição é feito em duas etapas. Em data centers maiores a energia do barramento crítico principal do suprimento de energia ininterrupta (no-breaks) é distribuída para as fileiras de equipamentos de TI usando um ou mais dutos elétricos aéreos conforme mostrado na parte superior da Figura 4. Os dutos elétricos aéreos são instalados logo no início e cobrem todo o layout planejado para os Racks de TI.
Quando um grupo de racks deve ser instalado, uma PDU modular com pequena área no piso é instalada ao mesmo tempo e é conectada no duto elétrico aéreo. Nesse sistema, uma PDU para uma nova fileira de gabinetes de TI, com toda a fiação associada do ramal elétrico e a régua de tomadas do Rack, pode ser instalada em uma hora, sem qualquer corte ou preparação de terminais de fios. Quando um pequeno grupo de racks está isolado pelo formato da sala ou por outras restrições. Nessas situações a capacidade total dos 24 ramais elétricos do sistema modular padrão de distribuição não é necessária. Nesses casos, a arquitetura inclui uma versão menor da unidade de distribuição modular de energia que pode ser montada diretamente em um rack de TI, não ocupa nenhuma área no piso e alimenta até 6 ramais elétricos.
Essa PDU inclui todos os recursos de monitoramento do status e da capacidade da energia da unidade maior, montada sobre o piso em uma versão de montagem em rack de 5U. Nessas aplicações de readaptações onde PDUs tradicionais são posicionadas, em geral, em função de restrições históricas, o componente da arquitetura representado pelo duto elétrico aéreo não é utilizado, são utilizados os tradicionais tubos e fios para conectar cada PDU aos barramentos principais. Um dos benefícios mais importantes e ignorados das PDUs modulares na atualização de um data center tradicional é o fato de que a instalação não introduz nenhum bloqueio adicional na vazão de ar abaixo do piso, pois os cabos correm em uma bandeja de cabos aérea.
Isso em geral é crucial em data centers existentes onde os pisos não são profundos e a vazão de ar abaixo do piso já é um fator limitante. Monitoramento do status e da energia elétrica Em um sistema de distribuição de energia elétrica para data centers pode haver centenas de disjuntores que podem estar sobrecarregados. Esse sistema de distribuição otimizado utiliza alimentadores de energia elétrica para o rack com capacidade mais elevada e utiliza de 20 a 40% menos disjuntores que um sistema típico, porém ainda existem muitos circuitos, em 4 níveis: Barramento principal para o no-break. Este é o mesmo sistema de distribuição utilizado na Europa e na maior parte do mundo, porém não é utilizada normalmente na América do Norte. A segunda opção na América do Norte é utilizar a tensão tradicional de 208/120 VCA trifásica, comum nos edifícios na América do Norte.
Essa opção requer o uso de mais cobre e unidades PDU com grandes transformadores de potência integrados, e é menos eficiente e mais cara. Para data centers instalados na América do Norte o sistema de 415/240 VCA tem inúmeras vantagens importantes, conforme explicado no Relatório APC No. Aumente a eficiência do Data Center utilizando uma melhor distribuição de energia elétrica de alta densidade. Embora o duto elétrico para o rack permaneça uma alternativa viável para as abordagens tradicionais, existem diversas desvantagens práticas do duto elétrico para o rack que são superadas pela nova arquitetura de PDU modular descrita neste artigo. O duto elétrico para o rack é comparado com a distribuição modular na Mesa 2. Embora um duto elétrico para o rack seja uma melhoria drástica em relação à abordagem tradicional, e a arquitetura neste relatório utiliza o duto elétrico para distribuir a energia elétrica massivamente no data center, a Tabela 2 mostra que o sistema de distribuição modular de energia tem algumas vantagens sobre o duto elétrico para a distribuição final para o gabinete de TI.
O duto elétrico para a distribuição final tem a vantagem de não ocupar espaço no piso, porém o sistema de distribuição modular é mais escalável e adaptável para densidades que podem mudar, é padronizado globalmente, e requer menos planejamento e serviços de engenharia iniciais. Em geral, para distribuição para racks, o duto elétrico é mais adequado para instalações muito grandes, com um desenho de piso aberto e com um layout para os equipamentos de TI muito bem definido. Comparação quantitativa da alta eficiência da distribuição de energia elétrica em CA x CC para data centers. Esses relatórios mostram que os melhores sistemas de distribuição em energia CA são praticamente tão eficientes como os sistemas em CC, retirando um incentivo-chave.
O problema mais importante com a distribuição de energia elétrica em CC é a falta de disponibilidade de dispositivos de TI compatíveis. Enquanto alguns dispositivos de TI estão disponíveis em 48 V CC como opção de entrada, esta é a tensão de distribuição em CC menos eficiente e utiliza grandes quantidades de cabeamento em cobre. Se um dia a energia CC vier a ser um sistema padrão de distribuição de energia para data centers, a maioria das mesmas questões de distribuição dos circuitos e de monitoramento para os racks deverá permanecer. Assim, o sistema de climatização nestes locais deve ter alta capacidade de retirar o calor sensível, insuflando altas vazões de ar no ambiente. Devido às altas temperaturas, os CPDs são totalmente dependentes de um sistema de climatização e refrigeração.
O calor, além de comprometer a eficiência, pode inviabilizar o funcionamento e diminuir a vida útil dos equipamentos. Para garantir um local com as condições ideais de temperatura, é necessário que o Data Center possua um sistema exclusivo de refrigeração, conforme os padrões e as exigências específicas. A temperatura ideal para o CPD é entre 21 e 22 graus, com umidade entre 45% e 55%. A partir disso precisamos entender que a densidade de carga pode (e deve) estar relacionada ao rack (carga máxima por rack), às filas (carga máxima por fila) e, finalmente, pelo ambiente (carga máxima por área de piso). Tais diferenças conceituais são fundamentais para permitir a escolha mais adequada do sistema a ser utilizado visando atender as necessidades específicas de cada equipamento e/ou conjunto de equipamentos.
Atualmente é cada vez mais freqüente a utilização de servidores Blade, tanto nos DC existentes como naqueles em planejamento. Exatamente em função da alta carga dissipada, tais equipamentos requerem soluções específicas que devem ser rigorosamente observadas de modo a otimizar ao máximo todos os recursos disponibilizados. É preciso inclusive avaliar a possibilidade de instalarmos todos os Blade Servers numa área independente com tratamento diferenciado das demais já que as exigências de resfriamento são elevadas. As principais técnicas para esta alternativa são as seguintes: O Sistema de ar condicionado O Sistema de ar condicionado tem por finalidade proporcionar condições de conforto térmico com controle de temperatura em nosso CPD. O Fan Coil 42B é um modelo compacto de alto desempenho, extremamente baixo o nível de ruído, quando comparado a modelos semelhantes, tudo isto associado a um design diferenciado a confiabilidade da marca CARRIER.
O Fancolete Carrier Duto 3,0 TRS FRIO 220V, foi fabricado dentro dos mais altos padrõesde qualidade e proporcionam um excelente desempenho. SISTEMA DE INCÊNDIO Central de Detecção e Alarme de Incêndio Para a prevenção contra incêndio, a primeira linha de defesa é um sistema que tenha uma central de detecção e alarme de incêndio. Um sistema confiável, inclui uma rede de detectores de fumaça e calor distribuídos pelos locais a serem protegidos, conforme o projeto com as normas NFPA – National Fire Protection Association, FM-Global e ABNT- Associação Brasileira de Normas Técnicas. O FM-200 também é compatível com o meio ambiente. Possui Potencial de Degradação de Ozônio (ODP) zero, além de baixa vida média atmosférica.
Pensando sempre em proteger as pessoas e o meio ambiente no qual elas estão inseridas, a Resmat Parsch possui um sistema de supressão com o gás FM-200, um agente supressor classificado como limpo, de acordo com a norma NFPA 2001. O FM-200 foi desenvolvido para proteger instalações contendo bens corporativos de grande valor e com presença de pessoas. É utilizado em mais de 70% das aplicações de supressão com agentes limpos na substituição ao Halon 1301. O modelo básico de infraestrutura do sistema será composto por conexões e eletrodutos rígidos de aço Zincado Eletroliticamente e galvanizado a fogo de 1” de diâmetro. Todos os eletrodutos e conexões instaladas em áreas externas ou embutidas no solo deverão ser rígidos de aço Zincado Eletroliticamente e galvanizado a fogo, tipo pesado.
Os eletrodutos e conexões instaladas em áreas internas deverão ser rígidos de aço Zincado Eletroliticamente de galvanizado a fogo e poderão ser do tipo leve. Os eletrodutos deverão ser cortados perpendicularmente ao seu eixo longitudinal, retirando-se cuidadosamente todas as rebarbas, evitando assim qualquer possibilidade de dano ao isolamento dos condutores. As emendas dos eletrodutos só serão permitidas com o emprego de conexões apropriadas, tais como luvas, caixas (conduletes) ou outras peças que assegurem a regularidade da superfície interna. A Infraestrutura de Rede de Energia para alimentação das Câmeras Móveis instaladas na Cobertura e alimentação das Caixas de Proteção das Câmeras BOX a serem instaladas no Hall Coberto, Garagem Coberta e Acesso de Veículos deverá ser exclusiva, não sendo permitida a utilização com outras fiações.
A distribuição de energia para alimentação das Câmeras Móveis e Caixa de Proteção deverá ser efetuada a partir do Rack mais próximo a mesma, conforme especificado em projeto. Todas as instalações deverão preservar a boa aparência dos ambientes em que estão sendo instaladas. Deverão ser confeccionados suportes de ferro para sustentação das 02 (Duas) Câmeras Móveis e 02 (Duas) Câmeras Box que serão instaladas na cobertura. A fixação dos suportes deverá ser feita pelo lado interno da mureta, evitando a fixação no revestimento da parede externa (fachada). Nas extremidades com Plug RJ-45 Macho deverá ser utilizada Capa Protetora na mesma cor do cabo UTP cat 6. Os Cabos UTP deverão ser fixos entre si e nos Racks sempre utilizando Velcro.
No lançamento de cabos e fios em eletrodutos, não deverão ser utilizados lubrificantes a base de petróleo, somente a base de agua, grafite ou talco. As emendas em cabos e fios somente poderão ser feitas em caixas de passagem. Em nenhum caso serão permitidas emendas no interior de dutos. O cabeamento no interior dos poços dos Elevadores deverá ser composto por Cabo UTP cat 5 extraflexível com Plug RJ-45 Macho nas duas terminações. O Cabo deverá ser instalado juntamente com os cabos das cabines dos elevadores com acompanhamento de pessoal autorizado. As terminações dos pontos de rede deverão seguir a seguinte regra: - Interior dos Racks - Patch Panel (Painel de Conexões). Pontos para as Estações de Trabalho - Patch Panel (Painel de Conexões).
Pontos para as Câmeras - Plug RJ-45 Macho. O Sistema de Gerenciamento deverá ser 100% compatível com as Câmeras fornecidas pelo CONTRATANTE. ESTAÇÕES DE MONITORAMENTO DO CFTV Para o monitoramento do Sistema de CFTV Digital IP , serão utilizadas 02 (Duas) Estações de Trabalho compostas por Computador e TV/Monitor de 40 polegadas. ELETRODUTOS Em instalação aparente abrigada e embutida em alvenaria os Eletrodutos deverão ser do tipo rígido de aço Zincado Eletroliticamente e galvanizado a fogo, de acordo com Norma EB-744; Em instalação aparente ao tempo ou embutida no solo os Eletrodutos deverão do tipo rígido de aço Zincado Eletroliticamente e galvanizado a fogo obrigatoriamente do Tipo Pesado, de acordo com Norma NBR 13057/94; A fixação dos eletrodutos nas instalações aparentes dar-se-ão por meio de abraçadeiras de mesma característica, com espaçamento máximo de 150 centímetros; As emendas dos eletrodutos deverão ser efetuadas por luvas do mesmo material, e os mesmos introduzidos nestas até se tocarem, assegurando a continuidade da superfície interna da canalização; Os eletrodutos deverão ser cortados perpendicularmente ao seu eixo longitudinal, retirando-se cuidadosamente todas as rebarbas, evitando-se assim qualquer possibilidade de danos ao isolamento dos condutores; Os eletrodutos que sofrerão pintura, antes deverão receber uma demão de promotor de aderência, apropriado para o tipo do material; As conexões entre eletrodutos e eletrocalhas, eletrodutos e quadros, deverão ser feitas com buchas e arruelas de alumínio; O diâmetro mínimo para os eletrodutos, deverão ser de 1" para Rede Elétrica e 1" para Rede de Dados; A quantidade máxima de condutores no eletroduto deverá obedecer as normas aplicáveis ao caso e especificações de projeto, conforme Anexo I (Tabela de Pontos); Os dutos com cabos de rede UTP serão exclusivos, não se admitindo passagem de cabos de energia ou de outras finalidades CONCLUSÃO Neste projeto realizamos o upgrade de um projeto anterior, o qual estava sujeito à falhas que acarretariam em perdas financeiras para a empresa.
Foi acrescentado ao mesmo a alta disponibilidade, frisando as principais tecnologias e utilizando o que há de melhor de protocolos e recursos para suprir as necessidades do cliente. Explicamos como funciona cada protocolo, sua utilização, vantagens e desvantagens de se aplicar na rede. html http://cartilha. cert. br/criptografia/ http://technet. microsoft. com ciscotalk. com. br/press/2012/04/25/load-balance-para-novatos/ teleco. com. br http://www. apc. gov. br/portaltransparencia/download. php?tabela=LI&IDDOCUMENTO=59362 Livros Livro - Redes de Computadores: Uma Abordagem de Sistemas – LarryL. Peterson & Bruce S. Danir Livro - Redes de Computadores – Gabriel Torres Livro - Redes de Computadores: Uma Abordagem Top-Down – Forouzan & Mosharraf Livro – Arquitetura de Computadores – Luiz Paulo Maia Livro - Redes de Computadores - José Gouveia e Alberto Magalhães Livro - Redes de Computadores - Autor: J.
130 R$ para obter acesso e baixar trabalho pronto
Apenas no StudyBank
Modelo original
Para download
Documentos semelhantes