Seguran

1
Segurança, Estabilidade e Desempenho no mesmo
backbone Isto é possível ?

• Marco Antônio Chaves Câmara
• LOGIC Engenharia Ltda
• mcamara_at_logicsoft.com.br

2
Quem é o Palestrante ?

• Marco Antônio Chaves Câmara
• Engenheiro Eletricista (UFBA)
• Professor
• Universidade Católica do Salvador
• Universidade do Estado da Bahia.
• Trabalha com redes desde 1987
• Certificações
• CNE e CNI (Novell)
• MCP (Microsoft)
• Projetista e Instalador (Lucent Technologies)
• Diretor técnico da LOGIC Engenharia
• Salvador - BA.

?
?
?
?
?
?
3
Requisitos de Segurança em um backbone
4
Requisitos de Segurança

• Separação de Tráfego entre segmentos
• Segurança Física
• Configuração de Equipamentos
• Camada usada na separação de tráfego
• Políticas de interligação de segmentos

5
Separação de Tráfego

• Estratégia de VLANs
• Por porta
• Por endereço MAC
• Por protocolo
• Por grupos multicast
• A VLAN mais segura é a VLAN por porta
• Adaptador de rede em modo promíscuo não escuta
  tráfego alheio
• Ataques exigem acesso à segurança física ou de
  configuração.

6
Separação de Tráfego

• Estratégia de VLANs
• Por porta
• Por endereço MAC
• Por protocolo
• Por grupos multicast
• A VLAN mais segura é a VLAN por porta
• Adaptador de rede em modo promíscuo não escuta
  tráfego alheio
• Ataques exigem acesso à segurança física ou de
  configuração.

• A VLAN é identificada por portas de switch que
  dela fazem parte
• No caso de HUBs ou switches s/ suporte a VLAN,
  todos os pontos a ele interligação fazem parte da
  mesma VLAN
• Exige re-configuração quando ocorre mudança no
  local de conexão.

7
Separação de Tráfego

• Estratégia de VLANs
• Por porta
• Por endereço MAC
• Por protocolo
• Por grupos multicast
• A VLAN mais segura é a VLAN por porta
• Adaptador de rede em modo promíscuo não escuta
  tráfego alheio
• Ataques exigem acesso à segurança física ou de
  configuração.

• Os endereços MAC são agrupados em tabelas de
  dispositivos de cada VLAN
• Configuração complexa, facilitada por softwares
  específicos
• Usuário está sempre na sua VLAN, mesmo com
  mudanças.

8
Separação de Tráfego

• Estratégia de VLANs
• Por porta
• Por endereço MAC
• Por protocolo
• Por grupos multicast
• A VLAN mais segura é a VLAN por porta
• Adaptador de rede em modo promíscuo não escuta
  tráfego alheio
• Ataques exigem acesso à segurança física ou de
  configuração.

• Identifica os participantes
• Por tipo de protocolo
• Por endereço de camada de rede
• Permite mudanças sem reconfiguração
• Exige switches mais potentes.

9
Separação de Tráfego

• Estratégia de VLANs
• Por porta
• Por endereço MAC
• Por protocolo
• Por grupos multicast
• A VLAN mais segura é a VLAN por porta
• Adaptador de rede em modo promíscuo não escuta
  tráfego alheio
• Ataques exigem acesso à segurança física ou de
  configuração.

• Associada a aplicação, já que determina VLAN pelo
  grupo de multicast
• Multicast tende a ser comum
• Participação está associada ao uso da aplicação
• Também exige switches potentes.

10
Segurança Física

• O acesso não autorizado ao rack de equipamentos
  deve ser evitado
• Pontos de Concentração devem ser
  preferencialmente isolados
• Cuidado com os pontos de concentração fora do
  CPD
• Invasões não autorizadas podem ser facilmente
  detectadas
• Arrombamentos são visíveis !
• O acesso informal é sempre mais perigoso.

11
Configuração de Equipamentos

• Habilitar senhas de acesso
• Determinar claramente os direitos de acesso
• Dificultar o acesso a portas de console
• Criar sub-rede específica para configuração de
  equipamentos
• Documentar cuidadosa-mente os arquivos.

12
Camada usada na separação de tráfego

• Camada 1
• Muito radical, embora implementada
• Camada 2
• Muito segura, envolve implementação baseada em
  switches
• Camada 3
• Muito simples, porém de baixo custo
• Não exige hardware específico
• Lembrar da interligação !

Rede
Enlace
Física
13
Políticas de Interligação

• Executada por equipamentos de camada 3
• Roteadores ou ...
• Switches de camada 3
• Deve ser evitada, se possível inclusive banida
• Cada VLAN preferencialmente deve ter acesso
  apenas aos seus próprios recursos.
• Recursos compartilhados
• Não exigem interligação
• Não devem funcionar como ponte entre VLANs.

14
SegurançaXPerformance
15
Dilemas envolvendo Segurança

• Além dos problemas enfrentados na própria
  implementação, alguns dilemas devem ser
  enfrentados por aqueles que optam pela
  implementação de uma política de segurança
• Segurança X Custo
• Segurança X Gerenciamento
• Segurança X Performance

16
Segurança X Performance

• A diferença da camada
• Serviços implementados em camadas mais altas são
  sempre mais lentos
• Alguns julgam as políticas de segurança das
  camadas mais baixas mais seguras e mais baratas
• O grande problema está na flexibilidade e
  facilidade de gerenciamento

17
Segurança X Performance

• A diferença do processamento
• Exigir do hardware um processamento muito
  elaborado certamente trará implicações para o
  desempenho do ambiente
• Evitar a utilização do processamento de camada 3,
  ou melhor, o roteamento (mesmo qdo. este
  existir)
• Filtros de pacotes e firewalls também exigem
  processamento complementar
• Tabelas também precisam ser pesquisadas e
  indexadas
• VLANs por MAC Address, por exemplo.

18
Segurança X Performance

• A diferença do delay
• Quanto mais alta a camada, mais fundo precisamos
  ir na análise das mensagens (exemplos ethernet !)
• Switches de camada 2 podem ler apenas endereços
  de destino (14bytes)
• Switches com VLAN802.1Q precisam ler o tag
  (20bytes)
• Switches de camada 3 precisam abrir o pacote IP
  (40bytes)
• Filtros de quadro/pacote precisam conferir tudo
  (1518 bytes).
• Capacidade de processamento não interfere neste
  atraso ...

19
Estratégias de Implementação
20
Estratégias de Implementação

• Separando os segmentos
• Escolhendo a camada de segmentação
• Gerenciando o tráfego entre segmentos

21
Separando os segmentos

• O melhor é escolher os segmentos por aplicação /
  servidor
• Aplicações/Bases de Dados residem em servidores
  diferentes
• Tipicamente temos usuários participando
  simultaneamente de vários segmentos (sobreposição
  de VLANs).
• Segmentação geográfica
• Interessante em empresas que dividem o mesmo site
  ou para separar setores específicos
• Exemplo Área acadêmica e administrativa de uma
  universidade.
• Recursos corporativos normalmente ficam alojados
  na sobreposição de VLANs
• Roteadores WAN, acesso à Internet, servidores etc

22
Escolhendo a camada

• Camada 1
• Sites muito pequenos, sem nenhuma necessidade de
  comunicação
• Maior segurança possível (embora radical ...).
• Camada 2
• Sites de qualquer tamanho, com ou sem necessidade
  de segmentação
• Envolve custo um pouco maior
• Índice elevado de segurança
• Camada 3
• Sites pequenos, com pequenas necessidades de
  interligação
• Performance mais baixa e índice relativo de
  segurança.

23
Gerenciando tráfego entre segmentos

• Um ambiente ideal é o que reduz ao máximo o
  tráfego entre segmentos
• Instalar recursos corporativos compartilhados
  apenas em áreas comuns às VLANs
• Limitar a interligação
• Pequenos volumes de dados
• Segurança reforçada
• Firewalls, filtros de pacotes etc
• A queda de desempenho, se acontecer (provável),
  será localizada.

24
Dúvidas ?

• Marco Antônio C. Câmara
• Tel. (071) 351-2127
• FAX (071) 351-1460
• email mcamara_at_logicsoft.com.br