Administração de Redes I (LI) Ano, Semestre: 2, 1

Transcrição

1 Administração de Redes I (LI) Ano, Semestre: 2, 1 Pedro M. M. Marques pedromarques.eng@gmail.com 1

2 OBJECTIVOS Estudar mecanismos de conectividade no acesso à Internet e no acesso remoto; Estudar estratégias de segurança na rede que permitam controlar o acesso, evitar propagação de malware, corrupção de dados, etc.; 2

3 CONECTIVIDADE REMOTA Planear o acesso remoto: Resulta da necessidade de interligar redes em localizações diferentes; Uma interligação entre duas redes requer uma conexão WAN: A WAN funciona essencialmente como uma rede de 2 nós que apenas transporta o tráfego entre os dois sites; 3

4 CONECTIVIDADE REMOTA Planear o acesso remoto (cont.): Diferentes topologias possíveis quando se pretende interligar mais do que dois sites: Malha (elevada tolerância a falhas, custo elevado): 4

5 CONECTIVIDADE REMOTA Planear o acesso remoto (cont.): Diferentes topologias possíveis quando se pretende interligar mais do que dois sites: Anel (maiores atrasos, menor redundância, custo mais baixo): 5

6 CONECTIVIDADE REMOTA Planear o acesso remoto (cont.): Diferentes topologias possíveis quando se pretende interligar mais do que dois sites: Estrela (atrasos intermédios, custo intermédio, pior tolerância a falhas do que malha e anel): 6

7 CONECTIVIDADE REMOTA Tecnologias WAN: Linhas dedicadas: Oferecem largura de banda garantida; Baseadas em TDM (circuito dedicado): E0: 64 kbps E1: Mbps E2: Mbps E3: Mbps; etc.. Geralmente caras; Carácter persistente : ligação activa 24h por dia mesmo não sendo utilizada; e permanente : ligação fixa entre dois sites; custo elevado se localizações mudam; 7

8 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): Dial-in: Funciona com base em ligações estabelecidas apenas quando é necessário haver comunicação; Por modem analógico, ISDN; Custo depende de largura de banda e tempo de utilização; Flexibilidade para ligar a diferentes destinos; Vantajoso para acessos ocasionais, mas apenas permite ligar a um local de cada vez (cf. topologia em malha); 8

9 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): Dial-in (segurança): Opção 1: separação em duas sub-redes; Autenticação no servidor dial-in; Controlo de acesso no Router; 9

10 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): Dial-in (segurança): Opção 2: criação de DMZ; Autenticação no servidor dial-in Controlo de acesso no Router; 10

11 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): Dial-in (segurança): Opção 3: criação de DMZ e replicação; Autenticação no servidor dial-in; Filtragem e controlo de acesso no Firewall (melhor controlo de portas); 11

12 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): Frame Relay: Baseado em linha dedicada (uma para cada site); Possibilidade de conectar a vários sites utilizando a mesma ligação; Nuvem frame relay: 12

13 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): VPNs: Acesso baseado em conexões à Internet ou então sobre WANs préestabelecidas; Grande flexibilidade: ligações estabelecidas em qualquer lugar, desde que exista conectividade à Internet; Linhas dedicadas não são necessárias; Baseado na criação de um túnel seguro: : PPTP, L2TP/IPSEC, SSTP; 13

14 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): VPNs (cont.): Componentes necessários na rede anfitriã: Router para aceder à Internet; Firewall (software/hardware); Servidor VPN (software/hardware); Mecanismo de autenticação; Solução all-in-one pode incorporar todos os componentes; Exemplo: CheckPoint Secure Remote; Componentes necessários na rede cliente: Ligação à Internet; Cliente VPN; 14

15 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): VPNs (cont.): Necessário ter conjunto de endereços encaminháveis: Endereços internos da rede não são encaminháveis pela Internet; Possível solução é utilizar NAT no router de acesso à internet; NAT pode colocar alguns problemas: Acesso a servidor de autenticação antes de ter acesso por VPN; Algumas implementações de NAT não permitem o acesso se a origem não é conhecida (pacotes de entrada para estabelecimento de conexão são descartados); 15

16 CONECTIVIDADE REMOTA Tecnologias WAN (cont.): VPNs (cont.): cenário com DMZ: 16

17 CONECTIVIDADE À INTERNET Requisitos da conectividade à Internet: Largura de banda necessária: Define tipo de ligação WAN; Número de utilizadores; Simultaneidade e perfis de utilização; Aplicações utilizadas: , Web browsing, FTP/Downloads; VPNs: podem consumir muita largura de banda; Picos de utilização da rede; Ponto de conectividade deve ser no backbone o mais próximo possível da maior base de utilizadores; 17

18 CONECTIVIDADE À INTERNET Tipos de ligações possíveis: Dial-up modem: 53 kbps ISDN: Basic rate: 128 kbps Primary rate: Mbps CATV (MAN c/ partilha de largura de banda): 43 Mbps (max. downstream); ADSL: 24/1.4 Mbps (G.992.5); Frame Relay: possibilidade de ultrapassar a largura de banda contratada em alturas de pico; Linha Dedicada: Requer Channel Service Unit/Data Service Unit (CSU/DSU); 18

19 CONECTIVIDADE À INTERNET Tipos de ligações possíveis (cont.): Linha Dedicada (cont.): 19

20 CONECTIVIDADE À INTERNET Tipos de Router: Computador com Windows Server 2003/2008; Routing and Remote Access Service (RRAS); Encaminhamento de tráfego entre a ligação WAN e a rede local; Suporte de NAT para partilha de acesso; Stand-alone (low-end): Dispositivos de hardware que fornecem: Routing; DHCP; NAT; Não permitem alocar endereços registados a computadores da rede interna: Medida paliativa é usar port-forwarding; 20

21 CONECTIVIDADE À INTERNET Tipos de Router (cont.): High-end: Routers modulares; Funcionalidades separadas; Com utilização destes equipamentos, serviços de NAT, DHCP e Firewall aparecerão por norma em máquinas dedicadas; Independentemente do tipo, tecnologias WAN requerem algum tipo de interface nas conexões: Dial-up: modem; Linhas dedicadas: CSU/DSU; 21

22 CONECTIVIDADE À INTERNET Endereços IP: Pelo menos um endereço IP registado necessário; Alocação pode ser dinâmica ou estática: NAT funciona bem com ambas; Mais endereços poderão ser necessários se: Alocação a servidores residentes na DMZ; Servidores DNS: Necessários para resolver nomes na Internet; Poderão ser usados servidores internos em alternativa aos do ISP; Necessários para suportar Active Directory: Resolução interna e externa; Domain hosting requer que servidores DNS tenham endereços registados; 22

23 SEGURANÇA Política de segurança: Permite proteger a rede do mundo exterior minimizando o risco de acesso não autorizado; Endereços IP: Registados ou não registados: Endereços registados são mais susceptíveis a ameaças do exterior; Protecção de endereços registados pode fazer-se com Firewall, mas é aconselhável limitar o nº de máquinas com este tipo de endereços; Limitar aplicações: Utilização de endereços não registados: acesso apenas como cliente; Filtrar pacotes por porta (porta identifica a aplicação); 23

24 SEGURANÇA Limitar utilizadores: Diferentes utilizadores têm diferentes privilégios no acesso à Internet; Limitação pode ser feita utilizando: Filtragem de pacotes baseada em porta e endereço IP; Utilizar proxies que reconhecem os utilizadores; Regular o acesso à Internet: Barrar o acesso a certos protocolos/portas de aplicações que consomem muita largura de banda (e.g. p2p, msn); Limitar o acesso a certos sites; Limitar o horário de acesso e a largura de banda permitida; 24

25 SEGURANÇA Utilizando NAT: NAT permite que endereços não registados acedam à Internet; NAT Estático: Cada endereço não registado é mapeado num endereço registado diferente (menos seguro): 25

26 SEGURANÇA Utilizando NAT: NAT Dinâmico: Cada endereço não registado é mapeado num endereço registado disponível; É mais seguro que NAT estático mas limita o nº de utilizadores simultâneos ao nº de endereços registados disponíveis: 26

27 SEGURANÇA Utilizando NAT: Masquerading: Cada endereço não registado é mapeado num único endereço registado; diferenciação feita por nº de porta; É o mais seguro dos diferentes tipos de NAT e o mais eficiente na utilização de endereços não registados; 27

28 SEGURANÇA Segurança em NAT: Masquerading maximiza a segurança em NAT; Contudo não substitui o Firewall; Apesar de bloquear pedidos não solicitados da Internet, não previne certos ataques, tais como: IP Spoofing; SYN Floods, etc.; Stateful Packet Inspection: Mecanismo adicional que previne certos ataques através de: inspecção dos cabeçalhos de pacotes; análise de certos comportamentos indiciadores de ataques; Port forwarding: Mapeamento que permite um endereço não registado funcionar como servidor; Em certos casos permite fazer balanceamento de carga; 28

29 SEGURANÇA Firewalls: Permitem monitorizar e controlar todas as comunicações de uma intranet com o exterior; Políticas de segurança incluem: Controlo de serviço: determina que serviços internos estão disponíveis ao exterior e que serviços externos estão disponíveis para o interior; Controlo comportamental: previne comportamentos que infringem certas políticas ou que não possuem um propósito legítimo, e.g., ( spam ); Controlo de utilizadores: define políticas de acesso ao exterior por parte de utilizadores ou grupos de utilizadores; Filtragem de pacotes: filtragem de pacotes pelo conteúdo dos mesmos, e.g., campos do cabeçalho IP ou TCP; 29

30 SEGURANÇA Firewalls: Bastion host: Máquina configurada para suportar ataques; Corre apenas serviços estritamente necessários e software de confiança; Gateway TCP: processo intermédio que controla as conexões TCP e verifica os segmentos trocados; permite evitar, por exemplo, ataques DoS; Application-level gateway: intercepta a comunicação com o exterior e toma o lugar da máquina de origem; e.g. proxies telnet, Web, etc. 30

31 SEGURANÇA Firewalls: 31