MINISTÉRIO PÚBLICO DO TRABALHO PROCURADORIA-GERAL DO TRABALHO DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO. Projeto Executivo

Transcrição

1 MINISTÉRIO PÚBLICO DO TRABALHO PROCURADORIA-GERAL DO TRABALHO DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO ANEXO III Modelo do Ministério Público do Trabalho

2 Sumário 1. OBJETIVO PREMISSAS SOLUÇÃO GERAL Topologia Geral de Dados do Datacenter Topologia Geral de Segurança do Datacenter Descrição Geral da Solução de Dados Estrutura de Roteamento DESCRIÇÃO DA SOLUÇÃO DE SEGURANÇA Firewall, Firewall de Aplicação, VPN IPSeC e VPN SSL IPS Filtro Web Gateway de Gerenciamento Centralizado do Filtro WEB e Gateway e Monitoração e Administração de Segurança - SOC Integração SOC Cliente Serviço de Firewall Gerenciado em Alta-Disponibilidade DESCRIÇÃO DA SOLUÇÃO DE DATACENTER - SERVIDORES Serviços de DNS Interno e DNS Externo Serviços de Proxy Reverso Gerência de Rede e Datacenter ANEXOS... 9 DIAGRAMA DE INTERLIGAÇÕES... 9 PLANO DE FACE DOS BASTIDORES DO DATACENTER... 9 PADRÃO DE NOMES DAS LOCALIDADES E EQUIPAMENTOS NA OPERADORA... 9 TABELA CONTENDO O NOME, HARDWARE E IP DE GERÊNCIA DOS EQUIPAMENTOS DO DATACENTER... 9 TABELA CONTENDO PLANO DE VLAN E ENDEREÇAMENTO DO DATACENTER... 9 TABELA CONTENDO PLANO DE CONEXÃO DO DATACENTER (EQUIP ORIGEM; EQUIP. DESTINO; IP ORIGEM; ASN DESTINO; IP DESTINO)... 9 PLANO DE ENDEREÇAMENTO WAN... 9 PLANO DE ENDEREÇAMENTO LAN (INCLUINDO END. LOOPBACK, LOOPBACK GERÊNCIA E ENDREÇO LAN)... 9 PLANO DE QOS... 9 GLOSSÁRIO HISTÓRICO DE REVISÕES Página - 2 -

3 1. OBJETIVO Este documento tem como objetivo apresentar, de uma forma geral, como será a solução de rede de Dados e Datacenter do Ministério Público do Trabalho (MPT). 2. PREMISSAS A rede do MPU utilizará a tecnologia Multiprotocol Label Switching (MPLS), sendo uma topologia composta de Full Mesh e Hub-and-Spoke, conforme descrito adiante. Para comunicação com o Datacenter da Rede anterior, será utilizada uma Virtual Private Network Internet Protocol Security (VPN IPsec), sendo esta mandatória até o fim da migração. Os blocos IP destinados à rede local das unidades do MPT deverão ser únicos, não existindo nenhum tipo de sobreposição. As redes locais dos Ramos do MPU deverão utilizar endereços que estejam dentro do bloco Classless Inter-Domain Routing (CIDR) /8. Para as localidades remotas, serão utilizados os endereços da rede de dados fornecidos pelo MPT. Participarão do ambiente piloto, além das duas sedes da PGT, cinco unidades, a serem definidas pelo MPT. Serão utilizados os padrões de Quality of Service (QoS) informados pelo MPT, desde que em conformidade com os já utilizados pela operadora. Para as soluções de Firewall, Filtragem de e Filtragem Web o MPT deverá ceder Endereços IP para as mesmas. Haver sempre uma reserva de 1% (Um por cento) de banda para tráfego de gerência Simple Network Management Protocol (SNMP). Será utilizado pelos roteadores dos Ramos o protocolo Border Gateway Protocol (BGP) para divulgar e receber os blocos IP dos roteadores do mesmo Ramo e do Datacenter. Não está previsto o uso de outros protocolos de roteamento. Página - 3 -

4 Será utilizado pelos roteadores agregadores de Ramo o protocolo BGP para divulgar e aprender os blocos do mesmo Ramo, de Ramos distintos e das respectivas Demilitarized Zones (DMZ), externa e interna, e da rede de Telefonia IP do Datacenter. Não está previsto o uso de outros protocolos de roteamento. Haverá roteamento Multicast dentro do MPT e para o Datacenter. Não haverá roteamento Multicast para a Internet. O firewall deverá ter no mínimo 5 (cinco) interfaces ativas para zonas distintas, são elas: - WAN (conexão direta com a Internet); - PGT (Sede I e II); - Regionais (PRTs e PTMs); - DMZ (DeMilitarized Zone ou "zona desmilitarizada"); - MZ(Militarized Zone ou "zona militarizada"). Destas zonas, 4 (quatro) serão monitoradas pelo IPS: WAN, PGT, Regionais e DMZ. Na DMZ, estarão os servidores que irão oferecer serviços para a Internet (DNS, FTP, Proxy Reverso, Gateway de , etc.). Na MZ, estarão os servidores que não são acessados da Internet, mas são acessados pela DMZ (banco de dados, corporativo, portal, páginas web, serviços corporativos, etc.), e também, appliances que nos permitem o acesso à Internet (filtro web). A pedido da contratante, novas zonas poderão ser criadas, consequentemente outras interfaces poderão ser ativadas no firewall. A tabela I apresenta as regras globais no firewall com relação às zonas. O X indica permissão de acesso, enquanto o - indica a impossibilidade de acesso. Os acessos via VPN (SSL e IPSec) não estão representados na tabela abaixo e serão definidas nas regras específicas. Página - 4 -

5 DE \ PARA WAN PGT Regionais DMZ MZ WAN X - PGT X - X X X Regionais X X - X X DMZ X X MZ X X X - - Tabela I regras globais no firewall As regras específicas serão entregues no formato da planilha do Excel ou arquivo do Word e poderão apresentar exceções às regras globais apresentadas acima. A pedido da contratante, tanto as regras globais quanto as regras específicas poderão ser alteradas posteriormente. 3. SOLUÇÃO GERAL 3.1. Topologia Geral de Dados do Datacenter 3.2. Topologia Geral de Segurança do Datacenter 3.3. Descrição Geral da Solução de Dados Descrição geral Incluir definição de termos usualmente utilizados na operadora para os roteadores e roteamento Estrutura de Roteamento Página - 5 -

6 Detalhar o roteamento especificando, no mínimo: como se dará entre as unidades do MPT; para o Datacenter; para as redes DMZ s; como se dará no período de migração; para a Internet; como será a divulgação do bloco IP público Apresentar topologia do fluxo de pacotes Localidades Remotas (unidades do MPT) Agregadores do Datacenter Datacenter Firewall e Internet Sessão Firewall e Roteador de Borda: Sessão Firewall e Agregador de Ramo: Endereçamento IP Descrição do endereçamento dos Roteadores das unidade Endereçamento LAN: Endereçamento Loopback: Endereçamento WAN: Datacenter Descrição do endereçamento do datacenter em comum acordo com a contratante Gerência Descrição do endereçamento da gerência dos equipamentos do Datacenter Multicast Página - 6 -

7 IP SLA Detalhamento da solução que farão a geração de pacotes de medição de qualidade de rede e como serão realizadas estas medições que irão monitorar, no mínimo: Jitter (em milissegundos): variação do tempo de retardo de transmissão dos pacotes de voz; Atraso (em milissegundos): tempo que cada pacote de voz despende desde sua origem até seu destino; Perda de Pacotes (em percentual): percentual de pacotes de voz que são perdidos durante a transmissão; Conformação de Tráfego Qos Acesso Remoto Descrição detalhada da forma de acesso e autenticação aos equipamentos localizados nas unidades do MPT e no datacenter da operadora DESCRIÇÃO DA SOLUÇÃO DE SEGURANÇA Descrição da solução de segurança contendo em cada item. A sua descrição detalhada e os respectivos diagramas Firewall, Firewall de Aplicação, VPN IPSeC e VPN SSL IPS Página - 7 -

8 Filtro Web Gateway de Gerenciamento Centralizado do Filtro WEB e Gateway e Monitoração e Administração de Segurança - SOC Integração SOC Cliente Serviço de Firewall Gerenciado em Alta-Disponibilidade 3.5. DESCRIÇÃO DA SOLUÇÃO DE DATACENTER - SERVIDORES Serviços de DNS Interno e DNS Externo Serviços de Proxy Reverso Gerência de Rede e Datacenter Página - 8 -

9 4. ANEXOS Diagrama de Interligações Plano de Face dos bastidores do Datacenter Padrão de Nomes das localidades e equipamentos na Operadora Tabela contendo o nome, hardware e IP de gerência dos equipamentos do datacenter Tabela contendo Plano de Vlan e Endereçamento do Datacenter Tabela contendo Plano de Conexão do Datacenter (Equip origem; Equip. destino; IP Origem; ASN Destino; IP Destino) Plano de Endereçamento WAN Plano de Endereçamento LAN (incluindo End. Loopback, loopback gerência e Endreço LAN) Plano de QOS Página - 9 -

10 GLOSSÁRIO HISTÓRICO DE REVISÕES APROVAÇÕES Página