Universidade Eduard Mndlane Faculdade de Engenharia Curs de Engenharia Infrmática PROPOSTA DE MELHORAMENTO DE INFRAESTRUTURA E IMPLANTAÇÃO DE UM SISTEMA DE GESTÃO Cas de Estud: FACULDADE DE ENGENHARIA Autr Vilanculs, Sérgi Raúl Supervisra Eng. Tatiana Kvalenk Maput, Agst de
Universidade Eduard Mndlane Faculdade de Engenharia Curs de Engenharia Infrmática PROPOSTA DE MELHORAMENTO DE INFRAESTRUTURA E IMPLANTAÇÃO DE UM SISTEMA DE GESTÃO Cas de Estud: FACULDADE DE ENGENHARIA Autr Vilanculs, Sérgi Raúl Supervisra Eng. Tatiana Kvalenk Maput, Agst de
Agradeciments Pr este trabalh ter chegad a fim, quer agradecer as meus pais Raúl Faife Vilanculs e Glória Jã Chirrinze que incndicinalmente têm me dad seu api e que mesm estand lnge de mim sempre demnstraram quã amrss sã cmig..a Deus pela sua graça e saúde que me prprcina a cada dia da minha existência; As meus irmãs s quais tenh mair apreç pr eles junt cm s seus cmpanheirs das suas vidas cnjugais; As meus pais Raúl Faife Vilanculs e Glória Jã Chirrinze pel seu sacrifíci a qual se deve a minha frmaçã; A meu chará Arnald Mazive e sua espsa (às suas memórias) que tant fizeram pr mim; A meu irmã Raúl Juliã Vilanculs junt cm a sua espsa Luísa Justin Chichava; Às minhas irmãs Anita Raúl Vilanculs, Aida Juliã Vilanculs, Adélia Raúl; Vilanculs, Esperança Juliã Vilanculs, Némia Raúl Vilanculs e Nólia Juliã Vilanculs; A meu ti Lurenç Alfred Chirrinze e sua espsa Quitina; À minha supervisra Eng.ª Tatiana Kvalenk pel seu acmpanhament durante a execuçã deste prject; As meus clegas e amigs Felíci Jaime Balane, Helber Chin Ch e Rúben Misés Manhiça pelas suas críticas e pnts de vista. Sérgi Raúl Vilanculs I
Resum Em sistemas de redes de cmputadres, a necessidade de uma gestã integral ds seus recurss é imprescindível de md a garantir uma mair dispnibilidade ds mesms, ferecend de frma centralizada e eficaz infrmações referentes a estad de cada serviç u dispsitiv gerenciável ligad à rede, garantind dessa frma a interperabilidade d sistema vist que situações anómalas passam a ser reprtadas em temp real e integral. E prque só se pde gerir alg que realmente exista, é imprtante que a infraestrutura de rede esteja devidamente peracinal de md a fazer valer esfrç, nesse âmbit, numa primeira instância cube avaliar a infraestrutura da rede lcal e cm base nessa infrmaçã desenvlver uma nva tplgia de rede. Em seguida, fram bject de análise aspects relacinad cm a implantaçã de uma ferramenta de mnitrament e cntrl de activs de rede. O estud avalia a integraçã de uma ferramenta de gestã de rede aliada a uma aplicaçã de gestã de infrmaçã e de alguma tecnlgia física necessária de md a suprimir as necessidades crrentes, nmeadamente: requalificaçã da infraestrutura de rede; mnitrament de tda a infraestrutura da rede infrmática da Faculdade de Engenharia, especificamente tds s dispsitivs de intercnexã gerenciáveis, estações de trabalh, aplicações clientes e servidras, e; gestã de utilizadres da rede dand pssibilidade de restriçã de actividades pr grups de utilizadres e audiçã ds acesss efectuads pr estes cm mair ênfase à auditria referente a us de serviçs web. Neste trabalh sã apresentads requisits funcinais e nã funcinais para a estruturaçã e desenvlviment de um ambiente de gestã da rede infrmática da Faculdade de Engenharia, basead em pesquisas e avaliaçã de prjects semelhantes e de frma particular a interpretaçã das necessidades d ambiente de estud. Cm base n estud realizad e na base de experiências efectuadas, pde se verificar que ambiente prpst respnde as necessidades actuais. Palavras-chave: gestã, gestã, cntrl, sistema, tplgia, Active Directry. Sérgi Raúl Vilanculs II
Índice Agradeciments... I Resum... II Índice... III Lista de abreviaturas e acrónims... VI Glssári de terms... VII Lista de Figuras... VIII Lista de Diagramas... IX Lista de Tabelas... IX 1 Intrduçã... 1 1.1 Cntextualizaçã... 1 1.2 Objectivs... 2 1.2.1 Objectivs gerais... 2 1.2.2 Objectivs específics... 2 1.3 Metdlgia... 3 1.4 Organizaçã d prject... 4 2 Revisã Bibligráfica... 5 2.1 Gestã de Redes e mdels de gestã... 5 2.1.1 Estaçã de gestã... 5 2.1.2 Agente de gestã... 5 2.1.3 Base de infrmaçã de gestã (MIB)... 6 2.1.4 Prtcl de gestã de redes... 6 2.1.5 Prtcl SNMP... 7 2.2 Mdel de gestã OSI... 7 2.2.1 Gestã de falhas... 8 2.2.2 Gestã de cntabilizaçã... 8 2.2.3 Gestã de cnfiguraçã... 8 Sérgi Raúl Vilanculs III
2.2.4 Gestã de desempenh... 9 2.2.5 Gestã de segurança... 9 2.3 Segurança de redes... 9 2.3.1 Firewall... 9 2.3.2 Servidr Prxy... 10 2.3.3 Cntrladr de dmíni... 10 3 Visã Geral d sistema Actual... 12 3.1 Tmada de Decisã... 14 3.1.1 Definiçã d Prblema... 14 3.1.2 Avaliaçã de Alternativas... 15 3.2 Prpsta de sluçã... 18 4 Desenvlviment d prject... 20 4.1 Resum executiv... 20 4.2 Escp d prject... 20 4.3 Análise e descriçã de negóci da Faculdade de engenharia... 20 4.4 Diagrama de cass de us... 21 4.5 Critéris de sucess versus fracass... 24 4.6 Restrições rçamentais... 24 4.7 Análise de bjectivs e restrições técnicas... 25 4.7.1 Escalabilidade... 25 4.7.2 Dispnibilidade e desempenh da rede... 25 4.7.3 Segurança... 26 4.8 Prject lógic... 29 4.8.1 Prject de segurança da rede... 30 4.8.2 Mecanisms de segurança... 34 4.9 Prject de gestã da rede... 37 4.9.1 Determinaçã ds requisits de gestã... 37 Sérgi Raúl Vilanculs IV
4.9.2 Tplgia lógica de acess as recurss de rede... 42 4.9.3 Tplgia lógica da rede... 44 4.10 Prject Físic... 46 4.10.1 Prject de cabeament para LAN... 46 4.10.2 Tplgias de cabeament... 46 4.11 Análise ecnómica... 48 5 Cnclusões e recmendações... 49 5.1 Cnclusões... 49 5.2 Recmendações... 50 6 Referências Bibligráficas... 51 6.1 Bibligrafia... 51 6.2 Outra bibligrafia cnsultada... 52 7 Anexs... 1 Anex 1 Distribuiçã de pnts... A1.1 Anex 2 Resultads de testes... A2.9 Sérgi Raúl Vilanculs V
Lista de abreviaturas e acrónims AD- Actve Directry AD DS- Active Directry Dmain Services CIUEM- Centr de Infrmática da Universidade Eduard Mndlane CMIP- Cmmn Management Infrmatin Prtcl. CMIS- Cmmn Management Infrmatin Service CPU- Unidade Central de Prcessament DECI- Departament de Engenharia Civil DEEL- Departament de Engenharia Electrtécnica DEMA- Departament de Engenharia Mecânica DEQUI- Departament de Engenharia Química DHCP- Dynamic Hst Cnfiguratin Prtcl DNS- Dmain Name System FTP- File Transfer Prtcl Gab- Gabinete HTML Hypertext Markup Language (Linguagem de Marcaçã de Hipertext) HTTP- Prtcl de cmunicaçã utilizad na internet que permite a transferência de dads entre um dad servidr e s cmputadres a este cnectads. HTTPs- http segur IP- Internet prtcl LAN- Lcal Area Netwrk LDAP- LightWeight Directry Access Prtcl MAC - Media Access Cntrl Sérgi Raúl Vilanculs VI
MIB- Base de infrmaçã de gestã OSI- Open Systems Intercnnectin SGBD- Sistema de Gestã de Banc de Dads SMS- Shrt Message Service (Serviç de Mensagens Curtas) SNMP- Simple Netwrk Management prtcl TIC- Departament de Tecnlgias de Infrmaçã e Cmunicaçã UDP- User Datagram Prtcl UML- Unified Mdeling Language UPS- Universal Pwer Supply UTP- Cab de dads de par trançad VLAN- Virtual LAN WAN- Wide Area Netwrk Wireless- Sem fi Glssári de terms Access Pint- dispsitiv de rede que dispnibiliza cnectividade duma rede as utilizadres sem fi. Buffer- mei de armazenament temprári de dads para cmpensar as diferenças na velcidade de tráfeg de infrmações durante a transmissã. DMZ- zna desmilitarizada, área de uma rede na qual sistemas residentes pssuem acess irrestrit a mund exterir (Internet). DNS- Dmain Name Server, trata se de um sistema de traduçã de nmes em endereçs IP s válids, e vice-versa. Gateway- dispsitiv de rede cm capacidade de cnectar duas redes distintas. Sérgi Raúl Vilanculs VII
Iptables- uma aplicaçã encntrada em sistemas Unix que ferece funcinalidades de firewall Link- linha física u lógica que estabelece a cnectividade entre dis pnts de uma rede. Lgin- nme de usuári utilizad durante prcess de identificaçã para acess a um sistema restrit. Plug-in- acessóri de sftware que estende a capacidade de uma aplicaçã. Rack- um cntentr físic de dispsitivs de implementaçã de rede. Switch- dispsitiv de intercnexã que permite a segmentaçã da rede em dmínis de clisã menres. Vírus- prgramas u arquivs desenhads para causar dans a um sistema de cmputadres, pdend estar anexad u embutid a uma página Web, e-mail, ficheirs distints u macr. Lista de Figuras Figura 2-1: Estaçã de gestã... 5 Figura 2-2: Agente de gestã... 6 Figura 2-3: Base de Infrmaçã... 6 Figura 2-4: Prtcl de gestã de redes... 6 Figura 2-5: Trca de Infrmações... 7 Figura A2-1 Resultads de mnitrament... A2.9 Figura A2-2 Estações de serviçs... A2.10 Figura A2-3 Estações de serviçs em categria... A2.10 Sérgi Raúl Vilanculs VIII
Lista de Diagramas Diagrama 3-1 Diagrama actual da rede... 13 Diagrama 4-1 Cass de us... 21 Diagrama 4-2 Cass de us detalhads... 23 Diagrama 4-3 Tplgia de Segurança... 37 Diagrama 4-4 Recurss de AD DS... 43 Diagrama 4-5 Tplgia da rede... 45 Diagrama 4-6 Tplgia física... 47 Lista de Tabelas Tabela 3-1 Identificaçã de áreas funcinais... 15 Tabela 3-2 Ferramentas de gestã de cnfiguraçã... 17 Tabela 3-3 Ferramentas de Segurança... 17 Tabela 3-4 Requisits de prduts de gestã... 19 Tabela 4-1 Estações de Trabalh... 39 Tabela 4-2 Requisits de gestã para cmpnentes de rede... 39 Tabela 4-3 Plíticas de gestã... 41 Tabela 4-4 Recurss necessáris... 48 Tabela A1-1 Distribuiçã de pnts... A1.1 Sérgi Raúl Vilanculs IX
1 Intrduçã 1.1 Cntextualizaçã O avanç tecnlógic da humanidade ns diverss camps de cnheciments tem exigid de frma cada vez mais acentuada, excelência técnica e precisã na execuçã das suas actividades, aliada a este avanç encntra se a cmunicaçã entre entidades individuais u empresarias. De acrd cm cresciment das civilizações que gegraficamente fram cupand áreas cada vez mais dispersas, a cmunicaçã a lnga distância se trnava uma necessidade cada vez mair e desafiante. Ns meads de sécul XIX, Samuel F. B. Mrse viria inaugurar uma nva épca nas cmunicações a inventar telégraf especificamente n an de 1838. Nesse sistema as mensagens eram cdificadas em cadeias de símbls bináris (códig Mrse) e eram transmitidas manualmente pr um peradr através de um dispsitiv geradr de pulss eléctrics. A cmunicaçã através de pulss elétrics atravessu uma grande evluçã, dand rigem a mair parte ds grandes sistemas de cmunicaçã encntrads actualmente cm telefne, rádi e a televisã. Cm intrduçã de cmputadres pessais na década 70 deu se rigem a um nv mdel cmputacinal para atendiment às necessidades das rganizações n qual um grande númer de cmputadres separads, prém intercnectads executam suas tarefas cmpartilhand dispsitivs, periférics e equipaments cm impressras, mdems, e utrs. Através dessa distribuiçã chegu se as arquitecturas de redes de cmputadres que se encntram actualmente. Entretant, cresciment acentuad d númer de utilizadres da rede de cmputadres da Faculdade de Engenharia e cnstante surgiment de aplicações cada vez mais cmplexas e dependentes da trca mútua de infrmações trna indispensável a existência de ferramentas que melhrem prcess de gestã da rede, permitind as administradres desta, uma fácil e rápida reacçã às crrências que pssam de alguma frma afectar seu funcinament. Pr via diss, presente trabalh centru-se na análise d estad actual da rede de md a prduzir uma tplgia de rede melhrada n cncernente a abrangência e dispnibilidade desta. Em adiçã prpôs-se um cnjunt de ferramentas de cntrl e mnitrament da rede, paralelamente a ist fram analisads mecanisms de melhrament de desempenh da rede. Sérgi Raúl Vilanculs 1
1.2 Objectivs 1.2.1 Objectivs gerais O presente prject, cnsiste n estud de uma prpsta de melhrament da rede infrmática da Faculdade de Engenharia, sb pnt de vista físic e lógic. Tend cm bjectivs gerais: desenvlver uma tplgia de rede que atenda às necessidades da instituiçã. prpr ferramentas para gerir cm mair desempenh a rede infrmática da Faculdade de Engenharia. 1.2.2 Objectivs específics O presente prject, tem cm bjectivs específics: efectuar levantament d estad actual da rede; determinar lcais de implantaçã de pnts de acess para utilizadres móveis; prpr uma tplgia de rede que se adequa a sluçã btida; incrprar um mecanism de gestã de recurss de rede entre dispsitivs terminais, dispsitivs de implementaçã da rede, segments de rede, sistemas perativs e aplicações clientes. encntrar uma sluçã que permita cntrlar acess à rede infrmática, e permitir a determinaçã de qutas de cnsum de largura de banda pr utilizadr. Sérgi Raúl Vilanculs 2
1.3 Metdlgia Para alcançar s bjectivs acima citads, primeiramente fez-se diversas entrevistas as funcináris d departament de TIC da Faculdade de Engenharia cm vista a adquirir mais infrmações sbre estad da rede actual, bem cm prcess de gestã desta. Em seguida fram realizadas revisões bibligráficas em diverss manuais e sites cm a finalidade de adquirir cnheciments básics e específics sbre a metdlgia de desenvlviment de prjects de redes. Para a prduçã da tplgia lógica da rede, fi feita uma análise cmparativa de situações cnhecidas, prcedend se a psterir cm elabraçã de um mapa específic para a situaçã da Faculdade de Engenharia. N que tange a prject físic, prcuru se adaptar a estrutura física actual as exigências pr hra estabelecidas de md a minimizar s custs de mudança de tecnlgia. Neste prcess de revisões bibligráficas, fi feita uma prcura de diferentes ferramentas de gestã de redes tend-se prcedid à cmparaçã entre elas e na base de resultads btids em testes estabelecer a sluçã final. Sérgi Raúl Vilanculs 3
1.4 Organizaçã d prject O presente relatóri encntra se divid pelas seguintes partes: Capitul I - Intrduçã Neste capítul sã abrdads aspects intrdutóris. Capítul II Revisã Bibligráfica Neste capítul fazem-se descrições teóricas sbre alguns aspects que serã levads em cnta durante prcess de elabraçã d relatóri. Capítul III-Visã geral d sistema actual e prcess de tmada de decisã Neste capítul descreve-se estad actual da rede Capitul IV Desenvlviment d prject É neste capítul nde é feita a análise de requisits d sistema, análise das ferramentas de gestã, e desenvlviment de tplgias da rede. Capitul V Cnclusões e Recmendações Neste capítul discutem-se as cnclusões btidas e prpõe-se algumas recmendações Capítul VI-Referencias Bibligráficas Neste capítul sã apresentadas tdas as fntes que permitiram a elabraçã d prject assim cm d relatóri. Capítul VII-Anexs Neste capítul sã apresentads s anexs d trabalh. Sérgi Raúl Vilanculs 4
2 Revisã Bibligráfica Neste capítul, sã apresentads aspects teórics que serviram de base de cnheciment para a prduçã d presente relatóri. 2.1 Gestã de Redes e mdels de gestã A mair parte das empresas e instituições de ensin infrmatizadas (1) encaram a tecnlgia de redes cm um instrument imprescindível para seu sucess na implementaçã das suas tarefas cmerciais e educacinais respectivamente. Essencialmente um administradr de redes de cmputadres tem cm actividades: desenvlviment, implantaçã, mnitrament, análise e cntrl da rede bem cm ds seus recurss cmputacinais. Um sistema de gestã de rede é definid cm send um cnjunt de ferramentas utilizadas para mnitrament e cntrl da rede. Para a gestã de uma rede TCP/IP se faz necessária à cnsideraçã de alguns elements. 2.1.1 Estaçã de gestã A estaçã de gestã é vista cm interface para administradr de rede, definid cm sistema de gestã de rede, este cntém um cnjunt de sftwares executand diferentes serviçs de gestã. Tdas as atividades de gestã sã clectadas nessa máquina de frma a prver relatóris d estad ds diferentes serviçs mnitrads, send que sua visualizaçã pde ser feita lcalmente u remtamente através de interfaces de acess cm navegadr web. Figura 2-1: Estaçã de gestã 2.1.2 Agente de gestã O agente de gestã respnde às slicitações de infrmações e de acções da estaçã de gestã. Este deve pr sua vez assincrnamente prver infrmações Sérgi Raúl Vilanculs 5
imprtantes que pdem nã ter sid slicitadas, enviand uma mensagem de ntificaçã à estaçã, anunciand sucedid. A mensagem pde ser enviada em frma de e-mail, de um alarme u de um sms. Figura 2-2: Agente de gestã 2.1.3 Base de infrmaçã de gestã (MIB) Os recurss a serem gerids sã representads cm bjects, send a clecçã de bjects referenciada cm a base de infrmações geridas. Para presente prject cmpreendem a base de infrmaçã s recurss de hardware e sftware presentes nas diferentes estações de trabalh e dispsitivs de intercnexã. Figura 2-3: Base de Infrmaçã 2.1.4 Prtcl de gestã de redes O prtcl de gestã de redes crrespnde à frma de cmunicaçã entre as estações de gestã e agente de gestã. Para este prject, fi bject de estud prtcl SNMP cm prtcl de gestã da rede pr ser mais difundid e de alguma frma ser prtcl usad nas diferentes estações de gestã que cmpõem escp desse trabalh, ist é, s sistemas perativs em us na instituiçã pssuem um agente SNMP nativ. Figura 2-4: Prtcl de gestã de redes Sérgi Raúl Vilanculs 6
2.1.5 Prtcl SNMP O prtcl SNMP (2) fi prjectad em meads ds ans 80 cm uma respsta as prblemas de cmunicaçã entre diverss tips de redes. A ideia básica pr trás d SNMP era ferecer uma maneira facilmente implementável para a gestã de rteadres, servidres, estações de trabalh e utrs recurss de rede. O SNMP é um prtcl d nível de aplicaçã da Arquitectura TCP/IP, perand tipicamente sbre UDP (User Datagram Prtcl). O SNMP é cnsiderad simples dad que seus agentes requerem um sftware mínim pis a mair parte d pder de prcessament e de armazenament de dads reside n sistema de gestã, enquant um subcnjunt cmplementar dessas funções reside n sistema gerid. Suas principais características sã: suprte para a transferência eficiente de grandes blcs de dads; estratégias de gestã de rede centralizada; cntrl de acess; criptgrafia de dads. 2.2 Mdel de gestã OSI O mdel OSI (Open Systems Intercnnectin) pertencente a ISO (3) baseia-se na teria de rientaçã a bjects, send que sistema representa s recurss gerids através de entidades lógicas, as quais recebem a denminaçã de bjects. Prvend deste md, uma arquitectura de gestã capaz de atender à diversidade de equipaments da rede. Num sistema de gestã de redes de cmputadres basead neste mdel, gerente transmite perações de gestã as agentes a fim de bter infrmações actualizadas sbre s agentes. Recebidas as perações pel agente, este executa as acções necessárias sbre s bjects e transmite as ntificações geradas pr estes u ntificações sbre a crrência de events. Neste mdel para a trca de infrmações entre s gerentes e seus agentes de gestã é utilizad serviç CMIS (Cmmn Management Infrmatin Service) e prtcl CMIP (Cmmn Management Infrmatin Prtcl). Figura 2-5: Trca de Infrmações Sérgi Raúl Vilanculs 7
Prtant a ISO define cinc itens de gestã de redes de cmputadres, descrevend as diferentes áreas funcinais de gestã de redes. 2.2.1 Gestã de falhas Para que se prssiga cm gestã de falhas é precis que sistema seja cntrlad cm um td, destacand cada cmpnente essencial de md que seja mnitrad individualmente, permitind seu devid funcinament. Desta maneira, quand crre uma falha será fácil e rapidamente determinad cmpnente exact nde a falha crreu. Em seguida, é precis islar rest da rede da falha de tal frma que cntinue a funcinar sem interferências, em seguida pde se prceder a recnfiguraçã da rede, reparand u retirand cmpnente em falha para que se pssa restaurar funcinament nrmal da rede. 2.2.2 Gestã de cntabilizaçã Em várias situações é precis cbrar pela utilizaçã ds recurss da rede, nã send cas da Faculdade de Engenharia, cntud é precis cntabilizar a utilizaçã ds mesms pr diversas razões: us ineficiente ds recurss; sbrecarga da utilizaçã pr diverss utilizadres; administradres da rede pderã futuramente se referenciar para tmadas de decisã (pr exempl, cm faria para expansã da rede cas se justifique), send iss pssível se este estiver ciente das actividades de seus utilizadres. 2.2.3 Gestã de cnfiguraçã Em sistemas mderns de cmunicaçã encntram-se diverss equipaments, pdend um mesm dispsitiv ser cnfigurad cm um rteadr u um switch u mesm um analisadr de tráfic, esta cmpnente inclui tarefas de manutençã, adiçã e actualizaçã ds dispsitivs e serviçs da rede, assim cm mapeament da rede. Na perspectiva de serviçs, permite a dispnibilizaçã de parâmetrs de desempenh tais cm temp de respsta, taxa de errs e a dispnibilidade ds dispsitivs e/u serviçs da rede. Prtant é necessári que seja feita uma melhr esclha de sftware e parâmetrs adequads que permitam a inicializaçã e actualizaçã ds mesms. Sérgi Raúl Vilanculs 8
2.2.4 Gestã de desempenh A necessidade de acmpanhament de limites de desempenh, mnitrament, rastreament de actividades na rede, fazem cm que seja imprescindível a necessidade de bter respstas as seguintes questões, sempre que fr precis: qual é a capacidade actual de utilizaçã? existe algum tráfeg excedente? existe uma diminuiçã acentuada na largura de banda efectiva? existe cngestinament em algum pnt da rede? Cm base nas infrmações clectadas, btêm-se as respstas às questões utrra levantadas. 2.2.5 Gestã de segurança A infrmaçã, cm send el mais imprtante de uma instituiçã, necessita de uma ttal segurança para que pessas nã autrizadas tenham acess restrit à mesma. Para iss a geraçã e distribuiçã de chaves de criptgrafia sã imprescindíveis para garantir que as infrmações que trafegam pela rede sejam integras e seguras. A instituiçã precisa de estar infrmada sbre quem sã s utilizadres autrizads a utilizarem tais recurss dispnibilizads e cncedids pela administraçã da rede. Para iss é necessári que haja um mnitrament e cntrl de acesss à rede e que se faça uma manutençã de lgs e arquivs de auditria. 2.3 Segurança de redes Para uma sluçã de segurança de uma rede de cmputadres existem utrs aspects a cnsiderar cm é cas de implantaçã de uma barreira entre uma rede insegura cm é cas de Internet e a rede lcal da instituiçã, e a gestã de utilizadres. 2.3.1 Firewall Firewall é nme dad a dispsitiv de rede que tem cm bjectiv regular tráfeg entre redes distintas e impedir a transmissã de dads ncivs u nã autrizads entre elas. Desta frma nã deixand passar tráfeg indesejad de infrmações e garantind que certs serviçs u dads sejam acedids smente a partir da rede privada e/u pr pessas autrizadas. Ist é feit cm estabeleciment Sérgi Raúl Vilanculs 9
de regras clcadas estrategicamente na máquina que será usada cm prta de saída e entrada para as redes inseguras. 2.3.2 Servidr Prxy Um servidr Prxy pssibilita as cmputadres cntids em uma determinada rede acess a uma rede pública. É um serviç nrmalmente instalad num dispsitiv cm acess direct à Internet, pdend ser n firewall acima descrit, u utr dispsitiv dedicad, send assim tda a slicitaçã externa a rede deve ser efectuada a esta máquina que pr sua vez realiza as requisições em nme das utras máquinas da rede. Pdem ser acpladas utras funcinalidades a este servidr tais cm: Web-prxy que é respnsável pel armazenament de páginas já visitadas pr cmputadres de uma rede (cach) trnand acess a estas mais rápid e cnsequente liberaçã d segment de rede para utras funções. É também, uma das principais funcinalidades impedir acess indevid às páginas da Internet pels utilizadres, ist é, restriçã de páginas pr cnteúd. NAT (Netwrk Address Translatin-Traduçã de endereçs de rede) (4), uma funcinalidade que permite que endereç intern de um cmputadr da rede seja cultad na Internet apresentand um IP que nã tem relaçã cm s IP s interns da instituiçã, prcedend da seguinte frma: cm já fi referenciad, td tráfeg da instituiçã destinad à Internet é enviad para servidr Prxy. Quand pacte chega a dispsitiv cm NAT cnfigurad, este atribui a pacte, um utr endereç IP n cas públic antes de transmiti-l para Internet, quand pacte de respsta chega, mesm dispsitiv envia a cmputadr lcal que havia feit pedid, cm base nas infrmações de traduçã de nmes mantidas n mesm dispsitiv. Este prcediment prtege s endereçs IP s verdadeirs da rede interna da Internet, dificultand s ataques externs a sistema. O firewall efectua uma filtragem de pactes que cnsiste em analisar cabeçalh ds pactes, enquant passam pr este, decide que fazer cm s mesms. 2.3.3 Cntrladr de dmíni Send DNS (Dmain Name Service) (1) serviç essencial para funcinament da Internet, essa imprtância encntra-se assciada à natureza das infrmações que este armazena, tais cm resluçã de nmes para s utilizadres da Sérgi Raúl Vilanculs 10
rede e prviment de infrmações a respeit de znas sbre as quais pssuem autridade. Aliad a esse cnceit, encntra se cntrladr de dmíni que se descreve a seguir. Cntrladr de dmíni (5) é um serviç que se destina a centralizar tds s direits as diverss recurss de uma rede tais cm nmes de utilizadres, senhas de acess, recurss acessíveis pr utilizadr. Em análise encntra-se cntrladr de dmíni AD DS (Active Directry Dmain Services) basead n sistema perativ Windws, que é uma implementaçã de serviç de directóri d prtcl LDAP 1 que armazena infrmações sbre s bjects de uma rede, tais cm estações de trabalh e utilizadres e dispnibiliza essas infrmações a utilizadres e administradres da rede. É também respnsável pr gerir interacções entre utilizadres e dmínis inclusive prcess de autenticaçã e de pesquisa de directóris. 1 LDAP (Lightweight Directry Access Prtcl) é um prtcl utilizad pels servidres para cncentrar infrmações em um repsitóri lgicamente rganizad. Graças a este prtcl é pssível inserir, alterar excluir infrmações cmuns em uma espécie de banc de dads de infrmações Sérgi Raúl Vilanculs 11
3 Visã Geral d sistema Actual Segund um ds Administradres da rede da Faculdade de Engenharia (6), actualmente a Faculdade de Engenharia pssui uma rede de cmputadres ferecend diverss serviçs cm acess a Internet, bases de dads, cntend diversas infrmações de funcináris e estudantes, e várias estações de trabalh dispnibilizand um cnjunt de aplicações ds utentes. Prém a rede encntra se desprvida de plíticas de segurança e de um sistema de gestã da mesma. Tmand cm base Diagrama 3-1, desenvlvid após um trabalh de levantament de infrmações sbre a estrutura física e lógica actual da rede, é pssível verificar a ausência de váris cmpnentes e serviçs imprtantes que garantem a dispnibilidade, segurança, e gerenciabilidade de uma rede de cmputadres. Observand diagrama nta-se que qualquer estaçã de trabalh tem uma ttal liberdade para se cmunicar cm qualquer utra, seja qual fr serviç requisitad a máquina receptra. A cnexã entre s dispsitivs de distribuiçã é efectuada sem a presença de um link redundante devid à bslescência das cnexões de fibra óptica, traduzind se num pnt únic de falha para as cnexões. Prtant, é imprtante estabelecer uma redundância de cnexã que permita a recuperaçã da cnexã em cass de uma falha n link primári. N aspect de segurança, verifica-se que a rede é desprvida de plíticas de acess send esta acessível pr qualquer utilizadr que tenha essa pretensã. O acess à Internet é efectuad sem restrições lcalmente definidas, estand apenas a mercê d prvedr de serviçs. N entant, a sluçã actual nã é das mais seguras, apesar d gateway da rede estar basead num sistema desenhad especificamente para ferecer uma mair segurança à rede. A lng ds diferentes pnts da rede sã ntáveis váris pnts de acess, dispnibilizand acess à rede para utilizadres sem fi, prém us desta rede nã apresenta nenhuma restriçã de acess, ist é, qualquer utilizadr pde se cnectar a qualquer uma das redes, tant a rede sem fi quant a rede cabeada sem necessidade de se autenticar, entretant, apenas um ds dis pnts de acess peracinais neste mment n cas pnt de acess da Administraçã é que requer a utilizaçã de uma senha para autenticaçã ds utentes. De referir que apenas s pnts de acess da Administraçã e das TIC s encntram-se peracinais. Sérgi Raúl Vilanculs 12
Diagrama 3-1 Diagrama actual da rede A análise d estad actual da rede incluiu também a cntabilizaçã de pnts de rede dispníveis e bslets a lng de tda a infraestrutura perspectivand a renvaçã u inclusã de nvs pnts cnfrme necessári, vide anex 1. Sérgi Raúl Vilanculs 13
3.1 Tmada de Decisã Segund (7) prcess de tmada de decisã é a selecçã cnsciente de um curs de acçã dentre as alternativas dispníveis para bter um resultad desejad, ist é, para se prceder a um prcess de tmada decisã faz se necessária à existência de pel mens duas sluções pssíveis. O prcess de tmada de decisã desenvlve se em sete etapas, a saber: 1. Percepçã da situaçã que abrange algum prblema. 2. Diagnóstic e definiçã d prblema. 3. Definiçã ds bjectivs. 4. Busca de alternativas de sluçã u de curss de acçã. 5. Esclha da alternativa mais aprpriada a alcance ds bjectivs. 6. Avaliaçã e cmparaçã dessas alternativas. 7. Implementaçã da alternativa esclhida. É imprtante realçar que cada etapa influência n desenvlviment das utras. 3.1.1 Definiçã d Prblema A Faculdade de Engenharia, send uma instituiçã de ensin superir, tem se empenhad na massificaçã d us ds sistemas de infrmaçã cm um recurs indispensável para alcançar seus bjectivs que passam pr ferecer serviçs íntegrs e cnfiáveis as seus utentes, esta pssui uma rede de cmputadres distribuída em tds s departaments que a cnstituem, prém, acess à mesma encntra se pr hra limitada devid à degradaçã da infraestrutura de rede lcal. Send cmum encntrar pnts de rede inutilizads, lcais de trabalh sem acess a rede, cm a estrutura de cabs desfeita em váris departaments inclusive salas de infrmática, trnand a dispnibilidade da rede um requisit pr hra insatisfeit. Nesse cntext, existe a necessidade de uma revisã abrangente da infraestrutura de rede lcal da Faculdade de Engenharia de md que a dispnibilidade desta se trne um desej alcançável. É de mair imprtância que tds s gabinetes de trabalh, salas de aulas, labratóris, biblitecas e utrs lcais de estud individual u em grup beneficiem se de acess à rede de dads, seja pela rede cabeada u pela rede sem fi de md a garantir um acess mais abrangente e eficiente as recurss dispnibilizads pr esta. Sérgi Raúl Vilanculs 14
Pr cnseguinte, para garantir a peracinalizaçã da rede, far-se-á necessári incrprar mecanisms de segurança e de gestã integrais para que esta nã seja alv de um dispêndi sem benefícis a lng praz. Para tal, é necessári que se faça uma gestã e acmpanhament cntínus, permitind assim que situações indesejáveis sejam fácil e rapidamente diagnsticadas de tal frma que entidades respnsáveis pela administraçã da rede pssam determinar quand e que prcediments de cntingência devem ser tmads, bem cm btençã de estatísticas para melhrar prcess de gestã da rede e cntribuir para ptimizaçã de desempenh. Até entã, prcess de gestã ds recurss da rede é feit mecanicamente, trnand assim trabalh mais árdu para s administradres da rede. Nã prvê mecanisms de geraçã de relatóris de desempenh da rede, reclha de infrmações sbre s diferentes equipaments respnsáveis pel encaminhament ds serviçs as utentes da rede. Pr via diss é precis prceder à implantaçã de um sistema de gestã da rede que pssa mnitrar e cntrlar s diverss equipaments e serviçs desta e permitir que facilmente sejam adptadas plíticas de utilizaçã. 3.1.2 Avaliaçã de Alternativas O prcess de avaliaçã de alternativas levu em cnta a análise diferentes ferramentas de gestã de redes nde cm base na avaliaçã das funcinalidades de cada um deles aliad as resultads ds testes, fi pssível determinar a sluçã final. Durante este prcess, fi pssível verificar que cada uma dessas ferramentas respnde a certas áreas funcinais e nã a ttalidade das áreas funcinais de gestã utrra definidas, havend dessa frma uma necessidade de fazer um estud cmparativ das diferentes ferramentas baseand se nas funcinalidades para as quais cada uma respnde cnfrme as áreas gestã definidas n capítul 2, para tal é apresentada abaix uma tabela que destaca as áreas de actuaçã de cada ferramenta, e psterirmente sã apresentadas as respectivas tabelas cmparativas. Tabela 3-1 Identificaçã de áreas funcinais Identificaçã de áreas funcinais de gestã pr ferramenta Cnfiguraçã Segurança Desempenh Cntabilizaçã Falhas Nagis Sérgi Raúl Vilanculs 15
Zabbix Spicewrks Squid Mikrtik Cm se pde ntar cnjunt frmad pr Nagis, Zabbix e Spicewrks, sã ferramentas desprvidas da funcinalidade de gestã de segurança, send que as restantes têm essa funcinalidade e a de gestã de cntabilizaçã prém desprvidas das utras funcinalidades. Send assim fez se a esclha das ferramentas para atender às necessidades aqui descritas, efectuand uma cmparaçã entre estas, baseada nas suas áreas funcinais e as características cnsideradas principais para escp desse prject. Para facilitar a cmpreensã d que sucede nas tabelas abaix adpta se um critéri de designaçã de cada um ds grups de sftware que estabelece que as primeiras três ferramentas sã ferramentas de gestã de cnfiguraçã, e as últimas duas sã ferramentas de gestã de segurança, cntud ist nã significa que respndem simplesmente às áreas definidas pel nme a elas atribuíd. Sérgi Raúl Vilanculs 16
Tabela 3-2 Ferramentas de gestã de cnfiguraçã Estud cmparativ das ferramentas de gestã de cnfiguraçã Nagis Zabbix Spicewrks Prtcl de cmunicaçã SNMP Alertas via e-mail Alertas via sms Suprte a plugins de terceirs Multiusári Web cm níveis de acess Autbusca de dispsitivs Alertas cstumizáveis Desenvlviment de sistemas cstumizáveis Execuçã de cmands remts Suprte a platafrmas Windws Suprte a platafrmas Unix Licença livre Licença cmmercial Suprte Tabela 3-3 Ferramentas de Segurança Estud cmparativ das ferramentas de gestã de segurança Squid Mikrtic Suprte a platafrmas Windws Suprte a platafrmas Linux Suprte a platafrma Ruter OS Web-prxy Filtr de cnteúd Cntrl de largura banda pr usári Relatóris Filtr pr nível de acess Filtr pr Mac address Filtr pr IP Sérgi Raúl Vilanculs 17
Serviç htspt 2 Cmunicaçã cm AD d Windws Licença livre Licença cmmercial Suprte técnic Licença permanente 3.2 Prpsta de sluçã Dada a necessidade descrita acima, a sluçã, cm dissera anterirmente passa pr uma revisã integral da infraestrutura da rede lcal de md a prduzir uma tplgia de rede que pssa frnecer acess as diferentes departaments da Faculdade. Para tal, é precis estabelecer lcais sem u cm pnts bslets, definir lcais de implantaçã de pnts de acess para utilizadres móveis. N que tange a gestã da rede, sã aspects imprtantes para cas de estud (8): cmpatibilidade cm as platafrmas de sftware crrentes; utilizaçã de padrões aberts; cust de implementaçã acessível; qualidade e desempenh de sftware aceitáveis; Serviçs de rede A sluçã que se prpõe, necessita de alguns serviçs imprtantes cm alicerces para um melhr desempenh e uma mair dispnibilidade da rede, eis: 1. incrpraçã de um cntrladr de dmíni basead n Active Directry, que irá permitir a criaçã de grups de trabalh, criaçã de plíticas de grups, acess à infrmações persnalizad, ist é, de acrd cm nível e grup nele afect. 2. implantaçã duma aplicaçã Web integrada a AD, que irá permitir um acess persnalizad e intuitiv a diversas infrmações cm material de api, infrmações dirigidas as estudantes, prfessres e funcináris. Para garantir a integridade desta e de utras infrmações sã definids níveis de acess que permitem a criaçã, alteraçã, distribuiçã e visualizaçã de cnteúds. 2 Htspt- serviç que permite cntabilizaçã de cnsum de largura de banda, bem cm a criaçã de qutas de cnsum; nde seus utilizadres devem pssuir credenciais válidas para autenticaçã n mment de acess à página requesitada. Sérgi Raúl Vilanculs 18
3. implantaçã de um serviç de prtecçã de acess à rede. Trata se de um serviç que vela pela saúde da rede em situações de risc eminente, ist é, antes que um cmputadr tenha cnexã cm s demais sã verificads alguns parâmetrs de segurança pré-estabelecids só depis de aprvad seu estad é direccinad à rede crprativa, enquant iss é direccinad para uma rede de remediaçã cntend s serviçs requerids e mecanisms de cnfiguraçã de segurança. 4. cnfiguraçã de um servidr de impressras cm diferentes níveis de acess. 5. Implantaçã de um servidr Prxy que irá permitir um cntrl efectiv de acess a exterir (Internet), e permitir um armazenament de páginas mais acedidas para garantir a ptimizaçã d cnsum de largura de banda. 6. implantaçã de um sistema de mnitrament de activs da rede, cm impressras, rteadres, pnts de acess, cmputadres pessais, switches e segments de rede. 7. garantir us de mesmas cntas de acess entre as redes cabeada e sem fi para s mesms utilizadres. Requisits de prduts de gestã Tabela 3-4 Requisits de prduts de gestã Característica Interface cm utilizadr Cmunicaçã cm s recurss gerids Ntificaçã Núcle Prcess de identificaçã de falhas Mnitraçã remta Apresentaçã Web SNMP versões 1, 2 e 3; ICMP, Telnet. E-mail, SMS, instantâneas. Elabraçã de mapa da rede; Relatóris; Levantament de tplgia da rede; Manusei de events; Islament de falhas Us de agentes u plug-ins; Análise de prtcls em segments WAN e LAN; Sérgi Raúl Vilanculs 19
4 Desenvlviment d prject 4.1 Resum executiv A Faculdade de Engenharia cm instituiçã de ensin debate se cm uma necessidade de requalificaçã da sua rede infrmática, necessidade esta que passa pel melhrament da sua infraestrutura física ns diferentes níveis de acess e distribuiçã de frma a garantir um acess mais abrangente à sua cmunidade de utilizadres que pr sinal encntra se em franc cresciment devid a aument de utilizadres móveis. Sb essa perspectiva, cube desenvlver uma prpsta de renvaçã da rede, enfatizand a incrpraçã de nvs serviçs que a trne eficientemente gerenciável, bem cm a expansã da rede sem fi de md a garantir mair acess à mesma. 4.2 Escp d prject O escp d prject é de actualizar a rede lcal da Faculdade de engenhariam abrangend um ttal de cinc departaments nmeadamente Departament de Engenharia Mecânica, Civil, Química, Electrtécnica, Cadeiras Gerais e Administraçã. A rede em questã será acedida pr funcináris da Faculdade distribuíds pels diferentes Departaments, prfessres, estudantes interns e externs (visitantes). Nã faz parte d escp d prject a actualizaçã de qualquer WAN usada pr esta instituiçã, bem cm a rede de transmissã de vz. 4.3 Análise e descriçã de negóci da Faculdade de engenharia A análise ds bjectivs de negóci é abslutamente crucial a sucess de um prject de rede na medida em que a análise final deste nã se baseia na sua beleza u elegância técnica, cntud, em terms ds benefícis envlvids para negóci da instituiçã. Para efeit, e cm base em entrevistas efectuadas junt á instituiçã prcede-se a identificaçã ds aspects seguintes. A Faculdade de Engenharia é uma instituiçã pública 3 de ensin superir, send seu mair negóci ministrar curss de engenharia a cidadãs mçambicans e 3 Instituiçã que ferece serviçs a públic em geral sem fins lucrativs Sérgi Raúl Vilanculs 20
estrangeirs, send seu mair frnecedr Gvern de Mçambique dada a sua natureza pública. O seu Univers de parceirs estende-se a utras faculdades de âmbit nacinal e internacinal, bem cm empresas de diferentes rigens que cntribuem de diferentes frmas n prcess de ensin desta instituiçã, de um lad na atribuiçã de blsas de estud as estudantes e de utr prvêm recrutament para estudantes finalistas e recém-graduads para seus quadrs. 4.4 Diagrama de cass de us O diagrama de cass de us representad abaix espelha as diferentes intervenções que se efectuam a sistema n seu td, intervenções prtagnizadas pels administradres da rede, utilizadr final e s sistemas individuais que cmpõem a sluçã de gestã de uma rede de cmputadres. A lng d prject, especificamente na revisã literária fram identificadas cinc áreas funcinais de gestã de uma rede de cmputadres, é na base destas que s cass de us em descriçã se baseiam. O diagrama 4-2 ilustra de frma mais detalhada as diferentes intervenções efectuadas pels administradres da rede e pels utilizadres finais. Diagrama 4-1 Cass de us de alt nível Nme: Gestã de cnfiguraçã Actres: Administradr da rede, utilizadr final, sistema de cntrl de serviçs Tip: primári Resum: administradr da rede, parametriza sistema de gestã indicand as estações críticas tais que requerem mnitrament cntínu, e sistema de cntrl Sérgi Raúl Vilanculs 21
de serviçs efectua a clecta de infrmações dispnibilizadas pelas estações mnitradas, send que utilizadr final participa reprtand questões anómalas referentes a desempenh da rede. Nme: Gestã de cntabilizaçã Actres: Administradr da rede, sistema de cntrl de serviçs Tip: primári Resum: administradr da rede, parametriza sistema de gestã indicand cnsum de largura de banda necessári, e sistema dispnibiliza relatóris de cnsum da mesma, bem cm s acesss efectuads. Nme: Gestã de Desempenh Actres: Administradr da rede, sistema de cntrl de serviçs Tip: primári Resum: administradr da rede, parametriza sistema de gestã indicand s limiares de utilizaçã de frma a serem gerads alertas pr parte d sistema na medida em que estes atingirem nível crític. Nme: Gestã de falha Actres: Administradr da rede, sistema de cntrl de serviçs Tip: primári Resum: administradr da rede, parametriza sistema de gestã indicand as respstas a serem efectuadas pel sistema na crrência de falhas previamente cnhecidas, e sistema respnde s devids parâmetrs de md a restabelecer serviç em questã. Nme: Gestã de segurança Actres: Administradr da rede, sistema de autenticaçã e autrizaçã, utilizadr final Tip: primári Resum: administradr da rede, define mecanisms e plíticas de segurança a serem tmads em cnta send respnsabilidade d sistema prver mecanisms de acess cm base nas mesmas plíticas as utilizadres finais. Sérgi Raúl Vilanculs 22
Diagrama 4-2 Cass de us expandids Descriçã de cass de us expandids Nme: cadastr de usuáris e estações Actres: Administradr da rede Prpósit: cadastrar s utilizadres e s cmputadres lcais n dmíni Resum: administradr da rede, faz cadastr ds utilizadres cm direits de acess a rede juntamente cm s cmputadres lcais Tip: primári Nme: Cnfiguraçã de estações lcais Actres: Administradr da rede, usuári final Prpósit: definir parâmetrs de segurança para permitir acess a rede Resum: administradr da rede, após cadastrads s usuáris e s cmputadres lcais n dmíni, faz lgin n cmputadr em questã altera as cnfigurações d sistema de md a indicar dmíni, send que a psterir utilizadr deverá mdificar a senha criada pel administradr da rede antes de ter acess à rede. Tip: primári Referências cruzadas: cadastr de usuáris e estações Nme: Definiçã de qutas de cnsum Sérgi Raúl Vilanculs 23
Actres: Administradr da rede Prpósit: definir cnjunt de recurss acessíveis pr utilizadr Resum: administradr da rede, após cadastrads s usuáris e s cmputadres lcais n dmíni, faz lgin n cmputadr em questã altera as cnfigurações d sistema de md a indicar s recurss que um utilizadr u grup têm acess, especificand também as restrições de acess Web para mesm cnjunt. Tip: primári, essencial Referências cruzadas: cadastr de usuáris e estações 4.5 Critéris de sucess versus fracass O sucess d presente prject teve cm base s aspects a saber: cmunicaçã efectiva junt a equipa prpnente d prject; trca de infrmações sbre andament d prject; dedicaçã integral n desenvlviment d prject e na prduçã d relatóri; realizaçã de labratóris de testes; A falha de efectivaçã ds pnts acima descrits pde de alguma frma cmprmeter sucess d prject e desta frma cmprmete também s bjectivs da direcçã da rganizaçã que passam pel melhrament da infraestrutura da rede lcal, bem cm cntrl de cnsum ds recurss ferecids pela rede. 4.6 Restrições rçamentais A implantaçã deste prject requer a dispnibilidade de um rçament tal que pssa cbrir tdas as despesas envlvidas n prcess desde a fase de implementaçã a fase de avaliaçã e mnitrament, entretant, cnhecidas as dificuldades apresentadas pela instituiçã n cncernente à aquisiçã de equipaments, ptu-se pr uma sluçã baseada numa mair restruturaçã lógica e menr restruturaçã física, bem cm a utilizaçã se sftwares livres para prcess de mnitria. Desse md, garante-se uma sluçã que atenda as necessidades funcinais e a mesm temp as restrições de carácter rçamental. Sérgi Raúl Vilanculs 24
4.7 Análise de bjectivs e restrições técnicas A análise de bjectivs técnics de um prject de rede é uma parte fundamental e crucial para que se pssam recmendar tecnlgias aprpriadas a realidade em estud de frma a satisfazer cliente (entidade prpnente). 4.7.1 Escalabilidade A rede, resultante deste prject, deve permitir um cresciment gradual cnfrme as exigências funcinais da rganizaçã, vist que, cm temp vã send integrads nvs utilizadres, nvas aplicações, nvs sites e cnexões de rede cnfrme a prcura. Devid à acessibilidade de aquisiçã de cmputadres prtáteis, é ntável cresciment d númer de utentes móveis, abrind espaç para uma prcura mais acentuada da rede sem fi, havend dessa frma a necessidade de expandir acess a esta cnfrme as exigências ds utentes. Sb essa perspectiva, diga-se que a rede deve: prver uma melhr cnexã entre s departaments da instituiçã; resluçã de gargals de desempenh que pssam surgir cm resultad de mair tráfeg entre s departaments; prver uma centralizaçã de servidres num Server farm. permitir a inclusã de nvs sites de md a suprtar nvs agrupaments que pssam eventualmente surgir cm cnsequência de cresciment da instituiçã. 4.7.2 Dispnibilidade e desempenh da rede Durante a análise de requisits é cmum encntrar clientes sem cnheciment suficiente para especificar seus requisits de desempenh, limitand se apenas a necessidade de que a rede deve ser rápida, cntud sem especificações numéricas para efeit, neste cas prjectista de rede é brigad a fazer certas supsições de acrd cm s critéris que sã levads em cnta para determinaçã de requisits de desempenh da rede. A mediçã de desempenh de uma rede de cmputadres pde ser feita cm base num cnjunt de critéris definids cm métricas de desempenh para uma dada situaçã, para efeit cnsidere-se seguinte: Sérgi Raúl Vilanculs 25
Aplicações interactivas precisam de atras mínim, para tal é cnveniente à revitalizaçã das linhas de fibra de frma que pssam prver cnexã as diferentes departaments junt da central de distribuiçã, desfazend se da actual situaçã em que a intercnexã ds diferentes departaments é baseada em cabs UTP, que chegam a ultrapassar 100 metrs de cmpriment. N aspect de acess a Internet, dada a dependência de um únic prvedr de serviçs, é cnveniente ptimizar a largura de banda dispnível fazend se a pririzaçã de tráfeg cm prxy. 4.7.3 Segurança Trata-se de um aspect muit imprtante d prject de uma rede de cmputadres, especialmente cm cnexões à Internet e Extranet dada a vulnerabilidade a qual se expõe. O bjectiv básic desta precauçã passa pr garantir que prblemas de segurança nã afectem a s negócis da instituiçã. Para tal, é precis prceder cm as questões seguintes: Planificaçã análise de riscs levantament de requisits 4.7.3.1 Planificaçã A planificaçã de aspect de segurança é crucial para garantir a peracinalidade de uma rede a lng praz, levand em cnta que este prcess inclui duas vertentes, a física e a lógica. a) Vertente física A segurança física de uma rede inclui a prtecçã de td um cnjunt de cmpnentes cnstituintes desta. É de extrema imprtância estabeleciment de um perímetr devidamente prtegid para tds s equipaments de rede. A segurança física num ambiente de rede deve incluir: estabeleciment de uma sala especializada (Server farm) para incrpraçã ds diferentes servidres de rede, switches de camada de distribuiçã, e dispsitivs de acess WAN. Send que este é um aspect patente na instituiçã e cm cndições aprpriadas para efeit desde pnt de vista de acess a climatizaçã da mesma. É imprtante realçar Sérgi Raúl Vilanculs 26
que a segurança física dum ambiente de rede estende se ainda a necessidade de incrpraçã de uma sala de UPS s capazes de garantir à alimentaçã ds cmpnentes de rede prevenind perdas de dads e danificaçã ds sistemas infrmátics que pssa ser causad pr quedas de energia. Sb esse aspect a rede nã dispõe dessa capacidade na sua ttalidade dad que apenas a sala de servidres e sala de TIC s pssuem um cnjunt de UPS s capazes de respnder as necessidades dessas divisões. b) Vertente lógica A segurança lógica de uma rede de cmputadres cnstitui um aspect crucial na administraçã da mesma, a falta de plíticas claras de segurança pde cmprmeter a dispnibilidade da rede e, até n nível mais crític d negóci da instituiçã. Havend necessidade de garantir sigil de infrmações sensíveis e garantir a privacidade ds utentes da rede, prver parâmetrs de cnduta para utilizadres da rede. Cntud, a Faculdade de Engenharia até exact mment encntra se desprvida de mecanisms de segurança própris, dependend apenas d seu prvedr de serviç, n cas Centr de Infrmática da Universidade Eduard Mndlane (CIUEM). Aspects cm prtecçã de perímetr, prtecçã de acess intern e extern, sã de grande relevância neste prject. 4.7.3.2 Análise de riscs Para implementar a segurança de um site u grup de utilizadres, deve-se investigar s riscs de nã implementar a segurança fazend a seguinte análise: qual é a sensibilidade ds dads dispnibilizads pela instituiçã e quais sã s efeits de rub u mudança ds mesms na medida em que as empresas se precupam principalmente cm s seguintes três aspects da segurança: Sérgi Raúl Vilanculs 27
vírus 4 prblemas causads pr errs de utilizadres prblemas causads pr utilizadres interns maliciss 4.7.3.3 Requisits de segurança Os recurss que devem ser prtegids sã: hspedeirs, incluind servidres. dispsitivs de intercnexã (switches, rteadres, pnts de acess). dads de sistemas u de aplicações a imagem da empresa Os requisits devem atingir s seguintes bjectivs: permitir que pessas externas tenham acess a dads públics (via http, https e ftp), mas nã dads interns; identificar, autenticar e autrizar utilizadres da rganizaçã, utilizadres móveis e funcináris que eventualmente trabalhem remtamente; detectar intruss e identificar s dans causads pr estes; prteger hsts e dispsitivs fisicamente; prteger hsts e dispsitivs lgicamente através de senhas e direits de us; prteger aplicações e dads cntra vírus; prver cópias de segurança treinar utilizadres sbre a plítica de segurança da empresa e sbre frmas de evitar prblemas de segurança. 4.7.3.4 Usabilidade Usabilidade diz respeit à facilidade cm a qual utilizadres acedem s serviçs da rede. Enquant a gerenciabilidade melhra a vida d gerente de rede, a usabilidade fca utilizadr final. Para melhrar a usabilidade adptu se pel seguinte: 4 Vírus- Prgramas u arquivs preparads para causar dans em cmputadres. Pdem estar anexads u embutids em páginas de internet, dcuments, anexs de e-mail e utrs recurss lectrónics. Sérgi Raúl Vilanculs 28
racinalizaçã de plíticas de segurança; facilidade de cnfiguraçã da rede (usand DHCP); a facilidade cm a qual um utilizadr móvel pde se integrar à rede em váris pnts da rede n cas sb s diferentes departaments; 4.7.3.5 Adaptabilidade A adaptabilidade descreve cm prject de rede pde se adaptar a mudanças de: tecnlgia prtcls frmas de negóci legislaçã O desenvlviment deste prject nã inclui requisits de mudanças estruturais na rganizaçã da instituiçã, cntud, algumas plíticas imprtantes, que até entã nã se fazem sentir, sã definidas de frma a garantir sucess deste prject. N aspect das tecnlgias envlvidas, fcu-se numa sluçã em trn da realidade actual sb risc de exceder as capacidades rçamentais da instituiçã. A definiçã de grups de trabalh, de sites u unidades rganizacinais trazem cnsig uma cmpnente nva n trabalh clabrativ da empresa, na medida em que a partilha de dads melhra a prdutividade da instituiçã. A inclusã de nvas aplicações de gestã da rede trazem cnsig alguma necessidade de incrpraçã de nvs prtcls, n cas SNMP. Um ds aspects mais imprtantes da adaptabilidade é a facilidade cm a qual as mudanças pdem ser feitas na rede (usand VLAN s, pr exempl), prém a nã existência de dispsitivs de intercnexã que suprtem tal cmpnente, dá espaç para a segmentaçã da rede recrrend a unidades rganizativas. 4.8 Prject lógic O prject lógic de uma rede de cmputadres termina cm a criaçã de um mapa de rede indicand segments de rede, pnts de intercnexã e cmunidades de Sérgi Raúl Vilanculs 29
utilizadres. Actualmente, cm cresciment das redes crprativas emprega se uma arquitectura hierárquica, que permite desenvlver uma rede em fracções send que cada fracçã fca um bjectiv diferente. A criaçã de uma tplgia lógica da rede deve levar em cnta questões de redundância de enlaces e de dispsitivs de intercnexã de frma a garantir uma mair dispnibilidade, eliminand pnts únics de falha. Existem alguns pnts essenciais que devem ser bservads num prject de tplgia de uma rede, nmeadamente: minimizaçã de dmínis de bradcast, esta característica pde ser alcançada cm a inclusã de dispsitivs de camada três na camada de distribuiçã u pela criaçã de VLAN's; inclusã de segments redundantes implica a incrpraçã de links redundantes entre s switches de frma a aumentar a dispnibilidade; us de redundância para servidres imprtantes, é de extrema relevância que servidres cm de cntrl de dmíni, de DNS e de cntrl de acess à rede sejam duplicads de frma a garantir a dispnibilidade ds serviçs pr estes ferecids, mesm cm a queda d servidr primári; incluir caminhs de rteament alternativs, é cnveniente definir rtas alternativas para um dad dmíni de bradcast para cass de falha da rta principal. 4.8.1 Prject de segurança da rede A segurança num ambiente cmpartilhad, n cas a rede da Faculdade de Engenharia é cada vez mais imprtante devid a: Cnexã para Internet; A frmaçã de uma intranet Us da rede crprativa pr utilizadres móveis e funcináris que trabalham remtamente As etapas que cmpõem prject da segurança sã: a. identificaçã ds recurss de rede; Sérgi Raúl Vilanculs 30
b. análise de riscs (implicações) de segurança; c. elabraçã de um plan de segurança; d. elabraçã de plíticas de segurança; e. elabraçã de prcediments para aplicaçã e implementaçã das plíticas de segurança; f. manutençã da segurança através de auditrias periódicas. 4.8.1.1 Identificaçã de recurss de rede e análise de riscs Em capítuls anterires, fi dit que para implementar a segurança de um site u grup de utilizadres, deve-se investigar s riscs de nã implementar a segurança. Feita essa análise, verificu-se que: A Faculdade de Engenharia pssui um servidr de base de dads cntend um cnjunt de infrmações referentes as funcináris da instituiçã e ds estudantes da mesma, send que estas requerem um nível de prtecçã mair dad que sua alteraçã, u rub das mesmas pde resultar na anulaçã de nível de cert estudante. Entretant, sã recurss a prteger: as bases de dads da instituiçã, s dispsitivs de intercnexã, sistemas perativs e máquinas hspedeiras. 4.8.1.2 Análise de implicações de segurança O cust da prtecçã cntra uma ameaça deve ser menr d que recuperar-se da cncretizaçã desta, prtant, a segurança cm qualquer utr requisit pssui implicações que devem ser tmadas em cnta, eis: cust- mair cmplexidade pde exigir custs de manutençã maires; usabilidade- mecanisms cmplexs dificultam utilizadr final; dispnibilidade- pde riginar um pnt únic de falha n firewall; gerenciabilidade- existe a necessidade de manter históric de lgins, senhas, e nmes de utilizadres e psterirmente fazer uma auditria de segurança; prtant a perda u aquisiçã ilegal destas pde abrir brechas de segurança maires. Sérgi Raúl Vilanculs 31
4.8.1.3 Desenvlviment de um plan de segurança Um plan de segurança é um cnjunt de especificações a serem feitas de md a cumprir requisits de segurança, especificand temp, as pessas e utrs recurss necessáris para desenvlver e implementar as plíticas de segurança. O plan faz referência à tplgia da rede e determina quais serviçs serã prvids, especificand s prvedres de serviçs, pessas cm direits de acess, frma de acess e s administradres de acess. Cm respsta a estas especificações, imprta referir que a Faculdade de Engenharia ferece serviçs de acess web prvids pela CIUEM, a princípi para tds s estudantes e funcináris da instituiçã, send que cm a implantaçã deste prject, acess a este recurs será mediante uma cnta de acess assim cm para utrs serviçs dispnibilizads pela rede. É imprtante que tds s envlvids se sintam cmprmetids cm plan de segurança. 4.8.1.4 Desenvlviment de plíticas de segurança Uma plítica de segurança especifica frmalmente as regras que devem ser seguidas pelas pessas que irã aceder s recurss da instituiçã, as brigações das pessas (utilizadres, e equipe técnica) para manter a segurança passam pel cumpriment das cmpnentes que abaix se descrevem. 1. Uma plítica de acess a. Tds s estudantes, funcináris, técnics de redes e dirigentes têm direit de acess a rede mediante uma senha prvida pel Administradr de rede. b. Tds esses cm excepçã ds administradres de redes têm acess a estes recurss de segunda a sexta n hrári cmpreendid entre as 700h e 2200h, e as sábads das 7:00h as 18:00h; c. O acess à sala de servidres é cncedid apenas as técnics de redes, da manutençã e de utrs trabalhs de rtina mediante a presença de um agente d departament de TIC; d. Só s técnics de redes é que pdem efectuar uma sessã de acess remt; Sérgi Raúl Vilanculs 32
e. Tds utentes a excepçã ds agentes d departament de TIC pssuem uma cnta de lgin de dmíni e nã lcal, tal cnta é válida para utilizaçã cnjunta das redes Ethernet e wireless; f. A cnexã a dispsitivs de rede é cncedida apenas a equipe das TIC; g. A incrpraçã de um nv sftware nas estações de trabalh é cncedida apenas a pessal de TIC send que para as salas públicas cm as de infrmática, prcess será encarregue a respnsável pela sala em questã; h. Restringir acess à páginas pr cnteúd; 2. Uma plítica de respnsabilidade a. Os utilizadres sã respnsáveis pela gestã ds seus própris cnteúds, send estes de acess exclusiv; b. Tds s utilizadres de rede sã respnsáveis pela alteraçã das suas chaves de acess e nunca de cnta de acess; c. A equipa de perações de rede é respnsável pela atribuiçã de direits de us a tds utentes de acrd cm seu nível de acess; d. Apenas a equipe de redes é que pssui direits de criaçã, alteraçã e remçã de cntas de dmíni mediante uma justificaçã para efeit; e. O sistema deve gerar lgs de auditria para avaliar situações de risc. 3. Uma plítica de autenticaçã a. A plítica de autenticaçã estabelece a existência de uma única sessã para cada cnta criada. b. Os utilizadres da rede sem fi pderã aceder qualquer pnt de acess ligad à rede bastand prver as mesmas credenciais designadas a este para a rede fixa. 4.8.1.5 Desenvlviment de prcediments de segurança Os prcediments de segurança implementam as plíticas de segurança, s mesms, definem s prcesss de cnfiguraçã, lgin, auditria e manutençã send específics para cada utente. Utilizadres - estes pssuem capacidade para manusei de cnteúds designads para si, devem alterar a sua senha de três em três meses preferencialmente. Em cass de acess negad para certa cnta, deve se anunciar crrid à equipe de administraçã de redes para as estações clientes referentes as Sérgi Raúl Vilanculs 33
funcináris da instituiçã e a respnsável da sala, n cas de crrências idênticas nas salas de infrmática. Administradres de rede - sã respnsáveis pela clecta de inquisições e psterir respsta a incidentes de segurança e de utrs âmbits relacinads cm a rede. 4.8.2 Mecanisms de segurança Os mecanisms de segurança levads em cnta neste prject dependem d nível de segurança exigid pela Faculdade de Engenharia de acrd cm nível de sensibilidade de infrmações dispnibilizadas pr esta, cas de infrmações mantidas n regist académic, é de grande imprtância que estas sejam íntegras e seguras. I. Autenticaçã Mecanism nrmal: nme de lgin e senha, usadas durante a sessã de lgin, send que tdas as estações de trabalh pderã pedir a emissã da senha em cass de mais de 10 minuts de inactividade. II. Autrizaçã Baseada em permissões de acess usand Access Cntrl Lists para cnexões a Internet. Baseada em plíticas de grups para acess lcal, usand grups de utilizadres d AD. III. Auditria Clecta de dads sbre us de recurss para relacinar as crrências n temp e espaç. Infrmações a serem clectadas: Tdas as tentativas de autenticaçã e autrizaçã Nme de lgin Lguts Mudanças de permissões Sérgi Raúl Vilanculs 34
Os lgs devem ser peridicamente analisads de md a garantir ajuste das plíticas de segurança. 4.8.2.1 Esclha de sluções de segurança A esclha de sluçã de segurança passa pr identificar meis que permitam usar s mecanisms acima numa sluçã de segurança, havend necessidade de definir mecanisms de segurança para diferentes tips de acções: cnexã cm a Internet acess sem fi serviçs de rede serviçs d utilizadr 4.8.2.2 Segurança de cnexã a Internet Para alcançar uma mair segurança n acess à Internet deve se prceder cm a cmbinaçã ds seguintes mecanisms, descrits em capítuls anterires: Firewalls Prxy Segurança física Lgs de auditria Autenticaçã Autrizaçã Refira-se que tds s serviçs desnecessáris serã desligads nas plíticas de firewall. A inclusã de um servidr Prxy permite cntrlar acess ds utentes a exterir, criand um cnjunt de ACL's que estabelecem a cnduta de navegaçã pela web. Trata se de um sistema (Squid) que rda em platafrmas Unix, apesar diss, este pde interagir cm AD permitind autenticações baseadas nas cntas de utilizadr d AD. Sérgi Raúl Vilanculs 35
4.8.2.3 Segurança de acess sem fi O prcess de autenticaçã é prvid pel serviç Remte Authenticatin Dial- In User Server (RADIUS Server) integrad a AD de md a permitir a utilizaçã de mesmas senhas em acesss as redes Ethernet e Wireless. Cm a utilizaçã d RADIUS Server, mantém se um banc de dads centralizad de utilizadres/senhas especificand tip de serviç permitid (telnet, rlgin, http). 4.8.2.4 Segurança de serviçs de rede Para uma melhr segurança, é imprtante sempre desligar s serviçs desnecessáris, ist é, sem cntribut n funcinament da rede. Prteger acess físic e lógic a rteadres, switches e servidres cm senhas dispnibilizadas apenas a pessal de administraçã de rede. Sã definids dis níveis de autrizaçã, a saber: a. Visualizaçã d estad ds dispsitivs (primeir nível), em que pde se visualizar estad ds dispsitivs e reprtar a pessal cm privilégis de alteraçã. b. Visualizaçã e alteraçã de cnfiguraçã (segund nível), para além de visualizar estad ds dispsitivs e serviçs pde efectuar algumas alterações cnfrme se justifique. 4.8.2.5 Segurança de serviçs d utilizadr A segurança de serviçs de utilizadr irá depender da cnduta deste e da cperaçã da equipe de suprte que deve passar infrmações sbre critéris de esclha de chaves, e a necessidade de alteraçã das mesmas. O utilizadr deverá esclher uma senha que nã tenha nenhuma cmbinaçã ds seus dads pessais. E pr cnveniência administradr de rede deve habilitar lgut autmátic 4.8.2.6 Tplgia de firewall Cnfrme já fi referenciad n capítul 2, um firewall é um sistema que estabelece um limite entre duas u mais redes. Cm frma de garantir a privacidade da rede crprativa, us de Netwrk Address Translatin (NAT) é necessári, send implementad n rteadr cm acess a Internet; e us de um prxy para serviçs (web e ftp). Sérgi Raúl Vilanculs 36
Pensand n futur, e na expansibilidade da rede é cnveniente estabelecer uma zna desmilitarizada nde pssam ser hspedads s servidres públics. Cm base nessas especificações apresenta se a seguinte arquitectura. Iptables+Squid Mikrtic Rede Crprativa Firewall de brda Firewall intern e Prxy DMZ Diagrama 4-3 Tplgia de Segurança A figura acima apresenta a sluçã de segurança requerida para este prject, dnde pde se destacar a inclusã de uma máquina rdand um servidr prxy e a mesm temp cm access cntrl lists baseads em pactes definids. Refira-se que esta máquina, define plíticas de acess a exterir, enquant rteadr, além de ser gateway padrã define plíticas de acess intern. 4.9 Prject de gestã da rede A gestã da rede cnstitui um aspect peracinal que deve ser levad em cnta, pis a dispnibilidade desta depende desse aspect, send assim, sã desenvlvids mecanisms de gestã da rede da Faculdade atendend às seguintes especificações. 4.9.1 Determinaçã ds requisits de gestã Nesta fase tem se cm fc gerar uma lista pririzada ds serviçs que deverã ser gerenciads, daí a necessidade de adptar uma metdlgia que cngrega questões de prject de rede n seu td, pra tal fez-se um levantament das Sérgi Raúl Vilanculs 37
infrmações da rede crprativa basicamente a tplgia da rede e s tips de recurss utilizads, descrevem se a seguir algumas etapas desse item. I. Obtençã das restrições Framreferenciadas junt à entidade prpnente as seguintes restrições técnicas 1. Só Administradr da tem direit de ver que sucede na rede a dad mment; 2. O Administradr tem de ter a pssibilidade de retirar um utilizadr da rede; 3. O Administradr da rede tem de ter a pssibilidade de visualizar cnteúd acessad pel utilizadr da rede a qualquer instante, prém destaca se algum grup de utentes que suas acções na rede nã devem ser mnitradas, a destacar, as entidades administrativas da Faculdade; 4. Deve se prceder à btençã de relatóris de us e desempenh da rede que deverã ser dispnibilizads a Administradr da rede e as entidades Administrativas da Faculdade; 5. Obtençã de relatóris referentes a tentativas de cnexã a rede sejam sucedidas u nã; 6. Obter infrmações sbre desempenh de cada segment da rede; II. Lista de serviçs que devem ser gerids na rede 1. Utilizaçã de segment de rede; 2. E-mail; 3. Bases de dads; 4. Cmpartilhament de arquivs; 5. Acess e utilizaçã das estações lcais; 6. Utilizaçã de serviçs Web; Sérgi Raúl Vilanculs 38
III. Determinaçã ds tips de recurss da rede crprativa pr gerir Tabela 4-1 Estações de Trabalh Estações de trabalh Designaçã Descreve se também uma quantidade nã cntabilizada actualmente de estações de trabalh, uma tarefa que pderá ser efectuada cm ajuda duma das funcinalidades da sluçã que se espera apresentar n decrrer desse trabalh, que é inventári tant de hardware quant de sftware; Tabela 4-2 Requisits de gestã para cmpnentes de rede Requisits de gestã para cmpnentes de rede Servidres e Requisit de gestã Área funcinal estações de Detecçã de falta de cnexã d servidr trabalh na rede Falha Visualizaçã e alteraçã da cnfiguraçã de Cnfiguraçã parâmetrs de rede Cntabilizaçã de tráfeg de dads pr Cntabilizaçã recurs Blquei u permissã de acess Segurança prveniente de recurss externs Detecçã de falhas de hardware (disc, Falha unidades de memória) e de sftware (términ anrmal de prcess d sistema). Cntabilizaçã pr utilizadr u grup de Cntabilizaçã utilizadres d númer de transações referentes a vlume de dads transmitids/recebids Detecçã de falhas de segurança, Segurança tentativas excessivas de lgin fra d cnjunt de máquinas a si permitidas. Sérgi Raúl Vilanculs 39
Equipaments de rede Segment de rede Cnfiguraçã de temprizaçã para secçã inactiva Inventári de hardware e sftware Armazenament de históric de temp respsta de aplicações n-line Blquear um utilizadr após um cnjunt de tentativas de acess fracassadas Blquei de utilizadr na tentativa de abrir secções simultâneas Armazenament de históric de tentativas de acess (sucedidas e fracassadas) Detecçã de falhas d dispsitiv baseand se em limiares cm pactes transmitids/recebids, clisões e errs. Cntrl de acess para alteraçã de parâmetrs de cnfiguraçã d dispsitiv Clecta de tráfeg de dads para cntabilizaçã pr recurs Armazenament de históric de indicadres de desempenh tais cm pactes transmitids/recebids, clisões e errs. Detecçã de falha n segment baseand se em limiares cm pactes transmitids/ recebids Mnitraçã em temp real e armazenament de históric de indicadres de desempenh tais cm pactes transmitids/recebids, clisões e errs. Clecta de tráfeg de dads para cntabilizaçã pr segment e recurs nele existente Segurança Cnfiguraçã Desempenh Segurança Segurança Segurança Falha Segurança Cntabilizaçã Desempenh Falha Desempenh Cntabilizaçã Sérgi Raúl Vilanculs 40
Tabela 4-3 Plíticas de gestã Plíticas de Gestã Área de Gestã Plítica Falhas Temp para a sluçã das crrências Dependente da gravidade da crrência Ocrrências reslvidas n primeir nível Falhas de dispsitivs de intercnexã e serviçs crrend nestes e nas máquinas servidras Ocrrências reslvidas n segund nível Falhas de estações de trabalh lcais Dispnibilidade Ntificaçã em temp real sbre dispnibilidade de serviçs e equipaments Desempenh Utilizaçã de CPU Ntificar sbre equipaments cm utilizaçã de CPU durante mais de 5 minuts Utilizaçã de memória Ntificar sbre equipaments cm utilizaçã de memória durante mais de 5 minuts Utilizaçã de segment de rede Ntificar sbre utilizaçã acima de 80% durante mais de 5 minuts Taxa de errs de segment de rede Ntificar cas crram cinc errs de mesma espécie u cinc errs cnsecutivs Taxa de entrada e saída para disc Ntificar cas a taxa de transferência de dads seja superir a Utilizaçã de espaç em disc Ntificar se alguma unidade de armazenament estiver abaix de 5% de espaç livre Sérgi Raúl Vilanculs 41
Cnfiguraçã Númer de incnsistências Ntificar se númer de incnsistências atingir cinc crrências Númer de cnsultas realizadas a inventári Ntificar sbre tdas as crrências de cnsulta a sistema de gestã Avaliaçã ds utilizadres Participaçã de utilizadres sb frma de repórter de crrências Cntabilizaçã Avaliaçã ds utilizadres Estabeleciment de qutas de acess à Internet pr quantidade de dwnlad uplad bem cm pr temp de cnexã Avaliçã d segment de rede Determinaçã de quantidade de dwnlad e uplad pr utilizadr Segurança Critéri de cntingência Blquear e reprtar situações de tentativas de acess nã autrizads as diverss serviçs Critéri de acess Criaçã de utilizadres e grups de utilizadres 4.9.2 Tplgia lógica de acess as recurss de rede Esta tplgia tem cm suprte AD DC n qual especifica se a distribuiçã de recurss de rede e estruturaçã ds utentes em unidades rganizacinais. Cm se pde bservar, existem quatr grups de utilizadres distints cm níveis de acess diferentes. Para cada utilizadr é reservad um espaç fix nde este pssa executar as suas actividades, seja de qual fr à estaçã de trabalh estiver cnectad. Ainda é pssível ver que para cada utilizadr é atribuíd um print queue que lhe permite enviar seus dcuments à impressra de preferência, send este armazenad n servidr de impressras até a autrizaçã d peradr de impressra, situaçã aplicável às impressras designadas cm públicas. Espaçs cmuns sã criads para permitir a interacçã entre estudantes e prfessres em matérias de material didáctic, send Sérgi Raúl Vilanculs 42
delegada a cada prfessr a gestã desses espaçs cmuns pdend este visualizar, adicinar, alterar u excluir infrmações. cmputadr.feuem.ac 192.168.0.0/24 Feng feuem.ac Direcca Patrimóni Direcca Cntabilidade Direcca RA Direcca RH Departaments DECI DEQUI DEEL Cadeiras Gerais DEMA server.feuem.ac Admin Estudantes Prfessres Funcináris Print Queue Plítica usuari.feuem.ac Diagrama 4-4 Recurss de AD DS Legenda: Sérgi Raúl Vilanculs 43
Site Area de cnectividade usada para lcalizaçã de recurss de rede mais próxims Print Queue Buffer de dcuments pr imprimir cntentr Cntentr lógic de bjects Estaçã lcal de trabalh Dmini lcal Unidades rganizacinais Especificaçã d dmini lcal Agrupament de sectres em unidades rganizacinais/ Departaments Estaçã de trabalh Plítica Plítica de acess para utilizadres e estações de rede utilizadres Utilizadr Servidr de dmini servidr Grups de utilizadres Grups de utilizadres Subdivisã da rede/ IP subnet IP subnet 4.9.3 Tplgia lógica da rede O diagrama abaix ilustra a tplgia lógica da rede resultante de td um estud que vem send efectuad, nde sã especificadas tdas as intercnexões necessárias para que a rede seja dispnível e gerenciava, bem cm lcais de implantaçã de pnts de acess para utilizadres sem fi. Sérgi Raúl Vilanculs 44
CIUEM EX-Quimica C. Electónica DEMA Oficinas DEQUI Fibra Fibra Fibra Fibra Fibra S.D.I DEEL Prxy server e firewall Mikrtic Rter DMZ Lab Medidas Server farm Pública Antivírus DHCP & NAP Fibra Fibra BD AD DS & PS NM & IWS Gelgia & EX-Física DECI Pública DEMA LAB-DEEL Pós-Graduaçã CEI_UP B. Direccçã Fibra Legenda BD-Servidr de Base de Dads AD DS- Servidr Cntrladr de Dmini PS-Servidr de Impressras NM-Servidr de Gestã de Rede IWS-Servidr Web para a Intranet NAP-Servidr de Cntrl de Acess DHCP- Servidr de DHCP Switch Ethernet Switch de Fibra Hsts Pnts de Acess Adaptadr de Fibra Fibra UTP Diagrama 4-5 Tplgia da rede Sérgi Raúl Vilanculs 45
4.10 Prject Físic O prject físic de uma rede de cmputadres envlve a selecçã de cabeament, a esclha de prtcls das camadas Física e de elance, bem cm de dispsitivs de intercnexã. 4.10.1 Prject de cabeament para LAN O planeament de cabeament tem que levar em cnsideraçã a necessidade deste ser usad durante mais temp d que as tecnlgias de rede prpriamente ditas, send que para este cas, trata se de um prject que deve se adaptar a uma tecnlgia utrra existente. Dada a infraestrutura cnstituinte da rede de cmputadres da Faculdade de Engenharia, é cnveniente estabelecer dis tips de cabeament nmeadamente: 4.10.2 Tplgias de cabeament Para estabelecer uma arquitectura de cabeament para um prject de rede é cnveniente saber que existem dis tips de cabeament: Cabeament centralizad- trata se de uma arquitectura nde tds s cabs sã dirigids a mesma área física; Cabeament distribuíd- situaçã em que s cabs pdem terminar em diferentes áreas físicas. i. Cabeament para prédis O prcess de cabeament para prédis, levand em cnsideraçã a arquitectura pr hra existente, trata se de uma arquitectura distribuída situaçã cnveniente para aquil que é a infraestrutura predial da Faculdade de Engenharia, pela existência de infra-estruturas lngas, havend pel mens dis racks de distribuiçã em prédis cm essas características. Esta particularidade permite encurtar as distâncias de cnexã garantind um mair desempenh da rede. ii. Cabeament entre prédis Trata se de um aspect sensível devid a existência de váris perigs físics aliads a existência de utras redes tais cm fluvial e eléctrica, para uma tplgia altamente dispnível e segura irá se prceder cm uma arquitectura distribuída de md a evitar a existência de um pnt únic de falha. Cm se pde bservar pela Sérgi Raúl Vilanculs 46
tplgia da rede, encntram se diferentes lcais desempenhand papel de distribuiçã d sinal de um prédi para utr usand uma linha de fibra óptica send que as linhas de cab par trançad utilizadas actualmente servem de link redundante. Ex-Quimica C. Electrónica DEMA Oficinas DECI DEEL- Central DEMA Gelgia DECI CEI-UP B. Direccçã Fibra óptica UTP Pós-graduaçã LAB DEEL Diagrama 4-6 Tplgia física Sérgi Raúl Vilanculs 47
4.11 Análise ecnómica A dispnibilidade rçamental, pderá influenciar de frma acentuada na efectivaçã d presente prject, daí a razã da esclha de uma sluçã que nã esteja aquém das restrições rçamentais utrra definidas. Para este fact, rçament necessári inclui despesas de: Tabela 4-4 Recurss necessáris Aquisiçã de hardware- cmpra de 3 servidres Aquisiçã de sftware- aquisiçã de duas licenças Windws Server 2008 R2 Recurss humans- equipa de implementaçã d prject Suprte e manutençã- períd refente a 45 dias de assistência técnica à equipa lcal de gestã da rede Despesas suplementares- incluem a aquisiçã de 4 cnectres de fibra óptica, 5 baterias de access pints, marcadres de cabs e cntingências. Ttal 300.000 Meticais 40.000 Meticais 70.000 Meticais 30.000 Meticais 20.000 Meticais 460.000 Meticais Retrn n investiment Cnsiderand as despesas apresentadas na Tabela 4-4, se em vez da aquisiçã ds itens especificads, mesm valr fr submetid a um investiment financeir durante 5 ans a uma taxa de 12%, retrn será de 12% e cnsidera-se prtant que investiment seja de 515200 Meticais, send n entant um retrn de 276000 Meticais passads 5 ans. A depreciaçã d equipament a lng ds 5 ans deverá ser suprimida pr uma amrtizaçã de 6000/mês, equivalente a 4 ans e 5 meses. Nessas cndições, cnsidera se prject viável para a realidade da Faculdade de Engenharia. Sérgi Raúl Vilanculs 48
5 Cnclusões e recmendações 5.1 Cnclusões Durante a execuçã d presente prject fi pssível cncluir que a gestã duma rede é uma tarefa indispensável para qualquer instituiçã que pssui uma rede de cmputadres, nesse cntext, baseand se ns testes efectuads verificu-se que a implantaçã de um sistema de gestã basead nas ferramentas Nagis (para mnitraçã de activs de rede) e Squid (para cntrl de acess a Internet) reslve de frma satisfatória prblema actual, a partir d mment em que essas duas ferramentas juntas ferecem suprte para gerir s diferentes serviçs estabelecids cm requisits de gestã. Cm a integraçã d Nagis, fi pssível identificar e islar falhas nas estações de trabalh cnfiguradas na rede virtual de testes, permitiu mnitrament d segment de rede, e ainda a dispnibilizaçã de um serviç de alertas sbre estad da rede. Cm a integraçã d Squid, trnu se pssível cntrl de acess à Internet, criaçã de qutas de cnsum de largura de banda pr grups de utilizadres, e singulares criads n dmíni da rede teste; pssibilidade de geraçã de relatóris periódics sbre cnsum de largura de banda. Tend da mesma frma melhrad cnsideravelmente a velcidade de acess a Internet para utilizadres da rede criada devid a armazenament intern de páginas Web. A incrpraçã de um servidr AD DS, que ferece s serviçs de cntrladr de dmíni permitiu de maneira mais simples e eficaz a autenticidade ds utilizadres n acess a rede de teste garantid da mesma frma que utilizadres tenham um ambiente individual de trabalh, cm pssibilidade de armazenar e trcar cm utrs utilizadres arquivs de seu interesse. Juntamente cm este serviç fi pssível a integraçã de um serviç de cntrl de acess à rede destinad às máquinas lcais, serviç este que permite islar máquinas cm brechas de segurança das demais prtegend a rede de situações de infecçã pr vírus u spywares. A intrduçã de uma DMZ permite islar s servidres interns ds servidres de dispnibilidade pública, prtegend-s de acesss indevids. Sérgi Raúl Vilanculs 49
A partir da tplgia da rede especificada, nta-se que a incrpraçã de pnts de acess a lng da rede aumenta a dispnibilidade desta para s utilizadres móveis. De realçar que s bjectivs d trabalh fram alcançads. 5.2 Recmendações Recmenda se a Faculdade de Engenharia para implementaçã desta sluçã, pis traz cnsig um cnjunt de vantagens n que se refere aquil que virá ser prcess de gestã desta rede; É também recmendável que n futur se faça uma segmentaçã da rede em dmínis de bradcast menres; Recmenda se também, a identificaçã de cabs de frma abrangente para facilitar a tarefa ds peradres de rede; Da mesma frma, recmenda se a criaçã de VLAN s fact que requer a aquisiçã de switches cm tal capacidade; Pr últim recmenda se a Faculdade de Engenharia a incrpraçã de mais um prvedr de serviçs de Internet de md a atenuar as cnstantes perdas de cnexã que chegam a durar uma semana, dificultad as actividades da instituiçã ns diferentes aspects. Sérgi Raúl Vilanculs 50
6 Referências Bibligráficas 6.1 Bibligrafia 1. Kurse, James F. and Rss, Keith W. Redes de Cmputadres e a Inertnet. Sã Paul : Pearsn Educatin, 2006. 2. D. Harringtn, R. Presuhn, B. Wijnen. An Architecture fr Describing Simple Netwrk Management Prtcl. s.l. : RFC 3411, 2002. 3. J. Case, R Mundy. Internet standard Management Framewrk. 2002. RFC 3410. 4. M.Hldrege, P.Srisuresh. IP Netwrk Address Translatin (NAT) Terminlgy and Cnsideratins. 2008. 5. Jseph Davies, Tny Nrthrup, Micrsft Netwrk Team. Windws Server 2008 Netwrking and Netwrk Access Prtetin. U.S.A : Interative Cmpsitin Crpratin, 2008. 6. Mahumane, Xavier. estrutura da rede. Junh 14,. 7. Chiavenat, Idalbert. Intrduçã à Teria da Administraçã. Sã Paul : Makrn Bks, 1997. 8. Prject de Rede. www.prjectderede.kit.net. [Online] 2008. [Cited: 06 10,.] 9. GNU. Licenses - GNU Prject - Free Sftware Fundatin (FSF). GNU Prject. [Online] Setembr 20, 2011. [Cited: Setembr 29, 2011.] http://www.gnu.rg/licenses/licenses.html. 10. DEEL. REGULAMENTO DO PROJECTO DO CURSO. Maput, Maput, Mçambique : s.n., Març 17, 2008. 11. Pereira, Maria Jsé Lara de Bretãs and Fnseca, Ja Gabriel Marques. Faces da Decisã: as mudanças de paradigmas e pder da decisã. Sã Paul : Makrn Bks, 1997. p. 241. 12. Magedanz, T.Saydam & T. Netwrks and Netwrk. 13. Nemeth, Evi, et al., et al. Unix and Linux Systems Administratin Handbk. Bstn : Pearsn Educatin, 2010. 978-0-13-148005-6. 14. Davies, Jseph and Nrthrup, Tny. Windws Server 2008 Netwrking and Netwrk Access Prtetin (NAP). United States : Micrsft Press, 2008. 15. Jhnsn, Staven. MCLTP Windws Server 2008 Enterprise Administratr. Indiana City : Wiley Publishing, 2009. 978-0-470-029316-4. 16. Crpratin, Cisc. CCNA. s.l. : Cisc, 2008. Sérgi Raúl Vilanculs 51
17. Haster, Matthew and Henley, Chris. Windws Server 2008 R2 Administratin. Indiana City : Whiley Pblushing, 2010. 978-0-470-52539-5. 6.2 Outra bibligrafia cnsultada 18. http://www.nagis.rg/dcumentatin. [25-07-] 19. http://www.nagis.rg/dcumentatin. [15-07-] 20. http://www.zabbix.cm/. [10-07-] 21. http://www.spicewrks.cm/. [15-07-] 22. http://www.mikrtik.cm/. [20-06-] 23. http://www.antamedia.cm/bandwidth-manager/. [20-06-] 24. http://www.vivalinux.cm.br/. [20-07.] Sérgi Raúl Vilanculs 52
7 Anexs Anex 1 Distribuiçã de pnts Tabela A1-7-1 Distribuiçã de pnts Lcalizaçã Identificaçã de Pnts Ttal Pnts BLOCO ADMINISTRATIVO DPM Secretaria 14 Patrimóni 12 Chefe de Manutençã 8 6 Chefe de Transprtes 7 Chefe d api geral 5 Chefe d DPM 2 de DTI s 15, 17,18 3 UGEA 19, 20,21, 22, 23, 24, 25 e 26 Labratóri de Estruturas 28, 29, 30 4 Regist Académic 31, 32, 33,34 4 Secretaria 40 1 Cntabilidade 41,42, 43, 44, 46, 47 6 ADMINISTRAÇÃO Secretária d Directr 62, 64 2 Directr da Faculdade 48,50 2 Sala de Reuniões 51, 52, 53, 54, 55 5 Secretaria ds Directres Adjunts 66, 68, 65 3 Administradr 56 1 Directr Adjunt Pós-graduaçã 58 1 UP 1
dra. Leandra 18, 19 2 Chefe da Cntabilidade 01, 02, 05 3 Sala de Reuniões 15, 16 2 Sala de Desenh 12, 13, 14 3 Secretaria 10, 11 2 Gab. Directr 05, 06, 08 3 Fri 20, 21 2 DEEL Secretaria 64 1 Lab. Cntrl 01, 02, 03, 04, 05, 06 6 Gab.01 51 1 Gab.02 10 1 Gab.03 11 1 Gab.04 Sem identificaçã 1 Gab.05 12 1 Gab.06 13 1 Gab.07 14 1 Gab.08 16,17 2 Lab. Digital 18,20,21,22,23 5 Lab. Telecmunicações 24, 25, 26, 27, 29 5 Gab.18 56 1 Gab.16 54 1 Gab.15 Sem pnts Chefe d Departament 62 1 Gab.29 3 1 Gab.28 Sem pnts Lab. Máquinas Eléctricas 13 1 Lab. Medidas Eléctricas 12,13,20 3 Gab.02 14,15 2 Gab.03 16,17 2 Sérgi Raúl Vilanculs 2
Gab.04 18,19 2 Gab.06 11 1 Gab.07 3 1 Lab. Alta tensã 06,08 2 Oficinas de Electricidade 05,01 2 Sala de Infrmática 30,31,32,34,35,36,37,38,39, 40,41,42,43,44,45,46,47,48,49,50 20 DEQUI Secretaria 56 1 Eng. Isabel 39 1 dr. Cumbane 38 1 Eng. Bequisa 37 1 Dr. Luís Pelembe 36 1 Dr. Cruz 34 1 Eng. Hélder 35 1 Lab. Dna Victória 2 1 Eng. Bris 04,06 2 Dr. Vasc da gama 8 1 Salã de Assistente 6 1 Gab.111 01,03 2 Dr. Carls Lucas 09,18 2 Eng. Cnd 62 1 HPLC Sem identificaçã 2 Chefe DEQUI 58,59 2 Lab. Gina 48 1 Dra. Adélia 25,26,27 3 Estufas Sem identificaçã 2 Ambiente Livre 20,22,08,07 4 Dra. Serafina 10 1 Lab. Operações Unitárias 29,30 2 Sérgi Raúl Vilanculs 3
Eng. Maida Khan 32,33,34 3 Sala de infrmática 11,12,14,15,16,17,18,19,20,21,22,23 26,27,28,29,30 17 01,04 (+6 pnts ligads a swicth d 8 Sala ds prfessres Gab. d Dr. Carls Lucas) 02,03 2 DEMA Secretaria 57 4 Lab. Mecânica Aplicada 60 2 Eng. Lacita 08,09 2 Chefe DEMA 22 2 Lab. Lla 2 2 Eng. Viandr Sem numeraçã 3 Dr. Nhambiu 14,15 3 Dr. Nhumai 20 3 Eng. Jb Tai 17,18 2 Eng. Mcmque 66,67 3 Eng. Rachide 64 3 Gab.106 22 1 Gab.107 62 2 Ferramentaria 68 3 Sala de Infrmática (HCB) 01,02,03,04,05,06,24,25,26,27,28,29 30,31,32,33,34,35,36 20 Sala de Infrmática (UBUNTO) 01,02,03,04,05,06,07,08,09,10,11, 12,13,14,15,16,17,18,19,20 20 Eng. Amílcar Eng. Mulima Dr. Site DECI Secretaria Sem pnts 03,04,06,07 4 Sérgi Raúl Vilanculs 4
102 33,34,35 3 105 11,12 2 106 08,09,10 3 109 2 2 112 36 2 113 38,39,40 3 114 42 2 115 44,45,46,48 5 116 49 3 Sr. Niquisse 12 2 Lab. Hidráulica Sanitária Sem identificaçã 1 Lab. Aguas Residuais Sem pnts Sala de Infrmática 13,14,15,16,17,18,19,20,21,22, 23,24,25,26,27,28,29,30,31,32 20 GEOLOGIA Secretaria 01,02,04 5 Bibliteca 8 1 Dr. Amadeu 09,10 2 Sr. Felisbert 16,17 2 Gefísica 11,12,13 3 Dr. Salvadr Mndlane 18,19 2 Dr. Helne 14,15 2 Dr. Amran Dr. Nguenha Lab.Sedimentalgia 28,29 2 Czinha Sem identificaçã 1 LPA 01,02 2 Dr. Elidi Sem identificaçã 1 Chefe Gelgia Sem identificaçã 1 Dra. Sandra 7 1 Sérgi Raúl Vilanculs 5
Sala de Maquinas 4 1 Lab. Hidr Carbnets Sem pnts Sala de Reuniões Sem identificaçã 1 Dr. Farisse 17 2 Dra. Micaela Dr. Belarmin Sem pnts Sala de Infrmática 01,02,03,04,05,06,07,08,09,10,11, 12,13,14 14 Regist Académic 15 2 Sr.Onófre 17,18 2 Dr.Lp 20,21 2 Dr. Siquila 22 1 Dr. Ibraim 30 1 Dr. Jamal 29 1 Dra. Zita 28 1 Dr. Estevã Sumburane 27 1 Dra. Laura 26 1 NEEA Sem pnts Dr. Mugabe 4 1 CADEIRAS GERAIS Secretaria 06,46,47 4 Chefe DAF 48 2 UGEA 14,16 4 Bibliteca (1 0 Pis) 24,25 3 Bibliteca (R/C) 20 3 Sala de Estudante em Grup Sem identificaçã 3 Dna Natalia 23 1 Eng. Paul Cnselh 2 1 Pós-graduaçã 03,04,05,06,07,08,09,10,11,12,13,14,15, 16 16,17,18 Sérgi Raúl Vilanculs 6
Sr. Arcanj Sem pnts SALA DE AULA DEMA 101 58 1 103 52 1 104 51 1 105 50 1 203 44 1 Sala de Reuniões Sem pnts DEQUI 114 11,12 2 Ex. Física Sem identificaçã 1 201 9 1 202 10 1 GEOLOGIA Sala-2 Sem identificaçã 1 Sala-3 12 1 Anfiteatr 21 1 G1 31 1 G2 32 1 CADEIRAS GERAIS 109 Sem pnts 118 119 Sem pnts 123 Sem identificaçã 1 124 3 1 Anfiteatr (202) 104 Sem pnts TOTAL 43 480 Sérgi Raúl Vilanculs 7
Observações: Durante a rnda de levantament de pnts de dads na Faculdade de Engenharia, cnstatu-se que na mair parte ds sectres, há prblemas de identificaçã de pnts (nã tem identificadres, que diferenciam s pnts de dads e de vz), de referir que existem n mment 377 pnts de dads peracinais, nve salas sem pnts de acess à rede e dze salas cm pnts nã identificads; Em alguns pnts cm identificadres, cnstatu-se ainda que estes (pnts) sã usads incrrectamente, ist é, n lugar de dads usa-se para vz e vice-versa. 1. Departament de Engenharia Electrtécnica (DEEL) a. Os gabinetes n 06 e 07, pssuem mesma numeraçã de pnts (13), send que n Gab. n 06, pnt 13 indica dads e n Gab. n 07, indica vz; 2. Departament de Engenharia Mecânica (DEMA) a. Os gabinetes d Eng. Mcmque e d Eng. Rachide, pssuem mesma numeraçã de pnts (65), send que ns dis gabinetes indica vz; b. Os gabinetes d Eng. Amílcar, Eng. Mulima e dr. Site, pssuem pnts imprvisads, ist é, nã tem calha; 3. Departament de Gelgia a. Tds sectres d R/C ligads a armári lcalizad n gabinete d chefe d departament, nã tem acess à Internet; Sugestões: Identificaçã crrecta de pnts cm auxíli de etiquetas; Definiçã crrecta de usabilidade ds pnts (pnts de dad devem funcinar simplesmente para dads e s de vz também para vz e eliminar-se us pcinal); Crrecçã na duplicaçã de númers de pnts ns gabinetes mencinads; Sérgi Raúl Vilanculs 8
Anex 2 Resultads de testes Neste capítul sã ilustradas imagens de relatóris de ferramentas que fazem parte da sluçã. Figura A2-1 Resultad de mnitrament Sérgi Raúl Vilanculs 9
Figura A2-2 Estad de serviçs Figura A2-3 Estad de serviçs em categria Sérgi Raúl Vilanculs 10