CONTROLE DE REDE Prof. José Augusto Suruagy Monteiro.
Transcript of CONTROLE DE REDE Prof. José Augusto Suruagy Monteiro.
CONTROLE DE REDE
Prof. José Augusto Suruagy Monteiro
2
Capítulo 3 de William Stallings. SNMP, SNMPv2, SNMPv3, and RMON 1 and 2, 3rd. Edition. Addison-Wesley, 1999.
Baseado em slides do Prof. Chu-Sing Yang (Department of Electrical Engineering – National Cheng Kung University)
3
Roteiro
Introdução Controle de Configuração Controle de Segurança
4
Introdução
Controle de rede está relacionado com a modificação de parâmetros e em causar ações a serem executadas pelos sistemas finais, sistemas intermediários e pelas sub-redes
FCAPS envolve tanto a monitoração como o controle Monitoração de rede
Monitoração de desempenho Monitoração de falha Monitoração de contabilização
Ênfase em controle de rede Controle de configuração Controle de segurança
5
Roteiro
Introdução Controle de Configuração Controle de Segurança
6
Gerenciamento de configuração Está relacionado com a inicialização, manutenção e desligamento de
componentes individuais e subsistemas lógicos dentro da configuração total dos recursos de computação e comunicação de uma instalação
Dita o processo de inicialização através da identificação e especificação das características dos recursos de rede que constituirão a “rede” Recursos físicos identificáveis (ex., servidor ou roteador) Objetos lógicos de baixo nível (ex. temporizador de retransmissão da
camada de transporte) Especifica valores iniciais ou default para os atributos
Recursos gerenciados operam nos estados desejados, possuem os valores adequados dos parâmetros e formam o relacionamento desejado com outros componentes
Enquanto a rede estiver em operação, CM é responsável por monitorar a configuração e realizar mudanças em resposta a comandos do usuário ou em resposta a outras funções de gerenciamento de redes PM detecta que o tempo de resposta está degradando FM detecta e isola a falha
7
Funções do Gerenciamento de Configurações
Define a informação de configuração Atribui e modifica valores de atributos Define e modifica relacionamentos Inicializa e encerra operações da rede Distribui software Examina valores e relacionamentos Relata o status de configuração
8
Monitoração de configuração Examina valores e relacionamentos
Através de uma interação de consulta-resposta, o gerente examina a informação de configuração mantida pela estação agente
Relata o status de configuração Através de relatórios de eventos, um
agente relata uma mudança de status para um gerente
9
Informação de configuração
Descreve a natureza e o status de recursos de interesse para o gerenciamento da rede
Inclui uma especificação dos recursos sob gerenciamento e os atributos destes recursos Recursos de rede
Recursos físicos Sistemas finais, roteadores, switches, bridges, recursos e serviços
de comunicação, meios de comunicação, modems Recursos lógicos
Temporizadores, contadores e circuitos virtuais
Atributos Nome, endereço, número de ID, características operacionais,
número de versão do software, nível de release
10
Informação de configuração
Como uma lista simples estruturada de campos de dados Cada campo contém um único valor Abordagem SNMP
Como um banco de dados orientado a objetos Cada elemento é representado por um ou mais objetos
Cada objeto contém atributos cujos valores refletem as características dos elementos representados
Um objeto pode também conter comportamentos Notificações são emitidas se ocorrerem certos eventos relacionados com o
elemento Usa relacionamentos de “containment” e herança entre objetos Abordagem do gerenciamento de rede OSI
Como um banco de dados relacional Campos individuais do banco de dados contêm valores que refletem
as características dos elementos de rede A estrutura do banco de dados reflete os relacionamentos entre os
elementos de rede
11
Função de controle de erro
Permite ao usuário especificar a faixa e tipo dos valores que podem ser atribuídos aos atributos especificados de um recurso em um agente em particular A faixa pode ser uma lista de todos os estados possíveis Os limites inferior e superior permitidos para parâmetros
e atributos O tipo do valor permitido para um atributo pode ser
também especificado Define novos tipos de objetos ou tipos de elementos
de dados a depender do tipo do banco de dados Define novos objetos on-line a ser criados nos agentes e proxies apropriados
12
Atribui e modifica valores de atributos
Função de controle de configuração permite a um gerente atribuir e modificar valores de atributos remotamente em agentes e proxies
Duas limitações Preocupação com segurança: um gerente
deve estar autorizado Alguns atributos refletem a realidade em
um recurso, e não podem ser modificados remotamente Número de portas em um roteador
13
Modificação de atributo
Apenas atualização da base de dados Gerente emite um comando de modificação para um agente para
que este modifique um ou mais valores na base de dados de configuração
Gerente muda a informação de contato Atualização da base de dados e modificação do recurso
Um comando de modificação atualiza valores do BD de configuração e afeta um recurso associado
Muda o atributo de estado de uma porta física para desabilitado (disabled)
Atualização da base de dados e ação Alguns NMSs não possuem “comandos de ação” diretos Atribui parâmetros no BD para iniciar uma determinada ação Gerente seta parâmetro de reinicialização para “V”
Durante a reinicialização, o parâmetro é setado para “F” e o roteador é reinicializado
14
Define e modifica relacionamentos
Descreve uma associação, conexão ou condição que existe entre recursos ou componentes de rede Uma topologia, hierarquia, uma conexão física ou
lógica Um domínio de gerenciamento
É um conjunto de recursos que compartilham um conjunto comum de atributos de gerenciamento
Ou um conjunto de recursos comuns compartilhando a mesma autoridade de gerenciamento
Permitida a modificação on-line dos recursos O usuário pode adicionar, deletar e modificar os
relacionamentos entre os recursos de rede
15
Inicializa e encerra operações da rede
CM inclui mecanismos que permitem os usuários inicializar e encerrar a operação da rede ou da sub-rede Inicialização
Verifica que todos os atributos e relacionamentos de recursos foram apropriadamente setados
Notifica usuários sobre qualquer recurso, atributo ou relacionamento que ainda precisa ser setado
Valida comandos de inicialização de usuários Encerramento
Permite aos usuários solicitar a recuperação de estatísticas, blocos ou informações de status especificados antes que os procedimentos de encerramento sejam completados.
16
Distribui software
CM provê a capacidade de distribuir software através da configuração do sistema final e de sistemas intermediários Permite a solicitação de carga de software Transmite a versão especificada do software Atualiza a configuração dos sistemas de rastreamento
A função de distribuição de software inclui software executável, tabelas e outros dados que guiam o comportamento de um nó Tabelas de roteamento usadas pelos roteadores
O usuário necessita mecanismos para examinar, atualizar e gerenciar diferentes versões de software e informação de roteamento Usuários podem especificar a carga de diferentes versões de
software ou tabelas de roteamento baseados numa condição particular Taxa de erros
17
Roteiro
Introdução Controle de Configuração Controle de Segurança
18
Controle de Segurança
Segurança computacional Conjunto de ferramentas projetadas para proteger os
dados e bloquear hackers Segurança de rede
Usa os recursos de rede e de comunicação para transportar dados entre o terminal do usuário e o computador
Necessita proteger os dados durante a sua transmissão Gerenciamento de segurança
Lida com a provisão de segurança tanto computacional como de rede para recursos sob seu gerenciamento Inclui o próprio NMS
19
Requisitos de segurança
Sigilo Informação no sistema computacional pode ser
acessível apenas para leitura por parceiros autorizados Impressão, apresentação
Integridade Recursos do sistema computacional podem ser
modificados apenas por parceiros autorizados Modificação inclui escrita, modificação, descarte,
criação Disponibilidade
Recursos computacionais estão disponíveis para os parceiros autorizados
20
Tipos de Ameaças
Interrupção
Um recurso do sistema é destruído, se torna indisponível ou inutilizável Ameaça à disponibilidade Destrói uma peça de
hardware, corta uma linha de comunicação, desabilita o sistema de gerenciamento de arquivos
Fluxo normal
21
Tipos de Ameaças
Interceptação:
Parceiros não autorizados ganham acesso a um dado conteúdo É uma ameaça ao sigilo Parceiro não autorizado
pode ser uma pessoa, um programa ou um computador
Modificação:
Parceiros não autorizados não apenas ganham acesso, mas modificam um conteúdo É uma ameaça à
integridade Modifica valores em um
arquivo de dados, altera um programa para executar de forma diferente e modifica o conteúdo de mensagens sendo transmitidas pela rede
22
Tipos de Ameaças
Fabricação
Um parceiro não autorizado insere objetos falsificados no sistema É uma ameaça à integridade Insere mensagens espúrias em uma rede ou
adiciona registros em um arquivo
23
Recursos e Ameaças de Segurança
24
Recursos e Ameaças de Segurança
Disponibilidade
Sigilo Integridade
Hardware Equipamento é roubado ou desabilitado negando, portanto, serviço
--- ---
Software Programas são deletados, negando acesso aos usuários
É realizada uma cópia não autorizada do software
Um programa é modificado para que falhe durante a execução ou execute alguma tarefa não esperada
Dados Arquivos são deletados, negado acesso aos usuários
É realizada uma leitura de dados não autorizada. Uma análise de dados estatísticos revela dados subjacentes
Arquivos existentes são modificados ou novos arquivos são fabricados
Enlaces de comunicação
Mensagens são destruídas ou descartadas. Enlaces de comunicação ou redes ficam indisponíveis
Mensagens são lidas. É observado o padrão de tráfego de mensagens
Mensagens são modificadas, atrasadas, reordenadas ou duplicadas. Mensagens falsas são fabricadas.
25
Ameaças aos Sistemas Computacionais
Ameaças ao hardware Inclui dano acidental deliberado ao equipamento assim
como roubo Necessita medidas de segurança física e administrativa Afeta a disponibilidade
Ameaças ao software SO, programas utilitários e aplicações são o que tornam o
hardware dos sistemas computacionais útil para empresas e indivíduos
Software pode ser deletado, alterado ou danificado Modificação no software pode fazer com que o programa
ainda funcione mas se comporte de forma diferente do eu antes Vírus de computador e ataques relacionados
Sigilo de software Afetam Disponibilidade, sigilo e integridade
26
Ameaças aos Dados
Disponibilidade Destruição dos arquivos de dados
Sigilo Leitura não autorizada de arquivos ou
bancos de dados Análise de dados e uso de base de dados
estatísticos que provê informação agregada Integridade
Uma grande preocupação em muitas instalações
27
Ameaças de Segurança Ativas e Passivas
Ameaças passivas Acesso ao conteúdo de mensagens Análise de tráfego
Ameaças ativas Interrupção (disponibilidade) Modificação (integridade) Fabricação (integridade)
28
Ameaças Passivas
São a natureza das escutas ou monitoração de transmissões Acesso ao conteúdo de mensagens
Conversas telefônicas, e-mail, arquivos Análise de tráfego
O atacante identifica a localização e a identidade dos hosts comunicantes
Observa a frequência e o comprimento das mensagens trocadas
Pode ser útil para adivinhar a comunicação São muito difíceis de serem detectadas
29
Ameaças Ativas
Envolve alguma modificação no fluxo de dados ou a criação de um fluxo falso Modificação de um fluxo de mensagens
Algumas partes de mensagens legítimas são alteradas, ou as mensagens são atrasadas, reproduzidas, ou reordenadas, de modo a produzir um efeito não autorizado
Negação de serviço de mensagem Previne ou inabilita o uso ou gerenciamento normal dos recursos
de comunicação Interrompe toda a rede
Desabilitando a rede Sobrecarregando a rede com mensagens que degradam o desempenho
Falsidade Ideológica (Mascaramento) Uma entidade se faz passar por uma outra
Inclui uma das outras duas formas de ataque ativo Captura e reproduz uma sequência de autenticação
30
Ameaças ao NMS
Mascaramento do usuário Um usuário que não está autorizado a executar funções
de gerência de rede pode tentar acessar aplicação e informação de gerência de rede
Mascaramento do gerente da rede Um computador pode se disfarçar de estação de
gerência da rede Interferência na comunicação entre gerente e
agente Observa o tráfego do protocolo gerente-agente para
extrair informações de gerência sensíveis Modifica o tráfego para interromper a operação do agente
ou dos recursos gerenciados
31
Funções da Gerência de Segurança Os recursos de segurança de um sistema
ou de uma rede de sistemas consiste de um conjunto de serviços e mecanismos de segurança
Foco no gerenciamento dos recursos de segurança Manutenção de informação de segurança Controle do serviço de acesso a recursos Controle do processo de encriptação
32
Manutenção de informação de segurança
Informação de segurança Inclui chaves, informação de autenticação, informação de direitos de
acesso e parâmetros de operação de serviços e mecanismos de segurança
Funções Registro de eventos, e manutenção e exame de registros de
segurança Monitoração de rastros de auditoria de segurança Monitoração de uso e usuários de recursos relacionados com
segurança Relato de violações de segurança Recepção de notificação de violações de segurança Manutenção de cópias de backup para todos ou parte dos arquivos
relacionados com segurança Manutenção de perfis gerais dos usuários de rede, e perfis de uso
para recursos específicos, para permitir referências para conformidade com perfis de segurança designados
33
Controle do serviço de acesso a recursos
Controle de acesso é um serviço central para os recursos de segurança Autenticação Autorização Decisão para garantir ou recusar acesso a recursos
específicos Protege uma larga faixa de recursos de rede
Códigos de segurança Roteamento pela origem e informação de registro de rotas Diretórios Tabelas de roteamento Níveis de limiares de alarmes Tabelas de contabilização
34
Controle do serviço de acesso a recursos
Gerenciamento de segurança gerencia o serviço de controle de acesso Mantém perfis gerais dos usuários da rede e
perfis de uso para recursos específicos Atribui prioridades de acesso Permitem que o usuário
Crie/descarte objetos relacionados com segurança
Modifique atributos ou estado Afete os relacionamentos entre os objetos de
segurança
35
Controle do processo de encriptação
O gerenciamento de segurança Encripta (codifica) qualquer troca de
mensagens entre gerentes e agentes Facilita o uso de encriptação por outras
entidades de rede Determina os algoritmos de criptografia Provê a distribuição de chaves