CONTROLE DE REDE

Prof. José Augusto Suruagy Monteiro

2

Capítulo 3 de William Stallings. SNMP, SNMPv2, SNMPv3, and RMON 1 and 2, 3rd. Edition. Addison-Wesley, 1999.

Baseado em slides do Prof. Chu-Sing Yang (Department of Electrical Engineering – National Cheng Kung University)

3

Roteiro

Introdução Controle de Configuração Controle de Segurança

4

Introdução

Controle de rede está relacionado com a modificação de parâmetros e em causar ações a serem executadas pelos sistemas finais, sistemas intermediários e pelas sub-redes

FCAPS envolve tanto a monitoração como o controle Monitoração de rede

Monitoração de desempenho Monitoração de falha Monitoração de contabilização

Ênfase em controle de rede Controle de configuração Controle de segurança

5

Roteiro

Introdução Controle de Configuração Controle de Segurança

6

Gerenciamento de configuração Está relacionado com a inicialização, manutenção e desligamento de

componentes individuais e subsistemas lógicos dentro da configuração total dos recursos de computação e comunicação de uma instalação

Dita o processo de inicialização através da identificação e especificação das características dos recursos de rede que constituirão a “rede” Recursos físicos identificáveis (ex., servidor ou roteador) Objetos lógicos de baixo nível (ex. temporizador de retransmissão da

camada de transporte) Especifica valores iniciais ou default para os atributos

Recursos gerenciados operam nos estados desejados, possuem os valores adequados dos parâmetros e formam o relacionamento desejado com outros componentes

Enquanto a rede estiver em operação, CM é responsável por monitorar a configuração e realizar mudanças em resposta a comandos do usuário ou em resposta a outras funções de gerenciamento de redes PM detecta que o tempo de resposta está degradando FM detecta e isola a falha

7

Funções do Gerenciamento de Configurações

Define a informação de configuração Atribui e modifica valores de atributos Define e modifica relacionamentos Inicializa e encerra operações da rede Distribui software Examina valores e relacionamentos Relata o status de configuração

8

Monitoração de configuração Examina valores e relacionamentos

Através de uma interação de consulta-resposta, o gerente examina a informação de configuração mantida pela estação agente

Relata o status de configuração Através de relatórios de eventos, um

agente relata uma mudança de status para um gerente

9

Informação de configuração

Descreve a natureza e o status de recursos de interesse para o gerenciamento da rede

Inclui uma especificação dos recursos sob gerenciamento e os atributos destes recursos Recursos de rede

Recursos físicos Sistemas finais, roteadores, switches, bridges, recursos e serviços

de comunicação, meios de comunicação, modems Recursos lógicos

Temporizadores, contadores e circuitos virtuais

Atributos Nome, endereço, número de ID, características operacionais,

número de versão do software, nível de release

10

Informação de configuração

Como uma lista simples estruturada de campos de dados Cada campo contém um único valor Abordagem SNMP

Como um banco de dados orientado a objetos Cada elemento é representado por um ou mais objetos

Cada objeto contém atributos cujos valores refletem as características dos elementos representados

Um objeto pode também conter comportamentos Notificações são emitidas se ocorrerem certos eventos relacionados com o

elemento Usa relacionamentos de “containment” e herança entre objetos Abordagem do gerenciamento de rede OSI

Como um banco de dados relacional Campos individuais do banco de dados contêm valores que refletem

as características dos elementos de rede A estrutura do banco de dados reflete os relacionamentos entre os

elementos de rede

11

Função de controle de erro

Permite ao usuário especificar a faixa e tipo dos valores que podem ser atribuídos aos atributos especificados de um recurso em um agente em particular A faixa pode ser uma lista de todos os estados possíveis Os limites inferior e superior permitidos para parâmetros

e atributos O tipo do valor permitido para um atributo pode ser

também especificado Define novos tipos de objetos ou tipos de elementos

de dados a depender do tipo do banco de dados Define novos objetos on-line a ser criados nos agentes e proxies apropriados

12

Atribui e modifica valores de atributos

Função de controle de configuração permite a um gerente atribuir e modificar valores de atributos remotamente em agentes e proxies

Duas limitações Preocupação com segurança: um gerente

deve estar autorizado Alguns atributos refletem a realidade em

um recurso, e não podem ser modificados remotamente Número de portas em um roteador

13

Modificação de atributo

Apenas atualização da base de dados Gerente emite um comando de modificação para um agente para

que este modifique um ou mais valores na base de dados de configuração

Gerente muda a informação de contato Atualização da base de dados e modificação do recurso

Um comando de modificação atualiza valores do BD de configuração e afeta um recurso associado

Muda o atributo de estado de uma porta física para desabilitado (disabled)

Atualização da base de dados e ação Alguns NMSs não possuem “comandos de ação” diretos Atribui parâmetros no BD para iniciar uma determinada ação Gerente seta parâmetro de reinicialização para “V”

Durante a reinicialização, o parâmetro é setado para “F” e o roteador é reinicializado

14

Define e modifica relacionamentos

Descreve uma associação, conexão ou condição que existe entre recursos ou componentes de rede Uma topologia, hierarquia, uma conexão física ou

lógica Um domínio de gerenciamento

É um conjunto de recursos que compartilham um conjunto comum de atributos de gerenciamento

Ou um conjunto de recursos comuns compartilhando a mesma autoridade de gerenciamento

Permitida a modificação on-line dos recursos O usuário pode adicionar, deletar e modificar os

relacionamentos entre os recursos de rede

15

Inicializa e encerra operações da rede

CM inclui mecanismos que permitem os usuários inicializar e encerrar a operação da rede ou da sub-rede Inicialização

Verifica que todos os atributos e relacionamentos de recursos foram apropriadamente setados

Notifica usuários sobre qualquer recurso, atributo ou relacionamento que ainda precisa ser setado

Valida comandos de inicialização de usuários Encerramento

Permite aos usuários solicitar a recuperação de estatísticas, blocos ou informações de status especificados antes que os procedimentos de encerramento sejam completados.

16

Distribui software

CM provê a capacidade de distribuir software através da configuração do sistema final e de sistemas intermediários Permite a solicitação de carga de software Transmite a versão especificada do software Atualiza a configuração dos sistemas de rastreamento

A função de distribuição de software inclui software executável, tabelas e outros dados que guiam o comportamento de um nó Tabelas de roteamento usadas pelos roteadores

O usuário necessita mecanismos para examinar, atualizar e gerenciar diferentes versões de software e informação de roteamento Usuários podem especificar a carga de diferentes versões de

software ou tabelas de roteamento baseados numa condição particular Taxa de erros

17

Roteiro

Introdução Controle de Configuração Controle de Segurança

18

Controle de Segurança

Segurança computacional Conjunto de ferramentas projetadas para proteger os

dados e bloquear hackers Segurança de rede

Usa os recursos de rede e de comunicação para transportar dados entre o terminal do usuário e o computador

Necessita proteger os dados durante a sua transmissão Gerenciamento de segurança

Lida com a provisão de segurança tanto computacional como de rede para recursos sob seu gerenciamento Inclui o próprio NMS

19

Requisitos de segurança

Sigilo Informação no sistema computacional pode ser

acessível apenas para leitura por parceiros autorizados Impressão, apresentação

Integridade Recursos do sistema computacional podem ser

modificados apenas por parceiros autorizados Modificação inclui escrita, modificação, descarte,

criação Disponibilidade

Recursos computacionais estão disponíveis para os parceiros autorizados

20

Tipos de Ameaças

Interrupção

Um recurso do sistema é destruído, se torna indisponível ou inutilizável Ameaça à disponibilidade Destrói uma peça de

hardware, corta uma linha de comunicação, desabilita o sistema de gerenciamento de arquivos

Fluxo normal

21

Tipos de Ameaças

Interceptação:

Parceiros não autorizados ganham acesso a um dado conteúdo É uma ameaça ao sigilo Parceiro não autorizado

pode ser uma pessoa, um programa ou um computador

Modificação:

Parceiros não autorizados não apenas ganham acesso, mas modificam um conteúdo É uma ameaça à

integridade Modifica valores em um

arquivo de dados, altera um programa para executar de forma diferente e modifica o conteúdo de mensagens sendo transmitidas pela rede

22

Tipos de Ameaças

Fabricação

Um parceiro não autorizado insere objetos falsificados no sistema É uma ameaça à integridade Insere mensagens espúrias em uma rede ou

adiciona registros em um arquivo

23

Recursos e Ameaças de Segurança

24

Recursos e Ameaças de Segurança

Disponibilidade

Sigilo Integridade

Hardware Equipamento é roubado ou desabilitado negando, portanto, serviço

--- ---

Software Programas são deletados, negando acesso aos usuários

É realizada uma cópia não autorizada do software

Um programa é modificado para que falhe durante a execução ou execute alguma tarefa não esperada

Dados Arquivos são deletados, negado acesso aos usuários

É realizada uma leitura de dados não autorizada. Uma análise de dados estatísticos revela dados subjacentes

Arquivos existentes são modificados ou novos arquivos são fabricados

Enlaces de comunicação

Mensagens são destruídas ou descartadas. Enlaces de comunicação ou redes ficam indisponíveis

Mensagens são lidas. É observado o padrão de tráfego de mensagens

Mensagens são modificadas, atrasadas, reordenadas ou duplicadas. Mensagens falsas são fabricadas.

25

Ameaças aos Sistemas Computacionais

Ameaças ao hardware Inclui dano acidental deliberado ao equipamento assim

como roubo Necessita medidas de segurança física e administrativa Afeta a disponibilidade

Ameaças ao software SO, programas utilitários e aplicações são o que tornam o

hardware dos sistemas computacionais útil para empresas e indivíduos

Software pode ser deletado, alterado ou danificado Modificação no software pode fazer com que o programa

ainda funcione mas se comporte de forma diferente do eu antes Vírus de computador e ataques relacionados

Sigilo de software Afetam Disponibilidade, sigilo e integridade

26

Ameaças aos Dados

Disponibilidade Destruição dos arquivos de dados

Sigilo Leitura não autorizada de arquivos ou

bancos de dados Análise de dados e uso de base de dados

estatísticos que provê informação agregada Integridade

Uma grande preocupação em muitas instalações

27

Ameaças de Segurança Ativas e Passivas

Ameaças passivas Acesso ao conteúdo de mensagens Análise de tráfego

Ameaças ativas Interrupção (disponibilidade) Modificação (integridade) Fabricação (integridade)

28

Ameaças Passivas

São a natureza das escutas ou monitoração de transmissões Acesso ao conteúdo de mensagens

Conversas telefônicas, e-mail, arquivos Análise de tráfego

O atacante identifica a localização e a identidade dos hosts comunicantes

Observa a frequência e o comprimento das mensagens trocadas

Pode ser útil para adivinhar a comunicação São muito difíceis de serem detectadas

29

Ameaças Ativas

Envolve alguma modificação no fluxo de dados ou a criação de um fluxo falso Modificação de um fluxo de mensagens

Algumas partes de mensagens legítimas são alteradas, ou as mensagens são atrasadas, reproduzidas, ou reordenadas, de modo a produzir um efeito não autorizado

Negação de serviço de mensagem Previne ou inabilita o uso ou gerenciamento normal dos recursos

de comunicação Interrompe toda a rede

Desabilitando a rede Sobrecarregando a rede com mensagens que degradam o desempenho

Falsidade Ideológica (Mascaramento) Uma entidade se faz passar por uma outra

Inclui uma das outras duas formas de ataque ativo Captura e reproduz uma sequência de autenticação

30

Ameaças ao NMS

Mascaramento do usuário Um usuário que não está autorizado a executar funções

de gerência de rede pode tentar acessar aplicação e informação de gerência de rede

Mascaramento do gerente da rede Um computador pode se disfarçar de estação de

gerência da rede Interferência na comunicação entre gerente e

agente Observa o tráfego do protocolo gerente-agente para

extrair informações de gerência sensíveis Modifica o tráfego para interromper a operação do agente

ou dos recursos gerenciados

31

Funções da Gerência de Segurança Os recursos de segurança de um sistema

ou de uma rede de sistemas consiste de um conjunto de serviços e mecanismos de segurança

Foco no gerenciamento dos recursos de segurança Manutenção de informação de segurança Controle do serviço de acesso a recursos Controle do processo de encriptação

32

Manutenção de informação de segurança

Informação de segurança Inclui chaves, informação de autenticação, informação de direitos de

acesso e parâmetros de operação de serviços e mecanismos de segurança

Funções Registro de eventos, e manutenção e exame de registros de

segurança Monitoração de rastros de auditoria de segurança Monitoração de uso e usuários de recursos relacionados com

segurança Relato de violações de segurança Recepção de notificação de violações de segurança Manutenção de cópias de backup para todos ou parte dos arquivos

relacionados com segurança Manutenção de perfis gerais dos usuários de rede, e perfis de uso

para recursos específicos, para permitir referências para conformidade com perfis de segurança designados

33

Controle do serviço de acesso a recursos

Controle de acesso é um serviço central para os recursos de segurança Autenticação Autorização Decisão para garantir ou recusar acesso a recursos

específicos Protege uma larga faixa de recursos de rede

Códigos de segurança Roteamento pela origem e informação de registro de rotas Diretórios Tabelas de roteamento Níveis de limiares de alarmes Tabelas de contabilização

34

Controle do serviço de acesso a recursos

Gerenciamento de segurança gerencia o serviço de controle de acesso Mantém perfis gerais dos usuários da rede e

perfis de uso para recursos específicos Atribui prioridades de acesso Permitem que o usuário

Crie/descarte objetos relacionados com segurança

Modifique atributos ou estado Afete os relacionamentos entre os objetos de

segurança

35

Controle do processo de encriptação

O gerenciamento de segurança Encripta (codifica) qualquer troca de

mensagens entre gerentes e agentes Facilita o uso de encriptação por outras

entidades de rede Determina os algoritmos de criptografia Provê a distribuição de chaves