TCC

Alessandra FonsecaGerson NobreJosé Carlos

Vanessa Neckel

Projeto Interdisciplinar para Implantação deRede de Computadores

Brasil

2013


Vanessa Neckel

Projeto Interdisciplinar para Implantação de Rede deComputadores

Trabalho Interdisciplinar, para o curso detecnologia em redes de computadores das Fa-culdades Integradas Santa Cruz de Curitiba,apresentando proposta de projeto de rede decomputadores para empresa do setor fina-ceiro.

Faculdades Integradas Santa Cruz de Curitiba

Tecnologia em Redes de Computadores

Programa de Graduação

Orientadores:João Batista Tsuruda Amaral

Kurlam Trefflich ToméEurides Bastos Junior

Denilson Augusto Domingues

Brasil2013

Alessandra FonsecaGerson NobreJosé CarlosVanessa Neckel

Projeto Interdisciplinar para Implantação de Rede de Computadores/ Alessandra FonsecaGerson NobreJosé CarlosVanessa Neckel– Brasil, 2013-

130 p. : il. (algumas color.) ; 30 cm.

Orientadores:João Batista Tsuruda AmaralKurlam Trefflich ToméEurides Bastos JuniorDenilson Augusto Domingues

Trabalho Interdisciplinar – Faculdades Integradas Santa Cruz de CuritibaTecnologia em Redes de ComputadoresPrograma de Graduação, 2013.1. Palavra-chave1. 2. Palavra-chave2. I. Orientador. II. Universidade xxx. III.

Faculdade de xxx. IV. Título

CDU 02:141:005.7


Vanessa Neckel

Projeto Interdisciplinar para Implantação de Rede deComputadores

Trabalho Interdisciplinar, para o curso detecnologia em redes de computadores das Fa-culdades Integradas Santa Cruz de Curitiba,apresentando proposta de projeto de rede decomputadores para empresa do setor fina-ceiro.

Trabalho aprovado. Brasil, 19 de novembro de 2013

ProfessorJoão Batista Tsuruda Amaral

ProfessorKurlam Trefflich Tomé

ProfessorEurides Bastos Junior

ProfessorDenilson Augusto Domingues

Brasil2013

ResumoNesse trabalho tratamos de todos os processos envolvidos na elaboração e implementaçãode um projetos de rede. Entre as tecnologias aplicadas, e as normas para seguir a boaprática de mercado dentro das normas internacionais, há uma grande possibilidade desoluções que podem satisfazer a todos os requisitos. Porém, para a condução do umprojeto, a análise do negócio que abrigará as implementações, deve ser o ponto de partidana construção de uma solução viável e eficaz. Outro ponto importante, é o planejamentobem dimensionado das etapas e cronogramas que serão aplicados. O estudo das fazes quedevem preceder a implementação deve ser feito de forma analítica, para evitar retrabalhosem fases posteriores.

Palavras-chaves: Segurança. Redes de computadores. Projeto de redes. .

Lista de ilustrações

Figura 1 – ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. . 23Figura 2 – ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. . 24

Figura 3 – Tabela de downtime. Fonte: Smolka et catervarii J. R. Smolka 2011 . . 46

Figura 4 – Crongrama Geral do Projeto . . . . . . . . . . . . . . . . . . . . . . . . 59

Figura 5 – Lista de ativos e material de comunicação . . . . . . . . . . . . . . . . 61Figura 6 – Integração matriz e filias . . . . . . . . . . . . . . . . . . . . . . . . . . 63Figura 7 – Lan Lumitex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Figura 8 – Configuração para o Firewall . . . . . . . . . . . . . . . . . . . . . . . 66

Figura 9 – Exemplo de coleta de dados da CPU usando Zabbix . . . . . . . . . . . 74Figura 10 – Exemplo de coleta de dados do disco usando Zabbix . . . . . . . . . . . 74Figura 11 – Exemplo de coleta de dados de processos usando Zabbix . . . . . . . . 75

Figura 12 – Crongrama de implantação do projeto . . . . . . . . . . . . . . . . . . 80Figura 13 – Custo do pavimento térreo e datacenter . . . . . . . . . . . . . . . . . 81Figura 14 – Custo primeiro andar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81Figura 15 – Custo segundo andar e total geral . . . . . . . . . . . . . . . . . . . . . 81Figura 16 – Custo Sala de Equipamentos . . . . . . . . . . . . . . . . . . . . . . . . 82

Figura 17 – Térreo e backbone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Figura 18 – Térreo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Figura 19 – Primeiro andar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Figura 20 – Segundo andar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Figura 21 – Data Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Figura 22 – Face do rack da Sala de Equipamentos Datacenter . . . . . . . . . . . . 121Figura 23 – Face do rack do Datacenter . . . . . . . . . . . . . . . . . . . . . . . . 122Figura 24 – Cabeamento vertical . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Figura 25 – Sala de telecomunicações térreo . . . . . . . . . . . . . . . . . . . . . . 124Figura 26 – Sala de telecomunicações primeiro andar . . . . . . . . . . . . . . . . . 125Figura 27 – Sala de telecomunicações segundo andar . . . . . . . . . . . . . . . . . 126

Figura 28 – Relação de materiais . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Lista de tabelas

Tabela 1 – Lista dos serviços que os usuários terão acesso . . . . . . . . . . . . . . 61Tabela 2 – Lista de servidores na matriz . . . . . . . . . . . . . . . . . . . . . . . 62Tabela 3 – Lista de acessos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Tabela 4 – Objetos do firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Tabela 5 – Listagem Setores Críticos . . . . . . . . . . . . . . . . . . . . . . . . . 68Tabela 6 – Função Critica Setor Financeiro . . . . . . . . . . . . . . . . . . . . . . 68Tabela 7 – Função Critica Setor Call Center . . . . . . . . . . . . . . . . . . . . . 69Tabela 8 – Efeitos de parada nos negócios . . . . . . . . . . . . . . . . . . . . . . 69Tabela 9 – Recursos a recuperar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Tabela 10 – Detalhamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Tabela 11 – Plano de ação para ocorrências . . . . . . . . . . . . . . . . . . . . . . 77Tabela 12 – Escala de acionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Lista de abreviaturas e siglas

Posic Politíca de Segurança da Informação

TI Tecnologia d Informação

SNMP simple Netwoork Manegement Protocol

IP Internet Protocol

ICMP Internet Control Message Protocol

ISO International Organization for Standartization

MPLS Multi protocol Label Switching

Vlan Virtual Local area Network

VPN Virtual Private Network

TCP transmission Control Protocol

HTTP Hypertext tranfer Protocol

RAID Redundânte Arrays of Independent Disks

SAN Storage area network

TCP transmission Control Protocol

DNS Domain Name System

UDP User datagram Protocol

DNS Domain Name System

UDP User datagram Protocol

Sumário

Sumário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

I Fundamentação Teórica 16

1 Segurança de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171.1 Política de Segurança de TI . . . . . . . . . . . . . . . . . . . . . . . 171.2 Plano de Continuidade de TI . . . . . . . . . . . . . . . . . . . . . . . 181.3 Política (Plano) de Backup . . . . . . . . . . . . . . . . . . . . . . . . 191.3.1 Primeira Etapa: A conscientização da necessidade do backup de dados, que

pode partir tanto da área de Tecnologia da Informação quanto da áreaadministrativa da organização. . . . . . . . . . . . . . . . . . . . . . . . . 20

1.3.2 Segunda Etapa: A definição dos responsáveis pelo planejamento de backupde dados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

1.3.3 Terceira Etapa: A disponibilização de recursos para que essas equipes pos-sam planejar o backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

1.3.4 Quarta Etapa: A determinação das ações a serem planejadas. . . . . . . . . 201.4 Plano de Gerenciamento e Monitoramento de ativos e aplicações . 211.4.1 Protocolos SNMP e ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . 231.4.1.1 ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

1.4.1.2 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2 Arquitetura e Roteamento . . . . . . . . . . . . . . . . . . . . . . . 262.1 TSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262.2 Protocolos SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.3 Protocolo HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.4 Protocolo FTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272.5 Protocolo SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.6 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282.7 Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302.8 MPlS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312.9 OpenVpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312.10 Tecnologias de transmissão . . . . . . . . . . . . . . . . . . . . . . . . 322.10.1 Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.10.1.1 Wimax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

2.10.1.2 3G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

2.10.2 Cat5e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352.10.3 Cat6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352.10.4 Cat6a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352.10.5 Fibras ópticas multimodo, monomodo . . . . . . . . . . . . . . . . . . . . 352.10.5.1 Fibra Monomodo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.10.5.2 Fibras Multimodo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.11 Segmentação da rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.11.1 DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.11.2 MZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.11.3 SAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.11.4 NAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3 Projeto de Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403.1 Projeto de Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403.2 Cabeamento estruturado . . . . . . . . . . . . . . . . . . . . . . . . . 413.2.1 Funcionalidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423.2.2 Capacidade de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423.2.3 Tecnologias utilizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443.2.4 Equipamentos utilizados . . . . . . . . . . . . . . . . . . . . . . . . . . . 443.2.5 Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453.2.6 Desempenho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473.2.7 Escalabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483.2.8 Subsistemas do cabeamento estruturado . . . . . . . . . . . . . . . . . . . 49

II Planejamento da solução de TI 51

4 Escopo do projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534.1 Funcionalidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544.2 Capacidade de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544.3 Tecnologias utilizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 554.4 Equipamentos utilizados . . . . . . . . . . . . . . . . . . . . . . . . . . 564.5 Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.6 Desempenho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.7 Subsistemas do cabeamento estruturado . . . . . . . . . . . . . . . . 564.8 Recursos técnicos e mão de obra . . . . . . . . . . . . . . . . . . . . . 57

5 Cronograma Geral do Projeto . . . . . . . . . . . . . . . . . . . . . 59

6 Plano de integração Matriz e Filiais . . . . . . . . . . . . . . . . . . 60

6.1 Interligação entre matriz e filiais . . . . . . . . . . . . . . . . . . . . . 606.2 Desafio e necessidades para que o projeto seja implantado com

sucesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606.3 Lista de ativos de redes e material de comunicação. . . . . . . . . . 606.4 Lista de serviços. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616.5 Lista de servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626.6 Diagrama da rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636.7 Serviços prestados pelas operadoras . . . . . . . . . . . . . . . . . . . 646.8 Planejamento de implementação do firewall . . . . . . . . . . . . . . 646.9 Justificativa Negocial da solução de integração Matriz e Filiais . . . 66

7 Normas e Procedimentos de Segurança de TI . . . . . . . . . . . . 677.1 Política de Segurança da Informação . . . . . . . . . . . . . . . . . . 677.2 Planejamento de segurança física . . . . . . . . . . . . . . . . . . . . 677.3 Gerenciamento de Continuidade dos Negócios . . . . . . . . . . . . . 677.3.1 Plano de Continuidade dos Negócios e Recuperação de Desastres . . . . . . 677.3.2 Politicas de Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707.3.2.1 Normas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

7.3.2.2 Procedimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

7.3.3 Plano de Rastreamento de Falhas em TI . . . . . . . . . . . . . . . . . . . 72

8 Gerenciamento e monitoramento de ativos e aplicações . . . . . . . 738.1 Ferramentas de monitoramento. . . . . . . . . . . . . . . . . . . . . . 738.2 Detalhamento dos ativos e aplicações . . . . . . . . . . . . . . . . . . 758.3 Ambiente de monitoramento. . . . . . . . . . . . . . . . . . . . . . . . 778.4 Plano de ação para ocorrências . . . . . . . . . . . . . . . . . . . . . . 778.5 Justificativa Negocial da solução Gerenciamento e monitoramento

de ativos e aplicações . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

9 Projeto de Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799.1 Proposta de projeto de redes . . . . . . . . . . . . . . . . . . . . . . . 799.2 Documentação do Projeto . . . . . . . . . . . . . . . . . . . . . . . . 799.3 Cronograma de implantação . . . . . . . . . . . . . . . . . . . . . . . 809.4 Garantias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809.5 Custo (Estimado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

10 Dificuldades encontradas durante a elaboração do projeto . . . . . . 84

11 Dados coletados através de logs de sistemas e ou aplicações queforam implementadas . . . . . . . . . . . . . . . . . . . . . . . . . . 85

12 Testes para elaboração do projeto . . . . . . . . . . . . . . . . . . . 86

13 Resultados esperados com a implementação do projeto . . . . . . . 87

Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Apêndices 92

APÊNDICE A Planejamento da Segurança Física da Empresa . . . . 93A.0.0.1 Ameaças da Natureza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

A.0.0.2 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

A.0.0.3 Fator humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

A.0.0.4 Perímetro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

APÊNDICE B Política de Segurança da Informação . . . . . . . . . . 100B.1 Definições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100B.1.0.5 Termos e Definições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

B.1.0.6 Estrutura Normativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

B.1.0.7 Divulgação e Acesso à Estrutura Normativa . . . . . . . . . . . . . . . . . . . . 103

B.1.0.8 Aprovação e Revisão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

B.1.1 Diretrizes de Segurança da Informação . . . . . . . . . . . . . . . . . . . . 103B.1.1.1 Proteção da Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

B.1.1.2 Privacidade da Informação sob Custódia da Lumitex . . . . . . . . . . . . . . . . 105

B.1.1.3 Classificação da Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

B.1.1.4 Empregados, Estagiários, Aprendizes e Prestadores de Serviços . . . . . . . . . . . . 106

B.1.1.5 Comitê Gestor de Segurança da Informação (C.G.S.I.) . . . . . . . . . . . . . . . . 107

B.1.1.6 Gestor da Informação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

B.1.1.7 Gerências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

B.1.1.8 Gerência Jurídica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

B.1.1.9 Gerência de Recursos Humanos . . . . . . . . . . . . . . . . . . . . . . . . . . 110

B.1.1.10 Área de Segurança da Informação . . . . . . . . . . . . . . . . . . . . . . . . . 110

B.1.1.11 Diretoria Executiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

B.1.1.12 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

B.1.1.13 Violações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

B.1.1.14 Sanções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

B.1.1.15 Legislação Aplicável . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

APÊNDICE C Planta Baixa . . . . . . . . . . . . . . . . . . . . . . . 114

APÊNDICE D Faces dos Racks . . . . . . . . . . . . . . . . . . . . . 120

APÊNDICE E Relação dos materiais . . . . . . . . . . . . . . . . . . 127

APÊNDICE F Memorial descritivo . . . . . . . . . . . . . . . . . . . . 128F.1 Dados básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128F.1.1 Nome da edificação: Lumitex . . . . . . . . . . . . . . . . . . . . . . . . . 128F.1.2 Endereço: Rua do Semeador, 464, Cidade Industrial ,Curitiba - PR, 81270-050.128F.1.3 Proprietário: José Augusto França - R. Rockefeller, 1310 - Rebouças, Curi-

tiba - PR, (41)80230-130, (41)35643132) . . . . . . . . . . . . . . . . . . 128F.1.4 Construtora: Baggio - Rua Nestor Victor, 839 , Água Verde, Curitiba - PR,

(41)3025-6111 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128F.1.5 Previsão de início e término da obra: Obra está terminada . . . . . . . . . 128F.2 Informações estatísticas . . . . . . . . . . . . . . . . . . . . . . . . . . 128F.2.1 Tipo de edificação: Comercial multiusuário . . . . . . . . . . . . . . . . . 128F.2.2 Número de pavimentos: 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 128F.2.3 Área útil da edificação: 3.360 m2 . . . . . . . . . . . . . . . . . . . . . . 128F.2.4 Metragem por andar: 1.057,16 m2 . . . . . . . . . . . . . . . . . . . . . . 128F.2.5 Metragem Datacenter: 244,66 m2 . . . . . . . . . . . . . . . . . . . . . . 128F.2.6 Pé direito: 2,95 m . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128F.2.7 Número de pontos: 558 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128F.2.8 Descrição dos pontos: Térreo 14 pontos ou 7 áreas de trabalho, 10 pontos

para câmeras: 1 andar 308 pontos ou 154 áreas de trabalho, 9 pontos paracâmeras e 5 pontos para impressoras:2 andar 166 pontos ou 83 áreas detrabalho, 9 pontos para câmeras e 5 pontos para impressora: Datacenter16 pontos ou 8 áreas de trabalho, 2 pontos para câmeras: 12 pontos paracâmeras externas e 2 pontos ou uma área de trabalho para guarita. . . . . 129

F.2.9 Escritórios: 2 andares em áreas de escritório . . . . . . . . . . . . . . . . . 129F.2.10 Piso elevado: altura de 300 mm e placas de 600 x 600 mm com revestimento

anti-estático e aterramento. . . . . . . . . . . . . . . . . . . . . . . . . . 129F.2.11 Eletro calhas: Instalação sob o piso elevado, centralmente nos pavimentos

e seguindo sentidos longitudinal e transversal de 37,97 metros para o da-tacenter e 114,97 metros para o edifício da matriz, de eletro calha em açogalvanizado de 100x50 mm, lisa, com virola, com tampa sob chão. . . . . . 129

F.2.12 Eletro duto: Instalação dos eletro dutos para o cabeamento CFTV seguiráem dois caminhos, um de cada lado no corredor central sobre o forro, sendo 11/2 41mm fixadas por braçadeiras a cada 2 metros na laje. Para cabeamentoexterno o mesmo seguirá por canaletas sob a calçada. . . . . . . . . . . . . 129

F.3 Informações especiais . . . . . . . . . . . . . . . . . . . . . . . . . . . 129F.3.1 Há previsão de instalação de CPCT ? Sim ( ) Não (x) . . . . . . . . . . . 130

SUMÁRIO 13

F.3.2 Há previsão de instalação de serviços especiais de imagem ou de automação(circuito interno de vídeo, TV a cabo, controles ambientais (ar-condicionadoe ventilação) controle de acesso, controle de iluminação, sensores de fumaça,sistema de segurança, sonorização) ? Sim (X) Não ( ) . . . . . . . . . . . 130

F.3.3 Observações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130F.4 Responsável pelo projeto: Equipe interna da empresa Lumitex . . . 130F.4.1 Nome do responsável: Gerson Nobre, Vanessa Neckel, José Carlos, Alessan-

dra Fonseca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130F.4.2 Título profissional: Analistas de Infraestrutura . . . . . . . . . . . . . . . . 130

14

Introdução

A Lumitex soluções em gerenciamento financeiros, está no mercado desde 1990com serviços, consultoria e soluções para empresas no segmento bancário e privado.

Entre os serviços prestados estão as cobranças extrajudiciais e judiciais para pes-soas jurídicas, gestão de créditos não performados, com foco direto no segmento de re-cuperação de crédito. Para realizar essas atividades é necessário uma infraestrutura quevai desde funcionários capacitados, sistemas de telefonia e operação eficientes, softwarese aplicativos voltados a otmização e segurança dos processos operacionais.

Uma característica do negócio é a interoperabilidade entre o ERP da empresa como ERP dos clientes para o recebimento e envio de dados. Isso se faz necessário para queas informações de cobranças sejam manupuladas de forma segura e agíl, estabelecendoqualidade aos serviços. A interoperabilidade se dá atráves de módulo no próprio ERP, queusa uma API(Application Programming Interface)para enviar e receber informações emdocumento XML.

Com as informações já em seu domínio, o setor financeiro faz os cálculos paranegociação, toma as medidas legais necessárias, se for o caso, cuida do envio de mensa-gen e e-mails e repassa esses dados ao setor de Call Center que negociára diretamentecom os devedores. Esse processo é funciona de forma integrada e gradual e é totalmenteinformatizado pelos sistema de ERP e CRM.

A empresa obteve grande crescimento nos últimos 5 anos, tornando - se competitivaem vários estados do país. Devido à esse crescimento, a infraestrutura atual não atendemais a demanda da empresa e é necessário planejar uma nova infraestrutura capaz desuportar a complexidade dos sistemas integradores com as filias de forma que garanta asegurança dos dados manipulados mantendo - os disponíveis, confiáveis e em acessivéisem tempo plausível. Diante desse novo cenário a empresa Lumitex solicitou um projetopara atender as características principais da sua área de atuação.

Hoje a matriz encontra-se na cidade de São Paulo, mas o custo elevado paraimplantação de um data center na cidade, levando –se em conta o custo dos terrenos,mão de obra de TI mais cara que em outras regiões e instabilidades sociais, torna maisviável a instalação da matriz em outras regiões. A solução apresentada no projeto, seráa realocação da matriz para a cidade de Curitiba, isto levando se em conta todos oscustos e benefícios a longo prazo, como a redução de custos nos setores de mão de obra,infraestrutura, logística e transporte público, porém, o site de São Paulo por já ter umaestrutura de médio porte pronta, será mantido como um site espelho da matriz de Curitiba,servindo como uma redundância da rede.

Introdução 15

Neste projeto serão abordados os requisitos de infraestrutura para o cabeamentoestruturado, links de internet, links que ligam as filiais à matriz, assim como a segurançapara gestão da informação, os equipamentos e as tecnologias utilizadas, as especificçõestécnicas decorrente das normas de cada áreas e também os itens de segurança física comocâmeras de vídeo, catracas, cercas perimetrais. O projeto deve seguir a família de normasNBR ISO/IEC 27000, para segurança da informação, que se aplicam a segurança físicadas pessoas, instalações e perímetros das edificações da empresa, a norma brasileira NBR14565 para cabeamento estruturado em edifícios comercias e as norma TIA 942 paraDatacenter.

A Informação tomou um valor sem específicos hoje, maior do que a alguns anosatrás, quando ainda era vista como um fator secundário nas organizações. E a necessidadede protegê-la contra qualquer intrusão tornou-se também uma das maiores preocupaçõesem todos os nivéis da comunicação. Para uma empresa, a informação é o núcleo de todo seuportfólio de ativos até segredos estratégicos, desde o router até o peopleware (usuário deum computador), toda informação gerada nessas redes são de responsabilidade da mesma,tanto diretores, gestores, analistas, técnicos e usuários tem acesso a essa informação. Porisso é necessário haver definições de níveis de acesso e rigoroso controle dos dados, atravésde políticas internas baseadas nas prerrogativa estratégicas da empresa.

Pensando no valor da informação para uma instituição que manipula dados si-gilosos de terceiros, esse projeto foi construído de maneira organizada para englobar osrequisitos minímos cabíveis para implantação da solução. Cada etapa da elaboração nãotem por finalidade explicar profundamente as tecnologias e normas, mas, apresentar ummétodo de facíl entendimento da integração de todos os subsitemas necessários à umprojeto de redes de computadores corporativa.

Parte I

Fundamentação Teórica

17

1 Segurança de TI

1.1 Política de Segurança de TIA informação é um ativo muito importante, essencial ao funcionamento das organi-

zações e consequentemente necessita ser adequadamente protegida. Ela pode ser apresen-tada em diversas formas: impressa ou escrita em papel, falada em conversas, armazenadaeletronicamente. Independente de forma ou meio, a informação é compartilhada ou arma-zenada.

De acordo com a norma ISO/IEC 27002, segurança da informação é a proteção dainformação contra vários tipos de ameaças, com o intuito de garantir a continuidade doserviço, minimizar os riscos, maximizar o retorno sobre os investimentos. São exemplosde ameaças: espionagem (invasores de redes e sistemas), sabotagem, vandalismo, vulne-rabilidades a incêndios, inundação, códigos maliciosos, entre outros.

A segurança da informação é obtida a partir da implementação de um conjuntode controles adequados, incluindo políticas, processos, procedimentos, estruturas organi-zacionais e funções de software e hardware. Esses controles precisam ser estabelecidos,implementados, monitorados, analisados criticamente e melhorados de acordo com as ne-cessidades em questão, a fim de garantir a segurança da informação.

A gestão da segurança da informação requer a participação de todos os funcionáriose a criação de uma política – que deve ser documentada. Um dos primeiros passos paraa gestão da segurança da informação é a elaboração e aprovação de uma política desegurança da informação. Uma política de segurança é a expressão formal das regraspelas quais é fornecido o acesso aos recursos tecnológicos da organização. Uma política desegurança não é um documento definitivo, inalterável ou inquestionável, pelo contrário,requer constante atualização e participação de gerentes, usuários e equipe de TI.

Objetivo da política é a proteção do conhecimento e da infraestrutura, a fim deatender os requisitos legais, viabilizar os serviços prestados e evitar ou reduzir os riscos eameaças. Orientação e o estabelecimento de diretrizes para a proteção dos ativos de infor-mação, prevenção de ameaças e a conscientização da responsabilidade dos funcionários.

É conveniente que a gestão da segurança da informação esteja alinhada e emconjunto com os outros processos de gestão.

O princípios é a integridade, confidencialidade e disponibilidade da informação.

O propósitos é informar aos usuários suas responsabilidades com relação à proteçãoda tecnologia e ao acesso à informação e oferecer um ponto de referência a partir do qual

Capítulo 1. Segurança de TI 18

se possa adquirir, configurar e auditar sistemas computacionais e de redes.

A norma ISO/IEC 27002 descreve as fontes principais de requisitos de segurança dainformação: Análise dos princípios, objetivos e requisitos dos serviços prestados, legislaçãovigente, estatutos e regulamentos, análise de riscos, ameaças e vulnerabilidades.

Além da análise de requisitos, é recomendável também que supervisores de cadaárea estabeleçam critérios relativos ao nível de confidencialidade da informação geradapor sua área, classificando as informações de acordo com a lista abaixo:

∙ pública;

∙ interna;

∙ confidencial;

∙ restrita.

A elaboração da política de segurança de cada empresa possui suas particularidades deacordo com os requisitos de segurança analisados e alinhados a gestão de processos.

(PAULA, 2013)

1.2 Plano de Continuidade de TIUma organização é dependente de seus recursos, pessoal e as tarefas que são reali-

zadas no dia-a-dia em ordem à atender e estar sempre saudável e com retorno financeiro.Se qualquer recursos é danificado ou feito inacessível por qualquer razão, a empresa podeestar com problemas. Se mais de um destes recursos fica prejudicado a empresa pode sofrerriscos muito altos. Quanto mais tempo estes itens ficam sem uso, mais tempo será neces-sário para a organização voltar ao seu estado normal. Em determinados casos, algumasempresas não conseguem voltar ao estado normal após um desastre.

O plano de continuidade de negócios toma uma linha focada no problema. Issoinclui o propósito nos sistemas mais críticos, e leva-los para um ambiente alternativoonde o desastre ocorreu enquanto ocorre a reparação da unidade com problemas. Levandoem conta todos os envolvidos na empresa e também os clientes, de uma forma que tudovolte à normalidade o mais breve e seguro possível.

É importante observar que a empresa pode estar muito mais vulnerável depois queocorre o desastre, porque os sistemas de segurança ficam mais focados na continuidadedos negócios. Procedimentos pré-planejados permitem a organização:

∙ Prover um imediato e apropriada resposta à situações de emergência


∙ Proteger vidas e garantir segurança

∙ Reduzir impacto aos negócios

∙ Retornar funções críticas de negócios à normalidade

∙ Reduzir confusão durante uma crise

∙ Garantir a sobrevivência do negocio

Etapas do Plano de Continuidade de Negócios

∙ Desenvolver uma política geral de continuidade de negócios: Escrever uma políticaque entregue e guie os passos necessários para desenvolver o Plano de Continuidadede Negócios, e onde quem assine tenha autoridade para com toda a organização.

∙ Conduzir uma Análise de Impacto de Negócios: Identificar as funções críticas esistemas e permitir a organização priorizar dentre estas as suas necessidades reais.Identificar as vulnerabilidades, ameaças e calcular os riscos

∙ Identificar controles preventivos: Uma vez as ameaças conhecidas, identificar e im-plementar os controles e paliativos para reduzir o nível de risco da organização emuma maneira econômica.

∙ Desenvolver estratégias de recuperação: Formular métodos para garantir que siste-mas e funções críticas possam ser trazidas de volta ao normal rapidamente.

∙ Desenvolver um plano de contingência: Escrever os procedimentos para como aorganização pode continuar funcionando em caso de um estado crítico.

∙ Testar o plano e conduzir treinamento e exercícios: Testar o plano para identificardeficiências no Plano de Continuidade de Negócios e também conduzir treinamentopara que os indivíduos estejam preparados para cumprir suas tarefas.

∙ Manter o plano: Efetivar que os passos seguidos garantam que o documento estejaregularmente atualizado.

(TELLES, 2013)

1.3 Política (Plano) de BackupSão necessárias estratégias para manter a integridade, confiabilidade e disponibi-

lidade do backup. A Dissertação de Mestrado, realizada por Eliana Márcia Moraes, em2007, apresenta algumas recomendações.


1.3.1 Primeira Etapa: A conscientização da necessidade do backup de dados,que pode partir tanto da área de Tecnologia da Informação quanto daárea administrativa da organização.

É necessário justificar o planejamento do backup de dados para então conseguirapoio da organização. As principais justificativas são: Proteção dos dados para a conti-nuidade dos negócios, prevenção contra desastres e recuperação segura dos dados, paraque esses estejam integrais e disponíveis. Atendimento a padrões de segurança e a leis eregulamentos nacionais e internacionais.

1.3.2 Segunda Etapa: A definição dos responsáveis pelo planejamento debackup de dados.

Sugere-se que os responsáveis sejam: Supervisão de Tecnologia da Informação AltaAdministração, que deve liberar os recursos. Observação: Essas equipes deverão contarcom o apoio das suas áreas técnicas.

1.3.3 Terceira Etapa: A disponibilização de recursos para que essas equipespossam planejar o backup.

Treinamentos na área de Segurança da Informação.

Adoção de normas de Segurança da Informação.

Adoção de Recomendações:

Livros de Segurança da Informação, materiais de cursos, materiais internos daorganização, elaborados a partir da bagagem de experiência de profissionais de Segurançada Informação, análise e orientações de especialistas e as opiniões de consultores.

1.3.4 Quarta Etapa: A determinação das ações a serem planejadas.

O plano de backup de dados deve contar, no mínimo, com os seguintes procedi-mentos:

∙ Classificação da informação

∙ Armazenamento

∙ Documentação do backup e recuperação dos dados

∙ Escolha de hardware, software e mídias

∙ Definição do local dos dados a serem armazenados


∙ Considerar o backup remoto

∙ Contratação de site de backup remoto

∙ Transmissão dos dados para Backup Remoto

∙ Transportes de mídias

∙ Agendamento do backup

∙ Período de retenção das mídias e guarda de mídias

∙ Testes de recuperação e backup

∙ Revisão do plano

∙ Definição de responsabilidades

∙ Política de Segurança da Informação e Plano de Continuidade de Negócios

Todo o planejamento e recursos destinados ao backup devem estar de acordo com o valorda informação. (MORAIS, 2010)

1.4 Plano de Gerenciamento e Monitoramento de ativos e aplica-çõesGerenciar ativos é utilizar as inúmeras informações que estes hoje possuem e de

alguma forma ainda não são utilizadas de forma proativa. Ou instalar alguns sensoresadicionais em um determinado equipamento ou sistema, que nos trará a tendência de umbom funcionamento e diagnósticos que nos ajudem a entender melhor os equipamentos ecom isto prever falhas inesperadas.

Os usuários veem essa ferramenta como algo que vai predizer uma falha futura,baseada em informações presentes e associadas ao histórico dos ativos em questão. Epredizer leva a classificar a ação como manutenção preditiva, além de entender a açãocomo manutenção preditiva, também a classificam como o início da manutenção Proativa,que significa atuar na causa e não somente na consequência.

Dependendo aonde se quer chegar e das ferramentas que serão aplicadas, um ge-renciamento de ativos pode ser bastante caro, mas é plenamente justificável em algunssetores de produção pela previsão de falhas com antecedência, ou ainda no auxílio deprogramar paradas.

A principal função do gerenciamento de ativos, é acompanhar o funcionamentode todos os itens de seu escopo para que através deste monitoramento se possam to-mar decisões inteligentes e de forma planejada. Casos especiais devem ser analisados em


separado, quando podemos planejar uma parada de equipamento, onde os ganhos e be-nefícios são muito maiores do que paradas não planejadas, Ao tomar a decisão de possuirum gerenciamento de ativos, deve-se adquirir softwares especializados para cada tipo deativo.

A definição de gerenciamento de ativos no sentido de gerenciamento de dispositivosé configurar, parametrizar e diagnosticar de forma remota. E monitoramento de condiçãotorna-se apenas uma parte disso, diagnóstico, configuração e parametrização remotasimplicam na existência de inteligência no ativo a ser gerenciado, onde existe um conjuntode parâmetros dos quais se pode fazer upload e download remotos.

Na parte de comunicação, do controlador para a operação, geralmente se fala emEthernet. E o dispositivo no meio disso é o switch de rede. Nessa área existe um protocolode diagnóstico padronizado chamado SNMP – Single Network Management Protocolo,que também está definido no modelo OSI, camada 7. É um serviço como Telnet, FTP,Single Network Mail Protocol, ou seja, define como um dispositivo de rede Ethernet deveráresponder a um software de gerenciamento de ativos.

Na área de TI isso é muito antigo porque suponha que administrador de redeEthernet possua milhares de nós de uma corporação e não pode ir até a mesa de cadafuncionário para saber se a placa de rede do computador está funcionando; não pode ira cada planta saber se o switch de rede está funcionando. Ele quer ser capaz de acessarremotamente cada dispositivo e descobrir seu status, definido por um protocolo. O SNMPtambém define o MIB – Management Information Base que. Consequentemente se sua redefalar SNMP e tiver a descrição MIB de cada device Ethernet, pode fazer o gerenciamentode ativos da rede.

Os serviços via web disponibilizados nos instrumentos de hoje merecem atençãoespecial, visto que muitas tarefas podem ser feitas utilizando a rede corporativa da em-presa. Procedimentos errados podem ocasionar paradas indesejadas como a retirada deum equipamento de serviço. Segurança e os níveis de acesso das ferramentas de softwaredevem ser constantemente checados por pessoal especializado. Essas novas possibilidadesmudaram o nível de segurança na automação industrial, visto que hoje está disponibili-zando informações para usuários que antes eram somente de TI.

O que precisa ficar bem claro, é que todo sistema se não for bem parametrizadoe se não tiver um determinado grau de utilização, não oferecerá os benefícios que forampropostos. Logo, ao se instalar um sistema de gerenciamento de ativos, este deve pos-suir uma pessoa responsável para verificar e analisar os resultados por este mostrado.(INSTRUMENTAçãO, 2009)


1.4.1 Protocolos SNMP e ICMP

1.4.1.1 ICMP

O ICMP é um protocolo que trabalha na camada de rede do modelo de referênciaOSI. Ele é usado para dar suporte a outros protocolos, pois algumas vezes um host ouum gateway precisa se comunicar com a origem ou com o destino para reportar um errono pacote processado. Na maioria das vezes o ICMP reporta erros, mas também é muitoutilizado para verificar se um determinado host está ativo (comando “ping”). O cabeçalhoe os dados ICMP são transportados dentro da área de dados do pacote IP. Apesar de cadatipo de pacote ICMP ter um formato único, todos começam com os mesmos três campos:type, code e checksum. Ele é composto de 4 bytes mais uma parte que depende do tipodo pacote ICMP. O ICMP echo request e o echo reply são usados para determinar seuma estação está ativa. Ao se enviar uma requisição echo request a um destino, este deveresponder com um echo reply. Um comando muito utilizado para realizar essa tarefa é oping. Geralmente, em linha de comando de um Sistema Operacional, se digita o comandoping e endereço IP (ex: ping 10.0.0.1), sendo exibida na tela informações sobre a estaçãode destino (10.0.0.1). Essas informações indicam qual é o estado do destino.

Figura 1 – ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. .

∙ Type: indica a finalidade do pacote ICMP. Se contiver 8, é uma requisição (echorequest). Se o conteúdo for 0, é uma reposta (echo reply). Este campo é de 8 bits;

∙ Code não é utilizado e deve conter o valor 0. Este campo é de 8 bits;

∙ Checksum: verifica a integridade do pacote ICMP. Este campo é de 16 bits;

∙ Identifier: identifica unicamente uma seqüência de requisições e respostas ICMPsenviada. Se esta seqüência for interrompida e reinicializada, o identificador deve serdiferente. Este campo é de 16 bits;


∙ Sequence number: associa uma requisição com um reposta. Este campo é de 16 bits;O ICMP destination unreachable é enviado quando um roteador ou uma estaçãonão consegue entregar um datagrama. Dentre as vária possibilidades, isso podeacontecer quando um roteador não sabe quem é o destino ou quando o bit DF dodatagrama IP está ligado e a rede de destino precisa fragmentar o datagrama. Aseguir é apresentado o pacote ICMP destination unreachable e em seguida o conceitode cada campo:

Figura 2 – ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. .

∙ Type: indica a finalidade do pacote ICMP. Se contiver 3 mostra que o pacote nãopode ser entregue. Este campo é de 8 bits;

∙ Code: especifica o motivo que causou a não entrega do pacote. O 0 é para rede nãoalcançável, o 1 é para host não alcançável, o 2 é para protocolo não alcançável, o 3é para porta não alcançável, o 4 é para a necessidade de fragmentação, o 5 é parafalha na rota (caminho) de origem etc. Este campo é de 8 bits;

∙ Checksum: verifica a integridade do pacote ICMP. Este campo é de 16 bits;

∙ Unused: não utilizado e deve conter zeros. Este campo é de 32 bits;

∙ Internet header + 64 bits of original data datagram: contêm o cabeçalho IP, mais64 bits dos dados do datagrama anteriormente enviado pelo transmissor. Dessamaneira, indica a ele qual o endereço IP que está inacessível e pode ser usado pelosadministradores de rede para resolução de problemas;

(INFORMAçãO, 2007)


1.4.1.2 SNMP

SNMP significa Simple Network Management Protocol (que se pode traduzir por"protocolo simples de gestão de rede"). Trata-se de um protocolo que permite aos ad-ministradores rede gerir os equipamentos da rede e diagnosticar os seus problemas. Osistema de gestão de rede baseia-se em dois elementos principais: um supervisor e agen-tes. O supervisor é o console que permite ao administrador de rede executar pedidos degestão. Os agentes são entidades que se encontram a nível de cada interface que liga oequipamento gerido à rede e que permite recuperar informações sobre diferentes objetos.Switchs, hubs, routers e servidores são exemplos de equipamentos que contêm objetosque podem ser geridos. Estes objetos podem ser informações materiais, parâmetros deconfiguração, estatísticas de desempenho e outros objetos que estão diretamente ligadosao comportamento corrente do equipamento em questão. Estes objetos estão classificadosnuma espécie de base de dado chamada MIB (“Management Information Base"). O SNMPpermite o diálogo entre o supervisor e os agentes a fim de recolher os objetos desejadosno MIB. A arquitectura de gestão da rede proposta pelo protocolo SNMP baseia-se porconseguinte em três principais elementos:

∙ Os equipamentos geridos (managed devices) são elementos da rede (pontes, hubs,routers ou servidores), contendo “objetos geridos” (managed objects) que podem serinformações sobre o material, elementos de configuração ou informações estatísticas;

∙ Os agentes, isto é, uma aplicação de gestão de rede que reside num periférico e seencarrega de transmitir os dados locais de gestão do periférico em formato SNMP;

∙ Os sistemas de gestão de rede network management systems notados NMS), ou seja,um console através da qual os administradores podem realizar tarefas de adminis-tração.

(KIOSKEA.NET, 2010)

26

2 Arquitetura e Roteamento

2.1 TSLO principal objetivo do protocolo TLS é garantir a privacidade e a integridade

dos dados em uma comunicação entre duas aplicações. O protocolo é composto de duascamadas: o protocolo de Registro (TLS Record Protocol) e os protocolos Handshaking(TLS Handshaking Protocols).

O primeiro se localiza acima de um protocolo de transporte confiável, provendo asegurança da conexão que apresenta duas propriedades:

A conexão é privada. É utilizada criptografia simétrica para encriptação dos dados,por exemplo. As chaves para esta encriptação simétrica são geradas unicamente para cadaconexão e são baseadas em um segredo negociado por um outro protocolo, neste caso oprotocolo Handshake. O protocolo de Registro pode ser usado sem criptografia.

A conexão é confiável. O transporte da mensagem inclui uma verificação da in-tegridade da mensagem, utilizando uma keyed-HMAC (Hashing Message AuthenticationCode). Funções hash seguras são utilizadas para computação da MAC. O protocolo deRegistro pode operar sem uma MAC, porém geralmente, só é utilizado desta maneira,enquanto outro protocolo está usando o protocolo de Registro como transporte para anegociação dos parâmetros de segurança.

O protocolo de Registro é usado para o encapsulação de vários protocolos de níveisacima, por exemplo, o protocolo Handshake, que permite a autenticação entre cliente eservidor e a negociação de algoritmos de encriptação e de chaves criptográficas antesda transmissão ou recepção do primeiro octeto de dados por parte de um protocolo deaplicação. Os protocolos Handshaking provêm segurança da conexão que apresenta trêspropriedades:

A identificação de uma das partes pode ser autenticada através da criptografiaassimétrica. Esta autenticação pode ser opcional, mas geralmente é exigida para pelomenos uma das partes.

A negociação de um segredo compartilhado é segura. O segredo negociado ficaindisponível para invasores, e para qualquer conexão autenticada o segredo não pode serobtido, mesmo por um atacante que pode se colocar no meio da conexão.

A negociação é confiável. Nenhum atacante pode modificar a comunicação da ne-gociação sem ser detectado pelas partes legítimas da comunicação.

Uma vantagem do TLS é a independência em relação aos protocolos de aplicação.

Capítulo 2. Arquitetura e Roteamento 27

Protocolos de nível acima podem comunicar com o TLS de forma transparente.

(SILVA, 2013)

2.2 Protocolos SSLSecure Socket Layer (SSL) é um padrão global em tecnologia de segurança desen-

volvida pela Netscape em 1994. Ele cria um canal criptografado entre um servidor web eum navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos eseguros.

Quando escolher ativar o SSL no seu servidor web você terá que responder algumasquestões sobre a identidade do seu site (ex. a URL) e da sua empresa (ex. a Razão Sociale o endereço). Seu servidor web então criará duas chaves criptográficas - a Chave Privada(Private Key) e a Chave Pública (Public Key). A Chave Privada deve ser mantida privadae segura. O servidor web irá associar o certificado emitido com a Chave Privada. O servidorirá estabelecer um link criptografado entre website e o navegador do consumidor. (BR,2011)

2.3 Protocolo HTTPSÉ uma implementação do protocolo HTTP sobre uma camada SSL ou do TLS.

Essa camada adicional permite que os dados sejam transmitidos com segurança (atravésde criptografias) e que se verifique a autenticidade do servidor e do cliente através decertificados digitais. A porta TCP usada por norma para o protocolo HTTPS é a 443.O protocolo HTTPS é utilizado, em regra, quando se deseja evitar que a informaçãotransmitida entre o cliente e o servidor seja visualizada por terceiros, como por exemplono caso de compras online. A existência na barra de tarefas (normalmente do lado direito)de um cadeado demonstra a certificação de página segura (SSL). Nas URLs dos siteso início ficaria https://7247;. Geralmente os navegadores mais atuais indicam um siteseguro, geralmente através das barras de endereço que ficam verde. (INFORMAÇÃO,2009)

2.4 Protocolo FTPSFTPS é o acrônimo de File Transfere Protocole Escure, um tipo mais seguro de

FTP. Também conhecido como FTP-SSL. Basicamente o FTPS é um servidor normal deFTP com algumas camadas de segurança agregadas.

Os protocolos de segurança agregados no FTPS podem ser o TLS (TransporteDayer Security) e o SSL (Escure Sockets Dayer) sendo que estes protocolos são criptogra-


fados e protegem as informações trafegadas por meio do FTPS. (BARATO, 2011)

2.5 Protocolo SSHO Secure Shell, conhecido como SSH, é um protocolo que visa fazer a comunicação

entre dois hosts distantes através de uma autenticação segura e em seguida troca dedados utilizando algoritmos de chave simétrica. Existem, até o momento, duas versõesdesse protocolo, sendo a primeira, o SSH1 já considerada ultrapassada. Assim, a versãoque está sendo utilizada atualmente é a SSH2.

Diferenciando-se de outras ferramentas como rsh, rcp, rlogin e telnet, o SSH co-difica toda a comunicado. Dessa forma, ele impede a interceptação por invasores. Eletambém pode ser usado para encriptar comunicações ftp e pop, protegendo os usuárioscontra DNS e IP spoofing. Outra vantagem é que existem implementações do ssh para amaioria dos sistemas operacionais.

As principais características desse aplicativo são:

Cifrarem: Todas as conexões são criptografadas de forma transparente e automá-tica. Utiliza algoritmos de livre patente.

Port Forwarding: Permite a comunicação utilizando TCP através de um canalcifrado. Pode criptografar outros serviços, como o ftp, tftp, pop etc.

Autenticação forte: Protege contra IP spoofing, falsos encaminhamentos e DNSspoofing.

Agent Forwarding: Um agente de autenticação que permite que o usuário utilizechaves RSA de um computador portátil sem que seja necessário transferi-las para a má-quina. Compressão de dados: Comprime a informação antes de enviá-la, o que é útil paraligações com pouca largura de banda.

Ao se utilizar qualquer implementação do ssh, antes do pacote ser enviado, elepode ser comprimido, em seguida será encripitado e, por fim, autenticado. Ao ser re-cebido, é conferida a autenticação, desencripta-se os dados e, em seguida, é feita, casoseja necessário, a descompressão dos dados. O algoritmo de encriptação a ser utilizadoserá escolhido pelo cliente, dentro das possibilidades da implementação do ssh utilizadatanto pelo cliente quanto pelo servidor. Caso ele selecione uma opção não disponível noservidor, lhe será requisitada uma outra opção. O mesmo acontece com os algoritmos decompressão.

(UFRJ, 2013)


2.6 KerberosÉ um protocolo de segurança distribuído, ou seja, ele permite que os usuários

acessem recursos em qualquer lugar da rede com um único logon.

O Kerberos exige que tanto o cliente quanto o servidor se autentiquem, impedindoassim que um intruso “finja” se passar por um cliente ou por um servidor. A seguir estãoos recursos que o Kerberos traz para o Active Directory:

Autenticação mais rápida em um ambiente de computação distribuída.

Relação de confiança transitiva entre domínios.

Autenticação delegada ( ou pass-through ) para aplicações distribuídas.

Interoperabilidade com sistemas Não Windows como o Linux que usem o protocoloKerberos.

O Kerberos usa um segredo compartilhado, também conhecido como chave, demodo que tanto o cliente como o serviço que roda em cada controlador de domínio co-nhecido como KDC (Key Distribution Center, ou Centro de Distribuição de Chaves)compartilhem a mesma chave. No caso da autenticação de um usuário, essa chave é ohash da senha do usuário.

O KDC na verdade tem dois componentes: O Serviço de Autenticação (AS), quefornece os serviços iniciais de logon, e o Serviço de Garantia de Ticket (TGS), que fornecetickets para acessar os recursos da rede depois que o usuário tiver feito o login, porpadrão cada ticket tem validade de 10 horas. O Kerberos age em seguida para autenticaras requisições de logon e autorizar o usuário a acessar um recurso de rede.

Um usuário se autentica com o KDC fazendo o login. (O KDC roda como umserviço em cada controlador de domínio). A mensagem de autenticação inclui o nome delogin do usuário, o nome do domínio ao qual o usuário está se logando e uma marcação dedata e hora. Essas informações são codificadas com o hash da senha do usuário. Assim, asenha do usuário jamais será enviada pela rede e continuará segura.

O componente AS do KDC recebe a requisição de autenticação e a válida para quepossa ser decodificada com o hash da senha do usuário, acessada a partir do banco dedados do AD. Se a codificação for bem sucedida e a marcação de data e hora e até cincominutos do horário do controlador de domínio atual, a autenticação será bem sucedida.O KDC retorna um Ticket que garante o Ticket (TGT) para o cliente. O TGT contém oSID do usuário e as SIDs de todos os grupos a qual o usuário é membro. O cliente colocao TGT em cache até que ele precise acessar um recurso de rede. Neste momento, o TGT éapresentado ao componente TGS do KDC e requisita o acesso a um recurso do servidor. OKDC retorna um Ticket de Sessão (ST) que contém um código em uma chave encriptadaconhecida apenas por ele mesmo e pelo servidor de recurso. O cliente apresenta o ST ao


servidor do recurso O servidor do recurso examina o ST em busca do código da chave,conhecido apenas por ele e pelo KDC. Se o código da chave for igual ao código da chaveexistente no servidor de recursos, o cliente receberá acesso ao servidor de recursos. Se ocódigo for diferente, o cliente terá acesso recusado.

(BANIN, 2010)

2.7 RadiusO RADIUS é um protocolo que visa a autenticação, autorização e gestão de uti-

lizadores, para acesso à rede ou serviços de rede. RADIUS é normalmente usado paragerir e tornar mais seguro o acesso à Internet ou a redes internas. O Protocolo RADIUSbaseia-se num sistema cliente/servidor.

O Servidor de RADIUS utiliza o conceito AAA para gerir o acesso à rede. Esteconceito refere-se aos processos de autenticação e autorização e contabilização (accoun-ting) que são utilizados para estabelecer uma ligação à Internet ou utilizar aplicações deacesso à rede.

Uma rede ou serviço de rede que utilize o protocolo RADIUS necessita de auten-ticação para permitir a ligação deste utilizador/dispositivo a esta. Após autenticação édeterminado quais são os privilégios a que o utilizador autenticado está autorizado, e écontabilizado (accounting) e gravado o acesso deste no servidor RADIUS, de modo a haveruma melhor gestão e controle de acessos. O RADIUS tornou-se assim numa ferramentanecessária para controle e segurança de acessos à rede de Internet ou redes internas. BreveDescrição do Funcionamento

O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado oNetwork Access Server (NAS) como cliente e do outro o servidor RADIUS. O utilizador,o NAS e o servidor trocam mensagens entre si quando o utilizador se pretende autenticarpara utilizar um determinado servidor de rede. Uma mensagem RADIUS consiste numpacote contendo um cabeçalho RADIUS contendo o tipo de mensagem e podendo aindater, ou não, alguns atributos associados à mensagem.

Cada atributo RADIUS especifica uma parte de informação sobre a tentativa deligação. Por exemplo, existem atributos RADIUS para o nome de utilizador, a palavrapasse do utilizador, o tipo de serviço pedido pelo utilizador e o endereço Internet Protocoldo servidor de acesso. Os atributos RADIUS são utilizados para transmitir informaçõesentre clientes RADIUS, proxies RADIUS e servidores de RADIUS. Quando um utilizadorda rede deseja utilizar um serviço de rede envia os seus dados para o NAS. O NAS éresponsável por adquirir todos os dados do utilizador, que normalmente são o nome deutilizador e respectiva palavra passe (no envio do NAS para o servidor a palavra passe é


cifrada de modo a prevenir possíveis ataques), e enviá-los para o servidor RADIUS atravésde um pedido de acesso que se designa de Access-Request.

Este é também responsável por processar respostas vindas do servidor RADIUS.O servidor ao receber um pedido de acesso tenta a autenticação do utilizador, enviandode seguida a resposta para o NAS contendo um Access-Reject caso o acesso lhe sejanegado ou, caso o acesso seja aceite contendo Access-Accept, ou caso seja pedida umanova confirmação contendo Access-Challenge.

Após autenticação, são comparado e verificados alguns dados do pedido de modoa que o servidor determine qual o grau de acesso que pode ser dado a este utilizadorque foi autenticado. O servidor RADIUS pode também ser configurado em proxy. Nestecaso o servidor irà funcionar como cliente que redireciona os pedidos de acesso para umoutro servidor, ou seja, passa a ser responsável pela troca de mensagens entre o NAS e oservidor remoto. (ANTUNES, 2008)

2.8 MPlSMPLS é uma solução para diminuir o processamento nos equipamentos de rede

e interligar com maior eficiência redes de tecnologias distintas. O termo "Multiproto-col"significa que esta tecnologia pode ser usada sob qualquer protocolo de rede. Conside-rando a Internet e a importância de seus protocolos nas varias WAN’s publicas e privadas,tem-se aplicado o estudo e implementação do MPLS basicamente para redes IP. A mplsutiliza rotulos(label) assim o trafego na rede será mais veloz pois o router de borda colo-cará um label no pacote, o próximo router não terá que olhar em todo pacote pois com umúnico rotulo ele já sabe onde enviar analisando o label obtendo um melhor desempenhono encaminhamento dos pacotes.

2.9 OpenVpnO OpenVPN, como o próprio nome diz, é um software especificamente desenvolvido

para VPNs. A arquitetura básica do OpenVPN tem as seguintes características:

Protocolo de rede específico para VPNs; Uso de uma interface genérica (TUN/TAP),para criar a interface de rede virtual, o que permite que o OpenVPN resida inteiramentefora do kernel; Uso de certificados X.509 para autenticação e criptografia; Nenhuma pro-visão para VPNs "automáticas"ou transparentes no estilo IPSEC. Toda VPN tem de serexplicitamente configurada. Por ser muito menos pretensioso que o IPSEC, o OpenVPNresolve intrinsecamente todos os problemas encontrados no IPSEC para uso com VPNs:

1) O OpenVPN depende de certificados X.509, então é problema do administradorse ele vai usar a PKI oficial (ou seja, adquirindo certificados "oficiais"para cada nó da


VPN), ou criar uma Autoridade Certificadora fictícia, o que permite gerar os certificadosde graça (mais usual no mundo OpenVPN)

2) Como cada VPN é pré-configurada, e os certificados são parte integrante dessaconfiguração, não há necessidade de fazer download de certificados sob demanda, então oOpenVPN não precisa de PKI on-line.

3) O OpenVPN aceita configurar VPNs tanto com IP fixo como IP dinâmico (atéo lado "servidor"pode ter IP dinâmico)

4) Por ser restrito a VPNs, o OpenVPN é simples de configurar e usar.

5) Os pacotes VPN são transportados sobre TCP ou UDP, então o cliente consegue"furar"NATs sem maiores problemas, tal qual IPSEC sobre UDP.

6) O OpenVPN autentica apenas VPNs, nem sequer computadores (nem tem apretensão de fazê-lo)

7) Os pacotes de rede que vão passar pela VPN são selecionados unicamente porconta do seu IP de destino. E eles são apenas reencapsulados sem qualquer manipula-ção. Assim, o OpenVPN não precisa interferir no processamento de terceira camanda, eportanto não precisa ter qualquer módulo implementado dentro do kernel.

8) Cada VPN cria uma interface virtual de rede, baseada na interface genéricaTUN/TAP. Ou seja, cada VPN aparece na tabela de roteamento como se fosse uma placaadicional de rede. Isto facilita muito a depuração de problemas de rede.

Naturalmente, o OpenVPN não seria útil no cenário originalmente concebido parao IPSEC modo transporte. Se um dia a Internet chegar ao ponto de ser completamentebaseaada em IPv6 e com IPs fixos, o IPSEC volta a ser mais interessante. (DO, 2013)

2.10 Tecnologias de transmissão

2.10.1 Wireless

O termo Wireless, em tradução livre, sem fio, nada mais é que do que qualquertipo de conexão para transmissão de informações sem o uso de fios ou cabos. Deste modo,qualquer comunicação que há sem a existência de um fio ou um cabo caracteriza-se poruma conexão wireless.

Podemos citar diversos meios de utilização da wireless, como a conexão existenteentre a TV e o controle remoto, entre o celular e as torres das operadoras e até o rádio dapolícia com as centrais de operação, entre outros exemplo. As redes wireless funcionamatravés de equipamentos que usam radiofrequência, como a comunicação via ondas derádio, usadas por walkie-talkies, comunicação via satélite e comunicação via infravermelho,entre outros.


Podemos simplificar a definição de Wireless como uma transferência de informaçãoentre dois ou mais pontos que não estão conectados fisicamente, a distância pode sercurta, como acontece com o controle remoto da televisão, ou mesmo pode atingir milhõesde quilômetros, no caso de transmissão de informações via satélite.

Cada vez mais as pessoas estão aderindo as redes sem fio por se tratar de umatecnologia de fácil instalação e utilização. Uma wireless é composta por um grupo desistemas conectados por tecnologia de rádio através do ar. Deste modo, na categoria decomunicação, é possível encontrar tecnologias como o Wi-fi, InfraRed, Bluetooth e Wimax.

(POZZEBON, 2008)

2.10.1.1 Wimax

O padrão IEEE 802.16, completo em outubro de 2001 e publicado em 8 de abrilde 2002, especifica uma interface sem fio para redes metropolitanas (WMAN). Foi atri-buído a este padrão, o nome WiMAX (Worldwide Interoperability for Microwave Ac-cess/Interoperabilidade Mundial para Acesso de Micro-ondas). O padrão WiMAX temcomo objetivo estabelecer a parte final da infra-estrutura de conexão de banda larga (lastmile)oferecendo conectividade para uso doméstico, empresarial e em hotspots.(REDAçãO,2008) Um sistema WiMAX consiste em duas partes: Uma torre WiMAX, parecida em seuconceito com a torre de telefonia celular - uma única torre WiMAX pode fornecer cober-tura para uma área muito grande - aproximadamente 8.000 km2. Um receptor WiMAX -o receptor e a antena poderiam ser uma pequena caixa ou um cartão PCMCIA, ou pode-riam ser integrados ao laptop como o WiFi o é hoje. Uma torre WiMAX pode se conectardiretamente à Internet usando uma conexão com fio de alta largura de banda (como umalinha T3, por exemplo). Pode também se conectar a outra torre WiMAX usando um linkde microondas em linha de visão. Esta conexão a uma segunda torre (geralmente chamadade backhaul), junto com a capacidade de uma única torre de cobrir até 8 mil Km2, é o quepermite ao WiMAX fornecer cobertura a áreas rurais remotas. O WiMAX pode fornecerdois tipos de serviço sem fio: O serviço sem linha de visão (non-line-of-sight), parecido como WiFi) no qual uma pequena antena no seu computador se conecta à torre. Neste caso,o WiMAX usa um baixo alcance de freqüência - 2GHz a 11GHz (semelhante ao WiFi).As transmissões de baixo comprimento de onda não são interrompidas com físicas - elassão capazes de difratar mais facilmente, ou se curvarem aos obstáculos. O serviço de linhade visão no qual uma antena fixa aponta para a torre WiMAX a partir de um telhado oude um poste. A conexão de linha de visão é mais forte e mais estável, e consegue enviarmuitos dados com poucos erros. As transmissões de linha de visão usam freqüências maisaltas,com alcance atingindo até 66GHz.Em altas freqüências, há menos interferência emuito mais largura de banda. O acesso parecido com o WiFi é limitado a um raio de6,5 a 9,7km. Através das antenas de linha de visão, a estação transmissora de WiMAX


enviaria dados a computadores habilitados para o WiMAX ou para roteadores configura-dos dentro do raio de 48,2km em volta do transmissor (9,300km quadrados de cobertura)(GUGELMIN, 2011) Na maioria dos mercados, o espectro que não precisa de licença quepoderia ser utilizado para WIMAX é 2.4GHze5.8GHz. Devido a que o espectro não requerlicença,a barreira para ingressar é baixa, motivo pelo qual torna mais fácil que um possíveloperador comece a oferecer serviços utilizando o espectro. Devido a que o espectro que nãorequer licença pode ser utilizado por vários sistemas diferentes de RF (Rádio-freqüência),há altas probabilidades de que se produzam interferências. Os sistemas de RF que nãorequerem licença podem incluir desde as redes rivais de WIMAX ou os pontos de acessode Wi-Fi. Os telefones sem fios e Bluetooth (solo 2.4GHz) também usam este espectro.Tanto WIMAX quanto Wi-Fi suportam a DFS (Dynamic Frequency Selection – SeleçãoDinâmica de Freqüência) que permite que seja utilizado um novo canal se for necessá-rio (por exemplo, quando são detectadas interferências); Os operadores que utilizam oespectro que não requer licença têm que outro operador facilmente poderia ingressar nomercado utilizando o mesmo espectro. Outra desvantagem do espectro que não requerlicença é que os entes reguladores do governo em geral limitam a quantidade de potênciaque pode ser transmitida. Esta limitação é especialmente importante em 5.8GHz, onde amaior potência poderia compensar a perda de propagação relacionada com o espectro emfreqüências mais altas. Nas faixas de freqüência mais altas existem limitações quanto ainterferências pela chuva, causando diminuição de taxas de transferências e dos raios decobertura.(ALVES, 2008)

2.10.1.2 3G

3G é a terceira geração de padrões e tecnologias de telefonia móvel, substituindo o2G. É baseado na família de normas da União Internacional de Telecomunicações (UIT)permitindo às operadoras oferecerem a seus usuários uma ampla gama dos mais avançadosserviços, já que possuem uma capacidade de rede maior por causa de uma melhora naeficência espectral. Entre os serviços, há a telefonia por voz e a transmissão de dadosa longas distâncias, tudo em um ambiente móvel. Normalmente, são fornecidos serviçoscom taxas de 5 a 10 Megabits por segundo. Ao contrário das redes definidas pelo padrãoIEEE 802.11, as redes 3G permitem telefonia móvel de longo alcance e evoluíram paraincorporar redes de acesso à Internet em alta velocidade e Vídeo-telefonia. As redes IEEE802.11 (mais conhecidas como Wi-Fi ou WLAN) são de curto alcance e ampla largura debanda e foram originalmente desenvolvidas para redes de dados, além de não possuíremmuita preocupação quanto ao consumo de energia, aspecto fundamental para aparelhosque possuem pouca carga de bateria. Na Ásia, na Europa, no Canadá e nos EstadosUnidos, as empresas de comunicações utilizam a tecnologia W-CDMA, com cerca de 100terminais designados para operar as redes 3G. A implantação das redes 3G foi tardia emalguns países devido a enormes custos adicionais para licenciamento. Em muitos países,


as redes 3G não usam as mesmas freqüências de rádio que as 2G, fazendo com que asoperadoras tenham que construir redes completamente novas e licenciar novas freqüências;uma exceção são os Estados Unidos em que as empresas operam serviços 3G na mesmafreqüência que outros serviços.(LARGA, 2010)

2.10.2 Cat5e

O Cat5e suporta até 1gbps de transmissão de dados, cada um de seus pares tran-çados podem trabalhar no máximo em transmissão e recepção de até 250mbps, casotrabalhem na condição de Tx/Rx e seus receptores suportem a mesma condição. O Cat5etrabalha geralmente na taxa de 100mbps.

Uma de suas melhores características é a maleabilidade que este cabo possui,facilitando a instalação, é um bom cabo em relação custo x benefício devido ao seu custoser relativamente baixo. (MüLLER, 2010)

2.10.3 Cat6

Esta categoria de cabos foi originalmente desenvolvida para ser usada no padrãoGigabit Ethernet, mas com o desenvolvimento do padrão para cabos categoria 5 sua ado-ção acabou sendo retardada, já que, embora os cabos categoria 6 ofereçam uma qualidadesuperior, o alcance continua sendo de apenas 100 metros, de forma que, embora a melhorqualidade dos cabos cat 6 seja sempre desejável, acaba não existindo muito ganho naprática.

Os cabos categoria 6 utilizam especificações ainda mais estritas que os de categoria5e e suportam frequências de até 250 MHz. O Cat6 trabalha com a taxa de 1gbps ondedois de seus pares trabalham como receptores (Rx) e outros dois pares trabalham comtransmissores (Tx), cada par trançado do Cat6 tem capacidade de taxa de 500mbps, ouseja, 500mbps x 2 para recepção e 500mbps x 2 para transmissão. O Cat6 requer eletrônicasimples para cada receptor em cada extremidade, ele possui um conduíte interno o quetira um pouco sua maleabilidade, é um cabo com maior diâmetro assim dificultandoinstalações quando muitos cabos são utilizados. (MüLLER, 2010)

2.10.4 Cat6a

A categoria 6 aprimorada (6e) é uma especificação aumentada projetada paraduplicar a frequência de transmissão para 500 MHz. Envolvendo a categoria 6e em umafolha de blindagem aterrada, velocidades de Ethernet de 10 Gigabit podem ser alcançadassem a necessidade de sacrificar o comprimento máximo do cabo que é de 100 metros.(XAVIER, 2010)


2.10.5 Fibras ópticas multimodo, monomodo

A transmissão da luz pela fibra segue um princípio único, independentemente domaterial usado ou da aplicação: é lançado um feixe de luz numa extremidade da fibra e,pelas características óticas do meio (fibra), esse feixe percorre a fibra por meio de reflexõessucessivas.

A fibra possui no mínimo duas camadas: o núcleo (filamento de vidro) e o re-vestimento (material eletricamente isolante). Há dois tipos de fibras no mercado hoje,monomodo e multimodo. (JUNIOR, 2010)

2.10.5.1 Fibra Monomodo

As fibras Monomodo possuem um núcleo de diâmetro finíssimo (muito menor queos das fibras Multimodo) e também possuem um único modo de propagação com a luzpercorrendo o interior da fibra por um único caminho, isto é um único modo.

Como as fibras Monomodo superam as capacidades de transmissão das fibras Mul-timodo, esse tipo de fibra é largamente utilizado em comunicações de médias e longasdistâncias. Os enlaces com fibras monomodo, geralmente, ultrapassam 50 km entre os re-petidores Também se diferenciam pela variação do índice de refração do núcleo em relaçãoà casca, e se classificam em: “Single Mode (SM – G.652 ITU-T): Sofre com grande disper-são cromática. No entanto, como essa fibra tem um núcleo maior do que os novos tipos defibra óptica, seu uso é bom em sistemas que requerem grande capacidade de comprimentosde onda. Dispersion Shifted (DS – G.653 ITU-T): Fibra sem dispersão. Pensava-se queseria boa para ser usada em sistemas WDM e SDH de alta capacidade. Porém, com ocrescimento da quantidade de comprimentos de onda, constatou-se que ela sofre efeitosde mistura de quatro ondas, o que restringiu seu uso em sistemas de WDM. Non ZeroDispersion (NZD – G.655 ITU-T): Fibra com dispersão baixa, mas não nula. Foi criadapara servir de meio termo entre os dois tipos de fibra anteriores. Para diminuir a dispersãocromática, o núcleo da fibra foi reduzido. Essa redução impede seu uso em sistemas commuitos comprimentos de onda. Low Water Peak (LWP – G.652D ITU-T): é tipo de fibraonde os processos de fabricação eliminaram a contaminação por íons hidroxila, permitindoque a utilização dos comprimentos de onda ao redor de 1400nm.” (MADEIRA, 2013)

2.10.5.2 Fibras Multimodo

As fibras do tipo multímodo normalmente possuem o diâmetro do núcleo maior doque as fibras do tipo monomodo. Assim, o núcleo permite que a luz tenha vários modosde propagação, percorrendo o interior da fibra por vários caminhos. As fibras do tipomultimodo ainda podem ser classificadas em fibras de Índice Degrau e Índice gradual,sendo esta classificação decorrente da variação do índice de refração entre o núcleo e acasca. Índice Degrau As fibras de Índice Degrau, de fabricação mais simples, possuem um


núcleo composto por um material homogêneo de índice de refração constante e sempresuperior ao da casca. Sendo assim possuem características inferiores aos outros tipos defibras, pois a banda passante é muito estreita, restringindo a capacidade de transmissãoda fibra devido às perdas sofridas pelo sinal transmitido e reduzindo suas aplicações comrelação à distância e à capacidade de transmissão. Atualmente são pouco usadas emtelecomunicações e aplicações de comunicação de dados. Índice Gradual São fibras maisutilizadas que as de índice degrau, sendo sua fabricação bem mais complexa. As fibras deÍndice Degrau possuem um núcleo composto por vidros especiais com diferentes valoresde refração, cujo objetivo é diminuir os tempos de propagação da luz no núcleo da fibra,já que os raios de luz podem percorrer diferentes caminhos, com velocidades diferentese chegar ao mesmo tempo à outra extremidade da fibra. Os resultados são a redução dadispersão, aumento da banda passante e como consequência um aumento da capacidadede transmissão da fibra. (MADEIRA, 2013)

2.11 Segmentação da redeA segmentação pode ser definida como a divisão de uma rede em redes menores

(segmentos), em que a comunicação entre estas é feita através de um elemento de interliga-ção de redes como Ponte ou Roteador. A interligação dos segmentos deverá fazer com quecada um deles se comporte como uma rede independente, permitindo, porém, a comunica-ção entre estações de qualquer um dos segmentos interligados, dependendo do protocoloutilizado, pois existem protocolos não roteáveis, ou seja, protocolos que não permitema passagem de mensagens entre os segmentos interligados. Deve-se ter em mente que oprocesso de segmentação de uma rede não será exclusividade de redes com um grande nú-mero de estações – acima de 500, por exemplo. Segmentações podem ser implementadasem pequenas redes, onde possam se encontrar as seguintes

Situações:

Grande Demanda de Dados pelos Usuários; Em redes Ethernet que tenham umacarga muito grande de dados a transferir com grande frequência, fazem com que o tempode espera de chegada do dado para o usuário seja maior, devido ao provável grande númerode colisões, que são característicos dessa arquitetura de rede.

Grupos de Trabalho com Características Específicas; Em uma mesma rede podemconviver elementos que necessitem de grande carga de transferência de dados e elementosque esporadicamente utilizem os recursos da rede, fazendo com que o administrador optepelo aumento da velocidade em apenas um grupo, o de maior demanda, processo esse queseria facilmente resolvido com o uso da segmentação.(PINHEIRO, 2012)


2.11.1 DMZ

DMZ, em segurança da informação, é a sigla para de DeMilitarized Zone ou "zonadesmilitarizada", em português. Também conhecida como Rede de Perímetro, a DMZ éuma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entrea rede local e a Internet.

A função de uma DMZ é manter todos os serviços que possuem acesso externo(tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local,limitando assim o potencial dano em caso de comprometimento de algum destes serviçospor um invasor. Para atingir este objetivo os computadores presentes em uma DMZ nãodevem conter nenhuma forma de acesso à rede local.

A configuração é realizada através do uso de equipamentos de Firewall, que vãorealizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um modelo ge-nérico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podemestar em um switch dedicado ou compartilhar um switch da rede, porém neste último casodevem ser configuradas Redes Virtuais distintas dentro do equipamento, também chama-das de VLANs (Ou seja, redes diferentes que não se "enxergam"dentro de uma mesmarede - LAN).

2.11.2 MZ

Está é a zona onde são segmentadas as aplicações mais críticas, portanto devemser resguardadas com maior nível de segurança. Bancos de Dados, Applications Serverssem conexão com a Internet devem ser implantados na zona militarizada.

2.11.3 SAN

Os storage networks, ou redes de armazenamento, diferenciam-se de outras formasde armazenamento em rede pelo método de acesso em baixo nível que eles apresentam. Otráfego de dados nessas redes é bastante similar aqueles usados internamente em discos,como ATA e SCSI.

Em uma rede de armazenamento, o servidor envia pedidos por blocos específicosou segmentos de dados de discos específicos. Esse método é conhecido como block storage(armazenamento de blocos). O dispositivo age similarmente a um drive interno, acessandoo bloco específico e enviando a resposta através da rede.

Em alguns métodos de acessos de arquivos mais tradicionais, como SMB/CIFSou NFS, o servidor envia pedidos para um arquivo abstrato como o componente de umgrande sistema de arquivos, gerenciados por um computador intermediário. O intermediá-rio, então, determina o local físico do tal arquivo abstrato, obtém acesso a um dos drives


internos e, por fim, envia o arquivo completo pela rede.

(MORIMOTO, 2007)

2.11.4 NAS

Um NAS (Network Attached Storage), roda um sistema operacional completo efunciona como um servidor de arquivos, ligado diretamente na rede.

Existem muitas opções de NAS, que vão desde sistemas baratos, que custam poucomais que uma gaveta USB, até equipamentos caros, que utilizam um grande número deHDs. Os modelos mais baratos comportam apenas um ou dois HDs e oferecem apenasfunções básicas.

Alguns modelos incluem também um transmissor wireless ou disponibilizam umaporta USB, o que permite que sejam ligados ao PC diretamente e sejam usados como umDAS. Modelos intermediários suportam em sua maioria 4 drives e modelos high-end ouracks para uso em datacenters suportam muitas vezes 8 drives ou mais. (MORIMOTO,2007)

40

3 Projeto de Redes

3.1 Projeto de RedesUm projeto de redes de computadores é um estudo detalhado, destinado a im-

plantação de uma rede de computadores que possa satisfazer as necessidades de alguém(pessoa física ou jurídica), sendo o compartilhamento de informações e recursos o objetivomais comum.

Dependendo da natureza do projeto, ele deverá atender não só as expectativas dopresente, mas também estar adequado para as mudanças no futuro, isto é, ser “modular”de forma a permitir o crescimento da rede, conforme o surgimento de novas necessidades,sem prejudicar o atual estado de sua funcionalidade.

São vários os detalhes envolvidos em um projeto de redes de computadores. Parase ter uma ideia, podemos destacar alguns exemplos:

Coleta de informações: Deverá ser feita de acordo com os requisitos do cliente;

Projeto lógico da rede: É o planejamento de todos os detalhes da rede que será im-plantada e utilizada. Exemplo: topologia da rede (estrutura), esquema de endereçamento,protocolos (regras padronizadas), softwares a serem utilizados, segurança e gerência;

Projeto físico da rede: É a seleção de tecnologias e dispositivos a serem usados.Exemplo: placas de rede, cabos, hubs, switches, roteadores, computadores, impressoras,etc.;

Testes e análise do projeto (considerando imprevistos);

Realização de ajustes e melhorias no projeto;

Custo do projeto (de modo a atender o melhor custo-benefício);

Documentação do projeto;

Treinamento de pessoal.

OBS: O projeto deve seguir o “Sistema de Cabeamento Estruturado” que é apadronização do cabeamento, envolvendo normas técnicas, de modo a facilitar o uso emanutenção da rede com seus meios de transmissão integrados (voz, dados, multimídia,etc). (MORIMOTO, 2008)

Capítulo 3. Projeto de Redes 41

3.2 Cabeamento estruturadoO sistema de cabeamento estruturado que tem como objetivo criar uma padro-

nização do cabeamento dentro de edificações comerciais e residenciais, independente dasaplicações. Este sistema em harmonia com o sistema elétrico de uma residência ou prédiocomercial, proporciona ao usuário a utilização de computadores, telefones, câmeras devídeo de maneira organizada e muito confiável. (MICROLAN, 2008)

Atualmente o cabeamento estruturado baseia-se em normas internacionais, quedirecionam os fabricantes para certo conjunto de soluções próximas, evitando as constantesalterações de produtos, bem como evitam sistemas “proprietários”, onde um só fabricanteé detentor da tecnologia.

No Brasil a norma americana é EIA/TIA-568, é a mais usada e a nível internaci-onal temos a ISO/OSI e na Europa grande parte dos fabricantes utiliza o sistema IBCS.As variações que existem entre uma e outra deve-se mais às categorizações e conceitos,porém tecnicamente se assemelham e vão no sentido de uma arquitetura aberta, indepen-dente de protocolo. Desta forma as novas tendências se desenvolvem já considerando estecabeamento, como é o caso do 100BaseT, do ATM e outros. (MORIMOTO, 2011)

Justamente devido às altas frequências em que o cabeamento deve operar, as con-dições físicas da instalação do cabeamento atingiram um alto grau de especialidade, queexige um projeto detalhado e com alto grau de planejamento. Em uma instalação comcabeamento estruturado não se utiliza, por exemplo, ligar diretamente um PC ao HUB.O que a norma prescreve é deixar preparado um cabeamento entre o patch panel (Figura3), e uma tomada RJ 45 (Figura 2). Na tomada RJ 45 pode-se ligar, ou não, um micro,naquele ponto ou um telefone, ou um sensor, ou um vídeo, ou um CFTV e etc. Por suavez no patch panel é conectado o equipamento ativo (HUB, Switch, central telefônica,CLP, head-end, etc). O sistema de cabeamento, portanto deve ser aberto e independente.Isto barateia e dá agilidade a todo o sistema, concentrando diversas redes em uma só.

Em matéria de cabos, os mais utilizados são os cabos de par trançado e os cabosde fibra óptica. Cada categoria tem suas próprias vantagens e limitações, sendo maisadequado para um tipo específico de rede. Os cabos de par trançado são os mais usados,pois tem um melhor custo benefício, ele pode ser comprado pronto em lojas de informática,ou feito sob medida, ou ainda produzido pelo próprio usuário Os cabos de fibra ópticapermitem transmissões de dados a velocidades muito maiores e são completamente imunesa qualquer tipo de interferência eletromagnética, porém, são muito mais caros e difíceisde instalar, demandando equipamentos mais caros e mão de obra mais especializada.

Com a migração das tecnologias de rede para padrões de maiores velocidades comoATM, Gigabit Ethernet e 10 Gigabit Ethernet, o uso de fibras ópticas vem ganhando forçatambém nas redes locais. Existem dois tipos de fibras ópticas: As fibras multímodo e as


monomodo. A escolha de um desses tipos dependera da aplicação da fibra. As fibras mul-tímodo são mais utilizadas em aplicações de rede locais (LAN), enquanto as monomodosão mais utilizadas para aplicações de rede de longa distância (WAN). São mais caras,mas também mais eficientes que as multímodo.

Um cuidado especial deve ser tomado relativamente à certificação do cabeamento.As normas definem uma série de parâmetros para o cabeamento, tais como atenuação,comprimento real, mapeamento dos fios, paradiafonia, nível de ruído, que necessariamentedevem estar dentro de uma faixa de valores pré-definidos. A verificação destes valores équestão fundamental em um cabeamento, e deve ser feito com equipamentos especiais. Éa garantia da instalação.

Atualmente, cerca de 70 por cento dos problemas que acontecem em uma rede decomputação devem-se a problemas do cabeamento. “Os softwares costumam passar poruma evolução a cada 2 ou 3 anos, e de acordo com pesquisas, o hardware do seu PCgeralmente tem uma vida útil de 5 anos. No entanto, você terá que viver 15 anos ou maiscom seu cabeamento de rede”.

(MORIMOTO, 2011)

3.2.1 Funcionalidade

Funcionalidade diz respeito à facilidade com a qual usuários acessam os serviçosvia rede, enquanto a gerenciabilidade melhora a vida do gerente de rede, a usabilidadefoca o usuário final. Melhorar a usabilidade significa avaliar:

Os impactos da política de segurança na facilidade de uso;

A facilidade com a qual a rede é configurada (usando DHCP, por exemplo);

A facilidade com a qual a rede corporativa é usada remotamente (usando VPN,por exemplo);

A facilidade com a qual um usuário móvel pode se integrar à rede em vários pontos(sede, filiais, ...). (SAUVé, 2013)

3.2.2 Capacidade de rede

O projeto de uma rede utilizando cabeamento estruturado não é elaborado apenaspara atender aos padrões atuais, mas, também, para que esteja de conformidade comas tecnologias futuras, além de proporcionar uma grande flexibilidade para alterações eexpansões da infraestrutura a qualquer momento.

No caso específico dos Sistemas de Cabeamento Estruturado utilizando cabos me-tálicos, estes são classificados pelas especificações de desempenho existentes na forma de"categorias"(categoria 3, categoria 4, categoria 5e, etc). Quanto mais alta a categoria, mais


exigentes são os limites das especificações, pois maior será o volume de informações queserá transportado por estes sistemas. Por esse motivo existem valores limites para cadauma dessas categorias, que devem ser atendidos quando os produtos que compõem umadeterminada solução são testados. Se os valores são atendidos, o produto é classificadoconforme aquela categoria correspondente.

O Throughput pode ser definido como a capacidade total de um canal em processare transmitir dados durante um determinado período de tempo. O termo "canal"é normal-mente encontrado nas normas técnicas representando o meio de transmissão fim-a-fimentre dois pontos no qual existem conectados equipamentos de aplicações específicas.

Na prática, um canal é afetado por inúmeros fatores que diminuem sua capacidadede processar e transmitir. Para os sistemas de comunicação, e em particular o cabeamentode redes locais, esses meios podem ser projetados de maneira a compensar tais fatores.

Um throughput adequado é essencial para transmitir grandes quantidades de dadoscom poucos erros. Por exemplo, a transmissão de streaming de vídeo sobre redes locais éuma aplicação em tempo real muito crítica quando se fala de taxa de erros.

A BER – Bit Error Rate é a razão do número de bits incorretos recebidos pelonúmero de bits transmitidos. A medida clássica do BER é feita transmitindo um bitpadrão conhecido e comparando este com um bit padrão recebido, ou então, comparando-se o bit transmitido com o bit recebido, numa medição direta. Em qualquer aplicação,altas taxas de BER representam performance insatisfatória. A necessidade de minimizaros erros para maximizar o throughput é crítica em aplicações de alta taxa de transmissãoe, especificamente em transmissão de dados, altas taxas de BER simbolizam redes maislentas em função das retransmissões de sinal.

Para garantir a performance de uma rede local, as normas definem os parâmetrosde desempenho que os sistemas de cabeamento devem atender para assegurar o bomfuncionamento das aplicações como a resistência ôhmica do cabeamento, impedância deconectores, os comprimentos máximos para os lances de cabo, etc. Entretanto, algunsfatores afetam negativamente o throughput da rede e, consequentemente a BER. Entreesses fatores destacam-se:

Atenuação: representa a perda de potência que o sinal sofre ao longo do percursoentre o transmissor e o receptor (expressa em dB). Na recepção. A atenuação aumentadiretamente com o comprimento do cabo. Ela é medida em dB, e se tratando de perda desinal, é expressa em valor negativo. Um decréscimo de potência de 3 dB entre a entradae a saída significa que a saída possui a metade da potência do sinal de entrada;

Crosstalk ou Diafonia: A palavra "crosstalk"originou-se da telefonia, sendo estefenômeno compreendido através da comparação com o efeito da diafonia, onde determi-nada pessoa falando ao telefone ouve conversações de terceiros (também conhecido como


"linha cruzada"). É a medida da interferência elétrica gerada em um par pelo sinal queestá trafegando num par adjacente dentro do mesmo cabo (expressa em dB);

Delay Skew ou Atraso de Propagação: é a medida de quanto tempo o sinal levapara viajar de uma extremidade a outra do link (entre o transmissor e o receptor, expressoem ns);

Perda de Retorno ou RL (Return Loss): é a medida da taxa de potência refletidano sistema (expressa em dB), que simplesmente pode ser definida como a quantidade desinal que retorna devido ao descasamento de impedância da carga acoplada no final docabo. Existem várias possibilidades de falhas devido à Perda por Retorno, como a variaçãona impedância do comprimento do cabo numa conexão cruzada, práticas de instalaçãoincorretas, cabos e conectores usados indevidamente, entre outros. Normalmente, a Perdade Retorno do canal é apontada como a principal responsável pelo aumento nos valoresda taxa de BER. Embora a perda de retorno seja um dos fatores que afeta a performancedo canal, o crosstalk torna-se muito mais crítico, pois, como o efeito da interferência de"linha cruzada"ocorre com maior intensidade nas terminações dos cabos (onde é feito oponto de conexão), pode prejudicar o desempenho de todos os recursos da rede, com umaalta taxa de BER. (PINHEIRO, 2004)

3.2.3 Tecnologias utilizadas

Na construção se uma rede de computadores a aplicação de muitas tecnologias énecessária para se chegar a um ambiente que responda à todos requisitos de padronização,desempenho, disponibilidade e segurança.

Há tecnologias em hardware e software que possibilitam a moldagem de rede comonecessário. Essas podem ser tecnologias proprietárias ou opensouces, e a escolha de umaou outra deve - se dar pela análise de custo e benefício para o projeto.

Ao se aplicar uma solução em primeiro lugar devemos observar se ela condiz coma arquitetura à que será inserida, se é escalável e mantém os padrões da infraestrutura.

Protocolos, softwares, hardwares e peoplewares precisam conversar de forma clara,para isso os padrões estabelecidos no mercado trabalham conectando as tecnologias.(UFCG, 2012)

3.2.4 Equipamentos utilizados

Em uma rede há vários equipamentos, atuando em camadas diferentes do modeloOSI, que possibilitam a comunicação, dentre os principais podemos citar:

∙ GateWay: É uma passagem constituída de hardware e software, um “portão” (gate)que uma rede utiliza para se comunicar com outra rede que tem arquitetura dife-


rente. O Gateway realiza as conversões de protocolos para que as redes possam seentender. Em uma rede local (LAN) ele pode ser usado, por exemplo, para conectaros computadores da rede a um mainframe ou à Internet.

∙ Roteador: É um dispositivo utilizado para gerenciar a transferência de dados entreduas redes de computadores. É o roteador que escolhe o melhor caminho para quea informação chegue ao destino. Geralmente são usados para ligar uma LAN (LocalArea Network – rede local) a uma WAN (Wide Area Network – rede de longadistância).

∙ Firewall: O Firewall é um complexo de hardware e software necessários para filtraro tráfego, ou seja, barrar dados inconvenientes entre duas redes. Ele monitora asmilhares de portas usadas na comunicação dos aplicativos e funciona como umaparede (wall). Alguns firewalls simples são o Norton Personal Firewall da Symantece o ZoneAlarm Pro da Zone Labs.

∙ Hub x Switch: o Hub é recomendado para redes cliente-servidor e em uma configu-ração estrela, como concentrador, ele funciona desta maneira: O Hub transmite asinformações que chegam para todas as estações conectadas a ele. As estações podemtransmitir informações para o Hub, mas só deve acontecer uma transmissão de cadavez.

∙ O Switch tem melhor performance que o Hub, porém é mais caro. É recomendadopara redes com grande tráfego ponto-a-ponto (peer-to-peer) pois o Switch transmitecada pacote de dados diretamente para o destinatário, uma estação específica;

(BABOO, 2013)

3.2.5 Disponibilidade

Disponibilidade refere-se ao percentual de tempo que a rede está disponível. Éfrequentemente um objetivo crucial do cliente.

Exemplo: Se uma rede deve ficar 24 horas no ar e para 3 horas numa semana de 168horas, a disponibilidade é de 98,21 por cento, isso é um valor normalmente consideradomuito ruim

Disponibilidade é diferente de confiabilidade, confiabilidade inclui acurácia, taxasde erro, estabilidade, etc. A recuperabilidade (habilidade de recuperar rapidamente apósuma falha) é um dos aspectos da disponibilidade Outro aspecto da disponibilidade é arecuperação após um desastre que envolve:

Onde ter cópias de backup dos dados.

Como chavear processos para acessar o backup.


Especificação de 95 por cento só serve para testes ou protótipos. A maioria dossistemas opera por volta de 99,95. 5 minutos de downtime por semana permitem algunstransientes ou uma parada um pouco maior por mês,

99,98 por cento são desejáveis para muitos sistemas de missão crítica,

99,99 por cento é o limite da tecnologia atualmente. Até 99,9 por cento, a dispo-nibilidade é baixa, acima disso, é considerada alta (requer cuidados especiais) Na figuraabaixo mostramos a os níveis de downtime.

Figura 3 – Tabela de downtime. Fonte: Smolka et catervarii J. R. Smolka 2011

O custo do tempo parado é medido por quanto dinheiro a empresa perde por horade downtime. Para aplicações com alto custo de downtime, pode-se mais útil especificara disponibilidade com dois números em vez de um só:

∙ Mean Time Between Failures (MTBF) Também chamado de Mean Time BetweenService Outage (MTBSO), já que uma rede é um serviço e não um componente

∙ Mean Time To Repair (MTTR)

A disponibilidade é calculada pela fórmula: MTBF/(MTBF+MTTR)

Exemplo: MTBF de 4000 horas e MTTR de 1 hora (um valor típico) => 99,98por cento Um MTTR muito baixo indica que providências especiais deverão ser tomadasExemplos: peças de reposição, técnico residente, etc.

(SAUVé, 2013)


3.2.6 Desempenho

O desempenho da rede relaciona-se diretamente à velocidade da rede. Já o desem-penho das aplicações relaciona-se à velocidade das aplicações, como é visto pelo usuáriofinal, e depende, também, da rede, do servidor, do cliente, e da aplicação. O desempenhoda rede é uma preocupação central, especialmente porque a rede é geralmente responsa-bilizada pela maioria dos problemas de desempenho.

Essencial a uma gerência de desempenho eficaz é a determinação de quando osatrasos ocorrem e onde estes se encontram realmente, de modo que as ações corretivaspossam ser feitas. Por exemplo, uma rede que escoe o tráfego rapidamente pode ser vistacomo "lenta "se o servidor for subdimensionado ou estiver suportando demasiados usuários.Por outro lado, um servidor finamente ajustado pode não apresentar nenhum impactopositivo na performance caso haja atrasos excessivos na rede.

A medição de desempenho torna-se mais difícil ao passo que as aplicações se tornamcada vez mais complexas.

Os principais parâmetros utilizados para a avaliação do desempenho de redes,conceituando-os de maneira criteriosa a fim de que se possa diagnosticar eventuais defici-ências de produtividade mais precisamente:

∙ LARGURA DE FAIXA: Uma medida da capacidade de um link de comunicações.Por exemplo, um link T1 (Técnica chamada Multiplexação por Divisão do Tempo(TDM)) tem uma largura de faixa de 1,544 Mbps. É usada também para medir acapacidade atribuída a um serviço através de um link; por exemplo, uma entrada devídeo através de um link T1 pode ter uma largura de faixa atribuída de 384 Kbps.

∙ LINHA DE BASE (BASE LINE): Uma medida do comportamento "normal". Muitasredes experimentam "picos de tráfego "em vários momentos relacionados a operaçõesde negócios fundamentais - acesso de correio eletrônico e outros recursos. Uma linhade base é útil para distinguir um dia "ruim ", ou uma anomalia aleatória, dos dias"normais".

∙ CONGESTIONAMENTO: O congestionamento ocorre em função de cargas maiselevadas, indicando à rede ou a um dispositivo que este está alcançando, ou excedeu,sua capacidade. O congestionamento conduz primeiramente a um rápido crescimentoda latência e, então, à perda dos dados se a situação não for corrigida. Os atrasosenfileirando-se com os pacotes que esperam para ir são uma indicação de problemaspossíveis de latência.

∙ LATÊNCIA: Uma medida do atraso de uma extremidade de uma rede, de um link,ou de um dispositivo a outra. Uma latência mais elevada indica atrasos mais longos.A latência nunca pode ser eliminada inteiramente, e é usada como uma medida


do desempenho da rede. Como a utilização, a latência pode variar em função dacarga imposta à rede. Um portador pode mudar sua latência da rede alterando seuscircuitos virtuais de modo que estes usem links mais lentos ou incorporem mais"hops". Cada vez que uma célula ou pacote é retransmitido, ele é submetido a um"hop"(salto). O rastreamento da latência de uma rede é essencial.

∙ DISPARO (THRESHOLD): Um valor que é ajustado para advertir o sistema degerência quando a utilização, a latência, ou o congestionamento excederem limitescríticos. O disparo é ajustado nos agentes de gerência que medem o comportamentoreal das redes e dos links. Por exemplo, um administrador pode ajustar um disparode 50 por cento da utilização em um link da rede, de modo que haja tempo deresponder aos volumes de tráfego crescentes.

∙ UTILIZAÇÃO: Uma medida de quanto da capacidade está sendo usado realmenteem algum ponto. Se um link T1 comporta 924 Kbps, este tem uma utilização de 60por cento nesse intervalo particular do tempo. A utilização varia de acordo com ascargas reais do tráfego e com o intervalo de tempo do qual é calculada a média. Étambém uma medida da carga do processador central nos servidores e nos clientes.

(AVALLE, 2011)

3.2.7 Escalabilidade

Escalabilidade refere-se a quanto crescimento um projeto de rede deve suportar.É um objetivo primário de quase todo projeto de rede, adicionam-se usuários, aplicações,sites e conexões de rede a um ritmo veloz por isso deve haver um planejando para aexpansão.

É necessário descobrir qual é o crescimento planejado para a rede no próximo anoe nos próximos 2 anos. Conhecer o negócio e suas particularidades para fazer uma cálculode expansão é o ponto de partida.

Dentro do escopo de escalabilidade devemos pensar em conectar redes departa-mentais na rede corporativa, resolver gargalos surgindo como resultado do maior tráfegoentre redes, prover servidores centralizados numa server farm (Um grupo de computado-res servidores, normalmente mantidos por uma empresa ou universidade para executartarefas que vão além da capacidade de uma só máquina corrente), adicionar novos sitespara dar suporte a filiais e a funcionários que trabalham em casa, adicionar novos sitespara dar suporte a parceiros, fornecedores, grandes clientes.

E algumas restrições da escalabilidade também devem ser consideradas. Ao pensarsobre escalabilidade, certas tecnologias de rede não são inerentemente escaláveis. Exemplo:


redes com endereçamento plano (redes de camada 2 envolvendo hubs, pontes e switchessimples), redes que suportam serviços baseados em broadcast. (UFCG, 2013)

3.2.8 Subsistemas do cabeamento estruturado

Um sistema de cabeamento estruturado consiste de um conjunto de produtos deconectividade empregado de acordo com regras específicas de engenharia cujas caracte-rísticas principais são:

∙ Arquitetura aberta

∙ Meio de transmissão e disposição física padronizados

∙ Aderência a padrões internacionais

∙ Projeto e instalação sistematizados

∙ Fácil administração e controle do sistema de cabeamento

Esse sistema integra diversos meios de transmissão (cabos metálicos, fibra ótica,rádio, etc) que suportam múltiplas aplicações incluindo voz, vídeo, dados, sinalização econtrole. Os produtos utilizados asseguram conectividade máxima para os dispositivosexistentes e preparam a infraestrutura para as tecnologias emergentes.

O cabeamento estruturado foi dividido em seis subsistemas:

∙ Cabeamento Horizontal (Horizontal Cabling): Compreendido pelas conexões da salade telecomunicações até a área de trabalho.

∙ Cabeamento Backbone (Backbone Distribution): Esse nível realiza a interligaçãoentre os TRs, salas de equipamentos e pontos de entrada. Ele é principalmenteconstituído dos cabos de backbone e cross-conections intermediário e principal, cabosde conexão, conexão entre pavimentos e cabos entre prédios (campus backbone).

∙ Área de Trabalho (Work Area – WA): Local físico onde o usuário trabalha com osequipamentos de comunicação. O nível é construído pelos PCs, telefones, etc., cabosde ligação e eventuais adaptadores.

∙ Sala de Telecomunicações (Telecommunications Room – TR): É o espaço destinadopara a acomodação de equipamentos, terminação e manobras de cabos. É o pontodesconexão entre o backbone e o cabeamento horizontal. Os cross-conects são alo-jados nos TRs, podendo ou não possuir elementos ativos.

∙ Sala de Equipamentos (Equipment Room): Local onde são abrigados os principaisequipamentos ativos da rede, como PABX, servidores, switches, hubs, roteadores,


etc. Nesse local, costuma-se instalar o principal painel de manobras ou main cross-connect, composto de patch panels, blocos 110 ou distribuidores óticos.

∙ Entrada do Edifício (Entrance Facility – EF): É o ponto onde é realizado a inter-ligação entre o cabeamento externo e o intra-edifício dos serviços disponibilizados(entrada da LP e PABX por exemplo).

(AVALLE, 2013)

Parte II

Planejamento da solução de TI


Cenário Proposto:

∙ Matriz situada em Curitiba, Paraná.

∙ Filial sul: Situada em Porto alegre,Rio Grande do Sul.

∙ Filial norte: Situada em Palmas, Tocantins.

∙ Filial nordeste: Situada em Salvador, Bahia.

∙ Fillial sudeste: Situada em São Paulo, capital.

20 unidades de negócio com 2 laptops em cada uma. Estarão situadas em:

∙ 3 unidades em Maringá-PR.

∙ 3 unidades em Porto Alegre-RS.

∙ 3 unidades em São Paulo-SP.

∙ 3 unidades em Salvador-BA.

∙ 3 unidades em Palmas-TO.

∙ 3 unidades em Recife-PE.

∙ 2 unidades em Rio janeiro-RJ.

53

4 Escopo do projeto

Normas e Padrões:

O projeto tem como base as normas e padrões abaixo especificadas:

∙ NBR 14565;

∙ Família ISO 27000;

∙ TIA 942.

Esse projeto tem por finalidade a implantação do datacenter e o cabeamento es-truturado da matriz da empresa Lumitex, também a integração das filiais com a matriz eescritório regionais, a definição da política de segurança e definição do gerenciamento deativos e aplicações.

Objetivos de negócio da Empresa Lumitex são em ordem de prioridade; ampliar acapacidade de atendimento nos setores críticos de negócio prevendo grande expansão declientes para o próximo ano. Cumprir com o compromisso de sigilo e segurança dos dadosmanipulados pela Lumitex, honrando o compromisso com os clientes, usuários e empresasparceiras e consolidar-se como uma das maiores empresas no setor. Para sucesso do projetoé necessário que a rede mantenha os requisitos de negócio implícitos nos objetivos técnicos.

Tratando – se de uma empresa de grande porte que atua a nível nacional, de-pendendo de muitas aplicações para manter seu negócio principal, o risco decorrente daperda temporária dos serviços afetam diretamente as atividades geradoras de renda paraa organização, sendo os setores críticos o Financeiro e o Call Center, que são tambémgeradores da maior demanda de banda da rede.

Não faz parte do escopo do projeto a cotação das área de trabalho e telefonia.

Na matriz, estarão localizados todos os aplicativos e serviços necessários ao negó-cio. A Integração da rede deve garantir a continuidade dos serviços.

Não é do escopo do projeto atualizar as LANS locais das filiais, nem atender aosusuários que acessem os sistemas fora da rede.

A integração com as filiais deve atender os requisitos de cada localidade, mantendoos padrões estabelecidos para o trafego dos dados neste projetos.

Afim de manter os padrões das normas internacionais em todo o projeto, a escolhado local para implantação da matriz ficou definida por um terreno na cidade de Curitiba,de 2344.00 m2, que possibilita a divisão bem planejada de todas as áreas que fazem partedo complexo de produção e administração da matriz e também da unidade do datacenter.

Capítulo 4. Escopo do projeto 54

O datacenter deve ser projetado para suprir a possibilidade de atendimento a sitesexternos que venham se integrar a rede nos próximos 3 anos. A possibilidade de associaralguns setores a sistemas integradores com parceiros e clientes é uma prerrogativa, dadoo aspectos que o setor apresenta e seguindo as tendências da TI como geradora de dados,catalizadora de indicadores e ferramenta de apoio a tomada de decisão.

Não faz parte do escopo deste projeto a elaboração das SLAs para cumprir asnecessidades de contratos com empresas prestadoras de serviço.

A solução de integração de voz será estudada para acompanhar as tecnologias dedados aplicadas no projeto.

4.1 FuncionalidadeTratando-se de uma empresa de grande porte, que depende de muitas aplicações

para manter seu negócio principal, o risco decorrente da perda temporária dos serviçosafetam diretamente as atividades geradoras de renda para a organização, sendo os setorescríticos o Financeiro, o Call Center, que são também geradores da maior demanda debanda da rede.

Para atender as necessidades de disponibilidade e segurança do dados da empresa,que tem como critérios suporte ao sistema ERP, banco de dados e atividade de Call center,e CRM (Customer Relationship Management) há a necessidade de que os equipamentosmantenham - se ligados nas horas de expediente tradicionais, permitindo o desligamentode sistema durante o período em que não há atividades da produção.

As aplicações e serviços devem estar acessíveis nos períodos de expediente, e emcaso de parada deve ser restaurada em tempo de não afetar as atividades críticas.

As aplicações que devem ser atendidas nesse escopo, assim como os serviços quelhes dão suporte também devem ser homologadas pelos representantes deste escopo paravalidar os requisitos mínimos exigidos da rede e também validar as configurações neces-sárias à essas aplicações no ambiente a ser implantado.

Os serviços de rede devem ser configurados de maneira a atender a política desegurança e também cumprir as exigências de acessibilidade previstas.

O projeto é encarregado de estabelecer serviço de voz de qualidade.

4.2 Capacidade de redePara suportar o tráfego na rede da Lumitex que deve integrar as filiais a matriz, a

capacidade dos links deve ter bandwidth garantida por SLA. A capacidade real de fluxona rede deve satisfazer o throughput necessário as aplicações.


Os dispositivos de comutação e switching devem ter os requisitos para atender ocabeamento, serem configurados conforme a política de segurança e manter as caracterís-ticas de throughput estipuladas.

O objetivo do projeto é a construção de uma rede eficiente e expansível, já quepara os gestores a possibilidade de um aumento na carga de dados pode se dar devido ospolíticas programadas do negócio para os próximos anos.

Todos os sistemas e dispositivos devem antever o crescimento já previsto.

As características iniciais de desempenho devem ser mantidas, aumentando emproporção com o crescimento previsto para resguardar os parâmetros de segurança edisponibilidade, funcionalidade já estipulados.

O link de internet deve ser capaz de trafegar o fluxo de saída dos departamentos, eainda, saída e entrada do fluxo do módulo API do sistema ERP mantendo o desempenhoquando esses fluxos estiverem ocorrendo simultaneamente.

4.3 Tecnologias utilizadasTodas as tecnologias aplicadas no projeto devem ter manual de instrução, serem

catalogadas em um banco de conhecimento disponível aos responsáveis por sua supervisão.

Para fazer a interligação da matriz e filiais a tecnologia estabelecida foi o MPLS,que deverá ser contratado junto a uma operadora com garantia de banda e downtime nonível de 99.749 por cento.

Para maximizar a possibilidade de gerenciamento do ambiente, economia no con-sumo de energia e desempenho dos serviço, a virtualização dos servidores deve ser imple-mentada. O fabricante deve ser escolhido pensando no custo/benefício e no resultado realde desempenho apropriados a rede.

Os serviços de rede podem usar tanto aplicações opensources como proprietária,desde que cumpram o escopo de disponibilidade, segurança e desempenho do projeto.

O serviços de diretórios usado será o Active Directory, já estabelecido por sua altausabilidade em questão de gerenciamento de diretórios.

A segmentação dos departamentos da empresa Lumitex será feita através de VLANsestruturadas nos switches core da rede.

As aplicações utilizadas pela empresa Lumitex para gerar e gerir as informaçõesdo negócio não estão no escopo deste projeto, sendo implicações do projeto apenas criara estrutura necessária ao funcionamento adequado da aplicações.


4.4 Equipamentos utilizadosOs ativos e passivos de rede devem estar documentados e catalogados.

Para o armazenamento dos dados da empresa Lumitex será usado um storageexpansível em array de raid 5.

A rede será centralizada por switch Core L3 redundante e gerenciável, localizadono datacenter, onde será segmentada a rede através de vlans.

Os switches de distribuição estarão nas salas de telecomunicação da cada pavi-mento, estes deverão ser gerenciáveis e capazes de receber ao menos uma fibra óptica.

Todos os equipamentos devem estar dentro das normas que regem este projeto.

4.5 DisponibilidadeDentro do Plano de continuidade de negócios e recuperação de desastres serão

especificados os procedimentos para manutenção e recuperação, antecipando a TI aospossíveis desastres.

Como a característica das atividades da empresa Lumitex implica em ter umarede estável, este aspecto deve ser extremamente preparado para garantir a o mínimo deimpacto nos negócios.

A manutenção da antiga estrutura da empresa Lumitex como espelho do site prin-cipal é um aspecto que garante disponibilidade, por assim ser feita a redundância dosprincipais serviços.

4.6 DesempenhoO tráfego da rede da Empresa Lumitex envolve grande carga de dados transitando

entre as filiais, matriz e clientes, para suprir todo fluxo os requisitos de desempenho sãoaltos. Tanto o link que fará as integração como as links internos na rede da matriz devemser caracterizados para suprir com sobra as necessidades de tráfego.

4.7 Subsistemas do cabeamento estruturadoTodas as normas de cabeamento estruturado devem ser seguidas estritamente e

todos os pontos de rede devem ser certificados para garantir que não haverá interferênciase perda de throughput no tráfego da rede decorrente de mau instalação de dispositivos eativos.


Para cumprir os requisitos de cabeamento estruturado, todos os cabos UTPs efibras ópticas precisam estar dentro das categorias válidas ao tráfego calculado em cadasegmento do cabeamento estruturado.

A disposição física das instalações da empresa Lumitex foram planejadas de ma-neira a cumprir com as normas vigentes para instalação de um datacenter. A sala deentrada para as operadoras está disposta a frente para fácil acesso. O departamento deTI ficará entre a sala de entrada e o datacenter, para agilizar as manobras necessárias.

A salas de telecomunicações no prédio da matriz receberão as fibras vindas diretodo datacenter sem haver necessidade de cascatear os switches de pavimentos diferentes, emesmo nos switches do mesmo pavimento será usado cabo proprietário para integrar osequipamentos que trabalharão como um só.

Para chegar as áreas de trabalho o cabeamento seguirá através de eletro calhasabaixo do piso elevado, a disposição da sala de telecomunicações é centralizada parafacilitar o escoamento dos cabos. As tomadas de telecomunicação estarão dispostas sobreo piso elevado, em par para cada estação de trabalho. Essas tomadas não serão distintaspara voz ou dados.

O Cabeamento para as câmeras de vigilância seguirá separado, vindo de um switchpróprio localizado no datacenter junto aos equipamentos core. As fibras para a rede da câ-meras de vigilância seguirão do datacenter por eletro dutos fixados sobre o forro, chegandoa cada andar para conectarem-se a um switch também próprio, e daí serão distribuídaspor eletro dutos chegando a cada ponto que nesse caso será único. Para as câmeras dalateral direita do perímetro o cabeamento seguirá direto do datacenter.

Para a guarita de segurança um cabeamento específico virá da sala telecomunicaçãodo pavimento térreo, porém tanto as fibras de dados e de câmeras virão por eletro dutosem canaletas sob a calçada.

Todo os itens do cabeamento estruturado, como a colocação do piso elevado nospavimentos e datacenter, passagem dos cabos, instalação das eletro calhas e eletro dutosserá de responsabilidade de empresa contratada e a equipe do projeto fica encarregadaapenas de repassar as medidas adequadas ao projeto.

4.8 Recursos técnicos e mão de obraA implantação do projeto de cabeamento estruturado com colocação do piso ele-

vado nos pavimentos e no datacenter, A instalação das câmeras de vigilância e todos osequipamentos de segurança serão terceirados, as demais atividades do projeto serão dereponsabilidade da equipe de TI da empresa Lumitex.

A contratação imediata de pessoal qualificado para atividades de TI, como moni-


toramento e configuração implica no sucesso deste projeto.

59

5 Cronograma Geral do Projeto

Figura 4 – Crongrama Geral do Projeto

60

6 Plano de integração Matriz e Filiais

6.1 Interligação entre matriz e filiaisA empresa lumitex será interligada pela tecnologia MPLS(tecnologia de encami-

nhamento). Todo o trafego de rede MPLS será de responsabilidade da operadora contra-tada.

Escopo de integração para operadora: Interligar a matriz a todas as filiais queestão situadas em diferentes regiões no Brasil;

Matriz situada em Curitiba.

Filial sul: Situada em Porto Alegre, Rio Grande Do Sul.

Filial norte: Situada em Palmas, Tocantins.

Filial nordeste: Situada em Salvador, Bahia.

Filial sudeste: Situada em São Paulo, capital.

A filial São Paulo será um espelho da matriz para garantir redundância com efici-ência à rede, o seu link portanto será maior que os das outras filiais.

A integração dos escritórios remoto será feita por VPNs ligando os escritóriosregionais a matriz, usando o protocolo OpenVpn na segunda camada do modelo OSIpara interligar redes ethernet e sua redundância será na filial SP, através de rotas quedirecionam o tráfego da matriz para filial de SP em caso de parada na matriz.

6.2 Desafio e necessidades para que o projeto seja implantado comsucessoO desafio principal para o projeto é o processo de ligação de todas as filiais com

a matriz para formar uma rede única, e que seja cumprido os requisitos de desempenho.Outro desafio é a integração de 20 escritórios remotos distribuídos por todo o país. Cuja aconfiguração ficará sob responsabilidade da equipe de TI da empresa Lumitex. Essa con-figuração apesar de não ter grande nível de complexidade, é muita trabalhosa e demandatempo para estar completamente configurada.

6.3 Lista de ativos de redes e material de comunicação.

Capítulo 6. Plano de integração Matriz e Filiais 61

Figura 5 – Lista de ativos e material de comunicação

6.4 Lista de serviços.

Tabela 1 – Lista dos serviços que os usuários terão acessoActive Directory serviço de diretório

Impressora Servidor de impressãoDhcp Servidor para distribuição de endereço IP automáticamente

Fileserver Servidor de arquivoProxy Serviço para controle e restrição de acesso a internet

ERP Sistema para integração de dados e processos da empresaDns Servidor para resolução de nomes

Openvpn acesso remoto para escritórios regionaisCrm Gerenciador de relacionamento com o cliente

Wsus atualização windonwsAntivírus para rede


6.5 Lista de servidores

Tabela 2 – Lista de servidores na matrizServidores Localização Aplicações serviços

Servidor de im-pressão

Data center Impressão em rede Impressão

ServidorDHCP,DNS in-terno

Data center Dhcp (Linux),DNS Bind

Prover ip, Resolu-ção de nomes.

Servidor de E-mail Data center EXCHANG E-mailServidor web Data Center Apache Web ServerServidor CRM Data center Sênior CRMServidor Banco de

DadosData center Oracle Servir Base de da-

dosCFTV Data center Nuuo NuuoAD Data center Active Directory Serviço de diretó-

riosNFS Data center NFS Windows Compartilahe-

mento de arquivosMonitorammento econtrole de acesso

Data center Lenel-Onguad Monitoramento doâmbiente e controlede acesso

Antivírus Data center Simantec endpoint AntivírusAtualização Data center WSUS AtualizaçãoCompartilhamento

entre Windows eLinux

Data center Samba Samba

Dns Externo Data center Bind Resolver nomespara quem dáinternet

VPN Data center Openvpn acesso a rede porVPN

Proxy Data center Squid controle de acessoà internet

Backup VM Data center VEEAM Backups da maqui-nas virtuais

Backup Aplicações Data center Script Backups das apli-cações e arquivos deconfiguração

Backup Físico e ló-gico

Data center Script Backups físico e ló-gico do banco dedados

Gerênciamneto TI Data center Zabbix monitoramento deativos de rede


6.6 Diagrama da rede

Figura 6 – Integração matriz e filias


Figura 7 – Lan Lumitex

6.7 Serviços prestados pelas operadorasSerão contratados dois links, um da operadora GVT e outro da operadora Embra-

tel, que estarão ativos ao mesmo tempo:

As operadora irão disponibilizar um link MPLS de 20 MB para matriz, links de 10MB para a filial espelho e um link 2 MB para todas as outras filiais, com 10 IPs válidos,QoS, CoS, ambiente virtual exclusivo, desempenho assegurado em toda a rede. Integraçãode todos os pontos da rede privada virtual (VPN) com conectividade e flexibilidade dasredes IP.

No pacote contratado junto a operadora GVT será integrado o serviço de telefoniaIP(VOIP), esse serviço disponibilizará todos os equipamentos necessário para integrar voza rede local, com 500 linhas externas simultâneas. Em caso de perda do link da GVT oserviço de telefonia será roteado para o link da Embratel.

Serão contratados 1 link de ADSL GVT de 10 MB com 5 IPS fixo por onde chegaráa conexões para o webserver e das VPNs dos escritórios remotos e um link de 2 MB daEmbratel que ficará passivo.

Esses serviços será garantido por SLA.


6.8 Planejamento de implementação do firewallA configuração de firewall será feita no switch core da rede que também distribui

as vlans. Teremos configuradas nesse as vlans dos 5 departamentos empresa, a vlan deservidores, da MZ e gerenciamento TI. As vlans dos departamentos isolará os usuáriosdentro dos acessos permitidos para sua VLan. Na Vlan dos servidores ficará os servidoresde DHCP e DNS e Interno, Impressão, Antivírus, Atualização, NFS, Samba e VPN. NaMZ estarão os servidores de banco de dados, CRM, ERP e o Storage e os três servidoresde Backup.

Para saída para internet teremos um firewall IPTABLES, em um servidor com 4placa de redes. Uma placa será para rede DMZ onde estará os servidores DNS externo,E-mail, e Webserve e Proxy. Outra dessas placas será configurada para uma rede WI-FI,uma placa do servidor firewall saíra para internet e outra para a rede interna ligada aoswitch core.

A rede CFTV será isolada fisicamente da demais.

Lista de acessos:

Tabela 3 – Lista de acessosNome da rede IP Servidores.DMZ 192.168.55.0 DNS externo,

Email, Webserve,Proxy

MZ 10.10.10.0 Banco de Dados,ERP, CRM, AD,Storage, BackupMV, Backup Apli-cação, BackupBD

Servidores 10.10.20.0 DNS-DHCP, An-tivírus, Samba,Wsus, Impressão,NFS, Openvpn

Gerenciamento TI 10.10.100.0 Gerenciamento deTI

WI - FI 192.168.2.0 acesso a internetCall Center 10.10.40.0 Host do Call CenterRH 10.10.50.0 Hosts do RHDiretoria 10.10.70.0 Hosts da DiretoriaFinanceiro 10.10.60.0 Hosts do FinanceiroAdministração 10.10.30.0 Hosts da Adminis-

traçãoCftv 172.16.0.0 Servidor CFTV -

isolada


Objetos do firewall:

Tabela 4 – Objetos do firewallhostname IP serviçosWSUS 10.10.20.5/24 WsusAntivírus 10.10.20.3/24 Simantec endpointDNS-DHCP 10.10.20.2/24 BindGerenciamento TI 10.10.100.2/24 ZabbixProxy 192.168.55.5/24 BindVPN 10.10.20.9/24 OpenvpnE-mail 192.168.55.2/24 ExchangeAD 10.10.10.7/24 Active DirectoryImpressão 10.10.20.6/24 Dlink DPRNFS 10.10.20.8/24 NFSSamba 10.10.20.3/24 SambaStorage 10.10.10.5/24CRM 10.10.10.3/24 SeniorWebserve 192.168.55.3/24 ApacheERP 10.10.10.4/24 SeniorBackup VM 10.10.10.8/24 ScriptBackup BD 10.10.10.9/24 ScriptBackup Aplicação 10.10.10.10/24 ScriptDNS externo 192.168.55.4/24 Script

Lista de configuração para o Firewall:

Figura 8 – Configuração para o Firewall


6.9 Justificativa Negocial da solução de integração Matriz e FiliaisÉ de extrema importância toda a interligação entre matriz e filiais ter qualidade,

confiabilidade, continuidade e segurança. A característica de segurança do Link MPLSpara integração de sites distantes proporciona um desenho de fácil manutenção, mantendoa rede isolada da comunicação externa. Outro fator importante para a contratação desseserviço é poder usar a mesma estrutura para fazer a integração de voz da empresa. Como uso da telefonia VOIP como serviço reduzimos o impacto dos custo de telefonia noprojeto. Para os escritórios regionais a melhor solução está no uso de VPNs, que além desegurança, também garante pouco custo as conexões.

68

7 Normas e Procedimentos de Segurança deTI

7.1 Política de Segurança da InformaçãoA política de segurança da empresa Lumitex segue as diretivas de negócio esta-

belecidas pela diretoria da empresa. O documento elaborado encontra-se no apêndice Adeste projeto.

7.2 Planejamento de segurança físicaSeguindo a política de segurança elaborada, o planejamento de segurança física

estabelece os níveis de segurança perimetral e de acesso a Lumitex. O Planejamento deSegurança Física da empresa Lumitex encontra - se anexo B deste projeto.

7.3 Gerenciamento de Continuidade dos Negócios

7.3.1 Plano de Continuidade dos Negócios e Recuperação de Desastres

Contingência: O serviço de DNS tem redundância de ambiente na filial de SãoPaulo e assume automaticamente em caso de falha do primeiro.

Active Directory: O Active Directory tem redundância de ambiente na filial deSão Paulo, em caso de parada da matriz todos os serviços são assumidos na filial de SãoPaulo.

Banco de dados: Solução de banco de dados Oracle Active Data Guard, servidorativo e passivo montando com replicação de archive logs. Um banco de dados fica namatriz e o outro na Filial de São Paulo, este pode assumir o serviço em tempo estimadode 15 à 20 minutos. Nesta solução o failover é automático para servidor passivo e apóso recovery o servidor principal volta a se integrar ao ambiente. O consumo de banda ébaixo nessa configuração.

Backup das aplicações: O CRM e o ERP tem cópias na matriz que são replica-das diariamente para a Filial de São Paulo. Os servidores preparados para assumir asaplicações na filial levam média de 20 à 25 minutos para serem estabelecidos.

Pessoal: As funções da Filial de São Paulo são as mesma da matriz, portanto osfuncionários tem capacidade de assumir a demanda aumentada por período de até três

Capítulo 7. Normas e Procedimentos de Segurança de TI 69

dias sem afetar as atividades, para isso o treinamento para desastre é constante nestafilial.

Tabela 5 – Listagem Setores CríticosPrioridade Função-Setor1 Financeiro2 Call Center

Função Crítica setor Financeiro:

Tabela 6 – Função Critica Setor FinanceiroAmeaças Impacto Mitigação no lo-

calMitigação Possí-vel

Matriz de Riscos

Enchente Datacenter e salatelecomunicaçõesdo primeiro an-dar poderiam serafetados.

Empresa localizadaem região alta.

a) avaliar integri-dade física. B) subs-tituir equipamentos

B

Falta deEletrici-dade

Parada das ati-vidades depoisdo tempo que ogerador suportaabastecer.

Gerador local. Contatar operadoraem caso de quedade energia

B

Falha deStorage

Comprometimentodas atividades

Troca de discos.Troca da fonte.

Direcionar site parafilial SP.

A

Perda depessoal


Direcionar ativida-des para filial SP.

B

Perda dedados

Comprometimentodas atividades.

Backups diáriosmandados para afilial SP. Backupmensal mandadopara armazena-mento externo.

Buscar dados na fi-lial SP. Contatarempresa responsá-vel pelo armazena-mento de backupexterno.

A

Matriz de Riscos

A Probabilidade Alta e Impacto alto

B Alto Impacto e Baixa probabilidade

C Probabilidade Baixa e Impacto Baixo

D Baixo Impacto e Alta Probabilidade


Função Crítica setor Call Center:

Tabela 7 – Função Critica Setor Call CenterAmeaças Impacto Mitigação no lo-

calMitigação Possí-vel

Matriz de Riscos

Enchente Datacenter e salatelecomunicaçõesdo primeiro an-dar poderiam serafetados.

Empresa localizadaem região alta.

a) avaliar integri-dade física. B) subs-tituir equipamentos

B

Falta deEletrici-dade

Parada das ati-vidades depoisdo tempo que ogerador suportaabastecer.

Gerador local. Contatar operado-ras em caso dequeda de energia

B

Falha deStorage


Troca de discos.Troca da fonte.

Direcionar site parafilial SP.

A

Perda depessoal


Direcionar ativida-des para filial SP.

B

Perda dedados

Comprometimentodas atividades.

Backups diáriosmandados para afilial SP. Backupmensal mandadopara armazena-mento externo.

Buscar dados na fi-lial SP. Contatarempresa responsá-vel pelo armazena-mento de backupexterno.

A

Matriz de Riscos

A Probabilidade Alta e Impacto alto

B Alto Impacto e Baixa probabilidade

C Probabilidade Baixa e Impacto Baixo

D Baixo Impacto e Alta Probabilidade

Efeito nos Negócios:

Tabela 8 – Efeitos de parada nos negóciosTempo três semanas Efeitos24 horas Parada das transações de arquivos na rede interna,

entre clientes e a empresa. Atraso no calendário decontratos

24 a 48 horas Quebra de contratos com clientesUma semana Perda de carteiras de clientesDuas semanas Comprometimento financeiro da empresa com pro-

babilidade alta de falênciaTrês semanas Falência da empresa


Recursos a recuperar:

Tabela 9 – Recursos a recuperarTempo Pessoal Relocação?

(S/N)Recursos (eqp,rede etc)

Dados (sistema,bkp etc)

24 horas Derpartamento deTI

N Direcionar ativida-des para filial SP

Averiguar danos,analisar dadoscorrompidos, fa-zer recovery dosbackups

24 a 48 ho-ras

Acionar derparta-mento de TI dafilial SP

N Recuperar equipa-mentos avariadosou adquirir equipa-mentos

Verificar dados res-taurados e monito-rar ambiente

Uma se-mana

Restabelecer ativi-dades da matriz

N teste de perfor-mance e desem-penho, monitora-mento

Monitorar ambi-ente

Duas sema-nas

Tratamento dasnão conformidades

N Monitoramento,documentação dafalha

Monitoramento,documentação dafalha

Três sema-nas

Normalização dasatividades

N Normalização dasatividades

Normalização dasatividades

7.3.2 Politicas de Backup

7.3.2.1 Normas

Os setores críticos: Financeiro, Call Center.

Os serviços críticos: Banco de dados, CRM, ERP.

A reponsabilidade da verificação dos scripts de backup, armazenamento dos dadoscoletados, testes de restauração e monitoramento dos processos envolvidos é do departa-mento de TI.

Essa política também estipula o acesso aos backups apenas por pessoas autoriza-das.

Os autorizados à manipulação e monitoramento de backup são apenas do departa-mento de TI da matriz e filial SP da Empresa Lumitex, com exceção para o backup mensal,que poderá ser transferido fisicamente por empresa contatada para o armazenamento.

É expressamente proibido executar backup em horário diurno, horário de expedi-ente da empresa, pois pode afetar as transações de arquivos da empresa.

O backup deverá ser executado em janela de manutenção no período noturnoiniciando as 00:00 em diante e não devendo passar das 07:00.

Os backups mensais deverão ser gravado em mídias. Todas as mídias deverão serde ótima qualidade, deverão ser regraváveis.


Havendo a necessidade de ter backup nas horas de intervalo da atividades paracumprimento de horário de almoço, deverá ser analisado o impacto no throughput darede.

Todos os backups serão criptografados.

As imagens do sistema CFTV ficarão armazenadas pelo período de 30 dias, apósesse período o departamento de TI não tem reponsabilidade de armazenamento das ima-gens.

Procedimentos de restore serão executados em intervalos de 30 à 60 dias , conformenecessidade.

7.3.2.2 Procedimentos

O que será armazenado e como:

O backup da máquinas virtuais serão iniciados pelo aplicativo VEEAM, que faztanto a replicação de máquinas virtuais como o backup dos arquivos. O software ficarálocalizado no servidor de backup de máquinas virtuais e uma cópia será enviada simulta-neamente para filial SP.

A replicação do banco de dados ficará na filial SP, será feito um backup físico(RMAN; arquivos físicos do banco de dados) e um backup lógico (Export; dados e defini-ções) dos dados no banco passivo na filial SP.

As aplicações serão copiadas por scripts nos servidor de Backup de Aplicações euma cópia será enviada a filial SP.

Os arquivos de configuração de serviços serão copiados na matriz e na filial SP.

O arquivos compartilhados serão copiados na matriz e na filial SP.

O servidor de câmeras terá uma uma imagem de sistema armazenada em umservidor de backups e as gravações estarão armazenadas em uma partição no mesmoservidor de câmeras.

Tempo de armazenamento e forma de backup:

Os backups serão executados na forma de backup diferencial diariamente, backupfull semanalmente e um backup full mensalmente com exceção dos backups das maquinasvirtuais e do backup do banco de dados que seguem procedimentos distintos.

Todos os backups diarios serão armazenados por duas semanas na matriz e na filialSP.

Backups semanais serão armazenados durante um mês na matriz e na filial SP.

Backups mensais ficarão armazenados por um ano sendo executados todos os pri-


meiros sábados de cada mês e serão buscados na matriz pela empresa IRON MONTAIN,que os armazenará pelo período de um ano.

Depois do período que a empresa IRON MONTAIN fica responsável pelos backups,eles deverão ser destruídos pela mesma.

7.3.3 Plano de Rastreamento de Falhas em TI

Ativos Críticos:

Storage: fonte, discos, controladora.

Switch Core: portas, vlans, thoughput, fonte.

Servidor Blade: discos, fonte.

No caso de parada de um dos ativos físicos listados acima, o impacto no funciona-mento de toda a rede é enorme. Se esses equipamentos param, causam também a paradadas atividades. Dentro do plano de gerenciamento de ativos esses equipamentos ganhamdestaque e suas interfaces serão monitoradas initerruptamente.

Serviços críticos:

Servidor de Banco de dados: dados corrompidos, falha humana, lock do banco,deadlocks.

Servidor do Active Directory: falha humana, falha de pesquisa DNS.

Servidores de DNS, DHCP, E-mail: erros de serviços, falhas humanas, propagaçãoem listas de spam.

Os serviços citados acima, em caso de parada causam caos na rede local em tempomínimo, e em tempo maior paralisam efetivamente as atividades. Por isso o monitora-mento também será destacado dentro do plano de gerenciamentos de serviços.

Pontos de falha:

Falhas por aquecimento na sala do datacenter podem ocorrer pois o sistema deresfriamento não é redundante. Os equipamentos necessitam de revisão mensal e constantemonitoramento

Os Links contratados para fazer a integração entre as unidades da empresa estásob a responsabilidade das empresas contratadas. Apesar do acordo de SLA garantir osníveis de disponibilidade, ainda há o risco de um rompimento do backbone central quealimenta essa operadoras.

O gerador da Lumitex tem capacidade de suportar 48 horas de abastecimento,mas após esse período as atividades da empresa correm risco de parada.

74

8 Gerenciamento e monitoramento de ativose aplicações

8.1 Ferramentas de monitoramento.O Zabbix permite monitoramento agentless (sem agentes) para diversos protoco-

los e conta com funções de auto-discovery (descoberta automática de itens) e low leveldiscovery (descoberta de métricas em itens monitorados).

O servidor Zabbix coleta dados para o monitoramento sem agentes e de agentes.Quando alguma anormalidade é detectada, alertas são emitidos visualmente e através deuso de sistemas de comunicação como e-mail e SMS. O servidor Zabbix mantém históricodos dados coletados em banco de dados (Oracle, MySQL e PostgreSQL), de onde sãogerados gráficos, painéis de acompanhamento e slide-shows que mostram informações deforma alternada. Apenas o servidor Zabbix é obrigatoriamente instalado em sistemas Unixou Linux.

Zabbix agent O agente Zabbix é instalado nos hosts e permite coletar métricas co-muns - específicas de um sistema operacional, como CPU e memória. Além disso, o agenteZabbix permite a coleta de métricas personalizadas com uso de scripts ou programas ex-ternos permitindo a coleta de métricas complexas e até tomada de ações diretamente nopróprio agente Zabbix. (4LINUX, 2013)

Com essa solução estaremos monitorando as interfaces de toda a rede, estabe-lecendo níveis de alertas e ocorrências para a estratégia de gerenciamento de ativos eaplicações da rede.

A seguir mostraremos exemplos de alguns dos dados à serem coletados na primeirafase de teste após a implantação do projeto até que se estabilize a rede e as rotinas demonitoramento possam ser cumpridas efetivamente, devido a instabilidades recorrentesdos primeiros teste e correções:

Capítulo 8. Gerenciamento e monitoramento de ativos e aplicações 75

Exemplo de coleta de dados de consumo de CPU:

Figura 9 – Exemplo de coleta de dados da CPU usando Zabbix

Exemplo de coleta de dados de espaço de disco:

Figura 10 – Exemplo de coleta de dados do disco usando Zabbix


Exemplo de coleta de dados de processos:

Figura 11 – Exemplo de coleta de dados de processos usando Zabbix

8.2 Detalhamento dos ativos e aplicações

Tabela 10 – DetalhamentoServidores Aplicações Nível Hostname IP RedundânciaServidorde impres-são

Windows 3 impressão 10.10.20.6 arquivos de configura-ções e de máquina vir-tual

Servidordhcp,dnsinterno

DHCP(Linux)DNS Bind

2 DHCP-DNS

10.10.20.2 Filial SP - configura-ções e de máquina vir-tual

Servidorde email

Exchange 3 webmail 192.168.55.2 Backup máquina vir-tual

Servidorweb

Apache 2 webserver 192.168.55.3 maquina virtual

ServidorCRM

Sênior 1 CRM 10.10.10.3 backup full e maquinavirtual

Servidorbanco dedados

Oracle 1 Banco dedados

10.10.10.2 Servidor réplica loca-lizado na filial de SãoPaulo cópia gerada nafilial e enviada paramatriz

Cftv Nuuo 3 cftv 172.16.10.0 imagem de S.O., discoparticionado, raid 5


Dns ex-terno

DNS Bind 3 dns-ext 192.168.55.4 arquivos de configura-ções e de máquina vir-tual

Antivírus Simantecendpoint

2 antivírus 10.10.20.3 backup máquina vir-tual

Firewall IPtables 1 fw 192.168.55.0192.168.2.010.10.90/30

arquivos de configura-ções e de máquina vir-tual

Servidorproxy

Squid 2 proxy 192.168.55.5 arquivos de configura-ções e de máquina vir-tual

ServidorSamba

Samba 2 samba 10.10.20.3 máquina virtual e ar-quivos de configura-ções

Servidorde atuali-zação

WSUS 3 wsus 10.10.20.5 máquina virtual

Servidorde diretó-rios

Active Di-rectory

1 AD 10.10.10.5 Redundância na filialde São paulo e backupde máquina virtual

ServidorERP

Sênior 1 erp 10. 10.10.4 backup full e máquinavirtual

NFS NFS Win-dows

2 nfs 10.10.20.8 arquivos de configura-ções e de máquina vir-tual

ServidorMonitora-mento eControlede Acesso

Lenel-Onguad

3 monitoramento10.10.20.10 máquina virtual

ServidorVPN

Openvpn 2 acesso arede porvpn

10.10.20.9 arquivos de configura-ções e de máquina vir-tual

ServidorBackupVM

VEEAM 2 backupmáquinasvirtuais

10.10.10.8 Backup da máquinavirtual


ServidorBackupAplicações

Script 2 BackupAplicações

10.10.10.10 Backups da máquinavirtual

ServidorBackupfísico elógico

Script 2 Backupda físico elógico dobanco dedados

10.10.10.9 Backup da máquinavirtual

ServidorGerenci-amentoTI

Zabbix 2 Monitoramentodos ativosde TI

10.10.100.2 máquina virtual

8.3 Ambiente de monitoramento.O ambiente de monitoramento será no departamento de TI, localizado no prédio

do Data Center pelo departamento de TI.

Três monitores de 40” fixados na parede do departamento de TI

Um aparelho de celular

Um computador cliente exclusivo.

Equipe de trabalho: A equipe de trabalho trabalhará ininterruptamente em escalasde 24x7. A escala será dividida pelos setes funcionários do setor, com carga horária deoito horas por dia, e os turnos serão matutino, diurno e noturno.

8.4 Plano de ação para ocorrências

Tabela 11 – Plano de ação para ocorrênciasOcorrência Ocorrência Comunicar Nível críticoInterrupção do link Falha de link / Co-

municar operadoraGerente de TI 1

Falha de Banco dedados

Erro de Firewall /rede / comunicarDBA

Gerente de TI 1

Queda de link de in-ternet

Conexões / Proxy Equipe de TI 2

Lentidão na rede Verificar logs Equipe de TI 2Maquina sem cone-xão

Problema na Má-quina

Equipe de TI 2


Tabela 12 – Escala de acionamento1- Amaral (41 88772222) 2-Pedro (41 88663399) 3- Antô-nio (41 89897878) 4- Vilson(41 88337788) E-mail [email protected]

De Seg a Sex das 00h00 às 23:591- Convoca do o departamentode TI 2- Telefona 3- E-mail

1- Paulo (41 99778888) [email protected]

De Sab a Dom e feriados das00h00 às 23:59 1- Convoca do odepartamento de TI 2- Telefona3- E-mail

8.5 Justificativa Negocial da solução Gerenciamento e monitora-mento de ativos e aplicaçõesDevido ao monitoramento de links de internet, banda local, dispositivos físicos

como memória e processamento, assim como download e uploads, se faz necessário aimplantação de uma ferramenta de monitoramento dos ativos.

Através destes monitoramentos e ações realizadas, o sistema de monitoramentotrará ao setor de TI uma análise de todo sistema de informática da empresa. Sendo assim,é possível identificar e prevenir possíveis problemas que venham afetar ou comprometer ainfraestrutura de informática da companhia. Os resultados são apresentados logo no inícioda implantação do sistema, justificando o seu custo benefício.

80

9 Projeto de Redes

9.1 Proposta de projeto de redesO projeto envolve a elaboração da documentação, no qual é verificado o problema

do cliente e apresentamos a solução vendo suas reais necessidades.

Na documentação é apresentado o funcionamento de toda a estrutura dos serviços,inclusive o suporte que lhe é fornecido tanto no período de desenvolvimento e testes,quanto no período em que o sistema estiver em situação real.

A entrega de uma rede eficiente dentro dos parâmetros necessários para o tamanhoda corporação inspirou a construção de um projeto focado na necessidade do cliente.

As metas de negócio e os princípios da companhia foram estudados para garantiruma rede com vocação na transferência de dados a longas distância de forma transparentepara os clientes da Lan. Para tanto, o trunk da rede foi estudado para atender as filiaiscom alto desempenho, redundância, segurança e disponibilidade.

9.2 Documentação do ProjetoNo projeto desenvolvido forma coletadas e documentadas desde a diagramação

lógica da topologia da rede até o sistema de cabeamento estruturado chegando as áreasde trabalho com os serviços aos usuários.

A segurança tanto lógica quanto física também foi documentada através das regrasde firewall e documentos em anexo que delimitam o domínio de segurança física e políticasde segurança.

Os ativos de rede e equipamentos necessários aos projeto foram todos descrimina-dos em planilhas, especificados por quantidade e marcas, tendo-se assim o custo estimadopara o projeto.

Além destes, as plantas e faces de rack completam a documentação do projeto.

O esquema de naming da rede será feito da seguinte forma:

Rnn-PPnn-Pnn

onde:

Rnn=numêro do rack

PPnn=numêro do patch panel


Pnnn=numêro do ponto no patch panel

Rnn-SWnn-Pnn

onde:

Rnn=numêro do rack

SWnn=numêro do switch

Pnnn=numêro do ponto no switch

9.3 Cronograma de implantação

Figura 12 – Crongrama de implantação do projeto

9.4 GarantiasA rede da Lumitex deverá estar apta para garantir tráfego fluente de dados e

voz entre as filiais e matriz, com serviços e aplicações disponíveis e seguros. Para issotodas as normas definidas como padrão devem ser totalmente seguidas, para manter ascaracterísticas do escopo do projeto.

A infraestrutura proposta tem suporte delimitado e documentado e portanto asaplicações homologadas devem manter os requisitos estipulados. Na implementação futurade serviços e aplicações a equipe do projeto não terá responsabilidade sobre problemasdecorrentes.

Os contratos com operadoras e serviços terceirizados devem ser garantidos porSLA desenvolvido pelo departamento de TI da empresa Lumitex.

Para o caso de desastre o site da filial de São Paulo assumirá as atividades de redepara continuidade dos negócios da Lumitex até que se restabeleça os serviços da matriz.


9.5 Custo (Estimado)

Figura 13 – Custo do pavimento térreo e datacenter

Figura 14 – Custo primeiro andar

Figura 15 – Custo segundo andar e total geral


Figura 16 – Custo Sala de Equipamentos

84

Conclusão

85

10 Dificuldades encontradas durante a elabo-ração do projeto

A configuração do firewall para satisfazer as necessidades se segmentação, bloqueioe liberação de acesso esteve entre as principias preocupações do projeto.

Na elaboração do plano de integração de matriz e filiais encontramos algumasdificuldades para estabelecer uma tecnologia de integração que atendesse os requisitos detráfego de voz e dados no mesmo link sem haver perdas da qualidade n transmissão devoz por conta do load balace que poderia fazer rotas distintas para os pacotes de voz.

No plano de continuidade de negócios descobrir os pontos críticos numa rede desseporte passou a ser o maior ponto de preocupação.

86

11 Dados coletados através de logs de siste-mas e ou aplicações que foram implemen-tadas

A coleta de dados em um ambiente ainda em desenvolvimento ficou inviável noprojeto. Mecanismos laboratoriais para testes anteriores a implementação da rede seriamonerosos ao projeto, pois sua construção consumiriam muitos recursos físicos e materiais.

87

12 Testes para elaboração do projeto

Para elaborar o projeto a equipe dividiu as etapas em subtópicos que foram distri-buídos. Antes de começar cada capítulo, os dados foram revisados e refeita as pesquisascaso fosse necessário. Para elaboração dos cronogramas foram testadas as fases em escalamenor em laboratórios, como por exemplo a execução da regras de firewall por exemplo.

88

13 Resultados esperados com a implementa-ção do projeto

Garantir a empresa Lumitex os requisitos estabelecidos no projeto quanto a dispo-nibilidade, segurança e desempenho no tráfego de dados e voz, entre a matriz e as filiais,com preocupação de manter os objetivos de negócios da companhia no escopo do projeto.

A segurança física do perímetro com foco nas pessoas em primeiro nível e na inte-gridade dos dados coorporativos logo em seguida, são expectativas com a implementação.

E também a ter repostas imediatas para ocorrências dentro do domínio do projetoatravés dos planos de gerenciamento listados no projeto.

Apêndices

90

APÊNDICE A – Planejamento daSegurança Física da Empresa

Este anexo apresenta as especificações de segurança física do projeto de implanta-ção de datacenter e rede local da empresa Lumitex.

O sistema de segurança física deverá proporcionar de forma automática a integra-ção dos diversos dispositivos instalados (intrusão, CFTV, acionamento de portas, alarmesde incêndio e cancelas, controle de ronda, etc.) além do envio de alarmes sonoros ou vi-suais à Central de Monitoramento, e controlar e registrar os atos através de imagens ourelatórios, de forma a tornar verdadeiramente eficiente a detecção e a solução do evento.

A.0.0.1 Ameaças da Natureza

Segundo estudo prévio para escolha do local adequado para sediar a matriz da em-presa Lumitex fatores de externos decorrentes da ecossistema local e também do ambienteurbano não há probabilidades de impactos capazes de parar as atividades de produção daempresa e também do datacenter.

A.0.0.2 Serviços

Haverá um reservatório com capacidade ideal ao consumo por pessoas no local.Em média em um prédio usa 200 litros por pessoa, a norma diz que o reservatório de águadeve ser de 2 dias

O total de pessoas nas instalações pode chegar a 200 pessoas.

Consumo por pessoa 150 l.

150 l x 200 pessoas = 30000 litros de água.(MóVEIS, 2011)

Tomadas elétricas e sua fiação dimensionada corretamente e muito bem instaladae organizada.

A.0.0.3 Fator humano

Deve haver na região mão de obra qualificada para todas as funções da empresa.Na escolha do local deve ser analisado se há na região cursos superiores que atendam ademanda de empresa para o setor de TI e demais áreas, para manter os níveis de serviçosdisponibilizados em padrões de excelência. Fatores como a violência urbana, transito emanifestações devem ser rigidamente analisados na escolha do local. As instalações daempresa deve estar em local retirado de regiões onde há possiblidades de tumultos, greves,

APÊNDICE A. Planejamento da Segurança Física da Empresa 91

passeatas, como complexos industriais e centros de aglomerações de todos os fins. Quantoaos serviços terceirizados, deve haver na região oferta de prestação de serviços com grandeconcorrência para que seja possível escolha de melhores preços. Todos os equipamentosusados para as instalações devem ter serviços de manutenção de qualidade.

A.0.0.4 Perímetro

O sistema de segurança deverá proporcionar de forma automática a integraçãodos diversos dispositivos instalados (intrusão, CFTV, acionamento de portas e cancelas,controle de ronda, e alarme de incêndio) além do envio de alarmes sonoros ou visuais àCentral de Monitoramento e Controle além de registrar os atos através de imagens ourelatórios, de forma a tornar verdadeiramente eficiente a detecção e a solução do evento.

Iluminações Perimetral: A Iluminação Perimetral deve atender a 03 quesitos: Inibirtentativas de invasões no local, Proporcionar boa iluminância, para a captura de imagenspelo Sistema de CFTV, Não alterar as cores das imagens capturadas pelas câmeras co-loridas deste Sistema. Deve ser iluminado todo o campus com lâmpadas de multivaporesmetálicos de baixa potência de 70 a 400W. Todas, sem exceção, devem apresentar pe-quenas dimensões, alta eficiência, ótima reprodução de cor, vida útil longa e baixa cargatérmica. Cada entrada das instalações deve ter um refletor direcionado para o lado defora das instalações com a finalidade de ofuscar a visão das entradas, quadro de energiapróprio.

Guarita: a guarita deve ter os equipamentos para controle de acesso, onde se temtotal controle da entrada de pessoas nas instalações. A entrada de veículos deve ser con-trolada à partir desse ponto, anteriormente a guarita. Logo após, deve estar a cancelacontrolada pela guarita, por onde devem passar todos os veículos, inclusive cargas e des-cargas.

Portaria: na portaria, deve ser feita a devida identificação através de documentoscom fotos para entrada de pessoas terceiras. Os funcionários devem ser possuir cartãomagnético com as informações e número de código de barras único para acesso através denúmero suficiente para circulação, catracas integradas ao sistema de intrusão.

Central de Gás FM 200: Na sala de servidores (Data Center) será implantado osistema de detecção e combate a incêndio. O gás FM 200. Este sistema também serádetectado pela central de monitoramento via sistema de monitoramento

Catracas: Serão implantadas três catracas na portaria principal e duas catracasno prédio da TI. As catracas serão interligadas no sistema de controle de acesso e serámonitorada os seus acessos via sala de monitoramento.

Cancelas: Será instalada uma cancela na portaria principal, esta terá leitor deentra e saída, para que as pessoas autorizadas, somente acessem com os seus veículos via


leitor de cartão.

Sistema de controle de acesso: Será usado no projeto o conjunto de software ehardware da Lenel/Onguard. O sistema de controle de acesso, ira controlar todo os leitoresde cartão, biométrico, catracas e cancelas. O sistema de controle de acesso Lenel/Onguard,também receberá através de entradas auxiliares de suas placas, contatos de alarme deincêndio e sensores perimetrais. Isto fará com que todos os alarmes sejam centralizadosunicamente pelo gerenciamento de acesso da Lenel.

Câmera Dome IP: Monitoramento da Área Externa por uma câmeras IP, móveistipo Dome ou PTZ, com zoom ótico mínimo de 26x, com resolução Full HD 1980x1080e compressão de vídeo H264, instaladas na superfície superior da parede frontal e fundosdo prédio, conforme planta baixa, e será interligada através de fibra óptica. Junto àscâmeras deverão ser instaladas caixas para instalação ao tempo, para acomodação deequipamentos auxiliares, conversores de mídias, fibra óptica e todos os demais acessóriosnecessários para o perfeito funcionamento. A gravação e controle das imagens deverá serfeita na Central de Monitoramento, que é de responsabilidade do vigilante em uma saladedicado para esta função.

Câmera Fixa IP: Monitoramento da área interna e externa por câmeras fixas, comresolução de 1280x1020 e tecnologia de compactação H264. Junto às câmeras tambémdeverá haver caixa de proteção térmica com dispositivo anti embaçante. Todas as câmerasdeverão ter quadros para fixação da fonte de alimentação e o quadro será alimentado poralimentação AC 110/220 passando por nobreak. As câmeras ficarão dispostas da seguinteforma:

2o Andar: 09 Câmeras fixas

1o Andar: 09 Câmeras fixas

Térreo: Área interna 10 Câmeras fixas e 11 Câmeras fixas externas.

Total de 39 Câmeras fixas.

Gravador digital (NDVR): Deverá ser um sistema local composto por gravadordigital de vídeo (NDVR) este gravara câmeras IP fixas ou móveis, internas e/ou externas,dispostas em locais estrategicamente definidos de forma a abranger as principais áreasda edificação. A gravação das imagens deverá ser feita no local bem como a visualizaçãode todas as câmeras em um monitor local, mas o sistema deverá ser interligado à redede segurança através do cabo de fibra óptica em pontos mais distantes e UTP em áreasabaixo dos 50 metros, de forma a permitir o acesso remoto para visualização e gravaçãopela Central de Monitoramento. O sistema de gravação deverá ter no mínimo 30 diasde gravação continua ou por movimento. O servidor de vídeo NDVR será alocado noData Center, e ficará na responsabilidade do setor de TI monitorar o estado físico dosequipamentos.


Leitor Biométrico: Este leitor será implementado somente em áreas críticas daempresa como:

Sala do Data Center:

Sala de telecomunicações do Térreo

Sala de telecomunicações do 1o andar

Sala de telecomunicações do 2 andar

Sala de Depósito da TI

Vigilância: O sistema ronda será feito por cartão magnético, do tipo utilizado comocontrole de acesso. Cada vigilante terá um cartão especifico, e todas as ações poderão sermonitoradas ao vivo ou pelo histórico no mesmo sistema que gerência o controle de acesso,não sendo possível a sua manipulação indevida. Os leitores deveram ficar em distânciasde 10m em locais estratégicos da empresa. Os vigilantes trabalharão em turnos de 24/7 edeverão conhecer todas as suas responsabilidades.

Acionamentos diversos: Deverá ser possível o acionamento automático de diversostipos de dispositivos tais como iluminação, controle de temperatura de salas, acionamentodesligamento de equipamentos e outros, automaticamente a partir de sensores instaladosou remotamente através da central de monitoramento. A central única deverá prover estasfacilidades.

Central de Monitoramento: A central de monitoramento deverá ser localizada emárea dotada de segurança física e preparada para abrigar os operadores do sistema devigilância. Na central serão convergidos todos os sinais do sistema de CFTV, alarmes deincêndio, alarmes perimetrais, alarmes de porta aberta e forçada, de todos os pavimentossendo estes sinais identificados, armazenados e monitorados 24 horas por dia, sete diaspor semana por operadores adequadamente preparados.

Cerca Perimetral: Muros e alarme perimetral: As estações da empresa precisam serprotegida por muros altos, de no mínimo 2m de altura e monitoradas com alarme perime-tral, composto por sensores de infravermelho inteligentes, instalados e configurados porzonas. O sistema deverá ser monitorado pela central de monitoramento, e sua instalaçãodeverá ser instalada ao modo que se houver falha de energia ou falha dos sensores, que istovenha a ser alarmado na central de monitoramento. O sistema que realizara o controlede acesso, também deverá ser capaz de integrar os dispositivos de alarme através de umaentrada auxiliar, contato NF.

Central de alarme de incêndio (DF/DT): O prédio terá em seu projeto uma centralde alarme e detecção de incêndio em todos os andares e nas salas de telecomunicações,divididos em detectores térmicos e de fumaça e será utilizado a central adiante: As Cen-trais de Alarme de Incêndio FPD-7024 podem ser utilizadas em diversas aplicações como


edifícios comerciais e públicos, escolas, universidades, plantas fabris, centros de saúde ehospitais. São certificadas na UL para sistemas de estação central, local, auxiliar e remota.As centrais FPD-7024 suportam quatro zonas convencionais incorporadas que podem serexpandidas até oito com uso do FPC-7034. Cada zona convencional suporta detectoresde dois e de quatro fios configuráveis como laço Classe A, Tipo D ou Classe B tipo B.Cada zona pode suportar até 20 detectores de dois fios, ou qualquer número de detectoresde quatro fios, dependendo da alimentação disponível. Cada Central possui um discadordigital de alarme de incêndio (DACT)

Controle de Acesso interno: Deverá ser implantado níveis de acesso diferenciados,restringindo a entrada de pessoas não autorizadas à cada nível. O controle deve ser feitode maneira integrada por um sistema que abranja toda a instalação, esse sistema deve sermonitorado em uma central de que contenha todos os equipamento necessários, integrandotodos os subsistemas de controle. Especificamente para o datacenter, o nível deve ser omais crítico, e portanto, o acesso a esse deve ser feito através de biometria e dispositivos desenha de acesso que tenham abertura interna liberada. Para os demais níveis, o controlede acesso deve utilizar senha por dispositivos de acesso que tenham abertura internaliberada.

Combate ao fogo: Extintores de incêndio: A altura máxima de fixação é de 1,60 m, ea mínima é de 0,10m. Os extintores devem estar desobstruídos e sinalizados com destaqueem relação à comunicação visual adotada para outros fins, percurso máximo para se atingirum extintor, é de 15, 20m. Deve ser fixado próximo ao extintor as orientações de uso. Deveser usados extintor com Gás químico FM-200. Extintores de pó para classes (ABC) paraa todas áreas, com exceção do data center que terá de controle de incêndio próprio. Emlocais com riscos específicos devem ser instalados extintores de incêndio, independente daproteção geral da edificação tais como: quadro de redução para baixa tensão, contêineresde telefonia, gases ou líquidos combustíveis ou inflamáveis. (CBMSP, 2011)

Proteção lógica: Proteção das informações da empresa ou sob sua custódia comofator primordial nas atividades profissionais de cada empregado, estagiário, aprendiz ouprestador de serviços da empresa Lumitex:

Os empregados devem assumir uma postura proativa no que diz respeito à proteçãodas informações da Lumitex e devem estar atentos a ameaças externas, bem como fraudes,roubo de informações, e acesso indevido a sistemas de informação sob responsabilidadeda Lumitex.

Todos os computadores de uso individual deverão ter senha de Bios para restringiro acesso de colaboradores não autorizados. Tais senhas serão definidas pela Gerência deSistemas, que terá acesso a elas para manutenção dos equipamentos.

Os colaboradores devem informar ao departamento técnico qualquer identificação


de dispositivo estranho conectado ao seu computador.

É vedada a abertura ou o manuseio de computadores ou outros equipamentosde informática para qualquer tipo de reparo que não seja realizado por um técnico daGerência de Sistemas ou por terceiros devidamente contratados para o serviço.

Todos os dispositivos internos ou externos devem ser removidos ou desativadospara impedir a invasão/evasão de informações, programas, vírus. Em alguns casos espe-ciais, conforme regra específica, será considerada a possibilidade de uso para planos decontingência mediante a autorização dos gestores das áreas e da área de informática.

É expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa detrabalho e próximo aos equipamentos.

O colaborador deverá manter a configuração do equipamento disponibilizado peloLumitex, seguindo os devidos controles de segurança exigidos pela Política de Segurançada Informação e pelas normas específicas da empresa, assumindo a responsabilidade comocustodiante de informações.

Todo colaborador deverá utilizar senhas de bloqueio automático para seu disposi-tivo móvel

Não será permitida, em nenhuma hipótese, a alteração da configuração dos siste-mas operacionais dos equipamentos, em especial os referentes à segurança e à geração delogs, sem a devida comunicação e a autorização da área responsável e sem a condução,auxílio ou presença de um técnico da Gerência de Sistemas.

É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivomóvel fornecido, notificar imediatamente seu gestor direto e a Gerência de Sistemas.Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível,um boletim de ocorrência.

O colaborador que deseje utilizar equipamentos portáteis particulares ou adquiriracessórios e posteriormente conectá-los à rede deverá submeter previamente tais equipa-mentos ao processo de autorização da Gerência de Sistemas.

Equipamentos portáteis, como smart phones, palmtops, pen drives e players dequalquer espécie, quando não fornecidos ao colaborador pela empresa, não serão validadospara uso e conexão em sua rede corporativa.

Todas as portas USB serão travadas e apenas poderá ser liberada após chamadoaberto. Não será aceito câmera digitais no interior do estabelecimento.

O acesso ao Datacenter somente deverá ser feito por sistema forte de autenticação.Por exemplo: biometria, cartão magnético entre outros.

Todo acesso ao Datacenter, pelo sistema de autenticação forte, deverá ser regis-


trado (usuário, data e hora) mediante software próprio.

O acesso de visitantes ou terceiros somente poderá ser realizado com acompa-nhamento de um colaborador autorizado, que deverá preencher a solicitação de acessoprevista no Procedimento de Controle de Acesso ao Datacenter, bem como assinar oTermo de Responsabilidade

A entrada ou retirada de quaisquer equipamentos do Datacenter somente se darácom o preenchimento da solicitação de liberação pelo colaborador solicitante e a autori-zação formal desse instrumento pelo responsável do Datacenter, de acordo com os termosdo Procedimento de Controle e Transferência de Equipamentos.

No caso de desligamento de empregados ou colaboradores que possuam acessoao Datacenter, imediatamente deverá ser providenciada a sua exclusão do sistema deautenticação forte e da lista de colaboradores autorizados.

Todos os backups devem ser automatizados por sistemas de agendamento auto-matizado para que sejam preferencialmente executados fora do horário comercial, naschamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso deusuários ou processos automatizados aos sistemas de informática.

As mídias de backups históricos ou especiais deverão ser armazenadas em ins-talações seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 10quilômetros do Datacenter.

Testes de restauração (restore) de backup devem ser executados por seus respon-sáveis, nos termos dos procedimentos específicos, aproximadamente a cada 30 ou 60 dias,de acordo com a criticidade do backup.

Para formalizar o controle de execução de backups e restores, deverá haver umformulário de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelosresponsáveis e auditado pelo coordenador de infraestrutura, nos termos do Procedimentode Controle de Backup e Restore.

Controles ambientais: O sistema de cabos com sensores de inundação é pontoestratégico para a melhor segurança de áreas críticas, senso assim será implementado noData Center desta empresa. O dispositivo cabo será instalado tanto na parte superiordo data Center, assim como na parte inferior, ou seja, abaixo do piso elevado, isto farácom que qualquer tipo de umidade mais intenso abaixo ou acima do Data Center sejadetectado e gere um alarme na central de monitoramento.

Energia: A infraestrutura terá um gerador à diesel capaz de suprir a carga doparque de informática mais os elevadores e nobreak com capacidade de filtrar sobre tensãoe sobtensão e falta de energia momentânea (banco de baterias).

97

APÊNDICE B – Política de Segurança daInformação

B.1 DefiniçõesA norma da abntNBR ISO/IEC 27002:2005 define que:

“A informação é um ativo que, como qualquer outro ativo importante, é es-sencial para os negócios de uma organização e, consequentemente, necessitaser adequadamente protegida. [...] A informação pode existir em diversas for-mas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente,transmitida pelo correio ou por meios eletrônicos, apresentada em filmes oufalada em conversas. Seja qual for a forma de apresentação ou o meio atravésdo qual a informação é compartilhada ou armazenada, é recomendado que elaseja sempre protegida adequadamente.”

Aspectos básicos para garantir a segurança da informação disponibilidade:

∙ DISPONIBILIDADE

Garante que uma informação estará disponível para acesso no momento desejado.Diz respeito a eficácia do sistema, ao correto funcionamento da rede para que quandoa informação for necessária, esteja acessível. A perda da disponibilidade se dá quandose tenta acessar uma informação e não se consegue o acesso esperado.

∙ INTEGRIDADE

Garante que o conteúdo da mensagem não foi alterado ou violado indevidamente. Ouseja, mede a exatidão da informação e seus métodos de modificação, manutenção,validade. Há perda da integridade quando a informação é alterada indevidamenteou quando não se pode garantir que a informação é a mais atualizada, por exemplo.

∙ CONFIDENCIALIDADE

Garante que a informação só será acessível por pessoas autorizadas. A principalforma de garantir a confidencialidade é por meio do controle de acesso (autentica-ção), já que este controle garante que o conteúdo da mensagem somente será aces-sado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamentequando se impede que pessoas não autorizadas tenham acesso ao conteúdo da men-sagem. Refere-se à proteção da informação contra a divulgação não permitida. A

APÊNDICE B. Política de Segurança da Informação 98

perda da confidencialidade se dá quando alguém não autorizado obtém acesso arecursos/informações.

∙ AUTENTICIDADE

Garante a identidade de quem está enviando a informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não poderá se esquivar daautoria da mensagem

(ALENCAR, 2011)

A lumitex empresa de serviços financeiros e assessoria jurídica, vê a segurançada informação como um diferencial determinante na competitividade das corporações,assim temos como principal objetivo preservar a identidade de todos que atuam direta ouindiretamente como colaborador ou clientes, e para que haja segurança nas informaçõesque estão sob nossa tutela, garantindo assim a tranquilidade e confidencialidade paratodos os envolvidos nos processos em que a Lumitex é a mantenedora.

O propósito desse documento é formalizar o direcionamento estratégico acerca dagestão de segurança da informação na Organização, estabelecendo as diretrizes a seremseguidas para implantação e manutenção de um S.G.S.I., guiando-se, principalmente, pelosconceitos e orientações das normas ABNT ISO/IEC da família 27000.

B.1.0.5 Termos e Definições

Para os efeitos desta Política, aplicam-se os seguintes termos e definições:

∙ Ameaça: causa potencial de um incidente indesejado, que pode resultar em danopara um sistema ou organização. [ISO/IEC 13335-1:2004]

∙ Áreas críticas: dependências da Lumitex ou de seus clientes onde esteja situado umativo de informação relacionado a informações críticas para os negócios da empresaou de seus clientes.

∙ Ativo: qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]

∙ Ativo de Informação: qualquer componente (humano, tecnológico, físico ou lógico)que sustenta um ou mais processos de negócio de uma unidade ou área de negócio.

∙ Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes,práticas ou estruturas organizacionais, que podem ser de natureza administrativa,técnica, de gestão ou legal. [ABNT NBR ISO/IEC 27002:2005]

∙ Evento de segurança da informação: ocorrência identificada de um sistema, serviçoou rede, que indica uma possível violação da política de segurança da informação


ou falha de controles, ou uma situação previamente desconhecida, que possa serrelevante para a segurança da informação. [ISO/IEC TR 18044:2004]

∙ Gestão de riscos: atividades coordenadas para direcionar e controlar uma organiza-ção no que se refere a riscos. [ABNT ISO/IEC Guia 73:2005]

∙ IEC: International Electrotechnical Commission.

∙ Incidente de segurança da informação: indicado por um simples ou por uma sériede eventos de segurança da informação indesejados ou inesperados, que tenhamuma grande probabilidade de comprometer as operações do negócio e ameaçar asegurança da informação. [ISO/IEC TR 18044:2004]

∙ Informação: agrupamento de dados que contenham algum significado.

∙ Informações críticas para os negócios da Lumitex: toda informação que, se for alvode acesso, modificação, destruição ou divulgação não autorizada, resultará em per-das operacionais ou financeiras à Lumitex ou seus clientes. Cita-se, como exemplo,uma informação que exponha ou indique diretrizes estratégicas, contribua poten-cialmente ao sucesso técnico e/ou financeiro de um produto ou serviço, refira-se adados pessoais de clientes, fornecedores, empregados ou terceirizados ou que ofereçauma vantagem competitiva em relação à concorrência.

∙ ISO: International Organization for Standardization.

∙ Risco: combinação da probabilidade de um evento e de suas consequências. [ABNTISO/IEC Guia 73:2005]

∙ Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser exploradapor uma ou mais ameaças. [ABNT NBR ISO/IEC 27002:2005]

(LUMI, 2013)

B.1.0.6 Estrutura Normativa

A estrutura normativa é dividida em três categorias para facilitar a compreensãoe distinção de tarefas:

Política (nível estratégico): Constituída do presente documento, define as regras de altonível que representam os princípios básicos que a Lumitex decidiu incorporar à suagestão de acordo com a visão estratégica da alta direção. Serve como base para queas normas e os procedimentos sejam criados e detalhados;


Normas (nível tático): Especificam, no plano tático, as escolhas tecnológicas e os controlesque deverão ser implementados para alcançar a estratégia definida nas diretrizes dapolítica;

Procedimentos (nível operacional): Instrumentalizam o disposto nas normas e na política,permitindo a direta aplicação nas atividades da Lumitex.

(LUMI, 2013)

B.1.0.7 Divulgação e Acesso à Estrutura Normativa

Os documentos integrantes da estrutura devem ser divulgados a todos os emprega-dos, estagiários, aprendizes e prestadores de serviços da Lumitex quando de sua admissão,bem como, através dos meios oficiais de divulgação interna da empresa e, também, pu-blicadas na Intranet corporativa, de maneira que seu conteúdo possa ser consultado aqualquer momento.(LUMI, 2013)

B.1.0.8 Aprovação e Revisão

Os documentos integrantes da estrutura normativa da Segurança da Informaçãoda Lumitex deverão ser aprovados e revisados conforme critérios descritos abaixo:

Política Nível de aprovação: Diretoria Executiva Periodicidade da revisão: anual

Normas Nível de aprovação: Diretoria Executiva Periodicidade da revisão: semestral

Procedimentos Nível de aprovação: Diretoria responsável pela área envolvida. Periodici-dade da revisão: semestral

Durante o primeiro ano de vigência de cada documento, considerado a partir dadata de sua publicação, a periodicidade das revisões será igual à metade dos períodosacima definidos. (LUMI, 2013)

B.1.1 Diretrizes de Segurança da Informação

A seguir, são apresentadas as diretrizes da política de segurança da informação daLumitex que constituem os principais pilares da gestão de segurança da informação daempresa, norteando a elaboração das normas e procedimentos.

B.1.1.1 Proteção da Informação

Define-se como necessária a proteção das informações da empresa ou sob sua cus-tódia como fator primordial nas atividades profissionais de cada empregado, estagiário,aprendiz ou prestador de serviços da Lumitex, sendo que:


a) Os empregados devem assumir uma postura pró-ativa no que diz respeito à prote-ção das informações da Lumitex e devem estar atentos a ameaças externas, bemcomo fraudes, roubo de informações, e acesso indevido a sistemas de informação sobresponsabilidade da Lumitex;

b) As informações não podem ser transportadas em qualquer meio físico, sem as devidasproteções;

c) Assuntos confidenciais não devem ser expostos publicamente;

d) Senhas, chaves e outros recursos de caráter pessoal são considerados intransferíveis enão podem ser compartilhados e divulgados;

e) Somente softwares homologados podem ser utilizados no ambiente computacional daLumitex;

f) Documentos impressos e arquivos contendo informações confidenciais devem ser arma-zenados e protegidos. O descarte deve ser feito na forma da legislação pertinente;

g) Todo usuário, para poder acessar dados das redes de computadores utilizadas pelaLumitex, deverá possuir um código de acesso atrelado à uma senha previamente ca-dastrados, sendo este pessoal e intransferível, ficando vedada a utilização de códigosde acesso genéricos ou comunitários;

h) Não é permitido o compartilhamento de pastas nos computadores de empregados daempresa. Os dados que necessitam de compartilhamento devem ser alocados nosservidores apropriados, atentando às permissões de acesso aplicáveis aos referidosdados;

i) Todos os dados considerados como imprescindíveis aos objetivos da Lumitex devem serprotegidos através de rotinas sistemáticas e documentadas de cópia de segurança,devendo ser submetidos à testes periódicos de recuperação;

j) O acesso à dependências da Lumitex ou à ambientes sob controle da Lumitex dispostosem dependências de seus clientes deve ser controlado de maneira que sejam aplicadosos princípios da integridade, confidencialidade e disponibilidade da informação aliarmazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acessoautorizado;

k) O acesso lógico à sistemas computacionais disponibilizados pela Lumitex deve sercontrolado de maneira que sejam aplicados os princípios da integridade, confidenci-alidade e disponibilidade da informação, garantindo a rastreabilidade e a efetividadedo acesso autorizado;


l) São de propriedade da Lumitex todas as criações, códigos ou procedimentos desenvol-vidos por qualquer empregado, estagiário, aprendiz ou prestador de serviço duranteo curso de seu vínculo com a empresa.

(LUMI, 2013)

B.1.1.2 Privacidade da Informação sob Custódia da Lumitex

Define-se como necessária a proteção da privacidade das informações que estão sobcustódia da Lumitex, ou seja, aquelas que pertencem aos seus clientes e que são manipu-ladas ou armazenadas nos meios às quais a Lumitex detém total controle administrativo,físico, lógico e legal.

As diretivas abaixo refletem os valores institucionais da Lumitex e reafirmam oseu compromisso com a melhoria contínua desse processo:

a) As informações são coletadas de forma ética e legal, com o conhecimento do cliente,para propósitos específicos e devidamente informados;

b) As informações são recebidas pela Lumitex, tratadas e armazenadas de forma segurae íntegra, com métodos de criptografia ou certificação digital, quando aplicável;

c) As informações são acessadas somente por pessoas autorizadas e capacitadas para seuuso adequado;

d) As informações podem ser disponibilizadas a empresas contratadas para prestaçãode serviços, sendo exigido de tais organizações o cumprimento de nossa política ediretivas de segurança e privacidade de dados;

e) As informações somente são fornecidas a terceiros, mediante autorização prévia docliente ou para o atendimento de exigência legal ou regulamentar;

f) As informações e dados constantes de nossos cadastros, bem como outras solicitaçõesque venham garantir direitos legais ou contratuais só são fornecidos aos própriosinteressados, mediante solicitação formal, seguindo os requisitos legais vigentes.

(LUMI, 2013)

B.1.1.3 Classificação da Informação

Define-se como necessária a classificação de toda a informação de propriedade daLumitex ou sob sua custódia, de maneira proporcional ao seu valor para a empresa, parapossibilitar o controle adequado da mesma, devendo ser utilizados os seguintes níveis declassificação:


a) Confidencial: É uma informação crítica para os negócios da Lumitex ou de seus clien-tes. A divulgação não autorizada dessa informação pode causar impactos de ordemfinanceira, de imagem, operacional ou, ainda, sanções administrativas, civis e cri-minais à Lumitex ou aos seus clientes. É sempre restrita a um grupo específico depessoas, podendo ser este composto por empregados, clientes e/ou fornecedores.

b) Pública: É uma informação da Lumitex ou de seus clientes com linguagem e formatodedicado à divulgação ao público em geral, sendo seu caráter informativo, comercialou promocional. É destinada ao público externo ou ocorre devido ao cumprimentode legislação vigente que exija publicidade da mesma.

c) Interna: É uma informação da Lumitex que ela não tem interesse em divulgar, mascujo acesso por parte de indivíduos externos à empresa deve ser evitado. Caso estainformação seja acessada indevidamente, poderá causar danos à imagem da Organi-zação, porém, não com a mesma magnitude de uma informação confidencial. Podeser acessada sem restrições por todos os empregados e prestadores de serviços daLumitex.

(LUMI, 2013)

B.1.1.4 Empregados, Estagiários, Aprendizes e Prestadores de Serviços

Cabe aos empregados, estagiários, aprendizes e prestadores de serviços da Lumitexcumprir com as seguintes obrigações:

a) Zelar continuamente pela proteção das informações da Organização ou de seus clientescontra acesso, modificação, destruição ou divulgação não autorizada

b) Assegurar que os recursos (computacionais ou não) colocados à sua disposição sejamutilizados apenas para as finalidades estatutárias da Organização;

c) Garantir que os sistemas e informações sob sua responsabilidade estejam adequada-mente protegidos;

d) Garantir a continuidade do processa mento das informações críticas para os negóciosda Lumitex;

e) Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual;

f) Atender às leis que regulamentam as atividades da Organização e seu mercado deatuação;

g) Selecionar de maneira coerente os mecanismos de segurança da informação, balance-ando fatores de risco, tecnologia e custo;


h) Comunicar imediatamente à área de Segurança da Informação qualquer descumpri-mento da Política de Segurança da Informação e/ou das Normas de Segurança daInformação.

(LUMI, 2013)

B.1.1.5 Comitê Gestor de Segurança da Informação (C.G.S.I.)

O Comitê Gestor de Segurança da Informação (C.G.S.I.) é um grupo multidiscipli-nar que reúne representantes de diversas áreas da empresa, indicados pelas suas respectivasGerências e com composição aprovada pela Diretoria, com o intuito de definir e apoiarestratégias necessárias à implantação e manutenção do S.G.S.I. Compete ao C.G.S.I.:

a) Propor ajustes, aprimoramentos e modificações na estrutura normativa do S.G.S.I.,submetendo à aprovação da Diretoria;

b) Redigir o texto das normas e procedimentos de segurança da informação, submetendoà aprovação da Diretoria;

c) Requisitar informações das demais áreas da Lumitex, através das diretorias, gerênciase supervisões, com o intuito de verificar o cumprimento da política, das normas eprocedimentos de segurança da informação;

d) Receber, documentar e analisar casos de violação da política e das normas normas eprocedimentos de segurança da informação;

e) Estabelecer mecanismos de registro e controle de eventos e incidentes de segurançada informação, bem como, de não conformidades com a política, as normas ou osprocedimentos de segurança da informação;

f) Notificar as gerências e diretorias quanto a casos de violação da política e das normase procedimentos de segurança da informação;

g) Receber sugestões dos gestores da informação para implantação de normas e procedi-mentos de segurança da informação;

h) Propor projetos e iniciativas relacionadas à melhoria da segurança da informação;

i) Acompanhar o andamento dos projetos e iniciativas relacionados à segurança da infor-mação;

j) Propor a relação de gestores da informação;

k) Realizar, sistematicamente, a gestão dos ativos da informação;


l) Gerir a continuidade dos negócios, demandando junto às diversas áreas da empresa,planos de continuidade dos negócios, validando-os periodicamente;

m) Realizar, sistematicamente, a gestão de riscos relacionados a segurança da informação.

(LUMI, 2013)

B.1.1.6 Gestor da Informação

O Gestor da Informação é um empregado da Lumitex, sugerido pelo Comitê Gestorde Segurança da Informação (C.G.S.I.) e designado pela Diretoria como responsável porum determinado ativo de informação.

Este gestor deve dominar todas as regras de negócio necessárias à criação, manu-tenção e atualização de medidas de segurança relacionadas ao ativo de informação sobsua responsabilidade, seja este de propriedade da Lumitex ou de um cliente.

O Gestor da Informação pode delegar sua autoridade sobre o ativo de informação,porém, continua sendo dele a responsabilidade final pela sua proteção.

Compete ao gestor da informação:

a) Classificar a informação sob sua responsabilidade, inclusive aquela gerada por clientes,fornecedores ou outras entidades externas, que devem participar do processo dedefinição do nível de sigilo da informação;

b) Inventariar todos os ativos de informação sob sua responsabilidade;

c) Enviar ao C.G.S.I., quando solicitado, relatórios sobre as informações e ativos de in-formação sob sua responsabilidade. Os modelos de relatórios serão definidos peloC.G.S.I. e aprovados pela Diretoria;

d) Sugerir procedimentos ao C.G.S.I. para proteger os ativos de informação, conforme aclassificação realizada, além da estabelecida pela Política de Segurança da Informa-ção e pelas Normas de Segurança da Informação;

e) Manter um controle efetivo do acesso à informação, estabelecendo, documentando efiscalizando a política de acesso à mesma. Tal política deve definir quais usuáriosou grupos de usuários têm real necessidade de acesso à informação, identificando osperfis de acesso;

f) Reavaliar, periodicamente, as autorizações dos usuários que acessam as informaçõessob sua responsabilidade, solicitando o cancelamento do acesso dos usuários que nãotenham mais necessidade de acessar a informação;


g) Participar da investigação dos incidentes de segurança relacionados às informações sobsua responsabilidade.

(LUMI, 2013)

B.1.1.7 Gerências

Cabe às gerências:

a) Cumprir e fazer cumprir a política, as normas e procedimentos de segurança da infor-mação;

b) Assegurar que suas equipes possuam acesso e entendimento da política, das normas edos procedimentos de Segurança da Informação;

c) Sugerir ao C.G.S.I., de maneira pró-ativa, procedimentos de segurança da informaçãorelacionados às suas áreas;

d) Redigir e detalhar, técnica e operacionalmente, as normas e procedimentos de segu-rança da informação relacionados às suas áreas, quando solicitado pelo C.G.S.I.;

e) Comunicar imediatamente ao C.G.S.I. eventuais casos de violação da política, de nor-mas ou de procedimentos de segurança da informação.

(LUMI, 2013)

B.1.1.8 Gerência Jurídica

Cabe, adicionalmente, à gerência jurídica:

a) Manter as áreas da Lumitex informadas sobre eventuais alterações legais e/ou regu-latórias que impliquem responsabilidade e ações envolvendo a gestão de segurançada informação;

b) Incluir na análise e elaboração de contratos, sempre que necessário, cláusulas específi-cas relacionadas à segurança da informação, com o objetivo de proteger os interessesda Lumitex;

c) Avaliar, quando solicitado, a política, as normas e procedimentos de segurança dainformação.

(LUMI, 2013)


B.1.1.9 Gerência de Recursos Humanos

Cabe, adicionalmente, à gerência de recursos humanos:

a) Assegurar-se de que os empregados, estagiários, aprendizes e prestadores de servi-ços comprovem, por escrito, estar cientes da estrutura normativa do S.G.S.I. e dosdocumentos que a compõem;

b) Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimentotécnico mais adequado, alterações no quadro funcional da Lumitex .

(LUMI, 2013)

B.1.1.10 Área de Segurança da Informação

Cabe à área de segurança da informação:

a) Consolidar e coordenar a elaboração, acompanhamento e avaliação do S.G.S.I.;

b) Convocar, coordenar e prover apoio às reuniões do C.G.S.I.;

c) Prover as informações de gestão de segurança da informação solicitadas pelo C.G.S.I.;

d) Facilitar a conscientização, a divulgação e o treinamento quanto à política, às normase os procedimentos de segurança da informação;

e) Executar projetos e iniciativas visando otimizar a segurança da informação na Lumitex.

(LUMI, 2013)

B.1.1.11 Diretoria Executiva

Cabe à diretoria executiva:

a) Aprovar a política e as normas de segurança da informação e suas revisões;

b) Aprovar a composição do C.G.S.I.;

c) Nomear os gestores da informação, conforme as indicações do C.G.S.I.;

d) Receber, por intermédio do C.G.S.I., relatórios de violações da política e das normasde segurança da informação, quando aplicável;

e) Tomar decisões referentes aos casos de descumprimento da política e das normas desegurança da informação, mediante a apresentação de propostas do C.G.S.I.

(LUMI, 2013)


B.1.1.12 Auditoria

a) Todo ativo de informação sob responsabilidade da Lumitex é passível de auditoriaem data e horários determinados pelo C.G.S.I., podendo esta, também, ocorrer semaviso prévio.

b) A realização de uma auditoria deverá ser, obrigatoriamente, aprovada pela Diretoriae, durante a sua execução, deverão ser resguardados os direitos quanto a privacidadede informações pessoais, desde que estas não estejam dispostas em ambiente físicoou lógico de propriedade da Lumitex ou de seus clientes de forma que se misture ouimpeça o acesso à informações de propriedade ou sob responsabilidade da Lumitex.

c) Com o objetivo de detectar atividades anômalas de processamento da informação eviolações da política, das normas ou dos procedimentos de segurança da informa-ção, a área de Segurança da Informação poderá realizar monitoramento e controleproativos, mantendo a confidencialidade do processo e das informações obtidas.

d) Em ambos os casos, as informações obtidas poderão servir como indício ou evidênciaem processo administrativo e/ou legal.

(LUMI, 2013)

B.1.1.13 Violações

É dever de todos dentro da lumitex:

d) Considerar a informação como sendo um bem da organização, um dos recursos críticospara a realização do negócio, que possui grande valor para a LUMITEX e devesempre ser tratada profissionalmente, analisar e olhar para a informação como sendoúnica sempre e a preservando-a.

d) A LUMITEX se compromete em não acumular ou manter intencionalmente DadosPessoais de funcionários além daqueles relevantes na condução do seu negócio.

d) Todos os Dados Pessoais de Funcionários serão considerados dados confidenciais.

d) Dados Pessoais de Funcionários sob a responsabilidade da Lumitex não serão usadospara fins diferentes daqueles para os quais foram coletados.

d) Dados Pessoais de Funcionários não serão transferidos para terceiros, exceto quandoexigido pelo nosso negócio, e desde que tais terceiros mantenham a confidencialidadedos referidos dados, incluindo-se, neste caso a lista de endereços eletrônicos (e-mails)usados pelos funcionários da Lumitex.


(LUMI, 2013)

São violações:

a) Quaisquer ações ou situações que possam expor a Lumitex ou seus clientes à perdafinanceira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendoseus ativos de informação;

b) Utilização indevida de dados corporativos, divulgação não autorizada de informações,segredos comerciais ou outras informações sem a permissão expressa do Gestor daInformação;

c) Uso de dados, informações, equipamentos, software, sistemas ou outros recursos tec-nológicos, para propósitos ilícitos, que possam incluir a violação de leis, de regula-mentos internos e externos, da ética ou de exigências de organismos reguladores daárea de atuação da Lumitex ou de seus clientes;

d) A não comunicação imediata à área de Segurança da Informação de quaisquer descum-primentos da política, de normas ou de procedimentos de Segurança da Informação,que porventura um empregado, estagiário, aprendiz ou prestador de serviços venhaa tomar conhecimento ou chegue a presenciar.

d) Expor a Companhia a uma perda monetária efetiva ou potencial por meio do com-prometimento da segurança dos dados /ou de informações ou ainda da perda deequipamento.

d) Envolver a revelação de dados confidenciais, direitos autorais, negociações, patentesou uso não Autorizado de dados corporativos.

d) Envolver o uso de dados para propósitos ilícitos, que venham a incluir a violação dequalquer lei, regulamento ou qualquer outro dispositivo governamental.

(LUMI, 2013)

B.1.1.14 Sanções

A violação à política, às normas ou aos procedimentos de segurança da informaçãoou a não aderência à política de segurança da informação da Lumitex são consideradasfaltas graves, podendo ser aplicadas penalidades previstas em lei.(LUMI, 2013)

B.1.1.15 Legislação Aplicável

Correlacionam-se com a política, com as diretrizes e com as normas de segurançada informação as leis abaixo relacionadas, mas não se limitando às mesmas:


a) Lei Federal 8159, de 08 de janeiro de 1991 (Dispõe sobre a Política Nacional de Ar-quivos Públicos e Privados);

b) Lei Federal 9610, de 19 de fevereiro de 1998 (Dispõe sobre o Direito Autoral);

c) Lei Federal 9279, de 14 de maio de 1996 (Dispõe sobre Marcas e Patentes);

d) Lei Federal 3129, de 14 de outubro de 1982 (Regula a Concessão de Patentes aosautores de invenção ou descoberta industrial);

e) Lei Federal 10406, de 10 de janeiro de 2002 (Institui o Código Civil);

f) Decreto-Lei 2848, de 7 de dezembro de 1940 (Institui o Código Penal);

f) Lei Federal 9983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembrode 1940 - Código Penal e dá outras providencias).

111

APÊNDICE C – Planta Baixa

APÊNDICE C. Planta Baixa 112

Figura 17 – Térreo e backbone


Figura 18 – Térreo


Figura 19 – Primeiro andar


Figura 20 – Segundo andar


Figura 21 – Data Center

117

APÊNDICE D – Faces dos Racks

APÊNDICE D. Faces dos Racks 118

Figura 22 – Face do rack da Sala de Equipamentos Datacenter


Figura 23 – Face do rack do Datacenter


Figura 24 – Cabeamento vertical


Figura 25 – Sala de telecomunicações térreo


Figura 26 – Sala de telecomunicações primeiro andar


Figura 27 – Sala de telecomunicações segundo andar

124

APÊNDICE E – Relação dos materiais

Figura 28 – Relação de materiais

125

APÊNDICE F – Memorial descritivo

F.1 Dados básicos

F.1.1 Nome da edificação: Lumitex

F.1.2 Endereço: Rua do Semeador, 464, Cidade Industrial ,Curitiba - PR,81270-050.

F.1.3 Proprietário: José Augusto França - R. Rockefeller, 1310 - Rebouças,Curitiba - PR, (41)80230-130, (41)35643132)

F.1.4 Construtora: Baggio - Rua Nestor Victor, 839 , Água Verde, Curitiba -PR, (41)3025-6111

F.1.5 Previsão de início e término da obra: Obra está terminada

F.2 Informações estatísticas

F.2.1 Tipo de edificação: Comercial multiusuário

F.2.2 Número de pavimentos: 3

F.2.3 Área útil da edificação: 3.360 m2

F.2.4 Metragem por andar: 1.057,16 m2

F.2.5 Metragem Datacenter: 244,66 m2

F.2.6 Pé direito: 2,95 m

F.2.7 Número de pontos: 558

APÊNDICE F. Memorial descritivo 126

F.2.8 Descrição dos pontos: Térreo 14 pontos ou 7 áreas de trabalho, 10pontos para câmeras: 1 andar 308 pontos ou 154 áreas de trabalho, 9pontos para câmeras e 5 pontos para impressoras:2 andar 166 pontos ou83 áreas de trabalho, 9 pontos para câmeras e 5 pontos para impressora:Datacenter 16 pontos ou 8 áreas de trabalho, 2 pontos para câmeras:12 pontos para câmeras externas e 2 pontos ou uma área de trabalhopara guarita.

F.2.9 Escritórios: 2 andares em áreas de escritório

F.2.10 Piso elevado: altura de 300 mm e placas de 600 x 600 mm comrevestimento anti-estático e aterramento.

F.2.11 Eletro calhas: Instalação sob o piso elevado, centralmente nos pavi-mentos e seguindo sentidos longitudinal e transversal de 37,97 metrospara o datacenter e 114,97 metros para o edifício da matriz, de eletrocalha em aço galvanizado de 100x50 mm, lisa, com virola, com tampasob chão.

F.2.12 Eletro duto: Instalação dos eletro dutos para o cabeamento CFTVseguirá em dois caminhos, um de cada lado no corredor central sobreo forro, sendo 1 1/2 41mm fixadas por braçadeiras a cada 2 metrosna laje. Para cabeamento externo o mesmo seguirá por canaletas soba calçada.

F.3 Informações especiaisÁreas de trabalho: Esse local é destinado aos funcionários que executam as ativi-

dades primárias. Na área de trabalho, temos um total de 184 espelhos de telecomunicaçãocom duas tomadas para atender toda a demanda dos andares. Das áreas de trabalhoseguem cabos utps até as salas de telecomunicações de cada andar.

Cabeamento vertical: O backbone saí da sala de equipamentos, e tem a funçãode interligar todo o cabeamento que sai dele para ser distribuído nos pavimentos. Nessesubsistema será usada fibra óptica. O cabeamento vertical usará 512m de fibra ópticamultimodo.

Cabeamento Horizontal: O cabeamento horizontal possui uma metragem total de6.683m, no térreo serão utilizados 362m, no 1o andar 4.164m, no 2o andar 2029m e no data

APÊNDICE F. Memorial descritivo 127

Center 128m de cabos UTP Cat6a. Esse subsistema interliga a sala de telecomunicaçõesàs áreas de trabalho.

Sala de telecomunicações: Nestas sala são recebidos os cabos para distribuição emcada pavimento, as fibras vindas diretas do data Center são manobradas nesta sala paraos switches de acesso.

Sala de equipamentos: Em uma sala separada dentro do Data Center fica a salacom os equipamentos centrais da rede, e os switches cores, o IPS e o load balance. Asmanobras necessárias são feitas pelos patch panel nesta sala.

Datacenter: A sala do Data Center abriga os equipamentos de armazenamento,dois servidores blade com 10 laminas cada sendo 20 servidores físicos e 20 servidoresvirtuais.

Sala de entrada: Neste local encontram-se os cabos externos da companhia telefô-nica, que são interligados com o cabeamento interno do edifício.

F.3.1 Há previsão de instalação de CPCT ? Sim ( ) Não (x)

F.3.2 Há previsão de instalação de serviços especiais de imagem ou de au-tomação (circuito interno de vídeo, TV a cabo, controles ambientais(ar-condicionado e ventilação) controle de acesso, controle de ilumina-ção, sensores de fumaça, sistema de segurança, sonorização) ? Sim (X)Não ( )

F.3.3 Observações

Seis cabos de fibra vão distribuir a rede para cada andar, sendo que são: um cabopor andar e um cabo de redundância disposto junto ao principal.

As câmeras de cftv estarão distribuídas pelo perímetro e internamente em redelógica isolada.

A montagem dos cabos UTP na caixa de superfície e patch panel deverá obedecera codificação de cores estabelecida pela norma EIA/TIA 568-B.

F.4 Responsável pelo projeto: Equipe interna da empresa Lumitex

F.4.1 Nome do responsável: Gerson Nobre, Vanessa Neckel, José Carlos, Ales-sandra Fonseca

F.4.2 Título profissional: Analistas de Infraestrutura

TCC

Documents

Transcript of TCC