CONTROLE DE REDE
Prof. José Augusto Suruagy Monteiro
Capítulo 3 de William Stallings. SNMP, SNMPv2,
SNMPv3, and RMON 1 and 2, 3rd. Edition.
Addison-Wesley, 1999.
Baseado em slides do Prof. Chu-Sing Yang
(Department of Electrical Engineering – National
Cheng Kung University)
Roteiro
Introdução
Controle de Configuração
Controle de Segurança
Introdução
4
Controle de rede está relacionado com a
modificação
de parâmetros
e em
causar ações
a serem executadas
pelos sistemas finais, sistemas intermediários e pelas
sub-redes
FCAPS envolve tanto a monitoração como o controle
Monitoração de rede
Monitoração de desempenho Monitoração de falha
Monitoração de contabilização
Ênfase em controle de rede
Controle de configuração Controle de segurança
Roteiro
Introdução
Controle de Configuração
Controle de Segurança
Gerenciamento de configuração
6
Está relacionado com a inicialização, manutenção e desligamento de
componentes individuais e subsistemas lógicos dentro da configuração total dos recursos de computação e comunicação de uma instalação
Dita o processo de inicialização através da identificação e especificação
das características dos recursos de rede que constituirão a “rede”
Recursos físicos identificáveis (ex., servidor ou roteador)
Objetos lógicos de baixo nível (ex. temporizador de retransmissão da camada de transporte)
Especifica valores iniciais ou default para os atributos
Recursos gerenciados operam nos estados desejados, possuem os valores adequados dos parâmetros e formam o relacionamento desejado com outros componentes
Enquanto a rede estiver em operação, CM é responsável por monitorar a
configuração e realizar mudanças em resposta a comandos do usuário ou em resposta a outras funções de gerenciamento de redes
PM detecta que o tempo de resposta está degradando FM detecta e isola a falha
Funções do Gerenciamento de
Configurações
7
Define a informação de configuração
Atribui e modifica valores de atributos
Define e modifica relacionamentos
Inicializa e encerra operações da rede
Distribui software
Examina valores e relacionamentos
Monitoração de configuração
8
Examina valores e relacionamentos
Através de uma interação de consulta-resposta, o
gerente examina a informação de configuração
mantida pela estação agente
Relata o status de configuração
Através de relatórios de eventos, um agente relata
Informação de configuração
9
Descreve a
natureza e o status
de recursos de interesse
para o gerenciamento da rede
Inclui uma especificação dos recursos sob
gerenciamento e os atributos destes recursos
Recursos de rede
Recursos físicos
Sistemas finais, roteadores, switches, bridges, recursos e serviços de
comunicação, meios de comunicação, modems
Recursos lógicos
Temporizadores, contadores e circuitos virtuais
Atributos
Nome, endereço, número de ID, características operacionais,
Informação de configuração
10
Como uma lista simples estruturada de campos de dados
Cada campo contém um único valor Abordagem SNMP
Como um banco de dados orientado a objetos
Cada elemento é representado por um ou mais objetos
Cada objeto contém atributos cujos valores refletem as características dos elementos
representados
Um objeto pode também conter comportamentos
Notificações são emitidas se ocorrerem certos eventos relacionados com o elemento
Usa relacionamentos de “containment” e herança entre objetos Abordagem do gerenciamento de rede OSI
Como um banco de dados relacional
Campos individuais do banco de dados contêm valores que refletem as características dos elementos de rede
A estrutura do banco de dados reflete os relacionamentos entre os elementos de rede
Função de controle de erro
11
Permite ao usuário especificar a
faixa e tipo dos valores
que podem ser atribuídos aos atributos especificados de um
recurso em um agente em particular
A faixa pode ser uma lista de todos os estados possíveis
Os limites inferior e superior permitidos para parâmetros e
atributos
O tipo do valor permitido para um atributo pode ser também
especificado
Define novos tipos de objetos ou tipos de elementos de
dados a depender do tipo do banco de dados
Define novos objetos on-line a ser criados nos agentes e proxies
apropriados
Atribui e modifica valores de atributos
12
Função de controle de configuração permite a um
gerente atribuir e modificar valores de atributos
remotamente em agentes e proxies
Duas limitações
Preocupação com segurança: um gerente deve estar
autorizado
Alguns atributos refletem a realidade em um recurso, e
não podem ser modificados remotamente
Modificação de atributo
13
Apenas atualização da base de dados
Gerente emite um comando de modificação para um agente para que
este modifique um ou mais valores na base de dados de configuração
Gerente muda a informação de contato
Atualização da base de dados e modificação do recurso
Um comando de modificação atualiza valores do BD de configuração e
afeta um recurso associado
Muda o atributo de estado de uma porta física para desabilitado
(disabled)
Atualização da base de dados e ação
Alguns NMSs não possuem “comandos de ação” diretos
Atribui parâmetros no BD para iniciar uma determinada ação
Gerente seta parâmetro de reinicialização para “V”
Durante a reinicialização, o parâmetro é setado para “F” e o roteador é
Define e modifica relacionamentos
14
Descreve uma associação, conexão ou condição que
existe entre recursos ou componentes de rede
Uma topologia, hierarquia, uma conexão física ou lógica
Um domínio de gerenciamento
É um conjunto de recursos que compartilham um conjunto comum
de atributos de gerenciamento
Ou um conjunto de recursos comuns compartilhando a mesma
autoridade de gerenciamento
Permitida a modificação on-line dos recursos
O usuário pode adicionar, deletar e modificar os
Inicializa e encerra operações da rede
15
CM inclui mecanismos que permitem os usuários
inicializar e encerrar a operação da rede ou da
sub-rede
Inicialização
Verifica que todos os atributos e relacionamentos de recursos
foram apropriadamente setados
Notifica usuários sobre qualquer recurso, atributo ou
relacionamento que ainda precisa ser setado
Valida comandos de inicialização de usuários
Encerramento
Permite aos usuários solicitar a recuperação de estatísticas, blocos
ou informações de status especificados antes que os procedimentos de encerramento sejam completados.
Distribui software
16
CM provê a capacidade de distribuir software através da
configuração do sistema final e de sistemas intermediários
Permite a solicitação de carga de software
Transmite a versão especificada do software
Atualiza a configuração dos sistemas de rastreamento
A função de distribuição de software inclui
software executável
,
tabelas
e outros dados que guiam o comportamento de um nó
Tabelas de roteamento usadas pelos roteadores
O usuário necessita mecanismos para examinar, atualizar e
gerenciar diferentes versões de software e informação de
roteamento
Usuários podem especificar a carga de diferentes versões de software
ou tabelas de roteamento baseados numa condição particular
Roteiro
Introdução
Controle de Configuração
Controle de Segurança
Controle de Segurança
18
Segurança computacional
Conjunto de ferramentas projetadas para proteger os
dados e bloquear hackers
Segurança de rede
Usa os recursos de rede e de comunicação para transportar
dados entre o terminal do usuário e o computador
Necessita proteger os dados durante a sua transmissão
Gerenciamento de segurança
Lida com a provisão de segurança tanto computacional
como de rede para recursos sob seu gerenciamento
Requisitos de segurança
19
Sigilo
Informação no sistema computacional pode ser acessível
apenas para leitura por parceiros autorizados
Impressão, apresentação
Integridade
Recursos do sistema computacional podem ser modificados
apenas por parceiros autorizados
Modificação inclui escrita, modificação, descarte, criação
Disponibilidade
Recursos computacionais estão disponíveis para os parceiros
Tipos de Ameaças
Interrupção
Um recurso do sistema é
destruído, se torna
indisponível ou inutilizável
Ameaça à disponibilidade Destrói uma peça dehardware, corta uma linha de comunicação, desabilita o sistema de gerenciamento de arquivos
20
Tipos de Ameaças
Interceptação:
Parceiros não autorizados
ganham acesso a um dado conteúdo
É uma ameaça ao sigilo
Parceiro não autorizado pode
ser uma pessoa, um programa ou um computador
21
Modificação:
Parceiros não autorizados não
apenas ganham acesso, mas modificam um conteúdo
É uma ameaça à integridade Modifica valores em um
arquivo de dados, altera um programa para executar de forma diferente e modifica o conteúdo de mensagens sendo transmitidas pela rede
Tipos de Ameaças
22
Fabricação
Um parceiro não autorizado insere objetos falsificados
no sistema
É uma ameaça à integridade
Insere mensagens espúrias em uma rede ou adiciona
Recursos e Ameaças de Segurança
Recursos e Ameaças de Segurança
24 Disponibilidade Sigilo Integridade
Hardware Equipamento é roubado
ou desabilitado negando, portanto, serviço
--- ---
Software Programas são
deletados, negando acesso aos usuários
É realizada uma cópia não autorizada do software
Um programa é modificado para que falhe durante a execução ou execute alguma tarefa não esperada
Dados Arquivos são deletados,
negado acesso aos usuários
É realizada uma leitura de dados não
autorizada. Uma análise de dados estatísticos revela dados subjacentes
Arquivos existentes são modificados ou novos arquivos são fabricados
Enlaces de comunicação Mensagens são destruídas ou descartadas. Enlaces de comunicação ou redes ficam indisponíveis
Mensagens são lidas. É observado o padrão de tráfego de mensagens
Mensagens são modificadas, atrasadas, reordenadas ou duplicadas. Mensagens falsas são fabricadas.
Ameaças aos Sistemas Computacionais
25
Ameaças ao hardware
Inclui dano acidental deliberado ao equipamento assim como
roubo
Necessita medidas de segurança física e administrativa
Afeta a disponibilidade
Ameaças ao software
SO, programas utilitários e aplicações são o que tornam o
hardware dos sistemas computacionais útil para empresas e
indivíduos
Software pode ser deletado, alterado ou danificado
Modificação no software pode fazer com que o programa ainda
funcione mas se comporte de forma diferente do eu antes
Vírus de computador e ataques relacionados
Sigilo de software
Ameaças aos Dados
26
Disponibilidade
Destruição dos arquivos de dados
Sigilo
Leitura não autorizada de arquivos ou bancos de
dados
Análise de dados e uso de base de dados estatísticos
que provê informação agregada
Integridade
Ameaças de Segurança Ativas e
Passivas
27
Ameaças passivas
Acesso ao conteúdo de mensagens
Análise de tráfego
Ameaças ativas
Interrupção (disponibilidade)
Modificação (integridade)
Fabricação (integridade)
Ameaças Passivas
28
São a natureza das escutas ou monitoração de
transmissões
Acesso ao conteúdo de mensagens
Conversas telefônicas, e-mail, arquivos
Análise de tráfego
O atacante identifica a localização e a identidade dos
hosts comunicantes
Observa a frequência e o comprimento das mensagens
trocadas
Pode ser útil para adivinhar a comunicação
Ameaças Ativas
29
Envolve alguma modificação no fluxo de dados ou a criação de um
fluxo falso
Modificação de um fluxo de mensagens
Algumas partes de mensagens legítimas são alteradas, ou as mensagens
são atrasadas, reproduzidas, ou reordenadas, de modo a produzir um efeito não autorizado
Negação de serviço de mensagem
Previne ou inabilita o uso ou gerenciamento normal dos recursos de
comunicação
Interrompe toda a rede
Desabilitando a rede
Sobrecarregando a rede com mensagens que degradam o desempenho
Falsidade Ideológica (Mascaramento)
Uma entidade se faz passar por uma outra
Inclui uma das outras duas formas de ataque ativo Captura e reproduz uma sequência de autenticação
Ameaças ao NMS
30
Mascaramento do usuário
Um usuário que não está autorizado a executar funções de
gerência de rede pode tentar acessar aplicação e
informação de gerência de rede
Mascaramento do gerente da rede
Um computador pode se disfarçar de estação de gerência
da rede
Interferência na comunicação entre gerente e agente
Observa o tráfego do protocolo gerente-agente para
extrair informações de gerência sensíveis
Modifica o tráfego para interromper a operação do agente ou
Funções da Gerência de Segurança
31
Os recursos de segurança de um sistema ou de uma
rede de sistemas consiste de um conjunto de
serviços e mecanismos de segurança
Foco no gerenciamento dos recursos de segurança
Manutenção de informação de segurança
Controle do serviço de acesso a recursos
Controle do processo de encriptação
Manutenção de informação de
segurança
32
Informação de segurança
Inclui chaves, informação de autenticação, informação de direitos de
acesso e parâmetros de operação de serviços e mecanismos de segurança
Funções
Registro de eventos, e manutenção e exame de registros de segurança
Monitoração de rastros de auditoria de segurança
Monitoração de uso e usuários de recursos relacionados com segurança
Relato de violações de segurança
Recepção de notificação de violações de segurança
Manutenção de cópias de backup para todos ou parte dos arquivos
relacionados com segurança
Manutenção de perfis gerais dos usuários de rede, e perfis de uso para
recursos específicos, para permitir referências para conformidade com perfis de segurança designados
Controle do serviço de acesso a
recursos
33
Controle de acesso é um serviço central para os recursos de
segurança
Autenticação
Autorização
Decisão para garantir ou recusar acesso a recursos específicos
Protege uma larga faixa de recursos de rede
Códigos de segurança
Roteamento pela origem e informação de registro de rotas
Diretórios
Tabelas de roteamento
Níveis de limiares de alarmes
Tabelas de contabilização
Controle do serviço de acesso a
recursos
34
Gerenciamento de segurança gerencia o serviço de
controle de acesso
Mantém perfis gerais dos usuários da rede e perfis de
uso para recursos específicos
Atribui prioridades de acesso
Permitem que o usuário
Crie/descarte objetos relacionados com segurança
Modifique atributos ou estado
Controle do processo de encriptação
35
O gerenciamento de segurança
Encripta (codifica) qualquer troca de mensagens
entre gerentes e agentes
Facilita o uso de encriptação por outras entidades
de rede