Projeto Interdisciplinar para Implantação de Rede de Computadores

Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel
Projeto Interdisciplinar para Implantao de Rede de Computadores
Brasil 2013
Trabalho Interdisciplinar, para o curso de tecnologia em redes de computadores das Faculdades Integradas Santa Cruz de Curitiba, apresentando proposta de projeto de rede de computadores para empresa do setor naceiro.
Faculdades Integradas Santa Cruz de Curitiba Tecnologia em Redes de Computadores Programa de Graduao
Orientadores: Joo Batista Tsuruda Amaral Kurlam Treich Tom Eurides Bastos Junior Denilson Augusto Domingues
Brasil 2013
Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel Projeto Interdisciplinar para Implantao de Rede de Computadores / Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel Brasil, 2013130 p. : il. (algumas color.) ; 30 cm. Orientadores: Joo Batista Tsuruda Amaral Kurlam Treich Tom Eurides Bastos Junior Denilson Augusto Domingues Trabalho Interdisciplinar Faculdades Integradas Santa Cruz de Curitiba Tecnologia em Redes de Computadores Programa de Graduao, 2013. 1. Palavra-chave1. 2. Palavra-chave2. I. Orientador. II. Universidade xxx. III. Faculdade de xxx. IV. Ttulo CDU 02:141:005.7

Trabalho Interdisciplinar, para o curso de tecnologia em redes de computadores das Faculdades Integradas Santa Cruz de Curitiba, apresentando proposta de projeto de rede de computadores para empresa do setor naceiro. Trabalho aprovado. Brasil, 19 de novembro de 2013
Professor Joo Batista Tsuruda Amaral
Professor Kurlam Treich Tom
Professor Eurides Bastos Junior
Professor Denilson Augusto Domingues
Brasil 2013
Resumo
Nesse trabalho tratamos de todos os processos envolvidos na elaborao e implementao de um projetos de rede. Entre as tecnologias aplicadas, e as normas para seguir a boa prtica de mercado dentro das normas internacionais, h uma grande possibilidade de solues que podem satisfazer a todos os requisitos. Porm, para a conduo do um projeto, a anlise do negcio que abrigar as implementaes, deve ser o ponto de partida na construo de uma soluo vivel e ecaz. Outro ponto importante, o planejamento bem dimensionado das etapas e cronogramas que sero aplicados. O estudo das fazes que devem preceder a implementao deve ser feito de forma analtica, para evitar retrabalhos em fases posteriores. Palavras-chaves: Segurana. Redes de computadores. Projeto de redes. .
Lista de ilustraes
Figura 1 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. . 23 Figura 2 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. . 24 Figura 3 Tabela de downtime. Fonte: Smolka et catervarii J. R. Smolka 2011 . . 46 Figura 4 Crongrama Geral do Projeto . . . . . . . . . . . . . . . . . . . . . . . . 59 Figura Figura Figura Figura 5 6 7 8 Lista de ativos e material de comunicao Integrao matriz e lias . . . . . . . . . . Lan Lumitex . . . . . . . . . . . . . . . . Congurao para o Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 63 63 66
Figura 9 Exemplo de coleta de dados da CPU usando Zabbix . . . . . . . . . . . 74 Figura 10 Exemplo de coleta de dados do disco usando Zabbix . . . . . . . . . . . 74 Figura 11 Exemplo de coleta de dados de processos usando Zabbix . . . . . . . . 75 Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Crongrama de implantao do projeto . Custo do pavimento trreo e datacenter Custo primeiro andar . . . . . . . . . . . Custo segundo andar e total geral . . . . Custo Sala de Equipamentos . . . . . . . Trreo e backbone Trreo . . . . . . . Primeiro andar . . Segundo andar . . Data Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 81 81 81 82 115 116 117 118 119 121 122 123 124 125 126
Face do rack da Sala de Equipamentos Datacenter . Face do rack do Datacenter . . . . . . . . . . . . . Cabeamento vertical . . . . . . . . . . . . . . . . . Sala de telecomunicaes trreo . . . . . . . . . . . Sala de telecomunicaes primeiro andar . . . . . . Sala de telecomunicaes segundo andar . . . . . .
Figura 28 Relao de materiais . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Lista de tabelas
Tabela Tabela Tabela Tabela Tabela Tabela Tabela Tabela Tabela 1 2 3 4 5 6 7 8 9 Lista dos servios que os usurios Lista de servidores na matriz . . Lista de acessos . . . . . . . . . . Objetos do rewall . . . . . . . . Listagem Setores Crticos . . . . Funo Critica Setor Financeiro . Funo Critica Setor Call Center Efeitos de parada nos negcios . Recursos a recuperar . . . . . . . tero . . . . . . . . . . . . . . . . . . . . . . . . acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 62 65 65 68 68 69 69 70
Tabela 10 Detalhamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Tabela 11 Plano de ao para ocorrncias . . . . . . . . . . . . . . . . . . . . . . 77 Tabela 12 Escala de acionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Lista de abreviaturas e siglas

Posic TI SNMP IP ICMP ISO MPLS Vlan VPN TCP HTTP RAID SAN TCP DNS UDP DNS UDP Politca de Segurana da Informao Tecnologia d Informao simple Netwoork Manegement Protocol Internet Protocol Internet Control Message Protocol International Organization for Standartization Multi protocol Label Switching Virtual Local area Network Virtual Private Network transmission Control Protocol Hypertext tranfer Protocol Redundnte Arrays of Independent Disks Storage area network transmission Control Protocol Domain Name System User datagram Protocol Domain Name System User datagram Protocol
Sumrio
Sumrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
I
1 1.1 1.2 1.3 1.3.1
Fundamentao Terica
Segurana de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de Segurana de TI . . . . . . . . . . . . . . . . . . . . . . . Plano de Continuidade de TI . . . . . . . . . . . . . . . . . . . . . . . Poltica (Plano) de Backup . . . . . . . . . . . . . . . . . . . . . . . . Primeira Etapa: A conscientizao da necessidade do backup de dados, que pode partir tanto da rea de Tecnologia da Informao quanto da rea administrativa da organizao. . . . . . . . . . . . . . . . . . . . . . . . . Segunda Etapa: A denio dos responsveis pelo planejamento de backup de dados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Terceira Etapa: A disponibilizao de recursos para que essas equipes possam planejar o backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Quarta Etapa: A determinao das aes a serem planejadas. . . . . . . . . Plano de Gerenciamento e Monitoramento de ativos e aplicaes . Protocolos SNMP e ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arquitetura e Roteamento TSL . . . . . . . . . . . . . . Protocolos SSL . . . . . . . Protocolo HTTPS . . . . . Protocolo FTPS . . . . . . Protocolo SSH . . . . . . . Kerberos . . . . . . . . . . . Radius . . . . . . . . . . . . MPlS . . . . . . . . . . . . . OpenVpn . . . . . . . . . . Tecnologias de transmisso Wireless . . . . . . . . . . . . Wimax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
17 17 18 19
20 20 20 20 21 23
23 25
1.3.2 1.3.3 1.3.4 1.4 1.4.1

1.4.1.1 1.4.1.2
2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.10.1
2.10.1.1
26 26 27 27 27 28 28 30 31 31 32 32
33
2.10.1.2
2.10.2 2.10.3 2.10.4 2.10.5

2.10.5.1 2.10.5.2
. . . . . . Cat5e . . . . Cat6 . . . . . Cat6a . . . . Fibras pticas

3G
2.11 2.11.1 2.11.2 2.11.3 2.11.4 3 3.1 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . multimodo, monomodo Fibra Monomodo . . . . . . . . . . . . Fibras Multimodo . . . . . . . . . . . . Segmentao da rede . . . . . . . DMZ . . . . . . . . . . . . . . . . . MZ . . . . . . . . . . . . . . . . . . SAN . . . . . . . . . . . . . . . . . . NAS . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
34
35 35 35 35
36 36
37 37 38 38 39 40 40 41 42 42 44 44 45 47 48 49
Projeto de Redes . . . . . . . . . . . Projeto de Redes . . . . . . . . . . . Cabeamento estruturado . . . . . . Funcionalidade . . . . . . . . . . . . . Capacidade de rede . . . . . . . . . . . Tecnologias utilizadas . . . . . . . . . . Equipamentos utilizados . . . . . . . . Disponibilidade . . . . . . . . . . . . . Desempenho . . . . . . . . . . . . . . Escalabilidade . . . . . . . . . . . . . . Subsistemas do cabeamento estruturado
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
II
4 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 5 6
Planejamento da soluo de TI
Escopo do projeto . . . . . . . . . . . . . . . . . . . . . . . . Funcionalidade . . . . . . . . . . . . . . . . . . . . . . . . . . . Capacidade de rede . . . . . . . . . . . . . . . . . . . . . . . . Tecnologias utilizadas . . . . . . . . . . . . . . . . . . . . . . . Equipamentos utilizados . . . . . . . . . . . . . . . . . . . . . . Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . Desempenho . . . . . . . . . . . . . . . . . . . . . . . . . . . . Subsistemas do cabeamento estruturado . . . . . . . . . . . . Recursos tcnicos e mo de obra . . . . . . . . . . . . . . . . . Cronograma Geral do Projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
53 54 54 55 56 56 56 56 57
. . . . . . . . . . . . . . . . . . . . . 59
Plano de integrao Matriz e Filiais . . . . . . . . . . . . . . . . . . 60
6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 7 7.1 7.2 7.3 7.3.1 7.3.2
7.3.2.1 7.3.2.2
Interligao entre matriz e liais . . . . . . . . . . . . . . . . . . . . Desao e necessidades para que o projeto seja implantado com sucesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lista de ativos de redes e material de comunicao. . . . . . . . . Lista de servios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lista de servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diagrama da rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servios prestados pelas operadoras . . . . . . . . . . . . . . . . . . Planejamento de implementao do rewall . . . . . . . . . . . . . Justicativa Negocial da soluo de integrao Matriz e Filiais . . Normas e Procedimentos de Segurana de TI Poltica de Segurana da Informao . . . . . Planejamento de segurana fsica . . . . . . . Gerenciamento de Continuidade dos Negcios Plano de Continuidade dos Negcios e Recuperao Politicas de Backup . . . . . . . . . . . . . . . . . Normas . . . . . . . . . . . . . . . . . . . . . . . . Procedimentos . . . . . . . . . . . . . . . . . . . . Plano de Rastreamento de Falhas em TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . de Desastres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 60 . . . . . . . . . . . . . . . . . 60 60 61 62 63 64 64 66 67 67 67 67 67 70
70 71
7.3.3 8 8.1 8.2 8.3 8.4 8.5
72 73 73 75 77 77 78 79 79 79 80 80 81
Gerenciamento e monitoramento de ativos e aplicaes . . . . . . . Ferramentas de monitoramento. . . . . . . . . . . . . . . . . . . . . . Detalhamento dos ativos e aplicaes . . . . . . . . . . . . . . . . . . Ambiente de monitoramento. . . . . . . . . . . . . . . . . . . . . . . . Plano de ao para ocorrncias . . . . . . . . . . . . . . . . . . . . . . Justicativa Negocial da soluo Gerenciamento e monitoramento de ativos e aplicaes . . . . . . . . . . . . . . . . . . . . . . . . . . . Projeto de Redes . . . . . . . Proposta de projeto de redes Documentao do Projeto . Cronograma de implantao Garantias . . . . . . . . . . . Custo (Estimado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 9.1 9.2 9.3 9.4 9.5
Concluso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 10 Diculdades encontradas durante a elaborao do projeto . . . . . . 84
11
Dados coletados atravs de logs de sistemas e ou aplicaes que foram implementadas . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Testes para elaborao do projeto . . . . . . . . . . . . . . . . . . . 86 Resultados esperados com a implementao do projeto . . . . . . . 87
12 13
Referncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Apndices
APNDICE A
A.0.0.1 A.0.0.2 A.0.0.3 A.0.0.4
92
Fsica . . . . . . . . . . . . . . . . da Empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 . 93 . 93 . 93 . 94 . . . . . . . . . . . . . . . . . . . . . . 100 100
101 102 103 103
Planejamento da Segurana Ameaas da Natureza . . . . . . . . . . . . . . Servios . . . . . . . . . . . . . . . . . . . . Fator humano . . . . . . . . . . . . . . . . . . Permetro . . . . . . . . . . . . . . . . . . . .
APNDICE B Poltica de B.1 Denies . . . . . . . . B.1.0.5 Termos e Denies . . . . . B.1.0.6 Estrutura Normativa . . . . .
B.1.0.7 B.1.0.8
B.1.1
B.1.1.1 B.1.1.2 B.1.1.3 B.1.1.4 B.1.1.5 B.1.1.6 B.1.1.7 B.1.1.8 B.1.1.9 B.1.1.10 B.1.1.11 B.1.1.12 B.1.1.13 B.1.1.14 B.1.1.15
Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Divulgao e Acesso Estrutura Normativa . . . . . . . . . . . . . . . . Aprovao e Reviso . . . . . . . . . . . . . . . . . . . . . . . . . . . Diretrizes de Segurana da Informao . . . . . . . . . . . . . . . . Proteo da Informao . . . . . . . . . . . . . . . . . . . . . . . . . Privacidade da Informao sob Custdia da Lumitex . . . . . . . . . . . . Classicao da Informao . . . . . . . . . . . . . . . . . . . . . . . . Empregados, Estagirios, Aprendizes e Prestadores de Servios . . . . . . . . Comit Gestor de Segurana da Informao (C.G.S.I.) . . . . . . . . . . . . Gestor da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . Gerncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerncia Jurdica . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerncia de Recursos Humanos . . . . . . . . . . . . . . . . . . . . . . rea de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . Diretoria Executiva . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Violaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sanes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Legislao Aplicvel . . . . . . . . . . . . . . . . . . . . . . . . . . . Planta Baixa
103
103 105 105 106 107 108 109 109 110 110 110 111 111 112 112
APNDICE C
. . . . . . . . . . . . . . . . . . . . . . . 114
APNDICE D APNDICE E
Faces dos Racks
. . . . . . . . . . . . . . . . . . . . . 120
Relao dos materiais . . . . . . . . . . . . . . . . . . 127
APNDICE F Memorial descritivo . . . . . . . . . . . . . . . . . . . . 128 F.1 Dados bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.1.1 Nome da edicao: Lumitex . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.1.2 Endereo: Rua do Semeador, 464, Cidade Industrial ,Curitiba - PR, 81270-050.128 F.1.3 Proprietrio: Jos Augusto Frana - R. Rockefeller, 1310 - Rebouas, Curitiba - PR, (41)80230-130, (41)35643132) . . . . . . . . . . . . . . . . . . 128 F.1.4 Construtora: Baggio - Rua Nestor Victor, 839 , gua Verde, Curitiba - PR, (41)3025-6111 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.1.5 Previso de incio e trmino da obra: Obra est terminada . . . . . . . . . 128 F.2 Informaes estatsticas . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.1 Tipo de edicao: Comercial multiusurio . . . . . . . . . . . . . . . . . 128 F.2.2 Nmero de pavimentos: 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.3 rea til da edicao: 3.360 m2 . . . . . . . . . . . . . . . . . . . . . . 128 F.2.4 Metragem por andar: 1.057,16 m2 . . . . . . . . . . . . . . . . . . . . . . 128 F.2.5 Metragem Datacenter: 244,66 m2 . . . . . . . . . . . . . . . . . . . . . . 128 F.2.6 P direito: 2,95 m . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.7 Nmero de pontos: 558 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.8 Descrio dos pontos: Trreo 14 pontos ou 7 reas de trabalho, 10 pontos para cmeras: 1 andar 308 pontos ou 154 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressoras:2 andar 166 pontos ou 83 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressora: Datacenter 16 pontos ou 8 reas de trabalho, 2 pontos para cmeras: 12 pontos para cmeras externas e 2 pontos ou uma rea de trabalho para guarita. . . . . 129 F.2.9 Escritrios: 2 andares em reas de escritrio . . . . . . . . . . . . . . . . . 129 F.2.10 Piso elevado: altura de 300 mm e placas de 600 x 600 mm com revestimento anti-esttico e aterramento. . . . . . . . . . . . . . . . . . . . . . . . . . 129 F.2.11 Eletro calhas: Instalao sob o piso elevado, centralmente nos pavimentos e seguindo sentidos longitudinal e transversal de 37,97 metros para o datacenter e 114,97 metros para o edifcio da matriz, de eletro calha em ao galvanizado de 100x50 mm, lisa, com virola, com tampa sob cho. . . . . . 129 F.2.12 Eletro duto: Instalao dos eletro dutos para o cabeamento CFTV seguir em dois caminhos, um de cada lado no corredor central sobre o forro, sendo 1 1/2 41mm xadas por braadeiras a cada 2 metros na laje. Para cabeamento externo o mesmo seguir por canaletas sob a calada. . . . . . . . . . . . . 129 F.3 Informaes especiais . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 F.3.1 H previso de instalao de CPCT ? Sim ( ) No (x) . . . . . . . . . . . 130
SUMRIO
13
F.3.2
F.3.3 F.4 F.4.1 F.4.2
H previso de instalao de servios especiais de imagem ou de automao (circuito interno de vdeo, TV a cabo, controles ambientais (ar-condicionado e ventilao) controle de acesso, controle de iluminao, sensores de fumaa, sistema de segurana, sonorizao) ? Sim (X) No ( ) . . . . . . . . . . Observaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Responsvel pelo projeto: Equipe interna da empresa Lumitex . . Nome do responsvel: Gerson Nobre, Vanessa Neckel, Jos Carlos, Alessandra Fonseca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ttulo prossional: Analistas de Infraestrutura . . . . . . . . . . . . . . .
. 130 . 130 . 130 . 130 . 130
14
Introduo
A Lumitex solues em gerenciamento nanceiros, est no mercado desde 1990 com servios, consultoria e solues para empresas no segmento bancrio e privado. Entre os servios prestados esto as cobranas extrajudiciais e judiciais para pessoas jurdicas, gesto de crditos no performados, com foco direto no segmento de recuperao de crdito. Para realizar essas atividades necessrio uma infraestrutura que vai desde funcionrios capacitados, sistemas de telefonia e operao ecientes, softwares e aplicativos voltados a otmizao e segurana dos processos operacionais. Uma caracterstica do negcio a interoperabilidade entre o ERP da empresa com o ERP dos clientes para o recebimento e envio de dados. Isso se faz necessrio para que as informaes de cobranas sejam manupuladas de forma segura e agl, estabelecendo qualidade aos servios. A interoperabilidade se d atrves de mdulo no prprio ERP, que usa uma API(Application Programming Interface)para enviar e receber informaes em documento XML. Com as informaes j em seu domnio, o setor nanceiro faz os clculos para negociao, toma as medidas legais necessrias, se for o caso, cuida do envio de mensagen e e-mails e repassa esses dados ao setor de Call Center que negocira diretamente com os devedores. Esse processo funciona de forma integrada e gradual e totalmente informatizado pelos sistema de ERP e CRM. A empresa obteve grande crescimento nos ltimos 5 anos, tornando - se competitiva em vrios estados do pas. Devido esse crescimento, a infraestrutura atual no atende mais a demanda da empresa e necessrio planejar uma nova infraestrutura capaz de suportar a complexidade dos sistemas integradores com as lias de forma que garanta a segurana dos dados manipulados mantendo - os disponveis, conveis e em acessivis em tempo plausvel. Diante desse novo cenrio a empresa Lumitex solicitou um projeto para atender as caractersticas principais da sua rea de atuao. Hoje a matriz encontra-se na cidade de So Paulo, mas o custo elevado para implantao de um data center na cidade, levando se em conta o custo dos terrenos, mo de obra de TI mais cara que em outras regies e instabilidades sociais, torna mais vivel a instalao da matriz em outras regies. A soluo apresentada no projeto, ser a realocao da matriz para a cidade de Curitiba, isto levando se em conta todos os custos e benefcios a longo prazo, como a reduo de custos nos setores de mo de obra, infraestrutura, logstica e transporte pblico, porm, o site de So Paulo por j ter uma estrutura de mdio porte pronta, ser mantido como um site espelho da matriz de Curitiba, servindo como uma redundncia da rede.
Introduo
15
Neste projeto sero abordados os requisitos de infraestrutura para o cabeamento estruturado, links de internet, links que ligam as liais matriz, assim como a segurana para gesto da informao, os equipamentos e as tecnologias utilizadas, as especices tcnicas decorrente das normas de cada reas e tambm os itens de segurana fsica como cmeras de vdeo, catracas, cercas perimetrais. O projeto deve seguir a famlia de normas NBR ISO/IEC 27000, para segurana da informao, que se aplicam a segurana fsica das pessoas, instalaes e permetros das edicaes da empresa, a norma brasileira NBR 14565 para cabeamento estruturado em edifcios comercias e as norma TIA 942 para Datacenter. A Informao tomou um valor sem especcos hoje, maior do que a alguns anos atrs, quando ainda era vista como um fator secundrio nas organizaes. E a necessidade de proteg-la contra qualquer intruso tornou-se tambm uma das maiores preocupaes em todos os nivis da comunicao. Para uma empresa, a informao o ncleo de todo seu portflio de ativos at segredos estratgicos, desde o router at o peopleware (usurio de um computador), toda informao gerada nessas redes so de responsabilidade da mesma, tanto diretores, gestores, analistas, tcnicos e usurios tem acesso a essa informao. Por isso necessrio haver denies de nveis de acesso e rigoroso controle dos dados, atravs de polticas internas baseadas nas prerrogativa estratgicas da empresa. Pensando no valor da informao para uma instituio que manipula dados sigilosos de terceiros, esse projeto foi construdo de maneira organizada para englobar os requisitos minmos cabveis para implantao da soluo. Cada etapa da elaborao no tem por nalidade explicar profundamente as tecnologias e normas, mas, apresentar um mtodo de facl entendimento da integrao de todos os subsitemas necessrios um projeto de redes de computadores corporativa.
Parte I Fundamentao Terica
17
1 Segurana de TI
1.1 Poltica de Segurana de TI
A informao um ativo muito importante, essencial ao funcionamento das organizaes e consequentemente necessita ser adequadamente protegida. Ela pode ser apresentada em diversas formas: impressa ou escrita em papel, falada em conversas, armazenada eletronicamente. Independente de forma ou meio, a informao compartilhada ou armazenada. De acordo com a norma ISO/IEC 27002, segurana da informao a proteo da informao contra vrios tipos de ameaas, com o intuito de garantir a continuidade do servio, minimizar os riscos, maximizar o retorno sobre os investimentos. So exemplos de ameaas: espionagem (invasores de redes e sistemas), sabotagem, vandalismo, vulnerabilidades a incndios, inundao, cdigos maliciosos, entre outros. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados de acordo com as necessidades em questo, a m de garantir a segurana da informao. A gesto da segurana da informao requer a participao de todos os funcionrios e a criao de uma poltica que deve ser documentada. Um dos primeiros passos para a gesto da segurana da informao a elaborao e aprovao de uma poltica de segurana da informao. Uma poltica de segurana a expresso formal das regras pelas quais fornecido o acesso aos recursos tecnolgicos da organizao. Uma poltica de segurana no um documento denitivo, inaltervel ou inquestionvel, pelo contrrio, requer constante atualizao e participao de gerentes, usurios e equipe de TI. Objetivo da poltica a proteo do conhecimento e da infraestrutura, a m de atender os requisitos legais, viabilizar os servios prestados e evitar ou reduzir os riscos e ameaas. Orientao e o estabelecimento de diretrizes para a proteo dos ativos de informao, preveno de ameaas e a conscientizao da responsabilidade dos funcionrios. conveniente que a gesto da segurana da informao esteja alinhada e em conjunto com os outros processos de gesto. O princpios a integridade, condencialidade e disponibilidade da informao. O propsitos informar aos usurios suas responsabilidades com relao proteo da tecnologia e ao acesso informao e oferecer um ponto de referncia a partir do qual
Captulo 1. Segurana de TI
18
se possa adquirir, congurar e auditar sistemas computacionais e de redes. A norma ISO/IEC 27002 descreve as fontes principais de requisitos de segurana da informao: Anlise dos princpios, objetivos e requisitos dos servios prestados, legislao vigente, estatutos e regulamentos, anlise de riscos, ameaas e vulnerabilidades. Alm da anlise de requisitos, recomendvel tambm que supervisores de cada rea estabeleam critrios relativos ao nvel de condencialidade da informao gerada por sua rea, classicando as informaes de acordo com a lista abaixo: pblica; interna; condencial; restrita. A elaborao da poltica de segurana de cada empresa possui suas particularidades de acordo com os requisitos de segurana analisados e alinhados a gesto de processos. (PAULA, 2013)
1.2 Plano de Continuidade de TI

Uma organizao dependente de seus recursos, pessoal e as tarefas que so realizadas no dia-a-dia em ordem atender e estar sempre saudvel e com retorno nanceiro. Se qualquer recursos danicado ou feito inacessvel por qualquer razo, a empresa pode estar com problemas. Se mais de um destes recursos ca prejudicado a empresa pode sofrer riscos muito altos. Quanto mais tempo estes itens cam sem uso, mais tempo ser necessrio para a organizao voltar ao seu estado normal. Em determinados casos, algumas empresas no conseguem voltar ao estado normal aps um desastre. O plano de continuidade de negcios toma uma linha focada no problema. Isso inclui o propsito nos sistemas mais crticos, e leva-los para um ambiente alternativo onde o desastre ocorreu enquanto ocorre a reparao da unidade com problemas. Levando em conta todos os envolvidos na empresa e tambm os clientes, de uma forma que tudo volte normalidade o mais breve e seguro possvel. importante observar que a empresa pode estar muito mais vulnervel depois que ocorre o desastre, porque os sistemas de segurana cam mais focados na continuidade dos negcios. Procedimentos pr-planejados permitem a organizao: Prover um imediato e apropriada resposta situaes de emergncia
19
Proteger vidas e garantir segurana Reduzir impacto aos negcios Retornar funes crticas de negcios normalidade Reduzir confuso durante uma crise Garantir a sobrevivncia do negocio Etapas do Plano de Continuidade de Negcios Desenvolver uma poltica geral de continuidade de negcios: Escrever uma poltica que entregue e guie os passos necessrios para desenvolver o Plano de Continuidade de Negcios, e onde quem assine tenha autoridade para com toda a organizao. Conduzir uma Anlise de Impacto de Negcios: Identicar as funes crticas e sistemas e permitir a organizao priorizar dentre estas as suas necessidades reais. Identicar as vulnerabilidades, ameaas e calcular os riscos Identicar controles preventivos: Uma vez as ameaas conhecidas, identicar e implementar os controles e paliativos para reduzir o nvel de risco da organizao em uma maneira econmica. Desenvolver estratgias de recuperao: Formular mtodos para garantir que sistemas e funes crticas possam ser trazidas de volta ao normal rapidamente. Desenvolver um plano de contingncia: Escrever os procedimentos para como a organizao pode continuar funcionando em caso de um estado crtico. Testar o plano e conduzir treinamento e exerccios: Testar o plano para identicar decincias no Plano de Continuidade de Negcios e tambm conduzir treinamento para que os indivduos estejam preparados para cumprir suas tarefas. Manter o plano: Efetivar que os passos seguidos garantam que o documento esteja regularmente atualizado. (TELLES, 2013)
1.3 Poltica (Plano) de Backup

So necessrias estratgias para manter a integridade, conabilidade e disponibilidade do backup. A Dissertao de Mestrado, realizada por Eliana Mrcia Moraes, em 2007, apresenta algumas recomendaes.
20
1.3.1 Primeira Etapa: A conscientizao da necessidade do backup de dados, que pode partir tanto da rea de Tecnologia da Informao quanto da rea administrativa da organizao.
necessrio justicar o planejamento do backup de dados para ento conseguir apoio da organizao. As principais justicativas so: Proteo dos dados para a continuidade dos negcios, preveno contra desastres e recuperao segura dos dados, para que esses estejam integrais e disponveis. Atendimento a padres de segurana e a leis e regulamentos nacionais e internacionais.
1.3.2 Segunda Etapa: A denio dos responsveis pelo planejamento de backup de dados.
Sugere-se que os responsveis sejam: Superviso de Tecnologia da Informao Alta Administrao, que deve liberar os recursos. Observao: Essas equipes devero contar com o apoio das suas reas tcnicas.
1.3.3 Terceira Etapa: A disponibilizao de recursos para que essas equipes possam planejar o backup.
Treinamentos na rea de Segurana da Informao. Adoo de normas de Segurana da Informao. Adoo de Recomendaes: Livros de Segurana da Informao, materiais de cursos, materiais internos da organizao, elaborados a partir da bagagem de experincia de prossionais de Segurana da Informao, anlise e orientaes de especialistas e as opinies de consultores.
1.3.4 Quarta Etapa: A determinao das aes a serem planejadas.

O plano de backup de dados deve contar, no mnimo, com os seguintes procedimentos: Classicao da informao Armazenamento Documentao do backup e recuperao dos dados Escolha de hardware, software e mdias Denio do local dos dados a serem armazenados
21
Considerar o backup remoto Contratao de site de backup remoto Transmisso dos dados para Backup Remoto Transportes de mdias Agendamento do backup Perodo de reteno das mdias e guarda de mdias Testes de recuperao e backup Reviso do plano Denio de responsabilidades Poltica de Segurana da Informao e Plano de Continuidade de Negcios Todo o planejamento e recursos destinados ao backup devem estar de acordo com o valor da informao. (MORAIS, 2010)
1.4 Plano de Gerenciamento e Monitoramento de ativos e aplicaes

Gerenciar ativos utilizar as inmeras informaes que estes hoje possuem e de alguma forma ainda no so utilizadas de forma proativa. Ou instalar alguns sensores adicionais em um determinado equipamento ou sistema, que nos trar a tendncia de um bom funcionamento e diagnsticos que nos ajudem a entender melhor os equipamentos e com isto prever falhas inesperadas. Os usurios veem essa ferramenta como algo que vai predizer uma falha futura, baseada em informaes presentes e associadas ao histrico dos ativos em questo. E predizer leva a classicar a ao como manuteno preditiva, alm de entender a ao como manuteno preditiva, tambm a classicam como o incio da manuteno Proativa, que signica atuar na causa e no somente na consequncia. Dependendo aonde se quer chegar e das ferramentas que sero aplicadas, um gerenciamento de ativos pode ser bastante caro, mas plenamente justicvel em alguns setores de produo pela previso de falhas com antecedncia, ou ainda no auxlio de programar paradas. A principal funo do gerenciamento de ativos, acompanhar o funcionamento de todos os itens de seu escopo para que atravs deste monitoramento se possam tomar decises inteligentes e de forma planejada. Casos especiais devem ser analisados em
22
separado, quando podemos planejar uma parada de equipamento, onde os ganhos e benefcios so muito maiores do que paradas no planejadas, Ao tomar a deciso de possuir um gerenciamento de ativos, deve-se adquirir softwares especializados para cada tipo de ativo. A denio de gerenciamento de ativos no sentido de gerenciamento de dispositivos congurar, parametrizar e diagnosticar de forma remota. E monitoramento de condio torna-se apenas uma parte disso, diagnstico, congurao e parametrizao remotas implicam na existncia de inteligncia no ativo a ser gerenciado, onde existe um conjunto de parmetros dos quais se pode fazer upload e download remotos. Na parte de comunicao, do controlador para a operao, geralmente se fala em Ethernet. E o dispositivo no meio disso o switch de rede. Nessa rea existe um protocolo de diagnstico padronizado chamado SNMP Single Network Management Protocolo, que tambm est denido no modelo OSI, camada 7. um servio como Telnet, FTP, Single Network Mail Protocol, ou seja, dene como um dispositivo de rede Ethernet dever responder a um software de gerenciamento de ativos. Na rea de TI isso muito antigo porque suponha que administrador de rede Ethernet possua milhares de ns de uma corporao e no pode ir at a mesa de cada funcionrio para saber se a placa de rede do computador est funcionando; no pode ir a cada planta saber se o switch de rede est funcionando. Ele quer ser capaz de acessar remotamente cada dispositivo e descobrir seu status, denido por um protocolo. O SNMP tambm dene o MIB Management Information Base que. Consequentemente se sua rede falar SNMP e tiver a descrio MIB de cada device Ethernet, pode fazer o gerenciamento de ativos da rede. Os servios via web disponibilizados nos instrumentos de hoje merecem ateno especial, visto que muitas tarefas podem ser feitas utilizando a rede corporativa da empresa. Procedimentos errados podem ocasionar paradas indesejadas como a retirada de um equipamento de servio. Segurana e os nveis de acesso das ferramentas de software devem ser constantemente checados por pessoal especializado. Essas novas possibilidades mudaram o nvel de segurana na automao industrial, visto que hoje est disponibilizando informaes para usurios que antes eram somente de TI. O que precisa car bem claro, que todo sistema se no for bem parametrizado e se no tiver um determinado grau de utilizao, no oferecer os benefcios que foram propostos. Logo, ao se instalar um sistema de gerenciamento de ativos, este deve possuir uma pessoa responsvel para vericar e analisar os resultados por este mostrado. (INSTRUMENTAO, 2009)
23
1.4.1 Protocolos SNMP e ICMP

1.4.1.1 ICMP O ICMP um protocolo que trabalha na camada de rede do modelo de referncia OSI. Ele usado para dar suporte a outros protocolos, pois algumas vezes um host ou um gateway precisa se comunicar com a origem ou com o destino para reportar um erro no pacote processado. Na maioria das vezes o ICMP reporta erros, mas tambm muito utilizado para vericar se um determinado host est ativo (comando ping). O cabealho e os dados ICMP so transportados dentro da rea de dados do pacote IP. Apesar de cada tipo de pacote ICMP ter um formato nico, todos comeam com os mesmos trs campos: type, code e checksum. Ele composto de 4 bytes mais uma parte que depende do tipo do pacote ICMP. O ICMP echo request e o echo reply so usados para determinar se uma estao est ativa. Ao se enviar uma requisio echo request a um destino, este deve responder com um echo reply. Um comando muito utilizado para realizar essa tarefa o ping. Geralmente, em linha de comando de um Sistema Operacional, se digita o comando ping e endereo IP (ex: ping 10.0.0.1), sendo exibida na tela informaes sobre a estao de destino (10.0.0.1). Essas informaes indicam qual o estado do destino.
Figura 1 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. .
Type: indica a nalidade do pacote ICMP. Se contiver 8, uma requisio (echo request). Se o contedo for 0, uma reposta (echo reply). Este campo de 8 bits; Code no utilizado e deve conter o valor 0. Este campo de 8 bits; Checksum: verica a integridade do pacote ICMP. Este campo de 16 bits; Identier: identica unicamente uma seqncia de requisies e respostas ICMPs enviada. Se esta seqncia for interrompida e reinicializada, o identicador deve ser diferente. Este campo de 16 bits;
24
Sequence number: associa uma requisio com um reposta. Este campo de 16 bits; O ICMP destination unreachable enviado quando um roteador ou uma estao no consegue entregar um datagrama. Dentre as vria possibilidades, isso pode acontecer quando um roteador no sabe quem o destino ou quando o bit DF do datagrama IP est ligado e a rede de destino precisa fragmentar o datagrama. A seguir apresentado o pacote ICMP destination unreachable e em seguida o conceito de cada campo:
Figura 2 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. .
Type: indica a nalidade do pacote ICMP. Se contiver 3 mostra que o pacote no pode ser entregue. Este campo de 8 bits; Code: especica o motivo que causou a no entrega do pacote. O 0 para rede no alcanvel, o 1 para host no alcanvel, o 2 para protocolo no alcanvel, o 3 para porta no alcanvel, o 4 para a necessidade de fragmentao, o 5 para falha na rota (caminho) de origem etc. Este campo de 8 bits; Checksum: verica a integridade do pacote ICMP. Este campo de 16 bits; Unused: no utilizado e deve conter zeros. Este campo de 32 bits; Internet header + 64 bits of original data datagram: contm o cabealho IP, mais 64 bits dos dados do datagrama anteriormente enviado pelo transmissor. Dessa maneira, indica a ele qual o endereo IP que est inacessvel e pode ser usado pelos administradores de rede para resoluo de problemas; (INFORMAO, 2007)
25
1.4.1.2 SNMP SNMP signica Simple Network Management Protocol (que se pode traduzir por "protocolo simples de gesto de rede"). Trata-se de um protocolo que permite aos administradores rede gerir os equipamentos da rede e diagnosticar os seus problemas. O sistema de gesto de rede baseia-se em dois elementos principais: um supervisor e agentes. O supervisor o console que permite ao administrador de rede executar pedidos de gesto. Os agentes so entidades que se encontram a nvel de cada interface que liga o equipamento gerido rede e que permite recuperar informaes sobre diferentes objetos. Switchs, hubs, routers e servidores so exemplos de equipamentos que contm objetos que podem ser geridos. Estes objetos podem ser informaes materiais, parmetros de congurao, estatsticas de desempenho e outros objetos que esto diretamente ligados ao comportamento corrente do equipamento em questo. Estes objetos esto classicados numa espcie de base de dado chamada MIB (Management Information Base"). O SNMP permite o dilogo entre o supervisor e os agentes a m de recolher os objetos desejados no MIB. A arquitectura de gesto da rede proposta pelo protocolo SNMP baseia-se por conseguinte em trs principais elementos: Os equipamentos geridos (managed devices) so elementos da rede (pontes, hubs, routers ou servidores), contendo objetos geridos (managed objects) que podem ser informaes sobre o material, elementos de congurao ou informaes estatsticas; Os agentes, isto , uma aplicao de gesto de rede que reside num perifrico e se encarrega de transmitir os dados locais de gesto do perifrico em formato SNMP; Os sistemas de gesto de rede network management systems notados NMS), ou seja, um console atravs da qual os administradores podem realizar tarefas de administrao. (KIOSKEA.NET, 2010)
26
2 Arquitetura e Roteamento
2.1 TSL
O principal objetivo do protocolo TLS garantir a privacidade e a integridade dos dados em uma comunicao entre duas aplicaes. O protocolo composto de duas camadas: o protocolo de Registro (TLS Record Protocol) e os protocolos Handshaking (TLS Handshaking Protocols). O primeiro se localiza acima de um protocolo de transporte convel, provendo a segurana da conexo que apresenta duas propriedades: A conexo privada. utilizada criptograa simtrica para encriptao dos dados, por exemplo. As chaves para esta encriptao simtrica so geradas unicamente para cada conexo e so baseadas em um segredo negociado por um outro protocolo, neste caso o protocolo Handshake. O protocolo de Registro pode ser usado sem criptograa. A conexo convel. O transporte da mensagem inclui uma vericao da integridade da mensagem, utilizando uma keyed-HMAC (Hashing Message Authentication Code). Funes hash seguras so utilizadas para computao da MAC. O protocolo de Registro pode operar sem uma MAC, porm geralmente, s utilizado desta maneira, enquanto outro protocolo est usando o protocolo de Registro como transporte para a negociao dos parmetros de segurana. O protocolo de Registro usado para o encapsulao de vrios protocolos de nveis acima, por exemplo, o protocolo Handshake, que permite a autenticao entre cliente e servidor e a negociao de algoritmos de encriptao e de chaves criptogrcas antes da transmisso ou recepo do primeiro octeto de dados por parte de um protocolo de aplicao. Os protocolos Handshaking provm segurana da conexo que apresenta trs propriedades: A identicao de uma das partes pode ser autenticada atravs da criptograa assimtrica. Esta autenticao pode ser opcional, mas geralmente exigida para pelo menos uma das partes. A negociao de um segredo compartilhado segura. O segredo negociado ca indisponvel para invasores, e para qualquer conexo autenticada o segredo no pode ser obtido, mesmo por um atacante que pode se colocar no meio da conexo. A negociao convel. Nenhum atacante pode modicar a comunicao da negociao sem ser detectado pelas partes legtimas da comunicao. Uma vantagem do TLS a independncia em relao aos protocolos de aplicao.
Captulo 2. Arquitetura e Roteamento
27
Protocolos de nvel acima podem comunicar com o TLS de forma transparente. (SILVA, 2013)
2.2 Protocolos SSL

Secure Socket Layer (SSL) um padro global em tecnologia de segurana desenvolvida pela Netscape em 1994. Ele cria um canal criptografado entre um servidor web e um navegador (browser) para garantir que todos os dados transmitidos sejam sigilosos e seguros. Quando escolher ativar o SSL no seu servidor web voc ter que responder algumas questes sobre a identidade do seu site (ex. a URL) e da sua empresa (ex. a Razo Social e o endereo). Seu servidor web ento criar duas chaves criptogrcas - a Chave Privada (Private Key) e a Chave Pblica (Public Key). A Chave Privada deve ser mantida privada e segura. O servidor web ir associar o certicado emitido com a Chave Privada. O servidor ir estabelecer um link criptografado entre website e o navegador do consumidor. (BR, 2011)
2.3 Protocolo HTTPS

uma implementao do protocolo HTTP sobre uma camada SSL ou do TLS. Essa camada adicional permite que os dados sejam transmitidos com segurana (atravs de criptograas) e que se verique a autenticidade do servidor e do cliente atravs de certicados digitais. A porta TCP usada por norma para o protocolo HTTPS a 443. O protocolo HTTPS utilizado, em regra, quando se deseja evitar que a informao transmitida entre o cliente e o servidor seja visualizada por terceiros, como por exemplo no caso de compras online. A existncia na barra de tarefas (normalmente do lado direito) de um cadeado demonstra a certicao de pgina segura (SSL). Nas URLs dos sites o incio caria https://7247;. Geralmente os navegadores mais atuais indicam um site seguro, geralmente atravs das barras de endereo que cam verde. (INFORMAO, 2009)
2.4 Protocolo FTPS

FTPS o acrnimo de File Transfere Protocole Escure, um tipo mais seguro de FTP. Tambm conhecido como FTP-SSL. Basicamente o FTPS um servidor normal de FTP com algumas camadas de segurana agregadas. Os protocolos de segurana agregados no FTPS podem ser o TLS (Transporte Dayer Security) e o SSL (Escure Sockets Dayer) sendo que estes protocolos so criptogra-
28
fados e protegem as informaes trafegadas por meio do FTPS. (BARATO, 2011)
2.5 Protocolo SSH

O Secure Shell, conhecido como SSH, um protocolo que visa fazer a comunicao entre dois hosts distantes atravs de uma autenticao segura e em seguida troca de dados utilizando algoritmos de chave simtrica. Existem, at o momento, duas verses desse protocolo, sendo a primeira, o SSH1 j considerada ultrapassada. Assim, a verso que est sendo utilizada atualmente a SSH2. Diferenciando-se de outras ferramentas como rsh, rcp, rlogin e telnet, o SSH codica toda a comunicado. Dessa forma, ele impede a interceptao por invasores. Ele tambm pode ser usado para encriptar comunicaes ftp e pop, protegendo os usurios contra DNS e IP spoong. Outra vantagem que existem implementaes do ssh para a maioria dos sistemas operacionais. As principais caractersticas desse aplicativo so: Cifrarem: Todas as conexes so criptografadas de forma transparente e automtica. Utiliza algoritmos de livre patente. Port Forwarding: Permite a comunicao utilizando TCP atravs de um canal cifrado. Pode criptografar outros servios, como o ftp, tftp, pop etc. Autenticao forte: Protege contra IP spoong, falsos encaminhamentos e DNS spoong. Agent Forwarding: Um agente de autenticao que permite que o usurio utilize chaves RSA de um computador porttil sem que seja necessrio transferi-las para a mquina. Compresso de dados: Comprime a informao antes de envi-la, o que til para ligaes com pouca largura de banda. Ao se utilizar qualquer implementao do ssh, antes do pacote ser enviado, ele pode ser comprimido, em seguida ser encripitado e, por m, autenticado. Ao ser recebido, conferida a autenticao, desencripta-se os dados e, em seguida, feita, caso seja necessrio, a descompresso dos dados. O algoritmo de encriptao a ser utilizado ser escolhido pelo cliente, dentro das possibilidades da implementao do ssh utilizada tanto pelo cliente quanto pelo servidor. Caso ele selecione uma opo no disponvel no servidor, lhe ser requisitada uma outra opo. O mesmo acontece com os algoritmos de compresso. (UFRJ, 2013)
29
2.6 Kerberos
um protocolo de segurana distribudo, ou seja, ele permite que os usurios acessem recursos em qualquer lugar da rede com um nico logon. O Kerberos exige que tanto o cliente quanto o servidor se autentiquem, impedindo assim que um intruso nja se passar por um cliente ou por um servidor. A seguir esto os recursos que o Kerberos traz para o Active Directory: Autenticao mais rpida em um ambiente de computao distribuda. Relao de conana transitiva entre domnios. Autenticao delegada ( ou pass-through ) para aplicaes distribudas. Interoperabilidade com sistemas No Windows como o Linux que usem o protocolo Kerberos. O Kerberos usa um segredo compartilhado, tambm conhecido como chave, de modo que tanto o cliente como o servio que roda em cada controlador de domnio conhecido como KDC (Key Distribution Center, ou Centro de Distribuio de Chaves) compartilhem a mesma chave. No caso da autenticao de um usurio, essa chave o hash da senha do usurio. O KDC na verdade tem dois componentes: O Servio de Autenticao (AS), que fornece os servios iniciais de logon, e o Servio de Garantia de Ticket (TGS), que fornece tickets para acessar os recursos da rede depois que o usurio tiver feito o login, por padro cada ticket tem validade de 10 horas. O Kerberos age em seguida para autenticar as requisies de logon e autorizar o usurio a acessar um recurso de rede. Um usurio se autentica com o KDC fazendo o login. (O KDC roda como um servio em cada controlador de domnio). A mensagem de autenticao inclui o nome de login do usurio, o nome do domnio ao qual o usurio est se logando e uma marcao de data e hora. Essas informaes so codicadas com o hash da senha do usurio. Assim, a senha do usurio jamais ser enviada pela rede e continuar segura. O componente AS do KDC recebe a requisio de autenticao e a vlida para que possa ser decodicada com o hash da senha do usurio, acessada a partir do banco de dados do AD. Se a codicao for bem sucedida e a marcao de data e hora e at cinco minutos do horrio do controlador de domnio atual, a autenticao ser bem sucedida. O KDC retorna um Ticket que garante o Ticket (TGT) para o cliente. O TGT contm o SID do usurio e as SIDs de todos os grupos a qual o usurio membro. O cliente coloca o TGT em cache at que ele precise acessar um recurso de rede. Neste momento, o TGT apresentado ao componente TGS do KDC e requisita o acesso a um recurso do servidor. O KDC retorna um Ticket de Sesso (ST) que contm um cdigo em uma chave encriptada conhecida apenas por ele mesmo e pelo servidor de recurso. O cliente apresenta o ST ao
30
servidor do recurso O servidor do recurso examina o ST em busca do cdigo da chave, conhecido apenas por ele e pelo KDC. Se o cdigo da chave for igual ao cdigo da chave existente no servidor de recursos, o cliente receber acesso ao servidor de recursos. Se o cdigo for diferente, o cliente ter acesso recusado. (BANIN, 2010)
2.7 Radius
O RADIUS um protocolo que visa a autenticao, autorizao e gesto de utilizadores, para acesso rede ou servios de rede. RADIUS normalmente usado para gerir e tornar mais seguro o acesso Internet ou a redes internas. O Protocolo RADIUS baseia-se num sistema cliente/servidor. O Servidor de RADIUS utiliza o conceito AAA para gerir o acesso rede. Este conceito refere-se aos processos de autenticao e autorizao e contabilizao (accounting) que so utilizados para estabelecer uma ligao Internet ou utilizar aplicaes de acesso rede. Uma rede ou servio de rede que utilize o protocolo RADIUS necessita de autenticao para permitir a ligao deste utilizador/dispositivo a esta. Aps autenticao determinado quais so os privilgios a que o utilizador autenticado est autorizado, e contabilizado (accounting) e gravado o acesso deste no servidor RADIUS, de modo a haver uma melhor gesto e controle de acessos. O RADIUS tornou-se assim numa ferramenta necessria para controle e segurana de acessos rede de Internet ou redes internas. Breve Descrio do Funcionamento O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado o Network Access Server (NAS) como cliente e do outro o servidor RADIUS. O utilizador, o NAS e o servidor trocam mensagens entre si quando o utilizador se pretende autenticar para utilizar um determinado servidor de rede. Uma mensagem RADIUS consiste num pacote contendo um cabealho RADIUS contendo o tipo de mensagem e podendo ainda ter, ou no, alguns atributos associados mensagem. Cada atributo RADIUS especica uma parte de informao sobre a tentativa de ligao. Por exemplo, existem atributos RADIUS para o nome de utilizador, a palavra passe do utilizador, o tipo de servio pedido pelo utilizador e o endereo Internet Protocol do servidor de acesso. Os atributos RADIUS so utilizados para transmitir informaes entre clientes RADIUS, proxies RADIUS e servidores de RADIUS. Quando um utilizador da rede deseja utilizar um servio de rede envia os seus dados para o NAS. O NAS responsvel por adquirir todos os dados do utilizador, que normalmente so o nome de utilizador e respectiva palavra passe (no envio do NAS para o servidor a palavra passe
31
cifrada de modo a prevenir possveis ataques), e envi-los para o servidor RADIUS atravs de um pedido de acesso que se designa de Access-Request. Este tambm responsvel por processar respostas vindas do servidor RADIUS. O servidor ao receber um pedido de acesso tenta a autenticao do utilizador, enviando de seguida a resposta para o NAS contendo um Access-Reject caso o acesso lhe seja negado ou, caso o acesso seja aceite contendo Access-Accept, ou caso seja pedida uma nova conrmao contendo Access-Challenge. Aps autenticao, so comparado e vericados alguns dados do pedido de modo a que o servidor determine qual o grau de acesso que pode ser dado a este utilizador que foi autenticado. O servidor RADIUS pode tambm ser congurado em proxy. Neste caso o servidor ir funcionar como cliente que redireciona os pedidos de acesso para um outro servidor, ou seja, passa a ser responsvel pela troca de mensagens entre o NAS e o servidor remoto. (ANTUNES, 2008)
2.8 MPlS
MPLS uma soluo para diminuir o processamento nos equipamentos de rede e interligar com maior ecincia redes de tecnologias distintas. O termo "Multiprotocol"signica que esta tecnologia pode ser usada sob qualquer protocolo de rede. Considerando a Internet e a importncia de seus protocolos nas varias WANs publicas e privadas, tem-se aplicado o estudo e implementao do MPLS basicamente para redes IP. A mpls utiliza rotulos(label) assim o trafego na rede ser mais veloz pois o router de borda colocar um label no pacote, o prximo router no ter que olhar em todo pacote pois com um nico rotulo ele j sabe onde enviar analisando o label obtendo um melhor desempenho no encaminhamento dos pacotes.
2.9 OpenVpn
O OpenVPN, como o prprio nome diz, um software especicamente desenvolvido para VPNs. A arquitetura bsica do OpenVPN tem as seguintes caractersticas: Protocolo de rede especco para VPNs; Uso de uma interface genrica (TUN/TAP), para criar a interface de rede virtual, o que permite que o OpenVPN resida inteiramente fora do kernel; Uso de certicados X.509 para autenticao e criptograa; Nenhuma proviso para VPNs "automticas"ou transparentes no estilo IPSEC. Toda VPN tem de ser explicitamente congurada. Por ser muito menos pretensioso que o IPSEC, o OpenVPN resolve intrinsecamente todos os problemas encontrados no IPSEC para uso com VPNs: 1) O OpenVPN depende de certicados X.509, ento problema do administrador se ele vai usar a PKI ocial (ou seja, adquirindo certicados "ociais"para cada n da
32
VPN), ou criar uma Autoridade Certicadora ctcia, o que permite gerar os certicados de graa (mais usual no mundo OpenVPN) 2) Como cada VPN pr-congurada, e os certicados so parte integrante dessa congurao, no h necessidade de fazer download de certicados sob demanda, ento o OpenVPN no precisa de PKI on-line. 3) O OpenVPN aceita congurar VPNs tanto com IP xo como IP dinmico (at o lado "servidor"pode ter IP dinmico) 4) Por ser restrito a VPNs, o OpenVPN simples de congurar e usar. 5) Os pacotes VPN so transportados sobre TCP ou UDP, ento o cliente consegue "furar"NATs sem maiores problemas, tal qual IPSEC sobre UDP. 6) O OpenVPN autentica apenas VPNs, nem sequer computadores (nem tem a pretenso de faz-lo) 7) Os pacotes de rede que vo passar pela VPN so selecionados unicamente por conta do seu IP de destino. E eles so apenas reencapsulados sem qualquer manipulao. Assim, o OpenVPN no precisa interferir no processamento de terceira camanda, e portanto no precisa ter qualquer mdulo implementado dentro do kernel. 8) Cada VPN cria uma interface virtual de rede, baseada na interface genrica TUN/TAP. Ou seja, cada VPN aparece na tabela de roteamento como se fosse uma placa adicional de rede. Isto facilita muito a depurao de problemas de rede. Naturalmente, o OpenVPN no seria til no cenrio originalmente concebido para o IPSEC modo transporte. Se um dia a Internet chegar ao ponto de ser completamente baseaada em IPv6 e com IPs xos, o IPSEC volta a ser mais interessante. (DO, 2013)
2.10 Tecnologias de transmisso

2.10.1 Wireless
O termo Wireless, em traduo livre, sem o, nada mais que do que qualquer tipo de conexo para transmisso de informaes sem o uso de os ou cabos. Deste modo, qualquer comunicao que h sem a existncia de um o ou um cabo caracteriza-se por uma conexo wireless. Podemos citar diversos meios de utilizao da wireless, como a conexo existente entre a TV e o controle remoto, entre o celular e as torres das operadoras e at o rdio da polcia com as centrais de operao, entre outros exemplo. As redes wireless funcionam atravs de equipamentos que usam radiofrequncia, como a comunicao via ondas de rdio, usadas por walkie-talkies, comunicao via satlite e comunicao via infravermelho, entre outros.
33
Podemos simplicar a denio de Wireless como uma transferncia de informao entre dois ou mais pontos que no esto conectados sicamente, a distncia pode ser curta, como acontece com o controle remoto da televiso, ou mesmo pode atingir milhes de quilmetros, no caso de transmisso de informaes via satlite. Cada vez mais as pessoas esto aderindo as redes sem o por se tratar de uma tecnologia de fcil instalao e utilizao. Uma wireless composta por um grupo de sistemas conectados por tecnologia de rdio atravs do ar. Deste modo, na categoria de comunicao, possvel encontrar tecnologias como o Wi-, InfraRed, Bluetooth e Wimax. (POZZEBON, 2008) 2.10.1.1 Wimax O padro IEEE 802.16, completo em outubro de 2001 e publicado em 8 de abril de 2002, especica uma interface sem o para redes metropolitanas (WMAN). Foi atribudo a este padro, o nome WiMAX (Worldwide Interoperability for Microwave Access/Interoperabilidade Mundial para Acesso de Micro-ondas). O padro WiMAX tem como objetivo estabelecer a parte nal da infra-estrutura de conexo de banda larga (last mile)oferecendo conectividade para uso domstico, empresarial e em hotspots.(REDAO, 2008) Um sistema WiMAX consiste em duas partes: Uma torre WiMAX, parecida em seu conceito com a torre de telefonia celular - uma nica torre WiMAX pode fornecer cobertura para uma rea muito grande - aproximadamente 8.000 km2. Um receptor WiMAX o receptor e a antena poderiam ser uma pequena caixa ou um carto PCMCIA, ou poderiam ser integrados ao laptop como o WiFi o hoje. Uma torre WiMAX pode se conectar diretamente Internet usando uma conexo com o de alta largura de banda (como uma linha T3, por exemplo). Pode tambm se conectar a outra torre WiMAX usando um link de microondas em linha de viso. Esta conexo a uma segunda torre (geralmente chamada de backhaul), junto com a capacidade de uma nica torre de cobrir at 8 mil Km2, o que permite ao WiMAX fornecer cobertura a reas rurais remotas. O WiMAX pode fornecer dois tipos de servio sem o: O servio sem linha de viso (non-line-of-sight), parecido com o WiFi) no qual uma pequena antena no seu computador se conecta torre. Neste caso, o WiMAX usa um baixo alcance de freqncia - 2GHz a 11GHz (semelhante ao WiFi). As transmisses de baixo comprimento de onda no so interrompidas com fsicas - elas so capazes de difratar mais facilmente, ou se curvarem aos obstculos. O servio de linha de viso no qual uma antena xa aponta para a torre WiMAX a partir de um telhado ou de um poste. A conexo de linha de viso mais forte e mais estvel, e consegue enviar muitos dados com poucos erros. As transmisses de linha de viso usam freqncias mais altas,com alcance atingindo at 66GHz.Em altas freqncias, h menos interferncia e muito mais largura de banda. O acesso parecido com o WiFi limitado a um raio de 6,5 a 9,7km. Atravs das antenas de linha de viso, a estao transmissora de WiMAX
34
enviaria dados a computadores habilitados para o WiMAX ou para roteadores congurados dentro do raio de 48,2km em volta do transmissor (9,300km quadrados de cobertura) (GUGELMIN, 2011) Na maioria dos mercados, o espectro que no precisa de licena que poderia ser utilizado para WIMAX 2.4GHze5.8GHz. Devido a que o espectro no requer licena,a barreira para ingressar baixa, motivo pelo qual torna mais fcil que um possvel operador comece a oferecer servios utilizando o espectro. Devido a que o espectro que no requer licena pode ser utilizado por vrios sistemas diferentes de RF (Rdio-freqncia), h altas probabilidades de que se produzam interferncias. Os sistemas de RF que no requerem licena podem incluir desde as redes rivais de WIMAX ou os pontos de acesso de Wi-Fi. Os telefones sem os e Bluetooth (solo 2.4GHz) tambm usam este espectro. Tanto WIMAX quanto Wi-Fi suportam a DFS (Dynamic Frequency Selection Seleo Dinmica de Freqncia) que permite que seja utilizado um novo canal se for necessrio (por exemplo, quando so detectadas interferncias); Os operadores que utilizam o espectro que no requer licena tm que outro operador facilmente poderia ingressar no mercado utilizando o mesmo espectro. Outra desvantagem do espectro que no requer licena que os entes reguladores do governo em geral limitam a quantidade de potncia que pode ser transmitida. Esta limitao especialmente importante em 5.8GHz, onde a maior potncia poderia compensar a perda de propagao relacionada com o espectro em freqncias mais altas. Nas faixas de freqncia mais altas existem limitaes quanto a interferncias pela chuva, causando diminuio de taxas de transferncias e dos raios de cobertura.(ALVES, 2008) 2.10.1.2 3G 3G a terceira gerao de padres e tecnologias de telefonia mvel, substituindo o 2G. baseado na famlia de normas da Unio Internacional de Telecomunicaes (UIT) permitindo s operadoras oferecerem a seus usurios uma ampla gama dos mais avanados servios, j que possuem uma capacidade de rede maior por causa de uma melhora na ecncia espectral. Entre os servios, h a telefonia por voz e a transmisso de dados a longas distncias, tudo em um ambiente mvel. Normalmente, so fornecidos servios com taxas de 5 a 10 Megabits por segundo. Ao contrrio das redes denidas pelo padro IEEE 802.11, as redes 3G permitem telefonia mvel de longo alcance e evoluram para incorporar redes de acesso Internet em alta velocidade e Vdeo-telefonia. As redes IEEE 802.11 (mais conhecidas como Wi-Fi ou WLAN) so de curto alcance e ampla largura de banda e foram originalmente desenvolvidas para redes de dados, alm de no possurem muita preocupao quanto ao consumo de energia, aspecto fundamental para aparelhos que possuem pouca carga de bateria. Na sia, na Europa, no Canad e nos Estados Unidos, as empresas de comunicaes utilizam a tecnologia W-CDMA, com cerca de 100 terminais designados para operar as redes 3G. A implantao das redes 3G foi tardia em alguns pases devido a enormes custos adicionais para licenciamento. Em muitos pases,
35
as redes 3G no usam as mesmas freqncias de rdio que as 2G, fazendo com que as operadoras tenham que construir redes completamente novas e licenciar novas freqncias; uma exceo so os Estados Unidos em que as empresas operam servios 3G na mesma freqncia que outros servios.(LARGA, 2010)
2.10.2 Cat5e
O Cat5e suporta at 1gbps de transmisso de dados, cada um de seus pares tranados podem trabalhar no mximo em transmisso e recepo de at 250mbps, caso trabalhem na condio de Tx/Rx e seus receptores suportem a mesma condio. O Cat5e trabalha geralmente na taxa de 100mbps. Uma de suas melhores caractersticas a maleabilidade que este cabo possui, facilitando a instalao, um bom cabo em relao custo x benefcio devido ao seu custo ser relativamente baixo. (MLLER, 2010)
2.10.3 Cat6
Esta categoria de cabos foi originalmente desenvolvida para ser usada no padro Gigabit Ethernet, mas com o desenvolvimento do padro para cabos categoria 5 sua adoo acabou sendo retardada, j que, embora os cabos categoria 6 ofeream uma qualidade superior, o alcance continua sendo de apenas 100 metros, de forma que, embora a melhor qualidade dos cabos cat 6 seja sempre desejvel, acaba no existindo muito ganho na prtica. Os cabos categoria 6 utilizam especicaes ainda mais estritas que os de categoria 5e e suportam frequncias de at 250 MHz. O Cat6 trabalha com a taxa de 1gbps onde dois de seus pares trabalham como receptores (Rx) e outros dois pares trabalham com transmissores (Tx), cada par tranado do Cat6 tem capacidade de taxa de 500mbps, ou seja, 500mbps x 2 para recepo e 500mbps x 2 para transmisso. O Cat6 requer eletrnica simples para cada receptor em cada extremidade, ele possui um condute interno o que tira um pouco sua maleabilidade, um cabo com maior dimetro assim dicultando instalaes quando muitos cabos so utilizados. (MLLER, 2010)
2.10.4 Cat6a
A categoria 6 aprimorada (6e) uma especicao aumentada projetada para duplicar a frequncia de transmisso para 500 MHz. Envolvendo a categoria 6e em uma folha de blindagem aterrada, velocidades de Ethernet de 10 Gigabit podem ser alcanadas sem a necessidade de sacricar o comprimento mximo do cabo que de 100 metros. (XAVIER, 2010)
36
2.10.5 Fibras pticas multimodo, monomodo

A transmisso da luz pela bra segue um princpio nico, independentemente do material usado ou da aplicao: lanado um feixe de luz numa extremidade da bra e, pelas caractersticas ticas do meio (bra), esse feixe percorre a bra por meio de reexes sucessivas. A bra possui no mnimo duas camadas: o ncleo (lamento de vidro) e o revestimento (material eletricamente isolante). H dois tipos de bras no mercado hoje, monomodo e multimodo. (JUNIOR, 2010) 2.10.5.1 Fibra Monomodo As bras Monomodo possuem um ncleo de dimetro nssimo (muito menor que os das bras Multimodo) e tambm possuem um nico modo de propagao com a luz percorrendo o interior da bra por um nico caminho, isto um nico modo. Como as bras Monomodo superam as capacidades de transmisso das bras Multimodo, esse tipo de bra largamente utilizado em comunicaes de mdias e longas distncias. Os enlaces com bras monomodo, geralmente, ultrapassam 50 km entre os repetidores Tambm se diferenciam pela variao do ndice de refrao do ncleo em relao casca, e se classicam em: Single Mode (SM G.652 ITU-T): Sofre com grande disperso cromtica. No entanto, como essa bra tem um ncleo maior do que os novos tipos de bra ptica, seu uso bom em sistemas que requerem grande capacidade de comprimentos de onda. Dispersion Shifted (DS G.653 ITU-T): Fibra sem disperso. Pensava-se que seria boa para ser usada em sistemas WDM e SDH de alta capacidade. Porm, com o crescimento da quantidade de comprimentos de onda, constatou-se que ela sofre efeitos de mistura de quatro ondas, o que restringiu seu uso em sistemas de WDM. Non Zero Dispersion (NZD G.655 ITU-T): Fibra com disperso baixa, mas no nula. Foi criada para servir de meio termo entre os dois tipos de bra anteriores. Para diminuir a disperso cromtica, o ncleo da bra foi reduzido. Essa reduo impede seu uso em sistemas com muitos comprimentos de onda. Low Water Peak (LWP G.652D ITU-T): tipo de bra onde os processos de fabricao eliminaram a contaminao por ons hidroxila, permitindo que a utilizao dos comprimentos de onda ao redor de 1400nm. (MADEIRA, 2013) 2.10.5.2 Fibras Multimodo As bras do tipo multmodo normalmente possuem o dimetro do ncleo maior do que as bras do tipo monomodo. Assim, o ncleo permite que a luz tenha vrios modos de propagao, percorrendo o interior da bra por vrios caminhos. As bras do tipo multimodo ainda podem ser classicadas em bras de ndice Degrau e ndice gradual, sendo esta classicao decorrente da variao do ndice de refrao entre o ncleo e a casca. ndice Degrau As bras de ndice Degrau, de fabricao mais simples, possuem um
37
ncleo composto por um material homogneo de ndice de refrao constante e sempre superior ao da casca. Sendo assim possuem caractersticas inferiores aos outros tipos de bras, pois a banda passante muito estreita, restringindo a capacidade de transmisso da bra devido s perdas sofridas pelo sinal transmitido e reduzindo suas aplicaes com relao distncia e capacidade de transmisso. Atualmente so pouco usadas em telecomunicaes e aplicaes de comunicao de dados. ndice Gradual So bras mais utilizadas que as de ndice degrau, sendo sua fabricao bem mais complexa. As bras de ndice Degrau possuem um ncleo composto por vidros especiais com diferentes valores de refrao, cujo objetivo diminuir os tempos de propagao da luz no ncleo da bra, j que os raios de luz podem percorrer diferentes caminhos, com velocidades diferentes e chegar ao mesmo tempo outra extremidade da bra. Os resultados so a reduo da disperso, aumento da banda passante e como consequncia um aumento da capacidade de transmisso da bra. (MADEIRA, 2013)
2.11 Segmentao da rede

A segmentao pode ser denida como a diviso de uma rede em redes menores (segmentos), em que a comunicao entre estas feita atravs de um elemento de interligao de redes como Ponte ou Roteador. A interligao dos segmentos dever fazer com que cada um deles se comporte como uma rede independente, permitindo, porm, a comunicao entre estaes de qualquer um dos segmentos interligados, dependendo do protocolo utilizado, pois existem protocolos no roteveis, ou seja, protocolos que no permitem a passagem de mensagens entre os segmentos interligados. Deve-se ter em mente que o processo de segmentao de uma rede no ser exclusividade de redes com um grande nmero de estaes acima de 500, por exemplo. Segmentaes podem ser implementadas em pequenas redes, onde possam se encontrar as seguintes Situaes: Grande Demanda de Dados pelos Usurios; Em redes Ethernet que tenham uma carga muito grande de dados a transferir com grande frequncia, fazem com que o tempo de espera de chegada do dado para o usurio seja maior, devido ao provvel grande nmero de colises, que so caractersticos dessa arquitetura de rede. Grupos de Trabalho com Caractersticas Especcas; Em uma mesma rede podem conviver elementos que necessitem de grande carga de transferncia de dados e elementos que esporadicamente utilizem os recursos da rede, fazendo com que o administrador opte pelo aumento da velocidade em apenas um grupo, o de maior demanda, processo esse que seria facilmente resolvido com o uso da segmentao.(PINHEIRO, 2012)
38
2.11.1 DMZ
DMZ, em segurana da informao, a sigla para de DeMilitarized Zone ou "zona desmilitarizada", em portugus. Tambm conhecida como Rede de Permetro, a DMZ uma pequena rede situada entre uma rede convel e uma no convel, geralmente entre a rede local e a Internet. A funo de uma DMZ manter todos os servios que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrnico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes servios por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ no devem conter nenhuma forma de acesso rede local. A congurao realizada atravs do uso de equipamentos de Firewall, que vo realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um modelo genrico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porm neste ltimo caso devem ser conguradas Redes Virtuais distintas dentro do equipamento, tambm chamadas de VLANs (Ou seja, redes diferentes que no se "enxergam"dentro de uma mesma rede - LAN).
2.11.2 MZ
Est a zona onde so segmentadas as aplicaes mais crticas, portanto devem ser resguardadas com maior nvel de segurana. Bancos de Dados, Applications Servers sem conexo com a Internet devem ser implantados na zona militarizada.
2.11.3 SAN
Os storage networks, ou redes de armazenamento, diferenciam-se de outras formas de armazenamento em rede pelo mtodo de acesso em baixo nvel que eles apresentam. O trfego de dados nessas redes bastante similar aqueles usados internamente em discos, como ATA e SCSI. Em uma rede de armazenamento, o servidor envia pedidos por blocos especcos ou segmentos de dados de discos especcos. Esse mtodo conhecido como block storage (armazenamento de blocos). O dispositivo age similarmente a um drive interno, acessando o bloco especco e enviando a resposta atravs da rede. Em alguns mtodos de acessos de arquivos mais tradicionais, como SMB/CIFS ou NFS, o servidor envia pedidos para um arquivo abstrato como o componente de um grande sistema de arquivos, gerenciados por um computador intermedirio. O intermedirio, ento, determina o local fsico do tal arquivo abstrato, obtm acesso a um dos drives
39
internos e, por m, envia o arquivo completo pela rede. (MORIMOTO, 2007)
2.11.4 NAS
Um NAS (Network Attached Storage), roda um sistema operacional completo e funciona como um servidor de arquivos, ligado diretamente na rede. Existem muitas opes de NAS, que vo desde sistemas baratos, que custam pouco mais que uma gaveta USB, at equipamentos caros, que utilizam um grande nmero de HDs. Os modelos mais baratos comportam apenas um ou dois HDs e oferecem apenas funes bsicas. Alguns modelos incluem tambm um transmissor wireless ou disponibilizam uma porta USB, o que permite que sejam ligados ao PC diretamente e sejam usados como um DAS. Modelos intermedirios suportam em sua maioria 4 drives e modelos high-end ou racks para uso em datacenters suportam muitas vezes 8 drives ou mais. (MORIMOTO, 2007)
40
3 Projeto de Redes
3.1 Projeto de Redes
Um projeto de redes de computadores um estudo detalhado, destinado a implantao de uma rede de computadores que possa satisfazer as necessidades de algum (pessoa fsica ou jurdica), sendo o compartilhamento de informaes e recursos o objetivo mais comum. Dependendo da natureza do projeto, ele dever atender no s as expectativas do presente, mas tambm estar adequado para as mudanas no futuro, isto , ser modular de forma a permitir o crescimento da rede, conforme o surgimento de novas necessidades, sem prejudicar o atual estado de sua funcionalidade. So vrios os detalhes envolvidos em um projeto de redes de computadores. Para se ter uma ideia, podemos destacar alguns exemplos: Coleta de informaes: Dever ser feita de acordo com os requisitos do cliente; Projeto lgico da rede: o planejamento de todos os detalhes da rede que ser implantada e utilizada. Exemplo: topologia da rede (estrutura), esquema de endereamento, protocolos (regras padronizadas), softwares a serem utilizados, segurana e gerncia; Projeto fsico da rede: a seleo de tecnologias e dispositivos a serem usados. Exemplo: placas de rede, cabos, hubs, switches, roteadores, computadores, impressoras, etc.; Testes e anlise do projeto (considerando imprevistos); Realizao de ajustes e melhorias no projeto; Custo do projeto (de modo a atender o melhor custo-benefcio); Documentao do projeto; Treinamento de pessoal. OBS: O projeto deve seguir o Sistema de Cabeamento Estruturado que a padronizao do cabeamento, envolvendo normas tcnicas, de modo a facilitar o uso e manuteno da rede com seus meios de transmisso integrados (voz, dados, multimdia, etc). (MORIMOTO, 2008)
Captulo 3. Projeto de Redes
41
3.2 Cabeamento estruturado

O sistema de cabeamento estruturado que tem como objetivo criar uma padronizao do cabeamento dentro de edicaes comerciais e residenciais, independente das aplicaes. Este sistema em harmonia com o sistema eltrico de uma residncia ou prdio comercial, proporciona ao usurio a utilizao de computadores, telefones, cmeras de vdeo de maneira organizada e muito convel. (MICROLAN, 2008) Atualmente o cabeamento estruturado baseia-se em normas internacionais, que direcionam os fabricantes para certo conjunto de solues prximas, evitando as constantes alteraes de produtos, bem como evitam sistemas proprietrios, onde um s fabricante detentor da tecnologia. No Brasil a norma americana EIA/TIA-568, a mais usada e a nvel internacional temos a ISO/OSI e na Europa grande parte dos fabricantes utiliza o sistema IBCS. As variaes que existem entre uma e outra deve-se mais s categorizaes e conceitos, porm tecnicamente se assemelham e vo no sentido de uma arquitetura aberta, independente de protocolo. Desta forma as novas tendncias se desenvolvem j considerando este cabeamento, como o caso do 100BaseT, do ATM e outros. (MORIMOTO, 2011) Justamente devido s altas frequncias em que o cabeamento deve operar, as condies fsicas da instalao do cabeamento atingiram um alto grau de especialidade, que exige um projeto detalhado e com alto grau de planejamento. Em uma instalao com cabeamento estruturado no se utiliza, por exemplo, ligar diretamente um PC ao HUB. O que a norma prescreve deixar preparado um cabeamento entre o patch panel (Figura 3), e uma tomada RJ 45 (Figura 2). Na tomada RJ 45 pode-se ligar, ou no, um micro, naquele ponto ou um telefone, ou um sensor, ou um vdeo, ou um CFTV e etc. Por sua vez no patch panel conectado o equipamento ativo (HUB, Switch, central telefnica, CLP, head-end, etc). O sistema de cabeamento, portanto deve ser aberto e independente. Isto barateia e d agilidade a todo o sistema, concentrando diversas redes em uma s. Em matria de cabos, os mais utilizados so os cabos de par tranado e os cabos de bra ptica. Cada categoria tem suas prprias vantagens e limitaes, sendo mais adequado para um tipo especco de rede. Os cabos de par tranado so os mais usados, pois tem um melhor custo benefcio, ele pode ser comprado pronto em lojas de informtica, ou feito sob medida, ou ainda produzido pelo prprio usurio Os cabos de bra ptica permitem transmisses de dados a velocidades muito maiores e so completamente imunes a qualquer tipo de interferncia eletromagntica, porm, so muito mais caros e difceis de instalar, demandando equipamentos mais caros e mo de obra mais especializada. Com a migrao das tecnologias de rede para padres de maiores velocidades como ATM, Gigabit Ethernet e 10 Gigabit Ethernet, o uso de bras pticas vem ganhando fora tambm nas redes locais. Existem dois tipos de bras pticas: As bras multmodo e as
42
monomodo. A escolha de um desses tipos dependera da aplicao da bra. As bras multmodo so mais utilizadas em aplicaes de rede locais (LAN), enquanto as monomodo so mais utilizadas para aplicaes de rede de longa distncia (WAN). So mais caras, mas tambm mais ecientes que as multmodo. Um cuidado especial deve ser tomado relativamente certicao do cabeamento. As normas denem uma srie de parmetros para o cabeamento, tais como atenuao, comprimento real, mapeamento dos os, paradiafonia, nvel de rudo, que necessariamente devem estar dentro de uma faixa de valores pr-denidos. A vericao destes valores questo fundamental em um cabeamento, e deve ser feito com equipamentos especiais. a garantia da instalao. Atualmente, cerca de 70 por cento dos problemas que acontecem em uma rede de computao devem-se a problemas do cabeamento. Os softwares costumam passar por uma evoluo a cada 2 ou 3 anos, e de acordo com pesquisas, o hardware do seu PC geralmente tem uma vida til de 5 anos. No entanto, voc ter que viver 15 anos ou mais com seu cabeamento de rede. (MORIMOTO, 2011)
3.2.1 Funcionalidade
Funcionalidade diz respeito facilidade com a qual usurios acessam os servios via rede, enquanto a gerenciabilidade melhora a vida do gerente de rede, a usabilidade foca o usurio nal. Melhorar a usabilidade signica avaliar: Os impactos da poltica de segurana na facilidade de uso; A facilidade com a qual a rede congurada (usando DHCP, por exemplo); A facilidade com a qual a rede corporativa usada remotamente (usando VPN, por exemplo); A facilidade com a qual um usurio mvel pode se integrar rede em vrios pontos (sede, liais, ...). (SAUV, 2013)
3.2.2 Capacidade de rede

O projeto de uma rede utilizando cabeamento estruturado no elaborado apenas para atender aos padres atuais, mas, tambm, para que esteja de conformidade com as tecnologias futuras, alm de proporcionar uma grande exibilidade para alteraes e expanses da infraestrutura a qualquer momento. No caso especco dos Sistemas de Cabeamento Estruturado utilizando cabos metlicos, estes so classicados pelas especicaes de desempenho existentes na forma de "categorias"(categoria 3, categoria 4, categoria 5e, etc). Quanto mais alta a categoria, mais
43
exigentes so os limites das especicaes, pois maior ser o volume de informaes que ser transportado por estes sistemas. Por esse motivo existem valores limites para cada uma dessas categorias, que devem ser atendidos quando os produtos que compem uma determinada soluo so testados. Se os valores so atendidos, o produto classicado conforme aquela categoria correspondente. O Throughput pode ser denido como a capacidade total de um canal em processar e transmitir dados durante um determinado perodo de tempo. O termo "canal" normalmente encontrado nas normas tcnicas representando o meio de transmisso m-a-m entre dois pontos no qual existem conectados equipamentos de aplicaes especcas. Na prtica, um canal afetado por inmeros fatores que diminuem sua capacidade de processar e transmitir. Para os sistemas de comunicao, e em particular o cabeamento de redes locais, esses meios podem ser projetados de maneira a compensar tais fatores. Um throughput adequado essencial para transmitir grandes quantidades de dados com poucos erros. Por exemplo, a transmisso de streaming de vdeo sobre redes locais uma aplicao em tempo real muito crtica quando se fala de taxa de erros. A BER Bit Error Rate a razo do nmero de bits incorretos recebidos pelo nmero de bits transmitidos. A medida clssica do BER feita transmitindo um bit padro conhecido e comparando este com um bit padro recebido, ou ento, comparandose o bit transmitido com o bit recebido, numa medio direta. Em qualquer aplicao, altas taxas de BER representam performance insatisfatria. A necessidade de minimizar os erros para maximizar o throughput crtica em aplicaes de alta taxa de transmisso e, especicamente em transmisso de dados, altas taxas de BER simbolizam redes mais lentas em funo das retransmisses de sinal. Para garantir a performance de uma rede local, as normas denem os parmetros de desempenho que os sistemas de cabeamento devem atender para assegurar o bom funcionamento das aplicaes como a resistncia hmica do cabeamento, impedncia de conectores, os comprimentos mximos para os lances de cabo, etc. Entretanto, alguns fatores afetam negativamente o throughput da rede e, consequentemente a BER. Entre esses fatores destacam-se: Atenuao: representa a perda de potncia que o sinal sofre ao longo do percurso entre o transmissor e o receptor (expressa em dB). Na recepo. A atenuao aumenta diretamente com o comprimento do cabo. Ela medida em dB, e se tratando de perda de sinal, expressa em valor negativo. Um decrscimo de potncia de 3 dB entre a entrada e a sada signica que a sada possui a metade da potncia do sinal de entrada; Crosstalk ou Diafonia: A palavra "crosstalk"originou-se da telefonia, sendo este fenmeno compreendido atravs da comparao com o efeito da diafonia, onde determinada pessoa falando ao telefone ouve conversaes de terceiros (tambm conhecido como
44
"linha cruzada"). a medida da interferncia eltrica gerada em um par pelo sinal que est trafegando num par adjacente dentro do mesmo cabo (expressa em dB); Delay Skew ou Atraso de Propagao: a medida de quanto tempo o sinal leva para viajar de uma extremidade a outra do link (entre o transmissor e o receptor, expresso em ns); Perda de Retorno ou RL (Return Loss): a medida da taxa de potncia reetida no sistema (expressa em dB), que simplesmente pode ser denida como a quantidade de sinal que retorna devido ao descasamento de impedncia da carga acoplada no nal do cabo. Existem vrias possibilidades de falhas devido Perda por Retorno, como a variao na impedncia do comprimento do cabo numa conexo cruzada, prticas de instalao incorretas, cabos e conectores usados indevidamente, entre outros. Normalmente, a Perda de Retorno do canal apontada como a principal responsvel pelo aumento nos valores da taxa de BER. Embora a perda de retorno seja um dos fatores que afeta a performance do canal, o crosstalk torna-se muito mais crtico, pois, como o efeito da interferncia de "linha cruzada"ocorre com maior intensidade nas terminaes dos cabos (onde feito o ponto de conexo), pode prejudicar o desempenho de todos os recursos da rede, com uma alta taxa de BER. (PINHEIRO, 2004)
3.2.3 Tecnologias utilizadas

Na construo se uma rede de computadores a aplicao de muitas tecnologias necessria para se chegar a um ambiente que responda todos requisitos de padronizao, desempenho, disponibilidade e segurana. H tecnologias em hardware e software que possibilitam a moldagem de rede como necessrio. Essas podem ser tecnologias proprietrias ou opensouces, e a escolha de uma ou outra deve - se dar pela anlise de custo e benefcio para o projeto. Ao se aplicar uma soluo em primeiro lugar devemos observar se ela condiz com a arquitetura que ser inserida, se escalvel e mantm os padres da infraestrutura. Protocolos, softwares, hardwares e peoplewares precisam conversar de forma clara, para isso os padres estabelecidos no mercado trabalham conectando as tecnologias. (UFCG, 2012)
3.2.4 Equipamentos utilizados

Em uma rede h vrios equipamentos, atuando em camadas diferentes do modelo OSI, que possibilitam a comunicao, dentre os principais podemos citar: GateWay: uma passagem constituda de hardware e software, um porto (gate) que uma rede utiliza para se comunicar com outra rede que tem arquitetura dife-
45
rente. O Gateway realiza as converses de protocolos para que as redes possam se entender. Em uma rede local (LAN) ele pode ser usado, por exemplo, para conectar os computadores da rede a um mainframe ou Internet. Roteador: um dispositivo utilizado para gerenciar a transferncia de dados entre duas redes de computadores. o roteador que escolhe o melhor caminho para que a informao chegue ao destino. Geralmente so usados para ligar uma LAN (Local Area Network rede local) a uma WAN (Wide Area Network rede de longa distncia). Firewall: O Firewall um complexo de hardware e software necessrios para ltrar o trfego, ou seja, barrar dados inconvenientes entre duas redes. Ele monitora as milhares de portas usadas na comunicao dos aplicativos e funciona como uma parede (wall). Alguns rewalls simples so o Norton Personal Firewall da Symantec e o ZoneAlarm Pro da Zone Labs. Hub x Switch: o Hub recomendado para redes cliente-servidor e em uma congurao estrela, como concentrador, ele funciona desta maneira: O Hub transmite as informaes que chegam para todas as estaes conectadas a ele. As estaes podem transmitir informaes para o Hub, mas s deve acontecer uma transmisso de cada vez. O Switch tem melhor performance que o Hub, porm mais caro. recomendado para redes com grande trfego ponto-a-ponto (peer-to-peer) pois o Switch transmite cada pacote de dados diretamente para o destinatrio, uma estao especca; (BABOO, 2013)
3.2.5 Disponibilidade
Disponibilidade refere-se ao percentual de tempo que a rede est disponvel. frequentemente um objetivo crucial do cliente. Exemplo: Se uma rede deve car 24 horas no ar e para 3 horas numa semana de 168 horas, a disponibilidade de 98,21 por cento, isso um valor normalmente considerado muito ruim Disponibilidade diferente de conabilidade, conabilidade inclui acurcia, taxas de erro, estabilidade, etc. A recuperabilidade (habilidade de recuperar rapidamente aps uma falha) um dos aspectos da disponibilidade Outro aspecto da disponibilidade a recuperao aps um desastre que envolve: Onde ter cpias de backup dos dados. Como chavear processos para acessar o backup.
46
Especicao de 95 por cento s serve para testes ou prottipos. A maioria dos sistemas opera por volta de 99,95. 5 minutos de downtime por semana permitem alguns transientes ou uma parada um pouco maior por ms, 99,98 por cento so desejveis para muitos sistemas de misso crtica, 99,99 por cento o limite da tecnologia atualmente. At 99,9 por cento, a disponibilidade baixa, acima disso, considerada alta (requer cuidados especiais) Na gura abaixo mostramos a os nveis de downtime.
Figura 3 Tabela de downtime. Fonte: Smolka et catervarii J. R. Smolka 2011
O custo do tempo parado medido por quanto dinheiro a empresa perde por hora de downtime. Para aplicaes com alto custo de downtime, pode-se mais til especicar a disponibilidade com dois nmeros em vez de um s: Mean Time Between Failures (MTBF) Tambm chamado de Mean Time Between Service Outage (MTBSO), j que uma rede um servio e no um componente Mean Time To Repair (MTTR) A disponibilidade calculada pela frmula: MTBF/(MTBF+MTTR) Exemplo: MTBF de 4000 horas e MTTR de 1 hora (um valor tpico) => 99,98 por cento Um MTTR muito baixo indica que providncias especiais devero ser tomadas Exemplos: peas de reposio, tcnico residente, etc. (SAUV, 2013)
47
3.2.6 Desempenho
O desempenho da rede relaciona-se diretamente velocidade da rede. J o desempenho das aplicaes relaciona-se velocidade das aplicaes, como visto pelo usurio nal, e depende, tambm, da rede, do servidor, do cliente, e da aplicao. O desempenho da rede uma preocupao central, especialmente porque a rede geralmente responsabilizada pela maioria dos problemas de desempenho. Essencial a uma gerncia de desempenho ecaz a determinao de quando os atrasos ocorrem e onde estes se encontram realmente, de modo que as aes corretivas possam ser feitas. Por exemplo, uma rede que escoe o trfego rapidamente pode ser vista como "lenta "se o servidor for subdimensionado ou estiver suportando demasiados usurios. Por outro lado, um servidor namente ajustado pode no apresentar nenhum impacto positivo na performance caso haja atrasos excessivos na rede. A medio de desempenho torna-se mais difcil ao passo que as aplicaes se tornam cada vez mais complexas. Os principais parmetros utilizados para a avaliao do desempenho de redes, conceituando-os de maneira criteriosa a m de que se possa diagnosticar eventuais decincias de produtividade mais precisamente: LARGURA DE FAIXA: Uma medida da capacidade de um link de comunicaes. Por exemplo, um link T1 (Tcnica chamada Multiplexao por Diviso do Tempo (TDM)) tem uma largura de faixa de 1,544 Mbps. usada tambm para medir a capacidade atribuda a um servio atravs de um link; por exemplo, uma entrada de vdeo atravs de um link T1 pode ter uma largura de faixa atribuda de 384 Kbps. LINHA DE BASE (BASE LINE): Uma medida do comportamento "normal". Muitas redes experimentam "picos de trfego "em vrios momentos relacionados a operaes de negcios fundamentais - acesso de correio eletrnico e outros recursos. Uma linha de base til para distinguir um dia "ruim ", ou uma anomalia aleatria, dos dias "normais". CONGESTIONAMENTO: O congestionamento ocorre em funo de cargas mais elevadas, indicando rede ou a um dispositivo que este est alcanando, ou excedeu, sua capacidade. O congestionamento conduz primeiramente a um rpido crescimento da latncia e, ento, perda dos dados se a situao no for corrigida. Os atrasos enleirando-se com os pacotes que esperam para ir so uma indicao de problemas possveis de latncia. LATNCIA: Uma medida do atraso de uma extremidade de uma rede, de um link, ou de um dispositivo a outra. Uma latncia mais elevada indica atrasos mais longos. A latncia nunca pode ser eliminada inteiramente, e usada como uma medida
48
do desempenho da rede. Como a utilizao, a latncia pode variar em funo da carga imposta rede. Um portador pode mudar sua latncia da rede alterando seus circuitos virtuais de modo que estes usem links mais lentos ou incorporem mais "hops". Cada vez que uma clula ou pacote retransmitido, ele submetido a um "hop"(salto). O rastreamento da latncia de uma rede essencial. DISPARO (THRESHOLD): Um valor que ajustado para advertir o sistema de gerncia quando a utilizao, a latncia, ou o congestionamento excederem limites crticos. O disparo ajustado nos agentes de gerncia que medem o comportamento real das redes e dos links. Por exemplo, um administrador pode ajustar um disparo de 50 por cento da utilizao em um link da rede, de modo que haja tempo de responder aos volumes de trfego crescentes. UTILIZAO: Uma medida de quanto da capacidade est sendo usado realmente em algum ponto. Se um link T1 comporta 924 Kbps, este tem uma utilizao de 60 por cento nesse intervalo particular do tempo. A utilizao varia de acordo com as cargas reais do trfego e com o intervalo de tempo do qual calculada a mdia. tambm uma medida da carga do processador central nos servidores e nos clientes. (AVALLE, 2011)
3.2.7 Escalabilidade
Escalabilidade refere-se a quanto crescimento um projeto de rede deve suportar. um objetivo primrio de quase todo projeto de rede, adicionam-se usurios, aplicaes, sites e conexes de rede a um ritmo veloz por isso deve haver um planejando para a expanso. necessrio descobrir qual o crescimento planejado para a rede no prximo ano e nos prximos 2 anos. Conhecer o negcio e suas particularidades para fazer uma clculo de expanso o ponto de partida. Dentro do escopo de escalabilidade devemos pensar em conectar redes departamentais na rede corporativa, resolver gargalos surgindo como resultado do maior trfego entre redes, prover servidores centralizados numa server farm (Um grupo de computadores servidores, normalmente mantidos por uma empresa ou universidade para executar tarefas que vo alm da capacidade de uma s mquina corrente), adicionar novos sites para dar suporte a liais e a funcionrios que trabalham em casa, adicionar novos sites para dar suporte a parceiros, fornecedores, grandes clientes. E algumas restries da escalabilidade tambm devem ser consideradas. Ao pensar sobre escalabilidade, certas tecnologias de rede no so inerentemente escalveis. Exemplo:
49
redes com endereamento plano (redes de camada 2 envolvendo hubs, pontes e switches simples), redes que suportam servios baseados em broadcast. (UFCG, 2013)
3.2.8 Subsistemas do cabeamento estruturado

Um sistema de cabeamento estruturado consiste de um conjunto de produtos de conectividade empregado de acordo com regras especcas de engenharia cujas caractersticas principais so: Arquitetura aberta Meio de transmisso e disposio fsica padronizados Aderncia a padres internacionais Projeto e instalao sistematizados Fcil administrao e controle do sistema de cabeamento Esse sistema integra diversos meios de transmisso (cabos metlicos, bra tica, rdio, etc) que suportam mltiplas aplicaes incluindo voz, vdeo, dados, sinalizao e controle. Os produtos utilizados asseguram conectividade mxima para os dispositivos existentes e preparam a infraestrutura para as tecnologias emergentes. O cabeamento estruturado foi dividido em seis subsistemas: Cabeamento Horizontal (Horizontal Cabling): Compreendido pelas conexes da sala de telecomunicaes at a rea de trabalho. Cabeamento Backbone (Backbone Distribution): Esse nvel realiza a interligao entre os TRs, salas de equipamentos e pontos de entrada. Ele principalmente constitudo dos cabos de backbone e cross-conections intermedirio e principal, cabos de conexo, conexo entre pavimentos e cabos entre prdios (campus backbone). rea de Trabalho (Work Area WA): Local fsico onde o usurio trabalha com os equipamentos de comunicao. O nvel construdo pelos PCs, telefones, etc., cabos de ligao e eventuais adaptadores. Sala de Telecomunicaes (Telecommunications Room TR): o espao destinado para a acomodao de equipamentos, terminao e manobras de cabos. o ponto desconexo entre o backbone e o cabeamento horizontal. Os cross-conects so alojados nos TRs, podendo ou no possuir elementos ativos. Sala de Equipamentos (Equipment Room): Local onde so abrigados os principais equipamentos ativos da rede, como PABX, servidores, switches, hubs, roteadores,
50
etc. Nesse local, costuma-se instalar o principal painel de manobras ou main crossconnect, composto de patch panels, blocos 110 ou distribuidores ticos. Entrada do Edifcio (Entrance Facility EF): o ponto onde realizado a interligao entre o cabeamento externo e o intra-edifcio dos servios disponibilizados (entrada da LP e PABX por exemplo). (AVALLE, 2013)
Parte II Planejamento da soluo de TI
52
Cenrio Proposto: Matriz situada em Curitiba, Paran. Filial sul: Situada em Porto alegre,Rio Grande do Sul. Filial norte: Situada em Palmas, Tocantins. Filial nordeste: Situada em Salvador, Bahia. Fillial sudeste: Situada em So Paulo, capital. 20 unidades de negcio com 2 laptops em cada uma. Estaro situadas em: 3 unidades em Maring-PR. 3 unidades em Porto Alegre-RS. 3 unidades em So Paulo-SP. 3 unidades em Salvador-BA. 3 unidades em Palmas-TO. 3 unidades em Recife-PE. 2 unidades em Rio janeiro-RJ.
53
4 Escopo do projeto
Normas e Padres: O projeto tem como base as normas e padres abaixo especicadas: NBR 14565; Famlia ISO 27000; TIA 942. Esse projeto tem por nalidade a implantao do datacenter e o cabeamento estruturado da matriz da empresa Lumitex, tambm a integrao das liais com a matriz e escritrio regionais, a denio da poltica de segurana e denio do gerenciamento de ativos e aplicaes. Objetivos de negcio da Empresa Lumitex so em ordem de prioridade; ampliar a capacidade de atendimento nos setores crticos de negcio prevendo grande expanso de clientes para o prximo ano. Cumprir com o compromisso de sigilo e segurana dos dados manipulados pela Lumitex, honrando o compromisso com os clientes, usurios e empresas parceiras e consolidar-se como uma das maiores empresas no setor. Para sucesso do projeto necessrio que a rede mantenha os requisitos de negcio implcitos nos objetivos tcnicos. Tratando se de uma empresa de grande porte que atua a nvel nacional, dependendo de muitas aplicaes para manter seu negcio principal, o risco decorrente da perda temporria dos servios afetam diretamente as atividades geradoras de renda para a organizao, sendo os setores crticos o Financeiro e o Call Center, que so tambm geradores da maior demanda de banda da rede. No faz parte do escopo do projeto a cotao das rea de trabalho e telefonia. Na matriz, estaro localizados todos os aplicativos e servios necessrios ao negcio. A Integrao da rede deve garantir a continuidade dos servios. No do escopo do projeto atualizar as LANS locais das liais, nem atender aos usurios que acessem os sistemas fora da rede. A integrao com as liais deve atender os requisitos de cada localidade, mantendo os padres estabelecidos para o trafego dos dados neste projetos. Am de manter os padres das normas internacionais em todo o projeto, a escolha do local para implantao da matriz cou denida por um terreno na cidade de Curitiba, de 2344.00 m2, que possibilita a diviso bem planejada de todas as reas que fazem parte do complexo de produo e administrao da matriz e tambm da unidade do datacenter.
Captulo 4. Escopo do projeto
54
O datacenter deve ser projetado para suprir a possibilidade de atendimento a sites externos que venham se integrar a rede nos prximos 3 anos. A possibilidade de associar alguns setores a sistemas integradores com parceiros e clientes uma prerrogativa, dado o aspectos que o setor apresenta e seguindo as tendncias da TI como geradora de dados, catalizadora de indicadores e ferramenta de apoio a tomada de deciso. No faz parte do escopo deste projeto a elaborao das SLAs para cumprir as necessidades de contratos com empresas prestadoras de servio. A soluo de integrao de voz ser estudada para acompanhar as tecnologias de dados aplicadas no projeto.
4.1 Funcionalidade
Tratando-se de uma empresa de grande porte, que depende de muitas aplicaes para manter seu negcio principal, o risco decorrente da perda temporria dos servios afetam diretamente as atividades geradoras de renda para a organizao, sendo os setores crticos o Financeiro, o Call Center, que so tambm geradores da maior demanda de banda da rede. Para atender as necessidades de disponibilidade e segurana do dados da empresa, que tem como critrios suporte ao sistema ERP, banco de dados e atividade de Call center, e CRM (Customer Relationship Management) h a necessidade de que os equipamentos mantenham - se ligados nas horas de expediente tradicionais, permitindo o desligamento de sistema durante o perodo em que no h atividades da produo. As aplicaes e servios devem estar acessveis nos perodos de expediente, e em caso de parada deve ser restaurada em tempo de no afetar as atividades crticas. As aplicaes que devem ser atendidas nesse escopo, assim como os servios que lhes do suporte tambm devem ser homologadas pelos representantes deste escopo para validar os requisitos mnimos exigidos da rede e tambm validar as conguraes necessrias essas aplicaes no ambiente a ser implantado. Os servios de rede devem ser congurados de maneira a atender a poltica de segurana e tambm cumprir as exigncias de acessibilidade previstas. O projeto encarregado de estabelecer servio de voz de qualidade.
4.2 Capacidade de rede

Para suportar o trfego na rede da Lumitex que deve integrar as liais a matriz, a capacidade dos links deve ter bandwidth garantida por SLA. A capacidade real de uxo na rede deve satisfazer o throughput necessrio as aplicaes.
55
Os dispositivos de comutao e switching devem ter os requisitos para atender o cabeamento, serem congurados conforme a poltica de segurana e manter as caractersticas de throughput estipuladas. O objetivo do projeto a construo de uma rede eciente e expansvel, j que para os gestores a possibilidade de um aumento na carga de dados pode se dar devido os polticas programadas do negcio para os prximos anos. Todos os sistemas e dispositivos devem antever o crescimento j previsto. As caractersticas iniciais de desempenho devem ser mantidas, aumentando em proporo com o crescimento previsto para resguardar os parmetros de segurana e disponibilidade, funcionalidade j estipulados. O link de internet deve ser capaz de trafegar o uxo de sada dos departamentos, e ainda, sada e entrada do uxo do mdulo API do sistema ERP mantendo o desempenho quando esses uxos estiverem ocorrendo simultaneamente.
4.3 Tecnologias utilizadas

Todas as tecnologias aplicadas no projeto devem ter manual de instruo, serem catalogadas em um banco de conhecimento disponvel aos responsveis por sua superviso. Para fazer a interligao da matriz e liais a tecnologia estabelecida foi o MPLS, que dever ser contratado junto a uma operadora com garantia de banda e downtime no nvel de 99.749 por cento. Para maximizar a possibilidade de gerenciamento do ambiente, economia no consumo de energia e desempenho dos servio, a virtualizao dos servidores deve ser implementada. O fabricante deve ser escolhido pensando no custo/benefcio e no resultado real de desempenho apropriados a rede. Os servios de rede podem usar tanto aplicaes opensources como proprietria, desde que cumpram o escopo de disponibilidade, segurana e desempenho do projeto. O servios de diretrios usado ser o Active Directory, j estabelecido por sua alta usabilidade em questo de gerenciamento de diretrios. A segmentao dos departamentos da empresa Lumitex ser feita atravs de VLANs estruturadas nos switches core da rede. As aplicaes utilizadas pela empresa Lumitex para gerar e gerir as informaes do negcio no esto no escopo deste projeto, sendo implicaes do projeto apenas criar a estrutura necessria ao funcionamento adequado da aplicaes.
56
4.4 Equipamentos utilizados

Os ativos e passivos de rede devem estar documentados e catalogados. Para o armazenamento dos dados da empresa Lumitex ser usado um storage expansvel em array de raid 5. A rede ser centralizada por switch Core L3 redundante e gerencivel, localizado no datacenter, onde ser segmentada a rede atravs de vlans. Os switches de distribuio estaro nas salas de telecomunicao da cada pavimento, estes devero ser gerenciveis e capazes de receber ao menos uma bra ptica. Todos os equipamentos devem estar dentro das normas que regem este projeto.
4.5 Disponibilidade
Dentro do Plano de continuidade de negcios e recuperao de desastres sero especicados os procedimentos para manuteno e recuperao, antecipando a TI aos possveis desastres. Como a caracterstica das atividades da empresa Lumitex implica em ter uma rede estvel, este aspecto deve ser extremamente preparado para garantir a o mnimo de impacto nos negcios. A manuteno da antiga estrutura da empresa Lumitex como espelho do site principal um aspecto que garante disponibilidade, por assim ser feita a redundncia dos principais servios.
4.6 Desempenho
O trfego da rede da Empresa Lumitex envolve grande carga de dados transitando entre as liais, matriz e clientes, para suprir todo uxo os requisitos de desempenho so altos. Tanto o link que far as integrao como as links internos na rede da matriz devem ser caracterizados para suprir com sobra as necessidades de trfego.
4.7 Subsistemas do cabeamento estruturado

Todas as normas de cabeamento estruturado devem ser seguidas estritamente e todos os pontos de rede devem ser certicados para garantir que no haver interferncias e perda de throughput no trfego da rede decorrente de mau instalao de dispositivos e ativos.
57
Para cumprir os requisitos de cabeamento estruturado, todos os cabos UTPs e bras pticas precisam estar dentro das categorias vlidas ao trfego calculado em cada segmento do cabeamento estruturado. A disposio fsica das instalaes da empresa Lumitex foram planejadas de maneira a cumprir com as normas vigentes para instalao de um datacenter. A sala de entrada para as operadoras est disposta a frente para fcil acesso. O departamento de TI car entre a sala de entrada e o datacenter, para agilizar as manobras necessrias. A salas de telecomunicaes no prdio da matriz recebero as bras vindas direto do datacenter sem haver necessidade de cascatear os switches de pavimentos diferentes, e mesmo nos switches do mesmo pavimento ser usado cabo proprietrio para integrar os equipamentos que trabalharo como um s. Para chegar as reas de trabalho o cabeamento seguir atravs de eletro calhas abaixo do piso elevado, a disposio da sala de telecomunicaes centralizada para facilitar o escoamento dos cabos. As tomadas de telecomunicao estaro dispostas sobre o piso elevado, em par para cada estao de trabalho. Essas tomadas no sero distintas para voz ou dados. O Cabeamento para as cmeras de vigilncia seguir separado, vindo de um switch prprio localizado no datacenter junto aos equipamentos core. As bras para a rede da cmeras de vigilncia seguiro do datacenter por eletro dutos xados sobre o forro, chegando a cada andar para conectarem-se a um switch tambm prprio, e da sero distribudas por eletro dutos chegando a cada ponto que nesse caso ser nico. Para as cmeras da lateral direita do permetro o cabeamento seguir direto do datacenter. Para a guarita de segurana um cabeamento especco vir da sala telecomunicao do pavimento trreo, porm tanto as bras de dados e de cmeras viro por eletro dutos em canaletas sob a calada. Todo os itens do cabeamento estruturado, como a colocao do piso elevado nos pavimentos e datacenter, passagem dos cabos, instalao das eletro calhas e eletro dutos ser de responsabilidade de empresa contratada e a equipe do projeto ca encarregada apenas de repassar as medidas adequadas ao projeto.
4.8 Recursos tcnicos e mo de obra

A implantao do projeto de cabeamento estruturado com colocao do piso elevado nos pavimentos e no datacenter, A instalao das cmeras de vigilncia e todos os equipamentos de segurana sero terceirados, as demais atividades do projeto sero de reponsabilidade da equipe de TI da empresa Lumitex. A contratao imediata de pessoal qualicado para atividades de TI, como moni-
58
toramento e congurao implica no sucesso deste projeto.
59
5 Cronograma Geral do Projeto
Figura 4 Crongrama Geral do Projeto
60
6 Plano de integrao Matriz e Filiais

6.1 Interligao entre matriz e liais
A empresa lumitex ser interligada pela tecnologia MPLS(tecnologia de encaminhamento). Todo o trafego de rede MPLS ser de responsabilidade da operadora contratada. Escopo de integrao para operadora: Interligar a matriz a todas as liais que esto situadas em diferentes regies no Brasil; Matriz situada em Curitiba. Filial sul: Situada em Porto Alegre, Rio Grande Do Sul. Filial norte: Situada em Palmas, Tocantins. Filial nordeste: Situada em Salvador, Bahia. Filial sudeste: Situada em So Paulo, capital. A lial So Paulo ser um espelho da matriz para garantir redundncia com ecincia rede, o seu link portanto ser maior que os das outras liais. A integrao dos escritrios remoto ser feita por VPNs ligando os escritrios regionais a matriz, usando o protocolo OpenVpn na segunda camada do modelo OSI para interligar redes ethernet e sua redundncia ser na lial SP, atravs de rotas que direcionam o trfego da matriz para lial de SP em caso de parada na matriz.
6.2 Desao e necessidades para que o projeto seja implantado com sucesso
O desao principal para o projeto o processo de ligao de todas as liais com a matriz para formar uma rede nica, e que seja cumprido os requisitos de desempenho. Outro desao a integrao de 20 escritrios remotos distribudos por todo o pas. Cuja a congurao car sob responsabilidade da equipe de TI da empresa Lumitex. Essa congurao apesar de no ter grande nvel de complexidade, muita trabalhosa e demanda tempo para estar completamente congurada.
6.3 Lista de ativos de redes e material de comunicao.
Captulo 6. Plano de integrao Matriz e Filiais
61
Figura 5 Lista de ativos e material de comunicao
6.4 Lista de servios.

Tabela 1 Lista dos servios que os usurios tero acesso
Active Directory servio de diretrio Impressora Servidor de impresso Dhcp Servidor para distribuio de endereo IP automticamente Fileserver Servidor de arquivo Proxy Servio para controle e restrio de acesso a internet ERP Sistema para integrao de dados e processos da empresa Dns Servidor para resoluo de nomes Openvpn acesso remoto para escritrios regionais Crm Gerenciador de relacionamento com o cliente Wsus atualizao windonws Antivrus para rede
62
6.5 Lista de servidores

Tabela 2 Lista de servidores na matriz
Servidores Servidor de impresso Servidor DHCP,DNS interno Servidor de E-mail Servidor web Servidor CRM Servidor Banco de Dados CFTV AD NFS Monitorammento e controle de acesso Antivrus Atualizao Compartilhamento entre Windows e Linux Dns Externo Localizao Data center Data center Aplicaes Impresso em rede Dhcp (Linux), DNS Bind EXCHANG Apache Snior Oracle Nuuo Active Directory NFS Windows Lenel-Onguad servios Impresso Prover ip, Resoluo de nomes. E-mail Web Server CRM Servir Base de dados Nuuo Servio de diretrios Compartilahemento de arquivos Monitoramento do mbiente e controle de acesso Antivrus Atualizao Samba
Data Data Data Data
center Center center center
Data center Data center Data center Data center
Data center Data center Data center
Simantec endpoint WSUS Samba
Data center
Bind
VPN Proxy Backup VM Backup Aplicaes
Data center Data center Data center Data center
Openvpn Squid VEEAM Script
Backup Fsico e lgico Gernciamneto TI
Data center
Script
Data center
Zabbix
Resolver nomes para quem d internet acesso a rede por VPN controle de acesso internet Backups da maquinas virtuais Backups das aplicaes e arquivos de congurao Backups fsico e lgico do banco de dados monitoramento de ativos de rede
63
6.6 Diagrama da rede
Figura 6 Integrao matriz e lias
64
Figura 7 Lan Lumitex
6.7 Servios prestados pelas operadoras

Sero contratados dois links, um da operadora GVT e outro da operadora Embratel, que estaro ativos ao mesmo tempo: As operadora iro disponibilizar um link MPLS de 20 MB para matriz, links de 10 MB para a lial espelho e um link 2 MB para todas as outras liais, com 10 IPs vlidos, QoS, CoS, ambiente virtual exclusivo, desempenho assegurado em toda a rede. Integrao de todos os pontos da rede privada virtual (VPN) com conectividade e exibilidade das redes IP. No pacote contratado junto a operadora GVT ser integrado o servio de telefonia IP(VOIP), esse servio disponibilizar todos os equipamentos necessrio para integrar voz a rede local, com 500 linhas externas simultneas. Em caso de perda do link da GVT o servio de telefonia ser roteado para o link da Embratel. Sero contratados 1 link de ADSL GVT de 10 MB com 5 IPS xo por onde chegar a conexes para o webserver e das VPNs dos escritrios remotos e um link de 2 MB da Embratel que car passivo. Esses servios ser garantido por SLA.
65
6.8 Planejamento de implementao do rewall

A congurao de rewall ser feita no switch core da rede que tambm distribui as vlans. Teremos conguradas nesse as vlans dos 5 departamentos empresa, a vlan de servidores, da MZ e gerenciamento TI. As vlans dos departamentos isolar os usurios dentro dos acessos permitidos para sua VLan. Na Vlan dos servidores car os servidores de DHCP e DNS e Interno, Impresso, Antivrus, Atualizao, NFS, Samba e VPN. Na MZ estaro os servidores de banco de dados, CRM, ERP e o Storage e os trs servidores de Backup. Para sada para internet teremos um rewall IPTABLES, em um servidor com 4 placa de redes. Uma placa ser para rede DMZ onde estar os servidores DNS externo, E-mail, e Webserve e Proxy. Outra dessas placas ser congurada para uma rede WI-FI, uma placa do servidor rewall sara para internet e outra para a rede interna ligada ao switch core. A rede CFTV ser isolada sicamente da demais. Lista de acessos: Tabela 3 Lista de acessos
Nome da rede DMZ IP 192.168.55.0 Servidores. DNS externo, Email, Webserve, Proxy Banco de Dados, ERP, CRM, AD, Storage, Backup MV, Backup Aplicao, Backup BD DNS-DHCP, Antivrus, Samba, Wsus, Impresso, NFS, Openvpn Gerenciamento de TI acesso a internet Host do Call Center Hosts do RH Hosts da Diretoria Hosts do Financeiro Hosts da Administrao Servidor CFTV isolada
MZ
10.10.10.0
Servidores
10.10.20.0
Gerenciamento TI WI - FI Call Center RH Diretoria Financeiro Administrao Cftv
10.10.100.0 192.168.2.0 10.10.40.0 10.10.50.0 10.10.70.0 10.10.60.0 10.10.30.0 172.16.0.0
66
Objetos do rewall: Tabela 4 Objetos do rewall

hostname WSUS Antivrus DNS-DHCP Gerenciamento TI Proxy VPN E-mail AD Impresso NFS Samba Storage CRM Webserve ERP Backup VM Backup BD Backup Aplicao DNS externo IP 10.10.20.5/24 10.10.20.3/24 10.10.20.2/24 10.10.100.2/24 192.168.55.5/24 10.10.20.9/24 192.168.55.2/24 10.10.10.7/24 10.10.20.6/24 10.10.20.8/24 10.10.20.3/24 10.10.10.5/24 10.10.10.3/24 192.168.55.3/24 10.10.10.4/24 10.10.10.8/24 10.10.10.9/24 10.10.10.10/24 192.168.55.4/24 servios Wsus Simantec endpoint Bind Zabbix Bind Openvpn Exchange Active Directory Dlink DPR NFS Samba Senior Apache Senior Script Script Script Script
Lista de congurao para o Firewall:
Figura 8 Congurao para o Firewall
67
6.9 Justicativa Negocial da soluo de integrao Matriz e Filiais

de extrema importncia toda a interligao entre matriz e liais ter qualidade, conabilidade, continuidade e segurana. A caracterstica de segurana do Link MPLS para integrao de sites distantes proporciona um desenho de fcil manuteno, mantendo a rede isolada da comunicao externa. Outro fator importante para a contratao desse servio poder usar a mesma estrutura para fazer a integrao de voz da empresa. Com o uso da telefonia VOIP como servio reduzimos o impacto dos custo de telefonia no projeto. Para os escritrios regionais a melhor soluo est no uso de VPNs, que alm de segurana, tambm garante pouco custo as conexes.
68
7 Normas e Procedimentos de Segurana de TI

7.1 Poltica de Segurana da Informao
A poltica de segurana da empresa Lumitex segue as diretivas de negcio estabelecidas pela diretoria da empresa. O documento elaborado encontra-se no apndice A deste projeto.
7.2 Planejamento de segurana fsica

Seguindo a poltica de segurana elaborada, o planejamento de segurana fsica estabelece os nveis de segurana perimetral e de acesso a Lumitex. O Planejamento de Segurana Fsica da empresa Lumitex encontra - se anexo B deste projeto.
7.3 Gerenciamento de Continuidade dos Negcios

7.3.1 Plano de Continuidade dos Negcios e Recuperao de Desastres
Contingncia: O servio de DNS tem redundncia de ambiente na lial de So Paulo e assume automaticamente em caso de falha do primeiro. Active Directory: O Active Directory tem redundncia de ambiente na lial de So Paulo, em caso de parada da matriz todos os servios so assumidos na lial de So Paulo. Banco de dados: Soluo de banco de dados Oracle Active Data Guard, servidor ativo e passivo montando com replicao de archive logs. Um banco de dados ca na matriz e o outro na Filial de So Paulo, este pode assumir o servio em tempo estimado de 15 20 minutos. Nesta soluo o failover automtico para servidor passivo e aps o recovery o servidor principal volta a se integrar ao ambiente. O consumo de banda baixo nessa congurao. Backup das aplicaes: O CRM e o ERP tem cpias na matriz que so replicadas diariamente para a Filial de So Paulo. Os servidores preparados para assumir as aplicaes na lial levam mdia de 20 25 minutos para serem estabelecidos. Pessoal: As funes da Filial de So Paulo so as mesma da matriz, portanto os funcionrios tem capacidade de assumir a demanda aumentada por perodo de at trs
Captulo 7. Normas e Procedimentos de Segurana de TI
69
dias sem afetar as atividades, para isso o treinamento para desastre constante nesta lial. Tabela 5 Listagem Setores Crticos
Prioridade 1 2 Funo-Setor Financeiro Call Center
Funo Crtica setor Financeiro: Tabela 6 Funo Critica Setor Financeiro

Ameaas Enchente Impacto Datacenter e sala telecomunicaes do primeiro andar poderiam ser afetados. Parada das atividades depois do tempo que o gerador suporta abastecer. Comprometimento das atividades Comprometimento das atividades Comprometimento das atividades. Mitigao no local Empresa localizada em regio alta. Mitigao Possvel a) avaliar integridade fsica. B) substituir equipamentos Matriz de Riscos B
Falta de Eletricidade
Gerador local.
Contatar operadora em caso de queda de energia
Falha de Storage Perda de pessoal Perda de dados
Troca de discos. Troca da fonte.
Backups dirios mandados para a lial SP. Backup mensal mandado para armazenamento externo.
Direcionar site para lial SP. Direcionar atividades para lial SP. Buscar dados na lial SP. Contatar empresa responsvel pelo armazenamento de backup externo.
A B A
Matriz de Riscos A Probabilidade Alta e Impacto alto B Alto Impacto e Baixa probabilidade C Probabilidade Baixa e Impacto Baixo D Baixo Impacto e Alta Probabilidade
70
Funo Crtica setor Call Center: Tabela 7 Funo Critica Setor Call Center
Ameaas Enchente Impacto Datacenter e sala telecomunicaes do primeiro andar poderiam ser afetados. Parada das atividades depois do tempo que o gerador suporta abastecer. Comprometimento das atividades Comprometimento das atividades Comprometimento das atividades. Mitigao no local Empresa localizada em regio alta. Mitigao Possvel a) avaliar integridade fsica. B) substituir equipamentos Matriz de Riscos B
Falta de Eletricidade
Gerador local.
Contatar operadoras em caso de queda de energia
Falha de Storage Perda de pessoal Perda de dados
Troca de discos. Troca da fonte.
Backups dirios mandados para a lial SP. Backup mensal mandado para armazenamento externo.
Direcionar site para lial SP. Direcionar atividades para lial SP. Buscar dados na lial SP. Contatar empresa responsvel pelo armazenamento de backup externo.
A B A
Matriz de Riscos A Probabilidade Alta e Impacto alto B Alto Impacto e Baixa probabilidade C Probabilidade Baixa e Impacto Baixo D Baixo Impacto e Alta Probabilidade Efeito nos Negcios: Tabela 8 Efeitos de parada nos negcios
Tempo trs semanas 24 horas Efeitos Parada das transaes de arquivos na rede interna, entre clientes e a empresa. Atraso no calendrio de contratos Quebra de contratos com clientes Perda de carteiras de clientes Comprometimento nanceiro da empresa com probabilidade alta de falncia Falncia da empresa
24 a 48 horas Uma semana Duas semanas Trs semanas
71
Recursos a recuperar: Tabela 9 Recursos a recuperar

Tempo 24 horas Pessoal Derpartamento de TI Relocao? (S/N) N Recursos (eqp, rede etc) Direcionar atividades para lial SP Dados (sistema, bkp etc) Averiguar danos, analisar dados corrompidos, fazer recovery dos backups Vericar dados restaurados e monitorar ambiente Monitorar ente ambi-
24 a 48 horas
Acionar derpartamento de TI da lial SP Restabelecer atividades da matriz
Uma semana
Duas semanas Trs semanas
Tratamento das no conformidades Normalizao atividades das
Recuperar equipamentos avariados ou adquirir equipamentos teste de performance e desempenho, monitoramento Monitoramento, documentao da falha Normalizao das atividades
Monitoramento, documentao da falha Normalizao das atividades
7.3.2 Politicas de Backup

7.3.2.1 Normas Os setores crticos: Financeiro, Call Center. Os servios crticos: Banco de dados, CRM, ERP. A reponsabilidade da vericao dos scripts de backup, armazenamento dos dados coletados, testes de restaurao e monitoramento dos processos envolvidos do departamento de TI. Essa poltica tambm estipula o acesso aos backups apenas por pessoas autorizadas. Os autorizados manipulao e monitoramento de backup so apenas do departamento de TI da matriz e lial SP da Empresa Lumitex, com exceo para o backup mensal, que poder ser transferido sicamente por empresa contatada para o armazenamento. expressamente proibido executar backup em horrio diurno, horrio de expediente da empresa, pois pode afetar as transaes de arquivos da empresa. O backup dever ser executado em janela de manuteno no perodo noturno iniciando as 00:00 em diante e no devendo passar das 07:00. Os backups mensais devero ser gravado em mdias. Todas as mdias devero ser de tima qualidade, devero ser regravveis.
72
Havendo a necessidade de ter backup nas horas de intervalo da atividades para cumprimento de horrio de almoo, dever ser analisado o impacto no throughput da rede. Todos os backups sero criptografados. As imagens do sistema CFTV caro armazenadas pelo perodo de 30 dias, aps esse perodo o departamento de TI no tem reponsabilidade de armazenamento das imagens. Procedimentos de restore sero executados em intervalos de 30 60 dias , conforme necessidade. 7.3.2.2 Procedimentos O que ser armazenado e como: O backup da mquinas virtuais sero iniciados pelo aplicativo VEEAM, que faz tanto a replicao de mquinas virtuais como o backup dos arquivos. O software car localizado no servidor de backup de mquinas virtuais e uma cpia ser enviada simultaneamente para lial SP. A replicao do banco de dados car na lial SP, ser feito um backup fsico (RMAN; arquivos fsicos do banco de dados) e um backup lgico (Export; dados e denies) dos dados no banco passivo na lial SP. As aplicaes sero copiadas por scripts nos servidor de Backup de Aplicaes e uma cpia ser enviada a lial SP. Os arquivos de congurao de servios sero copiados na matriz e na lial SP. O arquivos compartilhados sero copiados na matriz e na lial SP. O servidor de cmeras ter uma uma imagem de sistema armazenada em um servidor de backups e as gravaes estaro armazenadas em uma partio no mesmo servidor de cmeras. Tempo de armazenamento e forma de backup: Os backups sero executados na forma de backup diferencial diariamente, backup full semanalmente e um backup full mensalmente com exceo dos backups das maquinas virtuais e do backup do banco de dados que seguem procedimentos distintos. Todos os backups diarios sero armazenados por duas semanas na matriz e na lial SP. Backups semanais sero armazenados durante um ms na matriz e na lial SP. Backups mensais caro armazenados por um ano sendo executados todos os pri-
73
meiros sbados de cada ms e sero buscados na matriz pela empresa IRON MONTAIN, que os armazenar pelo perodo de um ano. Depois do perodo que a empresa IRON MONTAIN ca responsvel pelos backups, eles devero ser destrudos pela mesma.
7.3.3 Plano de Rastreamento de Falhas em TI

Ativos Crticos: Storage: fonte, discos, controladora. Switch Core: portas, vlans, thoughput, fonte. Servidor Blade: discos, fonte. No caso de parada de um dos ativos fsicos listados acima, o impacto no funcionamento de toda a rede enorme. Se esses equipamentos param, causam tambm a parada das atividades. Dentro do plano de gerenciamento de ativos esses equipamentos ganham destaque e suas interfaces sero monitoradas initerruptamente. Servios crticos: Servidor de Banco de dados: dados corrompidos, falha humana, lock do banco, deadlocks. Servidor do Active Directory: falha humana, falha de pesquisa DNS. Servidores de DNS, DHCP, E-mail: erros de servios, falhas humanas, propagao em listas de spam. Os servios citados acima, em caso de parada causam caos na rede local em tempo mnimo, e em tempo maior paralisam efetivamente as atividades. Por isso o monitoramento tambm ser destacado dentro do plano de gerenciamentos de servios. Pontos de falha: Falhas por aquecimento na sala do datacenter podem ocorrer pois o sistema de resfriamento no redundante. Os equipamentos necessitam de reviso mensal e constante monitoramento Os Links contratados para fazer a integrao entre as unidades da empresa est sob a responsabilidade das empresas contratadas. Apesar do acordo de SLA garantir os nveis de disponibilidade, ainda h o risco de um rompimento do backbone central que alimenta essa operadoras. O gerador da Lumitex tem capacidade de suportar 48 horas de abastecimento, mas aps esse perodo as atividades da empresa correm risco de parada.
74
8 Gerenciamento e monitoramento de ativos e aplicaes

8.1 Ferramentas de monitoramento.
O Zabbix permite monitoramento agentless (sem agentes) para diversos protocolos e conta com funes de auto-discovery (descoberta automtica de itens) e low level discovery (descoberta de mtricas em itens monitorados). O servidor Zabbix coleta dados para o monitoramento sem agentes e de agentes. Quando alguma anormalidade detectada, alertas so emitidos visualmente e atravs de uso de sistemas de comunicao como e-mail e SMS. O servidor Zabbix mantm histrico dos dados coletados em banco de dados (Oracle, MySQL e PostgreSQL), de onde so gerados grcos, painis de acompanhamento e slide-shows que mostram informaes de forma alternada. Apenas o servidor Zabbix obrigatoriamente instalado em sistemas Unix ou Linux. Zabbix agent O agente Zabbix instalado nos hosts e permite coletar mtricas comuns - especcas de um sistema operacional, como CPU e memria. Alm disso, o agente Zabbix permite a coleta de mtricas personalizadas com uso de scripts ou programas externos permitindo a coleta de mtricas complexas e at tomada de aes diretamente no prprio agente Zabbix. (4LINUX, 2013) Com essa soluo estaremos monitorando as interfaces de toda a rede, estabelecendo nveis de alertas e ocorrncias para a estratgia de gerenciamento de ativos e aplicaes da rede. A seguir mostraremos exemplos de alguns dos dados serem coletados na primeira fase de teste aps a implantao do projeto at que se estabilize a rede e as rotinas de monitoramento possam ser cumpridas efetivamente, devido a instabilidades recorrentes dos primeiros teste e correes:
Captulo 8. Gerenciamento e monitoramento de ativos e aplicaes
75
Exemplo de coleta de dados de consumo de CPU:
Figura 9 Exemplo de coleta de dados da CPU usando Zabbix
Exemplo de coleta de dados de espao de disco:
Figura 10 Exemplo de coleta de dados do disco usando Zabbix
76
Exemplo de coleta de dados de processos:
Figura 11 Exemplo de coleta de dados de processos usando Zabbix
8.2 Detalhamento dos ativos e aplicaes

Tabela 10 Detalhamento Servidores Aplicaes Nvel Hostname IP Servidor de impresso Servidor dhcp,dns interno Servidor de email Servidor web Servidor CRM Servidor banco de dados Windows 3 impresso 10.10.20.6 Redundncia arquivos de conguraes e de mquina virtual Filial SP - conguraes e de mquina virtual
DHCP(Linux) 2 DNS Bind Exchange Apache Snior Oracle 3 2 1 1
DHCPDNS webmail webserver CRM Banco dados de
10.10.20.2
192.168.55.2 Backup mquina virtual 192.168.55.3 maquina virtual 10.10.10.3 10.10.10.2 backup full e maquina virtual Servidor rplica localizado na lial de So Paulo cpia gerada na lial e enviada para matriz imagem de S.O., disco particionado, raid 5
Cftv
Nuuo
cftv
172.16.10.0
77
Dns terno
ex-
DNS Bind
dns-ext
192.168.55.4 arquivos de conguraes e de mquina virtual 10.10.20.3 backup mquina virtual
Antivrus Firewall
Simantec endpoint IPtables
2 1
antivrus fw
192.168.55.0 arquivos de congura192.168.2.0 es e de mquina vir10.10.90/30 tual 192.168.55.5 arquivos de conguraes e de mquina virtual 10.10.20.3 mquina virtual e arquivos de conguraes mquina virtual
Servidor proxy Servidor Samba Servidor de atualizao Servidor de diretrios Servidor ERP NFS
Squid
proxy
Samba
samba
WSUS
wsus
10.10.20.5
Active Directory Snior NFS Windows LenelOnguad
AD
10.10.10.5
Redundncia na lial de So paulo e backup de mquina virtual backup full e mquina virtual arquivos de conguraes e de mquina virtual mquina virtual
1 2
erp nfs
10. 10.10.4 10.10.20.8
Servidor Monitoramento e Controle de Acesso Servidor VPN Servidor Backup VM
monitoramento 10.10.20.10
Openvpn
acesso a rede por vpn backup mquinas virtuais
10.10.20.9
arquivos de conguraes e de mquina virtual Backup da mquina virtual
VEEAM
10.10.10.8
78
Servidor Backup Aplicaes Servidor Backup fsico e lgico Servidor Gerenciamento TI
Script
Backup Aplicaes Backup da fsico e lgico do banco de dados
10.10.10.10
Backups da mquina virtual Backup da mquina virtual
Script
10.10.10.9
Zabbix
Monitoramento 10.10.100.2 dos ativos de TI
mquina virtual
8.3 Ambiente de monitoramento.

O ambiente de monitoramento ser no departamento de TI, localizado no prdio do Data Center pelo departamento de TI. Trs monitores de 40 xados na parede do departamento de TI Um aparelho de celular Um computador cliente exclusivo. Equipe de trabalho: A equipe de trabalho trabalhar ininterruptamente em escalas de 24x7. A escala ser dividida pelos setes funcionrios do setor, com carga horria de oito horas por dia, e os turnos sero matutino, diurno e noturno.
8.4 Plano de ao para ocorrncias

Tabela 11 Plano de ao para ocorrncias
Ocorrncia Interrupo do link Falha de Banco de dados Queda de link de internet Lentido na rede Maquina sem conexo Ocorrncia Falha de link / Comunicar operadora Erro de Firewall / rede / comunicar DBA Conexes / Proxy Vericar logs Problema na Mquina Comunicar Gerente de TI Gerente de TI Nvel crtico 1 1
Equipe de TI Equipe de TI Equipe de TI
2 2 2
79
Tabela 12 Escala de acionamento

1- Amaral (41 88772222) 2Pedro (41 88663399) 3- Antnio (41 89897878) 4- Vilson (41 88337788) E-mail monitoramento@lumitex.com.br 1- Paulo (41 99778888) E-mail monitoramento@lumitex.com.br De Seg a Sex das 00h00 s 23:59 1- Convoca do o departamento de TI 2- Telefona 3- E-mail
De Sab a Dom e feriados das 00h00 s 23:59 1- Convoca do o departamento de TI 2- Telefona 3- E-mail
8.5 Justicativa Negocial da soluo Gerenciamento e monitoramento de ativos e aplicaes

Devido ao monitoramento de links de internet, banda local, dispositivos fsicos como memria e processamento, assim como download e uploads, se faz necessrio a implantao de uma ferramenta de monitoramento dos ativos. Atravs destes monitoramentos e aes realizadas, o sistema de monitoramento trar ao setor de TI uma anlise de todo sistema de informtica da empresa. Sendo assim, possvel identicar e prevenir possveis problemas que venham afetar ou comprometer a infraestrutura de informtica da companhia. Os resultados so apresentados logo no incio da implantao do sistema, justicando o seu custo benefcio.
80
9 Projeto de Redes
9.1 Proposta de projeto de redes
O projeto envolve a elaborao da documentao, no qual vericado o problema do cliente e apresentamos a soluo vendo suas reais necessidades. Na documentao apresentado o funcionamento de toda a estrutura dos servios, inclusive o suporte que lhe fornecido tanto no perodo de desenvolvimento e testes, quanto no perodo em que o sistema estiver em situao real. A entrega de uma rede eciente dentro dos parmetros necessrios para o tamanho da corporao inspirou a construo de um projeto focado na necessidade do cliente. As metas de negcio e os princpios da companhia foram estudados para garantir uma rede com vocao na transferncia de dados a longas distncia de forma transparente para os clientes da Lan. Para tanto, o trunk da rede foi estudado para atender as liais com alto desempenho, redundncia, segurana e disponibilidade.
9.2 Documentao do Projeto

No projeto desenvolvido forma coletadas e documentadas desde a diagramao lgica da topologia da rede at o sistema de cabeamento estruturado chegando as reas de trabalho com os servios aos usurios. A segurana tanto lgica quanto fsica tambm foi documentada atravs das regras de rewall e documentos em anexo que delimitam o domnio de segurana fsica e polticas de segurana. Os ativos de rede e equipamentos necessrios aos projeto foram todos descriminados em planilhas, especicados por quantidade e marcas, tendo-se assim o custo estimado para o projeto. Alm destes, as plantas e faces de rack completam a documentao do projeto. O esquema de naming da rede ser feito da seguinte forma: Rnn-PPnn-Pnn onde: Rnn=numro do rack PPnn=numro do patch panel
81
Pnnn=numro do ponto no patch panel Rnn-SWnn-Pnn onde: Rnn=numro do rack SWnn=numro do switch Pnnn=numro do ponto no switch
9.3 Cronograma de implantao
Figura 12 Crongrama de implantao do projeto
9.4 Garantias
A rede da Lumitex dever estar apta para garantir trfego uente de dados e voz entre as liais e matriz, com servios e aplicaes disponveis e seguros. Para isso todas as normas denidas como padro devem ser totalmente seguidas, para manter as caractersticas do escopo do projeto. A infraestrutura proposta tem suporte delimitado e documentado e portanto as aplicaes homologadas devem manter os requisitos estipulados. Na implementao futura de servios e aplicaes a equipe do projeto no ter responsabilidade sobre problemas decorrentes. Os contratos com operadoras e servios terceirizados devem ser garantidos por SLA desenvolvido pelo departamento de TI da empresa Lumitex. Para o caso de desastre o site da lial de So Paulo assumir as atividades de rede para continuidade dos negcios da Lumitex at que se restabelea os servios da matriz.
82
9.5 Custo (Estimado)
Figura 13 Custo do pavimento trreo e datacenter
Figura 14 Custo primeiro andar
Figura 15 Custo segundo andar e total geral
83
Figura 16 Custo Sala de Equipamentos
84
Concluso
85
10 Diculdades encontradas durante a elaborao do projeto

A congurao do rewall para satisfazer as necessidades se segmentao, bloqueio e liberao de acesso esteve entre as principias preocupaes do projeto. Na elaborao do plano de integrao de matriz e liais encontramos algumas diculdades para estabelecer uma tecnologia de integrao que atendesse os requisitos de trfego de voz e dados no mesmo link sem haver perdas da qualidade n transmisso de voz por conta do load balace que poderia fazer rotas distintas para os pacotes de voz. No plano de continuidade de negcios descobrir os pontos crticos numa rede desse porte passou a ser o maior ponto de preocupao.
86
11 Dados coletados atravs de logs de sistemas e ou aplicaes que foram implementadas

A coleta de dados em um ambiente ainda em desenvolvimento cou invivel no projeto. Mecanismos laboratoriais para testes anteriores a implementao da rede seriam onerosos ao projeto, pois sua construo consumiriam muitos recursos fsicos e materiais.
87
12 Testes para elaborao do projeto

Para elaborar o projeto a equipe dividiu as etapas em subtpicos que foram distribudos. Antes de comear cada captulo, os dados foram revisados e refeita as pesquisas caso fosse necessrio. Para elaborao dos cronogramas foram testadas as fases em escala menor em laboratrios, como por exemplo a execuo da regras de rewall por exemplo.
88
13 Resultados esperados com a implementao do projeto

Garantir a empresa Lumitex os requisitos estabelecidos no projeto quanto a disponibilidade, segurana e desempenho no trfego de dados e voz, entre a matriz e as liais, com preocupao de manter os objetivos de negcios da companhia no escopo do projeto. A segurana fsica do permetro com foco nas pessoas em primeiro nvel e na integridade dos dados coorporativos logo em seguida, so expectativas com a implementao. E tambm a ter repostas imediatas para ocorrncias dentro do domnio do projeto atravs dos planos de gerenciamento listados no projeto.
Apndices
90
APNDICE A Planejamento da Segurana Fsica da Empresa

Este anexo apresenta as especicaes de segurana fsica do projeto de implantao de datacenter e rede local da empresa Lumitex. O sistema de segurana fsica dever proporcionar de forma automtica a integrao dos diversos dispositivos instalados (intruso, CFTV, acionamento de portas, alarmes de incndio e cancelas, controle de ronda, etc.) alm do envio de alarmes sonoros ou visuais Central de Monitoramento, e controlar e registrar os atos atravs de imagens ou relatrios, de forma a tornar verdadeiramente eciente a deteco e a soluo do evento. A.0.0.1 Ameaas da Natureza
Segundo estudo prvio para escolha do local adequado para sediar a matriz da empresa Lumitex fatores de externos decorrentes da ecossistema local e tambm do ambiente urbano no h probabilidades de impactos capazes de parar as atividades de produo da empresa e tambm do datacenter. A.0.0.2 Servios Haver um reservatrio com capacidade ideal ao consumo por pessoas no local. Em mdia em um prdio usa 200 litros por pessoa, a norma diz que o reservatrio de gua deve ser de 2 dias O total de pessoas nas instalaes pode chegar a 200 pessoas. Consumo por pessoa 150 l. 150 l x 200 pessoas = 30000 litros de gua.(MVEIS, 2011) Tomadas eltricas e sua ao dimensionada corretamente e muito bem instalada e organizada. A.0.0.3 Fator humano Deve haver na regio mo de obra qualicada para todas as funes da empresa. Na escolha do local deve ser analisado se h na regio cursos superiores que atendam a demanda de empresa para o setor de TI e demais reas, para manter os nveis de servios disponibilizados em padres de excelncia. Fatores como a violncia urbana, transito e manifestaes devem ser rigidamente analisados na escolha do local. As instalaes da empresa deve estar em local retirado de regies onde h possiblidades de tumultos, greves,
APNDICE A. Planejamento da Segurana Fsica da Empresa
91
passeatas, como complexos industriais e centros de aglomeraes de todos os ns. Quanto aos servios terceirizados, deve haver na regio oferta de prestao de servios com grande concorrncia para que seja possvel escolha de melhores preos. Todos os equipamentos usados para as instalaes devem ter servios de manuteno de qualidade. A.0.0.4 Permetro O sistema de segurana dever proporcionar de forma automtica a integrao dos diversos dispositivos instalados (intruso, CFTV, acionamento de portas e cancelas, controle de ronda, e alarme de incndio) alm do envio de alarmes sonoros ou visuais Central de Monitoramento e Controle alm de registrar os atos atravs de imagens ou relatrios, de forma a tornar verdadeiramente eciente a deteco e a soluo do evento. Iluminaes Perimetral: A Iluminao Perimetral deve atender a 03 quesitos: Inibir tentativas de invases no local, Proporcionar boa iluminncia, para a captura de imagens pelo Sistema de CFTV, No alterar as cores das imagens capturadas pelas cmeras coloridas deste Sistema. Deve ser iluminado todo o campus com lmpadas de multivapores metlicos de baixa potncia de 70 a 400W. Todas, sem exceo, devem apresentar pequenas dimenses, alta ecincia, tima reproduo de cor, vida til longa e baixa carga trmica. Cada entrada das instalaes deve ter um reetor direcionado para o lado de fora das instalaes com a nalidade de ofuscar a viso das entradas, quadro de energia prprio. Guarita: a guarita deve ter os equipamentos para controle de acesso, onde se tem total controle da entrada de pessoas nas instalaes. A entrada de veculos deve ser controlada partir desse ponto, anteriormente a guarita. Logo aps, deve estar a cancela controlada pela guarita, por onde devem passar todos os veculos, inclusive cargas e descargas. Portaria: na portaria, deve ser feita a devida identicao atravs de documentos com fotos para entrada de pessoas terceiras. Os funcionrios devem ser possuir carto magntico com as informaes e nmero de cdigo de barras nico para acesso atravs de nmero suciente para circulao, catracas integradas ao sistema de intruso. Central de Gs FM 200: Na sala de servidores (Data Center) ser implantado o sistema de deteco e combate a incndio. O gs FM 200. Este sistema tambm ser detectado pela central de monitoramento via sistema de monitoramento Catracas: Sero implantadas trs catracas na portaria principal e duas catracas no prdio da TI. As catracas sero interligadas no sistema de controle de acesso e ser monitorada os seus acessos via sala de monitoramento. Cancelas: Ser instalada uma cancela na portaria principal, esta ter leitor de entra e sada, para que as pessoas autorizadas, somente acessem com os seus veculos via
92
leitor de carto. Sistema de controle de acesso: Ser usado no projeto o conjunto de software e hardware da Lenel/Onguard. O sistema de controle de acesso, ira controlar todo os leitores de carto, biomtrico, catracas e cancelas. O sistema de controle de acesso Lenel/Onguard, tambm receber atravs de entradas auxiliares de suas placas, contatos de alarme de incndio e sensores perimetrais. Isto far com que todos os alarmes sejam centralizados unicamente pelo gerenciamento de acesso da Lenel. Cmera Dome IP: Monitoramento da rea Externa por uma cmeras IP, mveis tipo Dome ou PTZ, com zoom tico mnimo de 26x, com resoluo Full HD 1980x1080 e compresso de vdeo H264, instaladas na superfcie superior da parede frontal e fundos do prdio, conforme planta baixa, e ser interligada atravs de bra ptica. Junto s cmeras devero ser instaladas caixas para instalao ao tempo, para acomodao de equipamentos auxiliares, conversores de mdias, bra ptica e todos os demais acessrios necessrios para o perfeito funcionamento. A gravao e controle das imagens dever ser feita na Central de Monitoramento, que de responsabilidade do vigilante em uma sala dedicado para esta funo. Cmera Fixa IP: Monitoramento da rea interna e externa por cmeras xas, com resoluo de 1280x1020 e tecnologia de compactao H264. Junto s cmeras tambm dever haver caixa de proteo trmica com dispositivo anti embaante. Todas as cmeras devero ter quadros para xao da fonte de alimentao e o quadro ser alimentado por alimentao AC 110/220 passando por nobreak. As cmeras caro dispostas da seguinte forma: 2o Andar: 09 Cmeras xas 1o Andar: 09 Cmeras xas Trreo: rea interna 10 Cmeras xas e 11 Cmeras xas externas. Total de 39 Cmeras xas. Gravador digital (NDVR): Dever ser um sistema local composto por gravador digital de vdeo (NDVR) este gravara cmeras IP xas ou mveis, internas e/ou externas, dispostas em locais estrategicamente denidos de forma a abranger as principais reas da edicao. A gravao das imagens dever ser feita no local bem como a visualizao de todas as cmeras em um monitor local, mas o sistema dever ser interligado rede de segurana atravs do cabo de bra ptica em pontos mais distantes e UTP em reas abaixo dos 50 metros, de forma a permitir o acesso remoto para visualizao e gravao pela Central de Monitoramento. O sistema de gravao dever ter no mnimo 30 dias de gravao continua ou por movimento. O servidor de vdeo NDVR ser alocado no Data Center, e car na responsabilidade do setor de TI monitorar o estado fsico dos equipamentos.
93
Leitor Biomtrico: Este leitor ser implementado somente em reas crticas da empresa como: Sala do Data Center: Sala de telecomunicaes do Trreo Sala de telecomunicaes do 1o andar Sala de telecomunicaes do 2 andar Sala de Depsito da TI Vigilncia: O sistema ronda ser feito por carto magntico, do tipo utilizado como controle de acesso. Cada vigilante ter um carto especico, e todas as aes podero ser monitoradas ao vivo ou pelo histrico no mesmo sistema que gerncia o controle de acesso, no sendo possvel a sua manipulao indevida. Os leitores deveram car em distncias de 10m em locais estratgicos da empresa. Os vigilantes trabalharo em turnos de 24/7 e devero conhecer todas as suas responsabilidades. Acionamentos diversos: Dever ser possvel o acionamento automtico de diversos tipos de dispositivos tais como iluminao, controle de temperatura de salas, acionamento desligamento de equipamentos e outros, automaticamente a partir de sensores instalados ou remotamente atravs da central de monitoramento. A central nica dever prover estas facilidades. Central de Monitoramento: A central de monitoramento dever ser localizada em rea dotada de segurana fsica e preparada para abrigar os operadores do sistema de vigilncia. Na central sero convergidos todos os sinais do sistema de CFTV, alarmes de incndio, alarmes perimetrais, alarmes de porta aberta e forada, de todos os pavimentos sendo estes sinais identicados, armazenados e monitorados 24 horas por dia, sete dias por semana por operadores adequadamente preparados. Cerca Perimetral: Muros e alarme perimetral: As estaes da empresa precisam ser protegida por muros altos, de no mnimo 2m de altura e monitoradas com alarme perimetral, composto por sensores de infravermelho inteligentes, instalados e congurados por zonas. O sistema dever ser monitorado pela central de monitoramento, e sua instalao dever ser instalada ao modo que se houver falha de energia ou falha dos sensores, que isto venha a ser alarmado na central de monitoramento. O sistema que realizara o controle de acesso, tambm dever ser capaz de integrar os dispositivos de alarme atravs de uma entrada auxiliar, contato NF. Central de alarme de incndio (DF/DT): O prdio ter em seu projeto uma central de alarme e deteco de incndio em todos os andares e nas salas de telecomunicaes, divididos em detectores trmicos e de fumaa e ser utilizado a central adiante: As Centrais de Alarme de Incndio FPD-7024 podem ser utilizadas em diversas aplicaes como
94
edifcios comerciais e pblicos, escolas, universidades, plantas fabris, centros de sade e hospitais. So certicadas na UL para sistemas de estao central, local, auxiliar e remota. As centrais FPD-7024 suportam quatro zonas convencionais incorporadas que podem ser expandidas at oito com uso do FPC-7034. Cada zona convencional suporta detectores de dois e de quatro os congurveis como lao Classe A, Tipo D ou Classe B tipo B. Cada zona pode suportar at 20 detectores de dois os, ou qualquer nmero de detectores de quatro os, dependendo da alimentao disponvel. Cada Central possui um discador digital de alarme de incndio (DACT) Controle de Acesso interno: Dever ser implantado nveis de acesso diferenciados, restringindo a entrada de pessoas no autorizadas cada nvel. O controle deve ser feito de maneira integrada por um sistema que abranja toda a instalao, esse sistema deve ser monitorado em uma central de que contenha todos os equipamento necessrios, integrando todos os subsistemas de controle. Especicamente para o datacenter, o nvel deve ser o mais crtico, e portanto, o acesso a esse deve ser feito atravs de biometria e dispositivos de senha de acesso que tenham abertura interna liberada. Para os demais nveis, o controle de acesso deve utilizar senha por dispositivos de acesso que tenham abertura interna liberada. Combate ao fogo: Extintores de incndio: A altura mxima de xao de 1,60 m, e a mnima de 0,10m. Os extintores devem estar desobstrudos e sinalizados com destaque em relao comunicao visual adotada para outros ns, percurso mximo para se atingir um extintor, de 15, 20m. Deve ser xado prximo ao extintor as orientaes de uso. Deve ser usados extintor com Gs qumico FM-200. Extintores de p para classes (ABC) para a todas reas, com exceo do data center que ter de controle de incndio prprio. Em locais com riscos especcos devem ser instalados extintores de incndio, independente da proteo geral da edicao tais como: quadro de reduo para baixa tenso, contineres de telefonia, gases ou lquidos combustveis ou inamveis. (CBMSP, 2011) Proteo lgica: Proteo das informaes da empresa ou sob sua custdia como fator primordial nas atividades prossionais de cada empregado, estagirio, aprendiz ou prestador de servios da empresa Lumitex: Os empregados devem assumir uma postura proativa no que diz respeito proteo das informaes da Lumitex e devem estar atentos a ameaas externas, bem como fraudes, roubo de informaes, e acesso indevido a sistemas de informao sob responsabilidade da Lumitex. Todos os computadores de uso individual devero ter senha de Bios para restringir o acesso de colaboradores no autorizados. Tais senhas sero denidas pela Gerncia de Sistemas, que ter acesso a elas para manuteno dos equipamentos. Os colaboradores devem informar ao departamento tcnico qualquer identicao
95
de dispositivo estranho conectado ao seu computador. vedada a abertura ou o manuseio de computadores ou outros equipamentos de informtica para qualquer tipo de reparo que no seja realizado por um tcnico da Gerncia de Sistemas ou por terceiros devidamente contratados para o servio. Todos os dispositivos internos ou externos devem ser removidos ou desativados para impedir a invaso/evaso de informaes, programas, vrus. Em alguns casos especiais, conforme regra especca, ser considerada a possibilidade de uso para planos de contingncia mediante a autorizao dos gestores das reas e da rea de informtica. expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e prximo aos equipamentos. O colaborador dever manter a congurao do equipamento disponibilizado pelo Lumitex, seguindo os devidos controles de segurana exigidos pela Poltica de Segurana da Informao e pelas normas especcas da empresa, assumindo a responsabilidade como custodiante de informaes. Todo colaborador dever utilizar senhas de bloqueio automtico para seu dispositivo mvel No ser permitida, em nenhuma hiptese, a alterao da congurao dos sistemas operacionais dos equipamentos, em especial os referentes segurana e gerao de logs, sem a devida comunicao e a autorizao da rea responsvel e sem a conduo, auxlio ou presena de um tcnico da Gerncia de Sistemas. responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo mvel fornecido, noticar imediatamente seu gestor direto e a Gerncia de Sistemas. Tambm dever procurar a ajuda das autoridades policiais registrando, assim que possvel, um boletim de ocorrncia. O colaborador que deseje utilizar equipamentos portteis particulares ou adquirir acessrios e posteriormente conect-los rede dever submeter previamente tais equipamentos ao processo de autorizao da Gerncia de Sistemas. Equipamentos portteis, como smart phones, palmtops, pen drives e players de qualquer espcie, quando no fornecidos ao colaborador pela empresa, no sero validados para uso e conexo em sua rede corporativa. Todas as portas USB sero travadas e apenas poder ser liberada aps chamado aberto. No ser aceito cmera digitais no interior do estabelecimento. O acesso ao Datacenter somente dever ser feito por sistema forte de autenticao. Por exemplo: biometria, carto magntico entre outros. Todo acesso ao Datacenter, pelo sistema de autenticao forte, dever ser regis-
96
trado (usurio, data e hora) mediante software prprio. O acesso de visitantes ou terceiros somente poder ser realizado com acompanhamento de um colaborador autorizado, que dever preencher a solicitao de acesso prevista no Procedimento de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dar com o preenchimento da solicitao de liberao pelo colaborador solicitante e a autorizao formal desse instrumento pelo responsvel do Datacenter, de acordo com os termos do Procedimento de Controle e Transferncia de Equipamentos. No caso de desligamento de empregados ou colaboradores que possuam acesso ao Datacenter, imediatamente dever ser providenciada a sua excluso do sistema de autenticao forte e da lista de colaboradores autorizados. Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horrio comercial, nas chamadas janelas de backup perodos em que no h nenhum ou pouco acesso de usurios ou processos automatizados aos sistemas de informtica. As mdias de backups histricos ou especiais devero ser armazenadas em instalaes seguras, preferencialmente com estrutura de sala-cofre, distante no mnimo 10 quilmetros do Datacenter. Testes de restaurao (restore) de backup devem ser executados por seus responsveis, nos termos dos procedimentos especcos, aproximadamente a cada 30 ou 60 dias, de acordo com a criticidade do backup. Para formalizar o controle de execuo de backups e restores, dever haver um formulrio de controle rgido de execuo dessas rotinas, o qual dever ser preenchido pelos responsveis e auditado pelo coordenador de infraestrutura, nos termos do Procedimento de Controle de Backup e Restore. Controles ambientais: O sistema de cabos com sensores de inundao ponto estratgico para a melhor segurana de reas crticas, senso assim ser implementado no Data Center desta empresa. O dispositivo cabo ser instalado tanto na parte superior do data Center, assim como na parte inferior, ou seja, abaixo do piso elevado, isto far com que qualquer tipo de umidade mais intenso abaixo ou acima do Data Center seja detectado e gere um alarme na central de monitoramento. Energia: A infraestrutura ter um gerador diesel capaz de suprir a carga do parque de informtica mais os elevadores e nobreak com capacidade de ltrar sobre tenso e sobtenso e falta de energia momentnea (banco de baterias).
97
APNDICE B Poltica de Segurana da Informao

B.1 Denies
A norma da abntNBR ISO/IEC 27002:2005 dene que: A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e, consequentemente, necessita ser adequadamente protegida. [...] A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em lmes ou falada em conversas. Seja qual for a forma de apresentao ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. Aspectos bsicos para garantir a segurana da informao disponibilidade: DISPONIBILIDADE Garante que uma informao estar disponvel para acesso no momento desejado. Diz respeito a eccia do sistema, ao correto funcionamento da rede para que quando a informao for necessria, esteja acessvel. A perda da disponibilidade se d quando se tenta acessar uma informao e no se consegue o acesso esperado. INTEGRIDADE Garante que o contedo da mensagem no foi alterado ou violado indevidamente. Ou seja, mede a exatido da informao e seus mtodos de modicao, manuteno, validade. H perda da integridade quando a informao alterada indevidamente ou quando no se pode garantir que a informao a mais atualizada, por exemplo. CONFIDENCIALIDADE Garante que a informao s ser acessvel por pessoas autorizadas. A principal forma de garantir a condencialidade por meio do controle de acesso (autenticao), j que este controle garante que o contedo da mensagem somente ser acessado por pessoas autorizadas. A condencialidade (privacidade) se d justamente quando se impede que pessoas no autorizadas tenham acesso ao contedo da mensagem. Refere-se proteo da informao contra a divulgao no permitida. A
APNDICE B. Poltica de Segurana da Informao
98
perda da condencialidade se d quando algum no autorizado obtm acesso a recursos/informaes. AUTENTICIDADE Garante a identidade de quem est enviando a informao, ou seja, gera o norepdio que se d quando h garantia de que o emissor no poder se esquivar da autoria da mensagem (ALENCAR, 2011) A lumitex empresa de servios nanceiros e assessoria jurdica, v a segurana da informao como um diferencial determinante na competitividade das corporaes, assim temos como principal objetivo preservar a identidade de todos que atuam direta ou indiretamente como colaborador ou clientes, e para que haja segurana nas informaes que esto sob nossa tutela, garantindo assim a tranquilidade e condencialidade para todos os envolvidos nos processos em que a Lumitex a mantenedora. O propsito desse documento formalizar o direcionamento estratgico acerca da gesto de segurana da informao na Organizao, estabelecendo as diretrizes a serem seguidas para implantao e manuteno de um S.G.S.I., guiando-se, principalmente, pelos conceitos e orientaes das normas ABNT ISO/IEC da famlia 27000. B.1.0.5 Termos e Denies Para os efeitos desta Poltica, aplicam-se os seguintes termos e denies: Ameaa: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. [ISO/IEC 13335-1:2004] reas crticas: dependncias da Lumitex ou de seus clientes onde esteja situado um ativo de informao relacionado a informaes crticas para os negcios da empresa ou de seus clientes. Ativo: qualquer coisa que tenha valor para a organizao. [ISO/IEC 13335-1:2004] Ativo de Informao: qualquer componente (humano, tecnolgico, fsico ou lgico) que sustenta um ou mais processos de negcio de uma unidade ou rea de negcio. Controle: forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal. [ABNT NBR ISO/IEC 27002:2005] Evento de segurana da informao: ocorrncia identicada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao
99
ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. [ISO/IEC TR 18044:2004] Gesto de riscos: atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos. [ABNT ISO/IEC Guia 73:2005] IEC: International Electrotechnical Commission. Incidente de segurana da informao: indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. [ISO/IEC TR 18044:2004] Informao: agrupamento de dados que contenham algum signicado. Informaes crticas para os negcios da Lumitex: toda informao que, se for alvo de acesso, modicao, destruio ou divulgao no autorizada, resultar em perdas operacionais ou nanceiras Lumitex ou seus clientes. Cita-se, como exemplo, uma informao que exponha ou indique diretrizes estratgicas, contribua potencialmente ao sucesso tcnico e/ou nanceiro de um produto ou servio, rera-se a dados pessoais de clientes, fornecedores, empregados ou terceirizados ou que oferea uma vantagem competitiva em relao concorrncia. ISO: International Organization for Standardization. Risco: combinao da probabilidade de um evento e de suas consequncias. [ABNT ISO/IEC Guia 73:2005] Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas. [ABNT NBR ISO/IEC 27002:2005] (LUMI, 2013) B.1.0.6 Estrutura Normativa A estrutura normativa dividida em trs categorias para facilitar a compreenso e distino de tarefas: Poltica (nvel estratgico): Constituda do presente documento, dene as regras de alto nvel que representam os princpios bsicos que a Lumitex decidiu incorporar sua gesto de acordo com a viso estratgica da alta direo. Serve como base para que as normas e os procedimentos sejam criados e detalhados;
100
Normas (nvel ttico): Especicam, no plano ttico, as escolhas tecnolgicas e os controles que devero ser implementados para alcanar a estratgia denida nas diretrizes da poltica; Procedimentos (nvel operacional): Instrumentalizam o disposto nas normas e na poltica, permitindo a direta aplicao nas atividades da Lumitex. (LUMI, 2013) B.1.0.7 Divulgao e Acesso Estrutura Normativa Os documentos integrantes da estrutura devem ser divulgados a todos os empregados, estagirios, aprendizes e prestadores de servios da Lumitex quando de sua admisso, bem como, atravs dos meios ociais de divulgao interna da empresa e, tambm, publicadas na Intranet corporativa, de maneira que seu contedo possa ser consultado a qualquer momento.(LUMI, 2013) B.1.0.8 Aprovao e Reviso Os documentos integrantes da estrutura normativa da Segurana da Informao da Lumitex devero ser aprovados e revisados conforme critrios descritos abaixo: Poltica Nvel de aprovao: Diretoria Executiva Periodicidade da reviso: anual Normas Nvel de aprovao: Diretoria Executiva Periodicidade da reviso: semestral Procedimentos Nvel de aprovao: Diretoria responsvel pela rea envolvida. Periodicidade da reviso: semestral Durante o primeiro ano de vigncia de cada documento, considerado a partir da data de sua publicao, a periodicidade das revises ser igual metade dos perodos acima denidos. (LUMI, 2013)
B.1.1 Diretrizes de Segurana da Informao

A seguir, so apresentadas as diretrizes da poltica de segurana da informao da Lumitex que constituem os principais pilares da gesto de segurana da informao da empresa, norteando a elaborao das normas e procedimentos. B.1.1.1 Proteo da Informao Dene-se como necessria a proteo das informaes da empresa ou sob sua custdia como fator primordial nas atividades prossionais de cada empregado, estagirio, aprendiz ou prestador de servios da Lumitex, sendo que:
101
a) Os empregados devem assumir uma postura pr-ativa no que diz respeito proteo das informaes da Lumitex e devem estar atentos a ameaas externas, bem como fraudes, roubo de informaes, e acesso indevido a sistemas de informao sob responsabilidade da Lumitex; b) As informaes no podem ser transportadas em qualquer meio fsico, sem as devidas protees; c) Assuntos condenciais no devem ser expostos publicamente; d) Senhas, chaves e outros recursos de carter pessoal so considerados intransferveis e no podem ser compartilhados e divulgados; e) Somente softwares homologados podem ser utilizados no ambiente computacional da Lumitex; f) Documentos impressos e arquivos contendo informaes condenciais devem ser armazenados e protegidos. O descarte deve ser feito na forma da legislao pertinente; g) Todo usurio, para poder acessar dados das redes de computadores utilizadas pela Lumitex, dever possuir um cdigo de acesso atrelado uma senha previamente cadastrados, sendo este pessoal e intransfervel, cando vedada a utilizao de cdigos de acesso genricos ou comunitrios; h) No permitido o compartilhamento de pastas nos computadores de empregados da empresa. Os dados que necessitam de compartilhamento devem ser alocados nos servidores apropriados, atentando s permisses de acesso aplicveis aos referidos dados; i) Todos os dados considerados como imprescindveis aos objetivos da Lumitex devem ser protegidos atravs de rotinas sistemticas e documentadas de cpia de segurana, devendo ser submetidos testes peridicos de recuperao; j) O acesso dependncias da Lumitex ou ambientes sob controle da Lumitex dispostos em dependncias de seus clientes deve ser controlado de maneira que sejam aplicados os princpios da integridade, condencialidade e disponibilidade da informao ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado; k) O acesso lgico sistemas computacionais disponibilizados pela Lumitex deve ser controlado de maneira que sejam aplicados os princpios da integridade, condencialidade e disponibilidade da informao, garantindo a rastreabilidade e a efetividade do acesso autorizado;
102
l) So de propriedade da Lumitex todas as criaes, cdigos ou procedimentos desenvolvidos por qualquer empregado, estagirio, aprendiz ou prestador de servio durante o curso de seu vnculo com a empresa. (LUMI, 2013) B.1.1.2 Privacidade da Informao sob Custdia da Lumitex Dene-se como necessria a proteo da privacidade das informaes que esto sob custdia da Lumitex, ou seja, aquelas que pertencem aos seus clientes e que so manipuladas ou armazenadas nos meios s quais a Lumitex detm total controle administrativo, fsico, lgico e legal. As diretivas abaixo reetem os valores institucionais da Lumitex e rearmam o seu compromisso com a melhoria contnua desse processo: a) As informaes so coletadas de forma tica e legal, com o conhecimento do cliente, para propsitos especcos e devidamente informados; b) As informaes so recebidas pela Lumitex, tratadas e armazenadas de forma segura e ntegra, com mtodos de criptograa ou certicao digital, quando aplicvel; c) As informaes so acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado; d) As informaes podem ser disponibilizadas a empresas contratadas para prestao de servios, sendo exigido de tais organizaes o cumprimento de nossa poltica e diretivas de segurana e privacidade de dados; e) As informaes somente so fornecidas a terceiros, mediante autorizao prvia do cliente ou para o atendimento de exigncia legal ou regulamentar; f) As informaes e dados constantes de nossos cadastros, bem como outras solicitaes que venham garantir direitos legais ou contratuais s so fornecidos aos prprios interessados, mediante solicitao formal, seguindo os requisitos legais vigentes. (LUMI, 2013) B.1.1.3 Classicao da Informao Dene-se como necessria a classicao de toda a informao de propriedade da Lumitex ou sob sua custdia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado da mesma, devendo ser utilizados os seguintes nveis de classicao:
103
a) Condencial: uma informao crtica para os negcios da Lumitex ou de seus clientes. A divulgao no autorizada dessa informao pode causar impactos de ordem nanceira, de imagem, operacional ou, ainda, sanes administrativas, civis e criminais Lumitex ou aos seus clientes. sempre restrita a um grupo especco de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores. b) Pblica: uma informao da Lumitex ou de seus clientes com linguagem e formato dedicado divulgao ao pblico em geral, sendo seu carter informativo, comercial ou promocional. destinada ao pblico externo ou ocorre devido ao cumprimento de legislao vigente que exija publicidade da mesma. c) Interna: uma informao da Lumitex que ela no tem interesse em divulgar, mas cujo acesso por parte de indivduos externos empresa deve ser evitado. Caso esta informao seja acessada indevidamente, poder causar danos imagem da Organizao, porm, no com a mesma magnitude de uma informao condencial. Pode ser acessada sem restries por todos os empregados e prestadores de servios da Lumitex. (LUMI, 2013) B.1.1.4 Empregados, Estagirios, Aprendizes e Prestadores de Servios Cabe aos empregados, estagirios, aprendizes e prestadores de servios da Lumitex cumprir com as seguintes obrigaes: a) Zelar continuamente pela proteo das informaes da Organizao ou de seus clientes contra acesso, modicao, destruio ou divulgao no autorizada b) Assegurar que os recursos (computacionais ou no) colocados sua disposio sejam utilizados apenas para as nalidades estatutrias da Organizao; c) Garantir que os sistemas e informaes sob sua responsabilidade estejam adequadamente protegidos; d) Garantir a continuidade do processa mento das informaes crticas para os negcios da Lumitex; e) Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual; f) Atender s leis que regulamentam as atividades da Organizao e seu mercado de atuao; g) Selecionar de maneira coerente os mecanismos de segurana da informao, balanceando fatores de risco, tecnologia e custo;
104
h) Comunicar imediatamente rea de Segurana da Informao qualquer descumprimento da Poltica de Segurana da Informao e/ou das Normas de Segurana da Informao. (LUMI, 2013) B.1.1.5 Comit Gestor de Segurana da Informao (C.G.S.I.) O Comit Gestor de Segurana da Informao (C.G.S.I.) um grupo multidisciplinar que rene representantes de diversas reas da empresa, indicados pelas suas respectivas Gerncias e com composio aprovada pela Diretoria, com o intuito de denir e apoiar estratgias necessrias implantao e manuteno do S.G.S.I. Compete ao C.G.S.I.: a) Propor ajustes, aprimoramentos e modicaes na estrutura normativa do S.G.S.I., submetendo aprovao da Diretoria; b) Redigir o texto das normas e procedimentos de segurana da informao, submetendo aprovao da Diretoria; c) Requisitar informaes das demais reas da Lumitex, atravs das diretorias, gerncias e supervises, com o intuito de vericar o cumprimento da poltica, das normas e procedimentos de segurana da informao; d) Receber, documentar e analisar casos de violao da poltica e das normas normas e procedimentos de segurana da informao; e) Estabelecer mecanismos de registro e controle de eventos e incidentes de segurana da informao, bem como, de no conformidades com a poltica, as normas ou os procedimentos de segurana da informao; f) Noticar as gerncias e diretorias quanto a casos de violao da poltica e das normas e procedimentos de segurana da informao; g) Receber sugestes dos gestores da informao para implantao de normas e procedimentos de segurana da informao; h) Propor projetos e iniciativas relacionadas melhoria da segurana da informao; i) Acompanhar o andamento dos projetos e iniciativas relacionados segurana da informao; j) Propor a relao de gestores da informao; k) Realizar, sistematicamente, a gesto dos ativos da informao;
105
l) Gerir a continuidade dos negcios, demandando junto s diversas reas da empresa, planos de continuidade dos negcios, validando-os periodicamente; m) Realizar, sistematicamente, a gesto de riscos relacionados a segurana da informao. (LUMI, 2013) B.1.1.6 Gestor da Informao O Gestor da Informao um empregado da Lumitex, sugerido pelo Comit Gestor de Segurana da Informao (C.G.S.I.) e designado pela Diretoria como responsvel por um determinado ativo de informao. Este gestor deve dominar todas as regras de negcio necessrias criao, manuteno e atualizao de medidas de segurana relacionadas ao ativo de informao sob sua responsabilidade, seja este de propriedade da Lumitex ou de um cliente. O Gestor da Informao pode delegar sua autoridade sobre o ativo de informao, porm, continua sendo dele a responsabilidade nal pela sua proteo. Compete ao gestor da informao: a) Classicar a informao sob sua responsabilidade, inclusive aquela gerada por clientes, fornecedores ou outras entidades externas, que devem participar do processo de denio do nvel de sigilo da informao; b) Inventariar todos os ativos de informao sob sua responsabilidade; c) Enviar ao C.G.S.I., quando solicitado, relatrios sobre as informaes e ativos de informao sob sua responsabilidade. Os modelos de relatrios sero denidos pelo C.G.S.I. e aprovados pela Diretoria; d) Sugerir procedimentos ao C.G.S.I. para proteger os ativos de informao, conforme a classicao realizada, alm da estabelecida pela Poltica de Segurana da Informao e pelas Normas de Segurana da Informao; e) Manter um controle efetivo do acesso informao, estabelecendo, documentando e scalizando a poltica de acesso mesma. Tal poltica deve denir quais usurios ou grupos de usurios tm real necessidade de acesso informao, identicando os pers de acesso; f) Reavaliar, periodicamente, as autorizaes dos usurios que acessam as informaes sob sua responsabilidade, solicitando o cancelamento do acesso dos usurios que no tenham mais necessidade de acessar a informao;
106
g) Participar da investigao dos incidentes de segurana relacionados s informaes sob sua responsabilidade. (LUMI, 2013) B.1.1.7 Gerncias Cabe s gerncias: a) Cumprir e fazer cumprir a poltica, as normas e procedimentos de segurana da informao; b) Assegurar que suas equipes possuam acesso e entendimento da poltica, das normas e dos procedimentos de Segurana da Informao; c) Sugerir ao C.G.S.I., de maneira pr-ativa, procedimentos de segurana da informao relacionados s suas reas; d) Redigir e detalhar, tcnica e operacionalmente, as normas e procedimentos de segurana da informao relacionados s suas reas, quando solicitado pelo C.G.S.I.; e) Comunicar imediatamente ao C.G.S.I. eventuais casos de violao da poltica, de normas ou de procedimentos de segurana da informao. (LUMI, 2013) B.1.1.8 Gerncia Jurdica Cabe, adicionalmente, gerncia jurdica: a) Manter as reas da Lumitex informadas sobre eventuais alteraes legais e/ou regulatrias que impliquem responsabilidade e aes envolvendo a gesto de segurana da informao; b) Incluir na anlise e elaborao de contratos, sempre que necessrio, clusulas especcas relacionadas segurana da informao, com o objetivo de proteger os interesses da Lumitex; c) Avaliar, quando solicitado, a poltica, as normas e procedimentos de segurana da informao. (LUMI, 2013)
107
B.1.1.9 Gerncia de Recursos Humanos Cabe, adicionalmente, gerncia de recursos humanos: a) Assegurar-se de que os empregados, estagirios, aprendizes e prestadores de servios comprovem, por escrito, estar cientes da estrutura normativa do S.G.S.I. e dos documentos que a compem; b) Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento tcnico mais adequado, alteraes no quadro funcional da Lumitex . (LUMI, 2013) B.1.1.10 rea de Segurana da Informao Cabe rea de segurana da informao: a) Consolidar e coordenar a elaborao, acompanhamento e avaliao do S.G.S.I.; b) Convocar, coordenar e prover apoio s reunies do C.G.S.I.; c) Prover as informaes de gesto de segurana da informao solicitadas pelo C.G.S.I.; d) Facilitar a conscientizao, a divulgao e o treinamento quanto poltica, s normas e os procedimentos de segurana da informao; e) Executar projetos e iniciativas visando otimizar a segurana da informao na Lumitex. (LUMI, 2013) B.1.1.11 Diretoria Executiva Cabe diretoria executiva: a) Aprovar a poltica e as normas de segurana da informao e suas revises; b) Aprovar a composio do C.G.S.I.; c) Nomear os gestores da informao, conforme as indicaes do C.G.S.I.; d) Receber, por intermdio do C.G.S.I., relatrios de violaes da poltica e das normas de segurana da informao, quando aplicvel; e) Tomar decises referentes aos casos de descumprimento da poltica e das normas de segurana da informao, mediante a apresentao de propostas do C.G.S.I. (LUMI, 2013)
108
B.1.1.12 Auditoria a) Todo ativo de informao sob responsabilidade da Lumitex passvel de auditoria em data e horrios determinados pelo C.G.S.I., podendo esta, tambm, ocorrer sem aviso prvio. b) A realizao de uma auditoria dever ser, obrigatoriamente, aprovada pela Diretoria e, durante a sua execuo, devero ser resguardados os direitos quanto a privacidade de informaes pessoais, desde que estas no estejam dispostas em ambiente fsico ou lgico de propriedade da Lumitex ou de seus clientes de forma que se misture ou impea o acesso informaes de propriedade ou sob responsabilidade da Lumitex. c) Com o objetivo de detectar atividades anmalas de processamento da informao e violaes da poltica, das normas ou dos procedimentos de segurana da informao, a rea de Segurana da Informao poder realizar monitoramento e controle proativos, mantendo a condencialidade do processo e das informaes obtidas. d) Em ambos os casos, as informaes obtidas podero servir como indcio ou evidncia em processo administrativo e/ou legal. (LUMI, 2013) B.1.1.13 Violaes dever de todos dentro da lumitex: d) Considerar a informao como sendo um bem da organizao, um dos recursos crticos para a realizao do negcio, que possui grande valor para a LUMITEX e deve sempre ser tratada prossionalmente, analisar e olhar para a informao como sendo nica sempre e a preservando-a. d) A LUMITEX se compromete em no acumular ou manter intencionalmente Dados Pessoais de funcionrios alm daqueles relevantes na conduo do seu negcio. d) Todos os Dados Pessoais de Funcionrios sero considerados dados condenciais. d) Dados Pessoais de Funcionrios sob a responsabilidade da Lumitex no sero usados para ns diferentes daqueles para os quais foram coletados. d) Dados Pessoais de Funcionrios no sero transferidos para terceiros, exceto quando exigido pelo nosso negcio, e desde que tais terceiros mantenham a condencialidade dos referidos dados, incluindo-se, neste caso a lista de endereos eletrnicos (e-mails) usados pelos funcionrios da Lumitex.
109
(LUMI, 2013) So violaes: a) Quaisquer aes ou situaes que possam expor a Lumitex ou seus clientes perda nanceira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informao; b) Utilizao indevida de dados corporativos, divulgao no autorizada de informaes, segredos comerciais ou outras informaes sem a permisso expressa do Gestor da Informao; c) Uso de dados, informaes, equipamentos, software, sistemas ou outros recursos tecnolgicos, para propsitos ilcitos, que possam incluir a violao de leis, de regulamentos internos e externos, da tica ou de exigncias de organismos reguladores da rea de atuao da Lumitex ou de seus clientes; d) A no comunicao imediata rea de Segurana da Informao de quaisquer descumprimentos da poltica, de normas ou de procedimentos de Segurana da Informao, que porventura um empregado, estagirio, aprendiz ou prestador de servios venha a tomar conhecimento ou chegue a presenciar. d) Expor a Companhia a uma perda monetria efetiva ou potencial por meio do comprometimento da segurana dos dados /ou de informaes ou ainda da perda de equipamento. d) Envolver a revelao de dados condenciais, direitos autorais, negociaes, patentes ou uso no Autorizado de dados corporativos. d) Envolver o uso de dados para propsitos ilcitos, que venham a incluir a violao de qualquer lei, regulamento ou qualquer outro dispositivo governamental. (LUMI, 2013) B.1.1.14 Sanes A violao poltica, s normas ou aos procedimentos de segurana da informao ou a no aderncia poltica de segurana da informao da Lumitex so consideradas faltas graves, podendo ser aplicadas penalidades previstas em lei.(LUMI, 2013) B.1.1.15 Legislao Aplicvel Correlacionam-se com a poltica, com as diretrizes e com as normas de segurana da informao as leis abaixo relacionadas, mas no se limitando s mesmas:
110
a) Lei Federal 8159, de 08 de janeiro de 1991 (Dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados); b) Lei Federal 9610, de 19 de fevereiro de 1998 (Dispe sobre o Direito Autoral); c) Lei Federal 9279, de 14 de maio de 1996 (Dispe sobre Marcas e Patentes); d) Lei Federal 3129, de 14 de outubro de 1982 (Regula a Concesso de Patentes aos autores de inveno ou descoberta industrial); e) Lei Federal 10406, de 10 de janeiro de 2002 (Institui o Cdigo Civil); f) Decreto-Lei 2848, de 7 de dezembro de 1940 (Institui o Cdigo Penal); f) Lei Federal 9983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 - Cdigo Penal e d outras providencias).
111
APNDICE C Planta Baixa
APNDICE C. Planta Baixa
112
Figura 17 Trreo e backbone
113
114
Figura 19 Primeiro andar
115
Figura 20 Segundo andar
116
Figura 21 Data Center
117
APNDICE D Faces dos Racks
APNDICE D. Faces dos Racks
118
Figura 22 Face do rack da Sala de Equipamentos Datacenter
119
Figura 23 Face do rack do Datacenter
120
Figura 24 Cabeamento vertical
121
Figura 25 Sala de telecomunicaes trreo
122
Figura 26 Sala de telecomunicaes primeiro andar
123
Figura 27 Sala de telecomunicaes segundo andar
124
APNDICE E Relao dos materiais
Figura 28 Relao de materiais
125
APNDICE F Memorial descritivo

F.1 Dados bsicos
F.1.1 Nome da edicao: Lumitex F.1.2 Endereo: Rua do Semeador, 464, Cidade Industrial ,Curitiba - PR, 81270-050. F.1.3 Proprietrio: Jos Augusto Frana - R. Rockefeller, 1310 - Rebouas, Curitiba - PR, (41)80230-130, (41)35643132) F.1.4 Construtora: Baggio - Rua Nestor Victor, 839 , gua Verde, Curitiba PR, (41)3025-6111 F.1.5 Previso de incio e trmino da obra: Obra est terminada
F.2 Informaes estatsticas

F.2.1 Tipo de edicao: Comercial multiusurio F.2.2 Nmero de pavimentos: 3 F.2.3 rea til da edicao: 3.360 m2 F.2.4 Metragem por andar: 1.057,16 m2 F.2.5 Metragem Datacenter: 244,66 m2 F.2.6 P direito: 2,95 m F.2.7 Nmero de pontos: 558
APNDICE F. Memorial descritivo
126
F.2.8 Descrio dos pontos: Trreo 14 pontos ou 7 reas de trabalho, 10 pontos para cmeras: 1 andar 308 pontos ou 154 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressoras:2 andar 166 pontos ou 83 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressora: Datacenter 16 pontos ou 8 reas de trabalho, 2 pontos para cmeras: 12 pontos para cmeras externas e 2 pontos ou uma rea de trabalho para guarita. F.2.9 Escritrios: 2 andares em reas de escritrio F.2.10 Piso elevado: altura de 300 mm e placas de 600 x 600 mm com revestimento anti-esttico e aterramento. F.2.11 Eletro calhas: Instalao sob o piso elevado, centralmente nos pavimentos e seguindo sentidos longitudinal e transversal de 37,97 metros para o datacenter e 114,97 metros para o edifcio da matriz, de eletro calha em ao galvanizado de 100x50 mm, lisa, com virola, com tampa sob cho. F.2.12 Eletro duto: Instalao dos eletro dutos para o cabeamento CFTV seguir em dois caminhos, um de cada lado no corredor central sobre o forro, sendo 1 1/2 41mm xadas por braadeiras a cada 2 metros na laje. Para cabeamento externo o mesmo seguir por canaletas sob a calada.
F.3 Informaes especiais

reas de trabalho: Esse local destinado aos funcionrios que executam as atividades primrias. Na rea de trabalho, temos um total de 184 espelhos de telecomunicao com duas tomadas para atender toda a demanda dos andares. Das reas de trabalho seguem cabos utps at as salas de telecomunicaes de cada andar. Cabeamento vertical: O backbone sa da sala de equipamentos, e tem a funo de interligar todo o cabeamento que sai dele para ser distribudo nos pavimentos. Nesse subsistema ser usada bra ptica. O cabeamento vertical usar 512m de bra ptica multimodo. Cabeamento Horizontal: O cabeamento horizontal possui uma metragem total de 6.683m, no trreo sero utilizados 362m, no 1o andar 4.164m, no 2o andar 2029m e no data
APNDICE F. Memorial descritivo
127
Center 128m de cabos UTP Cat6a. Esse subsistema interliga a sala de telecomunicaes s reas de trabalho. Sala de telecomunicaes: Nestas sala so recebidos os cabos para distribuio em cada pavimento, as bras vindas diretas do data Center so manobradas nesta sala para os switches de acesso. Sala de equipamentos: Em uma sala separada dentro do Data Center ca a sala com os equipamentos centrais da rede, e os switches cores, o IPS e o load balance. As manobras necessrias so feitas pelos patch panel nesta sala. Datacenter: A sala do Data Center abriga os equipamentos de armazenamento, dois servidores blade com 10 laminas cada sendo 20 servidores fsicos e 20 servidores virtuais. Sala de entrada: Neste local encontram-se os cabos externos da companhia telefnica, que so interligados com o cabeamento interno do edifcio.
F.3.1 H previso de instalao de CPCT ? Sim ( ) No (x) F.3.2 H previso de instalao de servios especiais de imagem ou de automao (circuito interno de vdeo, TV a cabo, controles ambientais (ar-condicionado e ventilao) controle de acesso, controle de iluminao, sensores de fumaa, sistema de segurana, sonorizao) ? Sim (X) No ( ) F.3.3 Observaes
Seis cabos de bra vo distribuir a rede para cada andar, sendo que so: um cabo por andar e um cabo de redundncia disposto junto ao principal. As cmeras de cftv estaro distribudas pelo permetro e internamente em rede lgica isolada. A montagem dos cabos UTP na caixa de superfcie e patch panel dever obedecer a codicao de cores estabelecida pela norma EIA/TIA 568-B.
F.4 Responsvel pelo projeto: Equipe interna da empresa Lumitex

F.4.1 Nome do responsvel: Gerson Nobre, Vanessa Neckel, Jos Carlos, Alessandra Fonseca F.4.2 Ttulo prossional: Analistas de Infraestrutura

Projeto Interdisciplinar para Implantação de Rede de Computadores

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Projeto Interdisciplinar para Implantação de Rede de Computadores

Uploaded by

Copyright:

Available Formats

Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel

Projeto Interdisciplinar para Implantao de Rede de Computadores

Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel

Projeto Interdisciplinar para Implantao de Rede de Computadores

Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel

Projeto Interdisciplinar para Implantao de Rede de Computadores

Professor Joo Batista Tsuruda Amaral

Professor Kurlam Treich Tom

Professor Eurides Bastos Junior

Professor Denilson Augusto Domingues

Figura 28 Relao de materiais . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

Tabela 10 Detalhamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Tabela 11 Plano de ao para ocorrncias . . . . . . . . . . . . . . . . . . . . . . 77 Tabela 12 Escala de acionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Lista de abreviaturas e siglas

1.3.2 1.3.3 1.3.4 1.4 1.4.1

2.10.2 2.10.3 2.10.4 2.10.5

. . . . . . Cat5e . . . . Cat6 . . . . . Cat6a . . . . Fibras pticas

Plano de integrao Matriz e Filiais . . . . . . . . . . . . . . . . . . 60

7.3.3 8 8.1 8.2 8.3 8.4 8.5

9 9.1 9.2 9.3 9.4 9.5

Concluso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 10 Diculdades encontradas durante a elaborao do projeto . . . . . . 84

Planejamento da Segurana Ameaas da Natureza . . . . . . . . . . . . . . Servios . . . . . . . . . . . . . . . . . . . . Fator humano . . . . . . . . . . . . . . . . . . Permetro . . . . . . . . . . . . . . . . . . . .

Faces dos Racks

Relao dos materiais . . . . . . . . . . . . . . . . . . 127

F.3.3 F.4 F.4.1 F.4.2

. 130 . 130 . 130 . 130 . 130

Parte I Fundamentao Terica

1.2 Plano de Continuidade de TI

1.3 Poltica (Plano) de Backup

1.3.4 Quarta Etapa: A determinao das aes a serem planejadas.

1.4 Plano de Gerenciamento e Monitoramento de ativos e aplicaes

1.4.1 Protocolos SNMP e ICMP

Captulo 2. Arquitetura e Roteamento

2.2 Protocolos SSL

2.3 Protocolo HTTPS

2.4 Protocolo FTPS

Captulo 2. Arquitetura e Roteamento

fados e protegem as informaes trafegadas por meio do FTPS. (BARATO, 2011)

2.5 Protocolo SSH

Captulo 2. Arquitetura e Roteamento

Captulo 2. Arquitetura e Roteamento

Captulo 2. Arquitetura e Roteamento

Captulo 2. Arquitetura e Roteamento

2.10 Tecnologias de transmisso

Captulo 2. Arquitetura e Roteamento

Captulo 2. Arquitetura e Roteamento

Captulo 2. Arquitetura e Roteamento

Captulo 2. Arquitetura e Roteamento

2.10.5 Fibras pticas multimodo, monomodo

Captulo 2. Arquitetura e Roteamento

2.11 Segmentao da rede

Captulo 2. Arquitetura e Roteamento

Captulo 2. Arquitetura e Roteamento

internos e, por m, envia o arquivo completo pela rede. (MORIMOTO, 2007)

Captulo 3. Projeto de Redes

3.2 Cabeamento estruturado

Captulo 3. Projeto de Redes

3.2.2 Capacidade de rede

Captulo 3. Projeto de Redes

Captulo 3. Projeto de Redes

3.2.3 Tecnologias utilizadas

3.2.4 Equipamentos utilizados

Captulo 3. Projeto de Redes

Captulo 3. Projeto de Redes