Professional Documents
Culture Documents
Brasil 2013
Trabalho Interdisciplinar, para o curso de tecnologia em redes de computadores das Faculdades Integradas Santa Cruz de Curitiba, apresentando proposta de projeto de rede de computadores para empresa do setor naceiro.
Faculdades Integradas Santa Cruz de Curitiba Tecnologia em Redes de Computadores Programa de Graduao
Orientadores: Joo Batista Tsuruda Amaral Kurlam Treich Tom Eurides Bastos Junior Denilson Augusto Domingues
Brasil 2013
Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel Projeto Interdisciplinar para Implantao de Rede de Computadores / Alessandra Fonseca Gerson Nobre Jos Carlos Vanessa Neckel Brasil, 2013130 p. : il. (algumas color.) ; 30 cm. Orientadores: Joo Batista Tsuruda Amaral Kurlam Treich Tom Eurides Bastos Junior Denilson Augusto Domingues Trabalho Interdisciplinar Faculdades Integradas Santa Cruz de Curitiba Tecnologia em Redes de Computadores Programa de Graduao, 2013. 1. Palavra-chave1. 2. Palavra-chave2. I. Orientador. II. Universidade xxx. III. Faculdade de xxx. IV. Ttulo CDU 02:141:005.7
Brasil 2013
Resumo
Nesse trabalho tratamos de todos os processos envolvidos na elaborao e implementao de um projetos de rede. Entre as tecnologias aplicadas, e as normas para seguir a boa prtica de mercado dentro das normas internacionais, h uma grande possibilidade de solues que podem satisfazer a todos os requisitos. Porm, para a conduo do um projeto, a anlise do negcio que abrigar as implementaes, deve ser o ponto de partida na construo de uma soluo vivel e ecaz. Outro ponto importante, o planejamento bem dimensionado das etapas e cronogramas que sero aplicados. O estudo das fazes que devem preceder a implementao deve ser feito de forma analtica, para evitar retrabalhos em fases posteriores. Palavras-chaves: Segurana. Redes de computadores. Projeto de redes. .
Lista de ilustraes
Figura 1 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. . 23 Figura 2 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. . 24 Figura 3 Tabela de downtime. Fonte: Smolka et catervarii J. R. Smolka 2011 . . 46 Figura 4 Crongrama Geral do Projeto . . . . . . . . . . . . . . . . . . . . . . . . 59 Figura Figura Figura Figura 5 6 7 8 Lista de ativos e material de comunicao Integrao matriz e lias . . . . . . . . . . Lan Lumitex . . . . . . . . . . . . . . . . Congurao para o Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 63 63 66
Figura 9 Exemplo de coleta de dados da CPU usando Zabbix . . . . . . . . . . . 74 Figura 10 Exemplo de coleta de dados do disco usando Zabbix . . . . . . . . . . . 74 Figura 11 Exemplo de coleta de dados de processos usando Zabbix . . . . . . . . 75 Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura Figura 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Crongrama de implantao do projeto . Custo do pavimento trreo e datacenter Custo primeiro andar . . . . . . . . . . . Custo segundo andar e total geral . . . . Custo Sala de Equipamentos . . . . . . . Trreo e backbone Trreo . . . . . . . Primeiro andar . . Segundo andar . . Data Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 81 81 81 82 115 116 117 118 119 121 122 123 124 125 126
Face do rack da Sala de Equipamentos Datacenter . Face do rack do Datacenter . . . . . . . . . . . . . Cabeamento vertical . . . . . . . . . . . . . . . . . Sala de telecomunicaes trreo . . . . . . . . . . . Sala de telecomunicaes primeiro andar . . . . . . Sala de telecomunicaes segundo andar . . . . . .
Lista de tabelas
Tabela Tabela Tabela Tabela Tabela Tabela Tabela Tabela Tabela 1 2 3 4 5 6 7 8 9 Lista dos servios que os usurios Lista de servidores na matriz . . Lista de acessos . . . . . . . . . . Objetos do rewall . . . . . . . . Listagem Setores Crticos . . . . Funo Critica Setor Financeiro . Funo Critica Setor Call Center Efeitos de parada nos negcios . Recursos a recuperar . . . . . . . tero . . . . . . . . . . . . . . . . . . . . . . . . acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 62 65 65 68 68 69 69 70
Sumrio
Sumrio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Introduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
I
1 1.1 1.2 1.3 1.3.1
Fundamentao Terica
Segurana de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Poltica de Segurana de TI . . . . . . . . . . . . . . . . . . . . . . . Plano de Continuidade de TI . . . . . . . . . . . . . . . . . . . . . . . Poltica (Plano) de Backup . . . . . . . . . . . . . . . . . . . . . . . . Primeira Etapa: A conscientizao da necessidade do backup de dados, que pode partir tanto da rea de Tecnologia da Informao quanto da rea administrativa da organizao. . . . . . . . . . . . . . . . . . . . . . . . . Segunda Etapa: A denio dos responsveis pelo planejamento de backup de dados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Terceira Etapa: A disponibilizao de recursos para que essas equipes possam planejar o backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Quarta Etapa: A determinao das aes a serem planejadas. . . . . . . . . Plano de Gerenciamento e Monitoramento de ativos e aplicaes . Protocolos SNMP e ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Arquitetura e Roteamento TSL . . . . . . . . . . . . . . Protocolos SSL . . . . . . . Protocolo HTTPS . . . . . Protocolo FTPS . . . . . . Protocolo SSH . . . . . . . Kerberos . . . . . . . . . . . Radius . . . . . . . . . . . . MPlS . . . . . . . . . . . . . OpenVpn . . . . . . . . . . Tecnologias de transmisso Wireless . . . . . . . . . . . . Wimax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
17 17 18 19
20 20 20 20 21 23
23 25
2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.10.1
2.10.1.1
26 26 27 27 27 28 28 30 31 31 32 32
33
2.10.1.2
2.11 2.11.1 2.11.2 2.11.3 2.11.4 3 3.1 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . multimodo, monomodo Fibra Monomodo . . . . . . . . . . . . Fibras Multimodo . . . . . . . . . . . . Segmentao da rede . . . . . . . DMZ . . . . . . . . . . . . . . . . . MZ . . . . . . . . . . . . . . . . . . SAN . . . . . . . . . . . . . . . . . . NAS . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . .
34
35 35 35 35
36 36
37 37 38 38 39 40 40 41 42 42 44 44 45 47 48 49
Projeto de Redes . . . . . . . . . . . Projeto de Redes . . . . . . . . . . . Cabeamento estruturado . . . . . . Funcionalidade . . . . . . . . . . . . . Capacidade de rede . . . . . . . . . . . Tecnologias utilizadas . . . . . . . . . . Equipamentos utilizados . . . . . . . . Disponibilidade . . . . . . . . . . . . . Desempenho . . . . . . . . . . . . . . Escalabilidade . . . . . . . . . . . . . . Subsistemas do cabeamento estruturado
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
II
4 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 5 6
Planejamento da soluo de TI
Escopo do projeto . . . . . . . . . . . . . . . . . . . . . . . . Funcionalidade . . . . . . . . . . . . . . . . . . . . . . . . . . . Capacidade de rede . . . . . . . . . . . . . . . . . . . . . . . . Tecnologias utilizadas . . . . . . . . . . . . . . . . . . . . . . . Equipamentos utilizados . . . . . . . . . . . . . . . . . . . . . . Disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . Desempenho . . . . . . . . . . . . . . . . . . . . . . . . . . . . Subsistemas do cabeamento estruturado . . . . . . . . . . . . Recursos tcnicos e mo de obra . . . . . . . . . . . . . . . . . Cronograma Geral do Projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
53 54 54 55 56 56 56 56 57
. . . . . . . . . . . . . . . . . . . . . 59
6.1 6.2 6.3 6.4 6.5 6.6 6.7 6.8 6.9 7 7.1 7.2 7.3 7.3.1 7.3.2
7.3.2.1 7.3.2.2
Interligao entre matriz e liais . . . . . . . . . . . . . . . . . . . . Desao e necessidades para que o projeto seja implantado com sucesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lista de ativos de redes e material de comunicao. . . . . . . . . Lista de servios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Lista de servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . Diagrama da rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . Servios prestados pelas operadoras . . . . . . . . . . . . . . . . . . Planejamento de implementao do rewall . . . . . . . . . . . . . Justicativa Negocial da soluo de integrao Matriz e Filiais . . Normas e Procedimentos de Segurana de TI Poltica de Segurana da Informao . . . . . Planejamento de segurana fsica . . . . . . . Gerenciamento de Continuidade dos Negcios Plano de Continuidade dos Negcios e Recuperao Politicas de Backup . . . . . . . . . . . . . . . . . Normas . . . . . . . . . . . . . . . . . . . . . . . . Procedimentos . . . . . . . . . . . . . . . . . . . . Plano de Rastreamento de Falhas em TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . de Desastres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 60 . . . . . . . . . . . . . . . . . 60 60 61 62 63 64 64 66 67 67 67 67 67 70
70 71
72 73 73 75 77 77 78 79 79 79 80 80 81
Gerenciamento e monitoramento de ativos e aplicaes . . . . . . . Ferramentas de monitoramento. . . . . . . . . . . . . . . . . . . . . . Detalhamento dos ativos e aplicaes . . . . . . . . . . . . . . . . . . Ambiente de monitoramento. . . . . . . . . . . . . . . . . . . . . . . . Plano de ao para ocorrncias . . . . . . . . . . . . . . . . . . . . . . Justicativa Negocial da soluo Gerenciamento e monitoramento de ativos e aplicaes . . . . . . . . . . . . . . . . . . . . . . . . . . . Projeto de Redes . . . . . . . Proposta de projeto de redes Documentao do Projeto . Cronograma de implantao Garantias . . . . . . . . . . . Custo (Estimado) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Dados coletados atravs de logs de sistemas e ou aplicaes que foram implementadas . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Testes para elaborao do projeto . . . . . . . . . . . . . . . . . . . 86 Resultados esperados com a implementao do projeto . . . . . . . 87
12 13
Referncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Apndices
APNDICE A
A.0.0.1 A.0.0.2 A.0.0.3 A.0.0.4
92
Fsica . . . . . . . . . . . . . . . . da Empresa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 . 93 . 93 . 93 . 94 . . . . . . . . . . . . . . . . . . . . . . 100 100
101 102 103 103
APNDICE B Poltica de B.1 Denies . . . . . . . . B.1.0.5 Termos e Denies . . . . . B.1.0.6 Estrutura Normativa . . . . .
B.1.0.7 B.1.0.8
B.1.1
B.1.1.1 B.1.1.2 B.1.1.3 B.1.1.4 B.1.1.5 B.1.1.6 B.1.1.7 B.1.1.8 B.1.1.9 B.1.1.10 B.1.1.11 B.1.1.12 B.1.1.13 B.1.1.14 B.1.1.15
Segurana da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Divulgao e Acesso Estrutura Normativa . . . . . . . . . . . . . . . . Aprovao e Reviso . . . . . . . . . . . . . . . . . . . . . . . . . . . Diretrizes de Segurana da Informao . . . . . . . . . . . . . . . . Proteo da Informao . . . . . . . . . . . . . . . . . . . . . . . . . Privacidade da Informao sob Custdia da Lumitex . . . . . . . . . . . . Classicao da Informao . . . . . . . . . . . . . . . . . . . . . . . . Empregados, Estagirios, Aprendizes e Prestadores de Servios . . . . . . . . Comit Gestor de Segurana da Informao (C.G.S.I.) . . . . . . . . . . . . Gestor da Informao . . . . . . . . . . . . . . . . . . . . . . . . . . Gerncias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerncia Jurdica . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerncia de Recursos Humanos . . . . . . . . . . . . . . . . . . . . . . rea de Segurana da Informao . . . . . . . . . . . . . . . . . . . . . Diretoria Executiva . . . . . . . . . . . . . . . . . . . . . . . . . . . Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Violaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sanes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Legislao Aplicvel . . . . . . . . . . . . . . . . . . . . . . . . . . . Planta Baixa
103
103 105 105 106 107 108 109 109 110 110 110 111 111 112 112
APNDICE C
. . . . . . . . . . . . . . . . . . . . . . . 114
APNDICE D APNDICE E
. . . . . . . . . . . . . . . . . . . . . 120
APNDICE F Memorial descritivo . . . . . . . . . . . . . . . . . . . . 128 F.1 Dados bsicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.1.1 Nome da edicao: Lumitex . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.1.2 Endereo: Rua do Semeador, 464, Cidade Industrial ,Curitiba - PR, 81270-050.128 F.1.3 Proprietrio: Jos Augusto Frana - R. Rockefeller, 1310 - Rebouas, Curitiba - PR, (41)80230-130, (41)35643132) . . . . . . . . . . . . . . . . . . 128 F.1.4 Construtora: Baggio - Rua Nestor Victor, 839 , gua Verde, Curitiba - PR, (41)3025-6111 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.1.5 Previso de incio e trmino da obra: Obra est terminada . . . . . . . . . 128 F.2 Informaes estatsticas . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.1 Tipo de edicao: Comercial multiusurio . . . . . . . . . . . . . . . . . 128 F.2.2 Nmero de pavimentos: 3 . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.3 rea til da edicao: 3.360 m2 . . . . . . . . . . . . . . . . . . . . . . 128 F.2.4 Metragem por andar: 1.057,16 m2 . . . . . . . . . . . . . . . . . . . . . . 128 F.2.5 Metragem Datacenter: 244,66 m2 . . . . . . . . . . . . . . . . . . . . . . 128 F.2.6 P direito: 2,95 m . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.7 Nmero de pontos: 558 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 F.2.8 Descrio dos pontos: Trreo 14 pontos ou 7 reas de trabalho, 10 pontos para cmeras: 1 andar 308 pontos ou 154 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressoras:2 andar 166 pontos ou 83 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressora: Datacenter 16 pontos ou 8 reas de trabalho, 2 pontos para cmeras: 12 pontos para cmeras externas e 2 pontos ou uma rea de trabalho para guarita. . . . . 129 F.2.9 Escritrios: 2 andares em reas de escritrio . . . . . . . . . . . . . . . . . 129 F.2.10 Piso elevado: altura de 300 mm e placas de 600 x 600 mm com revestimento anti-esttico e aterramento. . . . . . . . . . . . . . . . . . . . . . . . . . 129 F.2.11 Eletro calhas: Instalao sob o piso elevado, centralmente nos pavimentos e seguindo sentidos longitudinal e transversal de 37,97 metros para o datacenter e 114,97 metros para o edifcio da matriz, de eletro calha em ao galvanizado de 100x50 mm, lisa, com virola, com tampa sob cho. . . . . . 129 F.2.12 Eletro duto: Instalao dos eletro dutos para o cabeamento CFTV seguir em dois caminhos, um de cada lado no corredor central sobre o forro, sendo 1 1/2 41mm xadas por braadeiras a cada 2 metros na laje. Para cabeamento externo o mesmo seguir por canaletas sob a calada. . . . . . . . . . . . . 129 F.3 Informaes especiais . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 F.3.1 H previso de instalao de CPCT ? Sim ( ) No (x) . . . . . . . . . . . 130
SUMRIO
13
F.3.2
H previso de instalao de servios especiais de imagem ou de automao (circuito interno de vdeo, TV a cabo, controles ambientais (ar-condicionado e ventilao) controle de acesso, controle de iluminao, sensores de fumaa, sistema de segurana, sonorizao) ? Sim (X) No ( ) . . . . . . . . . . Observaes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Responsvel pelo projeto: Equipe interna da empresa Lumitex . . Nome do responsvel: Gerson Nobre, Vanessa Neckel, Jos Carlos, Alessandra Fonseca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ttulo prossional: Analistas de Infraestrutura . . . . . . . . . . . . . . .
14
Introduo
A Lumitex solues em gerenciamento nanceiros, est no mercado desde 1990 com servios, consultoria e solues para empresas no segmento bancrio e privado. Entre os servios prestados esto as cobranas extrajudiciais e judiciais para pessoas jurdicas, gesto de crditos no performados, com foco direto no segmento de recuperao de crdito. Para realizar essas atividades necessrio uma infraestrutura que vai desde funcionrios capacitados, sistemas de telefonia e operao ecientes, softwares e aplicativos voltados a otmizao e segurana dos processos operacionais. Uma caracterstica do negcio a interoperabilidade entre o ERP da empresa com o ERP dos clientes para o recebimento e envio de dados. Isso se faz necessrio para que as informaes de cobranas sejam manupuladas de forma segura e agl, estabelecendo qualidade aos servios. A interoperabilidade se d atrves de mdulo no prprio ERP, que usa uma API(Application Programming Interface)para enviar e receber informaes em documento XML. Com as informaes j em seu domnio, o setor nanceiro faz os clculos para negociao, toma as medidas legais necessrias, se for o caso, cuida do envio de mensagen e e-mails e repassa esses dados ao setor de Call Center que negocira diretamente com os devedores. Esse processo funciona de forma integrada e gradual e totalmente informatizado pelos sistema de ERP e CRM. A empresa obteve grande crescimento nos ltimos 5 anos, tornando - se competitiva em vrios estados do pas. Devido esse crescimento, a infraestrutura atual no atende mais a demanda da empresa e necessrio planejar uma nova infraestrutura capaz de suportar a complexidade dos sistemas integradores com as lias de forma que garanta a segurana dos dados manipulados mantendo - os disponveis, conveis e em acessivis em tempo plausvel. Diante desse novo cenrio a empresa Lumitex solicitou um projeto para atender as caractersticas principais da sua rea de atuao. Hoje a matriz encontra-se na cidade de So Paulo, mas o custo elevado para implantao de um data center na cidade, levando se em conta o custo dos terrenos, mo de obra de TI mais cara que em outras regies e instabilidades sociais, torna mais vivel a instalao da matriz em outras regies. A soluo apresentada no projeto, ser a realocao da matriz para a cidade de Curitiba, isto levando se em conta todos os custos e benefcios a longo prazo, como a reduo de custos nos setores de mo de obra, infraestrutura, logstica e transporte pblico, porm, o site de So Paulo por j ter uma estrutura de mdio porte pronta, ser mantido como um site espelho da matriz de Curitiba, servindo como uma redundncia da rede.
Introduo
15
Neste projeto sero abordados os requisitos de infraestrutura para o cabeamento estruturado, links de internet, links que ligam as liais matriz, assim como a segurana para gesto da informao, os equipamentos e as tecnologias utilizadas, as especices tcnicas decorrente das normas de cada reas e tambm os itens de segurana fsica como cmeras de vdeo, catracas, cercas perimetrais. O projeto deve seguir a famlia de normas NBR ISO/IEC 27000, para segurana da informao, que se aplicam a segurana fsica das pessoas, instalaes e permetros das edicaes da empresa, a norma brasileira NBR 14565 para cabeamento estruturado em edifcios comercias e as norma TIA 942 para Datacenter. A Informao tomou um valor sem especcos hoje, maior do que a alguns anos atrs, quando ainda era vista como um fator secundrio nas organizaes. E a necessidade de proteg-la contra qualquer intruso tornou-se tambm uma das maiores preocupaes em todos os nivis da comunicao. Para uma empresa, a informao o ncleo de todo seu portflio de ativos at segredos estratgicos, desde o router at o peopleware (usurio de um computador), toda informao gerada nessas redes so de responsabilidade da mesma, tanto diretores, gestores, analistas, tcnicos e usurios tem acesso a essa informao. Por isso necessrio haver denies de nveis de acesso e rigoroso controle dos dados, atravs de polticas internas baseadas nas prerrogativa estratgicas da empresa. Pensando no valor da informao para uma instituio que manipula dados sigilosos de terceiros, esse projeto foi construdo de maneira organizada para englobar os requisitos minmos cabveis para implantao da soluo. Cada etapa da elaborao no tem por nalidade explicar profundamente as tecnologias e normas, mas, apresentar um mtodo de facl entendimento da integrao de todos os subsitemas necessrios um projeto de redes de computadores corporativa.
17
1 Segurana de TI
1.1 Poltica de Segurana de TI
A informao um ativo muito importante, essencial ao funcionamento das organizaes e consequentemente necessita ser adequadamente protegida. Ela pode ser apresentada em diversas formas: impressa ou escrita em papel, falada em conversas, armazenada eletronicamente. Independente de forma ou meio, a informao compartilhada ou armazenada. De acordo com a norma ISO/IEC 27002, segurana da informao a proteo da informao contra vrios tipos de ameaas, com o intuito de garantir a continuidade do servio, minimizar os riscos, maximizar o retorno sobre os investimentos. So exemplos de ameaas: espionagem (invasores de redes e sistemas), sabotagem, vandalismo, vulnerabilidades a incndios, inundao, cdigos maliciosos, entre outros. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Esses controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados de acordo com as necessidades em questo, a m de garantir a segurana da informao. A gesto da segurana da informao requer a participao de todos os funcionrios e a criao de uma poltica que deve ser documentada. Um dos primeiros passos para a gesto da segurana da informao a elaborao e aprovao de uma poltica de segurana da informao. Uma poltica de segurana a expresso formal das regras pelas quais fornecido o acesso aos recursos tecnolgicos da organizao. Uma poltica de segurana no um documento denitivo, inaltervel ou inquestionvel, pelo contrrio, requer constante atualizao e participao de gerentes, usurios e equipe de TI. Objetivo da poltica a proteo do conhecimento e da infraestrutura, a m de atender os requisitos legais, viabilizar os servios prestados e evitar ou reduzir os riscos e ameaas. Orientao e o estabelecimento de diretrizes para a proteo dos ativos de informao, preveno de ameaas e a conscientizao da responsabilidade dos funcionrios. conveniente que a gesto da segurana da informao esteja alinhada e em conjunto com os outros processos de gesto. O princpios a integridade, condencialidade e disponibilidade da informao. O propsitos informar aos usurios suas responsabilidades com relao proteo da tecnologia e ao acesso informao e oferecer um ponto de referncia a partir do qual
Captulo 1. Segurana de TI
18
se possa adquirir, congurar e auditar sistemas computacionais e de redes. A norma ISO/IEC 27002 descreve as fontes principais de requisitos de segurana da informao: Anlise dos princpios, objetivos e requisitos dos servios prestados, legislao vigente, estatutos e regulamentos, anlise de riscos, ameaas e vulnerabilidades. Alm da anlise de requisitos, recomendvel tambm que supervisores de cada rea estabeleam critrios relativos ao nvel de condencialidade da informao gerada por sua rea, classicando as informaes de acordo com a lista abaixo: pblica; interna; condencial; restrita. A elaborao da poltica de segurana de cada empresa possui suas particularidades de acordo com os requisitos de segurana analisados e alinhados a gesto de processos. (PAULA, 2013)
Captulo 1. Segurana de TI
19
Proteger vidas e garantir segurana Reduzir impacto aos negcios Retornar funes crticas de negcios normalidade Reduzir confuso durante uma crise Garantir a sobrevivncia do negocio Etapas do Plano de Continuidade de Negcios Desenvolver uma poltica geral de continuidade de negcios: Escrever uma poltica que entregue e guie os passos necessrios para desenvolver o Plano de Continuidade de Negcios, e onde quem assine tenha autoridade para com toda a organizao. Conduzir uma Anlise de Impacto de Negcios: Identicar as funes crticas e sistemas e permitir a organizao priorizar dentre estas as suas necessidades reais. Identicar as vulnerabilidades, ameaas e calcular os riscos Identicar controles preventivos: Uma vez as ameaas conhecidas, identicar e implementar os controles e paliativos para reduzir o nvel de risco da organizao em uma maneira econmica. Desenvolver estratgias de recuperao: Formular mtodos para garantir que sistemas e funes crticas possam ser trazidas de volta ao normal rapidamente. Desenvolver um plano de contingncia: Escrever os procedimentos para como a organizao pode continuar funcionando em caso de um estado crtico. Testar o plano e conduzir treinamento e exerccios: Testar o plano para identicar decincias no Plano de Continuidade de Negcios e tambm conduzir treinamento para que os indivduos estejam preparados para cumprir suas tarefas. Manter o plano: Efetivar que os passos seguidos garantam que o documento esteja regularmente atualizado. (TELLES, 2013)
Captulo 1. Segurana de TI
20
1.3.1 Primeira Etapa: A conscientizao da necessidade do backup de dados, que pode partir tanto da rea de Tecnologia da Informao quanto da rea administrativa da organizao.
necessrio justicar o planejamento do backup de dados para ento conseguir apoio da organizao. As principais justicativas so: Proteo dos dados para a continuidade dos negcios, preveno contra desastres e recuperao segura dos dados, para que esses estejam integrais e disponveis. Atendimento a padres de segurana e a leis e regulamentos nacionais e internacionais.
1.3.2 Segunda Etapa: A denio dos responsveis pelo planejamento de backup de dados.
Sugere-se que os responsveis sejam: Superviso de Tecnologia da Informao Alta Administrao, que deve liberar os recursos. Observao: Essas equipes devero contar com o apoio das suas reas tcnicas.
1.3.3 Terceira Etapa: A disponibilizao de recursos para que essas equipes possam planejar o backup.
Treinamentos na rea de Segurana da Informao. Adoo de normas de Segurana da Informao. Adoo de Recomendaes: Livros de Segurana da Informao, materiais de cursos, materiais internos da organizao, elaborados a partir da bagagem de experincia de prossionais de Segurana da Informao, anlise e orientaes de especialistas e as opinies de consultores.
Captulo 1. Segurana de TI
21
Considerar o backup remoto Contratao de site de backup remoto Transmisso dos dados para Backup Remoto Transportes de mdias Agendamento do backup Perodo de reteno das mdias e guarda de mdias Testes de recuperao e backup Reviso do plano Denio de responsabilidades Poltica de Segurana da Informao e Plano de Continuidade de Negcios Todo o planejamento e recursos destinados ao backup devem estar de acordo com o valor da informao. (MORAIS, 2010)
Captulo 1. Segurana de TI
22
separado, quando podemos planejar uma parada de equipamento, onde os ganhos e benefcios so muito maiores do que paradas no planejadas, Ao tomar a deciso de possuir um gerenciamento de ativos, deve-se adquirir softwares especializados para cada tipo de ativo. A denio de gerenciamento de ativos no sentido de gerenciamento de dispositivos congurar, parametrizar e diagnosticar de forma remota. E monitoramento de condio torna-se apenas uma parte disso, diagnstico, congurao e parametrizao remotas implicam na existncia de inteligncia no ativo a ser gerenciado, onde existe um conjunto de parmetros dos quais se pode fazer upload e download remotos. Na parte de comunicao, do controlador para a operao, geralmente se fala em Ethernet. E o dispositivo no meio disso o switch de rede. Nessa rea existe um protocolo de diagnstico padronizado chamado SNMP Single Network Management Protocolo, que tambm est denido no modelo OSI, camada 7. um servio como Telnet, FTP, Single Network Mail Protocol, ou seja, dene como um dispositivo de rede Ethernet dever responder a um software de gerenciamento de ativos. Na rea de TI isso muito antigo porque suponha que administrador de rede Ethernet possua milhares de ns de uma corporao e no pode ir at a mesa de cada funcionrio para saber se a placa de rede do computador est funcionando; no pode ir a cada planta saber se o switch de rede est funcionando. Ele quer ser capaz de acessar remotamente cada dispositivo e descobrir seu status, denido por um protocolo. O SNMP tambm dene o MIB Management Information Base que. Consequentemente se sua rede falar SNMP e tiver a descrio MIB de cada device Ethernet, pode fazer o gerenciamento de ativos da rede. Os servios via web disponibilizados nos instrumentos de hoje merecem ateno especial, visto que muitas tarefas podem ser feitas utilizando a rede corporativa da empresa. Procedimentos errados podem ocasionar paradas indesejadas como a retirada de um equipamento de servio. Segurana e os nveis de acesso das ferramentas de software devem ser constantemente checados por pessoal especializado. Essas novas possibilidades mudaram o nvel de segurana na automao industrial, visto que hoje est disponibilizando informaes para usurios que antes eram somente de TI. O que precisa car bem claro, que todo sistema se no for bem parametrizado e se no tiver um determinado grau de utilizao, no oferecer os benefcios que foram propostos. Logo, ao se instalar um sistema de gerenciamento de ativos, este deve possuir uma pessoa responsvel para vericar e analisar os resultados por este mostrado. (INSTRUMENTAO, 2009)
Captulo 1. Segurana de TI
23
Figura 1 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. .
Type: indica a nalidade do pacote ICMP. Se contiver 8, uma requisio (echo request). Se o contedo for 0, uma reposta (echo reply). Este campo de 8 bits; Code no utilizado e deve conter o valor 0. Este campo de 8 bits; Checksum: verica a integridade do pacote ICMP. Este campo de 16 bits; Identier: identica unicamente uma seqncia de requisies e respostas ICMPs enviada. Se esta seqncia for interrompida e reinicializada, o identicador deve ser diferente. Este campo de 16 bits;
Captulo 1. Segurana de TI
24
Sequence number: associa uma requisio com um reposta. Este campo de 16 bits; O ICMP destination unreachable enviado quando um roteador ou uma estao no consegue entregar um datagrama. Dentre as vria possibilidades, isso pode acontecer quando um roteador no sabe quem o destino ou quando o bit DF do datagrama IP est ligado e a rede de destino precisa fragmentar o datagrama. A seguir apresentado o pacote ICMP destination unreachable e em seguida o conceito de cada campo:
Figura 2 ICMP echo request e echo reply. Fonte: Postel (1981b, p. 14) adaptado. .
Type: indica a nalidade do pacote ICMP. Se contiver 3 mostra que o pacote no pode ser entregue. Este campo de 8 bits; Code: especica o motivo que causou a no entrega do pacote. O 0 para rede no alcanvel, o 1 para host no alcanvel, o 2 para protocolo no alcanvel, o 3 para porta no alcanvel, o 4 para a necessidade de fragmentao, o 5 para falha na rota (caminho) de origem etc. Este campo de 8 bits; Checksum: verica a integridade do pacote ICMP. Este campo de 16 bits; Unused: no utilizado e deve conter zeros. Este campo de 32 bits; Internet header + 64 bits of original data datagram: contm o cabealho IP, mais 64 bits dos dados do datagrama anteriormente enviado pelo transmissor. Dessa maneira, indica a ele qual o endereo IP que est inacessvel e pode ser usado pelos administradores de rede para resoluo de problemas; (INFORMAO, 2007)
Captulo 1. Segurana de TI
25
1.4.1.2 SNMP SNMP signica Simple Network Management Protocol (que se pode traduzir por "protocolo simples de gesto de rede"). Trata-se de um protocolo que permite aos administradores rede gerir os equipamentos da rede e diagnosticar os seus problemas. O sistema de gesto de rede baseia-se em dois elementos principais: um supervisor e agentes. O supervisor o console que permite ao administrador de rede executar pedidos de gesto. Os agentes so entidades que se encontram a nvel de cada interface que liga o equipamento gerido rede e que permite recuperar informaes sobre diferentes objetos. Switchs, hubs, routers e servidores so exemplos de equipamentos que contm objetos que podem ser geridos. Estes objetos podem ser informaes materiais, parmetros de congurao, estatsticas de desempenho e outros objetos que esto diretamente ligados ao comportamento corrente do equipamento em questo. Estes objetos esto classicados numa espcie de base de dado chamada MIB (Management Information Base"). O SNMP permite o dilogo entre o supervisor e os agentes a m de recolher os objetos desejados no MIB. A arquitectura de gesto da rede proposta pelo protocolo SNMP baseia-se por conseguinte em trs principais elementos: Os equipamentos geridos (managed devices) so elementos da rede (pontes, hubs, routers ou servidores), contendo objetos geridos (managed objects) que podem ser informaes sobre o material, elementos de congurao ou informaes estatsticas; Os agentes, isto , uma aplicao de gesto de rede que reside num perifrico e se encarrega de transmitir os dados locais de gesto do perifrico em formato SNMP; Os sistemas de gesto de rede network management systems notados NMS), ou seja, um console atravs da qual os administradores podem realizar tarefas de administrao. (KIOSKEA.NET, 2010)
26
2 Arquitetura e Roteamento
2.1 TSL
O principal objetivo do protocolo TLS garantir a privacidade e a integridade dos dados em uma comunicao entre duas aplicaes. O protocolo composto de duas camadas: o protocolo de Registro (TLS Record Protocol) e os protocolos Handshaking (TLS Handshaking Protocols). O primeiro se localiza acima de um protocolo de transporte convel, provendo a segurana da conexo que apresenta duas propriedades: A conexo privada. utilizada criptograa simtrica para encriptao dos dados, por exemplo. As chaves para esta encriptao simtrica so geradas unicamente para cada conexo e so baseadas em um segredo negociado por um outro protocolo, neste caso o protocolo Handshake. O protocolo de Registro pode ser usado sem criptograa. A conexo convel. O transporte da mensagem inclui uma vericao da integridade da mensagem, utilizando uma keyed-HMAC (Hashing Message Authentication Code). Funes hash seguras so utilizadas para computao da MAC. O protocolo de Registro pode operar sem uma MAC, porm geralmente, s utilizado desta maneira, enquanto outro protocolo est usando o protocolo de Registro como transporte para a negociao dos parmetros de segurana. O protocolo de Registro usado para o encapsulao de vrios protocolos de nveis acima, por exemplo, o protocolo Handshake, que permite a autenticao entre cliente e servidor e a negociao de algoritmos de encriptao e de chaves criptogrcas antes da transmisso ou recepo do primeiro octeto de dados por parte de um protocolo de aplicao. Os protocolos Handshaking provm segurana da conexo que apresenta trs propriedades: A identicao de uma das partes pode ser autenticada atravs da criptograa assimtrica. Esta autenticao pode ser opcional, mas geralmente exigida para pelo menos uma das partes. A negociao de um segredo compartilhado segura. O segredo negociado ca indisponvel para invasores, e para qualquer conexo autenticada o segredo no pode ser obtido, mesmo por um atacante que pode se colocar no meio da conexo. A negociao convel. Nenhum atacante pode modicar a comunicao da negociao sem ser detectado pelas partes legtimas da comunicao. Uma vantagem do TLS a independncia em relao aos protocolos de aplicao.
27
Protocolos de nvel acima podem comunicar com o TLS de forma transparente. (SILVA, 2013)
28
29
2.6 Kerberos
um protocolo de segurana distribudo, ou seja, ele permite que os usurios acessem recursos em qualquer lugar da rede com um nico logon. O Kerberos exige que tanto o cliente quanto o servidor se autentiquem, impedindo assim que um intruso nja se passar por um cliente ou por um servidor. A seguir esto os recursos que o Kerberos traz para o Active Directory: Autenticao mais rpida em um ambiente de computao distribuda. Relao de conana transitiva entre domnios. Autenticao delegada ( ou pass-through ) para aplicaes distribudas. Interoperabilidade com sistemas No Windows como o Linux que usem o protocolo Kerberos. O Kerberos usa um segredo compartilhado, tambm conhecido como chave, de modo que tanto o cliente como o servio que roda em cada controlador de domnio conhecido como KDC (Key Distribution Center, ou Centro de Distribuio de Chaves) compartilhem a mesma chave. No caso da autenticao de um usurio, essa chave o hash da senha do usurio. O KDC na verdade tem dois componentes: O Servio de Autenticao (AS), que fornece os servios iniciais de logon, e o Servio de Garantia de Ticket (TGS), que fornece tickets para acessar os recursos da rede depois que o usurio tiver feito o login, por padro cada ticket tem validade de 10 horas. O Kerberos age em seguida para autenticar as requisies de logon e autorizar o usurio a acessar um recurso de rede. Um usurio se autentica com o KDC fazendo o login. (O KDC roda como um servio em cada controlador de domnio). A mensagem de autenticao inclui o nome de login do usurio, o nome do domnio ao qual o usurio est se logando e uma marcao de data e hora. Essas informaes so codicadas com o hash da senha do usurio. Assim, a senha do usurio jamais ser enviada pela rede e continuar segura. O componente AS do KDC recebe a requisio de autenticao e a vlida para que possa ser decodicada com o hash da senha do usurio, acessada a partir do banco de dados do AD. Se a codicao for bem sucedida e a marcao de data e hora e at cinco minutos do horrio do controlador de domnio atual, a autenticao ser bem sucedida. O KDC retorna um Ticket que garante o Ticket (TGT) para o cliente. O TGT contm o SID do usurio e as SIDs de todos os grupos a qual o usurio membro. O cliente coloca o TGT em cache at que ele precise acessar um recurso de rede. Neste momento, o TGT apresentado ao componente TGS do KDC e requisita o acesso a um recurso do servidor. O KDC retorna um Ticket de Sesso (ST) que contm um cdigo em uma chave encriptada conhecida apenas por ele mesmo e pelo servidor de recurso. O cliente apresenta o ST ao
30
servidor do recurso O servidor do recurso examina o ST em busca do cdigo da chave, conhecido apenas por ele e pelo KDC. Se o cdigo da chave for igual ao cdigo da chave existente no servidor de recursos, o cliente receber acesso ao servidor de recursos. Se o cdigo for diferente, o cliente ter acesso recusado. (BANIN, 2010)
2.7 Radius
O RADIUS um protocolo que visa a autenticao, autorizao e gesto de utilizadores, para acesso rede ou servios de rede. RADIUS normalmente usado para gerir e tornar mais seguro o acesso Internet ou a redes internas. O Protocolo RADIUS baseia-se num sistema cliente/servidor. O Servidor de RADIUS utiliza o conceito AAA para gerir o acesso rede. Este conceito refere-se aos processos de autenticao e autorizao e contabilizao (accounting) que so utilizados para estabelecer uma ligao Internet ou utilizar aplicaes de acesso rede. Uma rede ou servio de rede que utilize o protocolo RADIUS necessita de autenticao para permitir a ligao deste utilizador/dispositivo a esta. Aps autenticao determinado quais so os privilgios a que o utilizador autenticado est autorizado, e contabilizado (accounting) e gravado o acesso deste no servidor RADIUS, de modo a haver uma melhor gesto e controle de acessos. O RADIUS tornou-se assim numa ferramenta necessria para controle e segurana de acessos rede de Internet ou redes internas. Breve Descrio do Funcionamento O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado o Network Access Server (NAS) como cliente e do outro o servidor RADIUS. O utilizador, o NAS e o servidor trocam mensagens entre si quando o utilizador se pretende autenticar para utilizar um determinado servidor de rede. Uma mensagem RADIUS consiste num pacote contendo um cabealho RADIUS contendo o tipo de mensagem e podendo ainda ter, ou no, alguns atributos associados mensagem. Cada atributo RADIUS especica uma parte de informao sobre a tentativa de ligao. Por exemplo, existem atributos RADIUS para o nome de utilizador, a palavra passe do utilizador, o tipo de servio pedido pelo utilizador e o endereo Internet Protocol do servidor de acesso. Os atributos RADIUS so utilizados para transmitir informaes entre clientes RADIUS, proxies RADIUS e servidores de RADIUS. Quando um utilizador da rede deseja utilizar um servio de rede envia os seus dados para o NAS. O NAS responsvel por adquirir todos os dados do utilizador, que normalmente so o nome de utilizador e respectiva palavra passe (no envio do NAS para o servidor a palavra passe
31
cifrada de modo a prevenir possveis ataques), e envi-los para o servidor RADIUS atravs de um pedido de acesso que se designa de Access-Request. Este tambm responsvel por processar respostas vindas do servidor RADIUS. O servidor ao receber um pedido de acesso tenta a autenticao do utilizador, enviando de seguida a resposta para o NAS contendo um Access-Reject caso o acesso lhe seja negado ou, caso o acesso seja aceite contendo Access-Accept, ou caso seja pedida uma nova conrmao contendo Access-Challenge. Aps autenticao, so comparado e vericados alguns dados do pedido de modo a que o servidor determine qual o grau de acesso que pode ser dado a este utilizador que foi autenticado. O servidor RADIUS pode tambm ser congurado em proxy. Neste caso o servidor ir funcionar como cliente que redireciona os pedidos de acesso para um outro servidor, ou seja, passa a ser responsvel pela troca de mensagens entre o NAS e o servidor remoto. (ANTUNES, 2008)
2.8 MPlS
MPLS uma soluo para diminuir o processamento nos equipamentos de rede e interligar com maior ecincia redes de tecnologias distintas. O termo "Multiprotocol"signica que esta tecnologia pode ser usada sob qualquer protocolo de rede. Considerando a Internet e a importncia de seus protocolos nas varias WANs publicas e privadas, tem-se aplicado o estudo e implementao do MPLS basicamente para redes IP. A mpls utiliza rotulos(label) assim o trafego na rede ser mais veloz pois o router de borda colocar um label no pacote, o prximo router no ter que olhar em todo pacote pois com um nico rotulo ele j sabe onde enviar analisando o label obtendo um melhor desempenho no encaminhamento dos pacotes.
2.9 OpenVpn
O OpenVPN, como o prprio nome diz, um software especicamente desenvolvido para VPNs. A arquitetura bsica do OpenVPN tem as seguintes caractersticas: Protocolo de rede especco para VPNs; Uso de uma interface genrica (TUN/TAP), para criar a interface de rede virtual, o que permite que o OpenVPN resida inteiramente fora do kernel; Uso de certicados X.509 para autenticao e criptograa; Nenhuma proviso para VPNs "automticas"ou transparentes no estilo IPSEC. Toda VPN tem de ser explicitamente congurada. Por ser muito menos pretensioso que o IPSEC, o OpenVPN resolve intrinsecamente todos os problemas encontrados no IPSEC para uso com VPNs: 1) O OpenVPN depende de certicados X.509, ento problema do administrador se ele vai usar a PKI ocial (ou seja, adquirindo certicados "ociais"para cada n da
32
VPN), ou criar uma Autoridade Certicadora ctcia, o que permite gerar os certicados de graa (mais usual no mundo OpenVPN) 2) Como cada VPN pr-congurada, e os certicados so parte integrante dessa congurao, no h necessidade de fazer download de certicados sob demanda, ento o OpenVPN no precisa de PKI on-line. 3) O OpenVPN aceita congurar VPNs tanto com IP xo como IP dinmico (at o lado "servidor"pode ter IP dinmico) 4) Por ser restrito a VPNs, o OpenVPN simples de congurar e usar. 5) Os pacotes VPN so transportados sobre TCP ou UDP, ento o cliente consegue "furar"NATs sem maiores problemas, tal qual IPSEC sobre UDP. 6) O OpenVPN autentica apenas VPNs, nem sequer computadores (nem tem a pretenso de faz-lo) 7) Os pacotes de rede que vo passar pela VPN so selecionados unicamente por conta do seu IP de destino. E eles so apenas reencapsulados sem qualquer manipulao. Assim, o OpenVPN no precisa interferir no processamento de terceira camanda, e portanto no precisa ter qualquer mdulo implementado dentro do kernel. 8) Cada VPN cria uma interface virtual de rede, baseada na interface genrica TUN/TAP. Ou seja, cada VPN aparece na tabela de roteamento como se fosse uma placa adicional de rede. Isto facilita muito a depurao de problemas de rede. Naturalmente, o OpenVPN no seria til no cenrio originalmente concebido para o IPSEC modo transporte. Se um dia a Internet chegar ao ponto de ser completamente baseaada em IPv6 e com IPs xos, o IPSEC volta a ser mais interessante. (DO, 2013)
33
Podemos simplicar a denio de Wireless como uma transferncia de informao entre dois ou mais pontos que no esto conectados sicamente, a distncia pode ser curta, como acontece com o controle remoto da televiso, ou mesmo pode atingir milhes de quilmetros, no caso de transmisso de informaes via satlite. Cada vez mais as pessoas esto aderindo as redes sem o por se tratar de uma tecnologia de fcil instalao e utilizao. Uma wireless composta por um grupo de sistemas conectados por tecnologia de rdio atravs do ar. Deste modo, na categoria de comunicao, possvel encontrar tecnologias como o Wi-, InfraRed, Bluetooth e Wimax. (POZZEBON, 2008) 2.10.1.1 Wimax O padro IEEE 802.16, completo em outubro de 2001 e publicado em 8 de abril de 2002, especica uma interface sem o para redes metropolitanas (WMAN). Foi atribudo a este padro, o nome WiMAX (Worldwide Interoperability for Microwave Access/Interoperabilidade Mundial para Acesso de Micro-ondas). O padro WiMAX tem como objetivo estabelecer a parte nal da infra-estrutura de conexo de banda larga (last mile)oferecendo conectividade para uso domstico, empresarial e em hotspots.(REDAO, 2008) Um sistema WiMAX consiste em duas partes: Uma torre WiMAX, parecida em seu conceito com a torre de telefonia celular - uma nica torre WiMAX pode fornecer cobertura para uma rea muito grande - aproximadamente 8.000 km2. Um receptor WiMAX o receptor e a antena poderiam ser uma pequena caixa ou um carto PCMCIA, ou poderiam ser integrados ao laptop como o WiFi o hoje. Uma torre WiMAX pode se conectar diretamente Internet usando uma conexo com o de alta largura de banda (como uma linha T3, por exemplo). Pode tambm se conectar a outra torre WiMAX usando um link de microondas em linha de viso. Esta conexo a uma segunda torre (geralmente chamada de backhaul), junto com a capacidade de uma nica torre de cobrir at 8 mil Km2, o que permite ao WiMAX fornecer cobertura a reas rurais remotas. O WiMAX pode fornecer dois tipos de servio sem o: O servio sem linha de viso (non-line-of-sight), parecido com o WiFi) no qual uma pequena antena no seu computador se conecta torre. Neste caso, o WiMAX usa um baixo alcance de freqncia - 2GHz a 11GHz (semelhante ao WiFi). As transmisses de baixo comprimento de onda no so interrompidas com fsicas - elas so capazes de difratar mais facilmente, ou se curvarem aos obstculos. O servio de linha de viso no qual uma antena xa aponta para a torre WiMAX a partir de um telhado ou de um poste. A conexo de linha de viso mais forte e mais estvel, e consegue enviar muitos dados com poucos erros. As transmisses de linha de viso usam freqncias mais altas,com alcance atingindo at 66GHz.Em altas freqncias, h menos interferncia e muito mais largura de banda. O acesso parecido com o WiFi limitado a um raio de 6,5 a 9,7km. Atravs das antenas de linha de viso, a estao transmissora de WiMAX
34
enviaria dados a computadores habilitados para o WiMAX ou para roteadores congurados dentro do raio de 48,2km em volta do transmissor (9,300km quadrados de cobertura) (GUGELMIN, 2011) Na maioria dos mercados, o espectro que no precisa de licena que poderia ser utilizado para WIMAX 2.4GHze5.8GHz. Devido a que o espectro no requer licena,a barreira para ingressar baixa, motivo pelo qual torna mais fcil que um possvel operador comece a oferecer servios utilizando o espectro. Devido a que o espectro que no requer licena pode ser utilizado por vrios sistemas diferentes de RF (Rdio-freqncia), h altas probabilidades de que se produzam interferncias. Os sistemas de RF que no requerem licena podem incluir desde as redes rivais de WIMAX ou os pontos de acesso de Wi-Fi. Os telefones sem os e Bluetooth (solo 2.4GHz) tambm usam este espectro. Tanto WIMAX quanto Wi-Fi suportam a DFS (Dynamic Frequency Selection Seleo Dinmica de Freqncia) que permite que seja utilizado um novo canal se for necessrio (por exemplo, quando so detectadas interferncias); Os operadores que utilizam o espectro que no requer licena tm que outro operador facilmente poderia ingressar no mercado utilizando o mesmo espectro. Outra desvantagem do espectro que no requer licena que os entes reguladores do governo em geral limitam a quantidade de potncia que pode ser transmitida. Esta limitao especialmente importante em 5.8GHz, onde a maior potncia poderia compensar a perda de propagao relacionada com o espectro em freqncias mais altas. Nas faixas de freqncia mais altas existem limitaes quanto a interferncias pela chuva, causando diminuio de taxas de transferncias e dos raios de cobertura.(ALVES, 2008) 2.10.1.2 3G 3G a terceira gerao de padres e tecnologias de telefonia mvel, substituindo o 2G. baseado na famlia de normas da Unio Internacional de Telecomunicaes (UIT) permitindo s operadoras oferecerem a seus usurios uma ampla gama dos mais avanados servios, j que possuem uma capacidade de rede maior por causa de uma melhora na ecncia espectral. Entre os servios, h a telefonia por voz e a transmisso de dados a longas distncias, tudo em um ambiente mvel. Normalmente, so fornecidos servios com taxas de 5 a 10 Megabits por segundo. Ao contrrio das redes denidas pelo padro IEEE 802.11, as redes 3G permitem telefonia mvel de longo alcance e evoluram para incorporar redes de acesso Internet em alta velocidade e Vdeo-telefonia. As redes IEEE 802.11 (mais conhecidas como Wi-Fi ou WLAN) so de curto alcance e ampla largura de banda e foram originalmente desenvolvidas para redes de dados, alm de no possurem muita preocupao quanto ao consumo de energia, aspecto fundamental para aparelhos que possuem pouca carga de bateria. Na sia, na Europa, no Canad e nos Estados Unidos, as empresas de comunicaes utilizam a tecnologia W-CDMA, com cerca de 100 terminais designados para operar as redes 3G. A implantao das redes 3G foi tardia em alguns pases devido a enormes custos adicionais para licenciamento. Em muitos pases,
35
as redes 3G no usam as mesmas freqncias de rdio que as 2G, fazendo com que as operadoras tenham que construir redes completamente novas e licenciar novas freqncias; uma exceo so os Estados Unidos em que as empresas operam servios 3G na mesma freqncia que outros servios.(LARGA, 2010)
2.10.2 Cat5e
O Cat5e suporta at 1gbps de transmisso de dados, cada um de seus pares tranados podem trabalhar no mximo em transmisso e recepo de at 250mbps, caso trabalhem na condio de Tx/Rx e seus receptores suportem a mesma condio. O Cat5e trabalha geralmente na taxa de 100mbps. Uma de suas melhores caractersticas a maleabilidade que este cabo possui, facilitando a instalao, um bom cabo em relao custo x benefcio devido ao seu custo ser relativamente baixo. (MLLER, 2010)
2.10.3 Cat6
Esta categoria de cabos foi originalmente desenvolvida para ser usada no padro Gigabit Ethernet, mas com o desenvolvimento do padro para cabos categoria 5 sua adoo acabou sendo retardada, j que, embora os cabos categoria 6 ofeream uma qualidade superior, o alcance continua sendo de apenas 100 metros, de forma que, embora a melhor qualidade dos cabos cat 6 seja sempre desejvel, acaba no existindo muito ganho na prtica. Os cabos categoria 6 utilizam especicaes ainda mais estritas que os de categoria 5e e suportam frequncias de at 250 MHz. O Cat6 trabalha com a taxa de 1gbps onde dois de seus pares trabalham como receptores (Rx) e outros dois pares trabalham com transmissores (Tx), cada par tranado do Cat6 tem capacidade de taxa de 500mbps, ou seja, 500mbps x 2 para recepo e 500mbps x 2 para transmisso. O Cat6 requer eletrnica simples para cada receptor em cada extremidade, ele possui um condute interno o que tira um pouco sua maleabilidade, um cabo com maior dimetro assim dicultando instalaes quando muitos cabos so utilizados. (MLLER, 2010)
2.10.4 Cat6a
A categoria 6 aprimorada (6e) uma especicao aumentada projetada para duplicar a frequncia de transmisso para 500 MHz. Envolvendo a categoria 6e em uma folha de blindagem aterrada, velocidades de Ethernet de 10 Gigabit podem ser alcanadas sem a necessidade de sacricar o comprimento mximo do cabo que de 100 metros. (XAVIER, 2010)
36
37
ncleo composto por um material homogneo de ndice de refrao constante e sempre superior ao da casca. Sendo assim possuem caractersticas inferiores aos outros tipos de bras, pois a banda passante muito estreita, restringindo a capacidade de transmisso da bra devido s perdas sofridas pelo sinal transmitido e reduzindo suas aplicaes com relao distncia e capacidade de transmisso. Atualmente so pouco usadas em telecomunicaes e aplicaes de comunicao de dados. ndice Gradual So bras mais utilizadas que as de ndice degrau, sendo sua fabricao bem mais complexa. As bras de ndice Degrau possuem um ncleo composto por vidros especiais com diferentes valores de refrao, cujo objetivo diminuir os tempos de propagao da luz no ncleo da bra, j que os raios de luz podem percorrer diferentes caminhos, com velocidades diferentes e chegar ao mesmo tempo outra extremidade da bra. Os resultados so a reduo da disperso, aumento da banda passante e como consequncia um aumento da capacidade de transmisso da bra. (MADEIRA, 2013)
38
2.11.1 DMZ
DMZ, em segurana da informao, a sigla para de DeMilitarized Zone ou "zona desmilitarizada", em portugus. Tambm conhecida como Rede de Permetro, a DMZ uma pequena rede situada entre uma rede convel e uma no convel, geralmente entre a rede local e a Internet. A funo de uma DMZ manter todos os servios que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrnico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes servios por um invasor. Para atingir este objetivo os computadores presentes em uma DMZ no devem conter nenhuma forma de acesso rede local. A congurao realizada atravs do uso de equipamentos de Firewall, que vo realizar o controle de acesso entre a rede local, a internet e a DMZ (ou, em um modelo genrico, entre as duas redes a serem separadas e a DMZ). Os equipamentos na DMZ podem estar em um switch dedicado ou compartilhar um switch da rede, porm neste ltimo caso devem ser conguradas Redes Virtuais distintas dentro do equipamento, tambm chamadas de VLANs (Ou seja, redes diferentes que no se "enxergam"dentro de uma mesma rede - LAN).
2.11.2 MZ
Est a zona onde so segmentadas as aplicaes mais crticas, portanto devem ser resguardadas com maior nvel de segurana. Bancos de Dados, Applications Servers sem conexo com a Internet devem ser implantados na zona militarizada.
2.11.3 SAN
Os storage networks, ou redes de armazenamento, diferenciam-se de outras formas de armazenamento em rede pelo mtodo de acesso em baixo nvel que eles apresentam. O trfego de dados nessas redes bastante similar aqueles usados internamente em discos, como ATA e SCSI. Em uma rede de armazenamento, o servidor envia pedidos por blocos especcos ou segmentos de dados de discos especcos. Esse mtodo conhecido como block storage (armazenamento de blocos). O dispositivo age similarmente a um drive interno, acessando o bloco especco e enviando a resposta atravs da rede. Em alguns mtodos de acessos de arquivos mais tradicionais, como SMB/CIFS ou NFS, o servidor envia pedidos para um arquivo abstrato como o componente de um grande sistema de arquivos, gerenciados por um computador intermedirio. O intermedirio, ento, determina o local fsico do tal arquivo abstrato, obtm acesso a um dos drives
39
2.11.4 NAS
Um NAS (Network Attached Storage), roda um sistema operacional completo e funciona como um servidor de arquivos, ligado diretamente na rede. Existem muitas opes de NAS, que vo desde sistemas baratos, que custam pouco mais que uma gaveta USB, at equipamentos caros, que utilizam um grande nmero de HDs. Os modelos mais baratos comportam apenas um ou dois HDs e oferecem apenas funes bsicas. Alguns modelos incluem tambm um transmissor wireless ou disponibilizam uma porta USB, o que permite que sejam ligados ao PC diretamente e sejam usados como um DAS. Modelos intermedirios suportam em sua maioria 4 drives e modelos high-end ou racks para uso em datacenters suportam muitas vezes 8 drives ou mais. (MORIMOTO, 2007)
40
3 Projeto de Redes
3.1 Projeto de Redes
Um projeto de redes de computadores um estudo detalhado, destinado a implantao de uma rede de computadores que possa satisfazer as necessidades de algum (pessoa fsica ou jurdica), sendo o compartilhamento de informaes e recursos o objetivo mais comum. Dependendo da natureza do projeto, ele dever atender no s as expectativas do presente, mas tambm estar adequado para as mudanas no futuro, isto , ser modular de forma a permitir o crescimento da rede, conforme o surgimento de novas necessidades, sem prejudicar o atual estado de sua funcionalidade. So vrios os detalhes envolvidos em um projeto de redes de computadores. Para se ter uma ideia, podemos destacar alguns exemplos: Coleta de informaes: Dever ser feita de acordo com os requisitos do cliente; Projeto lgico da rede: o planejamento de todos os detalhes da rede que ser implantada e utilizada. Exemplo: topologia da rede (estrutura), esquema de endereamento, protocolos (regras padronizadas), softwares a serem utilizados, segurana e gerncia; Projeto fsico da rede: a seleo de tecnologias e dispositivos a serem usados. Exemplo: placas de rede, cabos, hubs, switches, roteadores, computadores, impressoras, etc.; Testes e anlise do projeto (considerando imprevistos); Realizao de ajustes e melhorias no projeto; Custo do projeto (de modo a atender o melhor custo-benefcio); Documentao do projeto; Treinamento de pessoal. OBS: O projeto deve seguir o Sistema de Cabeamento Estruturado que a padronizao do cabeamento, envolvendo normas tcnicas, de modo a facilitar o uso e manuteno da rede com seus meios de transmisso integrados (voz, dados, multimdia, etc). (MORIMOTO, 2008)
41
42
monomodo. A escolha de um desses tipos dependera da aplicao da bra. As bras multmodo so mais utilizadas em aplicaes de rede locais (LAN), enquanto as monomodo so mais utilizadas para aplicaes de rede de longa distncia (WAN). So mais caras, mas tambm mais ecientes que as multmodo. Um cuidado especial deve ser tomado relativamente certicao do cabeamento. As normas denem uma srie de parmetros para o cabeamento, tais como atenuao, comprimento real, mapeamento dos os, paradiafonia, nvel de rudo, que necessariamente devem estar dentro de uma faixa de valores pr-denidos. A vericao destes valores questo fundamental em um cabeamento, e deve ser feito com equipamentos especiais. a garantia da instalao. Atualmente, cerca de 70 por cento dos problemas que acontecem em uma rede de computao devem-se a problemas do cabeamento. Os softwares costumam passar por uma evoluo a cada 2 ou 3 anos, e de acordo com pesquisas, o hardware do seu PC geralmente tem uma vida til de 5 anos. No entanto, voc ter que viver 15 anos ou mais com seu cabeamento de rede. (MORIMOTO, 2011)
3.2.1 Funcionalidade
Funcionalidade diz respeito facilidade com a qual usurios acessam os servios via rede, enquanto a gerenciabilidade melhora a vida do gerente de rede, a usabilidade foca o usurio nal. Melhorar a usabilidade signica avaliar: Os impactos da poltica de segurana na facilidade de uso; A facilidade com a qual a rede congurada (usando DHCP, por exemplo); A facilidade com a qual a rede corporativa usada remotamente (usando VPN, por exemplo); A facilidade com a qual um usurio mvel pode se integrar rede em vrios pontos (sede, liais, ...). (SAUV, 2013)
43
exigentes so os limites das especicaes, pois maior ser o volume de informaes que ser transportado por estes sistemas. Por esse motivo existem valores limites para cada uma dessas categorias, que devem ser atendidos quando os produtos que compem uma determinada soluo so testados. Se os valores so atendidos, o produto classicado conforme aquela categoria correspondente. O Throughput pode ser denido como a capacidade total de um canal em processar e transmitir dados durante um determinado perodo de tempo. O termo "canal" normalmente encontrado nas normas tcnicas representando o meio de transmisso m-a-m entre dois pontos no qual existem conectados equipamentos de aplicaes especcas. Na prtica, um canal afetado por inmeros fatores que diminuem sua capacidade de processar e transmitir. Para os sistemas de comunicao, e em particular o cabeamento de redes locais, esses meios podem ser projetados de maneira a compensar tais fatores. Um throughput adequado essencial para transmitir grandes quantidades de dados com poucos erros. Por exemplo, a transmisso de streaming de vdeo sobre redes locais uma aplicao em tempo real muito crtica quando se fala de taxa de erros. A BER Bit Error Rate a razo do nmero de bits incorretos recebidos pelo nmero de bits transmitidos. A medida clssica do BER feita transmitindo um bit padro conhecido e comparando este com um bit padro recebido, ou ento, comparandose o bit transmitido com o bit recebido, numa medio direta. Em qualquer aplicao, altas taxas de BER representam performance insatisfatria. A necessidade de minimizar os erros para maximizar o throughput crtica em aplicaes de alta taxa de transmisso e, especicamente em transmisso de dados, altas taxas de BER simbolizam redes mais lentas em funo das retransmisses de sinal. Para garantir a performance de uma rede local, as normas denem os parmetros de desempenho que os sistemas de cabeamento devem atender para assegurar o bom funcionamento das aplicaes como a resistncia hmica do cabeamento, impedncia de conectores, os comprimentos mximos para os lances de cabo, etc. Entretanto, alguns fatores afetam negativamente o throughput da rede e, consequentemente a BER. Entre esses fatores destacam-se: Atenuao: representa a perda de potncia que o sinal sofre ao longo do percurso entre o transmissor e o receptor (expressa em dB). Na recepo. A atenuao aumenta diretamente com o comprimento do cabo. Ela medida em dB, e se tratando de perda de sinal, expressa em valor negativo. Um decrscimo de potncia de 3 dB entre a entrada e a sada signica que a sada possui a metade da potncia do sinal de entrada; Crosstalk ou Diafonia: A palavra "crosstalk"originou-se da telefonia, sendo este fenmeno compreendido atravs da comparao com o efeito da diafonia, onde determinada pessoa falando ao telefone ouve conversaes de terceiros (tambm conhecido como
44
"linha cruzada"). a medida da interferncia eltrica gerada em um par pelo sinal que est trafegando num par adjacente dentro do mesmo cabo (expressa em dB); Delay Skew ou Atraso de Propagao: a medida de quanto tempo o sinal leva para viajar de uma extremidade a outra do link (entre o transmissor e o receptor, expresso em ns); Perda de Retorno ou RL (Return Loss): a medida da taxa de potncia reetida no sistema (expressa em dB), que simplesmente pode ser denida como a quantidade de sinal que retorna devido ao descasamento de impedncia da carga acoplada no nal do cabo. Existem vrias possibilidades de falhas devido Perda por Retorno, como a variao na impedncia do comprimento do cabo numa conexo cruzada, prticas de instalao incorretas, cabos e conectores usados indevidamente, entre outros. Normalmente, a Perda de Retorno do canal apontada como a principal responsvel pelo aumento nos valores da taxa de BER. Embora a perda de retorno seja um dos fatores que afeta a performance do canal, o crosstalk torna-se muito mais crtico, pois, como o efeito da interferncia de "linha cruzada"ocorre com maior intensidade nas terminaes dos cabos (onde feito o ponto de conexo), pode prejudicar o desempenho de todos os recursos da rede, com uma alta taxa de BER. (PINHEIRO, 2004)
45
rente. O Gateway realiza as converses de protocolos para que as redes possam se entender. Em uma rede local (LAN) ele pode ser usado, por exemplo, para conectar os computadores da rede a um mainframe ou Internet. Roteador: um dispositivo utilizado para gerenciar a transferncia de dados entre duas redes de computadores. o roteador que escolhe o melhor caminho para que a informao chegue ao destino. Geralmente so usados para ligar uma LAN (Local Area Network rede local) a uma WAN (Wide Area Network rede de longa distncia). Firewall: O Firewall um complexo de hardware e software necessrios para ltrar o trfego, ou seja, barrar dados inconvenientes entre duas redes. Ele monitora as milhares de portas usadas na comunicao dos aplicativos e funciona como uma parede (wall). Alguns rewalls simples so o Norton Personal Firewall da Symantec e o ZoneAlarm Pro da Zone Labs. Hub x Switch: o Hub recomendado para redes cliente-servidor e em uma congurao estrela, como concentrador, ele funciona desta maneira: O Hub transmite as informaes que chegam para todas as estaes conectadas a ele. As estaes podem transmitir informaes para o Hub, mas s deve acontecer uma transmisso de cada vez. O Switch tem melhor performance que o Hub, porm mais caro. recomendado para redes com grande trfego ponto-a-ponto (peer-to-peer) pois o Switch transmite cada pacote de dados diretamente para o destinatrio, uma estao especca; (BABOO, 2013)
3.2.5 Disponibilidade
Disponibilidade refere-se ao percentual de tempo que a rede est disponvel. frequentemente um objetivo crucial do cliente. Exemplo: Se uma rede deve car 24 horas no ar e para 3 horas numa semana de 168 horas, a disponibilidade de 98,21 por cento, isso um valor normalmente considerado muito ruim Disponibilidade diferente de conabilidade, conabilidade inclui acurcia, taxas de erro, estabilidade, etc. A recuperabilidade (habilidade de recuperar rapidamente aps uma falha) um dos aspectos da disponibilidade Outro aspecto da disponibilidade a recuperao aps um desastre que envolve: Onde ter cpias de backup dos dados. Como chavear processos para acessar o backup.
46
Especicao de 95 por cento s serve para testes ou prottipos. A maioria dos sistemas opera por volta de 99,95. 5 minutos de downtime por semana permitem alguns transientes ou uma parada um pouco maior por ms, 99,98 por cento so desejveis para muitos sistemas de misso crtica, 99,99 por cento o limite da tecnologia atualmente. At 99,9 por cento, a disponibilidade baixa, acima disso, considerada alta (requer cuidados especiais) Na gura abaixo mostramos a os nveis de downtime.
O custo do tempo parado medido por quanto dinheiro a empresa perde por hora de downtime. Para aplicaes com alto custo de downtime, pode-se mais til especicar a disponibilidade com dois nmeros em vez de um s: Mean Time Between Failures (MTBF) Tambm chamado de Mean Time Between Service Outage (MTBSO), j que uma rede um servio e no um componente Mean Time To Repair (MTTR) A disponibilidade calculada pela frmula: MTBF/(MTBF+MTTR) Exemplo: MTBF de 4000 horas e MTTR de 1 hora (um valor tpico) => 99,98 por cento Um MTTR muito baixo indica que providncias especiais devero ser tomadas Exemplos: peas de reposio, tcnico residente, etc. (SAUV, 2013)
47
3.2.6 Desempenho
O desempenho da rede relaciona-se diretamente velocidade da rede. J o desempenho das aplicaes relaciona-se velocidade das aplicaes, como visto pelo usurio nal, e depende, tambm, da rede, do servidor, do cliente, e da aplicao. O desempenho da rede uma preocupao central, especialmente porque a rede geralmente responsabilizada pela maioria dos problemas de desempenho. Essencial a uma gerncia de desempenho ecaz a determinao de quando os atrasos ocorrem e onde estes se encontram realmente, de modo que as aes corretivas possam ser feitas. Por exemplo, uma rede que escoe o trfego rapidamente pode ser vista como "lenta "se o servidor for subdimensionado ou estiver suportando demasiados usurios. Por outro lado, um servidor namente ajustado pode no apresentar nenhum impacto positivo na performance caso haja atrasos excessivos na rede. A medio de desempenho torna-se mais difcil ao passo que as aplicaes se tornam cada vez mais complexas. Os principais parmetros utilizados para a avaliao do desempenho de redes, conceituando-os de maneira criteriosa a m de que se possa diagnosticar eventuais decincias de produtividade mais precisamente: LARGURA DE FAIXA: Uma medida da capacidade de um link de comunicaes. Por exemplo, um link T1 (Tcnica chamada Multiplexao por Diviso do Tempo (TDM)) tem uma largura de faixa de 1,544 Mbps. usada tambm para medir a capacidade atribuda a um servio atravs de um link; por exemplo, uma entrada de vdeo atravs de um link T1 pode ter uma largura de faixa atribuda de 384 Kbps. LINHA DE BASE (BASE LINE): Uma medida do comportamento "normal". Muitas redes experimentam "picos de trfego "em vrios momentos relacionados a operaes de negcios fundamentais - acesso de correio eletrnico e outros recursos. Uma linha de base til para distinguir um dia "ruim ", ou uma anomalia aleatria, dos dias "normais". CONGESTIONAMENTO: O congestionamento ocorre em funo de cargas mais elevadas, indicando rede ou a um dispositivo que este est alcanando, ou excedeu, sua capacidade. O congestionamento conduz primeiramente a um rpido crescimento da latncia e, ento, perda dos dados se a situao no for corrigida. Os atrasos enleirando-se com os pacotes que esperam para ir so uma indicao de problemas possveis de latncia. LATNCIA: Uma medida do atraso de uma extremidade de uma rede, de um link, ou de um dispositivo a outra. Uma latncia mais elevada indica atrasos mais longos. A latncia nunca pode ser eliminada inteiramente, e usada como uma medida
48
do desempenho da rede. Como a utilizao, a latncia pode variar em funo da carga imposta rede. Um portador pode mudar sua latncia da rede alterando seus circuitos virtuais de modo que estes usem links mais lentos ou incorporem mais "hops". Cada vez que uma clula ou pacote retransmitido, ele submetido a um "hop"(salto). O rastreamento da latncia de uma rede essencial. DISPARO (THRESHOLD): Um valor que ajustado para advertir o sistema de gerncia quando a utilizao, a latncia, ou o congestionamento excederem limites crticos. O disparo ajustado nos agentes de gerncia que medem o comportamento real das redes e dos links. Por exemplo, um administrador pode ajustar um disparo de 50 por cento da utilizao em um link da rede, de modo que haja tempo de responder aos volumes de trfego crescentes. UTILIZAO: Uma medida de quanto da capacidade est sendo usado realmente em algum ponto. Se um link T1 comporta 924 Kbps, este tem uma utilizao de 60 por cento nesse intervalo particular do tempo. A utilizao varia de acordo com as cargas reais do trfego e com o intervalo de tempo do qual calculada a mdia. tambm uma medida da carga do processador central nos servidores e nos clientes. (AVALLE, 2011)
3.2.7 Escalabilidade
Escalabilidade refere-se a quanto crescimento um projeto de rede deve suportar. um objetivo primrio de quase todo projeto de rede, adicionam-se usurios, aplicaes, sites e conexes de rede a um ritmo veloz por isso deve haver um planejando para a expanso. necessrio descobrir qual o crescimento planejado para a rede no prximo ano e nos prximos 2 anos. Conhecer o negcio e suas particularidades para fazer uma clculo de expanso o ponto de partida. Dentro do escopo de escalabilidade devemos pensar em conectar redes departamentais na rede corporativa, resolver gargalos surgindo como resultado do maior trfego entre redes, prover servidores centralizados numa server farm (Um grupo de computadores servidores, normalmente mantidos por uma empresa ou universidade para executar tarefas que vo alm da capacidade de uma s mquina corrente), adicionar novos sites para dar suporte a liais e a funcionrios que trabalham em casa, adicionar novos sites para dar suporte a parceiros, fornecedores, grandes clientes. E algumas restries da escalabilidade tambm devem ser consideradas. Ao pensar sobre escalabilidade, certas tecnologias de rede no so inerentemente escalveis. Exemplo:
49
redes com endereamento plano (redes de camada 2 envolvendo hubs, pontes e switches simples), redes que suportam servios baseados em broadcast. (UFCG, 2013)
50
etc. Nesse local, costuma-se instalar o principal painel de manobras ou main crossconnect, composto de patch panels, blocos 110 ou distribuidores ticos. Entrada do Edifcio (Entrance Facility EF): o ponto onde realizado a interligao entre o cabeamento externo e o intra-edifcio dos servios disponibilizados (entrada da LP e PABX por exemplo). (AVALLE, 2013)
52
Cenrio Proposto: Matriz situada em Curitiba, Paran. Filial sul: Situada em Porto alegre,Rio Grande do Sul. Filial norte: Situada em Palmas, Tocantins. Filial nordeste: Situada em Salvador, Bahia. Fillial sudeste: Situada em So Paulo, capital. 20 unidades de negcio com 2 laptops em cada uma. Estaro situadas em: 3 unidades em Maring-PR. 3 unidades em Porto Alegre-RS. 3 unidades em So Paulo-SP. 3 unidades em Salvador-BA. 3 unidades em Palmas-TO. 3 unidades em Recife-PE. 2 unidades em Rio janeiro-RJ.
53
4 Escopo do projeto
Normas e Padres: O projeto tem como base as normas e padres abaixo especicadas: NBR 14565; Famlia ISO 27000; TIA 942. Esse projeto tem por nalidade a implantao do datacenter e o cabeamento estruturado da matriz da empresa Lumitex, tambm a integrao das liais com a matriz e escritrio regionais, a denio da poltica de segurana e denio do gerenciamento de ativos e aplicaes. Objetivos de negcio da Empresa Lumitex so em ordem de prioridade; ampliar a capacidade de atendimento nos setores crticos de negcio prevendo grande expanso de clientes para o prximo ano. Cumprir com o compromisso de sigilo e segurana dos dados manipulados pela Lumitex, honrando o compromisso com os clientes, usurios e empresas parceiras e consolidar-se como uma das maiores empresas no setor. Para sucesso do projeto necessrio que a rede mantenha os requisitos de negcio implcitos nos objetivos tcnicos. Tratando se de uma empresa de grande porte que atua a nvel nacional, dependendo de muitas aplicaes para manter seu negcio principal, o risco decorrente da perda temporria dos servios afetam diretamente as atividades geradoras de renda para a organizao, sendo os setores crticos o Financeiro e o Call Center, que so tambm geradores da maior demanda de banda da rede. No faz parte do escopo do projeto a cotao das rea de trabalho e telefonia. Na matriz, estaro localizados todos os aplicativos e servios necessrios ao negcio. A Integrao da rede deve garantir a continuidade dos servios. No do escopo do projeto atualizar as LANS locais das liais, nem atender aos usurios que acessem os sistemas fora da rede. A integrao com as liais deve atender os requisitos de cada localidade, mantendo os padres estabelecidos para o trafego dos dados neste projetos. Am de manter os padres das normas internacionais em todo o projeto, a escolha do local para implantao da matriz cou denida por um terreno na cidade de Curitiba, de 2344.00 m2, que possibilita a diviso bem planejada de todas as reas que fazem parte do complexo de produo e administrao da matriz e tambm da unidade do datacenter.
54
O datacenter deve ser projetado para suprir a possibilidade de atendimento a sites externos que venham se integrar a rede nos prximos 3 anos. A possibilidade de associar alguns setores a sistemas integradores com parceiros e clientes uma prerrogativa, dado o aspectos que o setor apresenta e seguindo as tendncias da TI como geradora de dados, catalizadora de indicadores e ferramenta de apoio a tomada de deciso. No faz parte do escopo deste projeto a elaborao das SLAs para cumprir as necessidades de contratos com empresas prestadoras de servio. A soluo de integrao de voz ser estudada para acompanhar as tecnologias de dados aplicadas no projeto.
4.1 Funcionalidade
Tratando-se de uma empresa de grande porte, que depende de muitas aplicaes para manter seu negcio principal, o risco decorrente da perda temporria dos servios afetam diretamente as atividades geradoras de renda para a organizao, sendo os setores crticos o Financeiro, o Call Center, que so tambm geradores da maior demanda de banda da rede. Para atender as necessidades de disponibilidade e segurana do dados da empresa, que tem como critrios suporte ao sistema ERP, banco de dados e atividade de Call center, e CRM (Customer Relationship Management) h a necessidade de que os equipamentos mantenham - se ligados nas horas de expediente tradicionais, permitindo o desligamento de sistema durante o perodo em que no h atividades da produo. As aplicaes e servios devem estar acessveis nos perodos de expediente, e em caso de parada deve ser restaurada em tempo de no afetar as atividades crticas. As aplicaes que devem ser atendidas nesse escopo, assim como os servios que lhes do suporte tambm devem ser homologadas pelos representantes deste escopo para validar os requisitos mnimos exigidos da rede e tambm validar as conguraes necessrias essas aplicaes no ambiente a ser implantado. Os servios de rede devem ser congurados de maneira a atender a poltica de segurana e tambm cumprir as exigncias de acessibilidade previstas. O projeto encarregado de estabelecer servio de voz de qualidade.
55
Os dispositivos de comutao e switching devem ter os requisitos para atender o cabeamento, serem congurados conforme a poltica de segurana e manter as caractersticas de throughput estipuladas. O objetivo do projeto a construo de uma rede eciente e expansvel, j que para os gestores a possibilidade de um aumento na carga de dados pode se dar devido os polticas programadas do negcio para os prximos anos. Todos os sistemas e dispositivos devem antever o crescimento j previsto. As caractersticas iniciais de desempenho devem ser mantidas, aumentando em proporo com o crescimento previsto para resguardar os parmetros de segurana e disponibilidade, funcionalidade j estipulados. O link de internet deve ser capaz de trafegar o uxo de sada dos departamentos, e ainda, sada e entrada do uxo do mdulo API do sistema ERP mantendo o desempenho quando esses uxos estiverem ocorrendo simultaneamente.
56
4.5 Disponibilidade
Dentro do Plano de continuidade de negcios e recuperao de desastres sero especicados os procedimentos para manuteno e recuperao, antecipando a TI aos possveis desastres. Como a caracterstica das atividades da empresa Lumitex implica em ter uma rede estvel, este aspecto deve ser extremamente preparado para garantir a o mnimo de impacto nos negcios. A manuteno da antiga estrutura da empresa Lumitex como espelho do site principal um aspecto que garante disponibilidade, por assim ser feita a redundncia dos principais servios.
4.6 Desempenho
O trfego da rede da Empresa Lumitex envolve grande carga de dados transitando entre as liais, matriz e clientes, para suprir todo uxo os requisitos de desempenho so altos. Tanto o link que far as integrao como as links internos na rede da matriz devem ser caracterizados para suprir com sobra as necessidades de trfego.
57
Para cumprir os requisitos de cabeamento estruturado, todos os cabos UTPs e bras pticas precisam estar dentro das categorias vlidas ao trfego calculado em cada segmento do cabeamento estruturado. A disposio fsica das instalaes da empresa Lumitex foram planejadas de maneira a cumprir com as normas vigentes para instalao de um datacenter. A sala de entrada para as operadoras est disposta a frente para fcil acesso. O departamento de TI car entre a sala de entrada e o datacenter, para agilizar as manobras necessrias. A salas de telecomunicaes no prdio da matriz recebero as bras vindas direto do datacenter sem haver necessidade de cascatear os switches de pavimentos diferentes, e mesmo nos switches do mesmo pavimento ser usado cabo proprietrio para integrar os equipamentos que trabalharo como um s. Para chegar as reas de trabalho o cabeamento seguir atravs de eletro calhas abaixo do piso elevado, a disposio da sala de telecomunicaes centralizada para facilitar o escoamento dos cabos. As tomadas de telecomunicao estaro dispostas sobre o piso elevado, em par para cada estao de trabalho. Essas tomadas no sero distintas para voz ou dados. O Cabeamento para as cmeras de vigilncia seguir separado, vindo de um switch prprio localizado no datacenter junto aos equipamentos core. As bras para a rede da cmeras de vigilncia seguiro do datacenter por eletro dutos xados sobre o forro, chegando a cada andar para conectarem-se a um switch tambm prprio, e da sero distribudas por eletro dutos chegando a cada ponto que nesse caso ser nico. Para as cmeras da lateral direita do permetro o cabeamento seguir direto do datacenter. Para a guarita de segurana um cabeamento especco vir da sala telecomunicao do pavimento trreo, porm tanto as bras de dados e de cmeras viro por eletro dutos em canaletas sob a calada. Todo os itens do cabeamento estruturado, como a colocao do piso elevado nos pavimentos e datacenter, passagem dos cabos, instalao das eletro calhas e eletro dutos ser de responsabilidade de empresa contratada e a equipe do projeto ca encarregada apenas de repassar as medidas adequadas ao projeto.
58
59
60
6.2 Desao e necessidades para que o projeto seja implantado com sucesso
O desao principal para o projeto o processo de ligao de todas as liais com a matriz para formar uma rede nica, e que seja cumprido os requisitos de desempenho. Outro desao a integrao de 20 escritrios remotos distribudos por todo o pas. Cuja a congurao car sob responsabilidade da equipe de TI da empresa Lumitex. Essa congurao apesar de no ter grande nvel de complexidade, muita trabalhosa e demanda tempo para estar completamente congurada.
61
62
Data center
Bind
Data center
Script
Data center
Zabbix
Resolver nomes para quem d internet acesso a rede por VPN controle de acesso internet Backups da maquinas virtuais Backups das aplicaes e arquivos de congurao Backups fsico e lgico do banco de dados monitoramento de ativos de rede
63
64
65
MZ
10.10.10.0
Servidores
10.10.20.0
66
67
68
69
dias sem afetar as atividades, para isso o treinamento para desastre constante nesta lial. Tabela 5 Listagem Setores Crticos
Prioridade 1 2 Funo-Setor Financeiro Call Center
Falta de Eletricidade
Gerador local.
Backups dirios mandados para a lial SP. Backup mensal mandado para armazenamento externo.
Direcionar site para lial SP. Direcionar atividades para lial SP. Buscar dados na lial SP. Contatar empresa responsvel pelo armazenamento de backup externo.
A B A
Matriz de Riscos A Probabilidade Alta e Impacto alto B Alto Impacto e Baixa probabilidade C Probabilidade Baixa e Impacto Baixo D Baixo Impacto e Alta Probabilidade
70
Funo Crtica setor Call Center: Tabela 7 Funo Critica Setor Call Center
Ameaas Enchente Impacto Datacenter e sala telecomunicaes do primeiro andar poderiam ser afetados. Parada das atividades depois do tempo que o gerador suporta abastecer. Comprometimento das atividades Comprometimento das atividades Comprometimento das atividades. Mitigao no local Empresa localizada em regio alta. Mitigao Possvel a) avaliar integridade fsica. B) substituir equipamentos Matriz de Riscos B
Falta de Eletricidade
Gerador local.
Backups dirios mandados para a lial SP. Backup mensal mandado para armazenamento externo.
Direcionar site para lial SP. Direcionar atividades para lial SP. Buscar dados na lial SP. Contatar empresa responsvel pelo armazenamento de backup externo.
A B A
Matriz de Riscos A Probabilidade Alta e Impacto alto B Alto Impacto e Baixa probabilidade C Probabilidade Baixa e Impacto Baixo D Baixo Impacto e Alta Probabilidade Efeito nos Negcios: Tabela 8 Efeitos de parada nos negcios
Tempo trs semanas 24 horas Efeitos Parada das transaes de arquivos na rede interna, entre clientes e a empresa. Atraso no calendrio de contratos Quebra de contratos com clientes Perda de carteiras de clientes Comprometimento nanceiro da empresa com probabilidade alta de falncia Falncia da empresa
71
24 a 48 horas
Uma semana
Recuperar equipamentos avariados ou adquirir equipamentos teste de performance e desempenho, monitoramento Monitoramento, documentao da falha Normalizao das atividades
72
Havendo a necessidade de ter backup nas horas de intervalo da atividades para cumprimento de horrio de almoo, dever ser analisado o impacto no throughput da rede. Todos os backups sero criptografados. As imagens do sistema CFTV caro armazenadas pelo perodo de 30 dias, aps esse perodo o departamento de TI no tem reponsabilidade de armazenamento das imagens. Procedimentos de restore sero executados em intervalos de 30 60 dias , conforme necessidade. 7.3.2.2 Procedimentos O que ser armazenado e como: O backup da mquinas virtuais sero iniciados pelo aplicativo VEEAM, que faz tanto a replicao de mquinas virtuais como o backup dos arquivos. O software car localizado no servidor de backup de mquinas virtuais e uma cpia ser enviada simultaneamente para lial SP. A replicao do banco de dados car na lial SP, ser feito um backup fsico (RMAN; arquivos fsicos do banco de dados) e um backup lgico (Export; dados e denies) dos dados no banco passivo na lial SP. As aplicaes sero copiadas por scripts nos servidor de Backup de Aplicaes e uma cpia ser enviada a lial SP. Os arquivos de congurao de servios sero copiados na matriz e na lial SP. O arquivos compartilhados sero copiados na matriz e na lial SP. O servidor de cmeras ter uma uma imagem de sistema armazenada em um servidor de backups e as gravaes estaro armazenadas em uma partio no mesmo servidor de cmeras. Tempo de armazenamento e forma de backup: Os backups sero executados na forma de backup diferencial diariamente, backup full semanalmente e um backup full mensalmente com exceo dos backups das maquinas virtuais e do backup do banco de dados que seguem procedimentos distintos. Todos os backups diarios sero armazenados por duas semanas na matriz e na lial SP. Backups semanais sero armazenados durante um ms na matriz e na lial SP. Backups mensais caro armazenados por um ano sendo executados todos os pri-
73
meiros sbados de cada ms e sero buscados na matriz pela empresa IRON MONTAIN, que os armazenar pelo perodo de um ano. Depois do perodo que a empresa IRON MONTAIN ca responsvel pelos backups, eles devero ser destrudos pela mesma.
74
75
76
10.10.20.2
192.168.55.2 Backup mquina virtual 192.168.55.3 maquina virtual 10.10.10.3 10.10.10.2 backup full e maquina virtual Servidor rplica localizado na lial de So Paulo cpia gerada na lial e enviada para matriz imagem de S.O., disco particionado, raid 5
Cftv
Nuuo
cftv
172.16.10.0
77
Dns terno
ex-
DNS Bind
dns-ext
Antivrus Firewall
2 1
antivrus fw
192.168.55.0 arquivos de congura192.168.2.0 es e de mquina vir10.10.90/30 tual 192.168.55.5 arquivos de conguraes e de mquina virtual 10.10.20.3 mquina virtual e arquivos de conguraes mquina virtual
Servidor proxy Servidor Samba Servidor de atualizao Servidor de diretrios Servidor ERP NFS
Squid
proxy
Samba
samba
WSUS
wsus
10.10.20.5
AD
10.10.10.5
Redundncia na lial de So paulo e backup de mquina virtual backup full e mquina virtual arquivos de conguraes e de mquina virtual mquina virtual
1 2
erp nfs
monitoramento 10.10.20.10
Openvpn
10.10.20.9
VEEAM
10.10.10.8
78
Script
10.10.10.10
Script
10.10.10.9
Zabbix
mquina virtual
2 2 2
79
De Sab a Dom e feriados das 00h00 s 23:59 1- Convoca do o departamento de TI 2- Telefona 3- E-mail
80
9 Projeto de Redes
9.1 Proposta de projeto de redes
O projeto envolve a elaborao da documentao, no qual vericado o problema do cliente e apresentamos a soluo vendo suas reais necessidades. Na documentao apresentado o funcionamento de toda a estrutura dos servios, inclusive o suporte que lhe fornecido tanto no perodo de desenvolvimento e testes, quanto no perodo em que o sistema estiver em situao real. A entrega de uma rede eciente dentro dos parmetros necessrios para o tamanho da corporao inspirou a construo de um projeto focado na necessidade do cliente. As metas de negcio e os princpios da companhia foram estudados para garantir uma rede com vocao na transferncia de dados a longas distncia de forma transparente para os clientes da Lan. Para tanto, o trunk da rede foi estudado para atender as liais com alto desempenho, redundncia, segurana e disponibilidade.
81
Pnnn=numro do ponto no patch panel Rnn-SWnn-Pnn onde: Rnn=numro do rack SWnn=numro do switch Pnnn=numro do ponto no switch
9.4 Garantias
A rede da Lumitex dever estar apta para garantir trfego uente de dados e voz entre as liais e matriz, com servios e aplicaes disponveis e seguros. Para isso todas as normas denidas como padro devem ser totalmente seguidas, para manter as caractersticas do escopo do projeto. A infraestrutura proposta tem suporte delimitado e documentado e portanto as aplicaes homologadas devem manter os requisitos estipulados. Na implementao futura de servios e aplicaes a equipe do projeto no ter responsabilidade sobre problemas decorrentes. Os contratos com operadoras e servios terceirizados devem ser garantidos por SLA desenvolvido pelo departamento de TI da empresa Lumitex. Para o caso de desastre o site da lial de So Paulo assumir as atividades de rede para continuidade dos negcios da Lumitex at que se restabelea os servios da matriz.
82
83
84
Concluso
85
86
87
88
Apndices
90
Segundo estudo prvio para escolha do local adequado para sediar a matriz da empresa Lumitex fatores de externos decorrentes da ecossistema local e tambm do ambiente urbano no h probabilidades de impactos capazes de parar as atividades de produo da empresa e tambm do datacenter. A.0.0.2 Servios Haver um reservatrio com capacidade ideal ao consumo por pessoas no local. Em mdia em um prdio usa 200 litros por pessoa, a norma diz que o reservatrio de gua deve ser de 2 dias O total de pessoas nas instalaes pode chegar a 200 pessoas. Consumo por pessoa 150 l. 150 l x 200 pessoas = 30000 litros de gua.(MVEIS, 2011) Tomadas eltricas e sua ao dimensionada corretamente e muito bem instalada e organizada. A.0.0.3 Fator humano Deve haver na regio mo de obra qualicada para todas as funes da empresa. Na escolha do local deve ser analisado se h na regio cursos superiores que atendam a demanda de empresa para o setor de TI e demais reas, para manter os nveis de servios disponibilizados em padres de excelncia. Fatores como a violncia urbana, transito e manifestaes devem ser rigidamente analisados na escolha do local. As instalaes da empresa deve estar em local retirado de regies onde h possiblidades de tumultos, greves,
91
passeatas, como complexos industriais e centros de aglomeraes de todos os ns. Quanto aos servios terceirizados, deve haver na regio oferta de prestao de servios com grande concorrncia para que seja possvel escolha de melhores preos. Todos os equipamentos usados para as instalaes devem ter servios de manuteno de qualidade. A.0.0.4 Permetro O sistema de segurana dever proporcionar de forma automtica a integrao dos diversos dispositivos instalados (intruso, CFTV, acionamento de portas e cancelas, controle de ronda, e alarme de incndio) alm do envio de alarmes sonoros ou visuais Central de Monitoramento e Controle alm de registrar os atos atravs de imagens ou relatrios, de forma a tornar verdadeiramente eciente a deteco e a soluo do evento. Iluminaes Perimetral: A Iluminao Perimetral deve atender a 03 quesitos: Inibir tentativas de invases no local, Proporcionar boa iluminncia, para a captura de imagens pelo Sistema de CFTV, No alterar as cores das imagens capturadas pelas cmeras coloridas deste Sistema. Deve ser iluminado todo o campus com lmpadas de multivapores metlicos de baixa potncia de 70 a 400W. Todas, sem exceo, devem apresentar pequenas dimenses, alta ecincia, tima reproduo de cor, vida til longa e baixa carga trmica. Cada entrada das instalaes deve ter um reetor direcionado para o lado de fora das instalaes com a nalidade de ofuscar a viso das entradas, quadro de energia prprio. Guarita: a guarita deve ter os equipamentos para controle de acesso, onde se tem total controle da entrada de pessoas nas instalaes. A entrada de veculos deve ser controlada partir desse ponto, anteriormente a guarita. Logo aps, deve estar a cancela controlada pela guarita, por onde devem passar todos os veculos, inclusive cargas e descargas. Portaria: na portaria, deve ser feita a devida identicao atravs de documentos com fotos para entrada de pessoas terceiras. Os funcionrios devem ser possuir carto magntico com as informaes e nmero de cdigo de barras nico para acesso atravs de nmero suciente para circulao, catracas integradas ao sistema de intruso. Central de Gs FM 200: Na sala de servidores (Data Center) ser implantado o sistema de deteco e combate a incndio. O gs FM 200. Este sistema tambm ser detectado pela central de monitoramento via sistema de monitoramento Catracas: Sero implantadas trs catracas na portaria principal e duas catracas no prdio da TI. As catracas sero interligadas no sistema de controle de acesso e ser monitorada os seus acessos via sala de monitoramento. Cancelas: Ser instalada uma cancela na portaria principal, esta ter leitor de entra e sada, para que as pessoas autorizadas, somente acessem com os seus veculos via
92
leitor de carto. Sistema de controle de acesso: Ser usado no projeto o conjunto de software e hardware da Lenel/Onguard. O sistema de controle de acesso, ira controlar todo os leitores de carto, biomtrico, catracas e cancelas. O sistema de controle de acesso Lenel/Onguard, tambm receber atravs de entradas auxiliares de suas placas, contatos de alarme de incndio e sensores perimetrais. Isto far com que todos os alarmes sejam centralizados unicamente pelo gerenciamento de acesso da Lenel. Cmera Dome IP: Monitoramento da rea Externa por uma cmeras IP, mveis tipo Dome ou PTZ, com zoom tico mnimo de 26x, com resoluo Full HD 1980x1080 e compresso de vdeo H264, instaladas na superfcie superior da parede frontal e fundos do prdio, conforme planta baixa, e ser interligada atravs de bra ptica. Junto s cmeras devero ser instaladas caixas para instalao ao tempo, para acomodao de equipamentos auxiliares, conversores de mdias, bra ptica e todos os demais acessrios necessrios para o perfeito funcionamento. A gravao e controle das imagens dever ser feita na Central de Monitoramento, que de responsabilidade do vigilante em uma sala dedicado para esta funo. Cmera Fixa IP: Monitoramento da rea interna e externa por cmeras xas, com resoluo de 1280x1020 e tecnologia de compactao H264. Junto s cmeras tambm dever haver caixa de proteo trmica com dispositivo anti embaante. Todas as cmeras devero ter quadros para xao da fonte de alimentao e o quadro ser alimentado por alimentao AC 110/220 passando por nobreak. As cmeras caro dispostas da seguinte forma: 2o Andar: 09 Cmeras xas 1o Andar: 09 Cmeras xas Trreo: rea interna 10 Cmeras xas e 11 Cmeras xas externas. Total de 39 Cmeras xas. Gravador digital (NDVR): Dever ser um sistema local composto por gravador digital de vdeo (NDVR) este gravara cmeras IP xas ou mveis, internas e/ou externas, dispostas em locais estrategicamente denidos de forma a abranger as principais reas da edicao. A gravao das imagens dever ser feita no local bem como a visualizao de todas as cmeras em um monitor local, mas o sistema dever ser interligado rede de segurana atravs do cabo de bra ptica em pontos mais distantes e UTP em reas abaixo dos 50 metros, de forma a permitir o acesso remoto para visualizao e gravao pela Central de Monitoramento. O sistema de gravao dever ter no mnimo 30 dias de gravao continua ou por movimento. O servidor de vdeo NDVR ser alocado no Data Center, e car na responsabilidade do setor de TI monitorar o estado fsico dos equipamentos.
93
Leitor Biomtrico: Este leitor ser implementado somente em reas crticas da empresa como: Sala do Data Center: Sala de telecomunicaes do Trreo Sala de telecomunicaes do 1o andar Sala de telecomunicaes do 2 andar Sala de Depsito da TI Vigilncia: O sistema ronda ser feito por carto magntico, do tipo utilizado como controle de acesso. Cada vigilante ter um carto especico, e todas as aes podero ser monitoradas ao vivo ou pelo histrico no mesmo sistema que gerncia o controle de acesso, no sendo possvel a sua manipulao indevida. Os leitores deveram car em distncias de 10m em locais estratgicos da empresa. Os vigilantes trabalharo em turnos de 24/7 e devero conhecer todas as suas responsabilidades. Acionamentos diversos: Dever ser possvel o acionamento automtico de diversos tipos de dispositivos tais como iluminao, controle de temperatura de salas, acionamento desligamento de equipamentos e outros, automaticamente a partir de sensores instalados ou remotamente atravs da central de monitoramento. A central nica dever prover estas facilidades. Central de Monitoramento: A central de monitoramento dever ser localizada em rea dotada de segurana fsica e preparada para abrigar os operadores do sistema de vigilncia. Na central sero convergidos todos os sinais do sistema de CFTV, alarmes de incndio, alarmes perimetrais, alarmes de porta aberta e forada, de todos os pavimentos sendo estes sinais identicados, armazenados e monitorados 24 horas por dia, sete dias por semana por operadores adequadamente preparados. Cerca Perimetral: Muros e alarme perimetral: As estaes da empresa precisam ser protegida por muros altos, de no mnimo 2m de altura e monitoradas com alarme perimetral, composto por sensores de infravermelho inteligentes, instalados e congurados por zonas. O sistema dever ser monitorado pela central de monitoramento, e sua instalao dever ser instalada ao modo que se houver falha de energia ou falha dos sensores, que isto venha a ser alarmado na central de monitoramento. O sistema que realizara o controle de acesso, tambm dever ser capaz de integrar os dispositivos de alarme atravs de uma entrada auxiliar, contato NF. Central de alarme de incndio (DF/DT): O prdio ter em seu projeto uma central de alarme e deteco de incndio em todos os andares e nas salas de telecomunicaes, divididos em detectores trmicos e de fumaa e ser utilizado a central adiante: As Centrais de Alarme de Incndio FPD-7024 podem ser utilizadas em diversas aplicaes como
94
edifcios comerciais e pblicos, escolas, universidades, plantas fabris, centros de sade e hospitais. So certicadas na UL para sistemas de estao central, local, auxiliar e remota. As centrais FPD-7024 suportam quatro zonas convencionais incorporadas que podem ser expandidas at oito com uso do FPC-7034. Cada zona convencional suporta detectores de dois e de quatro os congurveis como lao Classe A, Tipo D ou Classe B tipo B. Cada zona pode suportar at 20 detectores de dois os, ou qualquer nmero de detectores de quatro os, dependendo da alimentao disponvel. Cada Central possui um discador digital de alarme de incndio (DACT) Controle de Acesso interno: Dever ser implantado nveis de acesso diferenciados, restringindo a entrada de pessoas no autorizadas cada nvel. O controle deve ser feito de maneira integrada por um sistema que abranja toda a instalao, esse sistema deve ser monitorado em uma central de que contenha todos os equipamento necessrios, integrando todos os subsistemas de controle. Especicamente para o datacenter, o nvel deve ser o mais crtico, e portanto, o acesso a esse deve ser feito atravs de biometria e dispositivos de senha de acesso que tenham abertura interna liberada. Para os demais nveis, o controle de acesso deve utilizar senha por dispositivos de acesso que tenham abertura interna liberada. Combate ao fogo: Extintores de incndio: A altura mxima de xao de 1,60 m, e a mnima de 0,10m. Os extintores devem estar desobstrudos e sinalizados com destaque em relao comunicao visual adotada para outros ns, percurso mximo para se atingir um extintor, de 15, 20m. Deve ser xado prximo ao extintor as orientaes de uso. Deve ser usados extintor com Gs qumico FM-200. Extintores de p para classes (ABC) para a todas reas, com exceo do data center que ter de controle de incndio prprio. Em locais com riscos especcos devem ser instalados extintores de incndio, independente da proteo geral da edicao tais como: quadro de reduo para baixa tenso, contineres de telefonia, gases ou lquidos combustveis ou inamveis. (CBMSP, 2011) Proteo lgica: Proteo das informaes da empresa ou sob sua custdia como fator primordial nas atividades prossionais de cada empregado, estagirio, aprendiz ou prestador de servios da empresa Lumitex: Os empregados devem assumir uma postura proativa no que diz respeito proteo das informaes da Lumitex e devem estar atentos a ameaas externas, bem como fraudes, roubo de informaes, e acesso indevido a sistemas de informao sob responsabilidade da Lumitex. Todos os computadores de uso individual devero ter senha de Bios para restringir o acesso de colaboradores no autorizados. Tais senhas sero denidas pela Gerncia de Sistemas, que ter acesso a elas para manuteno dos equipamentos. Os colaboradores devem informar ao departamento tcnico qualquer identicao
95
de dispositivo estranho conectado ao seu computador. vedada a abertura ou o manuseio de computadores ou outros equipamentos de informtica para qualquer tipo de reparo que no seja realizado por um tcnico da Gerncia de Sistemas ou por terceiros devidamente contratados para o servio. Todos os dispositivos internos ou externos devem ser removidos ou desativados para impedir a invaso/evaso de informaes, programas, vrus. Em alguns casos especiais, conforme regra especca, ser considerada a possibilidade de uso para planos de contingncia mediante a autorizao dos gestores das reas e da rea de informtica. expressamente proibido o consumo de alimentos, bebidas ou fumo na mesa de trabalho e prximo aos equipamentos. O colaborador dever manter a congurao do equipamento disponibilizado pelo Lumitex, seguindo os devidos controles de segurana exigidos pela Poltica de Segurana da Informao e pelas normas especcas da empresa, assumindo a responsabilidade como custodiante de informaes. Todo colaborador dever utilizar senhas de bloqueio automtico para seu dispositivo mvel No ser permitida, em nenhuma hiptese, a alterao da congurao dos sistemas operacionais dos equipamentos, em especial os referentes segurana e gerao de logs, sem a devida comunicao e a autorizao da rea responsvel e sem a conduo, auxlio ou presena de um tcnico da Gerncia de Sistemas. responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo mvel fornecido, noticar imediatamente seu gestor direto e a Gerncia de Sistemas. Tambm dever procurar a ajuda das autoridades policiais registrando, assim que possvel, um boletim de ocorrncia. O colaborador que deseje utilizar equipamentos portteis particulares ou adquirir acessrios e posteriormente conect-los rede dever submeter previamente tais equipamentos ao processo de autorizao da Gerncia de Sistemas. Equipamentos portteis, como smart phones, palmtops, pen drives e players de qualquer espcie, quando no fornecidos ao colaborador pela empresa, no sero validados para uso e conexo em sua rede corporativa. Todas as portas USB sero travadas e apenas poder ser liberada aps chamado aberto. No ser aceito cmera digitais no interior do estabelecimento. O acesso ao Datacenter somente dever ser feito por sistema forte de autenticao. Por exemplo: biometria, carto magntico entre outros. Todo acesso ao Datacenter, pelo sistema de autenticao forte, dever ser regis-
96
trado (usurio, data e hora) mediante software prprio. O acesso de visitantes ou terceiros somente poder ser realizado com acompanhamento de um colaborador autorizado, que dever preencher a solicitao de acesso prevista no Procedimento de Controle de Acesso ao Datacenter, bem como assinar o Termo de Responsabilidade A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dar com o preenchimento da solicitao de liberao pelo colaborador solicitante e a autorizao formal desse instrumento pelo responsvel do Datacenter, de acordo com os termos do Procedimento de Controle e Transferncia de Equipamentos. No caso de desligamento de empregados ou colaboradores que possuam acesso ao Datacenter, imediatamente dever ser providenciada a sua excluso do sistema de autenticao forte e da lista de colaboradores autorizados. Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horrio comercial, nas chamadas janelas de backup perodos em que no h nenhum ou pouco acesso de usurios ou processos automatizados aos sistemas de informtica. As mdias de backups histricos ou especiais devero ser armazenadas em instalaes seguras, preferencialmente com estrutura de sala-cofre, distante no mnimo 10 quilmetros do Datacenter. Testes de restaurao (restore) de backup devem ser executados por seus responsveis, nos termos dos procedimentos especcos, aproximadamente a cada 30 ou 60 dias, de acordo com a criticidade do backup. Para formalizar o controle de execuo de backups e restores, dever haver um formulrio de controle rgido de execuo dessas rotinas, o qual dever ser preenchido pelos responsveis e auditado pelo coordenador de infraestrutura, nos termos do Procedimento de Controle de Backup e Restore. Controles ambientais: O sistema de cabos com sensores de inundao ponto estratgico para a melhor segurana de reas crticas, senso assim ser implementado no Data Center desta empresa. O dispositivo cabo ser instalado tanto na parte superior do data Center, assim como na parte inferior, ou seja, abaixo do piso elevado, isto far com que qualquer tipo de umidade mais intenso abaixo ou acima do Data Center seja detectado e gere um alarme na central de monitoramento. Energia: A infraestrutura ter um gerador diesel capaz de suprir a carga do parque de informtica mais os elevadores e nobreak com capacidade de ltrar sobre tenso e sobtenso e falta de energia momentnea (banco de baterias).
97
98
perda da condencialidade se d quando algum no autorizado obtm acesso a recursos/informaes. AUTENTICIDADE Garante a identidade de quem est enviando a informao, ou seja, gera o norepdio que se d quando h garantia de que o emissor no poder se esquivar da autoria da mensagem (ALENCAR, 2011) A lumitex empresa de servios nanceiros e assessoria jurdica, v a segurana da informao como um diferencial determinante na competitividade das corporaes, assim temos como principal objetivo preservar a identidade de todos que atuam direta ou indiretamente como colaborador ou clientes, e para que haja segurana nas informaes que esto sob nossa tutela, garantindo assim a tranquilidade e condencialidade para todos os envolvidos nos processos em que a Lumitex a mantenedora. O propsito desse documento formalizar o direcionamento estratgico acerca da gesto de segurana da informao na Organizao, estabelecendo as diretrizes a serem seguidas para implantao e manuteno de um S.G.S.I., guiando-se, principalmente, pelos conceitos e orientaes das normas ABNT ISO/IEC da famlia 27000. B.1.0.5 Termos e Denies Para os efeitos desta Poltica, aplicam-se os seguintes termos e denies: Ameaa: causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. [ISO/IEC 13335-1:2004] reas crticas: dependncias da Lumitex ou de seus clientes onde esteja situado um ativo de informao relacionado a informaes crticas para os negcios da empresa ou de seus clientes. Ativo: qualquer coisa que tenha valor para a organizao. [ISO/IEC 13335-1:2004] Ativo de Informao: qualquer componente (humano, tecnolgico, fsico ou lgico) que sustenta um ou mais processos de negcio de uma unidade ou rea de negcio. Controle: forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal. [ABNT NBR ISO/IEC 27002:2005] Evento de segurana da informao: ocorrncia identicada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao
99
ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. [ISO/IEC TR 18044:2004] Gesto de riscos: atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos. [ABNT ISO/IEC Guia 73:2005] IEC: International Electrotechnical Commission. Incidente de segurana da informao: indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. [ISO/IEC TR 18044:2004] Informao: agrupamento de dados que contenham algum signicado. Informaes crticas para os negcios da Lumitex: toda informao que, se for alvo de acesso, modicao, destruio ou divulgao no autorizada, resultar em perdas operacionais ou nanceiras Lumitex ou seus clientes. Cita-se, como exemplo, uma informao que exponha ou indique diretrizes estratgicas, contribua potencialmente ao sucesso tcnico e/ou nanceiro de um produto ou servio, rera-se a dados pessoais de clientes, fornecedores, empregados ou terceirizados ou que oferea uma vantagem competitiva em relao concorrncia. ISO: International Organization for Standardization. Risco: combinao da probabilidade de um evento e de suas consequncias. [ABNT ISO/IEC Guia 73:2005] Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas. [ABNT NBR ISO/IEC 27002:2005] (LUMI, 2013) B.1.0.6 Estrutura Normativa A estrutura normativa dividida em trs categorias para facilitar a compreenso e distino de tarefas: Poltica (nvel estratgico): Constituda do presente documento, dene as regras de alto nvel que representam os princpios bsicos que a Lumitex decidiu incorporar sua gesto de acordo com a viso estratgica da alta direo. Serve como base para que as normas e os procedimentos sejam criados e detalhados;
100
Normas (nvel ttico): Especicam, no plano ttico, as escolhas tecnolgicas e os controles que devero ser implementados para alcanar a estratgia denida nas diretrizes da poltica; Procedimentos (nvel operacional): Instrumentalizam o disposto nas normas e na poltica, permitindo a direta aplicao nas atividades da Lumitex. (LUMI, 2013) B.1.0.7 Divulgao e Acesso Estrutura Normativa Os documentos integrantes da estrutura devem ser divulgados a todos os empregados, estagirios, aprendizes e prestadores de servios da Lumitex quando de sua admisso, bem como, atravs dos meios ociais de divulgao interna da empresa e, tambm, publicadas na Intranet corporativa, de maneira que seu contedo possa ser consultado a qualquer momento.(LUMI, 2013) B.1.0.8 Aprovao e Reviso Os documentos integrantes da estrutura normativa da Segurana da Informao da Lumitex devero ser aprovados e revisados conforme critrios descritos abaixo: Poltica Nvel de aprovao: Diretoria Executiva Periodicidade da reviso: anual Normas Nvel de aprovao: Diretoria Executiva Periodicidade da reviso: semestral Procedimentos Nvel de aprovao: Diretoria responsvel pela rea envolvida. Periodicidade da reviso: semestral Durante o primeiro ano de vigncia de cada documento, considerado a partir da data de sua publicao, a periodicidade das revises ser igual metade dos perodos acima denidos. (LUMI, 2013)
101
a) Os empregados devem assumir uma postura pr-ativa no que diz respeito proteo das informaes da Lumitex e devem estar atentos a ameaas externas, bem como fraudes, roubo de informaes, e acesso indevido a sistemas de informao sob responsabilidade da Lumitex; b) As informaes no podem ser transportadas em qualquer meio fsico, sem as devidas protees; c) Assuntos condenciais no devem ser expostos publicamente; d) Senhas, chaves e outros recursos de carter pessoal so considerados intransferveis e no podem ser compartilhados e divulgados; e) Somente softwares homologados podem ser utilizados no ambiente computacional da Lumitex; f) Documentos impressos e arquivos contendo informaes condenciais devem ser armazenados e protegidos. O descarte deve ser feito na forma da legislao pertinente; g) Todo usurio, para poder acessar dados das redes de computadores utilizadas pela Lumitex, dever possuir um cdigo de acesso atrelado uma senha previamente cadastrados, sendo este pessoal e intransfervel, cando vedada a utilizao de cdigos de acesso genricos ou comunitrios; h) No permitido o compartilhamento de pastas nos computadores de empregados da empresa. Os dados que necessitam de compartilhamento devem ser alocados nos servidores apropriados, atentando s permisses de acesso aplicveis aos referidos dados; i) Todos os dados considerados como imprescindveis aos objetivos da Lumitex devem ser protegidos atravs de rotinas sistemticas e documentadas de cpia de segurana, devendo ser submetidos testes peridicos de recuperao; j) O acesso dependncias da Lumitex ou ambientes sob controle da Lumitex dispostos em dependncias de seus clientes deve ser controlado de maneira que sejam aplicados os princpios da integridade, condencialidade e disponibilidade da informao ali armazenada ou manipulada, garantindo a rastreabilidade e a efetividade do acesso autorizado; k) O acesso lgico sistemas computacionais disponibilizados pela Lumitex deve ser controlado de maneira que sejam aplicados os princpios da integridade, condencialidade e disponibilidade da informao, garantindo a rastreabilidade e a efetividade do acesso autorizado;
102
l) So de propriedade da Lumitex todas as criaes, cdigos ou procedimentos desenvolvidos por qualquer empregado, estagirio, aprendiz ou prestador de servio durante o curso de seu vnculo com a empresa. (LUMI, 2013) B.1.1.2 Privacidade da Informao sob Custdia da Lumitex Dene-se como necessria a proteo da privacidade das informaes que esto sob custdia da Lumitex, ou seja, aquelas que pertencem aos seus clientes e que so manipuladas ou armazenadas nos meios s quais a Lumitex detm total controle administrativo, fsico, lgico e legal. As diretivas abaixo reetem os valores institucionais da Lumitex e rearmam o seu compromisso com a melhoria contnua desse processo: a) As informaes so coletadas de forma tica e legal, com o conhecimento do cliente, para propsitos especcos e devidamente informados; b) As informaes so recebidas pela Lumitex, tratadas e armazenadas de forma segura e ntegra, com mtodos de criptograa ou certicao digital, quando aplicvel; c) As informaes so acessadas somente por pessoas autorizadas e capacitadas para seu uso adequado; d) As informaes podem ser disponibilizadas a empresas contratadas para prestao de servios, sendo exigido de tais organizaes o cumprimento de nossa poltica e diretivas de segurana e privacidade de dados; e) As informaes somente so fornecidas a terceiros, mediante autorizao prvia do cliente ou para o atendimento de exigncia legal ou regulamentar; f) As informaes e dados constantes de nossos cadastros, bem como outras solicitaes que venham garantir direitos legais ou contratuais s so fornecidos aos prprios interessados, mediante solicitao formal, seguindo os requisitos legais vigentes. (LUMI, 2013) B.1.1.3 Classicao da Informao Dene-se como necessria a classicao de toda a informao de propriedade da Lumitex ou sob sua custdia, de maneira proporcional ao seu valor para a empresa, para possibilitar o controle adequado da mesma, devendo ser utilizados os seguintes nveis de classicao:
103
a) Condencial: uma informao crtica para os negcios da Lumitex ou de seus clientes. A divulgao no autorizada dessa informao pode causar impactos de ordem nanceira, de imagem, operacional ou, ainda, sanes administrativas, civis e criminais Lumitex ou aos seus clientes. sempre restrita a um grupo especco de pessoas, podendo ser este composto por empregados, clientes e/ou fornecedores. b) Pblica: uma informao da Lumitex ou de seus clientes com linguagem e formato dedicado divulgao ao pblico em geral, sendo seu carter informativo, comercial ou promocional. destinada ao pblico externo ou ocorre devido ao cumprimento de legislao vigente que exija publicidade da mesma. c) Interna: uma informao da Lumitex que ela no tem interesse em divulgar, mas cujo acesso por parte de indivduos externos empresa deve ser evitado. Caso esta informao seja acessada indevidamente, poder causar danos imagem da Organizao, porm, no com a mesma magnitude de uma informao condencial. Pode ser acessada sem restries por todos os empregados e prestadores de servios da Lumitex. (LUMI, 2013) B.1.1.4 Empregados, Estagirios, Aprendizes e Prestadores de Servios Cabe aos empregados, estagirios, aprendizes e prestadores de servios da Lumitex cumprir com as seguintes obrigaes: a) Zelar continuamente pela proteo das informaes da Organizao ou de seus clientes contra acesso, modicao, destruio ou divulgao no autorizada b) Assegurar que os recursos (computacionais ou no) colocados sua disposio sejam utilizados apenas para as nalidades estatutrias da Organizao; c) Garantir que os sistemas e informaes sob sua responsabilidade estejam adequadamente protegidos; d) Garantir a continuidade do processa mento das informaes crticas para os negcios da Lumitex; e) Cumprir as leis e normas que regulamentam os aspectos de propriedade intelectual; f) Atender s leis que regulamentam as atividades da Organizao e seu mercado de atuao; g) Selecionar de maneira coerente os mecanismos de segurana da informao, balanceando fatores de risco, tecnologia e custo;
104
h) Comunicar imediatamente rea de Segurana da Informao qualquer descumprimento da Poltica de Segurana da Informao e/ou das Normas de Segurana da Informao. (LUMI, 2013) B.1.1.5 Comit Gestor de Segurana da Informao (C.G.S.I.) O Comit Gestor de Segurana da Informao (C.G.S.I.) um grupo multidisciplinar que rene representantes de diversas reas da empresa, indicados pelas suas respectivas Gerncias e com composio aprovada pela Diretoria, com o intuito de denir e apoiar estratgias necessrias implantao e manuteno do S.G.S.I. Compete ao C.G.S.I.: a) Propor ajustes, aprimoramentos e modicaes na estrutura normativa do S.G.S.I., submetendo aprovao da Diretoria; b) Redigir o texto das normas e procedimentos de segurana da informao, submetendo aprovao da Diretoria; c) Requisitar informaes das demais reas da Lumitex, atravs das diretorias, gerncias e supervises, com o intuito de vericar o cumprimento da poltica, das normas e procedimentos de segurana da informao; d) Receber, documentar e analisar casos de violao da poltica e das normas normas e procedimentos de segurana da informao; e) Estabelecer mecanismos de registro e controle de eventos e incidentes de segurana da informao, bem como, de no conformidades com a poltica, as normas ou os procedimentos de segurana da informao; f) Noticar as gerncias e diretorias quanto a casos de violao da poltica e das normas e procedimentos de segurana da informao; g) Receber sugestes dos gestores da informao para implantao de normas e procedimentos de segurana da informao; h) Propor projetos e iniciativas relacionadas melhoria da segurana da informao; i) Acompanhar o andamento dos projetos e iniciativas relacionados segurana da informao; j) Propor a relao de gestores da informao; k) Realizar, sistematicamente, a gesto dos ativos da informao;
105
l) Gerir a continuidade dos negcios, demandando junto s diversas reas da empresa, planos de continuidade dos negcios, validando-os periodicamente; m) Realizar, sistematicamente, a gesto de riscos relacionados a segurana da informao. (LUMI, 2013) B.1.1.6 Gestor da Informao O Gestor da Informao um empregado da Lumitex, sugerido pelo Comit Gestor de Segurana da Informao (C.G.S.I.) e designado pela Diretoria como responsvel por um determinado ativo de informao. Este gestor deve dominar todas as regras de negcio necessrias criao, manuteno e atualizao de medidas de segurana relacionadas ao ativo de informao sob sua responsabilidade, seja este de propriedade da Lumitex ou de um cliente. O Gestor da Informao pode delegar sua autoridade sobre o ativo de informao, porm, continua sendo dele a responsabilidade nal pela sua proteo. Compete ao gestor da informao: a) Classicar a informao sob sua responsabilidade, inclusive aquela gerada por clientes, fornecedores ou outras entidades externas, que devem participar do processo de denio do nvel de sigilo da informao; b) Inventariar todos os ativos de informao sob sua responsabilidade; c) Enviar ao C.G.S.I., quando solicitado, relatrios sobre as informaes e ativos de informao sob sua responsabilidade. Os modelos de relatrios sero denidos pelo C.G.S.I. e aprovados pela Diretoria; d) Sugerir procedimentos ao C.G.S.I. para proteger os ativos de informao, conforme a classicao realizada, alm da estabelecida pela Poltica de Segurana da Informao e pelas Normas de Segurana da Informao; e) Manter um controle efetivo do acesso informao, estabelecendo, documentando e scalizando a poltica de acesso mesma. Tal poltica deve denir quais usurios ou grupos de usurios tm real necessidade de acesso informao, identicando os pers de acesso; f) Reavaliar, periodicamente, as autorizaes dos usurios que acessam as informaes sob sua responsabilidade, solicitando o cancelamento do acesso dos usurios que no tenham mais necessidade de acessar a informao;
106
g) Participar da investigao dos incidentes de segurana relacionados s informaes sob sua responsabilidade. (LUMI, 2013) B.1.1.7 Gerncias Cabe s gerncias: a) Cumprir e fazer cumprir a poltica, as normas e procedimentos de segurana da informao; b) Assegurar que suas equipes possuam acesso e entendimento da poltica, das normas e dos procedimentos de Segurana da Informao; c) Sugerir ao C.G.S.I., de maneira pr-ativa, procedimentos de segurana da informao relacionados s suas reas; d) Redigir e detalhar, tcnica e operacionalmente, as normas e procedimentos de segurana da informao relacionados s suas reas, quando solicitado pelo C.G.S.I.; e) Comunicar imediatamente ao C.G.S.I. eventuais casos de violao da poltica, de normas ou de procedimentos de segurana da informao. (LUMI, 2013) B.1.1.8 Gerncia Jurdica Cabe, adicionalmente, gerncia jurdica: a) Manter as reas da Lumitex informadas sobre eventuais alteraes legais e/ou regulatrias que impliquem responsabilidade e aes envolvendo a gesto de segurana da informao; b) Incluir na anlise e elaborao de contratos, sempre que necessrio, clusulas especcas relacionadas segurana da informao, com o objetivo de proteger os interesses da Lumitex; c) Avaliar, quando solicitado, a poltica, as normas e procedimentos de segurana da informao. (LUMI, 2013)
107
B.1.1.9 Gerncia de Recursos Humanos Cabe, adicionalmente, gerncia de recursos humanos: a) Assegurar-se de que os empregados, estagirios, aprendizes e prestadores de servios comprovem, por escrito, estar cientes da estrutura normativa do S.G.S.I. e dos documentos que a compem; b) Criar mecanismos para informar, antecipadamente aos fatos, ao canal de atendimento tcnico mais adequado, alteraes no quadro funcional da Lumitex . (LUMI, 2013) B.1.1.10 rea de Segurana da Informao Cabe rea de segurana da informao: a) Consolidar e coordenar a elaborao, acompanhamento e avaliao do S.G.S.I.; b) Convocar, coordenar e prover apoio s reunies do C.G.S.I.; c) Prover as informaes de gesto de segurana da informao solicitadas pelo C.G.S.I.; d) Facilitar a conscientizao, a divulgao e o treinamento quanto poltica, s normas e os procedimentos de segurana da informao; e) Executar projetos e iniciativas visando otimizar a segurana da informao na Lumitex. (LUMI, 2013) B.1.1.11 Diretoria Executiva Cabe diretoria executiva: a) Aprovar a poltica e as normas de segurana da informao e suas revises; b) Aprovar a composio do C.G.S.I.; c) Nomear os gestores da informao, conforme as indicaes do C.G.S.I.; d) Receber, por intermdio do C.G.S.I., relatrios de violaes da poltica e das normas de segurana da informao, quando aplicvel; e) Tomar decises referentes aos casos de descumprimento da poltica e das normas de segurana da informao, mediante a apresentao de propostas do C.G.S.I. (LUMI, 2013)
108
B.1.1.12 Auditoria a) Todo ativo de informao sob responsabilidade da Lumitex passvel de auditoria em data e horrios determinados pelo C.G.S.I., podendo esta, tambm, ocorrer sem aviso prvio. b) A realizao de uma auditoria dever ser, obrigatoriamente, aprovada pela Diretoria e, durante a sua execuo, devero ser resguardados os direitos quanto a privacidade de informaes pessoais, desde que estas no estejam dispostas em ambiente fsico ou lgico de propriedade da Lumitex ou de seus clientes de forma que se misture ou impea o acesso informaes de propriedade ou sob responsabilidade da Lumitex. c) Com o objetivo de detectar atividades anmalas de processamento da informao e violaes da poltica, das normas ou dos procedimentos de segurana da informao, a rea de Segurana da Informao poder realizar monitoramento e controle proativos, mantendo a condencialidade do processo e das informaes obtidas. d) Em ambos os casos, as informaes obtidas podero servir como indcio ou evidncia em processo administrativo e/ou legal. (LUMI, 2013) B.1.1.13 Violaes dever de todos dentro da lumitex: d) Considerar a informao como sendo um bem da organizao, um dos recursos crticos para a realizao do negcio, que possui grande valor para a LUMITEX e deve sempre ser tratada prossionalmente, analisar e olhar para a informao como sendo nica sempre e a preservando-a. d) A LUMITEX se compromete em no acumular ou manter intencionalmente Dados Pessoais de funcionrios alm daqueles relevantes na conduo do seu negcio. d) Todos os Dados Pessoais de Funcionrios sero considerados dados condenciais. d) Dados Pessoais de Funcionrios sob a responsabilidade da Lumitex no sero usados para ns diferentes daqueles para os quais foram coletados. d) Dados Pessoais de Funcionrios no sero transferidos para terceiros, exceto quando exigido pelo nosso negcio, e desde que tais terceiros mantenham a condencialidade dos referidos dados, incluindo-se, neste caso a lista de endereos eletrnicos (e-mails) usados pelos funcionrios da Lumitex.
109
(LUMI, 2013) So violaes: a) Quaisquer aes ou situaes que possam expor a Lumitex ou seus clientes perda nanceira e de imagem, direta ou indiretamente, potenciais ou reais, comprometendo seus ativos de informao; b) Utilizao indevida de dados corporativos, divulgao no autorizada de informaes, segredos comerciais ou outras informaes sem a permisso expressa do Gestor da Informao; c) Uso de dados, informaes, equipamentos, software, sistemas ou outros recursos tecnolgicos, para propsitos ilcitos, que possam incluir a violao de leis, de regulamentos internos e externos, da tica ou de exigncias de organismos reguladores da rea de atuao da Lumitex ou de seus clientes; d) A no comunicao imediata rea de Segurana da Informao de quaisquer descumprimentos da poltica, de normas ou de procedimentos de Segurana da Informao, que porventura um empregado, estagirio, aprendiz ou prestador de servios venha a tomar conhecimento ou chegue a presenciar. d) Expor a Companhia a uma perda monetria efetiva ou potencial por meio do comprometimento da segurana dos dados /ou de informaes ou ainda da perda de equipamento. d) Envolver a revelao de dados condenciais, direitos autorais, negociaes, patentes ou uso no Autorizado de dados corporativos. d) Envolver o uso de dados para propsitos ilcitos, que venham a incluir a violao de qualquer lei, regulamento ou qualquer outro dispositivo governamental. (LUMI, 2013) B.1.1.14 Sanes A violao poltica, s normas ou aos procedimentos de segurana da informao ou a no aderncia poltica de segurana da informao da Lumitex so consideradas faltas graves, podendo ser aplicadas penalidades previstas em lei.(LUMI, 2013) B.1.1.15 Legislao Aplicvel Correlacionam-se com a poltica, com as diretrizes e com as normas de segurana da informao as leis abaixo relacionadas, mas no se limitando s mesmas:
110
a) Lei Federal 8159, de 08 de janeiro de 1991 (Dispe sobre a Poltica Nacional de Arquivos Pblicos e Privados); b) Lei Federal 9610, de 19 de fevereiro de 1998 (Dispe sobre o Direito Autoral); c) Lei Federal 9279, de 14 de maio de 1996 (Dispe sobre Marcas e Patentes); d) Lei Federal 3129, de 14 de outubro de 1982 (Regula a Concesso de Patentes aos autores de inveno ou descoberta industrial); e) Lei Federal 10406, de 10 de janeiro de 2002 (Institui o Cdigo Civil); f) Decreto-Lei 2848, de 7 de dezembro de 1940 (Institui o Cdigo Penal); f) Lei Federal 9983, de 14 de julho de 2000 (Altera o Decreto-Lei 2.848, de 7 de dezembro de 1940 - Cdigo Penal e d outras providencias).
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
F.2.8 Descrio dos pontos: Trreo 14 pontos ou 7 reas de trabalho, 10 pontos para cmeras: 1 andar 308 pontos ou 154 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressoras:2 andar 166 pontos ou 83 reas de trabalho, 9 pontos para cmeras e 5 pontos para impressora: Datacenter 16 pontos ou 8 reas de trabalho, 2 pontos para cmeras: 12 pontos para cmeras externas e 2 pontos ou uma rea de trabalho para guarita. F.2.9 Escritrios: 2 andares em reas de escritrio F.2.10 Piso elevado: altura de 300 mm e placas de 600 x 600 mm com revestimento anti-esttico e aterramento. F.2.11 Eletro calhas: Instalao sob o piso elevado, centralmente nos pavimentos e seguindo sentidos longitudinal e transversal de 37,97 metros para o datacenter e 114,97 metros para o edifcio da matriz, de eletro calha em ao galvanizado de 100x50 mm, lisa, com virola, com tampa sob cho. F.2.12 Eletro duto: Instalao dos eletro dutos para o cabeamento CFTV seguir em dois caminhos, um de cada lado no corredor central sobre o forro, sendo 1 1/2 41mm xadas por braadeiras a cada 2 metros na laje. Para cabeamento externo o mesmo seguir por canaletas sob a calada.
127
Center 128m de cabos UTP Cat6a. Esse subsistema interliga a sala de telecomunicaes s reas de trabalho. Sala de telecomunicaes: Nestas sala so recebidos os cabos para distribuio em cada pavimento, as bras vindas diretas do data Center so manobradas nesta sala para os switches de acesso. Sala de equipamentos: Em uma sala separada dentro do Data Center ca a sala com os equipamentos centrais da rede, e os switches cores, o IPS e o load balance. As manobras necessrias so feitas pelos patch panel nesta sala. Datacenter: A sala do Data Center abriga os equipamentos de armazenamento, dois servidores blade com 10 laminas cada sendo 20 servidores fsicos e 20 servidores virtuais. Sala de entrada: Neste local encontram-se os cabos externos da companhia telefnica, que so interligados com o cabeamento interno do edifcio.
F.3.1 H previso de instalao de CPCT ? Sim ( ) No (x) F.3.2 H previso de instalao de servios especiais de imagem ou de automao (circuito interno de vdeo, TV a cabo, controles ambientais (ar-condicionado e ventilao) controle de acesso, controle de iluminao, sensores de fumaa, sistema de segurana, sonorizao) ? Sim (X) No ( ) F.3.3 Observaes
Seis cabos de bra vo distribuir a rede para cada andar, sendo que so: um cabo por andar e um cabo de redundncia disposto junto ao principal. As cmeras de cftv estaro distribudas pelo permetro e internamente em rede lgica isolada. A montagem dos cabos UTP na caixa de superfcie e patch panel dever obedecer a codicao de cores estabelecida pela norma EIA/TIA 568-B.