TRABALHO 2 REDES DE COMPUTADORES 2

ESTUDO DO CASO: UNIVALI KOBRASOL

AYSLAN ZOLETTI / FERNANDO LUIZ GAYA

1) No seria possvel conectar as unidades atravs de Ethernet, pois fisicamente invivel (cabos

Ethernet no podem chegar a distncias quilomtricas). Links dedicados de fibra tica teriam

uma transmisso rpida e segura, entretanto encareceriam muito o projeto. A tecnologia Frame

Relay tambm no a melhor opo, pois alm do custo, no possvel controlar totalmente a

banda (reserva fixa de banda), e ineficiente em aplicaes com burst (rajadas de dados). A

tecnologia ATM possui alta velocidade de transmisso, e serviria para interligar uma rede de

longa distncia, enviando informaes em modo assncrono, dividindo as informaes em

pacotes (clulas). Entretanto, essas clulas proporcionam um grande overhead do cabealho,

diminuindo a capacidade efetiva de transmisso na rede. A melhor opo (mais barata e prtica)

para interligar as LANS de cada unidade, seria atravs de uma VPN (Virtual Private Network)

construda em cima de uma rede de comunicaes pblica (Internet).

2) UNIDADE KOBRASOL:

- 1 ANDAR: 4 Switches de 7 portas 10/100 ligados a 1 roteador de 8 portas 10/100. Este

roteador tambm est ligado a 2 Access Point Wireless 2.4 GHz de 300Mbps que distribuiro o

sinal da internet Wi-Fi pelo andar. Alm disso o roteador do primeiro andar conectado ao

roteador do segundo andar.

- 2 ANDAR: 1 roteador de 8 portas 10/100. Este roteador tambm est ligado a 2 Access Point

Wireless 2.4 GHz de 300Mbps que distribuiro o sinal da internet Wi-Fi pelo andar. Alm disso,

este roteador est conectado aos roteadores do 1 andar e do 3 andar.

- 3 ANDAR: 5 Switches de 32 portas 10/100/1000 ligados a 1 roteador de 8 portas 10/100. Este

roteador tambm est ligado a 2 Access Point Wireless 2.4 GHz de 300Mbps que distribuiro o

sinal da internet Wi-Fi pelo andar. Alm disso, o roteador est conectado aos roteadores do 2

e do 4 andar (e indiretamente conectado ao do 1 andar, por intermdio da conexo com o

roteador do 2). Os notebooks presentes no esquemtico so apenas representaes para os

pontos de rede cabeada (5 pontos em cada laboratrio, para que os usurios possam conectar

seus dispositivos).

- 4 ANDAR: 1 Switch de 9 portas 10/100 e 1 Switch de 8 portas 10/100 conectados a a 1

roteador de 8 portas 10/100. Este roteador tambm est ligado a 2 Access Point Wireless 2.4

GHz de 300Mbps (que distribuiro o sinal da internet Wi-Fi pelo andar). Alm disso, o roteador

est conectado ao roteador do 3 andar (e indiretamente conectado aos do 1 e 2 andares, por

intermdio da conexo com o roteador do 3). Este roteador tambm conectado a mais 1

Roteador NAT de 4 portas 10/100 com funo modem ADSL. Este roteador NAT tambm

conectado aos 2 servidores (um contendo o banco de dados e outro com servio de

compartilhamento de arquivos e impressoras), e com 1 Switch de 5 portas 10/100. O roteador

NAT que far a conexo de toda a Unidade Kobrasol com a Internet, e consequentemente com

as outras unidades atravs da WAN VPN construda.

UNIDADES ILHA, BIGUAU, SO JOS E ITAJA:

- 4 Roteadores NAT de 4 portas 10/100 com funo modem ADSL (1 para cada unidade) para

conexo com a Internet, e consequentemente conectarem-se entre si atravs da WAN VPN

construda.

3) As redes locais (LANS) das unidades, utilizam um nico enlace (canal compartilhado). As taxas

de usurio variam entre 10Mbps a 1Gbps. A comunicao entre as unidades (via internet) faz

uso de enlaces de comunicaes compartilhados. Utilizam linhas telefnicas alugadas e as taxas

de acesso do usurio varia entre 56Kbps a 155Mbps, dependendo do servio contratado com o

provedor.

DNS (Domain Name System) hoje um servio essencial para o funcionamento da Internet. Essa

importncia, associada natureza das informaes que ele armazena, o tornam um dos alvos

mais atraentes para atacantes. Desse modo, uma configurao adequada dos servidores DNS

crucial para aumentar a segurana e colaborar para o bom funcionamento da rede. Servidores

DNS expostos Internet esto sujeitos a uma srie de riscos, dentre os quais destacam-se:

Vazamento de informaes sensveis sobre a rede da organizao atravs de

transferncias de zonas DNS. Essas informaes podem ajudar um atacante a identificar

os pontos fracos da rede e a escolher futuros alvos.

Ataques de envenenamento de cache (cache poisoning), que levam um servidor a

armazenar informaes forjadas. Tais informaes podem ser usadas para

comprometer a segurana de clientes que faam consultas a esse servidor.

Comprometimento do servidor atravs de vulnerabilidades no software de DNS, o que

pode facilitar outras quebras de segurana no restante da rede da organizao.

Transferncias de zona so usadas para que os servidores DNS escravos (secundrios) atualizem

suas informaes sobre uma determinada zona DNS em relao ao servidor mestre (primrio)

para essa zona. Restringir os endereos que podem fazer transferncias de zona uma

importante medida para evitar que atacantes obtenham informaes detalhadas sobre a rede

da organizao, tais como endereos de roteadores, servidores de correio eletrnico e outros

servidores DNS.

As limitaes de transferncias de zona devem ser aplicadas a todos os servidores com

autoridade para um domnio, independente de eles serem mestres ou escravos. Um equvoco

comum limitar as transferncias de zona no servidor mestre e no o fazer nos servidores

escravos.

Existem alguns blocos de endereos IP que so reservados pelo IANA (Internet Assigned

Numbers Authority) para propsitos especficos. No existe um documento nico que registre

todos estes blocos; alguns esto documentados em RFCs, enquanto que outros so

considerados reservados por razes de compatibilidade histrica. Outro ponto importante que

nem todo o espao de endereamento IPv4 est atualmente alocado. Endereos no alocados

e pertencentes a blocos reservados no devem ser propagados atravs da Internet, sendo

recomendada a sua filtragem no permetro da sua rede, tanto para entrada quanto para sada.

Existem alguns servios que, se mal configurados, podem permitir que usurios externos

abusem dos recursos da sua rede, ainda que isso no implique na ocorrncia de uma invaso.

Dois destes servios so o e-mail e os proxies de Web. A configurao incorreta destes servios

pode causar vrios efeitos indesejveis. Um deles que recursos computacionais da organizao

(a comear pelo link Internet, mas incluindo CPU, discos e memria dos servidores) so

consumidos por terceiros sem que eles paguem por esse uso. Alm disso, servidores mal

configurados so muitas vezes usados para disseminar contedo ilegal, tal como pornografia

envolvendo crianas.

4)

Address: 172.16.0.0 10101100.00010000.0000 0000.00000000

Netmask: 255.255.240.0 = 20 11111111.11111111.1111 0000.00000000

Network: 172.16.0.0/20 10101100.00010000.0000 0000.00000000 (Class B)

Broadcast: 172.16.15.255 10101100.00010000.0000 1111.11111111

HostMin: 172.16.0.1 10101100.00010000.0000 0000.00000001

HostMax: 172.16.15.254 10101100.00010000.0000 1111.11111110

Hosts/Net: 4094 (Private Internet)

UNIDADE KOBRASOL:

Cada Dispositivo ira ter um IP da faixa: 172.16.0.x

Exemplo dispositivo 1

IP: 172.16.0.1

Netmask: 255.255.240.0

Gateway: 172.16.15.254

Exemplo dispositivo 2

IP: 172.16.0.2

Netmask: 255.255.240.0

Gateway: 172.16.15.254

E assim colocar em todos.

UNIDADE ILHA:

Cada Dispositivo ir ter um IP da faixa: 172.16.2.x

UNIDADE BIGUAU:

Cada Dispositivo ir ter um IP da faixa: 172.16.4.x

UNIDADE SO JOS:

Cada Dispositivo ir ter um IP da faixa: 172.16.6.x

UNIDADE ITAJA:

Cada Dispositivo ir ter um IP da faixa: 172.16.8.x

SERVIDOR 1:

IP: 172.16.15.254

Netmask: 255.255.240.0

Gateway: 172.16.15.254

SERVIDOR 2:

IP: 172.16.15.253

Netmask: 255.255.240.0

Gateway: 172.16.15.254

5) O arquivo do projeto (formato .VSD) encontra-se junto a esse documento, ambos

compactados em formato ZIP.

Para definir as taxas de comunicao dos enlaces de Internet, seria interessante comprar um

dispositivo de balanceamento de carga de enlaces WAN (WAN link load balancing). Ele maximiza

o investimento em enlaces com a Internet, permitindo que diversos canais de diferentes

velocidades e diferentes provedores possam ser agregados, atingindo bandas altas com baixo

custo.

Ele agrega diferentes enlaces WAN e ISPs de uma organizao e prov balanceamento de carga

e tolerncia a falhas para estes enlaces de modo que a conectividade, a estabilidade de conexo

e a qualidade de transmisso confivel na Internet possam ser garantidas.