If you can't read please download the document
Upload
marcos-aguiar
View
12
Download
1
Embed Size (px)
Citation preview
Solues em Tecnologia da Informao
Infraestrutura Segura MadCare NETZWERK
INFRAESTRUTURA SEGURA PARA A REDE
DE FARMCIAS MEDCARE
So Leopoldo, 06 de agosto de 2011.
2
NDICE
SUMRIO EXECUTIVO ................................................................................................................................ 6
INFRAESTRUTURA ....................................................................................................................................... 7
1. DEFINIES DA REDE FSICA .................................................................................................................... 7 1.1. Rede Wan Longa Distncia ...................................................................................................... 7
1.1.1. Panorama atual da Rede WAN da empresa ..................................................................................... 7 1.1.2. Novo ambiente da Rede WAN projetado por nossa equipe........................................................... 8
1.2. Rede Local da Matriz ................................................................................................................... 10 1.2.1. Topologia Fsica Atual ......................................................................................................................... 10 1.2.2. Topologia Fsica Proposta .................................................................................................................. 11
1.3. Rede Local do Data Center Backup ......................................................................................... 12 1.4. Rede Local da Filial So Leopoldo ............................................................................................ 14
1.4.1. Cenrio Atual ........................................................................................................................................ 15 1.4.2. Cenrio Futuro ..................................................................................................................................... 16
1.5. Equipamentos a serem adquiridos ........................................................................................... 17 1.5.1. Especificaes e Justificativas ........................................................................................................... 17
1.6. Rede Local - Sem Fio .................................................................................................................. 17 1.7. Benefcios ...................................................................................................................................... 17 1.8. Escopo ............................................................................................................................................ 17 1.9. Tecnologia ..................................................................................................................................... 17 1.10. Equipamentos ........................................................................................................................... 18 1.11. Topologia ................................................................................................................................... 18
1.12.1. Usurios internos................................................................................................................................. 19 1.12.2. Usurios visitantes .............................................................................................................................. 19
2. DEFINIO DA REDE LGICA ................................................................................................................... 21 2.1. Topologia Lgica Anterior .......................................................................................................... 21 2.2. Topologia Lgica Proposta ......................................................................................................... 21
3. VLANS .................................................................................................................................................... 21 4. VIRTUALIZAO ....................................................................................................................................... 22
4.1. Arquitetura .................................................................................................................................... 22
DEFINIO DOS DISPOSITIVOS DE SEGURANA ........................................................................ 23
5. FIREWALL................................................................................................................................................. 23 6. TOPOLOGIA METODOLOGIA - ILUSTRAO ............................................................................................. 24 7. SEGURANA DO PERMETRO ..................................................................................................................... 24
7.1. IDS/IPS .......................................................................................................................................... 24 7.1.1. Topologia metodologia - ilustrao .............................................................................................. 25
8. VPN ........................................................................................................................................................ 25 8.1. Site-to-site .................................................................................................................................... 25 8.2. Client-to-Site ................................................................................................................................ 25
3
SEGURANA DAS ESTAES .................................................................................................................. 26
9. ANTVIRUS ............................................................................................................................................... 26 9.1. Situao atual............................................................................................................................... 26 9.2. Objetivo ......................................................................................................................................... 26 9.3. Tecnologia proposta .................................................................................................................... 26 9.4. Requisitos de implantao ......................................................................................................... 27 9.5. Oramento .................................................................................................................................... 27
10. ANTISPAM E FILTRO WEB ..................................................................................................................... 27 10.1. Situao atual ........................................................................................................................... 27 10.2. Objetivo ...................................................................................................................................... 27 10.3. Tecnologia proposta ................................................................................................................ 27 10.4. Controle de navegao web .................................................................................................. 28 10.5. Controle de email ..................................................................................................................... 28 10.6. Requisitos de implantao ..................................................................................................... 29 10.7. Oramento ................................................................................................................................. 29
MONITORAMENTO ..................................................................................................................................... 30
11. OBJETIVOS ........................................................................................................................................... 30 12. SERVIDOR DE GERNCIA DE REDE........................................................................................................ 30 13. ATIVOS E SERVIOS QUE SERO MONITORADOS ................................................................................... 30 14. FERRAMENTAS ...................................................................................................................................... 32
14.1. CA Spectrum ............................................................................................................................. 32 14.1.1. Inventrio do parque tecnolgico .................................................................................................... 32 14.1.2. Descoberta automtica de rede ....................................................................................................... 32 14.1.3. Anlise de Causa Raiz e Solues de Problemas .................................................................... 33 14.1.4. Monitoramento e alteraes de configuraes .............................................................................. 33 14.1.5. Anlise de trfego ............................................................................................................................... 34 14.1.6. Servidores e Servios ......................................................................................................................... 34 14.1.7. Relatrios .............................................................................................................................................. 36 14.1.8. Investimento ........................................................................................................................................ 36
15. CISCO WIRELESS CONTROL SYSTEM (WCS) ....................................................................................... 36 15.1. Investimento ............................................................................................................................. 38
16. WSUS ................................................................................................................................................. 38 16.1. Cenrio de Implementao .................................................................................................... 39 16.2. Investimento ............................................................................................................................. 39
17. INFRAESTRUTURA DO DATA CENTER ..................................................................................................... 39 17.1. Cmeras ..................................................................................................................................... 40 17.2. Temperatura Data Center e umidade do ar ....................................................................... 40
18. INVESTIMENTO TOTAL .......................................................................................................................... 40
AUTENTICAO INTEGRADA ................................................................................................................. 41
19. SITUAO ATUAL .................................................................................................................................. 41
4
20. OBJETIVOS ........................................................................................................................................... 41 21. BENEFCIOS ......................................................................................................................................... 41 22. MICROSOFT ACTIVE DIRECTORY (AD) ................................................................................................. 42 23. SERVIOS QUE UTILIZARO A BASE DE USURIOS DO ACTIVE DIRECTORY ............................................ 42
23.1. RADIUS ...................................................................................................................................... 42 23.2. TACACS+ ................................................................................................................................... 44 23.3. OTP .............................................................................................................................................. 45 23.4. Cisco Secure Access Control Server - ACS ......................................................................... 45
24. AMBIENTE PROPOSTO ........................................................................................................................... 46 25. INVESTIMENTO ..................................................................................................................................... 47
CENTRALIZAO DE LOGS ..................................................................................................................... 48
26. OBJETIVOS ........................................................................................................................................... 48 27. FERRAMENTA ........................................................................................................................................ 48 28. ITENS A SEREM COLETADOS .................................................................................................................. 48 29. INFRAESTRUTURA ................................................................................................................................. 49
29.1. Topologia da soluo ............................................................................................................... 49 29.2. Tempo de coleta ....................................................................................................................... 49
30. CORRELAO DE LOGS ......................................................................................................................... 50 31. AUDITORIAS ......................................................................................................................................... 50 32. PROCEDIMENTOS .................................................................................................................................. 50
32.1. Recuperao de logs ............................................................................................................... 50 32.2. Eliminao de logs ................................................................................................................... 51
33. INVESTIMENTO ..................................................................................................................................... 51
ARMAZENAMENTO DE DADOS ............................................................................................................... 52
34. OBJETIVO ............................................................................................................................................. 52 35. AMBIENTE ATUAL ................................................................................................................................. 52 36. SOLUO DE IMPLEMENTAO .............................................................................................................. 52 37. IBM STORWISE V7000 ....................................................................................................................... 53 38. REPLICAO DE DADOS........................................................................................................................ 53
BACKUP DE DADOS .................................................................................................................................... 54
39. OBJETIVO ............................................................................................................................................. 54 40. AMBIENTE ATUAL ................................................................................................................................. 54 41. SOLUO DE IMPLEMENTAO .............................................................................................................. 54 42. IBM TIVOLI STORAGE MANAGER .......................................................................................................... 55
42.1. Rede de Backup ........................................................................................................................ 55 43. POLTICA DE BACKUP ........................................................................................................................... 56
43.1. Reteno dos Backups: .......................................................................................................... 56 43.2. Storage Pools ............................................................................................................................ 57 43.3. Schedules .................................................................................................................................. 57
44. COFRE .................................................................................................................................................. 57 44.1. Tempo de Recuperao de Dados (Restore / Retrieve) .................................................. 57
5
44.2. Host ............................................................................................................................................. 57 44.3. Fitas LTO5 .................................................................................................................................. 58
POLTICA DE MANIPULAO DE FITAS MAGNTICAS ................................................................ 58
44.4. Objetivo ...................................................................................................................................... 58 44.5. Escopo ........................................................................................................................................ 58 44.6. Termos e Definies ................................................................................................................ 58 44.7. Cenrio ....................................................................................................................................... 58 44.8. Recursos de Hardware e Software ....................................................................................... 59 44.9. Recursos de Pessoal ................................................................................................................ 59 44.10. Atribuies e Responsabilidades ........................................................................................... 59 44.11. Procedimentos para Backup .................................................................................................. 60
44.11.1. Descrio dos dados e tarefas de backup de dados ................................................................. 60 44.11.2. Tarefas de Backup ........................................................................................................................... 60
44.12. Procedimentos para Restaurao de Dados ....................................................................... 61 44.12.1. Descrio das atividades de restaurao de dados .................................................................. 61
44.13. Classificao das Mdias .......................................................................................................... 61 44.14. Armazenamento das Mdias ................................................................................................... 61 44.15. Transporte das Mdias ............................................................................................................. 61 44.16. Substituio e Descarte das Mdias ...................................................................................... 62 44.17. Plano de Testes de Restaurao ........................................................................................... 62
ORAMENTO ................................................................................................................................................. 64
45. CUSTOS DE HARDWARE ........................................................................................................................ 64 46. CUSTOS DOS ACESSRIOS ................................................................................................................... 64 47. CUSTOS DE SOFTWARE ........................................................................................................................ 65 48. CUSTOS DE MO DE OBRA ................................................................................................................... 65 49. ORAMENTO TOTAL .............................................................................................................................. 65
ANEXO I ......................................................................................................................................................... 66
BAYFACES...................................................................................................................................................... 66
50. MATRIZ PORTO ALEGRE .................................................................................................................... 66 51. DATA CENTER BACKUP PORTO ALEGRE ............................................................................................. 69 52. FILIAL SO LEOPOLDO ......................................................................................................................... 70
6
SUMRIO EXECUTIVO
A rede de farmcias MEDCARE criada em 2009, recentemente ampliou sua rea de abrangncia de atendimento, atravs da instalao de uma nova filial situada na cidade de So Leopoldo e com isso, estima alcanar um crescimento em sua receita de 4% ainda este ano. Este projeto visa proporcionar altos nveis de segurana, redundncia e confiabilidade rede WAN (longa distncia) e tambm s redes LAN (redes internas de suas filiais) j existentes na estrutura da farmcia. Automatizando tarefas, organizando a topologia lgica da rede e contando com um processo de administrao simplificado. Propiciando agilidade no atendimento, modernizando o parque tecnolgico da empresa, reduzindo custos operacionais e otimizando a utilizao dos recursos de TI. Pensando na continuidade do negcio, recomendamos que os 3 links dedicados de alto custo para a farmcia, sejam removidos. Sendo contratados para 4 links de internet empresarial (com custo bem menor) para substitu-los. Desta maneira, a filial de So Leopoldo ter 2 links de sada para a internet, a Matriz ter 1 link e o CPD de backup ficar com o outro link restante. Alm disto, ser mantido um canal direto de fibra tica (j existente na estrutura atual) conectando diretamente a matriz ao CPD de Backup. Com esta topologia, todos os pontos da rede tero duas sadas para a internet, com VPN Site-to-Site estabelecidas. Mais adiante neste projeto, entraremos em mais detalhes sobre esta implementao. Mas aqui importante ressaltar que este novo modelo a ser implantado, prover redundncia de conectividade, proteo contra falhas e segurana aos dados trafegados atravs das VPNs, ao contrrio do que acontecia no modelo anterior. Preocupando-se com a confidencialidade e o sigilo, dividiremos os setores existentes em redes distintas. Desta forma, os funcionrios de diferentes departamentos somente tero acesso aos sistemas e informaes relevantes para a realizao de seu trabalho. Para que isso seja possvel, sero configuradas VLANs (redes virtuais) nos equipamentos de rede (switchs), possibilitando que esta diviso de reas seja realizada de uma maneira eficiente. Reduzindo tambm o alcance e a quantidade de pacotes broadcast (enviados para todos) dentro da rede, o que resulta em um melhor desempenho. Sero substitudas as ACLs (listas de acesso) at ento utilizadas nos dispositivos responsveis pelas conexes entre as filiais (roteadores), deixando ento esta tarefa de extrema importncia na proteo da rede para equipamentos especificamente desenvolvidos para este fim: Firewall Cisco ASA 5510. Nossa soluo prev a utilizao de 2 Firewalls ASA (trabalhando em cluster com failover) nas bordas de cada n da rede. Estes Appliances provm uma filtragem muito mais eficiente aos dados entrantes e saintes na rede da farmcia, fornecem uma proteo bem maior contra invases e ataques oriundos da Internet, alm de contarem com mdulos especficos de deteco e proteo contra intrusos (IDS/IPS). Aps a concluso do projeto, a rea de TI da matriz ficar responsvel por administrar os servios tecnolgicos, servidores, sistemas, etc. Levando em considerao este aspecto, projetamos um ambiente onde toda a infraestrutura de rede ser monitorada em tempo real com a utilizao das ferramentas Cacti e Nagios (ambas de cdigo aberto, eficazes e sem custos adicionais). Vale lembrar, que todos os equipamentos da rede, tais como: servidores, switchs, roteadores e desktops (computadores de mesa) sero protegidos com no-breaks e geradores de energia, para casos de variaes ou quedas de tenso no fornecimento de energia eltrica. Acreditamos que com estas medidas a MedCare ter um ambiente computacional sempre ativo, seguro e preparado para atender da melhor forma possvel s demandas que possam surgir, contribuindo para a prestao de um timo nvel de atendimento a seus clientes.
7
INFRAESTRUTURA
1. Definies da Rede Fsica
1.1. Rede Wan Longa Distncia
A rede de longa distncia da farmcia visa prover conectividade 24 horas por dia, 7 dias por semana entre a Matriz e seu CPD de backup, ambos localizados em Porto Alegre, alm de sua filial, situada em So Leopoldo. Analisando a topologia anterior da rede Wan, encontramos diversos fatores que poderiam ser melhorados, tanto no quesito segurana, quanto em termos de redundncia e reduo de custos.
1.1.1. Panorama atual da Rede WAN da empresa
Figura 1. Mapa atual da Rede MedCare
8
1.1.2. Novo ambiente da Rede WAN projetado por nossa equipe
Melhorias que recomendamos:
Descontinuao do formato de conexo via Trusted VPNs utilizado anteriormente, com cancelamento dos 3 links dedicados (de custo bastante elevado e sem criptografia) e contratao de quatro links de internet empresarial (com custo bem menor e taxas de velocidade bem superiores).
Dentre os quatro links de internet empresarial que sero contratados, a diviso ser a seguinte:
Filial So Leopoldo: 1 link de 5 Mbps contratado juntamente operadora GVT, mais 1 link de 5 Mbps contratado juntamente operadora Embratel, j pensando em possuir redundncia de operadora.
Matriz: 1 link de 10 Mbps contratado juntamente operadora GVT.
CPD Backup: 1 link de 10 Mbps contratado juntamente operadora Embratel.
Link Fibra tica (j existente e ser mantido): interligando diretamente a Matriz e o CPD Backup.
Implantao da tecnologia de VPNs Site-to-Site Over IPSec entre Matriz, CPD Backup e Filial, provendo um nvel de segurana elevado para os dados que trafegam atravs da rede, com a utilizao de padres avanados de criptografia.
Implementao de VPNs Client-to-Site Over IPSec para possibilitar o acesso remoto de forma segura a funcionrios, fornecedores e terceiros que estejam fora das instalaes fsicas da empresa.
A redundncia tambm foi levada em considerao em nosso projeto, para mantermos sempre ativa a comunicao entre os trs pontos da rede, mesmo em casos de falhas. Para isto, projetamos dois canais distintos de acesso internet e s demais filiais para cada um deles.
A filial de So Leopoldo, ter uma VPN Site-to-Site configurado com a Matriz (atravs de seu link da operadora GVT). Do mesmo modo, ter uma VPN Site-to-Site com o CPD Backup (atravs de seu link da operadora Embratel).
A Matriz e o CPD Backup, alm de possurem estas VPNs diretamente conectadas filial So Leopoldo, tambm tero uma VPN Site-to-Site entre si, alm de uma link dedicado de Fibra tica que conecta os dois CPDs (matriz e backup) diretamente.
Sendo assim, cada ponto da rede ter duas maneiras de chegar a seus destinos. Caso a conexo entre matriz e filial So Leopoldo saia do ar, ainda assim, haver conectividade entre elas (atravs do CPD Backup). Esta mesma lgica se aplica a qualquer outro ponto da rede (sempre haver duas maneiras de se chegar a um destino dentro da rede wan da farmcia.
O acesso internet se dar por meio de uma soluo montada em cima de um proxy ISA da Microsoft, trabalhando em conjunto com o Websense (ferramenta lder mundial em filtragem de navegao web). Esta estrutura est montada na matriz, (tendo redundncia no CPD Backup). Logo, todo o acesso internet dos funcionrios da matriz e tambm da filial So Leopoldo se dar atravs da Matriz. Isto facilita a administrao e gerenciamento, pois centralizado tudo no Data Center Principal.
Com a utilizao dos Appliance Cisco ASAS 5510 como servidores de VPN (tanto Client-to-Site, quando Site-to-Site), torna-se possvel a funcionrios, fornecedores e terceiros, obterem acesso seguro rede interna da empresa, de qualquer lugar, bastante apenas possurem algum meio de acesso internet.
9
Figura 2. Novo Mapa da Rede Wan
10
1.2. Rede Local da Matriz
1.2.1. Topologia Fsica Atual
A topologia original da empresa apresenta diversos pontos de falha, realizando uma anlise sobre este cenrio, identificamos alguns aspectos que podem e devem ser melhorados.
Elencamos alguns deles a seguir:
Todos os switchs de distribuio dos andares do prdio possuem conexes diretas via links de fibra tica apenas com os switchs dos andares imediatamente superiores e inferiores ele. Este quadro transforma todos estes equipamentos em potenciais pontos de falha.
Caso o switch do terceiro andar caia, tanto este, como tambm o quarto andar ficam sem acesso ao resto da rede e tambm internet.
Se o switch de distribuio do segundo andar cair, ficaro sem acesso rede e internet, no somente o segundo, mas o terceiro e o quarto andares tambm.
Finalmente, se o switch de distribuio do primeiro andar parar, toda a rede da matriz ir parar, assim como sua comunicao com a internet e com o Data Center Backup.
Figura 3. Topologia Fsica Atual da Matriz
11
1.2.2. Topologia Fsica Proposta
Buscando garantir disponibilidade, desempenho e um processo de gerncia otimizado rede, projetamos algumas melhorias pontuais que devem ser realizadas.
Falaremos um pouco sobre cada uma delas a seguir:
- Inclumos 2 switchs Layer 3 na borda da rede, estes equipamentos possuem todas as VLANs configuradas e esto trabalhando em modo trunking. So responsveis por executar o roteamento entre as VLANs existentes, assim como realizar filtragem de pacotes atravs da utilizao de listas de acesso.
- Neste novo cenrio, todos os switchs de distribuio dos demais andares possuem agora 2 mdulos de fibra, conectando-os diretamente aos 2 Switchs Layer 3 de borda da rede e no mais aos switchs dos andares adjacentes.
- Esta estrutura permite que todos os andares tornem-se independentes, isto , se o switch de distribuio do segundo andar parar de funcionar, apenas as estaes de trabalho deste andar sero afetadas, j os demais andares da matriz continuaro trabalhando com acesso rede interna e internet.
- Para provermos redundncia, indicamos que fossem colocados dois Switchs Layer 3 na borda da rede, para que caso um deles venha a cair, o outro switch core (que tambm possui as mesmas configuraes) se responsabilize por manter a conectividade entre toda a rede.
Figura 4. Nova Topologia Fsica Proposta
12
1.3. Rede Local do Data Center Backup
Esta foi outra modificao que indicamos para a rede de farmcias MedCare, pois at ento, existia um grande problema em relao segurana, pois no haviam cmeras de segurana no local, assim como tambm no existia sistema de autenticao biomtrica ou via crach para acesso aos servidores, sendo necessrio apenas utilizar uma chave simples para abrir a porta da sala.
Alm destes pontos que ressaltamos acima, o CPD de Backup estava localizado em um prdio comercial alugado pela farmcia, localizado 10 Km de distncia da Matriz. Estas instalaes tinham diversos problemas, pois o ambiente alugado no havia sido projetado para abrigar um Data Center, ento a refrigerao do ambiente no era adequada, no havia gerador de energia, assim como no existia nenhum mecanismo de proteo contra acidentes naturais.
Visando melhorar e resolver alguns destes problemas, sugerimos que a rede de farmcias mudasse seu Data Center de Backup para dentro das instalao de uma operadora de Telecom, prtica conhecida como Colocation. Neste novo modelo, foi firmado um contrato de SLA bem exigente com a operadora.
Termos assegurados em contrato:
Nvel de SLA, garantindo os sistemas acessveis em 99,7% do tempo (sujeito a multas);
Acesso ao Data Center locado permitido apenas a alguns funcionrios da TI da MedCare, previamente cadastrados e mediante apresentao de documento de identidade e preenchimento de formulrio;
Cmeras de segurana filmam todo o fluxo de entrada e sada de pessoas nas instalaes internas, desde a portaria at o local onde ficam os servidores.
Monitoramento de servios e sistemas em tempo real, em regime 24h x 7dias, realizado pela equipe de NOC da operadora. Acionando a equipe de TI da farmcia caso seja necessrio, atravs de e-mails de alertas, mensagens SMS e em ltima instncia, atravs de ligaes telefnicas.
O prdio da operadora onde encontram-se as instalaes foi projetado para resistir a catstrofes, incndios, apages eltricos, etc.
Refrigerao do ambiente adequada e monitorada atravs de sensores tambm pela equipe de NOC da operadora.
Segurana fsica do prdio 24 horas por dia, sendo realizada por duas empresas especializas.
Falando no aspecto de infra-estrutura de TI, tambm indicamos diversas mudanas pensando em manter a integridade, disponibilidade e confidencialidade dos dados.
Enumeramos a seguir as providncias a serem tomadas:
Cancelamento do circuito dedicado existente, de alto custo, baixa velocidade e sem gerncia alguma por parte da equipe de TI da farmcia. Pois todos os ativos de rede Wan, assim como regras de acesso e configuraes estavam cargo da operadora.
Contratao de um novo link de internet empresarial, utilizando a tecnologia de rede de longa distncia MPLS em cima de um circuito de fibra tica, com custo bem menor comparado ao link anterior e largura de banda bem superior (fazendo uma update de 3 Mbps para 10 Mbps).
Implementao de duas VPNs Site-to-Site sobre este canal, configuradas nos appliances Cisco ASA 5510, montando circuitos virtuais tunelados, com criptografia baseada protocolos de altssima segurana, como IPSec, IKE, AES-256 e SHA1. Este modelo de conexo segura, garante a confidencialidade e a integridade dos dados transmitidos entre Data Center e Filial.
13
Como mais um nvel de redundncia, ser mantido o link de fibra tica interligando diretamente o CPD Backup ao Data Center da Matriz.
Substituio de 15 servidores fsicos antigos, por um novo ambiente virtualizado, consolidado sobre uma soluo da VMware.
Listamos aqui, algumas das melhorias agregadas com esta nova estrutura virtualizada:
Controle de recursos: Como o hipervisor intermedia os acessos do sistema convidado ao hardware, possvel implementar mecanismos para verificar a consistncia desses acessos e de seus resultados, aumentando a integridade do sistema convidado; da mesma forma, possvel acompanhar e registrar as atividades do sistema convidado, para fins de auditoria.
Isolamento: ao manter os ambientes virtuais isolados do sistema real subjacente, o hipervisor prov a confidencialidade de dados entre os sistemas convidados.
Inspeo: a viso privilegiada do hipervisor sobre o estado interno do sistema convidado permite extrair informaes deste para o sistema hospedeiro, permitindo implementar externamente mecanismos de verificao de integridade do ambiente convidado, como antivrus e detectores de intruso.
Encapsulamento: a possibilidade de salvar/restaurar o estado do sistema convidado torna vivel a implementao de mecanismos de rollback teis no caso de quebra da integridade do sistema convidado, da mesma forma, a migrao de mquinas virtuais uma soluo vivel para o problema da disponibilidade.
A figura abaixo, demonstra a nova topologia proposta neste projeto:
Figura 5. Data Center Backup
14
1.4. Rede Local da Filial So Leopoldo
Na filial, tambm sero necessrias algumas alteraes, porm mais simples comparadas s da Matriz e do CPD de Backup. Visando trs aspectos principais: disponibilidade, confidencialidade e integridade.
Listamos abaixo algumas medidas que devem ser tomadas:
Sugerimos a instalao de um sistema de autenticao via crach + biometria sala onde esto os servidores e o rack de Telecom da filial;
Tambm ser necessria a instalao de um ar-condicionado nesta sala, pois em diversos momentos os equipamentos ficavam superaquecidos, correndo risco de causar uma parada em seu funcionamento.
Cancelamento dos 2 circuitos dedicados (ambos da operadora de telecom anterior) e instalao de 2 novos links de internet (MPLS de 5 Mbps), mais baratos e com mais largura de banda que os anteriores. Neste ponto importante frisar, que pensando em possuir inclusive redundncia de operadora de telecomunicaes, indicamos a contratao de um link pela GVT e outro pela Embratel.
Configurao de duas VPNs Site-to-Site, uma conectando diretamente a filial ao Data Center da Matriz e outra conectando-a ao CPD Backup. Estes canais virtuais privados sero estabelecidos sobre tneis IPSec, utilizando os protocolos IKE, AES-256 e SHA. Provendo um nvel muito de confidencialidade ao trfego de informaes.
O firewall anterior era um servidor bastante antigo, utilizando o Iptables e sem redundncia, caso esta mquina casse, a rede interna da filial perdia o contato com a internet e com seus Data Centers. Destacamos ento que uma boa alternativa seria a aquisio de 2 Appliances Cisco ASA 5510, trabalhando em failover (quando uma das caixas cair, a outra assume imediatamente). Estes equipamentos tambm passam a exercer a funo de servidores de VPN, alm de possurem tambm um mdulo especfico para deteco de intrusos e ataques oriundos da internet (IDS/IPS), com um nvel de funcionalidade bem superior ao IDS anterior (Snort).
Outro aspecto crucial a ser tratado diz respeito ao switch de distribuio da rede, na estrutura atual existe apenas um switch de borda, que constituindo um grande ponto de falha na rede. Sendo assim, ser necessria a substituio deste equipamento j bastante defasado e sem suporte, por dois novos switchs Cisco Catalyst. Ambos equipamentos tero as mesmas VLANs configuradas (trabalhando em trunking), alm disto, ambos tero portas de entrada para a rede interna, assim como portas de sada para os roteadores de internet.
Neste novo quadro, caso o link de internet de So Leopoldo que possui a VPN Site-to-Site estabelecida, provendo conectividade direta da Filial Matriz fique fora do ar. A conexo entre as duas ser feita atravs do outro link existente na Filial, pois neste, existe uma outra VPN Site-to-Site conectando-a ao CPD Backup, que por sua vez possui um link de fibra conectando-o diretamente rede interna da Matriz. Sendo assim, o Data Center de Backup ir rotear ou intermediar o trfego entre os outros 2 pontos da rede Wan.
Os dois cenrios da rede da Filial So Leopoldo, tanto o atual, quanto o futuro ambiente, sero apresentados nas topologias de rede apresentadas a seguir.
15
1.4.1. Cenrio Atual
SUPERSTACK
R
St at us
green = enabled, link O Kf lashing gr een Power Fault
2 31 10 11 12
2 31 10 11 12
1 1 1 171 18 19 20 21 22 23 24
1 1 1 171 18 19 20 21 22 23 24
Pckt
St at
Pckt
St at
1x 6x
12x7 x
1 3x 18x
24x19x
10/100 BASE - TX
Figura 6. Topologia Atual da Filial So Leopoldo
16
1.4.2. Cenrio Futuro
Figura 7. Futura Topologia da Filial So Leopoldo
17
1.5. Equipamentos a serem adquiridos
1.5.1. Especificaes e Justificativas
1.6. Rede Local - Sem Fio
Na topologia atual da empresa MedCare o acesso aos sistemas da empresa se d atravs da rede cabeada
dificultando/impedindo a utilizao de equipamentos mveis, tais como, tablets, smartphones e laptops.
Visando disponibilizar o acesso destes novos dispositivos aos sistemas da empresa, bem como permitir que
funcionrios, visitantes e fornecedores tenham acesso internet quando nas dependncias da empresa,
sugerimos a implementao de uma rede sem fio.
1.7. Benefcios
Os benefcios das redes sem fio:
Convenincia: Permite que funcionrios possam acessar os recursos da sua rede com segurana em qualquer local dentro da rea de cobertura.
Mobilidade: permite que os funcionrios permaneam conectados rede quando no esto nas suas mesas de trabalho.
Produtividade: permite acesso s informaes e aplicativos da empresa. Os visitantes (clientes, terceiros ou fornecedores) podem ter acesso de convidado Internet e aos dados corporativos.
Facilidade na instalao: Redes sem fio tornam mais fcil a tarefa de levar conectividade de rede a locais menos acessveis
Escalabilidade: Redes sem fio podem ser expandidas com o equipamento existente. Segurana: Avanos na tecnologia apresentaram protees robustas de segurana, de modo que
os dados ficam facilmente disponveis somente para as pessoas com acesso autorizado. Custo: a operao de uma LAN sem fio, que elimina ou reduz os custos com cabeamento durante
mudanas, reconfiguraes ou expanses de escritrios, pode custar menos.
1.8. Escopo
O escopo deste item do projeto a disponibilizao de acesso sem fio a rede da empresa em todos os
setores da Matriz e na Filial de So Leopoldo. Fornecer acesso, tanto para Diretores/Colaboradores quanto
para visitantes. Outro quesito do projeto a proposio de topologia que permita o gerenciamento e
monitoramento centralizado a partir da Matriz.
1.9. Tecnologia
Para atender os quesitos gerenciamento e monitoramento centralizado, bem como a segregao entre a
rede sem fio de uso da empresa e a de uso de visitantes, sugerimos a implementao da topologia Cisco's
Unified Wireless infrastructure.
A topologia Cisco's Unified Wireless infrastructure prope o uso de um equipamento central responsvel pelo
gerenciamento e controle dos Access Points, o Wireless Lan Controller, ou WLC.
18
Figura 8. Arquitetura Cisco Unified Wireless infrastruture
O Wirelles Lan Controller, ou WLC, tem trs funes primrias:
Controlar e gerenciar os Access Points
Tunelar o trfego da rede wireless
Coletar dados da rede sem fio para o gerenciamento atravs do Wireless Control System
Atravs do WLC pode-se gerenciar todos os Access Points da rede, sem que haja necessidade de interao de equipamento a equipamento, desta forma quando houverem mudanas nas configuraes ou na poltica de segurana da empresa, estas so alteradas somente no WLC e refletidas para todos os Access Points da rede.
O uso do Wirelles Lan Contoller tambm aprimora questes de segurana da rede atravs da possibilidade de uso de Vlans, separando o trfego da rede administrativa do trfego da rede de visitantes, por exemplo. Alem disto o WLC possui diversas features de segurana contra os principais ataques a redes sem fio e integrao com sistema de identificao de intruso.
1.10. Equipamentos
Para a implementao da rede sem fio sugerimos a utilizao do Wirelles Lan Controller 5508 e do Access Points Aironet 1240AG, da Cisco.
1.11. Topologia
Assim como a topologia apresentada pela Cisco, propomos a utilizao de um Wireless Lan Controller que dever ser instalado na matriz. Este equipamento ser responsvel pelo controle e gerenciamento dos Access Points tanto da Matriz quanto da Filial. Nossa topologia tambm contempla a autenticao dos usurios internos atravs da comunicao do WLC com o AD da matriz.
Os Access points estaro diretamente conectados aos siwtchs departamentais em modo truncking permitindo somente o trfego das Vlans 2 e 5. Para segmentar o trfego da rede administrativa e a rede de visitantes, a rede administrativa utilizara a Vlan 2 e a rede de visitantes a Vlan 5. Tambm para destribuir dois SSIDs sero configurados, o SSIDs Medcare para a rede interna e o SSID Visitante para os visitantes.
A fim de permitir a mobilidade dos usurios dentro das dependncias da empresa, todos os Access Points possuiro estas configuraes.
19
Figura 9. Topologia da rede
1.12. Autenticao
Para garantir a segurana na autenticao dos usurios na rede sem fio, propomos a utilizao do protocolo WPA2 com EAP + TKIP
O principal objetivo do WPA2 suportar as caractersticas adicionais de segurana do padro 802.11, que no estavam presentes em protocolos mais antigos. O WPA2 prov autenticao e criptografia, propondo a garantia de confidencialidade, autenticidade e integridade em redes sem-fio.
O WPA2 utiliza o AES junto com o TKIP com chave de 256 bits, um mtodo bastante poderoso para criptografia dos dados que trafegam pela rede wireless.
1.12.1. Usurios internos
Os usurios internos utilizaro o SSID MedCare para se conectarem a rede sem fio. A autenticao ser do tipo Open-Authentication com EAP + MAC atravs do Servidor RADIUS, e para criptografia utilizaremos WPA2 com AES + TKIP.
1.12.2. Usurios visitantes
Para acesso Wi-fi a rede de convidado ser utilizado um segundo ssid MedGuest com a VLAN 5 (Guest) para dispositivos convidados que no tero acesso nenhum rede interna. A autenticao ser do tipo Open-Authentication com EAP + MAC atravs do Servidor RADIUS, e para criptografia utilizaremos WPA2 com AES + TKIP.
Os dispositivos visitantes devero estar devidamente configurados no ACS no grupo Guest. Cada visitante receber um usurio e senha que estaro configurados no Users Identity Store do ACS.
20
1.13. IDS
O WLC, Wireless Lan Controlle, capaz de realizar a anlise de intruso utilizando dados capturados de todos os APs conectados. Esta caracterstica de analise de IDS de redes fio, incorporada ao WLC, no est disponvel para um sistema IDS de rede com fio.
A anlise de intruso feita atravs da comparao de assinaturas de ataques conhecidos. Estas assinaturas so freqentemente atualizadas.
1.14. Segurana e proteo contra ataques
ACLs e Firewall
O WLC permite a implementao de listas de controle de acesso, (ACLs), podendo ser definidas para qualquer interface configurada no WLC. Essas ACLs podem ser usadas para aplicar as polticas nas WLANs para limitar o acesso a determinados endereos e protocolos, bem como para fornecer proteo adicional para o WLC.
DHCP Spoofing e Arp Spoofing
O WLC atua como um agente de retransmisso para pedidos de WLAN cliente DHCP. Ao faz-lo, o WLC realiza uma srie de verificaes para proteger a infra-estrutura DHCP. A verificao principal verificar se o endereo MAC includo no pedido DHCP corresponde ao endereo MAC do cliente WLAN que envia o pedido. Isso protege contra ataques de exausto DHCP, ao restringir a um cliente WLAN a um pedido DHCP (endereo IP) para sua prpria interface. O WLC, por padro retransmite mensagens de broadcast de clientes WLAN de volta para a WLAN, o que impede um cliente da rede sem fio de agir como um servidor DHCP.
O WLC atua como um proxy ARP para clientes WLAN, atravs da manuteno da associao MAC-IP do destinatrio. Isso permite ao WLC o bloqueio do endereo IP duplicado e ataques de ARP spoofing.
Rogue AP
A soluo Cisco Unified de rede sem fio fornece uma soluo para Rogue APs, atravs da anlise RF, sendo capaz de fornecer a localizao aproximada dos equipamentos no autorizados.
Bloqueio de comunicao peer-to-peer
O WLC pode ser configurado para bloquear a comunicao entre clientes na mesma WLAN. Isso evita ataques entre os clientes na mesma sub-rede, forando comunicao atravs do roteador.
Client exclusion
Alm de IDS sem fio, o WLC capaz de tomar medidas adicionais para proteger a infra-estrutura WLAN e clientes WLAN. O WLC capaz de implementar polticas que excluem os clientes WLAN cujo comportamento considerado suspeito.
1.15. Monitoramento e gerenciamento
O Cisco Wireless Control System (WCS) uma soluo de gerenciamento de rede que permite o design, controle e monitoramento, gerao de relatrios, Troubleshooting para redes corporativas sem fio a partir de um local centralizado, tendo com principais benefcios a simplificao das operaes e menor custo total de propriedade.
21
2. Definio da Rede Lgica
2.1. Topologia Lgica Anterior
Blabla bla bla bla
2.2. Topologia Lgica Proposta
blablabla
3. VLANs
Procuramos seguir uma lgica bastante simples e o mais organizada possvel para o endereamento IP da rede de farmcias, elencamos aqui algumas das premissas que utilizamos:
Para as redes internas da Matriz, Data Center Backup e Filial, definimos conforme recomendado pela RFC 1918 que utilizaramos um faixa de IPs reservada para uso interno. Neste caso, o range escolhido foi 10.0.0.0/8.
Para provermos um bom nvel de segurana e tambm de desempenho, segmentamos as diversas reas em sub-redes distintas, atravs da configurao de VLANs. Com isto, conseguimos impedir que pacotes do tipo broadcast (enviados para todas as mquinas simultaneamente) trafegassem por toda a rede da empresa.
Para obtermos uma fcil identificao da localizao de cada sub-rede, determinamos que os endereos principais de rede seriam atribudos desta maneira:
Filial So Leopoldo todas as suas sub-redes iniciam com 10.1.X.X/X. Sendo o primeiro octeto definido como 10, pois este o prefixo global de toda a rede da farmcia. J o segundo octeto foi definido como 1, fazendo referncia ao nmero da filial (filial 01). O terceiro octeto, corresponde numerao das VLANs, que so:
VLAN1 Departamento de TI; VLAN2 Departamento de Vendas; VLAN3 Departamento de Marketing; VLAN4 Departamento Jurdico; VLAN5 Departamento Financeiro; VLAN6 (Wireless) Salas de Reunies; VLAN7 Servidores; VLAN8 Impressoras e Scanners; VLAN9 Setor de Atendimento (balco), VLAN10 Gerenciamento de ativos de rede e VLAN11 Sada para a internet.
O quarto octeto que compe os endereos de rede foi definido como sempre sendo 0 (zero). Exemplo: para identificarmos qual o endereo IP da estao de trabalho nmero 7 do setor de TI da filial de So Leopoldo. Basta seguirmos a lgica citada acima:
Primeiro octeto: 10 (prefixo global de rede interna);
Segundo octeto: 1 (referncia Filial 01 So Leopoldo);
Terceiro octeto: 1 (referncia VLAN 1, setor de TI);
Quarto octeto: 7 (referncia ao nmero da estao de trabalho).
Neste caso acima, o endereo da estao seria este: 10.1.1.7. Esta mesma regra foi aplicada a todas as demais sub-redes da MedCare.
22
Dentre as 10 VLANs diferentes, trs delas tiveram os endereamentos de seus equipamentos distribudos de forma manual com IPs fixos. So elas: VLAN 7 - Servidores; VLAN 8 Impressoras/Scanners e VLAN 10: Conectividade de ativos de rede.
As demais VLANs receberam endereos dinamicamente via DHCP para seus equipamentos.
Procuramos tambm utilizar uma tcnica conhecida como VLSM, para que pudssemos atribuir a cada setor
um nmero de endereos IPs que cobrisse toda a quantidade de mquinas necessria. Porm, sem
desperdcios. Por exemplo: um setor que possui 20 estaes, recebeu um range de IPS contendo 30
endereos, ( / 27 ), que atende s suas necessidades perfeitamente.
4. Virtualizao
Visando manter uma cpia fiel do Data Center principal, reduzindo custos de hardware, energia e refrigerao, em um ambiente onde o espao ocupado pelo hardware no data Center backup limitado, garantindo tambm altos nveis de desempenho para os servidores e servios optamos pela virtualizao dos servidores de contingncia.
Para isso selecionamos o VMware ESXi que fornece a base para criar uma infra-estrutura de TI confivel e dinmica. Este hypervisor abstrae os recursos de processador, memria, armazenamento e rede em vrias mquinas virtuais que, por sua vez, podem executar um sistema operacional e aplicativos no modificados. O VMware ESXi o hypervisor mais implantado, fornecendo os maiores nveis de confiabilidade e desempenho para empresas de todos os tamanhos. Permite consolidar os recursos de hardware com a tranqilidade oferecida pela plataforma de virtualizao de servidores de produo comprovada mais amplamente implantada e segura do setor.
O VMware ESXi a arquitetura de hypervisor mais recente da VMware. Ele possui uma arquitetura ultrafina que no depende de um sistema operacional de uso geral.. O VMware ESXi cria um novo patamar para a segurana e a confiabilidade, pois sua base de cdigo menor representa uma superfcie de ataque reduzida, com menos cdigo para corrigir. Com o pequeno espao ocupado e a mesma confiabilidade de um hardware, o VMware ESXi pode ser integrado diretamente aos servidores x86 padro do setor pelos fabricantes lderes de servidores, como Dell, IBM, HP e Fujitsu-Siemens. O VMware ESXi foi desenvolvido objetivando a simplicidade. A inicializao por menu e as configuraes automticas tornam o ESXi a maneira mais fcil de conhecer a virtualizao da VMware.
4.1. Arquitetura
Figura 10. Arquitetura virtualizada proposta
23
DEFINIO DOS DISPOSITIVOS DE SEGURANA
Optamos pelo produto da srie de Firewalls Cisco ASA 550, que prov um pacote de servios de segurana altamente integrados e referenciais no mercado para pequenas e mdias empresas. Dentre suas capacidades esto alta flexibilidade de servios, extenso de funes, baixos custos de operao e centralizao do gerenciamento.
O modelo ASA 5510, possui um grande leque de tecnologias e solues, eficaz em fornecer segurana Integra firewall, sistema de preveno de intruso (IPS) altamente eficazes e fornece alto desempenho em VPN. Com o Cisco ASA 5500 Series possvel ter desempenho, segurana, alta proteo dos ativos crticos e conectividade para a mxima produtividade.
Pode ser gerenciado pelo software CISCI ASDM, ou via telnet, permitindo criao de regras, monitoramento de trfego e simulao de configuraes com o Packet Tracer.
Figura 11. Ferramenta para gerenciamento do ASA.
5. Firewall
O firewall Cisco ASA ter a funo de controlar acesso de entrada e sada, monitorar e filtrar o trfego de dados.
Este possue as seguintes funcionalidades:
Listas padres de acesso
Lista de acessos dinmicas
Interceptao TCP
Controle de acesso baseado em contexto
NAT
24
Tecnologia CISCO de criptografia
Segurana em redes IPSec
Autenticao de roteadores vizinhos
Logs de eventos
Mecanismos AAA (Autorizao, autenticao e contabilizao)
Sua ferramenta possui uma interface bem amigvel, permitindo a criao de regras com facilidade.
Figura 12. Mdulo firewall do ASA.
6. Topologia metodologia - ilustrao
O Cisco ASA 5500 Series
7. Segurana do Permetro
7.1. IDS/IPS
O Cisco ASA 5500 Series IPS um modulo, que pode ser ativado, como IPS ou IDS. Essa escolha pode ser realizada ativando o Intrusion Prevention e habilitando posteriormente a opo Inline Mode para utilizar o ASA como IPS e Promiscous Mode para utilizar o ASA como IDS.
O IPS baseado em solues de rede que identificam com preciso, classificam, e param o trfego malicioso antes que afete a continuidade dos negcios para redes IPv4, IPv6 e hbridos. Eles combinam o servio de preveno com tecnologias inovadoras, resultando em total confiana na proteo da soluo.
25
Essas tecnologias inteligentes oferecem automao e anlise contextual de dados garantindo o mximo de preveno de intruso. Alm disso, o IPS usa a identificao de ameaas multivetor para proteger a rede contra violaes de polticas, exploraes de vulnerabilidade, e inspeo de atividade-meio anmala de trfego em Camadas 2 a 7.
7.1.1. Topologia metodologia - ilustrao
O mdulo IPS do ASA 5510 possui um mtodo sistemtico para analisar o trfego de rede e ento decidir o que fazer com o quadro ethernet:
1 Trfego chega interface do equipamento;
2 Se o trfego criptografado (tnel VPN) o mesmo descriptografado;
3 Regras de firewall so aplicadas;
4 Trfego enviado ao IPS;
5 O IPS aplica a poltica de segurana apropriada e em seguida uma ao adotada (encaminhar o trfego ao seu destino ou ento descart-lo);
6 Se trabalhando em um tnel de VPN, o trfego novamente encriptado;
7 O trfego encaminhado e sai do ASA.
8. VPN
Para permitir a comunicao entre a filial, matriz a CPD backup, a baixo custo, com segurana, com controle intensivo de servios em banda larga, oferecendo um conjunto de servios VPN IPSec e SSL, que se integram com as tecnologias de defesa, assegurando que a conexo VPN no seja um condutor para ameaas como vrus e hackers.
8.1. Site-to-site
Esta arquitetura permite a conexo permanente entre matriz, filial e CPD backup, os mesmos sero
fechados com IPSec e 3DES, permitindo mais segurana entre a troca de informaes.
8.2. Client-to-Site
Para permitir o acesso dos gerentes, vendedores, tcnicos e a quem for necessrio efetuar acesso
remoto na rede LAN da MedCare, ser possvel fechar um tnel de qualquer lugar que possua internet,
sendo utilizado para tal, o protocolo pptp com autenticao de usurio e senha da rede Windows, permitindo
maior facilidade de configurao, com nveis aceitveis de segurana.
26
SEGURANA DAS ESTAES
9. Antvirus
9.1. Situao atual
Atualmente as estaes da empresa esto protegidas pelo Antivrus Microsoft Security Essencial. Esta soluo no permite o gerenciamento centralizado acarretando dificuldades no controle dos equipamentos e na distribuio de atualizaes.
9.2. Objetivo
O escopo deste item do projeto prev a sugesto de um sistema de antivrus que possibilite o gerenciamento e a distribuio de atualizaes de maneira centralizada a partir da matriz da empresa.
9.3. Tecnologia proposta
O McAfee Endpoint Protection Advanced Suite proporciona segurana integrada e proativa, que bloqueia malware e ataques zero day, alm de proteger os sistemas mveis dentro e fora da rede. Conta com gerenciamento centralizado com base em polticas, controle de acesso e auditoria.
Principais caractersticas:
Proteo antimalware em tempo real Bloqueia vrus, cavalos de Troia, worms, adware, spyware e outros programas possivelmente indesejados..
Segurana proativa de email e Web Intercepta os malwares e spams antes que eles alcancem as caixas de entrada. O McAfee SiteAdvisor Enterprise Plus incorporado alerta os usurios a respeito de sites mal-intencionados antes do acesso, alm de permitir que os administradores autorizem ou bloqueiem o acesso a sites.
Proteo contra ataques do dia zero e vulnerabilidades A preveno de intruso de host verifica seus terminais em busca de malware, evita que cdigos mal-intencionados sabotem aplicativos e oferece automaticamente assinaturas atualizadas que protegem laptops e desktops de ataques. Assim, a implementao e os testes de patches podem ser realizados com segurana e conforme necessrio.
Firewall de desktop Controla aplicativos de desktop que podem acessar a rede e impede ataques provenientes da rede e inatividade do sistema. Implemente e gerencie polticas de firewall com base em locais para fornecer proteo completa e conformidade com normas.
Controle de rede e dispositivos O sistema de controle de dispositivos monitora e restringe os dados copiados para dispositivos de armazenamento removveis, garantindo a segurana das informaes confidenciais.
Gerenciamento centralizado A plataforma McAfee ePolicy Orchestrator (ePO) proporciona visibilidade instantnea do status geral de segurana e de eventos especficos, permitindo o controle unificado de todas as ferramentas de segurana e conformidade.
27
9.4. Requisitos de implantao
Para a implementao da nova soluo de antivrus ser necessria a configurao de um servidor com sistema operacional Windows 2008 Server que atuar como gerente das estaes de trabalho.
9.5. Oramento
Os valores de licenciamento sero levantados posteriormente junto ao representante da Mcafee.
10. Antispam e Filtro Web
10.1. Situao atual
No processo de anlise verificamos a inexistncia de um sistema para controle de emails, bem como a falta de um sistema para controle das pginas que eram acessadas pelos colaboradores da organizao. A falta de um sistema para controle dos emails acarretava no nmero elevado de mensagens indesejadas, alm de, em muitos casos, possurem links para endereos maliciosos ou anexos como vrus e malwares que poderiam comprometer a segurana dos dados da empresa. A falta de controle sobre a navegao na internet reduzia o desempenho dos funcionrios na realizao de suas atividades, bem como trazia risco a segurana da empresa uma vez que se poderiam acessar endereos maliciosos.
10.2. Objetivo
Este item do projeto tem por objetivo apresentar uma soluo que vise reduo do nmero de mensagens indesejadas, bem como uma soluo para controle da navegao na internet.
10.3. Tecnologia proposta
TRITON Security Gateway Anywhere, aumenta a produtividade dos funcionrios, reduz os riscos de responsabilidade legal e otimiza o uso dos recursos de informtica.
Principais Benefcios:
Possibilita que as organizaes estabeleam polticas flexveis de uso da internet com as as opes: Permitir, Bloquear, Continuar, Cota de Tempo, Bloquear por Banda, Bloquear por Tipo de Arquivo para gerenciar o acesso Internet e filtragem de sites com base no horrio;
Permite que as empresas definam polticas por tipo de arquivo e mais de 80 protocolos de aplicativos, incluindo email, transferncia de arquivos, acesso remoto, streaming media, mensagens instantneas (IM) e compartilhamento de arquivos P2P;
Permite que as empresas definam polticas com base em usurios/grupos definidos em Microsoft Windows Active Directory, Sun Java System Directory Server e Novell eDirectory acessados por protocolo LDAP (Lightweight Directory Access Protocol), RADIUS e tambm em ambientes Citrix;
Fornece ferramentas de relatrio poderosas e lderes do setor para analisar e monitorar o uso da internet na organizao;
Habilita as organizaes a otimizar a banda de rede, priorizando e gerenciando o trfego em tempo real;
28
10.4. Controle de navegao web
Fornece os recursos filtragem de contedo e segurana de Internet em uma soluo simples. Permite a proteo de at 250 usurios contra os riscos de segurana de Internet, controlando o acesso a contedo inadequado e bloqueando proativamente as ameaas de segurana antes que tenham uma oportunidade para infectar seus sistemas. Principais Benefcios:
Otimiza a produtividade dos usurios e os recursos de TI:
Aumenta a produtividade dos funcionrios e reduz as distraes da equipe de TI, gerenciando proativamente o uso da Internet e reduzindo os riscos associados ao uso da web.
Assegura que os funcionrios trabalhem em um ambiente gerenciado de forma favorvel aos negcios.
Maximiza e aumenta a efetividade da segurana:
Aumenta o nvel geral de segurana contra ameaas web (ameaas NO abordadas por antivrus ou firewalls), da forma mais econmica - bloqueando-as na origem.
Maximiza a continuidade do negcio:
Fornece visibilidade em tempo real para gerenciamento do uso da Internet, e permite relatrios personalizados para que as empresas tenham a flexibilidade necessria para atender aos seus requisitos operacionais nicos.
Aumenta a disponibilidade geral do sistema, impedindo que as ameaas da web penetrem na infra-estrutura de TI e interrompam as operaes do negcio, o que pode resultar em perda de receita, insatisfao de clientes e problemas potenciais de responsabilidade.
Inclui funcionalidades de nvel empresarial com um investimento pequeno de TI - desde a aquisio e configurao at o gerenciamento dirio..
10.5. Controle de email
TRITON Security Gateway Anywhere fornece:
Proteo eficaz contra spam, vrus e ataques diversificados; Suporte out-of-the-box para conformidade regulatria; Controles com polticas flexveis.
A tecnologia Websense ThreatSeeker fornece proteo proativa contra ameaas de email e Internet, bloqueando os ataques antes que alcancem a sua rede. Ao associar conhecimentos de segurana inigualveis com deteco automtica, a tecnologia ThreatSeeker fornece os nveis mais elevados de exatido com os menores nveis de falsos positivos. Principais Benefcios:
Proteo antivrus: Fornece integrao com as principais ferramentas antivrus do mercado. Proteo antispam: Usa proteo antispam que aproveita o conhecimento aprofundado do
Websense sobre ameaas de Internet e email. Inspeo de dados: Pode identificar contedo em centenas de tipos de arquivos anexos.
29
Relatrios: Fornece uma imagem das ameaas de email e das falhas de conformidade de sua empresa para implementar polticas relevantes e impulsionadas por dados.
Relatrios versteis: Mais de 40 relatrios pr-definidos e personalizveis, junto com o Websense Threat Dashboard e o Drill-Down Manager, mostram os principais indicadores de email.
10.6. Requisitos de implantao
10.7. Oramento
Os valores de licenciamento sero levantados posteriormente junto ao representante.
30
MONITORAMENTO
A MedCare possui uma variedade de plataformas e equipamentos de diferentes fabricantes, caracterstica que torna a rede da farmcia bastante heterognea, neste cenrio se faz necessrio o monitoramento do ambiente como um todo, para garantir um bom andamento e continuidade do negcio da empresa. Para que seja possvel monitorar ativos de rede, links, servidores e estaes de trabalho, nesta seo ser projetada a infraestrutura e detalhada a utilizao das ferramentas escolhidas para este fim.
11. Objetivos
Obter acompanhamento em tempo real das condies de funcionamento da estrutura de TI. Realizar verificaes regulares dos servidores e servios (Linux, Windows, Apache, Exchange, DNS, etc) e outros equipamentos da infraestrutura de rede (roteador, switch, impressoras, links, etc). Enviando notificaes (e-mails, SMS, etc.) em caso de paradas ou deteco de anomalias. Sendo possvel se antecipar aos problemas e agir rapidamente, minimizando incidentes e mantendo o um bom nvel de servio, com o menor nmero de interrupes possvel.
12. Servidor de Gerncia de Rede
Sugerimos a utilizao de um servidor virtual para centralizar os softwares de monitoramento, com o sistema operacional Windows Server 2008 Standard, possuindo no mnimo 4GB de RAM e disco de 500GB, para possibilitar armazenamento de relatrios de desempenho. Diariamente ser gravado em fita LTO um backup do estado desta mquina, como precauo contra a perda deste servidor e conseqentemente da gerncia e monitoramento da rede.
Tambm sugerimos a colocao de um monitor LCD 32 polegadas, com a rotao das telas das ferramentas de monitoramento, permitindo a observao por parte da equipe de TI da MedCare durante o horrio comercial. Visando prevenir incidentes e obter notificao imediata em regime de monitorao 24x7, sero configurados envios de alertas via SMS e e-mails para o grupo de funcionrios da TI responsveis pela infraestrutura de rede e sistemas da farmcia.
13. Ativos e servios que sero monitorados
Foram considerados os ativos a seguir, devido a seus altos graus de relevncia para a organizao, pelos servios que estes executam. Uma parada ou instabilidade nestes ativos, sistemas e/ou servios, pode acarretar em uma perda significativa no que diz respeito agilidade nos atendimentos e principalmente em perdas financeiras.
31
Ativos Atributos Nveis de
Criticidade Alertas Ferramenta
Servidores /
Servios
Desempenho (Disco, CPU, Memrias RAM/Swap) Status de servios (DNS,
DHCP, IIS, Exchange, WSUS, Anti-vrus, etc)
Status de processos Interfaces de rede Up time
Alto
Alto Alto Alto Baixo
E-mails SMS Monitor 32 Relatrios
CA Spectrum
Wireless
Interfaces de rede (dos Access Points) Intensidade do sinal Clientes conectados Up time
Alto Mdio Mdio Baixo
E-mails Monitor 32 Relatrios
Cisco WCS
Links
Ping Anlise de trfego Utilizao de banda Tempo de resposta
Alto Alto Alto Alto
E-mails SMS Monitor 32 Relatrios Grficos
CA Spectrum
Firewalls, Proxy, Web Filter, VPNs
e IDS/IPS
CPU / Memria Interfaces Sesses Tentativas de ataques Acessos a sites Comportamentos
Alto Alto Alto Alto Mdio Alto
E-mails SMS Monitor 32 Grficos
CA Spectrum Cisco ASA 5510 (Dashboard)
Roteadores / Switchs
Interfaces de rede Anlise de trfego Status das conexes Trfego Intra e Inter-VLANs
Alto Alto Mdio Mdio
E-mail Monitor 32 SMS
CA Spectrum
Nobreaks
Tenso Utilizao (by-pass, online) Carga Utilizao das baterias
Alto Alto Alto Alto
E-mail Monitor 32 SMS
CA Spectrum
Data Center Temperatura da sala Cmeras de segurana Umidade
Alto Alto Mdio
E-mail Monitor 32 SMS Aviso sonoro Display integrado
APC NetBotz Room Monitor 455
Estaes
(Updates instalados e/ou pendentes via WSUS, Anti- Vrus, Anti-Spyware, etc) Programas instalados. Acessos internet
Alto Mdio Mdio
E-mails Relatrios
McAfee ePO WSUS CA Spectrum
32
14. Ferramentas
Para prover diferentes tipos de monitoramento e suprir s diversas necessidades, sero utilizadas algumas ferramentas especficas para cada propsito.
14.1. CA Spectrum
14.1.1. Inventrio do parque tecnolgico
Esta ferramenta prov relatrios de inventrio de equipamentos organizados por:
Fabricante; Tipo; Endereo IP; Verso de firmware; Horrio do ltimo reboot; Data e hora do ltimo patch aplicado; Contato; MAC Address; Localidade (til em redes WAN).
14.1.2. Descoberta automtica de rede
Atravs da tecnologia AutoDiscovery o CA SPECTRUM identifica automaticamente todos os ativos de rede e cria um banco de dados e um mapa da de sua topologia. Este mapa inclui servios das camadas 2 e 3 do modelo OSI e exibe dispositivo que atuam em ambas as camadas, tanto em ambientes de redes LAN e WAN, com ou sem fio.
Figura 13. O CA SPECTRUM detecta automaticamente e monta graficamente a topologia de rede.
33
14.1.3. Anlise de Causa Raiz e Solues de Problemas
Utilizando a RCA (Root Cause Analysis) o Spectrum automatiza a soluo de problemas correlacionando e interpretando um conjunto de sintomas e/ou eventos, indicando suas causas e gerando alarmes que podem ser acionados. A funcionalidade RCA aproveita a tecnologia de Descoberta automtica de rede patenteada da CA Tecnologies, usando um sistema sofisticado de modelos, relaes e comportamentos. Estas relaes entre os modelos do um contexto para colaborao, que permite ao CA Spectrum correlacionar sintomas e eventos, suprimir alarmes desnecessrios e analisar o impacto sobre usurios, clientes e servios.
Figura 14. O CA SPECTRUM deduz a causa raiz do problema, indica visualmente o dispositivo de impacto (em vermelho), assim como os demais dispositivos que sofrem esse impacto (em cinza).
14.1.4. Monitoramento e alteraes de configuraes
Com o mdulo CA SPECTRUM Network Fault Manager Network Configuration Manager, possvel capturar, modificar, carregar e verificar configuraes de uma grande quantidade de dispositivos de vrios fornecedores, alm de administrar dispositivos em arquivos de configurao. Cada configurao recebe uma marca de data e hora e identificada por nmero de reviso. As configuraes armazenadas podem ser carregadas em vrios dispositivos simultaneamente, e todas as alteraes so rastreadas automaticamente. possvel tambm reverter configuraes para a ltima configurao vlida.
Figura 15. Na figura acima, aps detectar uma anomalia no funcionamento de um roteador, possvel fazer ma comparao entre Startup x Running Config. E se necessrio, alter-las.
34
14.1.5. Anlise de trfego
O NetQoS Reporter Analyzer, mdulo de anlise de trfego de rede, permite visualizar como o trfego de determinada aplicao est impactando no desempenho da rede. Tambm capaz de coletar informaes estatsticas de trfego de Cisco IOS Netflow e IP Flow Information Exported (IPFIX) habilitado em roteadores e switches. Possibilita a verificao de anomalias na rede, baseadas em padres de trfego pr-definidos, qualquer alterao do padro estabelecido notificada ao administrador.
capaz de acessar at um ano de dados histricos e relatrios sobre 100% do fluxo de trfego e identificar as aplicaes e hosts que consumiram mais banda de rede em um perodo de tempo especificado. Isso permite que os gerentes realizem anlises de custo-benefcio para tomadas de decises mais precisas, e melhorar a prestao de servio de rede.
Figura 16. Exemplos de grficos de Anlise de Trfego
14.1.6. Servidores e Servios
O CA-SPECTRUM fornece suporte a vrios fornecedores e tecnologias, assim como suporte a vrios protocolos (por exemplo, SNMPv1, v2 e v3, TLI, RMON etc). Alm disso a ferramenta possui um mdulo de gesto SNMP universal que possibilita uma administrao ampla de falha de qualquer dispositivo de rede compatvel com SNMP, incorporando uma grande quantidade de RFCs IETF e MIBs do padro IEEE. O CA SPECTRUM tambm inclui utilitrios para estender os recursos de gesto do dispositivo prontos para uso a fim de oferecer suporte a MIBs adicionais e implementar o processamento especializado.
Por este motivo o escolhemos para realizar o monitoramento em todos os servidores, ativos (roteadores, firewalls, switchs, etc) e servios de rede. Ser utilizado o protocolo SNMP v3, que prov criptografia e autenticao forte, para isto, ser criada uma comunidade SNMP chamada medcare-actives, com permisses de escrita e leitura, para que o Spectrum possa realizar modificaes quando necessrio. Por questes de segurana, o acesso esta comunidade ser restrito apenas ao endereo IP do Spectrum.
35
Outro fator interessante que a ferramenta consegue distinguir e monitorar ambientes fsicos e virtualizados simultaneamente.
Figura 17. Monitorando ambiente virtualizado, baseado em VMware.
Figura 18. A ferramenta fornece a criao e configurao de categorias
36
14.1.7. Relatrios
H a possibilidade de gerao de uma infinidade de grficos para anlise de ambientes e servios, estes dados podem ser visualizados dentro da prpria ferramenta ou ser exportados em diversos formatos, tais como: pdf, doc e html.
Figura 19. Relatrios gerados pelo Spectrum.
14.1.8. Investimento
Durao do Contrato: 24 meses
Valor do Contrato: R$ 39,775,90
15. Cisco Wireless Control System (WCS)
Como optamos por utilizar a ferramenta WCS da Cisco para configurao administrao da rede wireless, devido esta plataforma ser lder no mercado para planejamento de redes sem fio, configurao, gerenciamento e servios mveis. Como no poderia deixar de ser, utilizamos esta mesma ferramenta para realizar o monitoramento da rede sem fio.
Monitoramento e resoluo de problemas: possvel visualizar o layout de sua rede sem fio e monitorar em tempo real seu desempenho. Isto inclui mapas detalhados que mostram status em cores por cima das plantas importadas. Alm disto, o Cisco WCS proporciona visibilidade rpida em falhas de cobertura, alarmes e estatsticas de utilizao para monitoramento e soluo de problemas.
37
Figura 20. Viso geral do ambiente sendo monitorado via WCS
Figura 21. Viso Macro do Ambiente
Figura 22. Viso mais aproxima de ponto com baixa qualidade de sinal
38
15.1. Investimento
Cisco WCS Base License for 50 APs, Windows/Linux: R$ 2,625.36
16. WSUS
Esta ferramenta da Microsoft permite gerir e monitorar de forma centralizada distribuies das atualizaes de software lanadas pelo servio Microsoft Update para todos os servidores e desktops da rede que utilizem o sistema operacional Windows.
O WSUS permite aos administradores da rede estimar a quantidade de computadores que necessitam de uma atualizao aprovando a ao detect-only para uma atualizao. A ao detect-only determina, por computador, se uma atualizao apropriada. Isso permite que administradores analisem o impacto de uma atualizao antes de planejar e implementar a instalao. Possibilita tambm que implementem atualizaes para computadores especficos e/ou grupos de computadores. Isso pode ser configurado pelo servidor do WSUS diretamente usando Polticas de Grupo (Group Policy) no Active Directory.
Com o WSUS possvel a remoo de atualizaes problemticas e tambm a configurao para autorizao de atualizaes, ou seja, possvel permitir ou no que determinado Patch crtico seja atualizado ou instalado para todos os computadores com o sistema operacional Windows da rede sem a interao com o usurio.
Com a sincronizao, atualizaes, grupos alvo, e aprovaes criadas pelos administradores em um servidor WSUS central, as configuraes podem ser enviadas aos outros servidores automaticamente. Isso importante pois os clientes somente acessam o servidor local, deixando a utilizao de banda ser realizada entre servidores WSUS e permitindo o gerenciamento de atualizaes mesmo em links de baixa capacidade.
Na rede Wan da Medcare, implantamos um servidor na matriz que o servidor central do WSUS, alm de outros dois servidores WSUS secundrios da rede, localizados na filial So Leopoldo e Data Center Backup respectivamente.
O WSUS fornece os seguintes relatrios:
Estado das atualizaes: pode ser gerado por atualizao, por computador, e por grupo baseado em todos os eventos que so enviados aos clientes;
Estado dos computadores: o administrador pode ver o quo atualizado est uma mquina em relao s atualizaes aprovadas no servidor;
Sumrio de mquinas: os administradores podem ver ou imprimir um sumrio com informaes especficas de computadores incluindo software bsico e informaes de hardware, atividade do WSUS e estado de atualizao;
Sumrio das atualizaes: os administradores podem ver ou imprimir um sumrio com informaes sobre as atualizaes;
Estado do sincronismo.
39
16.1. Cenrio de Implementao
Para atender as necessidades de uma administrao centralizada o servidor WSUS que ser implementado na Matriz dever ser configurado como servidor central, onde somente ele far acesso ao servio Microsoft Update e buscar as atualizaes, os dois servidores clientes localizados na filial So Leopoldo e Data Center Backup respectivamente, recebero os pacotes e informaes do servidor central.
Desta maneira o trfego de internet se concentra somente na matriz e as informaes tornam-se centralizadas.
Figura 23. Cenrio de Implementao para o WSUS
16.2. Investimento
Gratuito para instalao em servidores Microsoft Windows Server.
17. Infraestrutura do Data Center
O monitoramento do Data Center e da infra-estrutura fsica so considerados com nvel de criticidade alta no que se refere a segurana das informao e disponibilidade dos equipamentos. Visando essa disponibilidade dos ativos contidos neste local e tambm a continuidade dos negcios, se faz necessrio que sejam monitorados a temperatura da sala, umidade do ar, alm de instalaes de cmeras de segurana para monitoramento de entrada e sada.
40
17.1. Cmeras
Atravs do monitoramento realizado pela cmera APC NetBotz Room Monitor 455, sero assegurados a movimentao e segurana do Data Center. Essa ferramenta ser instalada atravs da rede e possibilitar que os administradores da rede acompanhem em tempo real via browser a atividade humana e Door Sensor no Data Center.
17.2. Temperatura Data Center e umidade do ar
A ferramenta APC NetBotz Room Monitor 455 ir monitorar o condicionamento de ar a fim de conservar os nveis de temperatura e umidade adequados, estveis, e manter o local isento de impurezas, mantendo a presso positiva dentro do Data Center para que o funcionamento dos equipamentos no seja afetado.
A temperatura e a umidade relativa do ar devero ficar em torno de 22 C e 55% respectivamente com uma tolerncia de 10% para a temperatura e 5% para a umidade, sendo respeitado o limite de alterao na temperatura de no mximo 1 C a cada 5 minutos, e de 45% a 55% para a umidade relativa em 8 horas.
No caso de haver qualquer anormalidade contrria s configuraes estabelecidas no NetBotz, sero enviados avisos atravs de alarmes SNMP, SMS e e-mail aos administradores da rede para que as devidas medidas sejam tomadas a fim de manter o correto funcionamento do Data Center sem afetar o negcio.
18. Investimento Total
Software Licena Preo
CA Spectrum Contrato de 24 meses R$ 39,775,90
Netflow Analyser Professional Plus Edition R$ 2.103,20
Cmeras e Data Center APC NetBotz Room Monitor 455 R$ 9.990,00
Cisco WCS Licena definitiva R$ 2,625.36
TOTAL R$ 54.493,10
41
AUTENTICAO INTEGRADA
19. Situao atual
Atualmente a rede no conta com autenticao de clientes diretamente conectados aos switchs, bem como clientes wireless no necessitam de autenticao adicional para ter acesso recursos disponveis na rede. Outro problema corrente so as diversas credenciais de acesso aos equipamentos de rede que, de acordo com a atual organizao e registro em documentos, no oferecem controle adequado..
20. Objetivos
Permitir o uso inteligente de uma base central de usurios para gerenciar o controle de acesso, impactando de forma positiva na autenticao, autorizao e trilhas de auditoria. Com mecanismos de autenticao integrada, busca-se eficincia no gerenciamento de autenticao de equipamentos, autorizao de comandos e auditoria das atividades, alm de reforar a segurana com mtodos adicionais de autenticao.
Outro fator que eleva as necessidades de desenvolver e implementar uma soluo de autenticao integrada a praticidade ao utilizar apenas uma credencial de acesso para acessar mais de um recurso, sem a necessidade de informar as credenciais de acesso novamente. Um usurio ou administrador de rede poder criar uma senha mais forte e ter de lembrar desta nica senha. Usurios comuns sofrem o hbito de anotar as senhas em papel, celular ou em outros lugares. Com a criao de uma nica senha, espera-se que esta atitude diminua gradativamente ou extingue-se em breve.
21. Benefcios
De acordo com os diversos equipamentos dispostos na rede, torna-se imprescindvel o emprego de um mecanismo de controle de acesso especfico para autenticar usurios e que pode tambm gerenciar autorizao e contabilizao de acesso recursos disponveis em dispositivos, sistemas e equipamentos.
Atravs de uma mecanismo de autenticao integrada, o administrador da rede possui flexibilidade para controlar o acesso sistemas, servios e equipamentos. Com isso, o administrador pode configurar o meio de autenticao para que utilizem este mecanismo de autenticao nico e distribudo, assim facilitando seu dia a dia.
Um mecanismo de autenticao integrada oferece meios para que diversos sistemas utilizem seus recursos para gerenciar o acesso de usurios. Logo um sistema de gesto de incidentes de TI, poderia fazer uso deste mecanismo de controle de acesso para gerenciar usurios que o acessam, por exemplo.
Neste ambiente, ser utilizado o recurso de Single-Sign-On SSO nos servios de proxy autenticado com ISA Server e outros servios Microsoft. O recurso Single-Sign-On permite que um usurio uma vez autenticado no necessite apresentar novamente suas credenciais para acessar um servio distinto ao que ele autenticou anteriormente. Isto possvel devido maneira como os servios de autenticao da Microsoft trabalham. O Authentication Server juntamente com o protocolo KDC da Microsoft realizam as atividades de entrega de tickets para usurios autenticados. Estes usurios autenticados apresentam estes tickets para os servios afirmando que j autenticaram anteriormente, logo o servio verifica a autenticidade das informaes e permite o acesso do usurio, sem que este entre com suas credenciais de acesso e sim somente com o ticket.
42
22. Microsoft Active Directory (AD)
O Microsoft Active Directory, um dos servios de diretrio mais utilizados em pequenas, mdias e grandes organizaes proporciona comodidade, segurana e flexibilidade para implementao de um mecanismo de controle de acesso recursos.
Atualmente o Microsoft Active Directory utiliza a verso 5 do protocolo de autenticao Kerberos que conta com robusta segurana durante o ciclo de vida da informao, desde sua criao at o transporte de dados para o cliente da rede.
A atual verso do protocolo Kerberos conta com fortes algoritmos criptogrficos. Com o objetivo de garantir a confidencialidade dos dados, a Microsoft selecionou os protocolos AES(128 ou 256)-CTS-HMAC-SHA1-96 e RC4-HMAC como sendo algoritmos padres para servidor e cliente nas verses atuais dos sistemas operacionais Microsoft Windows 7 e Microsoft Windows Server 2008 R2. Estes algoritmos so empregados pelo protocolo KDC responsvel pela troca de chaves entre o prprio KDC e duas partes que se comunicam em uma rede contendo sistemas operacionais Microsoft e outros sistemas que fazem uso do protocolo Kerberos. Portanto, uma autenticao de usurio utilizando sistema operacional Microsoft Windows nas verses mais atuais, tem garantida a confidencialidade das informaes em trnsito.
Alm de forte segurana na comunicao entre cliente e servidor, o Active Directory permite o gerenciamento flexvel de controladores de domnio dispostos na floresta criada para gerenciar os domnios da rede ou ingressar um controlador de domnio um domnio j existente, o que torna possvel a continuidade de autenticao de usurios caso o controlador de domnio principal sofra uma parada repentina e no esperada.
Como o Microsoft Active Directory gerencia as estaes ingressadas ao(s) domnio(s), o AD possui total controle das polticas de segurana do sistema operacional da estao de trabalho, o que permite flexibilidade na configurao das mesmas em escalas maiores, poupando tempo do administrador.
Contudo, o AD garante um ambiente flexvel, seguro, distribudo e organizado para manipular autenticao de usurios, seja atravs de sistema operacional cliente e demais sistemas disponveis na rede. Alm disso gerencia quais recursos um usurio est apto a manipular e em seguida pode realizar a auditoria, registrando cada acesso aos recursos, atravs de logs distintos e detalhados.
O Active Directory tambm possui a capacidade de se integrar com servios importantes na rede, como Domain Name Server (DNS) e Dynamic Host Control Protocol (DHCP). Atravs do DNS, clientes da rede podem realizar pesquisas a nomes de outros hosts da LAN e WAN. J com o protocolo DHCP, possvel gerenciar um grande nmero de estaes, alugando endereos IP para cada cliente, seja um cliente Microsoft Windows ou no. Porm, preciso que o cliente possua configuraes especficas para que consiga se comunicar efe
