FACULDADE BATISTA CAMPUS SERRA

FABAVI



REDES DE COMPUTADORES 4 PERIODO NOTURNO
TRABALHO
INTERDISCIPLINAR



DIONE WELLINGTON SOARES DE OLIVEIRA
EDUARDO MOTTA OLIVEIRA
FELIPE FRANCO
J OCIMAR BATISTA






Serra - Novembro de 2007.

DIONE WELLINGTON SOARES DE OLIVEIRA
EDUARDO MOTTA OLIVEIRA
FELIPE FRANCO
J OCIMAR BATISTA

TRABALHO
INTERDISCIPLINAR




Trabalho apresentado como requisito parcial na
obteno de crditos nas disciplinas de
Segurana, Segmentos de Rede, Fundamentos
de Telecomunicaes e Legislao e tica em
Telecomunicaes, ministradas pelos
professores Helder Bortolon, Marcos V.
Gabrielli, Vladimir Romanelli e Aldo N.
Zuquini, respectivamente, no curso Tecnologia
em Redes de computadores, da Faculdade
Batista - FABAVI Campus Serra.








Serra - Novembro de 2007.

1. Introduo e Objetivo:

O objetivo deste trabalho apresentar uma proposta para ligao de quatro pontos (voz e dados),
localizados na Grande Vitria, utilizando meios fsicos e wi-fi.
Dois destes pontos esto em Carapina. A distncia entre esses pontos de 400 metros, sendo que entre
estes h visada direta. O terceiro ponto est em Vila Velha e o outro no centro de Vitria.

Iremos destacar:

Os mecanismos de segurana dessa rede, abordando temas como criptografia e hardering;
Como ser feita a comunicao entre as quatro unidades empresariais localizadas em Carapina,
Vila Velha e Vitria;
A legalizao dos equipamentos (em conformidade com a ANATEL), abordando as certificaes
e homologaes que eles devem possuir;
O sistema de telefonia, que trabalhar com a tecnologia de voz sobre IP.

2. Escopo e Viso Geral do Projeto:

O projeto englobar as quatro unidades da empresa j citadas anteriormente, e contar com os
seguintes servios:

A interligao das LANs ser por meio da tecnologia de VPN, que fornecer aos usurios o
acesso aos servios disponibilizados na rede de forma segura, com autenticao e criptografia. A
tecnologia de VPN permitir a utilizao da internet para interligar as unidades com segurana, ao
invs de utilizar conexes privadas, que aumentariam muito o preo do projeto, o que poderia at
inviabilizar o preo do projeto, contanto que so poucas estaes em cada regio.

Um servidor de diretrio (Active Directory) ser instalado na unidade matriz e ser usado para
fazer controle de usurios localizados nas unidades de Carapina, e suas polticas de restrio de acesso
e utilizao;

Um servidor DNS ser instalado junto do servidor de diretrio, pois um pr requisito para a
instalao do AD;

Um firewall Linux com mltiplas funes ser instalado em cada localidade para proteger as
redes internas de ataques externos atravs do bloqueio de portas de comunicao e mecanismos
internos de deteco de intrusos;

Os proxys Squid instalados junto a cada firewall de cada localidade da organizao tero como
objetivo: fazer o cache das pginas acessadas, melhorando, desta forma, o acesso internet, e aplicar
polticas de restrio de acesso, permitindo somente acessar o contedo necessrio para fins de
trabalho;

Na parte de telefonia ser usado o VoIP (voz sobre IP) para reduzir os custos com telefonia
entre as LANs de cada municpio.

1. Carapina (Matriz):
Roteadores;
Firewall/proxy (Linux/Squid);
Servidor de correio;
VPN Server (Linux) (Gateway-to-gateway) pptpd/poptop;
Switch (2 unidades de 24 portas e um de 16 portas no gerencivel);
Active Directory (Windows 2003 Server);
2 Access points;
2 Antenas;
30 estaes Carapina I;
10 estaes Carapina II;
Link (2 Mbps dedicado e E1 (30 canais) para chamadas externas);
ATA

2. Vitria e Vila Velha (filiais):
Roteador;
Firewall/proxy (Linux/Squid);
VPN Server (Linux) (Gateway-to-gateway) pptpd/poptop;
Switch (1 unidade de 16 portas no gerencivel);
10 estaes;
ATA


3. Segurana:

Polticas do proxy e firewall:

Bloquear acessos a sites com contedo que envolva pirataria e pornografia;
Bloquear Orkut, YouTube e qualquer outro servio de comunidade on-line e streaming de
arquivos multimdia (udio, vdeo);
Bloquear IP's fixos de dominios que enviam spam para o correio;
Configurar controle de banda (software necessario - bandlimit);
Exigir que todas as senhas dos usurios atendam a requisitos mnimos de complexidade e que
sejam trocadas no mximo a cada dois meses;
Compartilhadores de arquivos (P2P) no sero permitidos, as portas para esse servio tambm
sero bloqueadas.
As configuraes de segurana sero todas documentadas. Isso ser muito til para identificar
problemas de configurao e de segurana durante as auditorias futuras.

Para os usurios:

Como sabemos, a segurana da rede tambm est em grande parte relacionada aos usurios finais
do sistema. Portanto, todo novo funcionrio novo que far uso do sistema da empresa dever assinar
um documento em que se responsabiliza por qualquer infrao que cometa e se mostre ciente perante
as normas internas da organizao descritas no documento. Desta forma, se um usurio burlar o
sistema de bloqueios e permisses e a empresa ficar sabendo do ocorrido, o usurio poder ser punido
por justa causa.

Hardering:

Nos servidores devero ser aplicados processos de hardening para melhorar o nvel de segurana
da rede. As seguintes tarefas sero aplicadas:

Desativar funes desnecessrias em arquivos de configurao;
Desativar contas que no so mais usadas de usurios no Active Directory e no servidor de
correio;
Fechar todas as portas da rede e ir liberando gradativamente as portas para os servios que so
instalados e usados. Isso evita que as portas no usadas fiquem abertas e esquecidas;
Os servidores com sistemas Linux tero suas aplicaes atualizadas assim que sarem novas
verses de aplicaes e de sistemas operacionais. O servidor Windows, com o servio de Active
Directory, ser atualizado com os service packs da Microsoft.


Segurana fsica:

Todos os servidores da matriz em Carapina ficaro instalados em sala separada e com sistemas de
refrigerao e iluminao adequados. O acesso sala s ser permitido a funcionrios do setor de TI e
ser atravs da digitao de senha num painel, que destrancar a porta. Nas filiais, os servidores
podero ficar em locais fechados e trancados chave. Todos os computadores, servidores e
equipamentos de rede faro tambm o uso de no-breaks para proteo eltrica.






4. Ligao sem fio entre as unidades de Carapina:

Utilizaremos Antenas de Painis Setoriais.
Definio: Antena composta um conjunto de dipolos alimentados em fase, e uma chapa refletora.
Utilizao: para enlaces ponto multiponto, onde o ngulo de abertura da antena atende a uma determinada
regio.

Modelo: antena de grade HyperGainHG2424G High-Performance que fornece 24 Dbi de ganho,
com 8 graus de abertura do sinal para aplicaes direcionais de longo alcance. Pode ser instalada com
a polarizao vertical ou horizontal.

Freqncia 2400 2500 MHz
Ganho 24dBi
Abertura do sinal 8 Graus
Impedncia 50 Ohm
Potncia Mxima 50 Watts

Procedimento para certificao das Antenas

No modelo adotado pela Agncia (ANATEL) em julho de 2001, a certificao feita pelos
organismos de certificao designados (OCDs) cabendo Anatel expedir ato de homologao,
procedimento em que reconhece os certificados de conformidade ou aceita as declaraes de
conformidade para produtos de telecomunicaes.

As HyperGainHG2424G so Antenas Setoriais (Tipo painel) e se caracterizam como produtos de
telecomunicaes de categoria II. Para certificao e homologao das Antenas setoriais devemos
seguir a risca o que determina a Resoluo n. 372, de 19 de maio de 2004, juntamente com o seu
anexo.

A Resoluo n. 372, tem o aval da ANATEL pelo art. 22 da Lei n. 9.472, de 16 de julho de 1997, e
o art. 35 do Regulamento da Agncia Nacional de Telecomunicaes, aprovado pelo Decreto n.
2.338, de 7 de outubro de 1997.

Aps certificadas e homologadas as Antenas transmitiro no Padro IEEE 802.11g, que possui as
seguintes caractersticas:

Banda 2.4GHz;
Velocidade Mxima de transmisso 54Mbps;
Modulao OFDM;
Compatibilidade com o Padro 802.11b.

Mecanismo de Criptografia utilizado na transmisso

Utilizaremos o Advanced Encryption Standard (AES, Padro de Criptografia Avanado), tambm
conhecido por Rijndael, uma cifra de bloco adotada como padro de criptografia pelo governo dos
Estados Unidos. Este padro tornou-se efetivo em 26 de Maio de 2002. Em 2006, o AES j um dos
algoritmos mais populares usados para criptografia de chave simtrica (chave privada).
Por que utilizar chave simtrica:

* Utilizam a mesma chave para encriptar e desencriptar a mensagem;
* Possuem as vantagens de facilidade e rapidez na implementao.
OBS.: na implementao deste algoritmo optamos por um tamanho de chave de 128 bits. Este
tamanho de chave o padro mais utilizado atualmente e juntamente com mecanismos de
identificao (Logon ID) e autenticao (802.1x), entendemos ser vivel e eficaz proposta desta
topologia de rede.

5. Telefonia VoIP:

Uma viso geral do funcionamento do Voz sobre IP, tambm chamado VoIP, telefonia IP,
telefonia Internet, telefonia em banda larga e voz sobre banda larga o roteamento de conversao
humana usando a Internet ou qualquer outra rede de computadores baseada no Protocolo de Internet,
tornando a transmisso de voz mais um dos servios suportados pela rede de dados.

Ser usado um servidor Linux configurado o Asterisk, no servidor ter uma placa VB6060-
PCI. A Placa VB6060-PCI uma placa desenvolvida para solues de telefonia computadorizada de
alta densidade com 2 E1 ( 60 canais digitais). Utiliza tecnologia de Processamento Digital de Sinais -
DSP e apresentada em verso para barramento PCI.

O consumo da banda de internet por um servio VOIP, depende do codec (Codificador-
Decodificador) de audio que esta se usando. Tecnicamente as plataformas VOIP de uma forma geral
suportam vrios codecs (Codificador-Decodificador). Este componente o responsvel por
transformar a voz humana (um sinal analgico) em uma seqncia de bits (um sinal digital) para
transmisso numa rede de dados, fazendo amostragens peridicas no sinal de voz. Em equipamentos
do tipo gateways VoIP, esses codecs so implementados atravs de um componente chamado DSP
(Digital Signal Processor).

Cada codec prov certa qualidade de voz. A medida de qualidade da voz transmitida uma
resposta subjetiva de um ouvinte. Uma medida comum usada para determinar a qualidade do som
produzido pelos codecs especficos o MOS (Mean Opinion Score). Com o uso do MOS, um amplo
range de ouvintes julgam a qualidade de uma amostra de voz (correspondendo a um codec particular)
numa escala de 1 a 5. A partir desses resultados, calculada a mdia dos scores para atribuir o MOS
para aquela amostra.

O codec utilizado o G.729 que utiliza 8 Kbps, esse codec no livre e sua licena custa dois
mil dlares. Por gastar apenas 8 Kbps o trfego de voz na rede ser leve, suportando vrias ligaes e
no prejudicando a passagem de dados.
A sada para ligaes externas realizada atravs de um link E1, que possui 32 canais sendo 2
deles de controle e 30 para utilizao somando 2Mbs.
A converso do sinal analgico para o digital feito atravs do Gateway Grandstream GXW-
4104 FXO, com 8 portas de FXO.

Regulamentao e Posio da Anatel.

Ainda no existe um consenso regulatrio sobre a VoIP no mundo. No Brasil ainda no existe
uma discusso sobre a regulamentao da tecnologia. O rgo responsvel pela regulamentao de
telefonia no Brasil a Agncia Nacional de Telecomunicaes (ANATEL), que gerida pela Lei
Geral de Telecomunicaes, LGT. A legislao brasileira no enquadra a VoIP como servio de
telecomunicaes, e sim como servio de valor adicionado, quando utiliza parte da rede pblica de
telecomunicaes. Portanto o servio regido pelo artigo 61 da LGT

No portal da Anatel est observado que o VoIP um conjunto de tecnologias que usam a
Internet ou redes do IP privadas para a comunicao de voz, substituindo ou complementando os
sistemas de telefonia convencionais. A agncia no regulamenta as tecnologias, mas os servios de
telecomunicaes que delas se utilizam. A comunicao de voz utilizando computadores conectados
Internet - uma das aplicaes desta tecnologia - considerada Servio de Valor Adicionado, no
sendo necessria autorizao da Anatel para prest-lo.

Nesse contexto, o uso da tecnologia de VoIP deve ser analisado sob trs aspectos principais.
Primeiro, a comunicao de voz efetuada entre dois computadores pessoais, utilizando programa
especfico e recursos de udio do prprio computador - com acesso limitado a usurios que possuam
tal programa - no constitui servio de telecomunicaes, mas Servio de Valor Adicionado,
conforme entendimento internacional. Segundo, a comunicao de voz no mbito restrito de uma rede

corporativa ou na rede de uma prestadora de servios de telecomunicaes, de forma transparente para
o assinante, efetuada entre equipamentos que podem incluir o aparelho telefnico, caracterizada
como servio de telecomunicaes. Neste caso, exigida a autorizao para explorao de servio de
telecomunicaes para uso prprio ou para prestao a terceiros. Por fim, a comunicao de voz de
forma irrestrita com acesso a usurios de outros servios de telecomunicaes e numerao especfica
(objeto de controle pela Anatel) caracterizada como servio de telecomunicaes de interesse
coletivo. imprescindvel autorizao da Agncia e a prestao do servio deve estar em
conformidade com a regulamentao.


6. Topologia da Rede: