Académique Documents
Professionnel Documents
Culture Documents
FACULDADE DE ENGENHARIA
ENGENHARIA DE TELECOMUNICAÇÕES
2016
Victor Alexandre Buta Demby
Orientadores:
Msc. Lunduloca Garcia
Prof. Dr. Alberto Amaral Lopes (em memória)
UNIVERSIDADE CATÓLICA DE ANGOLA
FACULDADE DE ENGENHARIA
DECLARAÇÃO DE AUTENTICIDADE
____________________________
Assinatura
DEDICATÓRIA
Dedicar este trabalho em memória dos meus Pais (Salvador Costa André e Lúcia
Gueve Buta) que se ainda estivessem em vida, de certeza que estariam muito orgulhosos de
me ver terminar o curso superior. A minha Mãe, Adélia Sia Buta, por cuidar de mim e aturar
esse tempo todo e aos meus irmãos que muito desejaram essa formação. Esta licenciatura
também é vossa.
I
AGRADECIMENTOS
Começo por agradecer a Deus, pelas graças e por iluminar sempre os meus passos.
Aos meus Pais por me terem dado a vida, a minha Mãe por cuidar de mim incansavelmente.
Aos manos por durante seis anos terem apoiado financeiramente para a minha formação
mesmo tendo os seus familiares por cuidar. Aos meus manos, amigos e agora irmãos de luta
desde o princípio e até os que só apareceram no final, vocês, todos, mudaram a minha vida, e
tenho a certeza me deram muito mais do que receberam. Para aquela amiga que desde que se
tornou amiga, não deixou de acreditar, nunca e até hoje continua a acreditar. Namorada, sei
que agora percebes a ausência. Aos que sempre acreditaram que eu seria capaz, o meu muito
obrigado.
Esse mambo é nosso!
II
Epígrafe
“Uma ideia que não parece perigo, nem deve ser considerada ideia!”
Desconhecido
III
Resumo
IV
Abstract
V
Lista de Figuras
Figura 1: Exemplo de uma LAN ................................................................................................. 11
Figura 2: Modelo OSI .................................................................................................................. 12
Figura 3: O exemplo da carta com o modelo OSI ....................................................................... 13
Figura 4: Modelo OSI e TCP ....................................................................................................... 13
Figura 5: A arquitectura TCP/IP e seus Protocolos ..................................................................... 14
Figura 6: Criptografia .................................................................................................................. 18
Figura 7: Exemplo de acção de uma firewall .............................................................................. 23
Figura 8: Firewall de uma Sede e Filial, conectadas a Internet ................................................... 24
Figura 10: Rede Wimax ............................................................................................................... 28
Figura 11: Estrutura de uma rede WAN ...................................................................................... 30
Figura 12: Estrutura WBS (Iniciação) …………………………………………………………. 31
Figura 13: Estrutura WBS (Planeamento) ……………………………………………………... 32
Figura 14: Estrutura WBS (Construção) ………………………………………………………. 32
Figura 15: Arquitectura do X25 ................................................................................................... 33
Figura 16: Exemplo de linhas dedicadas ..................................................................................... 34
Figura 17: Ligação X25 com linhas dedicadas ........................................................................... 35
Figura 18: Comunicação via WiMax .......................................................................................... 40
Figura 19: Comunicação por Vsat (Uplink) ................................................................................ 41
Figura 20: Link Budget (Downlink) ............................................................................................ 41
Figura 21: Actual estrutura de rede na entidade gestora .............................................................. 39
Figura 22: Core da rede (Actual) .................................................................................................. 42
Figura 23: Core da rede (Solução proposta) ................................................................................. 49
Figura 24: ASA FAILOVER ........................................................................................................ 52
Figura 25: Camada de distribuição (Proposta) .............................................................................. 55
Figura 26: Camada de distribuição (Proposta) .............................................................................. 56
Figura 28: Camada de acesso (actual) ........................................................................................... 59
Figura 29: Proposta para a camada de acesso ................................................................................ 60
Figura 30: Entidade gestora (actual) .............................................................................................. 60
Figura 31: Entidade Gestora (Solução proposta) ........................................................................... 61
Figura 32: Estrutura WBS (Monitoramento e Controle) ………………………………………... 64
Figura 33: Estrutura WBS (Encerramento) ……………………………………………………… 64
VI
Anexo 1: Topologia interna da rede
Anexo 2: Routing table on BR
Anexo 2.1: Por configuration on Firewall
Anexo 3: Configurações no Switch CSW1 (Continua…)
Anexo 3.1: IP Interface brief for VLANs
Anexo 3.2: VTP Status for Core Switch
Lista de tabelas
VII
Lista de abreviaturas e Siglas
VIII
Índice
DEDICATÓRIA ................................................................................................................................ I
AGRADECIMENTOS ...................................................................................................................... II
Epígrafe ........................................................................................................................................... III
Resumo ............................................................................................................................................ IV
Abstract............................................................................................................................................. V
Lista de Figuras ................................................................................................................................ VI
Lista de tabelas ................................................................................................................................ VII
Lista de abreviaturas e Siglas .......................................................................................................... VIII
Índice ................................................................................................................................................. I
1. Introdução ................................................................................................................................ 9
1.1. Formulação do problema ................................................................................................. 9
1.2. Hipótese .......................................................................................................................... 10
2. Introdução ao conceito de redes ............................................................................................ 11
2.1. Arquitectura de Comunicação OSI .................................................................................... 11
2.2. Arquitectura TCP/IP ..................................................................................................... 13
2.3. Comparação entre UDP e TCP ...................................................................................... 14
2.4. Dispositivos básicos de Redes ......................................................................................... 14
Hub: é um dispositivo que tem a função de interligar os computadores de uma rede local. Os dados
recebidos por uma porta são duplicados e enviados para todas as outras portas (broadcast). No
momento em que isso ocorre, nenhum outro dispositivo consegue enviar o sinal. Sua liberação
acontece após o sinal anterior ter sido completamente distribuído. Caso o cabo de rede de uma
máquina seja desconectado ou apresente algum defeito, a rede não deixa de funcionar, pois é
o hub que a "sustenta". Também é possível adicionar um outro hub ao já existente. Hubs são
adequados para redes pequenas e/ou domésticas. ......................................................................... 14
Bridge: serve para conectar duas redes distintas, permitindo comunicações entre elas. O bridge
pode ser um dispositivo dedicado ou então um PC com duas placas de rede, configurado para
executar esta função. O Bridge permite unir dois ou mais hubs, transformando-os em uma
única rede, onde os PCs conectados a cada hub tornam-se um segmento de rede distinto. Isso
faz toda a diferença, pois o bridge é capaz de examinar os pacotes e transmitir os pacotes
apenas ao destinatário correto, isso previne a saturação da rede, mesmo que existam muitos
PCs. As limitações são que o bridge pode conectar apenas redes que utilizem a mesma
arquitectura (Ethernet por exemplo) e que utilizem o mesmo protocolo de rede (TCP/IP por
exemplo). ................................................................................................................................ 15
Switch: são equipamentos utilizados basicamente para a conexão e filtragem de informações
entre duas ou mais estações de trabalho em rede de computadores. Também pode corrigir
erros de alguns pacotes de dados e coordenar o tráfego de informações na rede. Impedindo por
exemplo congestionamentos ou colisão de arquivos já que ele separa cada estação conectada
em um diferente segmento de rede (em diferente cabo). Sendo assim o switch pode enviar com
precisão e agilidade as informações desejadas aos locais desejados. ....................................... 15
2.5. Internet ........................................................................................................................... 15
2.6. Internet Protocol Version 4 (IPV4) ................................................................................ 16
2.7. Internet Protocol Version 6 (IPV6) ................................................................................ 16
2.8. Endereços públicos e privados ....................................................................................... 16
2.8.1. Classes de endereços ................................................................................................... 16
2.9. Internet Service Provider (ISP) ..................................................................................... 17
2.10. Segurança de redes ..................................................................................................... 17
Criptografia ........................................................................................................................... 17
Outros pontos ......................................................................................................................... 18
Princípios de segurança ............................................................................................................. 18
DES ............................................................................................................................................ 20
AES ............................................................................................................................................ 21
Chave Simétrica vs Chave pública ............................................................................................ 21
Criptografia de chave Simétrica ............................................................................................ 21
Criptografia de chave Pública ............................................................................................... 21
O “top” dos ataques ................................................................................................................... 22
Distributed Denial-of-Service (DDoS) ....................................................................................... 22
Port Scanning ............................................................................................................................ 22
Cavalos de Tróia, vírus e malwares .......................................................................................... 22
Ataques de Força Bruta............................................................................................................. 22
2.11. Firewall ....................................................................................................................... 22
2.12. Protocolo Secure Eletronic Transaction (SET) ......................................................... 25
Entidades participantes no protocolo SET............................................................................ 25
1. Certificados do consumidor: .......................................................................................... 27
2. Certificados do comerciante: ......................................................................................... 27
3. Certificados do PaymentGateway: ................................................................................ 27
4. Certificados do Banco: ................................................................................................... 27
5. Certificados da Operadora: ........................................................................................... 27
2.13. WiMax ( Worldwide Interoperability for Microwave Access ) ..................................... 28
2.13.1. Redes WAN ................................................................................................................ 30
3. Implementação da rede ......................................................................................................... 32
3.1. Tipo de ligação ............................................................................................................... 34
3.2. Protocolo X25 e Linhas Dedicadas ................................................................................ 35
3.2.1. Protocolo X25 ......................................................................................................... 35
3.2.2. Linhas dedicadas ou alugadas ................................................................................ 36
3.2.3. Linhas dedicadas no X.25 ....................................................................................... 38
3.3. Protocolo TCP/IP e Wimax ............................................................................................ 39
3.4. Comunicação via satélite, VSAT .................................................................................... 41
Link Budget ........................................................................................................................... 43
VPN via Satélite ..................................................................................................................... 44
3.5. Entidade gestora (segurança)......................................................................................... 45
Esquema de endereçamento para a rede interna e Departamentos ..................................... 46
Core da Rede ............................................................................................................................. 48
DMZ (Zona desmilitarizada) ................................................................................................. 54
CAMADA DE DISTRIBUIÇÃO............................................................................................... 54
Virtualização .......................................................................................................................... 56
Servidor Proxy ....................................................................................................................... 58
Camada de Acesso ..................................................................................................................... 59
3.6. Resultados ...................................................................................................................... 60
3.7. Outros.................................................................................................................................. 63
Iteração ...................................................................................................................................... 63
Biometria ................................................................................................................................... 63
4. Custos de Implementação ...................................................................................................... 64
5. Aspectos metodológicos ......................................................................................................... 66
6. Conclusão ............................................................................................................................... 67
7. Referências Bibliográficas ..................................................................................................... 68
Anexos ............................................................................................................................................ 69
1. Introdução
Actualmente possuir um sistema de segurança cada vez mais seguro e actual é de extrema
importância para as organizações, sendo que as informações que circulam dentro dessas
organizações são consideradas um instrumento de trabalho.
Nos nossos dias, é quase impossível as empresas não interligarem seus computadores à
internet, com o objectivo de se obter mais clientes, menos custo de comunicação, oferecer
mais serviços, realizar pagamentos, entre outros.
Por isso é necessário que estas informações tenham agilidade no processo de
comunicação, quer seja em redes sem fios ou em redes cabeadas, o importante é que as
informações estejam a trafegar de forma confiável e úteis para que os usuários as utilizem
sem qualquer intersecção de terceiros.
Os requisitos de Segurança da Informação mudaram nas últimas largas décadas entre elas
apareceu a CISCO, que com a sua tecnologia foram criando medidas para deter, prevenir,
detectar, e corrigir violações de segurança que envolvem a transmissão e o armazenamento de
informação.
Exemplos de violação de segurança:
Conseguir ler um ficheiro com informação confidencial. Conseguir interceptar e
modificar uma mensagem (Por exemplo, a transmissão de um ficheiro com actualizações de
utilizadores). Conseguir criar uma mensagem e enviá-la em nome de outro. Conseguir atrasar
uma mensagem.
1.1. Formulação do problema
Sendo que o tema é implementação de segurança de redes com a tecnologia CISCO na
rede de multicaixas (ATM). O X.25 está a entrar em extinção e ainda são usados nalgumas
máquinas e por algumas topologias. O projecto visa dar respostas aos problemas que
apresentam o uso do protocolo de comunicação X.25 e consequentemente linhas dedicadas
para o TCP/IP usando a tecnologia wireless entre a Entidade Gestora e os ATMs.
Apresentação do problema: o problema está no uso do X.25 e nas linhas dedicadas
como solução para o meio de comunicação da Entidade Gestora com os seus ATMs, sendo
que actualmente é dispendioso usar linhas dedicadas pra se comunicar.
Objectivos
Geral
Como objectivo geral do trabalho temos a substituição de linhas dedicadas por
WiMax, saindo do protocolo de comunicação de rede X.25 para o TCP/IP e
aplicar redundância de comunicação de equipamentos e serviços na Entidade
Gestora.
Específicos
Alteração do protocolo de comunicação;
Falar sobre a importância da segurança dos dados na rede;
9
Implementação de Segurança de Redes na rede multicaixas (ATM)
Introduzir pontos principais redundantes na rede;
Analisar as principais soluções para um ambiente mais seguro e estável através de
exemplos práticos e teóricos;
1.2. Hipótese
Apresentar a comunicação sem fios (wireless) como solução, redundância dos seus
serviços e principalmente aumentar o nível de segurança na comunicação da Entidade
Gestora com os seus ATMs, usando na maioria das vezes a tecnologia CISCO como resposta
para solução dos nossos problemas.
Justificativa
O processo de evolução dos Sistemas de Informação - SI caminhou paralelamente com as
tecnologias de informática e telecomunicações. A evolução da tecnologia colaborou para
surgimento das redes de computadores e o melhoramento de sua capacidade de
processamento, com o surgimento de novos sistemas que possibilitam maior integração das
áreas empresariais.
Na senda de evoluções os protocolos de comunicação não pararam de evoluir e como tal,
temos hoje o X.25 em extinção e o TCP/IP como solução.
Com o avanço da nova tecnologia surgiu a tecnologia CISCO que apresenta também
soluções para a segurança de redes, que actualmente é a tecnologia mais usada no mercado.
Essa tecnologia proporciona mobilidade, agilidade e “liberdade” em sua utilização.
Portanto, diante da relevância do tema, as redes devem ser seguras e confiáveis aos
usuários através implementações de criptografias e firewalls deixando ser um alvo fácil para
pessoas más intencionadas como os hackers.
10
Implementação de Segurança na rede multicaixas (ATM)
2. Introdução ao conceito de redes
Existem vários mecanismos e soluções de segurança que apoiam o administrador
nesta tarefa, vamos aqui falar de alguns, ou seja, dos que propriamente serão usados aqui no
projecto, mas, sendo que a segurança a ser tratada aqui é sobre as redes de computadores,
vamos tirar primeiramente um espaço pra falar de alguns elementos de redes de
computadores e sem esquecer de definir redes de comunicação.
Uma rede de comunicação é um conjunto de dois ou mais dispositivos interligados
entre si com fios (comunicação com fios) ou ondas rádio (comunicação sem fios - wireless)
de modo a que se possam comunicar entre si.
Uma rede de comunicação geralmente é caracterizada pela sua dimensão em que
temos a LAN (Local Area Network), CAN (Campus Area Network), MAN (Metropolitan
Area Network) e WAN (Wide Area Network), mas vamos simplesmente falar da LAN e da
WAN, que é que nos interessa.
LAN (Local Area Network) - é uma rede de pequena proporção que incluí
dispositivos numa pequena área geográfica. As LAN são usadas na interligação de
componentes distribuídos por uma sala, um edifício ou até por vários edifícios próximos entre
si.
WAN (Wide Area Network) – Todas as outras redes com dimensão superior, usadas
na interligação de equipamentos dispersos pelo país ou pelo mundo, como a rede internet. Em
suma, a WAN é uma rede que permite a comunicação entre LANs que se encontram
geograficamente afastadas. Uma WAN é tipicamente construída por um ISP.
2.1. Arquitectura de Comunicação OSI
O modelo de comunicação OSI foi a primeira tentativa para garantir a interligação e
interoperabilidade entre diferentes dispositivos. Embora se pretendesse desenvolver uma
implementação OSI mais detalhada com protocolos bem definidos nas várias camadas,
apenas se desenvolveram alguns protocolos que nunca tiveram grande divulgação.
Consequentemente, o modelo é hoje usado principalmente como referência para o
desenvolvimento de outros modelos, daí a designação, modelo de referência. 1
1
Mário Véstias, Redes Cisco Para Profissionais, 6 edição, página 4, terceiro parágrafo
11
Implementação de Segurança na rede multicaixas (ATM)
Figura 2: Modelo OSI, Fonte: https://www.youtube.com/watch?v=PojxRG7BktU
12
Implementação de Segurança na rede multicaixas (ATM)
Figura 3: O exemplo da carta com o modelo OSI
Fonte: https://pplware.sapo.pt/tutoriais/networking/redes-sabe-o-que-e-o-modelo-osi/
Fonte: http://www.diegomacedo.com.br/arquitetura-e-protocolos-tcp-ip/
13
Implementação de Segurança na rede multicaixas (ATM)
Algumas bibliografias juntam a camada de acesso à rede e física, criando um modelo
TCP/IP com quatro camadas. Esta união deve-se ao facto de o modelo considerar que existem
muitas dependências entre as duas camadas e, consequentemente, engloba muitos dos seus
serviços numa só.
Por outro lado, a abordagem com cinco camadas tem a vantagem de que a camada
internet passa a ser identificada como uma camada nível 3, ao mesmo nível da camada de
rede no modelo OSI. Desta forma, quando se diz que um equipamento implementa serviços
do nível 3, não surgem dúvidas de interpretação, pois em ambos os modelos o nível 3 tem as
mesmas funções.
A arquitectura TCP/IP é formada por um vasto conjunto de protocolos que se
distribuem pelas diferentes camadas do modelo.
Fonte: http://www.devmedia.com.br/via-de-mao-dupla-com-websockets/28281
Bridge: serve para conectar duas redes distintas, permitindo comunicações entre elas.
O bridge pode ser um dispositivo dedicado ou então um PC com duas placas de rede,
configurado para executar esta função. O Bridge permite unir dois ou mais hubs,
transformando-os em uma única rede, onde os PCs conectados a cada hub tornam-se um
segmento de rede distinto. Isso faz toda a diferença, pois o bridge é capaz de examinar os
pacotes e transmitir os pacotes apenas ao destinatário correto, isso previne a saturação da
rede, mesmo que existam muitos PCs. As limitações são que o bridge pode conectar apenas
redes que utilizem a mesma arquitectura (Ethernet por exemplo) e que utilizem o mesmo
protocolo de rede (TCP/IP por exemplo).
Switch: são equipamentos utilizados basicamente para a conexão e filtragem de
informações entre duas ou mais estações de trabalho em rede de computadores. Também
pode corrigir erros de alguns pacotes de dados e coordenar o tráfego de informações na rede.
Impedindo por exemplo congestionamentos ou colisão de arquivos já que ele separa cada
estação conectada em um diferente segmento de rede (em diferente cabo). Sendo assim o
switch pode enviar com precisão e agilidade as informações desejadas aos locais desejados.
Router: é um dispositivo que faz a comunicação entre diferentes redes de
computadores. Tem a capacidade de escolher a melhor rota que um determinado pacote de
dados deve seguir para chegar em seu destino. Os routers são os responsáveis pelo "tráfego"
na Internet. Um pacote de dados é normalmente encaminhado de um router para outro através
das redes que constituem a network até atingir o nó destino. E portanto o router é tipicamente
um dispositivo da camada 3 do Modelo OSI.
2.5. Internet
A internet foi usada pela primeira vez nos Estados Unidos da América como solução
para pesquisas académicas e de segurança, primeiramente surgiu como um instrumento,
conectando dois ou mais computadores a conversarem sem estarem fisicamente ligados.
Esses experimentos deram tão certos que hoje quase ou mesmo nenhuma empresa sobrevive
sem ela. Mas para usar a Internet, precisamos de endereços IP para que os dados
(informação) cheguem a máquinas correctas, ou seja, falar de internet estamos a falar de IP.
O protocolo IP realiza a transferência de pacotes com base no endereço lógico,
também designado endereço IP. Os segmentos recebidos do TCP ou do UDP são
fragmentados, se necessário, para criar pacotes. A cada pacote é adicionado o endereço IP de
origem e de destino, de acordo com a informação recebida no protocolo de transporte. De
seguida, com base no endereço de destino, o pacote é encaminhado através das várias redes
até chegar ao receptor. Aqui, os pacotes são reagrupados e enviados para a camada de
transporte.
15
Implementação de Segurança na rede multicaixas (ATM)
O IP é um protocolo sem ligação, em que os pacotes podem seguir caminhos
diferentes para chegar ao destino. O IP é constituído por duas versões no seu cabeçalho, o
IPv4 e IPv6.
2.6. Internet Protocol Version 4 (IPV4)
O protocolo IPv4 foi introduzido em 1981, ele considera 32 bits de espaço de
endereço que são apresentados em quatro grupos de 8 bits, o que permite gerar até
4.294.967.296 endereços distintos. Os endereços foram divididos em cinco classes: A, B, C,
D e E. Das quais usamos as três primeiras e as outras duas, D e E são usadas para broadcast e
testes.
2.7. Internet Protocol Version 6 (IPV6)
O protocolo IPv6 surge com um conjunto de características de melhoria relativamente
ao protocolo IPv4 e introduz alguns protocolos novos, ao mesmo tempo que garante a
interoperabilidade entre ambos. Os endereços têm 128 bits, que permitem gerar 2128
endereços, aproximadamente 3,4 × 1038. Considerando a população total do planeta, que é de
aproximadamente 6,5 × 109, podemos dizer que cada um de nós tem ao seu dispor cerca de 5
× 1028 endereços (com IPv4 temos um endereço para cada dois habitantes)!
2.8. Endereços públicos e privados
Basicamente as máquinas quando estão ligadas em rede (LAN) possuem um endereço
IP configurado (seja ele IPv4 (na maioria dos casos) ou IPv6), de forma a serem
"enxergados" por outras máquinas ou dispositivos em uma rede.
Relativamente a endereços IP existem os endereços públicos e os endereços privados.
A maioria dos endereços IP é pública, permitindo assim que as nossas redes (ou pelo menos o
nosso router que faz a fronteira entre a nossa rede e a Internet) estejam acessíveis
publicamente através da Internet, a partir de qualquer lado. Quanto a endereços privados,
estes não nos permitem acesso directo à Internet, no entanto esse acesso é possível mas é
necessário recorrer a mecanismos de tradução como o NAT (Network Address Translation)
que traduzem o nosso endereço privado para um endereço público.
Passando novamente para as redes podemos dizer que máquinas em redes diferentes
podem usar os mesmos endereços privados e não existe qualquer entidade reguladora para
controlar a atribuição, isso é definido internamente.
A diferença entre IPs públicos e privados consiste que o IP público é um endereço que
é acessível através da internet. Este endereço é atribuído pela sua Operadora de Serviços de
Internet (ISP) que você adquire junto ao link de internet.
2.8.1. Classes de endereços
Os números de redes e de hosts para as classes A, B e C. Originalmente, o espaço do
endereço IP foi dividido em poucas estruturas de tamanho fixo chamados de "classes de
endereço". As três principais são a classe A, classe B e classe C. Examinando os primeiros
bits de um endereço, o software do IP consegue determinar rapidamente qual a classe, e logo,
a estrutura do endereço.
Classe A: Primeiro bit é 0 (zero);
16
Implementação de Segurança na rede multicaixas (ATM)
Classe B: Primeiros dois bits são 10 (um, zero);
Classe C: Primeiros três bits são 110 (um, um, zero);
Classe D: (endereço multicast): Primeiros quatro bits são: 1110 (um, um, um, zero);
Classe E: (endereço especial reservado): Primeiros cinco bits são 11110 (um, um, um,
um, zero).
A tabela, a seguir, contém o intervalo das classes de endereços IPs:
Criptografia é a arte ou ciência que permite escrever de forma a ocultar conteúdos. E tem
como objectivo permitir que um conjunto limitado de entidades, tipicamente duas, possam
trocar informação que é ininteligível para terceiros.
17
Implementação de Segurança na rede multicaixas (ATM)
Figura 6: Criptografia (Fonte: Material de Segurança do Prof Julião)
Ataques passivos
Acesso ao conteúdo de uma mensagem. Análise de tráfego. Mesmo não tendo
acesso ao conteúdo pode obter informação da identidade e localização das partes que
comunicam, da frequência e tamanho das mensagens. São difíceis de detectar. O seu combate
faz-se baseado na prevenção e não na detecção.
Ataques activos
Forjar identidade (masquerade). Geralmente em conjunto com outros tipos de ataques
activos;
Reprodução (replay). Captura passiva para posterior retransmissão;
Modificação de mensagens. Mensagem (ou parte) alterada, atrasada, reordenada;
DoS (Denial of Service) – Negação de serviço;
Difíceis de prevenir. O objectivo no combate é detectá-los e recuperar dos seus
efeitos. A detecção tem efeitos dissuasores, contribui para a prevenção.
Serviço de Segurança
Melhorar a segurança dos sistemas de processamento de dados e transferências de
informação de uma organização. Intencionalmente para contar ataques à segurança que
utiliza um ou mais mecanismos de segurança.
Podemos considerar os serviços de segurança de informação como réplicas dos
serviços associados a documentos em papel (actividades comerciais, militares, pessoais, etc.
dependem de documentos em papel): Os documentos em papel vs documentos electrónicos.
Assinaturas, datas, autenticidade? Como?
X.800: “um serviço oferecido por uma camada de protocolo de um sistema aberto de
comunicação, que assegura segurança adequada dos sistemas e transferências de dados”. A
recomendação X.800 divide estes serviços em cinco categorias e catorze serviços específicos.
19
Implementação de Segurança na rede multicaixas (ATM)
RFC 2828: “um serviço de processamento ou comunicação oferecido por um sistema
para dar uma protecção especial aos recursos de sistema”.
Chave Simétrica
Utilização comum (chave pública aparece depois). O Entidade Gestorasor e o receptor
partilham a mesma chave. É utilizada a mesma chave para cifrar e decifrar a mensagem, logo
a chave tem de ser mantida secreta.
Os algoritmos são em média 10 000 (dez mil) vezes mais rápidos do que os de
encriptação assimétrica (mesmos níveis de segurança). Melhores para grande volume de
informação e/ou quando são necessárias altas velocidades de processamento. A distribuição
da chave é uma questão importante...
As cifras tradicionais são orientadas ao caracter. As cifras modernas são orientadas ao
bit. Nem sempre a informação que se quer tratar é texto por isso trabalhar bits dá mais
segurança do que trabalhar caracteres. As cifras modernas utilizam uma combinação de cifras
simples.
DES
DES é tipo de cifra em bloco, ou seja, um algoritmo que toma uma String de tamanho
fixo de um texto plano e a transforma, através de uma série de complicadas operações, em um
texto cifrado de mesmo tamanho. No caso do DES, o tamanho do bloco é 64 bits. DES
também usa uma chave para personalizar a transformação, de modo que a descriptografia
somente seria possível, teoricamente, por aqueles que conhecem a chave particular utilizada
para criptografar. A chave consiste nominalmente de 64 bits, porém somente 56 deles são
realmente utilizados pelo algoritmo. Os oito bits restantes são utilizados para verificar a
paridade e depois são descartados, portanto o tamanho efectivo da chave é de 56 bits, e assim
é citado o tamanho de sua chave.
Quão seguro é o DES?
Desafio DES: frase encriptada com chave de 56-bits (“Strong cryptography makes
the world a safer place”) desencriptada (por força bruta) em 4 meses;
Não é conhecida nenhuma aproximação para desencriptação por método não
directo;
O DES pode ser mais seguro se utilizarmos 3 chaves sequencialmente (3-DES),
em cada dado;
Se se utilizar uma cadeia de blocos de cifragem.
O 3DES (Triplo DES), sigla para Triple Data Encryption Standard, é um padrão
de criptografia baseado em outro algoritmo de criptografia simétrica, o DES. O 3DES usa 3
chaves de 64 bits, embora apenas 56 bits de cada chave são efectivamente usados, os outros 8
bits são usados para verificar paridade. Sendo assim, o tamanho máximo efectivo da chave é
de 168 bits. Os dados são encriptados com a primeira chave, decriptados com a segunda
chave e finalmente encriptados novamente com uma terceira chave. Isto faz o 3DES ser mais
lento que o DES original, porém em contrapartida oferece maior segurança.
Em vez de 3 chaves podem ser utilizadas apenas 2, sendo a terceira igual a primeira,
tendo assim uma chave de 112 bits efectivos. A variante mais simples do 3DES ópera da
20
Implementação de Segurança na rede multicaixas (ATM)
seguinte forma: , onde M é o bloco de mensagem a
ser criptografado e k1, k2 e k3 são chaves DES.
AES
Novo standard NIST de chave simétrica que substitui o DES e processa dados em
blocos de 128 bits. Chaves de 128, 192, ou 256 bits. Desencriptação por força bruta (a tentar
cada chave) que toma 1 segundo no DES demora 149 triliões de anos em AES.
Regras das propostas para o AES:
1. O algoritmo teria de ser de cifra de bloco simétrica;
2. O esquema completo teria de ser público;
3. Os seguintes comprimentos de chaves teriam de ser suportados: 128, 192 e 256
bits;
4. Ambas as implementações (em hardware e software) eram necessárias;
5. O algoritmo tem de ser público ou licenciado em termos não discriminatórios.
Os algoritmos de chave simétrica mais comuns são:
Tabela 3: Algoritmos de chave simétrica mais comuns, (Fonte : Prof Julião, material)
21
Implementação de Segurança na rede multicaixas (ATM)
O “top” dos ataques
Existem mais tipos de ataques, muito mais, mas aqui mostramos simplesmente alguns
que são os mais falados e tentados.
Distributed Denial-of-Service (DDoS)
Consiste em várias máquinas coordenadas a fazerem pedidos consecutivos a um
serviço. Este volume de informação acaba por colocar o mesmo em baixo, negando a
disponibilidade do mesmo (DoS).
Port Scanning
Ataque bastante utilizado para encontrar fragilidades numa rede e portas abertas. Pode
constituir uma forma de entrada numa determinada máquina ou servidor, através de softwares
maliciosos. Envia mensagem para uma porta (várias) e espera por uma resposta, que confirma
a abertura da mesma.
Cavalos de Tróia, vírus e malwares
Desenvolvido por hacker’s para afectarem o desempenho da máquina alvo ou retirar,
anonimamente, informação da mesma.
Ataques de Força Bruta
A mais antiga forma de ataque. Não sabe a senha ou código? Tentativas até conseguir
quebrar. O processamento de computadores facilitou imensamente este ataques, obrigando a
subir o nível de encriptação de dados.
2.11. Firewall
Espaço em que é redirigido e filtrado o tráfego para servidores internos concretos, os
quais podem nem ser endereçáveis directamente pelos clientes.
O redireccionamento pode servir para diversos fins: balanceamento de carga entre
diversos servidores equivalentes, tolerância a faltas de servidores, mediação explícita ou
transparente ou ocultação de servidores com NAT.
Uma firewall pode controlar totalmente as operações requeridas no âmbito de diversos
protocolos aplicacionais e pode ainda controlar conteúdos transferidos entre o interior e o
exterior da organização protegida.
Tipicamente:
Interliga uma rede privada ou organizacional com uma rede pública.
Em redes privadas de grande dimensão podem ser implementadas várias
firewalls.
Não é uma máquina, mas sim uma infra-estrutura que reúne vários
equipamentos ou aplicações.
IMPORTANTE: Quanto mais simples e objectiva for a firewall (regras) melhor.
Caso contrário, a existência de várias possibilidades pode constituir uma vulnerabilidade a
explorar para um ataque.
Componentes:
22
Implementação de Segurança na rede multicaixas (ATM)
Perímetro protegido (IN)
Zona Desmilitarizada (DMZ): É aqui que se colocam os servidores de uma
rede que respondem a pedidos do exterior e que por isso podem estar
vulneráveis.
Gateway
Perímetro inseguro (OUT)
Vale lembrar que:
Uma firewall não garante a integridade dos dados
Uma firewall não garante a autenticidade da origem dos dados.
A maioria das firewalls não garante o sigilo dos dados.
Uma firewall não garante protecção contra ameaças internas.
Uma firewall é apenas um ponto de entrada de uma rede.
A Autorização é uma das funções principais de uma firewall.
Os filtros de datagramas autorizam ou negam fluxos de dados de acordo com
informação/regras estabelecidas.
Os filtros de circuitos permitem autorizar ou negar o estabelecimento de
circuitos para o exterior, além da simples confrontação do endereço de IP de
origem com uma lista de endereços autorizados.
Os filtros aplicacionais autorizam ou negam operações específicas definidas ao
nível dos protocolos aplicacionais.
Figura 7: Exemplo de acção de uma firewall (Fonte: Material de Segurança 2015, prof Julião)
23
Implementação de Segurança na rede multicaixas (ATM)
Figura 8: Firewall de uma Sede e Filial, conectadas a Internet
Fonte: http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf
Fonte: http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf
24
Implementação de Segurança na rede multicaixas (ATM)
2.12. Protocolo Secure Eletronic Transaction (SET)
O protocolo SET é uma especificação de um sistema baseado em técnicas
criptográficas que permite a execução de transacções comerciais seguras na Internet, em
particular pagamentos com cartão de crédito. O SET veio resolver alguns problemas na área
do comércio electrónico ao garantir diversos mecanismos de segurança, não dependendo dos
mecanismos já existentes nas redes de comunicação utilizadas. Nomeadamente, o SET
garante a confidencialidade dos dados trocados entre as entidades envolvidas (de modo a que
o comprador compre apenas o que se propõe comprar), assegurando a privacidade em relação
aos seus dados pessoais e que os dados utilizados na compra não sejam utilizados noutros
pagamentos em seu nome. Por outro lado, o vendedor quer ter a certeza que vai receber o
montante estabelecido na venda.
Entre os mecanismos de segurança implementados no SET, podem-se destacar:
1. Autenticação dos intervenientes na transacção garante que somente quem se encontra
devidamente registado e identificado pode realizar uma transacção utilizando o SET;.
2. A utilização de criptografia nas mensagens trocadas protege as informações
confidenciais, tais como a informação bancária do cliente;
3. A utilização de assinaturas digitais evita a alteração das mensagens trocadas entre as
entidades, garantindo-se a integridade, autenticação e não-repúdio dos dados do pagamento;
4. A utilização de envelopes digitais (combinação de cifragem simétrica/assimétrica)
garante que somente a entidade destinatária é capaz de aceder às mensagens que lhe são
enviadas.
ENTIDADES PARTICIPANTES NO PROTOCOLO SET
A segurança do pagamento é obtida autenticando donos de cartão de crédito,
comerciantes e bancos, garantindo a integridade e confidencialidade dos dados de pagamento
e definindo os algoritmos e protocolos necessários para isso.
26
Implementação de Segurança na rede multicaixas (ATM)
certificado. Para conseguir maior vantagem, a chave pública da AC deveria ser conhecida
pelo maior número possível de pessoas.
Como os participantes do SET têm dois pares de chaves, eles também têm dois
certificados, ambos criados e assinados pela mesma Autoridade Certificadora.
Dois pares de chaves - Cada participante SET possuirão dois pares de chaves
assimétricas: um par de ”chave de troca”, que é usado no processo de cifragem e decifragem,
e um par de ”chave de assinatura” para a criação e verificação de assinaturas digitais.
1. Certificados do consumidor:
Funcionam como uma representação electrónica de um cartão de crédito e somente
podem ser gerados por uma instituição financeira e devem ser assinados digitalmente pela
mesma. Certificados de consumidor não contém o número da conta nem a data de expiração.
Em lugar disso, a informação sobre a conta e um valor secreto conhecido apenas pelo
software do consumidor são codificados usando um algoritmo de hash. Se o número da conta,
a data de expiração e o valor secreto são conhecidos, a ligação ao certificado pode ser
provada, mas a informação não pode ser obtida através do certificado.
Uma vez recebido um pedido e nele o certificado do consumidor, o comerciante pode
estar certo, no mínimo, de que o número da conta do consumidor foi validado por uma
instituição financeira operadora de cartão de crédito.
2. Certificados do comerciante:
Representam que o comerciante tem uma relação com uma instituição financeira que
o permite aceitar pagamento com aquela marca de cartão de crédito. Estes certificados são
aprovados pelo banco e asseguram que o comerciante tem um acordo válido com o banco.
Para participar de um ambiente SET, um comerciante deve ter, então, dois certificados (um
de assinatura e um de troca) para cada marca de cartão de crédito que aceitar.
3. Certificados do PaymentGateway:
São obtidos por Bancos para sistemas que processam mensagens de autorização e de
captura. A chave de encriptação do Gateway, que o consumidor obtém pelo certificado, é
usada para proteger informações sobre a conta do consumidor.
4. Certificados do Banco:
Um Banco precisa possuir certificados para operar como Autoridade Certificadora que
pode aceitar e processar pedidos de certificados directamente do comerciante sobre redes
públicas e privadas. Aqueles Bancos que escolhem que a marca de cartão de crédito processe
pedido de certificado em seu nome não requerem certificados porque eles não processam
mensagens SET. Bancos recebem seus certificados da marca de cartão de crédito.
5. Certificados da Operadora:
Uma Operadora precisa ter certificados para operar como Autoridade Certificadora
que pode aceitar e processar pedidos de certificados directamente do consumidor sobre redes
públicas e privadas. Aquelas Operadoras que escolhem que a marca de cartão de crédito
processe pedido de certificado em seu nome não requerem certificados porque elas não
27
Implementação de Segurança na rede multicaixas (ATM)
processam mensagens SET. Operadoras recebem seus certificados da marca de cartão de
crédito.
Hierarquia de confiança – os certificados SET são verificados através de uma
hierarquia de confiança. Cada certificado é unido ao certificado de assinatura da entidade que
o assinou digitalmente. Seguindo a árvore de confiança até uma parte conhecida confiada,
pode-se assegurar que o certificado é válido.
Temos ainda outros conceitos por apresentar para o SET, tais como:
Envelope digital – dados da mensagem são cifrados usando criptografia por chave
simétrica gerada aleatoriamente. Esta chave é cifrada usando a chave pública do destinatário.
Isto constitui o “envelope digital” da mensagem e será enviado juntamente com a mensagem
em si. Usa-se cifragem simétrica seguida de cifragem assimétrica porque a primeira é muito
mais rápida.
Resumo da mensagem (ou Hash da Mensagem) – é um valor gerado para uma
mensagem que representa deforma única aquela mensagem. É gerado passando a mensagem
por uma função criptográfica tal que não pode ser revertida, ou seja, a partir do número
gerado não é possível obter a mensagem que o originou. O resumo de uma mensagem é
usado para garantir a integridade da mesma.
Assinatura dupla – o objectivo da assinatura dupla é unir duas mensagens destinadas
a destinatários diferentes. A mensagem é gerada criando o Resumo de ambas mensagens,
concatenando estes dois resumos, calculando o resumo do resultado e cifrando-o com a chave
privada de assinatura do remetente.
O SET utiliza Assinatura Dupla para ligar o pedido ao pagamento, que são enviados a
destinatários diferentes mas precisam manter sua relação.
2.13. WiMax ( Worldwide Interoperability for Microwave Access )
Trata-se de um padrão de rede sem fios metropolitano criado pelas empresas Intel e
Alvarion em 2002 e rectificado pelo IEEE (Institute of Electrical and Electronics Engineer)
sob o nome IEEE-802.16. Mais exactamente, WiMax é o rótulo comercial dado pelo WiMax
Fórum aos equipamentos conformes à norma IEEE 802.16, a fim de garantir um elevado
nível de interoperabilidade entre estes diferentes equipamentos.
28
Implementação de Segurança na rede multicaixas (ATM)
Figura 10: Rede Wimax, Fonte: www.lait.fe.uni-lj.si/Seminarji/s_omerovic.pdf
WiMax fixo, igualmente chamado IEEE 802.16-2004, concebido para um uso fixo
com uma antena montada num tecto, como uma antena de televisão. O WiMax fixo
opera nas bandas de frequência 2.5 GHz e 3.5 GHz, para as quais uma licença de
exploração é necessária, bem como a banda livre dos 5.8 GHz
WiMax móvel (em inglês WiMax portátil), igualmente baptizado IEEE 802.16e,
prevê a possibilidade de ligar clientes móveis à rede Internet. O WiMax móvel abre
assim a via à telefonia móvel sobre IP ou serviços móveis de elevado débito.
29
Implementação de Segurança na rede multicaixas (ATM)
2.13.1. Redes WAN
WAN é uma rede de comunicação de dados que funciona além do escopo geográfico
de uma rede local. As WANs são diferentes das redes locais em vários aspectos. Enquanto
uma rede local conecta computadores, periféricos e outros dispositivos em um único prédio
ou outra área geográfica menor, uma WAN permite a transmissão dos dados em distâncias
geográficas maiores. Além disso, uma empresa deve contratar um provedor de serviço WAN
para utilizar os serviços de rede dessa operadora. As redes locais costumam ser da companhia
ou organização que as utilizam.
As WANs utilizam instalações fornecidas por um provedor de serviços ou operadora,
como uma companhia telefónica ou empresa de cabeamento, para conectar os locais de uma
organização aos locais de outras organizações, a serviços externos e a usuários remotos. As
WANs normalmente transportam vários tipos de tráfego, como voz, dados e vídeo. Em
seguida apresentamos as três características principais das WANs:
As WANs conectam dispositivos separados por uma área geográfica maior do que a
que pode ser atendida por uma rede local.
As WANs utilizam os serviços das operadoras, como companhias telefónicas,
empresas de TV a cabo, sistemas de satélites e provedores de rede.
As WANs utilizam conexões seriais de vários tipos para fornecer acesso à largura de
banda em grandes áreas geográficas.
30
Implementação de Segurança na rede multicaixas (ATM)
Figura 11: Estrutura de uma rede WAN,
Fonte: Fonte: http://kingofnetworking.weebly.com/different -types-of-computer-networks.html
31
Implementação de Segurança na rede multicaixas (ATM)
3. Implementação da rede
Temos de ter em conta que por mais pequeno (dimensão) que um projecto seja, tem de
ser devidamente estudado e planeado. Não importa a sua dimensão, um projecto não
planeado é um projecto mal feito que, pode não acabar muito bem. E, como tal, temos várias
ferramentas que servem para apresentar os passos para a fase de um projetco, que
aproveitando as fases podemos muito bem citá-las:
Iniciação: nesta fase é aonde acontece a parte crucial de qualquer projecto, a escolha
de um tema, o estudo de viabilidade do tema e a aprovação dos participantes.
Planeamento: depois de aprovados pela equipa do projecto, o projecto deve ser
planeado, todas as fases possíveis e seguintes, é o que fazemos nesta fase.
Construção: depois de planeado podemos começar a prática do nosso projecto.
Monitoramento: esta fase pode acontecer desde o princípio ou em simultâneo com
muitas outras, dependendo da forma de como a instituição queira apresentar e
dependendo do tipo de projecto.
Encerramento: está é a fase final, a fase em que nos encontramos satisfeitos ou que o
prazo dado ao projecto tenha terminado, então, damos como encerrado o nosso
projecto e apresentá-mo-lo as outras instâncias, conforme planeado.
Usamos a WBS e o MS Project, duas ferramentas disponíveis também para o Sistema
Operativo Windows, está última pertencente ao pacote do office, para apresentar o guia do
nosso projecto.
32
Implementação de Segurança na rede multicaixas (ATM)
Em seguida, na fase de planeamento é onde decidimos os requisitos, onde planeamos
as pesquisas, o tipo de pesquisa.
Como qualquer projecto de rede bem estruturado, quer seja para uma instituição de
grande, médio ou pequeno porte, primeiramente temos de saber que protocolo de redes usar,
a tecnologia de comunicação e a hierarquia básica da estrutura interna que todo um homem
de planeamento pode usar e, neste projecto não fugimos a regra.
As instituições por sua vez, devem ter as camadas de redes bem divididas seguindo o
tipo de hierarquia de ligação padrão. Temos a camada do CORE ou Núcleo, a camada de
Distribuição e a camada de Acesso. Isso, falando em redes de grande porte porque em redes
menores, é muitas vezes comum implementar um modelo de núcleo recolhido, no qual a
camada de distribuição e o núcleo estão integradas em uma só camada.
33
Implementação de Segurança na rede multicaixas (ATM)
A camada do CORE geralmente é a primeira camada ou última camada, ou seja,
primeira quando tem o primeiro contacto com a informação vinda do exterior, como a
Internet ou última quando enviados para o exterior.
A camada de distribuição é a camada intermediária onde encontramos os dados
recebidos pelos switches da camada de acesso para o núcleo e seu exterior e os dados
recebidos da camada do CORE para o interior.
A camada de acesso contém os dispositivos finais, como PCs, telefones IP,
impressoras ou também podemos encontrar os pontos de acesso Wireless (AP). O seu
principal propósito é fornecer um meio de os restantes dispositivos conectarem a rede e quais
têm permissão pra tal.
3.1. Tipo de ligação
O tipo de ligação utilizado entre a rede dos multicaixas e a entidade gestora, é o tipo
de ligação peer-to-peer, em português, ponto a ponto.
A ligação ponto a ponto é um formato de redes de computadores onde cada um dos
pontos da rede funciona tanto como cliente quanto como servidor, permitindo
compartilhamentos de serviços e dados.
De modo geral, as ligações ponto a ponto são utilizadas para ligar dois sistemas numa
rede alargada (WAN). É possível utilizar uma ligação ponto a ponto para deslocar dados do
sistema local para um sistema remoto ou para deslocar dados de uma rede local para uma
rede remota.
Não se deve confundir ligações ponto a ponto com o Point-to-Point Protocol. O Point-
to-Point Protocol (PPP) é um tipo de ligação ponto a ponto, geralmente utilizado para ligar
um computador à Internet.
É possível utilizar ligações ponto a ponto em linhas de acesso telefónico, linhas
dedicadas e outros tipos de redes, tais como retransmissão de estruturas. Existem duas formas
de configurar os endereços de IP para uma ligação ponto a ponto: uma ligação numerada e
uma ligação não numerada.
À primeira vista, parece que a forma mais simples de configurar uma ligação ponto a
ponto é através da utilização de uma ligação numerada. Uma ligação numerada é uma
definição ponto a ponto que possui um endereço de IP exclusivo definido em cada um dos
extremos da ligação. Seguem-se alguns dos pontos a ter em conta para a utilização de uma
ligação ponto a ponto numerada:
34
Implementação de Segurança na rede multicaixas (ATM)
3.2. Protocolo X25 e Linhas Dedicadas
Até aos dias actuais a topologia de redes de caixas multibancos em Angola, ainda usa
a topologia X25 acompanhada de linhas dedicadas como solução a transmissão de dados
entre a Entidade Gestora e os seus ATMs.
3.2.1. Protocolo X25
O x.25 é um protocolo de rede de dados e comutação de pacotes definidos e
recomendados internacionalmente para o intercâmbio de dados, bem como informações de
controlo entre dois sistemas finais. Foi projectado para operar sistemas de rede de dados. É
tipicamente usado em redes de comutação de pacotes (PSNs) de provedores de serviços de
telecomunicações e é adequado para tráfego terminal com sessões interactivas mas também
podemos dizer que o X.25 é um conjunto de protocolos que operam no modo síncrono full-
duplex, ponto-a-ponto.
Os seus dispositivos de rede se enquadram em três categorias gerais: equipamento
terminal dados (DTE – data terminal equipment), equipamento de conexão de circuito de
dados (DCE – data circuit-terminating equipment), e a rede de comutação de pacotes (PSE).
Os dispositivos do equipamento terminal de dados são sistemas fim a fim que se
comunicam pela rede de X.25. Eles normalmente são terminais, computadores pessoais ou
servidores que ficam no local e sob a responsabilidade do assinante do serviço. Os DCEs são
dispositivos de comunicações, como modens ou routers que provêem a interface entre os
dispositivos de DTE e o PSE e ficam, geralmente, nas instalações do provedor do serviço. Os
PSEs são os comutadores de pacotes que compõem a infra-estrutura básica do provedor do
serviço. Eles transferem dados de um dispositivo de DTE para outro pelo X.25 PSN.
O X.25 funciona em baixas três camadas de OSI que são o nível do protocolo Packet,
que é semelhante à camada de enlace do modelo OSI. Nível de Link (procedimento de acesso
para fazer a ligação equilibrada), semelhante à camada física do modelo OSI e o nível físico,
funcionamento semelhante à camada física do modelo OSI.
As redes X.25 fornecem serviços de circuito virtual connection-oriented com
correcção de erros e retransmissão. A correcção de erros garante a entrega de dados correcta,
mas também reduz a velocidade, que normalmente varia entre 9.6 Kbps e 64 Kbps, antes da
detecção de erros.
O esquema de endereçamento usado pelas redes X.25 é dado por uma norma padrão
conhecida como X.121. Cada um dos endereços físicos X.121 consiste de um número de 14
dígitos, com 10 dígitos atribuídos pelo fornecedor do serviço X.25. Similar aos números de
telefone, uma atribuição de um provedor popular inclui um código de área baseado na
localização geográfica. O esquema de endereçamento não é surpreendente, pois vêm de uma
organização que determina normas de telefone internacionais.
O X.25 também suporta permuta de circuitos virtuais, que oferecem maior
flexibilidade nas conexões do que as linhas dedicadas.
35
Implementação de Segurança na rede multicaixas (ATM)
Figura 15: Arquitectura do X25
Fonte:Redes%20X.25%20_%20efagundes.com.html
36
Implementação de Segurança na rede multicaixas (ATM)
Figura 16: Exemplo de linhas dedicadas
Fonte: http://www.thenetworkencyclopedia.com/entry/leased-line/
A linha alugada não é realmente uma conexão física dedicado, mas um circuito
reservados entre dois pontos designados que está aberto em todos os momentos. Isso é
diferente de serviços de telefonia tradicionais, que reutilizam o mesmo circuito através de
comutação. Eles são normalmente alugados por grandes empresas para conectar dois ou mais
locais que necessitam de conexão rápida constante. Estas linhas são alugadas por grandes
empresas de telecomunicações e são geralmente muito caras. A alternativa para isso é usar as
redes públicas comutadas ao usar protocolos de segurança, ou para instalar e manter suas
próprias linhas privadas, que podem custar mais caro.
Em comparação com a tecnologia de acesso ADSL, uma conexão dedicada tem suas
vantagens e desvantagens.
Vantagens:
Maiores velocidades de download são geralmente disponíveis;
Velocidades de upload mais rápidas;
Conexões que não abrandam em horários de pico;
Maior confiabilidade;
Melhor suporte;
Desvantagens:
Custo - as linhas alugadas ainda são muito mais caras do que as conexões ADSL;
Tempo de instalação - circuitos alugados pode demorar cerca de três meses para
instalar em vez de duas semanas;
Instalação Física - Instalação de linhas alugadas também são mais complexas do que a
instalação de ADSL, como ADSL podem ser fornecidas através de um circuito pré-
existente (sua linha de telefone). A linha alugada vai exigir um novo circuito, e é
provável que exigem algum trabalho de construção para ligar o edifício à rede do
provedor de linha alugada.
37
Implementação de Segurança na rede multicaixas (ATM)
3.2.3. Linhas dedicadas no X.25
Figura 17: Ligação X25 com linhas dedicadas; Fonte: Elaborada pelo Autor
38
Implementação de Segurança na rede multicaixas (ATM)
• Utilizado em prédios comerciais e outros estabelecimentos de trabalho para redes
locais.
3.3. Protocolo TCP/IP e Wimax
E como já foi dito antes, a arquitectura de comunicação TCP/IP inclui um conjunto de
protocolos de suporte à transmissão de dados. A simplicidade e o facto de ser uma
arquitectura aberta tornaram o TCP/IP na arquitectura utilizada na maioria das redes de
comunicação de dados, incluindo a rede Internet. O TCP/IP usa conceitos similares ao do
modelo OSI, com uma estrutura de camadas bastante próximas.
O Wimax é uma tecnologia de rede da 4ª geração, sem fio que permite a comunicação
fixa entre um ou mais pontos, comunicação portátil e inclusive comunicação móvel sem fio
sem a necessidade de linha directa com a estação base, com foco em atender as WMANs. Ou
seja, o WiMax permite um uso mais eficiente de banda, prevenção de interferência e maiores
taxas de transferência em longas distâncias. É uma solução completa para voz, dados e vídeos
(streaming) com QoS (Quality of Service) e segurança. O protocolo pode transportar tanto
IPv4 quanto IPv6, utilizando QoS ou não e com capacidade para trafegarem dados a uma
velocidade de até 70 Mbps.
A tecnologia Wimax apresenta diversas vantagens em relação às demais tecnologias
de acesso à internet, pois possui maior velocidade de conexão em comparação com as
conexões via linha discada, cabo, xDSL e satélite, não apresenta delay, muito comum na
conexão via satélite e pode ser implantada em qualquer região, pois não depende de
infraestrutura local (cabeamento, linhas telefônicas entre outras), pois a recepção do sinal e
transmissão do mesmo são feitos através de rádio e seu alcance depende do tipo de antena e
rádio a ser utilizada. A arquitetura de rede especificada pelo IEEE 802.16 A esta composta
pelos itens abaixo:
BS (Estação Base) permite a interação entre a rede sem fio e a rede-núcleo
(Core Network);
IP (Protocolo de internet) é único meio em que as máquinas e dispositivos
moveis usam para se comunicarem na Internet;
ATM (Modo de transferência Assíncrono) é uma tecnologia de rede baseada na
transferência de pacotes relativamente pequenos, com isso suas células já são
pré-definidas conhecida como células de tamanho definido. Devido seu
tamanho reduzido é possível a transmissão de áudio, vídeo e dados pela mesma
rede.
A Estação de assinantes (SS) permite ao usuário acessar a rede, por intermédio
de ligações entre dispositivos à ligação entre dispositivos de comunicação em
dois ou mais locais, que possibilita transmitir e receber informações.
A tecnologia Wimax possui ainda mais dois tipos de arquitectura possíveis que são:
• Arquitectura ponto-a-ponto: permite apenas a comunicação entre a estação base e as
estações assinantes, ou seja, toda comunicação de uma estação de assinante passa sempre
pela estação base.
• Arquitetura ponto-multiponto: Nesta arquitetura, a comunicação pode ser passada
através das estações assinantes, sem passar pela estação base.
39
Implementação de Segurança na rede multicaixas (ATM)
O Wimax apresenta três modos de operação, que são: Single Carrier, OFDMA e
OFDM, sendo o último o modo mais comumente utilizado.
O modo Single Carrier consiste em enviar os símbolos de maneira serial, ou seja, um
de cada vez enquanto o modo OFDM consiste na transmissão paralela de dados, os símbolos
são enviados em sequência e o espectro ocupa toda a faixa de frequências disponível.
O OFDM é um método de codificação de dados digitais em várias frequências
portadoras. Tendo também uma técnica de modulação multiportadora que tem por sua vez o
conceito de divisão de fluxos de dados de entrada de altas taxas de bits. Esta técnica vem
desde então sendo particularmente considerada para ser empregada em radiodifusão, em
transmissão digital sobre linhas de telefone e em redes locais sem fio.
A técnica traz como vantagem trabalhar-se com uma segunda dimensão, que no caso
seria o domínio da frequência, no qual permite obter ganhos adicionais na utilização de
técnicas de melhoria do sinal entrelaçamento e códigos corretores de erro, relativamente aos
obtidos pela utilização destas técnicas no domínio do tempo.
Que por sua vez, o ICI (Inter Carrier Interference) é reduzida e a largura de banda
disponível é utilizada de forma mais eficiente.
O Wimax utiliza antenas mais potentes, com maior alcance, porém o alcance depende
de vários factores, como o tipo de antena, a topografia do terreno, bem como a presença de
árvores, rios e prédios.
O grande atractivo do Wimax é que dispensa a instalação de cabos ligando o prestador
aos assinantes. Torna-se economicamente viável oferecer banda larga em regiões onde outros
tipos de conexão não compensam, devido ao alto custo de instalação das outras tecnologias. É
possível oferecer banda larga de custo aceitável em bairros afastados e em regiões rurais, a
cerca de 10 a 20 kms do centro da cidade ou em locais onde não é oferecido outras
tecnologias.
Suas principais características são:
• Estabelece uma rede integrada, compartilhando os recursos e diminuindo os custos
da rede;
• Altas taxas de transmissão de dados;
• Redução nos custos com infra-estrutura de banda larga para conexão com o usuário
final, principalmente no que diz respeito a custos com cabeamento;
• Apresenta um recurso de qualidade de serviço (QOS) devido à baixa latência para
serviços sensíveis ao retardo, como por exemplo, a voz sobre IP (Voip);
A comunicação Wimax funciona da seguinte forma: Um rádio digital de alto
desempenho ligado a uma antena transmissora conectada preferencialmente por fibras ópticas
em uma rede IP de alta velocidade, transmite os dados para os assinantes por ondas de rádio,
cada assinante recebe os dados através de um receptor. Nas ligações ponto-a-ponto são
utilizadas antenas unidirecionais e o alcance chega a 50 km, enquanto nas ligações ponto-a-
multiponto são utilizadas antenas omnidirecionais, que têm alcance menor, porém irradiam
em todas as direções. Os assinantes acessam a rede Wimax através desse tipo de ligação.
40
Implementação de Segurança na rede multicaixas (ATM)
As torres transmissoras são conectadas ao ISP que possuem uma ligação ao backbone
da Internet. O Backhaul é usado para zonas que não existe a possibilidade de se estabelecer
uma ligação por intermédio de um ‘High Speed Data Link’ até ao ISP. A figura que se segue
apresenta o diagrama de como funciona o WIMAX na nossa rede.
41
Implementação de Segurança na rede multicaixas (ATM)
adiante, o HUB gerência a rede num determinado tipo topologia e tem a finalidade de
controlar o acesso pelo provedor do serviço.
No nosso caso, a comunicação é feita da caixa multibanco (que tem na saída do seu
modem uma configuração ponto a ponto) até a entrada da estação central (que seria a entrada
da comunicação na Entidade Gestora). A comunicação Vsat entre a central e suas caixas
ATM será feita por intermédio do satélite Intelsat 17 (IS-17), utilizando a tecnologia iDirect.
O Intelsat 17 é equipado com 25 transponders em banda Ku e 24 em banda C para prestar
serviços aos clientes na Europa, África do Norte e da Índia, bem como no Oriente Médio. Ele
está localizado na posição orbital de 66 graus de longitude leste e é de propriedade da
Intelsat.
42
Implementação de Segurança na rede multicaixas (ATM)
A Banda Ku é uma faixa de frequência utilizada nas comunicações via satélites, que
tem as seguintes características:
Espectro de frequência segundo o IEEE: 15.35 GHz até 17.25 GHz.
Espectro de frequência comercial utilizado - 10.7 GHz até 18 GHz.
Longitude do satélite: 66º E;
Frequência de Uplink: 14 GHz e Frequência de Downlink: 12 GHz;
Densidade de Fluxo de Saturação do Transponder: -93 dBW/m2;
EIRP de Saturação do Satélite: 49.3 dBW;
Figura de Mérito do Satélite no Uplink: 3 dB/K;
Backoff de Entrada com céu Limpo: 5 dB e Backoff de Saída com céu Limpo: 3 dB.
O iDirect é uma tecnologia nova de origem americana, baseada totalmente em IP,
virada na parte de comunicações via satélite, é muito compacta e com uma constituição muito
simples além de muitas inovações, dentre elas a mais importante é o ACM (Adaptive Code
Modulation).
LINK BUDGET
Segundo a posição das nossas caixas e da entidade gestora vamos traçar o nosso link
budget.
Caixas: Latitude = 8º53´ 46.79.79´´S; Longitude = 13º 12´01,98´´E; Elevação: 66 m
Entidade Gestora: Latitude = 8º49´ 08.98.98´´S; Longitude = 13º 15´11,16´´E;
Elevação: 75 m
Portanto a nossa ligação fica:
43
Implementação de Segurança na rede multicaixas (ATM)
Figura 21: Link Budget (Downlink); Fonte: Elaborado pelo Autor
Se você estiver usando um tipo de VPN diferente de SSL ou CITRIX, uma solução
para acelerar a transmissão de dados é colocar um dispositivo VPN no teletransporte,
em vez de no local remoto, para o link VPN de volta à sede. Nesse cenário, o NOC
(centro de operações de rede) simplesmente faz uma conexão VLAN (rede de área
local virtual) desse site para o dispositivo VPN, para fins de comunicação da sede. O
tráfego é criptografado do teletransporte para o centro de dados, mas é executado "em
claro" (não criptografado) do site remoto para o teletransporte através do link de
satélite. É muito difícil interceptar ou alterar dados sobre este link devido ao design da
solução. Para transmissão sobre a porção menos segura do link, que é a conexão
através da Internet pública, a transmissão de dados é criptografada. Este arranjo
garante uma operação VPN mais rápida e que todas as ligações por satélite activadas
são pelo menos tão seguras como linhas alugadas normais e circuitos Frame Relay.
44
Implementação de Segurança na rede multicaixas (ATM)
Tenha em mente, no entanto, que ele envolve a despesa adicional de comprar um
dispositivo VPN e alugar espaço no estande no teletransporte;
Você pode pré-acelerar as sessões TCP. Se você precisa ter uma criptografia de ponta
a ponta para o site remoto e quiser desempenho completo, tem um appliance que fica
entre a LAN (rede de área local) e o dispositivo VPN e pré-acelera a VPN e fornece
QoS (qualidade de serviço). Os provedores de satélite podem fornecer informações
sobre custos e detalhes de serviços para este dispositivo, que devem estar localizados
no site remoto e na sede;
Vivo com velocidade de operação VPN lenta de cerca de 70-90 Kbps por sessão.
Dependendo do tipo de dados que este é (como e-mail ou transferências de arquivos),
pode não importar. Mas, se for aplicativos habilitados para web, o serviço será lento.
Nota:
Se a VPN que estamos discutindo aqui é um software baseado em PC / Laptop que é
executado no próprio computador, em vez de usar um dispositivo VPN para todo o
site, então realmente não há nada que possa ser feito para pré-acelerar o tráfego. Não
há nenhuma solução que fará a pré-aceleração internamente no próprio PC. A VPN
funcionará, mas o desempenho será limitado a aproximadamente 100 Kbps ou menos
por sessão. É possível usar todo um circuito maior com múltiplas sessões TCP, cada
uma fazendo cerca de 100 Kbps. No entanto, mesmo se a largura de banda adicional
estiver momentaneamente disponível, um dispositivo não acelerado não será capaz de
tirar vantagem. A largura de banda extra é essencialmente desperdiçada nesse
momento no tempo se nenhum outro dispositivo não-VPN estiver utilizando-o.
Considerações importantes sobre VPN
• Se algum tráfego pesado for antecipado sobre sua VPN via satélite, então você
precisaria de mais largura de banda dedicada ou mais BIR (taxa de informação burstable)
- largura de banda compartilhada para suportar esta rede. Uma VPN é basicamente um
túnel para qualquer tráfego. O termo VPN em si fornece pouca informação sobre que tipo
de tráfego vai ser no túnel VPN. Às vezes é apenas alguns aplicativos corporativos
baseados na web que podem ser classificados como navegação na web, mas pode muito
bem ser uma grande sincronização de banco de dados. Se este for o caso, então você deve
considerar velocidades de largura de banda mais rápidas. Se você não tiver certeza de
quanto velocidade de largura de banda você precisará, não se esqueça de informar seu
provedor de satélite quanto tráfego você antecipar será na VPN, entrada e saída, a cada
dia útil. Eles podem ajudá-lo a determinar a quantidade de largura de banda que seria
apropriada.
Fonte: http://www.satelliteinsight.com/vpn-via-satellite.html
3.5. Entidade gestora (segurança)
45
Implementação de Segurança na rede multicaixas (ATM)
Após obter a estrutura actual da rede e de vários dias seguidos de análise, cheguei a
conclusão que devia trazer algumas alterações como proposta de mudança na rede que têm
mais a ver com a vertente de segurança da rede.
Para efeito de testes em softwares de simulação tínhamos que primeiramente elaborar
um plano de endereçamento que vai servir-nos de ajuda para o nosso teste.
ESQUEMA DE ENDEREÇAMENTO PARA A REDE INTERNA E
DEPARTAMENTOS
47
Implementação de Segurança na rede multicaixas (ATM)
n=4
IPv4: 32 – 4 = 28, portanto o nosso endereço geral fica: 172.16.5.208/28
Próximo endereço disponível: 172.16.5.208/28
Proxy: 4 hosts
2𝑛 − 2 = 4
n=3
IPv4: 32 – 3 = 29, portanto o nosso endereço geral fica: 172.16.5.208/29
Próximo endereço disponível: 172.16.5.216/29
Servidores: 4 hosts
172.16.5.216/29
Segundo as necessidades da nossa rede composta por lans e estas divididas em vários
departamentos, chegamos aos seguintes resultados.
48
Implementação de Segurança na rede multicaixas (ATM)
onde temos todos os nossos serviços ligados, ou seja, a informação de entrada e de saída têm
de necessariamente passar por aqui, por isso o nome núcleo.
Actualmente a tecnologia MPLS (Multi-Protocol Label Switching) é comumente
utilizada pelas operadoras de telecomunicações (ISP) como solução de conectividade de
longa distância. Primeiramente devemos observar que a configuração dessa tecnologia no
ambiente corporativo (enterprise) é totalmente diferente da configuração na nuvem da
operadora (ISP). Aliás, quem possui um link MPLS na empresa sabe bem que ela é
transparente, já que você simplesmente recebe a conectividade da operadora e pronto - é
como se houvesse um link privado entra as unidades remotamente conectadas.
Os routeres instalados na empresa cliente normalmente sequer têm noção do que é
MPLS e por isso toda a complexidade da infraestrutura está na nuvem da operadora.
Diferente de outras tecnologias de Camada 2 (HDLC, ATM e Frame-Relay) que eram
tradicionalmente utilizadas na longa distância (e ainda são), o MPLS surgiu como uma
tecnologia de Camada 2¹/² que traz uma abordagem de operação totalmente nova: o chamado
roteamento baseado em rótulos.
Essa tecnologia não utiliza mais o cabeçalho do datagrama IP na decisão de
roteamento, fazendo o reencapsulamento do datagrama com um novo cabeçalho de 4 bytes
que possui um rótulo de 20 bits. Toda a decisão de encaminhamento dos pacotes é
determinada com base nesse rótulo, o que agiliza o processo de roteamento e permite a
implementação de técnicas de engenharia de tráfego, entre outras coisas.
O Custormer Edge (CE) é o equipamento instalado nas unidades remotas da empresa
que irão receber a solução de conectividade provida pela operadora. E o Provider Edge (PE)
que se trata do router da operadora directamente conectado a um (ou mais) routers do(s)
cliente(s), ou seja, PEs são conectados a CEs. Por fim, o elemento P (Provider)são os demais
routers distribuídos pela nuvem MPLS que representa a infraestrutura do ISP.
Outro conceito fundamental é a tecnologia VRF (Virtual Routing and Forwarding)
que traz consigo outros dois elementos igualmente importantes: o RD (Route Distinguisher) e
o RT (Route Target). Através do VRF é possível criar múltiplas instâncias da tabela de
roteamento, sendo que cada uma dessas tabelas virtuais é totalmente independente das
demais. No contexto do MPLS é comum que cada cliente tenha sua própria VRF porque essa
prática traz mais segurança e flexibilidade.
Sem as VRFs individuais o tráfego entre as sub-redes de todos os clientes da
operadora iriam compor uma única tabela de roteamento, o que seria péssimo do ponto de
vista de segurança. Outro benefício comum é que se torna possível que os clientes utilizem
endereços de redes iguais, já que as instâncias VRF são independentes. E é muito comum que
as empresas utilizem endereços privados da RFC1918 (192.168 /16, 172.16 /12 e 10 /8).
49
Implementação de Segurança na rede multicaixas (ATM)
Eis que surge um problema: Fica claro que é possível ter endereços repetidos através
das VRFs porque elas representam tabelas de roteamento distintas, mas como fica a
redistribuição das rotas iguais para o processo BGP!? Isso só é possível através da adição de
um identificador nas rotas para torná-las únicas que é denominado RD (Route Distinguisher).
Também existe o RT (Route Target), uma community BGP que indica o membro de uma
VPN, permitindo que rotas sejam importadas e exportadas das VRFs no processo de
redistribuição.
Há alguns formatos para o RD/RT, sendo que sua forma mais comum consiste em:
ASN de 16 Bits + Número de 32 Bits ; Ex.: 65000:100.
Como o processo de configuração consiste em várias linhas de comando, estarei
dividindo o processo de configuração nas seguintes etapas:
50
Implementação de Segurança na rede multicaixas (ATM)
assim, vamos configurar a nossa lista de acesso estendida, a escolha foi feita porque achei
que principalmente permite uma classificação com granulosidade mais fina.
E, lembrar que, as listas de acesso apenas se aplicam ao tráfego que atravessa o router.
Todo o tráfego gerado pelo router não é filtrado por qualquer lista de acesso. Eis em seguida
a nossa tabela:
A comunicação entre os ATMs é feita por uma ligação ponto a ponto, ou para melhor
empregar o sub tema, podemos dizer, end to end. Criptografia end-to-end é usada
preferencialmente quando apenas os pontos da conexão devem ter acesso ao conteúdo, e que
os dados estejam encriptados por onde passam.
Especialistas afirmam que até mesmo malwares têm um acesso limitado na hora de
quebrar a criptografia do End-to-End. Segundo eles, o que pode ser violado é o tipo de
criptografia usada para proteger a comunicação. “Ataques como utilizando técnicas como o
FREAK e o BEAST, têm demonstrado a possibilidade de quebra da criptografia entre dois
pontos de uma comunicação, com base em diferentes vulnerabilidades”. “No entanto, se o
algoritmo usado para criptografia é forte o suficiente, não haverá nenhuma maneira de
quebrá-lo e saber o conteúdo da mensagem que está sendo trocada entre duas entidades.
Figura 23: Core da rede (Solução proposta); Fonte: Elaborado pelo Autor
O mais importante a perceber na figura é que o núcleo da nossa rede encaminha uma
grande quantidade de dados e que tem de o fazer com rapidez e eficiência, a primeira acção
foi desalocar o grupo servidores desta camada em modo assim manter a camada fluída e com
maior eficiência.
Na figura que representa a solução proposta vimos que além da zona desmilitarizada
já não temos os servidores alocados nesta camada, sendo que assim garantimos fluidez e
rapidez dos pacotes.
Depois de os dados filtrados pela ACL no router BR, temos no core os dispositivos
que servem para a protecção por isolamento de máquinas ligadas à rede e controlo de
52
Implementação de Segurança na rede multicaixas (ATM)
interacções entre máquinas, ou seja, firewall. O funcionamento de uma Firewall ou as
decisões tomadas por ela são todas controladas por um conjunto de regras e aplicações que as
interpretam e reagem em função do tráfego que chega á Firewall.
As firewalls CISCO ASA podem ser configuradas a duplicar os dados de uma ligação
para outra, o que permite que haja redundância e segurança na informação a ser recebida e
enviada. Para tal precisamos de dois dispositivos ASA com IOS idênticos e que a ligação seja
feita tal como mostra a figura a seguir, para que possamos utilizar os modos failover
activo/activo e activo/Standby.
No modo activo/activo o tráfego poderá passar pelos dois firewalls ao mesmo tempo,
mas, já no modo activo/failover, o tráfego passará apenas pelo firewall primário e o
secundário (failover) entrará em acção quando por algum motivo o firewall primário reiniciar
ou perder conexões.
Iremos demonstrar de forma simples e rápida como configurar um firewall ASA no
modo activo/failover.
53
Implementação de Segurança na rede multicaixas (ATM)
2 Any Any Icmp ------ Allow
54
Implementação de Segurança na rede multicaixas (ATM)
Figura 25: Camada de Distribuição Actual; Fonte: Elaborado pelo Autor
55
Implementação de Segurança na rede multicaixas (ATM)
Figura 26: Camada de distribuição (Proposta); Fonte: Elaborado pelo Autor
VIRTUALIZAÇÃO
A virtualização de servidores já é uma realidade que bate à porta das empresas,
trazendo inúmeras vantagens a todos que buscam a economia de recursos e uma gestão de TI
mais eficaz. Para dar uma visão mais ampla, vamos aqui apresentar algumas vantagens e
desvantagens, que podem ser compensadas pela utilização de um provedor cloud com
reconhecida atuação no mercado.
Vantagens
1. Instalações simplificadas e economia de espaço físico e melhor aproveitamento do
espaço físico, quanto menos dispositivos físicos instalados, maior o espaço disponível em
racks.
2. Maior disponibilidade e mais, fácil recuperação em caso de desastres e facilidade
para a execução de backups e ainda tem o gerenciamento centralizado e compatibilidade total
com as aplicações.
3. Suporte e manutenção simplificados e Independência de hardware.
4. Acesso controlado a dados sensíveis e à propriedade intelectual mantendo-os
seguros dentro do data center da empresa.
5. A disponibilização de novos servidores fica reduzida a alguns minutos e migração
de servidores para novo hardware de forma transparente.
6. Economia de energia elétrica utilizada em refrigeração e na alimentação dos
servidores e a redução de custos também é possível utilizando pequenos servidores virtuais
em um único servidor mais poderoso e com isso a redução de custos de pessoal.
56
Implementação de Segurança na rede multicaixas (ATM)
7. Segurança – usando máquinas virtuais (VM), pode-se definir qual é o melhor
ambiente para executar cada serviço, com diferentes requerimentos de segurança, diversas
ferramentas e o sistema operacional mais adequado para cada serviço. As máquinas virtuais
podem ficar isoladas e independentes umas das outras, inclusive da máquina hospedeira.
Usando uma máquina virtual para cada serviço, a vulnerabilidade de um serviço não
prejudica os demais.
8. Confiança e disponibilidade – a falha de um software não prejudica os demais
serviços.
9. Adaptação às diferentes cargas de trabalho, que podem ser tratadas de forma
simples. Normalmente, os softwares de virtualização realocam os recursos de hardware
dinamicamente entre uma máquina virtual e outra.
10. Balanceamento de carga: toda a máquina virtual está encapsulada. Assim, torna-se
fácil trocar a máquina virtual de plataforma e aumentar o seu desempenho.
11. Suporte a aplicações legadas: quando uma empresa decide migrar para um novo
sistema operacional, é possível manter o sistema operacional antigo sendo executado em uma
máquina virtual, o que reduz os custos com a migração. Vale ainda lembrar que a
virtualização pode ser útil para aplicações que são executadas em hardware legado, que está
sujeito a falhas e tem altos custos de manutenção. Com a virtualização desse hardware, é
possível executar essas aplicações em hardwares mais novos, com custo de manutenção mais
baixo e de maior confiabilidade.
Desvantagens
1. Gerenciamento – os ambientes virtuais necessitam ser instanciados (criar instâncias
nas máquinas virtuais), monitorados, configurados e salvos. Existem produtos que fornecem
essas soluções, mas esse é o campo no qual estão os maiores investimentos na área de
virtualização.
2. Dificuldade no acesso direto a hardware, por exemplo, placas específicas ou
dispositivos de USB.
3. Desempenho – atualmente, não existem métodos consolidados para medir o
desempenho de ambientes virtualizados. Para compensar, introduz-se uma camada extra de
software entre o sistema operacional e o hardware, o VMM ou hypervisor, que gera um custo
de processamento superior ao que se teria sem a virtualização. Outro ponto importante de
ressaltar é que não se sabe exatamente quantas máquinas virtuais podem ser executadas por
processador, sem que haja o prejuízo da qualidade de serviço.
4. Grande consumo de memória RAM dado que cada máquina virtual vai ocupar uma
área separada da mesma.
5. Grande uso de espaço em disco, já que é preciso de todos os arquivos para cada
sistema operacional instalado em cada máquina virtual.
Vê-se que a virtualização tem mais vantagens do que desvantagens, pois, facilita e
resolve muita coisa. Porém é necessário avaliar todos os aspectos envolvidos na virtualização
para evitar crises. Por exemplo, a vulnerabilidade ou queima de um host físico deixará todas
as máquinas virtuais vulneráveis ou indisponíveis, o que requer planos de recuperação de
57
Implementação de Segurança na rede multicaixas (ATM)
desastres. Deve-se analisar também se as máquinas virtuais terão o desempenho necessário
para as operações críticas.
Podemos ter os servidores de: Aplicações de gestão de contas, DNS, Proxy (que serve
para garantir que todas ligações na rede sejam seguras), o AD ou Active directory (que serve
para tratar das contas dos utilizadores). No servidor principal, teremos serviços como, Web
Service, HTTPs, http, entre outros. O router CCME para garantir serviços de voz sobre IP,
VOIP.
SERVIDOR PROXY
Um Proxy é um servidor que é um sistema de computador ou uma aplicação que age
como um intermediário para requisições de um usuário solicitando recursos de outros
servidores. Um servidor conecta-se ao servidor proxy, solicitando algum serviço, como um
arquivo, conexão, página web ou outros recursos disponíveis de um servidor diferente e,
como os endereços locais do computador não são válidos para acessos externos, cabe ao
proxy enviar a solicitação do endereço local para o servidor, traduzindo e repassando-a para o
seu computador.
Todas as requisições feitas ao servidor (o site que você quer acessar) passarão pelo
seu proxy. Ao chegar ao site, o IP (Internet Protocol / Protocolo de Internet) do proxy fica
registrado no cache do seu destino e não o seu. É pelo IP que os hackers conseguem invadir
computadores, portanto deve-se manter o nível de segurança do seu gateway (porta de ligação
com o proxy) seguro. Os riscos são vários, no entanto, dois deles podem ser enumerados
como os mais fortes: ter seu computador invadido ou ter alguém navegando com o seu IP.
Proxies de interceptação são normalmente usados em empresas para impor a política
de uso aceitável e para aliviar as sobrecargas administrativas, uma vez que nenhuma
configuração do navegador do cliente é necessária. Esta segunda razão entretanto é mitigada
por recursos como política de grupo do Active Directory ou detecção de proxy automática ou
via DHCP.
Como os riscos são vários, não fugimos a regra e adicionamos algumas regras ao
nosso servidor proxy, como mostradas a seguir.
58
Implementação de Segurança na rede multicaixas (ATM)
Camada de Acesso
A camada de acesso contém os dispositivos finais, como PCs, telefones IP,
impressoras ou também podemos encontrar os pontos de acesso Wireless (AP). O seu
principal propósito é fornecer um meio de os restantes dispositivos conectarem a rede e quais
têm permissão pra tal.
Para a camada de acesso a única alteração foi o tipo de ligação lógica dos cabos.
Agora as nossas ligações são Stack ao contrário das ligações Trunk que tínhamos
anteriormente, onde as ligações Stack servem principalmente para redundância parcial, eles
levam toda a informação de um Switch para o outro e as ligações trunk carregam informação,
mas carregam informação limitada, no trunk só carregamos informação de cada VLAN.
Figura 28: Proposta para a camada de acesso; Fonte: Elaborado pelo Autor
Podemos dizer que com Stack temos conexão de largura da Banda Total. Como
exemplo temos uma Stack de Catalyst 3750 Switches que proporciona largura de banda total
59
Implementação de Segurança na rede multicaixas (ATM)
e conexões de cabo StackWise redundantes. E, quando um cabo falhar em um único local, a
Stack funcionará com a conexão de meia largura de banda.
3.6. Resultados
Como resultado começamos pelas vantagens e desvantagens dos serviços de Tx em
linha dedicada e em WiMax.
61
Implementação de Segurança na rede multicaixas (ATM)
Figura 30: Entidade Gestora (Solução proposta); Fonte: Elaborado pelo autor
62
Implementação de Segurança na rede multicaixas (ATM)
3.7. Outros
Iteração
Sendo que a ideia das caixas multibancos é facilitar principalmente os levantamentos,
transferências e alguns pagamentos, já estaria mais do que na hora de as caixas multibancos
seguiram a evolução do mundo tecnológico, transformando-as mais iterativas, ou seja, termos
caixas multibancos com ecrãs touch, assim facilitaria muita gente, sendo que a iteração seria
mais fácil e mais explícita.
Biometria
1. Existiria um sistema biométrico nas caixas prá quem quisesse usar o seu cartão
pessoalmente, sem necessidade de passar a outras pessoas, ou seja, no contracto
com o banco eu teria opção pra escolha ou não desta opção, conforme eu quisesse
gerir o meu cartão.
2. Ainda sobre a biometria, eu também podia fazer a escolha de usar ou não um
cartão, mas, implicaria somente eu a usar esta conta. Teria um contracto em que
usaria os meus olhos pra reconhecer e conectar a minha conta, podia ser também
com os dedos, isso seria consoante o tipo de caixa a usar pelas entidades
bancárias.
As fases seguintes são as de Monitoramento e Controle que pode ser feita durante o
projecto todo ou só no final segundo o planeamento de cada gestor e a fase de encerramento,
onde fizemos a apresentação ao Professor e a FEUCAN e pra finalizar temos a apresentação
geral em formato power point e a defesa e temos como terminado o projecto.
Figura 31: Estrutura WBS (Monitoramento e Controle); Fonte: Elaborada pelo Autor
63
Implementação de Segurança na rede multicaixas (ATM)
4. Custos de Implementação
Ao realizar-se um projecto por mais pequeno que este seja, devemos sempre ter em
conta o custo de implementação do projecto, neste projecto em particular e por já existir uma
infra-estrutura robusta e com equipamentos de última geração, portanto, não teremos um
custo exacto por se tratar de uma infra-estrutura robusta. A ENTIDADE GESTORA é
responsável pelas comunicações de todas as caixas multibancos a nível nacional (excepto as
caixas Expresso 24 do banco BNI). Neste projecto, apresentamos como exemplo os custos de
implementação dos activos de rede da ENTIDADE GESTORA que espelha exactamente os
custos locais em cada data center.
Item Quantidade Descrição Preço unitário (AKZ)
Aproveitando todo este arsenal, para a implementação prática das soluções acima
apresentadas temos o seguinte custo com Recursos Humanos:
64
Implementação de Segurança na rede multicaixas (ATM)
Técnicos Quantidade Especialidade Pagamento
unitário (AKZ) /
hora
Coordenador do 1 Gestão de Projectos, 2000
Projecto administração de redes.
Técnico Sénior 1 Virtualização 1700
Técnico Sénior 1 Redes de Computadores 1500
Técnico Sénior 1 Administração de Sistemas 1500
Técnico Júnior 2 Cabeamento estruturado 1000
Técnico Júnior 2 Helpdesk 1000
Técnico Júnior 1 Infraestrutura 1000
Tabela 12: Custo dos recursos humanos; Fonte: Elaborada pelo autor
65
Implementação de Segurança na rede multicaixas (ATM)
5. Aspectos metodológicos
Neste projecto, de difícil elaboração, por termos um tema que deve ser tratado com
bastante sigilo, então, a recolha de informação foi muito dura. Mas como fonte, foram usados
documentos, bibliografias em Português, Inglês e Espanhol, pessoas operadoras e colegas de
escola e amigos, Eng. Nilton de Matos (Coordenador da equipa técnica de telecomunicações,
redes e segurança no Ministério da Justiça), Eng. Ndombele Daniel, Eng. Wilson Vicente,
Eng. Álvaro Bravo, Amarildo da Silva.
Os dados foram colectados de Setembro de 2015 ao Julho de 2016. Foram colectados
verbalmente e também documentalmente. Espera-se que com este projecto se analisem os
dados apresentados como solução com finalidade de serem implementados.
66
Implementação de Segurança na rede multicaixas (ATM)
6. Conclusão
Geralmente essas são as partes mais difíceis de cada projecto, por mais pequeno que
seja, mas aqui, concluímos que, independentemente de tudo, temos uma estrutura de redes
dos multicaixas totalmente segura, com algumas falhas mínimas que aqui citamos e
sugerimos melhorias pra tal. Desde o princípio que o tema mostrou ser desafiador, mas,
mesmo assim correu-se atrás e não se deu a cara a luta. Mas acima de tudo, deu para aplicar
na generalidade “todos” os conhecimentos ou maior parte do que aprendemos cá na UCAN,
os Professores capacitados nos fizeram ter uma formação capacitada.
67
Implementação de Segurança na rede multicaixas (ATM)
7. Referências Bibliográficas
68
Implementação de Segurança na rede multicaixas (ATM)
Anexos
69
Implementação de Segurança na rede multicaixas (ATM)
Configurações no router BR1
71
Implementação de Segurança na rede multicaixas (ATM)
Anexo 4: Estrutura Completa da WBS
72
Implementação de Segurança na rede multicaixas (ATM)
Cálculos da ligação no Matlab
% DECLARAÇÃO DE CONSTANTES
clc;
%################ Constantes Fisicas #################
73
Implementação de Segurança na rede multicaixas (ATM)
fileSatelite = fopen('FileSatelite.m','r');
File = fscanf(fileSatelite,'%6f');
LatitE1 = File(1);
LongitE1 = File(2);
LatitE2 = File(3);
LongitE2 = File(4);
LongSat = File(5);
DensFluxoSatSat = File(6);
EIRPSatSat = File(7);
figMerSatUplink = File(8);
backOffin = File(9);
backOffout = File(10);
LarBanda = File(11);
CIcsau = File(12);
CIcsad = File(13);
CIcau = File(14);
CIcad = File(15);
BER = File(16);
distE1Sat = File(17);
distE2Sat = File(18);
angElevE1 = File(19);
angElevE2 = File(20);
azimuteE1 = File(21);
azimuteE2 = File(22);
Lu1 = File(23);
Lu2 = File(24);
Lu = File(25);
Ldc = File(26);
Ta = File(27);
Tarain = File(28);
T1 = File(29);
T2 = File(30);
T3 = File(31);
Taxa = File(32);
EIRP_TE = File(33);
EIRP_TR = File(34);
CNoupE1 = File(35);
CNoupE1c = File(36);
CNodE2 = File(37);
CNodE2c = File(38);
EbNoupE1 = File(39);
EbNoupE1c = File(40);
EbNodE2 = File(41);
EbNodE2c = File(42);
GTrec = File(43);
CNupE1 = File(44);
CNupE1c = File(45);
CNdwE2 = File(46);
CNdwE2c = File(47);
Ge = File(48);
74
Implementação de Segurança na rede multicaixas (ATM)
Gr = File(49);
Dem = File(50);
Drec = File(51);
Pem = File(52);
Pemw = File(53);
INDISP = File(54);
status = fclose(fileSatelite);
diary on;
%---###### APRESENTAÇÃO DOS VALORES ARMAZENADOS NO DISCO ##########
75
Implementação de Segurança na rede multicaixas (ATM)
fprintf ('O Azimute na Estação 2 é:%.1fº\n\n',azimuteE2);
76
Implementação de Segurança na rede multicaixas (ATM)
fprintf ('Relação Portadora/Ruido (C/N) com chuva Uplink é: %.1f
dB\n\n',CNupE1c);
fprintf('--------------- Resultado da Relação Portadora/Ruido(C/N)
Downlink ------------------\n\n');
fprintf ('Relação Portadora/Ruido (C/N) sem chuva Downlink : %.1f
dB\n\n',CNdwE2);
fprintf ('Relação Portadora/Ruido (C/N) com chuva Downlink : %.1f
dB\n\n',CNdwE2c);
fprintf('- Resultado dos Parametros das Antenas -\n\n');
fprintf ('Ganho da antena Entidade Gestorasora é:%.1f
dBi\n\n',Ge);
fprintf ('Ganho da antena Recetora é:%.1f dBi\n\n',Gr);
fprintf ('Diametro da antena Entidade Gestorasora é:%.1f
m\n\n',Dem);
fprintf ('Diametro da antena Receptora é:%.1f m\n\n',Drec
fprintf('--# Resultado de Potencia de Entidade Gestorasão ---------
---##\n\n');
fprintf('Potencia de Entidade Gestorasão em dBW é:%.1f
dBW\n\n',Pem);
fprintf('Potencia de Entidade Gestorasão em W é:%.1f W\n\n',Pemw);
fprintf('A Indisponibilidade do Sistema é de:%.1f (horas) por ano
\n\n',INDISP);
end
77
Implementação de Segurança na rede multicaixas (ATM)
%######## INTRODUÇÃO DOS PARAMETROS DO SATELITE A UTLIZAR
fprintf('\n\n #-Inserir os Parametros de Satélite a Utilizar -
#\n\n');
s = input(' Longitude do Satélite na Orbita Geoestacionaro º >>:
','s');
LongSat = sscanf(s,'%f');
if LongSat == 1
LongSat = 66;
end
s = input(' Densidade de Fluxo p/ Saturação do Transponder(dBW/m2)
>>: ','s');
DensFluxoSatSat = sscanf(s,'%f');
if DensFluxoSatSat == 1
DensFluxoSatSat = -93;
end
78
Implementação de Segurança na rede multicaixas (ATM)
end
distE1Sat = sqrt(((RaioT^2)+Rorbita^2)-
2*Rorbita*RaioT*cosd(LatitE1)*cosd(LongitE1-LongSat));
angElevE1 = 90- acosd((((Rorbita/RaioT)*cosd(LatitE1)*cosd(LongitE1-
LongSat))-1)/(sqrt((1+((Rorbita/RaioT)^2))-
(2*(Rorbita/RaioT)*cosd(LatitE1)*cosd(LongitE1-LongSat)))));
distE2Sat = sqrt(((RaioT^2)+Rorbita^2)-
2*Rorbita*RaioT*cosd(LatitE2)*cosd(LongitE2-LongSat));
79
Implementação de Segurança na rede multicaixas (ATM)
%################## Atenuação no Percurso da Ligação
%#### Cálculo da Atenuação no percurso de Uplink sem Chuva #########
80
Implementação de Segurança na rede multicaixas (ATM)
EIRP_TR = DensFluxoSatSat + 10*log10(4*pi*(distE2Sat*1000)^2) + Latd +
backOffout;
%##### Calculo da relação Portadora/Densidade Espectral de ruido(C/No)
UPLINK
Rbu =10*log10(Rb); %Taxa de Bit em db
%#### Calculo da relação Portadora/Densidade Espectral de ruido(C/No)
Estação 1 sem chuva uplink
CNoupE1 = abs(EIRP_TE - Lu1 + abs(figMerSatUplink) - 10*log10(k));
%#### Calculo da relação Portadora/Densidade Espectral de ruido(C/No)
Estação 1 com chuva uplink
CNoupE1c = abs(EIRP_TE - Lu + abs(figMerSatUplink) - 10*log10(k));
%######## Calculo da Relação Portadora/Ruido C/N uplink #######
%#### Calculo da relação Portadora/Ruido(C/N) Estação 1 sem chuva UPLINK
CNupE1 = abs(CNoupE1) - 10*log10(LarBanda*10^6);
%#### Calculo da relação Portadora/Ruido(C/N) Estação 1 com chuva UPLINK
CNupE1c = abs(CNoupE1c - 10*log10(LarBanda*10^6));
%Calculo da relação Energia de Bit/ruido(Eb/No) UPLINK
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 1 sem chuva UPLINK
EbNoupE1 = abs(CNoupE1- Rbu);
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 1 com chuva
UPLINK
EbNoupE1c = CNoupE1c- Rbu;
%Calculo da relação sinal/ruido(C/No) Downlink
Rbd = 10*log10(Rb1); %Taxa de Bit em db
%Calculo da relação sinal/ruido(C/No) Estação 2 sem chuva Downlink
CNodE2 = abs(EIRP_TR - Lu2 + abs(figMerSatUplink) - 10*log10(k));
%Calculo da relação sinal/ruido(C/No) Estação 2 com chuva Downlink
CNodE2c = abs(EIRP_TR - Ldc + abs(figMerSatUplink) - 10*log10(k));
%Calculo da relação Energia de Bit/ruido(Eb/No) Downlink
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 2 sem chuva
Downlink
EbNodE2 = abs(CNodE2- Rbd);
%Calculo da relação Energia de Bit/ruido(Eb/No) Estação 2 com chuva
Downlink
EbNodE2c = CNodE2c - Rbd;
%Calculo da relação sinal ruido global(C/Noglobal)
CNupg = (((CNoupE1c)^-1)+((CIcau)^-1))^-1;
CNdg = abs(1/(((CNodE2c)^-1)+((CIcad)^-1)));
CNgl = CNupg + CNdg;
%Figura de Merito (G/T)rec da Estação 2 Receptora
%GTrec = abs( CNgl - EIRPSatSat - 1/Ldc + 10*log10(k) - 1/Latd);
%GTrec = abs( CNodE2c - EIRPSatSat - Ldc - 10*log10(k) - Latd);
GTrec = abs( CNgl - EIRPSatSat + Ldc + 10*log10(k)+ Latd);
%######## Calculo da Relação Portadora/Ruido C/N Downlink #######
%#### Calculo da relação Portadora/Ruido(C/N) Estação 1 com chuva Downlink
CN_odE2c = abs(EIRPSatSat - Ldc + GTrec - 10*log10(k));
CN_odE2 = abs(EIRPSatSat - Lu2 + GTrec - 10*log10(k));
CNdwE2 = CN_odE2 - 10*log10(LarBanda*10^6);
CNdwE2c = abs(CN_odE2c - 10*log10(LarBanda*10^6));
Ts = Tarain/Lfrx + (Tf*(1-1/Lfrx)) + Tr;
%Ts = Tarain + T3;
%Ganho na Recepção
Gr = GTrec + 10*log10(Ts);
%Cálculo do Ganho na Transmissão
Ge = 20*log10(FreqUplink*10^9) - 20*log10(FreqDonwlink*10^9) + Gr;
%Cálculo do Diametro Entidade Gestorasão Estação 1
Dem = ((3*10^8)/(pi*FreqUplink*10^9))*sqrt(abs((10^(Ge/10))/0.65));
%Cálculo do Diametro na Recepção Estação 2
Drec = ((3*10^8)/(pi*FreqDonwlink*10^9))*sqrt(abs((10^(Gr/10))/0.65));
%Cálculo de Potencia de Entidade Gestorasão
Pem = EIRP_TE - Ge; %dBW
81
Implementação de Segurança na rede multicaixas (ATM)
Pemw = (10^(Pem/10)); %W
%Cálculo da disponiblidade da Ligação
% Disponibilidade Do Link
P = pu + pd;
PaL = 1 - (P/100);
% Sabe-se que a Disponibilidade do Satelite (Ps) é de:0.9999
Ps = 0.9999;
Pae = 0.99999; %onde Pr = Pae
Par = Pae;
% Disponibilidade do Sistema
DISP = Pae * Par * Ps * PaL;
% Indisponibilidade do Sistema (Hora)
INDISP = ((1 - DISP) * (365 * 24));
end
82
Implementação de Segurança na rede multicaixas (ATM)
fprintf ('EIRP na Estação Receptora 2 é:%.1f dBW\n\n',EIRP_TR);
fprintf('----- Resultado da relação Portadora/Densidade Espectral
de Ruido(C/No) Uplink ------ \n\n');
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) sem
chuva Uplink é:%.1f dBHZ\n\n',CNoupE1);
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) com
chuva Uplink é:%.1f dBHZ\n\n',CNoupE1c);
fprintf('---Resultado da Relação Portadora/Densidade Espectral de
ruido(C/No) Downlink--------\n\n');
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) sem
chuva Downlink é:%.1f dBHZ\n\n',CNodE2);
fprintf ('Relação Portadora/Densidade Espectral de Ruido(C/No) com
chuva Downlink :%.1f dBHZ\n\n',CNodE2c);
fprintf ('------------ Resultado da Relação Energia de
Bit/ruido(Eb/No) Uplink -------------\n\n');
fprintf ('Relação Energia de Bit/ruido(Eb/No) sem chuva Uplink
é:%.1f HZ\n\n',EbNoupE1);
fprintf ('Relação Energia de Bit/ruido(Eb/No) com chuva Uplink é:
%.1f HZ\n\n',EbNoupE1c);
fprintf ('----------- Resultado da Relação Energia de
Bit/ruido(Eb/No) Downlink -------------\n\n');
fprintf ('Relação Energia de Bit/ruido(Eb/No) sem chuva Downlink
é: %.1f HZ\n\n',EbNodE2);
fprintf ('Relação Energia de Bit/ruido(Eb/No) com chuva Downlink
é: %.1f HZ\n\n',EbNodE2c);
fprintf ('Figura de Merito da Antena Recetora G/T é:%.1f
db/k\n\n',GTrec);
fprintf('-Resultado da Relação Portadora/Ruido(C/N) Uplink -\n\n');
fprintf ('Relação Portadora/Ruido (C/N) sem chuva Uplink é: %.1f
dB\n\n',CNupE1);
fprintf ('Relação Portadora/Ruido (C/N) com chuva Uplink é: %.1f
dB\n\n',CNupE1c);
fprintf('-Resultado da Relação Portadora/Ruido(C/N) Downlink n\n');
fprintf ('Relação Portadora/Ruido (C/N) sem chuva Downlink : %.1f
dB\n\n',CNdwE2);
fprintf ('Relação Portadora/Ruido (C/N) com chuva Downlink : %.1f
dB\n\n',CNdwE2c);
fprintf('--- Resultado dos Parametros das Antenas ----------\n\n');
fprintf ('Ganho da antena Entidade Gestorasora é:%.1f
dBi\n\n',Ge);
fprintf ('Ganho da antena Recetora é:%.1f dBi\n\n',Gr);
fprintf ('Diametro da antena Entidade Gestorasora é:%.1f
m\n\n',Dem);
fprintf ('Diametro da antena Receptora é:%.1f m\n\n',Drec);
fprintf('-# Resultado de Potencia de Entidade Gestorasão -#\n\n');
fprintf('Potencia de Entidade Gestorasão em dBW é:%.1f
dBW\n\n',Pem);
fprintf('Potencia de Entidade Gestorasão em W é:%.1f W\n\n',Pemw);
fprintf('A Indisponibilidade do Sistema é de:%.1f (horas) por ano
\n\n',INDISP);
end
s = input('Deseja Guardar os Resultados no Disco(s/n)','s');
if s == 's'
fileSatelite = fopen ('FileSatelite.m','w');
fprintf(fileSatelite,'%7.0f%7.0f%7.0f%7.0f',LatitE1,LongitE1,LatitE2,Longit
E2);
fprintf(fileSatelite,'%7.0f%7.0f%7.0f%7.0f%7.1f%7.1f',LongSat,DensFluxoSatS
at,EIRPSatSat,figMerSatUplink,backOffin,backOffout);
fprintf(fileSatelite,'%7.0f%7.0f%7.0f%7.0f%7.1f%7.1f',LarBanda,CIcsau,CIcsa
d,CIcau,CIcad,BER);
83
Implementação de Segurança na rede multicaixas (ATM)
fprintf(fileSatelite,'%7.0f%7.0f%7.1f%7.1f%7.1f%7.1f',distE1Sat,distE2Sat,a
ngElevE1,angElevE2,azimuteE1,azimuteE2);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f',Lu1,Lu2,Lu,Ldc);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',Ta,Tarain,T1,T2,T3,Ta
xa);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',EIRP_TE,EIRP_TR,CNoup
E1,CNoupE1c,CNodE2,CNodE2c);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',EbNoupE1,EbNoupE1c,Eb
NodE2,EbNodE2c,GTrec,CNupE1);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',CNupE1c,CNdwE2,CNdwE2
c,Ge,Gr,Dem);
fprintf(fileSatelite,'%7.1f%7.1f%7.1f%7.1f%7.1f%7.1f',Drec,Pem,Pemw,INDISP)
;
status = fclose(fileSatelite);
fprintf('******* Dados Guardados com Sucesso ******');
end
diary off;
diary 'FileSatelite.m';
84
Implementação de Segurança na rede multicaixas (ATM)
Temperatura de Ruido do Receptor na saída da Antena sem chuva Estação 2 é:173.0 (K) Temperatura
de Ruido do Receptor na saída da Antena com chuva Estação 2 é:427.9 (K) Temperatura de Ruído na
entrada do Receptor com chuva Estação 2 é:427.9 (K)
Cálculo da Taxa de TRansmissão é:2048.0 bps
EIRP na Estação Entidade Gestorasora 1 é:76.2 dBW
EIRP na Estação Receptora 2 é:73.9 dBW
----- Resultado da relação Portadora/Densidade Espectral de Ruido(C/No) Uplink ------
Relação Portadora/Densidade Espectral de Ruido(C/No) sem chuva Uplink é:100.7 dBHZ
Relação Portadora/Densidade Espectral de Ruido(C/No) com chuva Uplink é:44.9 dBHZ
---Resultado da Relação Portadora/Densidade Espectral de ruido(C/No) Downlink--------
Relação Portadora/Densidade Espectral de Ruido(C/No) sem chuva Downlink é:99.7 dBHZ
Relação Portadora/Densidade Espectral de Ruido(C/No) com chuva Downlink :45.1 dBHZ
------------ Resultado da Relação Energia de Bit/ruido(Eb/No) Uplink -------------
Relação Energia de Bit/ruido(Eb/No) sem chuva Uplink é:82.9 HZ
Relação Energia de Bit/ruido(Eb/No) com chuva Uplink é: 27.1 HZ
----------- Resultado da Relação Energia de Bit/ruido(Eb/No) Downlink -------------
Relação Energia de Bit/ruido(Eb/No) sem chuva Downlink é: 84.2 HZ
Relação Energia de Bit/ruido(Eb/No) com chuva Downlink é: 29.6 HZ
Figura de Merito da Antena Recetora G/T é:19.0 db/k
----------------- Resultado da Relação Portadora/Ruido(C/N) Uplink ------------------
Relação Portadora/Ruido (C/N) sem chuva Uplink é: 25.1 dB
Relação Portadora/Ruido (C/N) com chuva Uplink é: 30.7 dB
--------------- Resultado da Relação Portadora/Ruido(C/N) Downlink ------------------
Relação Portadora/Ruido (C/N) sem chuva Downlink : 15.5 dB
Relação Portadora/Ruido (C/N) com chuva Downlink : 39.1 dB
--------------- Resultado dos Parametros das Antenas ----------------------------------
Ganho da antena Entidade Gestorasora é:46.6 dBi
Ganho da antena Recetora é:45.3 dBi
Diametro da antena Entidade Gestorasora é:1.8 m
Diametro da antena Receptora é:1.8 m
----------### Resultado de Potencia de Entidade Gestorasão ------------------------------------#####
Potencia de Entidade Gestorasão em dBW é:29.6 dBW
Potencia de Entidade Gestorasão em W é:914.4 W
85
Implementação de Segurança na rede multicaixas (ATM)
A Indisponibilidade do Sistema é de:2.8 (horas) por ano
86
Implementação de Segurança na rede multicaixas (ATM)