Departamento de Computação - Universidade Federal de São Carlos (UFSCar)

Caixa Postal 676 – 13.565-905 – São Carlos – SP – Brasil

Autor para correspondência: gleise@gmail.com, jander@dc.ufscar.br

ISSN 2316-2872T.I.S. São Carlos, v. 3 , n. 1 , p. 1 -1 0, jan-abr 2014

©Tecnologias, Infraestrutura e Software

Resumo: O uso da rede do Departamento de Computação mudou bastante desde a implantação da rede estruturada no departamento. Osgrupos de pesquisa da pós-graduação têm criado seus próprios servidores, aumentou a quantidade de salas de docentes e de laboratórios deensino e a necessidade de aumentar a conectividade e o controle do uso da rede sem fio é latente. Esse artigo apresenta uma visão geral decomo a rede atual do DC está organizada, os problemas e demandas que essa organização apresenta e propõe a reorganização dessa rede paraprevenir problemas de desempenho e segurança e atender as demandas atuais.

Palavras-Chave: redes de computadores, qualidade de serviço (QoS), segurança de redes.

Network restructure for improving traffic and safety: DC computer network restructure

Abstract: The use of the computer network at the Department ofComputer Science has changed significantly since the implantation of thestructured networking. Post-graduate research groups have originated their own servers, the number ofoffices and laboratories has increasedand the need to increase connectivity and control ofthe wireless network infrastructure is latent. This paper presents an overview ofhow thedepartment networking is currently organized, the problems and demands that this organization presents and it also proposes a reorganizationofthe network to prevent performance and safety problems and meet the current demands.

Keywords: computer networks, quality ofservice, network security

Reestruturação de Rede para melhoria doTráfego e Segurança: a Reestruturação da Rede

de Computadores do DCGleise Segatto de Oliveira Teixeira, Jander Moreira

I. INTRODUÇÃO

O Departamento de Computação (DC) atua nas áreas deensino, pesquisa e extensão em Ciência da Computação. Nelesão ministradas aulas para graduação e pós-graduação edesenvolvidas pesquisas em diversas áreas da computação. Arede de computadores que interliga os equipamentos deensino e pesquisa é fundamental para as atividades alidesenvolvidas.A rede de computadores do DC é uma rede TCP/IP

baseada em Ethernet e composta de quatro segmentosfisicamente distintos, cada um com sua própria sub-rede deendereços IP: rede de docentes e funcionários, rede da pós-graduação, rede de equipamentos destinados aos alunos degraduação e rede sem fio.

A) Problema

Cada uma das quatro redes tem seu próprio segmento, masobserva-se que a divisão atual do fluxo não favorece questõesde confinamento de tráfego e tem exposições de segurançaindesejáveis. Por exemplo, parte das estações de trabalho dosdocentes compartilha o mesmo segmento de rede comservidores, que tradicionalmente eram acessados diretamente.Também no segmento de pesquisa, equipamentos de usuárioscompartilham a mesma rede com alguns servidores que têmvisibilidade na rede externa. Já no segmento de rede sem fio,

por tratar-se de uma única rede,Deste modo, várias questões de desempenho e segurança

não são ideais. Não há mecanismos de controle de banda e ocontrole de segurança é dificultado nesse ambiente quemistura redes logicamente destinadas à produção e àpesquisa.Quanto à segmentação lógica, a rede de pós-graduação tem

uma quantidade de equipamentos maior do que a quantidadede endereços IP válidos disponíveis. Atualmente, não háendereços IP disponíveis para novos equipamentos.De maneira geral, a atual organização da rede impossibilita

o controle e o monitoramento desejáveis de sua operação, asegurança no acesso aos servidores não é apropriada e o usoindevido da largura de banda da rede tem ocorrido com certafrequência.

B) Objetivo

Este trabalho objetiva propor uma reestruturação para arede de computadores do DC de modo a facilitar o seugerenciamento, oferecer qualidade de serviço adequada emelhorar a segurança dos equipamentos conectados.Definem-se, para isso, dois objetivos secundários:• Avaliação e reestruturação física da rede;• Avaliação e reestruturação lógica da rede.Por meio da melhor segmentação física da rede busca-se

2T.I.S. 2014; 3 (1 ): 1 -1 0

Glesie S; O. Teixeira, Jander Moreira

tornar possível manter o fluxo de dados onde é realmentenecessário, reduzindo a competição pelo uso da rede econtrolando o uso da capacidade de transmissão. Com asegmentação lógica deverá ser possível adicionar novos nós(equipamentos com endereços reais) na rede e controlarmelhor os tipos de acessos entre os nós nos segmentos.

C) Metodologia

Antes de propor qualquer melhoria em uma rede decomputadores é preciso conhecer sua estrutura física e lógica,o padrão de uso dessa rede e os problemas que são reportadospelos usuários. As manifestações dos usuários sãoimportantes, porque podem indicar um problema de fato ouuma nova necessidade de funcionamento da rede.Antes de propor a reestruturação da rede, a seção II traz os

dados pesquisados sobre os trabalhos relacionados parabuscar por soluções e formas de abordagem já executadas.Na seção III apresenta-se o resultado de um levantamento

da atual organização física e lógica da rede. Para entenderinterligações físicas e lógicas desenhou-se esquemas e mapas,o que possibilitou identificar as segmentações existentes esuas limitações de alcance e possíveis locais de gargalo natransmissão de dados entre os segmentos de rede.Na seção IV mostra-se o resultado da verificação do padrão

de uso da rede. Para tanto o IPtraf foi utilizado para capturaros pacotes nos roteadores, mas para evitar sobrecargaexecutou-se a captura por um curto tempo com frequênciaregular. Posteriormente, os dados foram analisados a fim deverificar os serviços mais usados, caracterizar o uso porprotocolo, verificar o uso de transferência de dados entre sub-redes e o uso de endereços IP.Na seção V propõe-se um projeto da reestruturação lógica e

física da rede considerando as demandas identificadas e acaracterística de uso da rede, para melhorar o tráfego e asegurança entre os dispositivos.Por fim, na seção VI propõe-se alguns casos de teste e

ferramentas para execução antes e depois da implantação dareestruturação proposta, a fim de avaliar as mudanças everificar se as demandas foram atendidas e os problemasresolvidos.

II. TRABALHOS RELACIONADOS

A melhoria da qualidade de rede, com relação a segurança,desempenho e administração, tem sido trabalhada sob váriasabordagens diferentes.Uma abordagem comum é a reestruturação por VLANs,

como (HAFFERMANN, 2009) e (BARROS, 2007)desenvolveram. (HAFFERMANN, 2009) faz umlevantamento das características, classificações econfigurações das VLANs, analisando os aspectos desegurança, gerenciamento e de qualidade de serviço, enquanto(BARROS, 2007) foca no aspecto da segurança, levantandoas questões sobre segurança em uma rede local e as soluçõesque a implantação de VLANs pode oferecer.(MARQUES, 2007) desenvolve um trabalho semelhante

para a rede do DI-FCUL1 , mas se concentra mais na questão

da modernização e migração de seus serviços.Outro trabalho propondo reestruturação de rede é

(PESSOA et al. , 2006), mas sua escala é consideravelmentemaior do que a rede do DC. Os autores propõem ainterconexão entre várias instituições utilizando fibra-óticaem uma topologia física híbrida (topologia anel associadacom a estrela) com três níveis de funcionalidade de seuselementos ativos: core, borda e consolidação.Nesse trabalho é feito o levantamento da rede atual

semelhante ao que (MARQUES, 2007) e (BARROS, 2007)fizeram, focando na questão do tráfego entre os segmentos derede, para poder determinar uma estrutura que melhor atendaessa demanda. A proposta de reestruturação mantém atopologia física atual que é semelhante a de (PESSOA et al. ,2006) e adiciona a implantação de uma DMZ para melhorar aquestão de segurança.

III. AATUAL REDE DO DC

Existem várias maneiras de se caracterizar uma rede, entreelas a mais usada é o alcance geográfico (FITZGERALD;DENNIS, 2005). Nessa forma de caracterização, as redeslocais (LANs), são as que ocupam um único edifício ou umlocal com até poucos quilômetros de extensão.Uma forma de distinção das redes que pode-se assumir é a

maneira com que os elementos das redes se comunicam.Independente da tecnologia utilizada, pode-se assumir quetodos os dispositivos em uma mesma rede lógica constituemum segmento de rede e a interligação entre diversossegmentos de rede é feita por uma rede backbone (BN), quesegundo (FITZGERALD; DENNIS, 2005), é uma rede quenormalmente utiliza circuitos de alta velocidade parainterconectar vários segmentos de rede e fornecer conexõescom outras BNs, MANs, WANs e com a Internet.No caso do DC, os segmentos de rede já estão separados

fisicamente por meio de switches e com segmentação emhardware de servidor. segmentação indicada por (PINHEIRO)como uma opção de baixo custo para redes locais. A rede écomposta por quatro segmentos de rede, um backbone comdois roteadores e quatro switches, sendo que cada roteadorestá ligado a um ponto de saída para a rede UFSCar (WAN).Um roteador (r1 ) atende o segmento de rede da graduação

e outro roteador (r2) atende os demais segmentos de rede, quesão: o de pós-graduação, o dos docentes e funcionários e osegmento de rede sem fio.Cada segmento de rede tem um switch de backbone ligado

ao roteador. Nesses switches são ligados os servidores edemais switches de distribuição.Alguns servidores estãoligados a mais de uma rede para facilitar o acesso e o tráfegode dados, como mostra a Figura 1 .

A) Organização física

Os pontos de comunicação com a rede UFSCar(backbone do campus) chegam por fibra-ótica e por meio de

____________________________1Departamento de TI, Faculdade de Ciências, Universidade deLisboa

3 T.I.S. 2014; 3 (1 ): 1 -1 0

Reestruturação de rede para melhoria do tráfego e segurança: a reestruturação da rede de computadores do DC

um conversor são ligados aos roteadores, aos quais osswitches do backbone são conectados para fazer adistribuição dos sinais (pacotes) da rede. Todo o cabeamentoentre os patch panels utiliza cabos Cat 6, permitindo atransmissão de até 1GB de uma ponta a outra.Há duas salas de equipamentos, cada uma em um piso do

prédio. Em cada sala há pontos de distribuição dos segmentos

de rede como mostra a Figura 2.Entre as duas salas há quatro ligações via cabos conectados

aos patch panels. O único segmento de rede com switch dedistribuição nos dois pisos é o segmento de rede de docentese funcionários. O acesso às outros segmentos de rede é feitousando pontos específicos nos patch panels.

Figura 1 . Visão geral da rede do DC.

B) Organização lógica

No segmento de rede da graduação há 144 estações detrabalho e alguns servidores de apoio para hospedagem depáginas, área de usuário, e-mail e ssh. No segmento de rededa pós-graduação são 234 estações de trabalho e mais algunsservidores gerenciados pela equipe de cada laboratório.Como a quantidade de estações de trabalho, somada aos

notebooks usados pelos alunos de pós-graduação, é maior doque a quantidade de endereços IP disponíveis para essa rede,foi configurado nela um servidor DHCP (Dynamic HostConfiguration Protocol) que entrega, de maneira automática,

endereços IP de uma rede privada, fazendo com que esse osegmento de rede tenha duas redes lógicas (uma de endereçosreais e outra de privados).No segmento de rede de docentes e funcionários há

aproximadamente 120 estações de trabalho e os servidores dee-mail, hospedagem, área de usuários, SSH e proxy.No segmento de rede sem fio há 9 pontos de acesso sem

fio. Os dispositivos conectados recebem (via DHCP)endereços IP na mesma classe dos pontos de acesso.A topologia lógica da rede do DC está representada pela

Figura 3.

Figura 2. Distribuição dos equipamentos de rede nas salas de TI.

4T.I.S. 2014; 3 (1 ): 1 -1 0

Glesie S; O. Teixeira, Jander Moreira

Figura 3. Topologia lógica da rede do DC.

IV. CARACTERIZAÇAO DO ESTADO ATUAL DA REDE DO DC

Para a caracterização do tráfego da rede do DC foirealizado um estudo usando o software IPTraf2 .IPTraf é um software de monitoramento de redes IP. Com

ele é possível observar aspectos do tráfego IP em umadeterminada interface de rede, podendo inclusive determinarpor quanto tempo o monitoramento deve ser executado.Optou-se por colher amostras de tráfego na rede do DC de

hora em hora durante os cinco primeiros minutos no mês desetembro, já que esse período deveria observar um período deutilização típica dos segmentos de rede no DC.

A) Endereços IP e tráfego entre sub-redes

A distribuição dos endereços IP para cada segmento derede com faixas de endereços públicos é feita de maneiradeterminada. Na rede da graduação, cada computador recebeum IP. Na rede de docentes e funcionários, cada docente

recebe dois endereços para computadores em seus gabinetes ecada funcionário, um. Na rede da pós-graduação, cadalaboratório tem um número fixo de endereços IP que pode serutilizado.Atualmente, o único segmento de rede que está com falta de

endereços públicos para serem atribuídos é a da pós-graduação. Dada a forma de distribuição atual de endereçospúblicos nessa rede, uma questão hoje é saber se essa rederealmente usa todos os endereços distribuídos, ou melhor, se oproblema de falta de endereços públicos seria resolvido com ouso de distribuição dinâmica de endereços IP.Filtrando as amostras obtidas via IPTraf, foi possível contar

a quantidade de endereços IP da sub-rede de pós-graduaçãorealmente usados durante o período analisado. Somando osIPs privados e públicos, o dia com maior uso ocupou 115endereços. A Figura 4 ilustra a distribuição de uso deendereços durante o esse período.

Figura 4. Uso dos endereços IP na rede da pós-graduação._________________________2Site oficial do IPTraf: http://iptraf.seul.org.

5 T.I.S. 2014; 3 (1 ): 1 -1 0

Reestruturação de rede para melhoria do tráfego e segurança: a reestruturação da rede de computadores do DC

Um problema recorrente no uso do segmento de rede depós-graduação está na transmissão de dados entre sua rede deIP público e sua rede de IP privado. Os dispositivos estão namesma rede física, mas como estão em redes lógicasdistintas, todo o tráfego entre essas redes passa pelo roteadorna mesma interface, e em alguns momentos causa um grandecongestionamento em toda o segmento de rede como mostraa Figura 5.No caso da Figura 5, entre as semanas 31 e 32 houve um

tráfego de 50 Mbps tanto de upload como de download namesma interface (eth2). Nesse momento, a rede acaba ficandocongestionada prejudicando toda a rede de pós-graduação.Ao analisar o tráfego no segmento de rede da pós-

graduação durante o mês de setembro, constatou-se que19,1% do volume de dados transmitidos no período foitransmitido entre a rede pública e a rede privada do segmentode rede da pós-graduação. A caracterização geral dessa análisepode ser observada na Figura 6.

Figura 5. Exemplo de transmissão entre a rede pública e privada da pós-graduação.

Figura 6. Gráfico de caracterização do uso da rede da pós (setembro 2012).

B) Perfil do tráfego e volume de dados transmitidos

Quanto ao uso dos canais externos de comunicação, osegmento de rede da graduação tem um canal dedicado a ela eusa, em média, 4Mbps da banda, com um máximo de 10Mbps de uso. Os demais segmentos de rede (pós-graduação,docentes e funcionários e sem fio) utilizam o outro canalapresentado na Tabela 1 .

Analisando o uso da banda por protocolo, vemos que ossegmentos de rede da Pós-Graduação e de Docentes e

Funcionários foi usado para transmissão de mais dados viaUDP do que TCP, como mostra a Figura 7. No entanto, aoverificar os serviços mais acessados, vemos que ao agruparpor serviço, o maior volume está nos serviços TCP, comomostra a Figura 8.

C) Localização de servidores e estações de trabalho

A rede do DC, por meio das LAN de docentes efuncionários e do segmento de rede da graduação, oferecevários serviços, tais como e-mail, hospedagem de páginas esistemas, área de arquivos, ferramenta para ensino a distância(moodle), proxy web (para acesso a periódicos restritos), SSH,banco de dados, etc. O fato dos servidores desses serviçosestarem na mesma rede física e lógica das estações de trabalhofacilita o acesso interno, mas deixa os servidores vulneráveis aataques dos próprios usuários ou proveniente de máquinasinfectadas. Além disso, o controle de uso de banda também édificultado, já que os servidores não estão separados dasestações de trabalho.

Tabela 1 . Uso do canal externo controlado pelo r1

6T.I.S. 2014; 3 (1 ): 1 -1 0

Glesie S; O. Teixeira, Jander Moreira

Figura 7. Uso da banda por protocolo em cada segmento de rede.

Figura 8. Serviços mais usados em toda a rede do departamento (setembro/2012).

Os laboratórios de pesquisa da pós-graduação também têmseus servidores, usados para testes de aplicativos, como áreade usuários ou até para hospedar desktops virtuais. Algunsdesses servidores precisam ter visibilidade externa para queusuários de diversos lugares possam usar e testar asaplicações desenvolvidas pelos grupos de pesquisa, estandoos servidores na mesma rede das estações de trabalho,incorremos no mesmo problema citado para os outrossegmentos de rede.

D) Identificação dos usuários

Dada a flutuação de usuários no segmento de rede da pós-graduação, há a necessidade de implantar uma forma deidentificação dos usuários desse segmento associados aos

endereços de rede utilizados, a fim de monitorar o uso dosegmento, inibir possíveis abusos de utilização e até viabilizara implantação de normas de utilização.

E) Organização da estrutura física

Existe uma demanda por conectar laboratórios e servidoresexistentes no piso inferior do prédio ao segmento de rede depós-graduação, cujo todo segmento físico está instaladosomente no piso superior. O mesmo ocorre com o segmentode rede da graduação, que está instalada somente no pisoinferior e se faz necessário ter um ponto de distribuição nopiso superior. Para prover esses acessos será preciso um ajustena segmentação, distribuindo melhor os segmentos físicos.

7 T.I.S. 2014; 3 (1 ): 1 -1 0

Reestruturação de rede para melhoria do tráfego e segurança: a reestruturação da rede de computadores do DC

V. PROJETO DA REESTRUTURAÇAO

A) Reestruturação Lógica

Como pode-se ver na Figura 4, a distribuição dinâmica deendereços no segmento de rede da pós-graduação devesolucionar o problema de falta de IP. Com a configuração detodo o segmento físico do segmento de rede da pós-graduaçãona mesma rede lógica, o problema de gargalo quando setransferiam dados entre as duas redes lógicas no segmento derede da pós-graduação será resolvido.Uma solução ao problema dos servidores junto com

estações de trabalho é separá-los criando uma DMZ. Além daDMZ para os servidores com visibilidade externa, tambémprecisaremos de outra para servidores com visibilidadeinterna, para melhorar a segurança de acesso aos dadoscríticos, necessário para autenticação de usuários, porexemplo.Para melhorar a segurança e o controle de acesso aos

servidores com visibilidade externa, um segmento físico elógico será separado para a implantação de uma delimitarizedzone, ou zona desmilitarizada (DMZ). Todo servidor comvisibilidade externa deverá ser alocado nesse segmento poisnele, o controle de acesso, tanto a partir da rede externaquanto a partir da rede interna deverá ser mais claro, rígido egerenciável. Essa reorganização também proporcionará oconfinamento de tráfego originado externamente.Uma DMZ é uma rede que tem um firewall para controlar

os acesso da rede externa aos servidores, limitando os tiposde serviços cujo acesso externo é permitido e um servidorproxy/firewall que controla o acesso da rede interna aoservidores e à rede externa, como explica (FITZGERALD;DENNIS, 2005).A faixa de endereços a ser utilizada para a DMZ será a

atual segmento de rede da graduação. Para atender aoslaboratórios da graduação um segmento de rede comendereços privados será configurada e será instalado umservidor proxy NAT (network address translation) parafornecer o acesso aos segmentos de rede e à Internet. Com atradução de endereços feita pelo NAT a distribuição ( talvezquantidade, disponibilidade) de endereços IP fica resolvida.Como ilustrado na Figura 9, propõem-se colocar um

servidor (r1 ) para fazer o papel de roteador, proxy NAT efirewall, tanto para o segmento de rede da graduação quantopara a DMZ.Ao passar os servidores de serviços e pesquisa para a

DMZ, o fluxo de dados que outrora era roteado pelo roteadorr1 agora passará a ser roteado pelo r2 que também atende osegmento de rede da graduação. O roteador r1 passará areceber e controlar maior quantidade de fluxos de entrada(download) do que de saída (upload) facilitando a gerência deregras no firewall e o controle de tráfego, mas r2 continuarátendo que controlar fluxos semelhantes de saída e entrada,mantendo assim a atual dificuldade de controle do tráfego edas regras de segurança.

Figura 9. Reorganização - Criando a DMZ.

Como há dois acessos à WANs, propõem-se alocar umroteador/firewall (r1 ) e uma WAN para a DMZ, e alocar aoutra WAN com um roteador/firewall (r2) para os segmentosde rede com estações de trabalho, como ilustra a figura 10.

Figura 10. Proposta - separando a DMZ e asestações de trabalho.

Com essa proposta, todos os segmentos de rede comestações de trabalho são redirecionados para o mesmoroteador/firewall. Ocorre que os segmentos de rede dagraduação e da pós-graduação devem ter um maior controle,implantando inclusive um sistema de autenticação paraidentificação dos usuários na rede. Para possibilitar talinstalação, será preciso colocar um servidor gateway (g1 ) paraesses segmentos de rede, separando-as, como ilustra a Figura11 .

8T.I.S. 2014; 3 (1 ): 1 -1 0

Glesie S; O. Teixeira, Jander Moreira

Figura 11 . Firewall para servidores internos e gateway pararede de alunos.

Além dos servidores de serviços e pesquisa comvisibilidade externa, também há servidores internos servindoserviços de autenticação (LDAP), bancos de dados, sistemasde arquivo (NFS) e outros. Para preservá-los de possíveisacessos indevidos via os servidores da DMZ será necessárioimplantar um servidor firewall (f1 ), entre a DMZ e essesservidores, como ilustra a Figura 11 .Alguns servidores críticos podem ser acessados pelos

servidores na DMZ, por exemplo, um site autenticando noservidor de LDAP ou acessando um banco de dados. Outrosservidores internos podem ser acessados pelos segmentos derede de estações de trabalho, como por exemplo a montagemde área pessoal via NFS ou a autenticação dos laboratórios deensino via samba. Para possibilitar o acesso dos segmentos derede aos servidores internos, será preciso conectar o firewallf1 com o g1 , como ilustrado na Figura 12.

Figura 12. Segmentos de rede de laboratórios com acesso aservidores internos.

B) Reestruturação Física

Para viabilizar a organização lógica proposta e tambémflexibilizar e facilitar a organização dos seguimentos físicosserá preciso instalar switches de distribuição de todos ossegmentos de rede nos dois pisos do prédio.No piso superior (como mostrado na Figura 2) deve ser

instalado um switch para conexão dos servidores na DMZ. Nopiso inferior devem ser instalados dois switches paradistribuição do segmento de rede de pós-graduação e dosegmento de rede sem fio. Para isso poderão ser usados osquatro pontos interligando os racks do piso superior e inferior.A Figura 13 ilustra essa modificação. Pode-se notar que foramadicionados os switches de distribuição sugeridos nos doispisos e os quatro pontos que interligam os dois pisos viapatch-panels foram usados para ligar os switches dedistribuição.

Figura 13. Proposta de novos equipamentos de rede nas salas de TI.

9 T.I.S. 2014; 3 (1 ): 1 -1 0

Reestruturação de rede para melhoria do tráfego e segurança: a reestruturação da rede de computadores do DC

Com um switch de distribuição do segmento de rede depós-graduação no piso inferior, será possível conectar osservidores de pesquisa localizados nesse piso, possibilitando otráfego direto das estações de trabalho dos alunos de pós-graduação com seus servidores de pesquisa.A instalação de um switch de distribuição para o segmento

de rede sem fio no piso inferior facilitará a adição de maispontos de acesso sem precisar passar novos cabos entre ospisos.

VI. TESTES A SEREM FEITOS ANTES E DEPOIS DA IMPLANTAÇAO

Será planejado um conjunto de testes a serem executadosantes e depois da implantação para avaliar os resultados dasmodificações.Quanto a performance da rede, o software escolhido para

fazer os testes será o JPerf3 , que é uma interface gráfica parao Iperf. "Iperf permite testar vários tipos diferentes decomunicação TCP e UDP entre dois hosts em uma rede e podeser usado tanto em ambientes Unix e Windows. O Iperf podeser usado para determinar as estatísticas padrões deperformance da rede." (GONSAI; JANI; KUMBHARANA,2004)O seguinte conjunto de testes deverá ser executado antes e

depois da implantação da melhoria na rede do DC:1 . Teste de comunicação de cada segmento de rede com

a DMZ: deverá ser configurado um servidor JPerf na DMZ eclientes JPerf em cada segmento de rede para simular acomunicação de cada segmento de rede com a DMZ;2. Teste de comunicação entre os segmentos de rede de

usuários: deverá ser configurado um servidor JPerf e umcliente em cada segmento de rede, para simular acomunicação entre os segmentos de rede. Como existemquatro segmentos de rede, serão doze testes ao todo;3. Teste de comunicação entre DMZ e Servidores

Internos;4. Teste de comunicação entre os segmentos de rede e

Servidores Internos.Para verificar a implantação quanto à segurança, o software

escolhido foi o Nmap (Network Mapper). Com ele serápossível explorar a rede e fazer auditoria de segurança, comoindicado por (LYON, 2012). Nmap não permite identificarvulnerabilidade nas máquinas, mas permite o rastreamento deportas a partir dos vários pontos da rede do DC. Executando orastreamento antes e depois da implantação, será possívelverificar se ela de fato restringiu os acessos aos servidores naDMZ.

VII. ROTEIRO GERAL DAABORDAGEM

Para a abordagem desse problema foi estabelecido umroteiro que organizasse os procedimentos e ações. Este tópicoapresenta esse roteiro de forma sumarizada na Tabela 2.

__________________________3JPerf site: http://sourceforge.net/projects/jperf

Tabela 2. Roteiro da abordagem do problema dereestruturação

O passo 1 corresponde ao levantamento dos dados daestrutura física através da documentação dos equipamentos(quantidade de portas usadas e características técnicas) e dodesenho de mapas e esquemas indicando os locais dosequipamentos e as ligações entre eles.O passo 2 corresponde ao levantamento da estrutura lógica

através da identificação dos segmentos de rede e dos serviçosde organização desse segmento (DHCP, DNS e roteamento).O passo 3 corresponde ao levantamento das demandas junto

aos usuários da rede, relacionando essas demandas com ossegmentos e equipamentos envolvidos.O passo 4 corresponde ao estudo do padrão de uso da rede

através da análise do tráfego entre os segmentos e entre a redeinterna e externa (WAN). Para isso foi usado o IPTraf noservidor de roteamento.O passo 5 corresponde ao projeto da reestruturação que

deve ter como prioridade atender as demandas levantadas nopasso 3 observando possíveis expansões futuras.O passo 6 corresponde ao planejamento de casos de teste,

para que se possa verificar se a implantação da reestruturaçãoatendeu as demandas levantadas no passo 4.Este roteiro foi construído com base nas necessidades

estabelecidas neste projeto e seguem, em grande parte,restrições existentes na rede que foi objeto deste estudo. Hámelhorias que podem ser incluídas que o tornariam maisgenérico, porém, em sua forma atual, pode ser empregado emcenários diferentes do apresentado com poucas ou aténenhuma alteração, dependendo das características da rede.

VIII. CONCLUSÃO

O presente trabalho focou-se na avaliação e reestruturação

10T.I.S. 2014; 3 (1 ): 1 -1 0

Glesie S; O. Teixeira, Jander Moreira

das redes lógica e física do DC.Com o uso do IPtraf foi possível levantar os dados

necessários para caracterizar o uso de endereços IP e detráfego na rede do departamento. Ao avaliar os dados obtidos,identificou-se que através da reestruturação lógica serápossível a adição de novos nós no segmento atualmentesaturado. Também foi identificado que uma parteconsiderável do tráfego de dados é feito via UDP, mas que osserviços mais usados são os serviços que usam o protocoloTCP.Baseado na caracterização da rede, foi proposta uma

reestruturação física que possibilitará gerenciar melhor osacessos internos e externos ao serviços de TI oferecidos pelodepartamento e pelos grupos de pesquisa. O controle de usoda capacidade de transmissão será possível com aimplantação da segmentação que separa estações de trabalhode servidores.Para poder avaliar a implantação da reestruturação, foram

propostos testes a serem feitos antes e depois da implantação.

IX. TRABALHOS FUTUROS

Nesse trabalho a rede do DC foi caracterizada e foiproposta uma reestruturação lógica e física para facilitar seugerenciamento, oferecer qualidade de serviço adequada emelhorar a segurança dos equipamentos. Também foiproposto um conjunto de testes a serem feitos antes e depoisda implantação para avaliar o resultado das modificações.Para que os testes feitos sejam consistentes antes e depois

da implantação, será útil a elaboração de um roteiro detalhadode testes usando as ferramentas propostas nesse trabalho.Construir um roteiro expandido e mais geral para ser

empregado em mais cenários poderia ser feito como trabalhofuturo.Outras ideias de trabalhos futuros são: desenvolver o

isolamento dos segmentos de rede, desenvolver oposicionamento de servidores onde são necessários oudesenvolver a diminuição de nós intermediários.

X. REFERÊNCIAS BIBLIOGRÁFICAS

HAFFERMANN, L. Segmentação de Redes com VLAN.Curitiba: , nov.2009. Disponível em:<http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08A/Leonardo%20Haffermann%20-%20Artigo.pdf>. Acessoem: jan. 2012.

BARROS, O. Segurança de redes locais com aimplementação de VLANs O caso da Universidade JeanPiaget de Cabo Verde. Cabo Verde:Universidade JeanPiaget de Cabo Verde, maio2007. Disponível em:<http://bdigital.cv.unipiaget.org:8080/jspui/handle/10964/1 38>. Acesso em: jan. 2012.

MARQUES, N. M. L. Estudo de melhorias ao níıvel dodesenho da arquitectura da rede do DI. :Universidade deLisboa, jun.2007. Disponível em:<http://hdl.handle.net/1 0451 /1210>. Acesso em: 1 3 jan.2012.

PESSOA, M. S.; CAMARGO, L. E. S.; AMARAL, M. B.;VITORINO, A. J. Adequação Tecnológica da Rede deDados do Complexo do Hospital das Clínicas daFaculdade de Medicina da Universidade de São Paulo-HCFMUSP. : , out.2006. Disponível em:<http://www.sbis.org.br/cbis/arquivos/791 .pdf>. Acessoem: 1 3 jan. 2012.

FITZGERALD, J.; DENNIS, A., Comunicações de DadosEmpresariais e Redes, 2005

PINHEIRO, C. D. B. Técnicas de Segmentação de BaixoCusto para Redes Locais de Computadores. Disponívelem:<http://cassio.orgfree.com/publicacoes/TecnSegmBaixoCustoLANs.pdf>. Acesso em: 28 jan. 2012.

GONSAI A. M.; JANI N.N.; KUMBHARANA C.K.,Network Traffic Monitoring & Performance Tuningthrough open sorce tools: a comparative study, 2004

LYON, G.. Guia de Referência do Nmap. Disponível em:<http://nmap.org/man/pt_BR/index.html#man-description>. Acesso em: out. 2012.