Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIP INTERATIVA Projeto Integrado Multidisciplinar Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas PROJETO DE INTEGRAÇÃO EM REDE CAFETERIA ESSÊNCIA E SABOR DO CAFÉ CIDADE – ESTADO 2019 UNIP INTERATIVA Projeto Integrado Multidisciplinar Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas PROJETO DE INTEGRAÇÃO EM REDE CAFETERIA ESSÊNCIA E SABOR DO CAFÉ NOME RA: CIDADE – ESTADO 2019 RESUMO A Cafeteria Essência e Sabor do Café solicitou um projeto físico/lógico para integração de sua rede de dados para as 18 unidades e sua matriz, localizdas na região metropolitada de São Paulo. Neste projeto será apresentado à empresa uma solução completa. A proposta fará uso dos recursos de Virtualização de Servidores e Cluster para garantir um funcionamento no regime 24h por dia 7 dias por semana dos serviços, bem como tecnologias de backup e recuperação de desastres. O projeto abordará a estrutura de cabeamento, disponibilidade de rede sem fio segura, dimensionamento dos links de internet e especificação dos serviços e tecnologias utilizadas na rede, padronização na criação de usuários, políticas de rede e de acesso. Palavras chave: rede de computadores, projeto de rede, estrutura, virtualização. ABSTRACT The Cafeteria Essência e Sabor do Café requested a physical / logical project to integrate its data network for the 18 units and its headquarters, located in the metropolitan region of São Paulo. In this project, a complete solution will be presented to the company. The proposal will make use of server virtualization and clustering capabilities to ensure 24/7 service operation as well as backup and disaster recovery technologies. The project will address cabling structure, secure wireless network availability, Internet link sizing, and specification of services and technologies used on the network, standardization of user creation, network policies, and access. Keywords: computer networking, network design, structure, virtualization. SUMÁRIO Introdução .................................................................................................................. 6 1. Estrutura Física ..................................................................................................... 8 1.1 - Switchs na matriz ............................................................................................ 8 1.2 - Switchs nas filiais ............................................................................................ 8 1.2 - Servidores na matriz .................................................................................... 9 1.3 - Storage na matriz – Armazenamento Central ................................................ 10 1.4 - Unidades de Backup na matriz ...................................................................... 10 1.5 - Rede Wireless na matriz e nas filiais ............................................................. 11 1.6 - Servidores de Rede nas Filiais ...................................................................... 11 1.7 - Estações de trabalho ..................................................................................... 12 1.8 - Cabeamento estruturado ............................................................................... 12 1.9 - Energia elétrica e nobreak ............................................................................. 13 1.10 - Acondicionamento dos servidores e ativos de rede na matriz ..................... 14 2. Estrutura lógica da rede ..................................................................................... 15 2.1 Links de acesso à internet ............................................................................... 19 2.2 Servidores ........................................................................................................ 19 2.3 Storage e armazenamento .............................................................................. 20 2.4 Proxy firewall e roteamento ............................................................................. 20 2.5 Servidores virtualizados ................................................................................... 21 2.6 Licenciamento de software .............................................................................. 21 3. Backup e segurança ........................................................................................... 22 3.1 Políticas de segurança ..................................................................................... 22 3.2 Políticas de backup .......................................................................................... 23 3.3 Disaster recovery ............................................................................................. 24 4. Clientes e acesso ................................................................................................ 25 4.1 Política de uso da internet e estações de trabalho .......................................... 25 4.2 Política de uso das impressoras ...................................................................... 26 4.3 Sugestão para termo de responsabilidade legal .............................................. 27 Conclusão ................................................................................................................ 29 Referências .............................................................................................................. 30 6 Introdução A Cafeteria Essência e Sabor do Café, possui 19 unidades espalhadas pela região metropolitana de São Paulo e tem por missão: “Proporcionar uma sinfonia de sabores nos paladares, oferecendo uma vasta experiência de altíssima qualidade, nossa missão transpassa os sentimentos despertados pelo café, é de transmitir a cada momento da degustação uma experiência empírica conectada ao relacionamento com a vida”. A cafeteria tem a necessidade da implantação da sua rede de dados integrada entre as 19 unidades. Neste projeto iremos apresentar uma solução completa para implantação dos ativos e passivos para as 19 unidades, sendo que cada unidade possui: 5 operadores de caixa. 10 atendentes e operadores de vendas. 10 baristas/funcionários da cozinha. 5 funcionários dedicados aos serviços gerais. 1 gerente de vendas e 3 coordenadores de atendimento. Em cada uma das 18 unidades, projeta-se a utilização de: 1 servidor de rede. 2 terminais de caixa interligados à rede de computadores. 2 computadores para a coordenação de atendimento e gerência da loja interligados à rede de computadores. 2 computadores utilizados na área de baristas e funcionários de cozinha. 2 smart TVs interligada à internet e com acesso à TV por assinatura. 1 multifuncional interligada à rede Para a matriz, além da estrutura projetada para a unidade, projeta-se também a estrutura central de administração de todas as operações de negócio que deve contar com um cluster de servidores centrais para suportar a estrutura de Banco de Dados e Servidores de Aplicação, que suportem à demanda do ERP (Enterprise Resource Planning ou Sistema Integrado de Gestão Empresarial) que deve atender à 7 necessidade da área administrativa da empresa, ou seja, para as áreas de recursos humanos e departamento pessoal, financeiro, criação, TI, operação e administrativa. Neste projeto será abordada a estrutura física, os padrões de nomenclaturapara identificação do cabeamento estruturado, dimensionamento e configuração dos racks de distribuição e “patch panel”. Faz parte também deste projeto a definição das políticas de rede e acesso, criação de grupos e permissões de acesso à internet, aos arquivos e impressoras. Para um fácil entendimento metodológico este estudo será dividido em 4 grandes entroncamentos que se subdividirão visando elucidar todos os tópicos envolvidos no dimensionamento, funcionamento e operação da rede de dados da empresa. Portanto dividiremos este trabalho em: “Estrutura Física”, “Estrutura Lógica”, “Backup e Segurança” e “Clientes e Acesso”. No item “Estrutura Física” iremos apresentar todo o dimensionamento referente ao cabeamento estruturado, topologia da rede, tipos de cabeamento a serem utilizados, links de internet e dados, switchs e ativos de rede. Já no item “Estrutura Lógica” apresentaremos toda a estrutura da rede, distribuição de ips, serviços que serão prestados pelos servidores, suas configurações, licenciamento de software, e melhores práticas na implantação dos serviços, tendo sempre o foco na segurança da rede e das informações. Em “Backup e Segurança” abordaremos as políticas de segurança a serem implantadas na empresa e as medidas preventivas e corretivas de backup e “disaster recovery”. Por fim, no tópico “Clientes e Acesso” apresentaremos os planos e políticas éticas e legais para o uso e acesso às estações de trabalho, impressoras, recursos da rede e acesso à internet. 8 1. Estrutura Física Para a estrutura física da rede optamos por utilizar uma topologia em árvore onde teremos um concentrador central tengigabit como entroncamento principal da rede, onde serão ligados os servidores e os concentradores de acesso onde serão conectados os clientes da rede. 1.1 - Switchs na matriz Para os servidores de rede, serão utilizados 2 switchs Dell Networking S3124P. O modelo foi escolhido, por possuir as seguintes características: 24 portas RJ45 PoE+ de 10/100/1000 Mbit com sensor automático 2 portas SFP+ integradas de 10 GbE 2 portas de mídia GbE combinadas para oferecer flexibilidade de cobre ou fibra 2 portas de empilhamento traseiras dedicadas 1 compartimento de módulo de expansão com troca a quente 1 fonte de alimentação com troca a quente (CA de 200 W) 2 compartimentos para fonte de alimentação com troca a quente Figura 1: Dell S3124P Esses 2 switchs serão empilhados e formarão um único núcleo de switching redundante fornecendo um total de 48 portas 10/100/100Mbit e 8 portas 10GbE de fibra. 1.2 - Switchs nas filiais Para as filiais foi escolhido um switch DELL N1124P, que são switches de acesso layer 2, com 24 portas 1GbE sendo 12 POE e POE+ e quatro portas SFP de 10GbE. 9 1.3 - Servidores na matriz Neste projeto utilizaremos dois servidores Dell PowerEdge R740 interligados a um DELL ME4024 Storage Array. Figura 2: Servidor Dell R740 Características dos servidores: Servidor Dell - EMC PowerEdge R740 Chassis para até 8 x 3.5" SAS/SATA discos rígidos para 2CPU configuração x Processadores Intel Xeon Gold 5118 2.3G, 12C/24T, 10.4GT/s 2UPI, 16M Cache, Turbo, HT (105W) DDR4-2400 Bezel de Segurança com LCD de 2U Riser com 2 slots x8 e 3 slots x16 Configuração de Performance na BIOS 384GB de Memória | 6x Pentes de Memória de 64GB LRDIMM, 2666MT/s, Quad Rank, para servidores, BCC Configuração de Performance Otimizada nas Memórias Placa de gerenciamento remoto iDRAC9 Enterprise x Discos de 240GB SSD Mix Use SATA de 6Gbps, 512e, drive de 2.5" com carrier de 3.5", 3 DWPD, 1314 TBW, S4600 Controladora PERC H330+ RAID, adaptador, Full Height Configuração dos discos em RAID 1 DVD ROM, SATA, interno Fontes redundantes Hot Plug (1+1) de 750W de potência x Cabos de Força C13, BR14136 (padrão brasileiro), 250V, 10A, 2 metros de comprimento Placa de Rede Intel X710 Dual Port 10Gb Direct Attach, SFP+, Converged Network Adapter Placa de Rede Intel X710 Quad Port 10Gb DA/SFP+ Ethernet, Network Daughter Card 4 x Cabos SFP+ para SFP+, 10GbE, Cobre, Twinax Direct Attach, 5 metros Além desses servidores, a matriz também contará com um apliance dedicado para a função de firewall e roteamento entre a LAN da matriz, a MAN, que provê acesso VPN às filiais e a internet. Para essa finalidade foi escolhido o Firewall Appliance XG-1541 1U HA da Netgate. 10 Figura 3: XG-1541 1U pfSense® Security Gateway Appliance 1.4 - Storage na matriz – Armazenamento Central O storage é o ativo de rede responsável pelo armazenamento de todas as máquinas virtuais, arquivos e informações do negócio. Para este projeto optamos por escolher o Dell EMC | ME4024 Storage Array. Figura 4: Dell EMC - ME4024 - Storage Array Este storage possui as seguintes características: Dell EMC ME4024 Storage Array 8 Portas Dual Controller for 10GB iSCSI SFP+ Fonte de alimentação Flex 580W redundante x Cabos de Força 250V, NBR14136/C13 de 2 metros 12 x Discos de 960GB SSD SAS Read Intensive 12Gbps 512 2.5in Hot-plug AG Drive 12 x Hard Drive Filler 2.5in, single blank 1.5 - Unidades de Backup na matriz Para uma efetiva proteção dos dados serão utilizados unidades de em nuvem da veritas.com “NetBackup 8.2”, que possui as seguintes características: Backup mais rápido para a nuvem por meio do NetBackup CloudCatalyst com mais de 40 conectores de nuvem. Arquive na nuvem com suporte para o AWS Glacier e o Deep Archive, e o MS Azure Archive. Orquestre a recuperação após desastres no AWS. 11 Habilite a recuperação de arquivos granular e a proteção de VMs sem agentes em todos os lugares para VMware. Suporte expandido para cargas de trabalho de banco de dados, virtualização e nuvem, incluindo OpenStack, Red Hat Virtualization e Microsoft SQL AG. Experiência de usuário simplificada com automação e integração do NetBackup com aplicativos e plataformas de terceiros, incluindo vRealize, ServiceNow e muito mais. Melhore a segurança, a conformidade e a governança com acesso e armazenamento baseados em funções, autoridade de certificação externa, um processo de autenticação de dois fatores, modelos de licenciamento de medição inteligente e NAT dinâmico. Maximize a disponibilidade com suporte completo para o Microsoft SQL AG. 1.6 - Rede Wireless na matriz e nas filiais Para a rede wi-fi foi escolhido o “Ponto de Acesso Remoto Dell Networking Aerohive AP 230” que utiliza as tecnologias 802.11ac em altas taxas de desempenho e suporta múltiplos SSID´s, permitindo a criação de redes wi-fi separadas para funcionários e clientes de cada uma das unidades da cafeteria. Cada rádio é capaz de suportar, com segurança, até 200 clientes conectados simultaneamente. Assim sendo, utilizaremos 2 access points por unidade, permitindo a conexão de até 400 usuários wireless. Os access point serão integrados ao Active Directory através do protocolo RADIUS (Remote Authentication Dial In User Service) para fornecer a autenticação aos usuários sem fio. 1.7 - Servidores de Rede nas Filiais Cada filial será um cliente da rede da matriz, interligado através de VPN. Para tanto, cada filial contará apenas com um gateway de acesso. O produto escolhido para esta finalidade foi o Netgate Firewall Appliance XG-7100 1U. Figura 5: Firewall Appliance - XG-7100 12 Este appliance atuará como servidor nas unidades e proverá além do roteamento, o túnel VPN, o servidor DHCP, o firewall de acesso aos links de internet e o Captive Portal (portalde acesso aos clientes da cafeteria). 1.8 - Estações de trabalho Para as estações de trabalho optamos por escolher os DELL All in One Inspiron 24” Touch, que possui as seguintes características: Intel® Core™ i5-7200U (expansível até 3.1GHz, cache de 3 MB, 7ª geração ) Windows 10 Home Single Language, de 64 bits - em Português (Brasil) Placa de vídeo integrada Intel® HD Graphics 620 Memória de 8GB (1x8GB), DDR4, 2400MHz Disco rígido (HDD) de 1TB (5400 RPM) 1.9 - Cabeamento estruturado Todo o cabeamento utilizado entre os servidores e concentradores será utilizado com fibra optica, já entre os hosts das estações de trabalho será utilizado o cabeamento CAT6, essa categoria de cabeamento suporta frequências de até 250MHz, trabalha em redes gigabit ethernet (1000BASE-T) e apresenta uma qualidade superior em relação à categoria 5e. O TIA/EIA-568B será o padrão de cabeamento utilizado na rede. A montagem do cabeamento dentro da norma TIA/EIA-568B, proverá à empresa um sistema de cabeamento flexível e confiável, que poderá ser utilizado por diferentes equipamentos produzidos por diversos fabricantes e oferecerá facilidades de remanejamento dos pontos de trabalho, bem como a substituição de equipamentos e ativos, sem que seja necessário um novo lançamento de cabos. O padrão TIA/EIA-568B define um sistema de cabeamento genérico assim definido: Work Área (WA): É o local designado para a estação de trabalho do usuário. Neste local será instalado um par de tomadas RJ45 Cat6 “fêmea” para cada baia. Em cada baia de trabalho as tomadas serão nomeadas utilizando o seguinte padrão P001T01 onde P significa Patch Panel e T representa a Tomada do Patch Panel, facilitando 13 desta forma a identificação do cabo nos painéis de distribuição montados na sala dos cabeamentos ou armários de distribuição. Telecommunication Room e Telecommunication Enclosures (TR): São respectivamente a sala dos cabeamentos e os armários de distribuição do cabeamento. Abrigam os cabeamentos de interconexão entre e o “backbone” e o “horizontal cabling”. Na empresa Mercadus é o local que irá abrigar os patch panels e os switchs HP 2620-24 que farão a distribuição da rede para os “Pontos de Atendimento” e a comunicação com o switch principal. Equipment Room: sala que abriga os servidores, firewall e ativos principais da rede. É o local onde serão instalados os servidores o storage o firewall e os equipamentos das operadoras de Telecom. Esta sala deverá possuir ar condicionado e aterramento completo. Entrance Facilities: é o lugar onde é feita a entrada dos cabos externos metálicos ou ópticos dos provedores de acesso. 1.10 - Energia elétrica e nobreak Para garantir o funcionamento no regime 24x7 (24 horas por dia e 7 dias por semana) dos serviços a rede elétrica da empresa deverá estar estabilizada e dispor de aterramento em todas as tomadas elétricas. Na sala dos servidores deverão ser implantados dois nobreaks de 6Kva de forma que as fontes redundantes dos servidores e do storage estejam ligadas aos dois nobreaks (uma fonte em cada nobreak), para no caso de falha ou manutenção programada do nobreak os servidores permaneçam ligados. Para os desktops dos usuários a recomendação é que cada um tenha o seu próprio nobreak de 600Va. Para a matriz, também é recomendado o uso de gerador de energia a diesel, com partida automática para os casos em que a energia demorar mais tempo a voltar. 14 1.11 - Acondicionamento dos servidores e ativos de rede na matriz Para abrigar os servidores de rede, storage, switch principal e equipamentos das operadoras de telecom será implantado um Rack padrão 19” de 42u com painéis laterais e ventilação forçada. A sala onde este rack será instalado deverá ser climatizada e ter seu acesso restrito apenas aos gerentes de rede e técnicos de TI da empresa. 1.12 – Acondicionamento dos ativos e servidores de rede nas filiais Para abrigar o servidor de rede (appliance), o switch e equipamentos das operadoras de telecom será implantado um rack de parede, estilo bracket com 16u´s, padrão 19” com painéis laterais e ventilação forçada. Este rack será instalado próximo ao teto, em local de difícil acesso, para garantir que apenas os profissionais da TI possam ter acesso a este rack. 1.13 – Impressoras Multifuncionais na matriz e na filial As multifuncionais escolhidas para a matriz e filial são as Kyocera 2040dn. O modelo foi escolhido por possuir conexão direta com a rede, boa autonomia e baixo custo cópia. Figura 6: Multifuncional Kyocera M2040dn 15 1.14 – Smart TVs A smartTv escolhida para este projeto foi a SONY KDL-50W665F Full HD, que possui entradas HDMI e uma entrada padrão ethernet. 1.15 – Smartphones No projeto optamos por utilizar o modelo Motorola Z3 Play, que possui uma tela de 6”, processador de 8 núcleos e 4gb ram. Para cada smartphone, também será adquirido o acessório pulseira de suporte. Figura 7: Detalhe smartphone com pulseira 1.16 – Tabela de investimento em Hardware Produto Preço Unitário Qtd Matriz Qtd por Filial Número de Filiais Total de Equipamentos Valor Total Dell EMC | PowerEdge R740 R$ 50.961,00 2 0 18 2 R$ 101.922,00 Dell EMC | ME4024 Storage Array R$ 82.283,00 1 0 18 1 R$ 82.283,00 All in One Inspiron 24" Touch R$ 4.669,00 20 6 18 128 R$ 597.632,00 Dell Networking Aerohive AP 230 R$ 2.520,00 2 2 18 38 R$ 95.760,00 XG-1541 1U pfSense® Security Gateway Appliance R$ 21.755,18 1 0 18 1 R$ 21.755,18 XG-7100 1U pfSense® Security Gateway Appliance R$ 7.161,39 0 1 18 18 R$ 128.905,02 Switch Dell S3124P R$ 38.520,56 2 0 18 2 R$ 77.041,12 Switch Dell N1124P R$ 4.699,00 0 1 18 18 R$ 84.582,00 Smart TV 4K LED 50” Samsung UN50RU7100 R$ 1.999,90 2 2 18 38 R$ 75.996,20 R$ 1.265.876,52 16 2. Estrutura lógica da rede A rede da Cafeteria Essência e Sabor do Café é composta por 1 LAN e 1 WAN, na matriz, uma MAN entre a matriz e as filiais e 1 LAN e 1 WAN em cada filial. Figura 8: MAN, LAN, WAN 17 A rede da Cafeteria Essência e Sabor do Café terá a seguinte estrutura lógica: Rede Classe A dividida em sub-redes de classe B, cada uma separada em uma VLAN, visando delimitar os domínios de broadcast e implementar políticas de roteamento e segurança entre as redes, conforme o quadro abaixo: VLAN REDE MASCARA BITS REDE BROADCAST GATEWAY FUNÇAO 1001 10.1.0.0 255.255.0.0 16 10.1.255.255 10.1.200.1 SERVIDORES FISICOS DA MATRIZ 1002 10.2.0.0 255.255.0.0 16 10.2.255.255 10.2.200.1 SERVIDORES VIRTUALIZADOS DA MATRIZ 1010 10.10.0.0 255.255.0.0 16 10.10.255.255 10.10.200.1 LAN ETHERNET MATRIZ 1011 10.11.0.0 255.255.0.0 16 10.11.255.255 10.11.200.1 WI-FI ADMINISTRATIVO MATRIZ 1012 10.12.0.0 255.255.0.0 16 10.12.255.255 10.12.200.1 WI-FI CLIENTES MATRIZ 1020 10.20.0.0 255.255.0.0 16 10.20.255.255 10.20.200.1 LAN ETHERNET - FILIAL 01 1021 10.21.0.0 255.255.0.0 16 10.21.255.255 10.21.200.1 WI-FI ADMINISTRATIVO - FILIAL 01 1022 10.22.0.0 255.255.0.0 16 10.22.255.255 10.22.200.1 WI-FI CLIENTES MATRIZ - FILIAL 01 1030 10.30.0.0 255.255.0.0 16 10.30.255.255 10.30.200.1 LAN ETHERNET - FILIAL 02 1031 10.31.0.0 255.255.0.0 16 10.31.255.255 10.31.200.1 WI-FI ADMINISTRATIVO - FILIAL 02 1032 10.32.0.0 255.255.0.0 16 10.32.255.255 10.32.200.1 WI-FI CLIENTES MATRIZ- FILIAL 02 1040 10.40.0.1 255.255.0.0 16 10.40.255.256 10.40.200.2 LAN ETHERNET - FILIAL 03 1041 10.41.0.1 255.255.0.0 16 10.41.255.256 10.41.200.2 WI-FI ADMINISTRATIVO - FILIAL 03 1042 10.42.0.1 255.255.0.0 16 10.42.255.256 10.42.200.2 WI-FI CLIENTES MATRIZ - FILIAL 03 1050 10.50.0.0 255.255.0.0 16 10.50.255.255 10.50.200.1 LAN ETHERNET - FILIAL 04 1051 10.51.0.0 255.255.0.0 16 10.51.255.255 10.51.200.1 WI-FI ADMINISTRATIVO - FILIAL 04 1052 10.52.0.0 255.255.0.0 16 10.52.255.255 10.52.200.1 WI-FI CLIENTES MATRIZ - FILIAL 04 1040 10.60.0.1 255.255.0.0 16 10.60.255.256 10.60.200.2 LAN ETHERNET - FILIAL 05 1041 10.61.0.1 255.255.0.0 16 10.61.255.256 10.61.200.2 WI-FI ADMINISTRATIVO - FILIAL 05 1042 10.62.0.1 255.255.0.0 16 10.62.255.256 10.62.200.2 WI-FI CLIENTES MATRIZ - FILIAL 05 1030 10.70.0.0 255.255.0.0 16 10.70.255.255 10.70.200.1 LAN ETHERNET - FILIAL 06 1031 10.71.0.0 255.255.0.0 16 10.71.255.255 10.71.200.1 WI-FI ADMINISTRATIVO - FILIAL 06 1032 10.72.0.0 255.255.0.0 16 10.72.255.255 10.72.200.1 WI-FI CLIENTES MATRIZ - FILIAL 06 1040 10.80.0.1 255.255.0.0 16 10.80.255.256 10.80.200.2 LAN ETHERNET - FILIAL 07 1041 10.81.0.1 255.255.0.0 16 10.81.255.256 10.81.200.2 WI-FI ADMINISTRATIVO - FILIAL 07 18 1042 10.82.0.1 255.255.0.0 16 10.82.255.256 10.82.200.2 WI-FI CLIENTES MATRIZ - FILIAL 07 1030 10.90.0.0 255.255.0.0 16 10.90.255.255 10.90.200.1 LAN ETHERNET - FILIAL 08 1031 10.91.0.0 255.255.0.0 16 10.91.255.255 10.91.200.1 WI-FI ADMINISTRATIVO - FILIAL 08 1032 10.92.0.0 255.255.0.0 16 10.92.255.255 10.92.200.1 WI-FI CLIENTES MATRIZ - FILIAL 08 1040 10.100.0.1 255.255.0.0 16 10.100.255.256 10.100.200.2 LAN ETHERNET - FILIAL 09 1041 10.101.0.1 255.255.0.0 16 10.101.255.256 10.101.200.2 WI-FI ADMINISTRATIVO - FILIAL 09 1042 10.102.0.1 255.255.0.0 16 10.102.255.256 10.102.200.2 WI-FI CLIENTES MATRIZ - FILIAL 09 1030 10.110.0.0 255.255.0.0 16 10.110.255.255 10.110.200.1 LAN ETHERNET - FILIAL 10 1031 10.111.0.0 255.255.0.0 16 10.111.255.255 10.111.200.1 WI-FI ADMINISTRATIVO - FILIAL 10 1032 10.112.0.0 255.255.0.0 16 10.112.255.255 10.112.200.1 WI-FI CLIENTES MATRIZ - FILIAL 10 1040 10.120.0.1 255.255.0.0 16 10.120.255.256 10.120.200.2 LAN ETHERNET - FILIAL 11 1041 10.121.0.1 255.255.0.0 16 10.121.255.256 10.121.200.2 WI-FI ADMINISTRATIVO - FILIAL 11 1042 10.122.0.1 255.255.0.0 16 10.122.255.256 10.122.200.2 WI-FI CLIENTES MATRIZ - FILIAL 11 1030 10.130.0.0 255.255.0.0 16 10.130.255.255 10.130.200.1 LAN ETHERNET - FILIAL 12 1031 10.131.0.0 255.255.0.0 16 10.131.255.255 10.131.200.1 WI-FI ADMINISTRATIVO - FILIAL 12 1032 10.132.0.0 255.255.0.0 16 10.132.255.255 10.132.200.1 WI-FI CLIENTES MATRIZ - FILIAL 12 1040 10.140.0.1 255.255.0.0 16 10.140.255.256 10.140.200.2 LAN ETHERNET - FILIAL 13 1041 10.141.0.1 255.255.0.0 16 10.141.255.256 10.141.200.2 WI-FI ADMINISTRATIVO - FILIAL 13 1042 10.142.0.1 255.255.0.0 16 10.142.255.256 10.142.200.2 WI-FI CLIENTES MATRIZ - FILIAL 13 1030 10.150.0.0 255.255.0.0 16 10.150.255.255 10.150.200.1 LAN ETHERNET - FILIAL 14 1031 10.151.0.0 255.255.0.0 16 10.151.255.255 10.151.200.1 WI-FI ADMINISTRATIVO - FILIAL 14 1032 10.152.0.0 255.255.0.0 16 10.152.255.255 10.152.200.1 WI-FI CLIENTES MATRIZ - FILIAL 14 1040 10.160.0.1 255.255.0.0 16 10.160.255.256 10.160.200.2 LAN ETHERNET - FILIAL 15 1041 10.161.0.1 255.255.0.0 16 10.161.255.256 10.161.200.2 WI-FI ADMINISTRATIVO - FILIAL 15 1042 10.162.0.1 255.255.0.0 16 10.162.255.256 10.162.200.2 WI-FI CLIENTES MATRIZ - FILIAL 15 1030 10.170.0.0 255.255.0.0 16 10.170.255.255 10.170.200.1 LAN ETHERNET - FILIAL 16 1031 10.171.0.0 255.255.0.0 16 10.171.255.255 10.171.200.1 WI-FI ADMINISTRATIVO - FILIAL 16 1032 10.172.0.0 255.255.0.0 16 10.172.255.255 10.172.200.1 WI-FI CLIENTES MATRIZ - FILIAL 16 1040 10.180.0.1 255.255.0.0 16 10.180.255.256 10.180.200.2 LAN ETHERNET - FILIAL 17 1041 10.181.0.1 255.255.0.0 16 10.181.255.256 10.181.200.2 WI-FI ADMINISTRATIVO - FILIAL 17 1042 10.182.0.1 255.255.0.0 16 10.182.255.256 10.182.200.2 WI-FI CLIENTES MATRIZ - FILIAL 17 1030 10.190.0.0 255.255.0.0 16 10.190.255.255 10.190.200.1 LAN ETHERNET - FILIAL 18 19 1031 10.191.0.0 255.255.0.0 16 10.191.255.255 10.191.200.1 WI-FI ADMINISTRATIVO - FILIAL 18 1032 10.192.0.0 255.255.0.0 16 10.192.255.255 10.192.200.1 WI-FI CLIENTES MATRIZ - FILIAL 18 1040 10.200.0.1 255.255.0.0 16 10.200.255.256 10.200.200.2 LAN ETHERNET - FILIAL 19 1041 10.201.0.1 255.255.0.0 16 10.201.255.256 10.201.200.2 WI-FI ADMINISTRATIVO - FILIAL 19 1042 10.202.0.1 255.255.0.0 16 10.202.255.256 10.202.200.2 WI-FI CLIENTES MATRIZ - FILIAL 19 Utilizando esta máscara temos 16 bits para o endereço da rede e 16 bits para o endereço da máquina dentro da rede. Note que há um relativo equilíbrio entre o número de máquinas e número de redes possíveis de serem montadas, por se tratar de uma filial da empresa, acreditamos que esta relação equilibrada possibilitara à Cafeteria, de acordo com a fórmula “2b – 2” onde “b” é o número de bits utilizado para a rede ou para a identificação da máquina dentro da rede, a criação de até 255 filiais, mantendo a mesma padronização, com possibilidade de ter até 65534 hosts em cada filial. A princípio estes números parecem exagerados mas dada a evolução acelerada da tecnologia e com vistas à “internet das coisas” onde cada dia mais dispositivos e equipamentos integram-se a rede. Levando também em consideração à dificuldade em se fazer a troca da classe da rede com a mesma “em produção” optamos pelo uso da classe B para a rede. 2.1 Links de acesso à internet Para acesso à internet optou-se pelo uso de um link Corporativo de 300Mbps na matriz e em cada filial um acesso à internet de 100Mbps. 2.2 Servidores Os servidores principais da rede serão nomeados como svir01 e svir02 e terão implantado o sistema operacional Microsoft Windows 2019 Server Datacenter. Esta edição do sistema operacional tem como principal diferencial a possibilidade de criação de ilimitadas máquinas virtuais sem a necessidade de aquisição de licenças 20 individuais para cada máquina virtual, apenas serão necessárias as CAL Client Acess Licence para cada estação de trabalho que se comunica com o servidor. Os servidores svir01 e svir02 formarão um cluster do Microsoft Hyper-V, software que integra o pacote do Windows 2019 Datacenter e fornece a plataforma para a criação das máquinas virtuais que executarão as mais diversas tarefas da rede. Estes servidores serão os únicos a terem acesso direto ao Storage que é o ponto central de armazenamento da rede. 2.3 Storage e armazenamento Será instalado um Storage configurado com 12 unidades de disco rígido disco rígido HP 900GB 6G SSD SFF (2,5 polegadas). Essas unidades formarão um RAID10 e um RAID 6. Ainda no Storage serão criadas 1 Logical unit number (Lun) para cada máquina virtual. 2.4 Proxy firewall e roteamento O Firewall da matriz conhece todas as rotas para os firewalls das filiais e cada filial conhece a rota para chegar até a matriz. No firewall será utilizado o software pfSense que segundo descrição retirada do site pfsense-br.org: "O pfSense é um software livre [...], baseado no sistema operacional FreeBSD e adaptado para assumir o papel de um firewall e/ou roteador de redes. Além disso, ele possui atualmente dezenas de pacotes adicionais que lhe permitem requisitar o posto de UTM (Unified Threat Management), já que podemos realizar com o pfSense a imensa maioria das atividades que esperamos de sistemas com este título.” 21 Desta forma o firewall da Empresaserá utilizado integrado ao Active Directory da Microsoft e fará o controle de acesso de acordo com as políticas de controle de acesso da empresa que será detalhado no ítem “Clientes e Acesso”. Além da função de firewall estes hosts também farão a função de roteamento para as demais redes da empresa através de túnel VPN (Virtual Private Network), a função de NAT – Network Adress Translation, a função de Portal Cativo para acesso dos clientes, autenticado do AD e também a função de Proxy Server / Proxy Filter autenticado no AD (Active Directory). 2.5 Servidores virtualizados Na empresa Mercadus teremos servidores virtualizados, que serão implantados de acordo com a demanda da empresa. 2.6 Licenciamento de software Atendendo aos requisitos legais, todos os softwares utilizados pela empresa deverão ser devidamente licenciados. Para os servidores Microsoft Windows 2019 Datacenter Edition serão adquiridas 2 licenças na modalidade “Licenciamento por Volume” e 128 CAL´s (Client Acess Licence) para os Postos de Atendimento. As máquinas em VOSE (virtual operating system environment – ambiente de sistema operacional virtual) dispensam o licenciamento por rodarem sobre a plataforma do Windows 2019 Server Datacenter. Para as estações de trabalho será utilizado o modelo de licenciamento OEM (Original Equipament Manufacturer) ou seja serão adquiridas do fabricante com seus respectivos softwares devidamente legalizados. Os demais softwares utilizados serão adquiridos de seus respectivos fornecedores. 22 3. Backup e segurança A proposta é a ação proativa visando evitar a interrupção ou a indisponibilidade dos serviços. As políticas de segurança tem por objetivo a proteção da rede contra ameaças à segurança da informação. A ameaça é, neste contexto, considerada como a quebra da integridade dos dados, quebra da confidencialidade e indisponibilidade das informações. Serão implantados um conjunto de medidas preventivas e rotinas de manutenção programada. No caso das medidas preventivas falharem, como por exemplo, em casos extremos (incêndio, depredação, etc...), ou até mesmo por invasão, ataque de hackers, erro humano, entra em ação a política de backup que irá atuar de forma corretiva, para garantir a preservação dos dados e informações produzidos pela empresa. 3.1 Políticas de segurança São pontos prioritários da política de segurança a proteção dos dados, e a funcionalidade dos servidores e do acesso. Caberá aos administradores de rede a checagem diária do correto funcionamento das rotinas de backup e do correto funcionamento dos servidores, ativos de rede e links de acesso. Constatada a falha esta deverá ser imediatamente sanada. Serão criadas também no AD Unidades Organizacionais e Grupos de Acesso por setor da empresa (ex.: TI, MARKETING, ATENDIMENTO, DIRETORIA, ETC...) onde serão implantadas a GPO´s (Group Policy Object) que definirão entre outras coisas: - Local de alocação dos arquivos salvos no Desktop e Meus Documentos: Essas pastas serão redirecionadas para a pasta do usuário no servidor de arquivos, desta forma facilitando as rotinas de backup. - Politica padrão para a senha do usuário: A senha do usuário deverá ter no mínimo 8 caracteres, não contendo o nome do usuário, o nome real ou o nome da empresa, não contendo uma palavra completa do dicionário e deverá ser diferente 23 das senhas anteriores do usuário, devendo também conter letras maiúsculas e minúsculas, números e pelo menos um símbolo. A senha do usuário deverá ser alterada a cada 90 dias. - Política de definição automática do servidor proxy: todo o acesso à internet será controlado pelo servidor proxy, sem o qual não será possível o acesso à internet. É responsabilidade dos administradores acompanhar os gráficos de utilização dos links de internet, bem como os logs de acesso dos usuários, investigando possíveis falhas nas políticas de acesso. Além de outras definições que podem ser realizadas por GPO como por exemplo a do papel de parede padrão, bloqueio do restauro de cópias de sombra (permitir apenas a visualização), bloqueio automático por inatividade, definição do papel de parede padrão, etc... Também serão definidos nos servidores de impressão e de arquivos o uso de cotas de impressão e disco para controlar abusos no uso dos recursos da rede. No servidor de arquivos estará habilitado também as cópias de sombra que manterão as alterações recentes dos arquivos de usuários, evitando desta forma grande parte das solicitações de restauração de backups. O firewall, em conjunto com o ad, atuarão como a central de segurança da rede e serão rigorosamente fiscalizados pelos Administradores da Rede. Toda e qualquer alteração realizada deverá ser registrada no logbook dos servidores para conhecimento de toda a equipe de administração da rede. A atualização de software é prioridade essencial para a prevenção de bugs e falhas de segurança e deverão ser realizadas semanalmente, com prudência e cautela, após a confirmação do correto funcionamento da mesma, evitando desta forma, paradas não programadas, para correção de erros causados por atualizações com bugs ou incorreções. 3.2 Políticas de backup 24 A política de backup na empresa terá foco no backup dos servidores, banco de dados e arquivos dos servidores. O backup das estações ocorrerá através do perfil remoto dos usuários. Os arquivos de usuários serão armazenados diretamente no servidor de arquivos, restando ao hd (hard drive) da estação de trabalho apenas os arquivos de sistema operacional e softwares instalados. As rotinas do backup ocorrerão com o armazenamento primeiramente local e em seguida na nuvem. A política de Backup será assim estruturada: Backup mensal: Backup completo dos VHDS (Virtual Hard Disks) das máquinas virtuais. Backup semanal: Backup completo do servidor de arquivos. Backup de 12 em 12 horas: Backup completo do banco de dados e backup incremental (diferencial) do servidor de arquivos. . Backup de 5 em 5 minutos: Backup de log do servidor de banco de dados. 3.3 Disaster recovery Nenhuma empresa está livre da ocorrência de um desastre seja ele natural ou ocasionado por erro humano. O principal objetivo de manter um Plano de Recuperação de desastres é proteger os dados da empresa para que ela possa se reestruturar e dar continuidade aos seus negócios. O plano de recuperação constitui um documento escrito com as ações a serem tomadas antes, durante e após a ocorrência do desastre. Tal documento deverá ser elaborado pela comissão de prevenção e análise de risco da equipe interna de Tecnologia da Informação da empresa mas consistirá, basicamente na redundância da política de backup que será realizado também em nuvem (ou seja em servidores na internet). 25 4. Clientes e acesso A segurança implantada na rede da Empresa emprega um conjunto de normas para utilização, inclusive da utilização da Internet. Em paralelo com a segurança imposta pela GPO (group policy object) do Active Directory nas estações de trabalho e aos usuários da rede será implantada na Empresa um código de conduta ético e legal com a finalidade coercitiva de manter o bom funcionamento da rede e a produtividade dos funcionários. Todos os funcionários deverão, assim que admitidos, ser encaminhados ao departamento de TI para a criação do seu cadastro no Active Directory para criação do seu usuário e senha e inclusão no grupo e unidade organizacional compatível com a função que será exercida pelo usuário. O cadastro criado pelo Departamento de TI integrará o SSO (SingleSing On), ou seja, servirá para acesso nas estações de trabalho, e-mail, abertura de chamados, e acesso à rede wi-fi. 4.1 Política de uso da internet e estações de trabalho Todo e qualquer acesso à internet será registrado em log, ou seja, será registrado no firewall, todas as informações relativas ao acesso incluindo endereço acessado, tempo que permaneceu no site, quantidade de bytes transferidos por site e total de dados transferidos. Essas informações ficarão disponíveis para a equipe de TI e para a gerência da Empresa. Também será registrado em log todos os acessos a arquivos compartilhados ou pessoais do usuário, bem como o acesso e uso das impressoras, rede sem fio e demais recursos da rede. O log de acessos tem a função coercitiva, na medida em que atua de forma psicológica sobre o usuário, pois o usuário ao saber que todos os seus passos dentro da rede da Empresa estão sendo registrados irá agir com mais prudência e dentro das normas estabelecidas no Termo de Responsabilidade Legal por ele assinado. 26 O log de acessos também tem a função coativa. A coação é imposição de força e constitui na penalização administrativa do usuário que transgredir as normas impostas pela empresa. A penalização, prevista na CLT (Consolidação das Leis do Trabalho) poderá ser aplicada pelo empregador contra o empregado e poderá ser em forma de advertência oral, advertência escrita, suspensão e desligamento da empresa. A advertência oral ou escrita não está prevista em artigo específico da CLT mas por ser costumeira tal ação está autorizada pelo artigo 8º da CLT. A suspensão será usada quando a transgressão for de maior porte ou quando o funcionário, após receber diversas advertências, persistir na conduta transgressora. É senso comum que a partir da 3 ou 4 advertência o funcionário seja suspenso de suas atividades. A suspensão, conforme artigo 474 da CLT, gera perda salarial e não poderá ser em prazo superior a 30 dias. O desligamento da empresa se dará para os casos mais graves. A importância do log de acessos para uma Empresa é tão grande que em muitos casos, em ações judiciais eles são utilizados como prova material e podem de fato servir de base para uma decisão judicial. 4.2 Política de uso das impressoras As impressoras são propriedade da Empresa e portanto apenas poderão ser utilizadas para atender às necessidades da empresa. O software PaperCut fará todo o monitoramento das impressoras, inclusive limitando o número de cópias permitidas para cada usuário ou grupo de usuários, conforme o interesse da gerência da empresa, visando a economia de papel e a preservação do meio ambiente. Como o software atua de forma integrada ficará a cargo dos usuários apenas o abastecimento das bandejas de papel da impressora. 27 4.3 Sugestão para termo de responsabilidade legal Com o objetivo de definir as normas para uso dos recursos de tecnologia da Cafeteria Essência e Sabor do Café e garantir que os usuários utilizem os recursos de rede exclusivamente para os interesses e estratégias de negócio da empresa e não comprometam a segurança das informações disponíveis no ambiente. Este conjunto de regras será aplicado a todos os colaboradores e prestadores de serviços da Cafeteria Essência e Sabor do Café, que utilizam sua infraestrutura de TI. O termo de responsabilidade deverá ser assinado por todos os usuários da rede da Cafeteria Essência e Sabor do Café. Premissas para a criação do Termo de Responsabilidade: A internet é um recurso disponibilizado pela Empresa para uso de seus funcionários, de acordo com suas atividades profissionais e interesses da empresa. Portanto tem seu uso restrito e monitorado pela empresa. Portanto, considera-se utilização indevida da Internet: - O uso para negócios ou interesses particulares; - A violação de leis e o acesso a conteúdo incompatível com os valores da empresa Cafeteria Essência e Sabor do Café, tais como: violência, pornografia, preconceitos, discriminações, pirataria e conteúdo hacker ou cracker. - Comprometer o confidencialidade das informações da empresa e a privacidade dos demais usuários. - A prática da hostilidade eletrônica como por exemplo a destruição ou alteração deliberada de informações sem a devida autorização, com fins maliciosos ou que prejudiquem a empresa ou seus empregados. Os empregados ao utilizarem a Internet, deverão adotar linguagem e postura em concordância com os valores da empresa. São previamente autorizados pela Cafeteria Essência e Sabor do Café o acesso às páginas da Internet (www) e ao e-mail (correio eletrônico). Os demais serviços e protocolos de acesso devem avaliados pela gerencia da empresa e pelo departamento 28 de TI considerando a real necessidade da atividade profissional e do interesse da empresa. Os empregados deverão respeitar normas e políticas vigentes nos sites visitados. O download de músicas, imagens, vídeos, softwares e arquivos executáveis são terminantemente proibidos, exceto quando tiver relação direta com as atividades relacionadas ao trabalho ou estratégias de negócio. É proibido o uso e acesso de sites e recursos que possam comprometer a imagem ou a segurança de da empresa A equipe de TI da Cafeteria Essência e Sabor do Café, irá monitorar regularmente a utilização da Internet, a fim de preservar a integridade das informações, identificar vulnerabilidades e falhas de segurança, bem como verificar a utilização adequada dos recursos por parte dos colaboradores. Todo o conteúdo gerado ou produzido pelos empregados da Cafeteria Essência e Sabor do Café durante o expediente de trabalho, utilizando os recursos da Cafeteria Essência e Sabor do Café é de propriedade da Cafeteria Essência e Sabor do Café. 29 Conclusão O projeto ora apresentado atenderá aos requisitos legais e de segurança proporcionando à empresa e seus funcionários uma infraestrutura de TI altamente eficaz, completa e plenamente gerenciável. Levando em consideração que o crescimento estimado é de 15% a cada três anos podemos concluir que a estrutura tecnológica da Cafeteria Essência e Sabor do Café está dimensionada para suportar as necessidades da empresa por um período de 5 a 10 anos sem que haja necessidades de reinvestimento, ou seja a troca de servidores e ativos de rede, ou grandes investimentos em futuras expansões da rede. O custo total deste projeto está estimado em R$ R$ 1.265.876,52, incluindo desktops, servidores, ativos de rede e impressoras. O investimento inicial neste projeto justifica-se pois as vantagens de uma infraestrutura de Tecnologia da Informação confiável, capaz de ajudar no processo decisório e capaz de gerar relatórios que possam servir como prova material em ações trabalhistas judiciais já fazem com que o investimento seja recompensado. Ademais caberá a empresa fomentar e incentivar a capacitação de seus usuários de tecnologia para que estejam aptos a usufruir de todos os benefícios e vantagens que a rede da empresa é capaz de prover. 30 Referências ALMEIDA, A. P. (18 de Setembro de 2014). Licenciamento do Windows Server 2012. Fonte: TechNet Brasil: http://social.technet.microsoft.com/wiki/pt- br/contents/articles/12237.licenciamento-do-windows-server-2012.aspx Estrutura do Cabeamento Estruturado. (30 de setembro de 2014). Fonte: Seta Soluções Elétricas e Telemáticas LTDA: http://setasolucoes.com.br/ce_estrutura.php LASKOSKI, J. (30 de 09 de 2014). pfSense-BR | Blog da Comunidade Brasileira. Fonte: Comunidade Brasileira pfSense: http://www.pfsense-br.org/blog/ SOARES, L. F. (1995). Redes de Computadores:Lans, Mans e Wans, às redes ATM. Rio de Janeiro: Campus. HP.com. (18 de setembro de 2014). Fonte: HP: http://www.hp.com/ ROSA, Maria Lúcia Leite. O patrimônio digital. São Paulo: Makron Books, 1998. 232 p. ISBN 85-346-0891-1. LAUDON, Jane Price, LAUDON, Kenneth C.. Sistemas de informação: com internet. 4ª. Rio de Janeiro: LTC, 1999. 389 p. ISBN 85-216-1182-X. Constituição da República Federativa do Brasil Consolidação das Leis do Trabalho MARTINS, Sérgio Pinto. Direito do Trabalho. São Paulo: Atlas TULLOCH, M. Introducing Windows Server 2012. Microsoft Press, Redmond, 2012. CARTER, Gerald. LDAP System Administration. O'Reilly Media, Inc. Março de 2003.
Compartilhar