REDES Um conceito antigo para a humanidade. REDES Um conceito antigo para a humanidade. e... + REDES COM LINUX REDES COM LINUX

Transcrição

1 INTRODUÇÃO Oliver Tompson Lessa Outubro / 2006 "For millions of years mankind lived just like animals Then something happened which unleashed the power of our imagination We learned to talk" (David Gilmour/Richard Wright/Polly Samson) Pink Floyd INTRODUÇÃO Era da informação INTRODUÇÃO TELECOMUNICAÇÕES Ter informação Informação Saber onde encontrar Comunicação TELE (Grego) + COMMUNICATIO (Latim) REDES Um conceito antigo para a humanidade INTRODUÇÃO REDES Um conceito antigo para a humanidade ILUSTRAÇÃO CLÁSSICA INTRODUÇÃO INTERNET REDES TV A B C TELEFONE e + 1

2 INTRODUÇÃO COMUNICAÇÃO REDES SERVIÇOS GERENCIAMENTO INTRODUÇÃO Alcance Tipos Serviços INTRODUÇÃO REDES Conjunto de hosts que se falam ; Hosts podem oferecer serviços/dados; Hosts não precisam ser computadores INTRODUÇÃO Aplicações modernas de rede: Esquema sofisticado para troca de dados; Packet-switching Solução adotada: TCP/IP REDES TCP / IP REDES TCP / IP 1969: Defense Advanced Research Projects Agency (DARPA) DARPANET; 1983: DARPANET adota o TCP/IP; Internet Protocol (IP) 1990: Nasce a Internet; TCP/IP aparece como padrão Redes limitadas não fazem sentido 2

3 REDES TCP / IP REDES TCP / IP Internet Protocol (IP) Fazer redes distintas parecerem ser homogêneas; internet <> A Internet Controla o intercâmbio de datagramas; Estabelece um esquema de endereçamento: Endereço IP REDES TCP / IP REDES TCP / IP Transmission Control Protocol (TCP) Porque não se pode confiar somente no IP Transmission Control Protocol (TCP) Informações precisam ser quebradas em pacotes/datagramas Problemas a enfrentar: Um router/gateway pode ter pouca memória; Alto tráfego na rede O IP não resolve Descarta TCP: Integridade, reconstrução da informação REDES TCP / IP REDES TCP / IP A informação percorre um longo caminho antes de começar sua viagem pela rede 3

4 REDES TCP / IP A informação percorre um longo caminho antes de começar sua viagem pela rede REDES TCP / IP Modelo OSI: Ilustração REDES TCP / IP User Datagram Protocol TCP x UDP REDES TCP / IP PORTAS e SOCKETS: As vias virtuais da conversa Com conexão x Sem conexão Diminuir overhead (Ex: rlogin) REDES TCP / IP LINUX NAS REDES Para que serve o que foi visto até agora? 4

5 LINUX NAS REDES LINUX NAS REDES LINUX NAS REDES IBM, HP e outros: Servidores de uso geral; Clusters; Soluções de armazenamento; Etc Mais sobre REDES TCP / IP INTERFACES DE REDE: Interface abstrata onde o hardware é acessado; Cada dispositivo de rede deve ter uma interface associada; Ex: eth0, eth1, ppp0, ppp1, fddi0, fddi1 Oferece um mesmo conjunto de operações para todos os tipos de hardware (enviar e receber pacotes) Mais sobre REDES TCP / IP INTERFACES DE REDE: Mais sobre REDES TCP / IP Endereços IP: Cada máquina da rede deve ter um (ÚNICO); Um número de 32 bits dividido em 4 octetos; Ex: Tem duas partes: Endereço da rede; Endereço do host 5

6 Mais sobre REDES TCP / IP Endereços IP: Estão organizados em classes Mais sobre REDES TCP / IP Endereços IP: Estão organizados em classes Mais sobre REDES TCP / IP Endereços IP: Estão organizados em classes Mais sobre REDES TCP / IP RESOLUÇÃO DE ENDEREÇOS: Address Resolution Protocol Quem é Quem? BROADCAST Mais sobre REDES TCP / IP TABELA ARP: Address Resolution Protocol Mais sobre REDES TCP / IP ROTEAMENTO IP: PACOTES: Origem X Destino 6

7 Mais sobre REDES TCP / IP ROTEAMENTO IP: Endereço IP Mais sobre REDES TCP / IP ROTEAMENTO IP: Redes IP Origem X Destino: Cidade, rua, número - Identificar unicamente uma rede; - Identificar unicamente cada host de uma rede Mais sobre REDES TCP / IP ROTEAMENTO IP: Origem X Destino Mais sobre REDES TCP / IP ROTEAMENTO IP: Origem X Destino Mais sobre REDES TCP / IP ROTEAMENTO IP: SUBREDES - Estende o conceito de divisão de redes; Mais sobre REDES TCP / IP ROTEAMENTO IP: SUBREDES Subrede de classe B - Usa parte do HostID para indentificar a subrede 7

8 Mais sobre REDES TCP / IP ROTEAMENTO IP: SUBREDES Mais sobre REDES TCP / IP ROTEAMENTO IP: SUBREDES Divisão do HostID Subnet Mask Endereço IP classe B: Máscara: Quantos / quais bit s do HostID serão usados para identificar a subrede Subrede Subrede Subrede 5 host 17 Mais sobre REDES TCP / IP ROTEAMENTO IP: SUBREDES Mais sobre REDES TCP / IP ROTEAMENTO IP: SUBREDES Endereço IP classe C: Máscara: A máscara e os bits UM OCTETO Subrede Subrede Subrede Mais sobre REDES TCP / IP ROTEAMENTO IP: SUBREDES Juntando tudo: Rede : Primeiro Host : Último Host : Broadcast : Mais sobre REDES TCP / IP ROTEAMENTO IP: GATEWAYS / ROUTERS -Um host só consegue falar com outro que esteja na mesma rede Rede : Primeiro Host : Último Host : Broadcast : Rede : Primeiro Host : Último Host : Broadcast : Um gateway/router está conectado a duas ou mais redes ao mesmo tempo 8

9 Mais sobre REDES TCP / IP ROTEAMENTO IP: GATEWAYS / ROUTERS Mais sobre REDES TCP / IP ROTEAMENTO IP: GATEWAYS / ROUTERS sophus: a configuração das interfaces Interface eth0 fddi0 lo Endereço IP Máscara Mais sobre REDES TCP / IP ROTEAMENTO IP: GATEWAYS / ROUTERS CONFIGURAÇÃO: O início sophus: uma tabela de rotas Rede Máscara Gateway Interface fddi0 fddi0 fddi0 eth0 fddi0 fddi0 CONFIGURANDO UMA MÁQUINA NA REDE O básico necessário CONFIGURAÇÃO: O início Antes de tudo: o óbvio O kernel tem suporte à rede? Módulos(drivers) dos dispositivos carregados? ou Drivers compilados junto com o kernel? Todas as ferramentas do SO instaladas? CONFIGURAÇÃO: O início /proc - A fonte de informação - Contém informações sobre o estado do sistema e processos - Pseudo file system de informações - Montado no /etc/fstab loadavg, meminfo, etc usam o /proc 9

10 CONFIGURAÇÃO: O início O nome da máquina / host # hostname nomecom CONFIGURAÇÃO: O início O arquivo /etc/hostconf A ordem da procura / tradução de nomes order hosts /etc/hostname CONFIGURAÇÃO: O início O arquivo /etc/hosts Resolução de nomes sem DNS # # Hosts file for Virtual Brewery/Virtual Winery # # IP FQDN aliases # localhost # vlagervbrewcom vlager vlagerif vstoutvbrewcom vstout valevbrewcom vale # vlager-if vbeaujolaisvbrewcom vbeaujolais vbardolinovbrewcom vbardolino vchianti vbrew com vchianti CONFIGURAÇÃO: O início O arquivo /etc/networks O mapa das redes # /etc/networks for the Virtual Brewery brew-net wine-net CONFIGURAÇÃO: O início O endereço IP # ifconfig interface endereço-ip # ifconfig lo # ifconfig eth0 vstout netmask vem de /etc/hosts CONFIGURAÇÃO: O início As rotas # route add # route add -net # route add brew-net # route add wine-net gw vlager # route add default gw vlager

11 CONFIGURAÇÃO: O início IPs e rotas no Gateway CONFIGURAÇÃO: O início Mostrando configuração: ifconfig # ifconfig eth0 vlager-if1 # route add brew-net # ifconfig eth1 vlager-if2 # route add wine-net # ifconfig eth0 eth0 Link encap 10Mbps Ethernet HWaddr 00:00:C0:90:B3:42 inet addr Bcast Mask UP BROADCAST RUNNING MTU 1500 Metric 0 RX packets 3136 errors 217 dropped 7 overrun 26 TX packets 1752 errors 25 dropped 0 overrun 0 CONFIGURAÇÃO: O início Mostrando a tabela de rotas # netstat -nr Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface * UH lo * U eth UG eth0 # route -n DNS Domain Name System Um meio de tornar informações sobre hosts disponíveis para um amplo acesso de forma padronizada - Mapa: IP nome do host; - Comentários sobre hosts; - Qual host transporta ; - 11

12 Um Banco de Dados distribuído com uma hierarquia bem definida Domínios pelo mundo (Top-level) BIND Berkeley Internet Name Domain Como acontece Escrito originalmente para o Berkeley's 43 BSD Unix Atualmente mantido pelo Internet Software Consortium Configurando o BIND: Arquivos envolvidos /etc/hostconf /etc/resolvconf /etc/namedconf /var/named/rootcache ou roothints /var/named/zona-dominiolocal /var/named/zona-dominioxxx /var/named/zona-dominiorev Configurando o BIND: Arquivos envolvidos # /etc/hostconf # order hosts, bind Definido no /etc/namedconf 12

13 Configurando o BIND: Arquivos envolvidos # /etc/resolvconf # search seu-dominiocom nameserver ip-do-servidor-dns Configurando o BIND: /etc/namedconf options { }; zone "" { type hint; file "rootcache"; }; directory /var/named Servidores DNS raiz ou roothints Configurando o BIND: /etc/namedconf zone "00127in-addrarpa" in { type master; file seu-dominiolocal"; }; O domínio Configurando o BIND: /etc/namedconf zone "dominioxx" in { type master; file dominioxx"; }; O seu domínio Configurando o BIND: /etc/namedconf Endereço da rede invertido zone xxxxin-addrarpa" { type master; file dominiorev"; }; A zona reversa Configurando o BIND: rootcache 6D IN NS GROOT-SERVERSNET 6D IN NS JROOT-SERVERSNET 6D IN NS KROOT-SERVERSNET 6D IN NS LROOT-SERVERSNET 6D IN NS MROOT-SERVERSNET 6D IN NS AROOT-SERVERSNET 6D IN NS HROOT-SERVERSNET 6D IN NS BROOT-SERVERSNET GROOT-SERVERSNET 5w6d16h IN A JROOT-SERVERSNET 5w6d16h IN A KROOT-SERVERSNET 5w6d16h IN A LROOT-SERVERSNET 5w6d16h IN A MROOT-SERVERSNET 5w6d16h IN A AROOT-SERVERSNET 5w6d16h IN A HROOT-SERVERSNET 5w6d16h IN A BROOT-SERVERSNET 5w6d16h IN A Deve ser atualizado periodicamente 13

14 Configurando o BIND: rootcache Atualizando: ns > rootcachenew ou ns > roothintsnew Configurando o BIND: seu-dominiolocal IN SOA nsacmecombr adminacmecombr ( 1 ; Serial 8H ; Atualização 2H ; Tentativas 1W ; Expiração 1D); TTL mínimo NS nsacmecombr 1 PTR localhost Configurando o BIND: seu-dominioxx acmecombr ; ; Arquivo zona para acmecombr IN SOA nsacmecombr adminacmecombr ( ; serial, data de hoje + serial de hoje # 8H ; Atualização 2H ; Tentativa 1W ; Expiração 1D ) ; TTL, segundos ; NS nsacmecombr ; Servidor DNS MX 10 mailacmecombr ; Serv de Correio Primário MX 20 mail2acmecombr ; Serv de Correio Secundário ; localhost A ns A A Configurando o BIND: seu-dominiorev IN SOA nsacmecombr Adminacmecombr ( ; NroSerial, data + nro série 8H ; Atualizar 2H ; Tentativas 1W ; Expiração 1D) ; TTL mínimo ; NS nsacmecombr ; 1 PTR gwacmecombr 2 PTR nsacmecombr 3 PTR wwwacmecombr 4 PTR mailacmecombr 5 PTR mail2acmecombr Sobre os RRs: Resource Recods SOA A NS CNAME PTR MX HINFO TXT - Start Of Authority - Associa IP com hostname - Especifica os servidores de DNS - Apelido para o hostname - Mapeamento reverso - Servidor de correio - Informações sobre o equipamento - Um texto informativo (curto) CONFIGURAÇÃO: Serviços (DHCP) DHCP Dynamic Host Configuration Protocol 14

15 CONFIGURAÇÃO: Serviços (DHCP) DHCP Dynamic Host Configuration Protocol Controle centralizado dos parâmetros essenciais de configuração de rede CONFIGURAÇÃO: Serviços (DHCP) DHCP O processo O cliente procura por um servidor DHCP na rede Sempre responde Não importa quem requisitou??? CONFIGURAÇÃO: Serviços (DHCP) DHCP O processo Servidor responde e oferece configuração CONFIGURAÇÃO: Serviços (DHCP) DHCP O processo Cliente pede as configurações DHCP DHCP (IP?) CONFIGURAÇÃO: Serviços (DHCP) DHCP O processo CONFIGURAÇÃO: Serviços (DHCP) DHCP O processo Servidor envia configurações Quando o fim do tempo de aluguel está próximo Cliente pede para renovar o aluguel IP,mask,DNS DHCP 15

16 CONFIGURAÇÃO: Serviços (DHCP) DHCP O processo CONFIGURAÇÃO: Serviços (DHCP) DHCP O processo Servidor aceita renovação Quando o cliente termina seu tempo de trabalho Cliente libera o IP que foi alugado DHCP DHCP CONFIGURAÇÃO: Serviços (DHCP) DHCP Configuração básica do servidor # /etc/dhcpdconf default-lease-time 600; max-lease-time 7200; option subnet-mask ; option broadcast-address ; option routers ; option domain-name-servers ; option domain-name acmecombr"; subnet netmask { range ; range ; } CONFIGURAÇÃO: Serviços (DHCP) DHCP Configuração básica do servidor Fixando um IP para uma placa de rede # /etc/dhcpdconf host pernalonga { hardware ethernet 08:00:2b:4c:59:23; fixed-address ; } Tem mais detalhes do que se imagina inicialmente O que é? Uma máquina confiável que fica entre a rede privada e a rede pública 894 Páginas 16

17 Existem vários tipos de configuração É preciso proteção O que se tenta proteger? 2 tipos comuns Dados Sigilo, Integridade, Disponibilidade Recursos Computadores Reputação Sua Identidade IP Filtering As ferramentas e a evolução do Kernel ipfwadm Kernel 20 ipchains Kernel 22 iptables (Netfilter) Kernel 24 Condição inicial: Kernel configurado Networking options ---> [*] Network packet filtering (replaces ipchains) IP: Netfilter Configuration ---> <M> Userspace queueing via NETLINK (EXPERIMENTAL) <M> IP tables support (required for filtering/masq/nat) <M> limit match support <M> MAC address match support <M> netfilter MARK match support <M> Multiple port match support <M> TOS match support <M> Connection state match support <M> Unclean match support (EXPERIMENTAL) <M> Owner match support (EXPERIMENTAL) <M> Packet filtering <M> REJECT target support <M> MIRROR target support (EXPERIMENTAL) <M> Packet mangling <M> TOS target support <M> MARK target support <M> LOG target support <M> ipchains (22-style) support <M> ipfwadm (20-style) support Iptables: Exemplos de utilização #!/bin/sh # # Um script simples de firewall # WHITELIST=/usr/local/etc/whitelisttxt BLACKLIST=/usr/local/etc/blacklisttxt PERMITIDOS= # Limpa todas as regras existentes # iptables F 17

18 Iptables: Exemplos de utilização Iptables: Exemplos de utilização (continuação) # Aceita todo o trafego dos hosts e redes em $WHITELIST # for x in `grep v# $WHITELIST awk {print $1} `; do echo Autorizando $x iptables A INPUT t filter s $x j ACCEPT done (continuação) # Bloqueia todo o trafego dos hosts e redes em $WHITELIST # for x in `grep v# $BLACKLIST awk {print $1} `; do echo Bloqueando $x iptables A INPUT t filter s $x j DROP done IP Masquerade e Network Address Translation Iptables: IP Masquerade Exemplos e de utilização Network Address Translation Com a ajuda do iptables: echo 1 > /proc/sys/net/ipv4/ip_forward iptables t nat A POSTROUTING o eth0 j MASQUERADE Iptables: sintaxe geral Outras implementações iptables comando regra extensão 18

19 Outras implementações Outras implementações Outras implementações CONFIGURAÇÃO: Serviços (NFS) NFS Network File System CONFIGURAÇÃO: Serviços (NFS) NFS Acesso remoto a sistemas de arquivo de outros hosts de forma transparente utilizando RPC (compartilhar) CONFIGURAÇÃO: Serviços (NFS) NFS: Preparativos (no servidor) Ativar os daemons: /usr/sbin/rpcmountd /usr/sbin/rpcnfsd 19

20 CONFIGURAÇÃO: Serviços (NFS) NFS: Preparativos (no servidor) CONFIGURAÇÃO: Serviços (NFS) NFS: No host cliente /etc/exports # /etc/exports em pernalonga /home host1(rw) host2(rw) host3(rw) /usr/x11r6 host1(ro) host2(ro) host3(ro) /usr/tex host1(ro) host2(ro) host3(ro) / host1(rw) /home/ftp (ro) mount t nfs pernalonga:/home /home CONFIGURAÇÃO: Serviços (NIS) NIS Network Information System CONFIGURAÇÃO: Serviços (NIS) NIS: Uma forma de centralizar informações: - Rede; -Usuários; - Grupos; - Serviços; - Protocolos Ganho de mobilidade CONFIGURAÇÃO: Serviços (NIS) Preparando um servidor: Definir o nome do domínio CONFIGURAÇÃO: Serviços (NIS) Preparando um servidor: No diretório /var/yp # Arquivo: /etc/defaultdomain meu-dominio # nisdomainname # make O Makefile define os mapas que serão criados Veja a regra all: 20

21 CONFIGURAÇÃO: Serviços (NIS) Preparando um servidor: Executar o daemon # /usr/sbin/ypserv CONFIGURAÇÃO: Serviços (NIS) Preparando um cliente: Definir o nome do domínio # Arquivo: /etc/defaultdomain meu-dominio # nisdomainname CONFIGURAÇÃO: Serviços (NIS) Preparando um cliente: No arquivo /etc/ypconf CONFIGURAÇÃO: Serviços (NIS) Preparando um cliente: No arquivo /etc/nsswitchconf domain meu-dominio server meu-servidor hosts: nis dns files services: files nis passwd: nis files group: nis files CONFIGURAÇÃO: Serviços (NIS) Preparando um cliente: No arquivo /etc/passwd Acrescentar na última linha: CONFIGURAÇÃO: Serviços (NIS) Preparando um cliente: No arquivo /etc/group Acrescentar na última linha: +:::::: Variações: +fulano::::::/bin/outro -beltrano:::::: +::: 21

22 CONFIGURAÇÃO: Serviços (NIS) Preparando um cliente: No arquivo /etc/shadow Acrescentar na última linha: +:::::::: CONFIGURAÇÃO: Serviços (NIS) Preparando um cliente: Executar o bind # /usr/sbin/ypbind -broadcast SAMBA SERVER MESSAGE BLOCK 600 Páginas O que é? Uma implementação do protocolo SMB que permite: - Compartilhamento de diretórios e arquivos; - Compartilhamento de impressoras; - Visualização(browsing) da rede; - Autenticação de clientes (Domínio Windows); - Windows Internet Name Service (WINS) No mundo NetBIOS: Obtendo um nome 22

23 No mundo NetBIOS: Resolvendo nomes Configurando Ativando o Samba Web Administration Tool (SWAT) Incluir no /etc/services : swat 901/tcp Configurando Ativando o Samba Web Administration Tool (SWAT) Incluir no /etc/inetdconf : swat stream tcp nowait root /usr/local/samba/bin/swat swat Configurando Ativando o Samba Web Administration Tool (SWAT) Reinicie o inetd # /bin/kill -HUP -a inetd ou # killall -HUP inetd Configurando O mais simples arquivo de configuração: /usr/local/samba/lib/smbconf [global] workgroup = LINUX [teste] comment = Estamos testando path = /usr/local/samba/tmp read only = no guest ok = yes Tem que existir e ter os atributos adequados: # mkdir /usr/local/samba/tmp # chmod 777 /usr/local/samba/tmp Configurando Utilizando o SWAT: Aponte o navegador para: 23

24 Configurando Utilizando o SWAT: Configurando Utilizando o SWAT: Configurando Iniciando o serviço: Configurando Iniciando o serviço: # /usr/local/samba/bin/smbd -D # /usr/local/samba/bin/nmbd -D Configurando: Primary Domain Controller [global] %L = Servidor netbios name = servidor %u = User name workgroup = LINUX encrypt passwords = yes %m = NetBIOS name domain master = yes local master = yes preferred master = yes os level = 65 security = user domain logons = yes logon path = \\%L\profiles\%u\%m logon script = logonbat logon drive = H: logon home = \\%L\%u\win_profile\%m time server = yes domain admin group = root fulano Configurando: Primary Domain Controller [netlogon] path = /usr/local/samba/lib/netlogon writable = no browsable = no [profiles] path = /home/samba-ntprof browsable = no writable = yes create mask = 0600 directory mask = 0700 [homes] read only = no browsable = no guest ok = no map archive = yes Criar estes compartilhamentos 24

25 Configurando: Primary Domain Controller Criar os diretórios e ajustar as permissões Mais sobre Samba: # mkdir /usr/local/samba/lib/netlogon # chmod 775 /usr/local/samba/lib/netlogon # mkdir /home/samba-ntprof # chmod 777 /home/samba-ntprof APACHE Web Server APACHE Web Server O servidor web mais utilizado no mundo 588 Páginas Agosto 1995 Novembro 2006 Fonte: wwwnetcraftcom APACHE Web Server O que um servidor web faz? URL APACHE Web Server A estrutura de diretórios conf htdocs ou /etc/apache Programa Arquivo logs cgi-bin 25

26 APACHE Web Server Examinando o httpdconf APACHE Web Server Pequenas dicas de performance: Certifique-se de que a máquina tem memória suficiente para rodar todas as instâncias que você deseja MEMÓRIA = Tamanho de cada processo X MaxClients OBS: Utilizaremos o arquivo exemplo de configuração fornecido Não incluiremos nos slides APACHE Web Server Pequenas dicas de performance: Evitar DNS lookups de endereços de clientes Pode ser um processo muito demorado HostNameLookups Off APACHE Web Server Pequenas dicas de performance: Faça cache dos arquivos mais solicitados Ativar mod_mmap_static ou mod_file_cache MMapFile /www/htdocs/indexhtml MMapFile /www/htdocs/outrahtml APACHE Web Server Pequenas dicas de performance: E APACHE Web Server Mais sobre Apache: - Otimizar links simbólicos; - Desabilitar negociação de conteúdo; - Carregar o que for cgi como módulo 26

27 CONSIDERAÇÕES SOBRE UM SERVIDOR CONSIDERAÇÕES SOBRE UM SERVIDOR Algumas considerações ao montar um servidor: Desligue os serviços não utilizados /etc/inetdconf CONSIDERAÇÕES SOBRE UM SERVIDOR CONSIDERAÇÕES SOBRE UM SERVIDOR Prefira o sudo Evite a conta root Mantenha o kernel enxuto Retire o que não for utilizado Boot rápido e estabilidade CONSIDERAÇÕES SOBRE UM SERVIDOR CONSIDERAÇÕES SOBRE UM SERVIDOR Faça uma sintonia fina nos discos IDE hdparm Mantenha o sistema atualizado Tire proveito de RCS, CVS 27

28 CONSIDERAÇÕES SOBRE UM SERVIDOR CONSIDERAÇÕES SOBRE UM SERVIDOR Mantenha cópias Tire proveito de Pax, rsync, tar, cpio Monitore seu sistema ps, watch, netstat, lsof, top, ngrep, nmap, ntop 28