MANUAL DE NOÇÕES DE ADMINISTRAÇÃO DE REDES DE DADOS

Transcrição

1 MANUAL DE NOÇÕES DE ADMINISTRAÇÃO DE REDES DE DADOS

2 Qualidade Nome do documento: Noções de Administração de Redes de Dados Versão: 1.00 Nome do ficheiro: Manual AGR.doc Responsável pelo documento: Luís Manuel da Silva Barrona Revisor: José Manuel Castro Ribeiro Autor: Luís Manuel da Silva Barrona Copyright: Comentários: Historial de documento Versão Data Responsável Principais alterações Luís Barrona Criação do documento versão 1.00 Manual de Noções de Administração de Redes de Dados pág. Nº 2

3 Índice Introdução Definição de políticas e requisitos da organização O Modelo da organização Bases de dados A implementação digital do Sistema de Informação Questionário final do capítulo Planeamento, instalação e manutenção de uma intranet O que é uma INTRANET? Planeamento de uma Intranet Instalação e manutenção de uma Intranet Questionário final do capítulo Definição de perfis de utilização e níveis de segurança Caracterização dos serviços comuns ao domínio Domínio Organizational Units, (OU s) Utilizadores Pastas partilhadas (Shared Folders) Grupos Computadores Definição da política de acesso à informação Atribuição de User Login Names Criação de Roaming Profiles Questionário final do capítulo Planificação e Gestão de Domínios. Serviços fundamentais O Conceito de DNS (Domain Name System) DHCP - Dinamic Host Configuration Protocol O RARP O BOOTP DHCP Gestão de Acessos a recursos da Active Directory Questionário final do capítulo Monitorização da rede A monitorização de uma rede O protocolo SNMP como standard na Monitorização de redes Funcionamento básico O Agente SNMP Gestores SNMP Operações do Protocolo Management Information Base (MIB) Segurança no Protocolo SNMP Limitações do SNMP Manual de Noções de Administração de Redes de Dados pág. Nº 3

4 5.3. Questionário de final do Capítulo Políticas de backup, redundância e fiabilidade A segurança da informação O Backup e o Restore Tipos de Backups Suportes de backup Serviços de backup e recuperação de dados Questionário final do capítulo Gestão de redes com ferramentas centralizadas O problema da gestão de uma rede O GFI Languard-NSS Requisitos do sistema Preparação dos postos remotos na rede A Instalação do GFI LANGUARD NSS Utilização do GFI LANGUARD Vulnerabilidades Password POLICY SETTINGS REGISTRY SETTINGS OPEN PORTS Configuração do GFI LANGUARD Instalação remota de software Questionário de final do Capítulo Gestão remota de Sistemas e Aplicações O Epolice Orchestrator Conceitos e Instalação do EPO Operação e Gestão do EPO O Windows Server Update Services (Wsus) Conceitos e instalação do WSUS Configuração e Gestão do WSUS Questionário final do capítulo Políticas de licenciamento, suporte e manutenção A questão do licenciamento de software Software Freeware Software com Licenciamento Shareware Software com Licenciamento genérico Software pré-instalado em computadores novos (software OEM) Licenciamento em grandes volumes para organizações Outros tipos de licenciamento Questionário de final de Capítulo Estruturas de Apoio aos Utilizadores (Help-Desk) O Help-desk (Apoio aos utilizadores) O Conceito de Help-desk Actividades de Help-desk Níveis de Help-desk Manual de Noções de Administração de Redes de Dados pág. Nº 4

5 Escalonamento de incidentes Questionário final do capítulo Bibliografia Manual de Noções de Administração de Redes de Dados pág. Nº 5

6 Introdução A Informação transformou a nossa Sociedade. A necessidade de deter e partilhar informação, transformou-se na principal actividade nos tempos que correm. A informação está em todo o lado e facilmente se recolhe, trata e organiza. Filtra-se e cruza-se informação para os mais variados fins. É por isso, bastante importante recolher e gerir dados, para que se possa produzir informação crítica para decisões que podem mudar a forma de estar do Estado, das empresas e dos particulares. A gestão da informação numa organização passou por ser primeiramente uma tarefa da área financeira, resumindo-se inicialmente a processamento de salários e contabilidade empresarial. Só mais recentemente se passou a encarar a informação como um todo, que articuladamente interage com todas as áreas da empresa ou organização, Nesta altura a gestão da informação passou a ser uma preocupação da Administração de topo das organizações, sendo fundamental para as suas decisões estratégicas. As matérias abordadas neste manual destinam-se a fornecer aos leitores, os conceitos básicos que permitam o planeamento e instalação de uma rede informática, bem como a sua gestão e monitorização, quer da rede propriamente dita, quer dos vários sistemas que ela suporta. A utilização deste tipo de sistemas é extremamente importante nos dias que correm pois só uma gestão e manutenção cuidada e atenta permitirá o funcionamento seguro, fiável e eficiente de todo o sistema de informação da organização em que se insere. Pretende-se ainda, através de um método de instalação e configuração passo a passo, familiarizar o leitor para a execução das tarefas mais usuais com o software de gestão de redes, dos serviços mais generalizados e das aplicações mais comercializadas. Manual de Noções de Administração de Redes de Dados pág. Nº 6

7 1. Definição de políticas e requisitos da organização Objectivos do Capitulo: No final do capítulo o leitor deverá ser capaz de explicar o que é um sistema de informação e os métodos para desenhar um sistema informático, baseado no levantamento das suas componentes de processos e tecnologias. Manual de Noções de Administração de Redes de Dados pág. Nº 7

8 1.1. O Modelo da organização Definição do Sistema de Informação (SI) Um sistema de informação pode ser definido como um conjunto interrelacionado de componentes capazes de recolher, armazenar, processar e disponibilizar informação, com o propósito de apoiar o planeamento, a coordenação, a análise e a tomada de decisão. Os Sistemas de informação para a Gestão baseiam-se no estudo, desenvolvimento e uso de sistemas de informação efectivos nas organizações que conduzam ao normalizar (standardizar) de processos e fluxos de informação. Embora em termos teóricos um sistema de informação possa ser implementado de um modo puramente manual, esta possibilidade torna-se cada vez menos praticável tendo em conta o aumento da concorrência entre empresas num mercado cada vez mais global, mesmo para organizações de dimensões relativamente reduzidas. Nesta abordagem, o conceito de sistema de informação será sinónimo de Sistema de Informação Automatizado, baseado ou suportado por Tecnologias de Informação e Comunicação, ou seja um sistema informático, no sentido de que já possui as componentes de processos, e tecnologias interligados. Os sistemas de informação podem ser subdivididos, tendo em conta a sua perspectiva: Individuais: Facilitam e aumentam a produtividade de um indivíduo. De grupos de trabalho: Facilitam e aumentam a produtividade de um grupo de trabalho com a mesma perspectiva. Empresariais: Facilitam e aumentam a produtividade dos vários grupos de trabalho. Integram as actividades dos vários departamentos. Os equipamentos informáticos e o uso das tecnologias de informação e comunicação são as ferramentas para implementar os sistemas de informação. Mas, antes da sua implementação, é normalmente necessário traduzir o modo como o fluxo da informação e os processos funcionam. Para essa finalidade são chamados os analistas, que executam a análise funcional e orgânica do sistema de informação tal como existe (manual), ou seja fazem o levantamento dos processos. Com o auxílio de ferramentas de software específicas vão fazendo o levantamento desse sistema de informação, apoiando-se em entrevistas com as pessoas chave de cada sector de actividade da empresa e na leitura de todos os documentos, normas de funcionamento, modos de comunicação dentro da empresa, etc. O resultado do trabalho desta equipe de analistas é então entregue aos programadores que se encarregam de desenhar a interface, aplicações informáticas que irão fazer a gestão do sistema de informação. É ainda a equipe de analistas que deve definir os requisitos da infra- Manual de Noções de Administração de Redes de Dados pág. Nº 8

9 estrutura tecnológica, (equipamentos e comunicações) que suportarão todo o sistema de informação automatizado. Este conjunto completo designa-se por sistema informático. Os sistemas informáticos ajudam a resolver alguns problemas de recolha, do processamento, do armazenamento, da disponibilização e consulta da informação. Por isso os sistemas de informação automatizados conjugam a tecnologia e os procedimentos organizacionais, as práticas e as políticas, manipulando, gerando e gerindo informação. Um sistema informático sem pessoas e sem procedimentos não traduz um sistema de informação na realidade. O enfoque deve passar pela análise dos problemas da organização (aprendizagem organizacional), considerando a forma mais eficaz de melhorar as organizações em função dos seus objectivos, usando as tecnologias de informação. Como elementos fundamentais dum sistema informático, podemos considerar desde logo a tecnologia associada a esse sistema, Hardware, Software, Telecomunicações, bem como os dados e a informação que esse sistema pode guardar e produzir. Manual de Noções de Administração de Redes de Dados pág. Nº 9

10 Elementos chave para o desenho de um sistema de informação: Factos/Observações em bruto e tratados da realidade da Organização. Objectivos estratégicos da Organização. Evolução da organização ao longo dos anos. Os recursos Humanos da Organização. As suas funções. O Organograma. Estruturas de colaboradores/operadores e utilizadores internos e externos à organização. Procedimentos. Estudo do fluxo da informação na Organização. Instruções para a transformação dos dados em informação e sua utilização. Instruções de operação para os operadores. Instruções para os utilizadores. Os sistemas de informação proporcionam: Informações para a tomada de decisões; Informações que ajudam as actividades vulgares, diárias; Informações pertinentes para o funcionamento da organização. Podemos sintetizar o trabalho de um analista nos seguintes pontos: Define que tipo de informação é necessário; Participa no projecto da arquitectura de informação (sistemas de informação); Sabe como e onde obter essa informação. (acesso às fontes de informação); Sabe como usar a tecnologia da informação para conseguir organizações competitivas e eficientes; Sugere novos usos para os sistemas de informação; Administra os recursos de informação; Considera as responsabilidades éticas do trabalho com Informação (princípios legais e sociais); Gere e controla a influência dos sistemas de informação nas pessoas (empregados, clientes, fornecedores); Factores determinantes para o aparecimento de um Sistema de Informação: Automatização - complexidade das tarefas Necessidade do aumento da capacidade de conhecimento Globalização da economia Tecnologias de informação Manual de Noções de Administração de Redes de Dados pág. Nº 10

11 Infra-estrutura Tecnológica A infra-estrutura tecnológica define-se como sendo o suporte físico de todo o sistema de informação da Organização. É constituída pela cablagem que interliga os equipamentos que constituem o Hardware de rede, pelos equipamentos de routeamento e comutação da rede e por todos os equipamentos servidores, estações de trabalho, impressoras, etc. Manual de Noções de Administração de Redes de Dados pág. Nº 11

12 1.2. Os processos e os fluxos de informação na organização O modo como se recolhe, gere e utiliza a informação irá determinar se se ganha ou perde. Há cada vez mais concorrência. Há cada vez mais informação acessível a respeito do negócio, dos parceiros e do mercado. O que hoje em dia a maior parte das empresas está a fazer em matéria de gestão da informação era extremamente dispendiosa se o pensasse há duas ou três décadas atrás. As ferramentas e os meios necessários para colectar, armazenar e processar a informação, e principalmente para a difundir ou disponibilizar, ainda não se encontravam acessíveis tal como as temos agora. No início do século XXI, as tecnologias existentes fornecem-nos métodos simples para a obtenção e partilha de informações, sejam sob a forma de números, texto, som e/ou imagem, pois facilmente os podemos armazenar, digitalizar e manusear. Para alem da disponibilização da tecnologia, temos também a sua standardização, que permite a ligação e o correcto funcionamento de sistemas com hardware e software de várias origens. Mas, até se chegar à implementação de processos digitais que possam resolver problemas das organizações, há que fazer previamente uma análise detalhada de todos os processos da organização e dos fluxos da informação nesses processos. Durante esta análise funcional, são medidos todos esses processos e eventualmente corrigidos, para que melhor se execute a circulação da informação na organização. Esse trabalho dá origem a um documento final que constitui o projecto de Sistema de Informação dessa organização. Este documento final pode ser implementado de uma forma manual, sem recurso a Tecnologias de Informação e Comunicação, ou, na grande maioria dos casos, na sua implementação fazendo apelo às Tecnologias de Informação e Comunicação (TIC), ou seja, passando esses processos à forma digital. Passado o trabalho dos analistas funcionais para os analistas orgânicos, estes últimos vão traduzir para uma arquitectura de dados em forma de bases de dados digitais, todas as entidades, (objectos identificados como fazendo parte do sistema de informação), as suas relações e as características de cada entidade que são relevantes para a descrição completa dessa entidade ou objecto. Manual de Noções de Administração de Redes de Dados pág. Nº 12

13 1.3. Bases de dados Uma base de dados é um conjunto estruturado de dados relacionados sobre um ou mais temas. No dia-a-dia, utilizam-se com frequência bases de dados sem que por vezes associemos tal facto ao conceito. Como exemplos simples de bases de dados temos a: Lista telefónica; Um horário de Comboios; Um livro de endereços; Um ficheiro com informações sobre clientes. As bases de dados são compostas por tabelas, em que cada tabela corresponde a um objecto ou a uma relação entre objectos. Uma tabela é constituída por linhas que se designam por registos e que correspondem a dados de um elemento, por exemplo, numa tabela de clientes em cada linha da tabela existem dados de um único cliente. Uma tabela está também dividida por colunas (corte vertical), em que cada coluna guarda uma característica ou atributo dessa entidade. A título de exemplo, imagine que num determinado contexto foi definido como entidade o objecto artigo, que se trata de um produto produzido ou comercializado por essa organização. Esta entidade, artigo possui uma série de características ou atributos que o descrevem. Faz parte da função do analista, traduzir para o sistema de informação essas características. Deste modo, o analista passa a descrever os principais atributos do artigo, no contexto do sistema de informação específico em que se insere. No caso específico da tabela artigo, podem definir-se os seguintes atributos: Código. Campo que identifica esse artigo, obrigando a que não haja repetição no seu valor em toda a base de dados. Família. Campo que identifica a que grupo de artigos com as mesmas características. Preço de Custo. Valor do artigo. Quantidade em Stock. Quantidade do artigo existente em armazém. Manual de Noções de Administração de Redes de Dados pág. Nº 13

14 O exemplo acima não pretende ser exaustivo no modo de descrever a entidade artigo. Cada atributo dá origem a um campo na tabela. Isto permitirá por exemplo mais tarde obter informação do tipo: Quantos artigos existem em stock com quantidades superiores a 200. Noção de chave No caso acima escolher-se-ia o campo Código como campo chave, ou seja o campo que vai receber conteúdos não repetidos (não podem existir dois artigos com o mesmo código). O campo chave é então um campo que permite procuras rápidas a uma base de dados. As bases de dados, em formato digital, permitem a execução das mesmas tarefas que aquelas que são criadas sem recurso ao computador, e apresentam entre outras as seguintes vantagens: 1. Maior velocidade; 2. Fácil utilização; 3. Capacidade de armazenamento de uma grande quantidade de dados; 4. Fácil introdução, modificação e edição de dados; 5. Fácil procura e selecção dos dados; 6. Possibilidade de obtenção fácil de informação; 7. Possibilidade de partilha, importação e exportação de informação; 8. A redução do número de cópias da mesma informação elimina o problema de manter várias cópias da mesma base de dados actualizadas e em conformidade umas com as outras. Manual de Noções de Administração de Redes de Dados pág. Nº 14

15 1.4. A implementação digital do Sistema de Informação Passada a fase de elaboração da análise orgânica, vem a fase de implementação, em que se escolhem as ferramentas de gestão das bases de dados (SGBD), automatização de processos, como por exemplo a implementação de serviços de correio electrónico, entre outros. De uma forma sintética, podemos resumir alguns passos para a implementação digital de um SI: 1. Insistência no fluxo de comunicação através de toda a organização por intermédio de Estudo dos dados de produção e produtividade, de forma a encontrar meios para melhorar processos e fluxos. 3. Conversão gradual de todos os procedimentos manuais utilizando o papel, para procedimentos utilizando TIC, diminuindo a burocracia e os engarrafamentos administrativos. 4. Utilização da comunicação para redefinir a natureza do negócio, chegar mais longe e de uma forma mais clara. As empresas de êxito no futuro serão as que utilizarem ferramentas digitais para reinventarem o seu modo de actuar no mercado em que se inserem. Essas empresas tomarão decisões rapidamente, actuarão de uma maneira eficiente e contactarão directamente com os seus parceiros de negócio. A passagem para o ambiente digital irá colocá-los na vanguarda na forma de fazer negócio. Por fim, escolhem-se as plataformas de hardware que suportarão todo este sistema. De facto, ao contrário do que normalmente acontece, a escolha dos servidores, estações de trabalho e demais equipamento deverão ser o último dos passos na construção de um sistema de informação. Esta escolha só deve ser feita quando se tiver uma ideia precisa do espaço ocupado pela informação, a taxa de crescimento desta e o peso do processamento local e central. Manual de Noções de Administração de Redes de Dados pág. Nº 15

16 1.5. Questionário final do capítulo 1 1. Comente a seguinte frase: O sistema de informação de uma organização depende da vontade da administração de topo 2. Qual o papel dos analistas no desenho do Sistema de Informação? 3. Em sua opinião, em que fase devem ser propostas as plataformas tecnológicas para implementar o Sistema de Informação? 4. Imagine-se no papel de um analista, ao qual foi dada a responsabilidade de fazer o levantamento do sistema de informação de uma empresa embaladora de leite. Quais seriam as abordagens que faria ao problema? 5. Considere o seguinte cenário. Uma empresa pretende construir uma base de dados que relacione clientes, fornecedores, produtos, e encomendas. Tente fazer o levantamento e identificar tabelas, e atributos para a construção da base de dados. Manual de Noções de Administração de Redes de Dados pág. Nº 16

17 2. Planeamento, instalação e manutenção de uma intranet Objectivos do Capitulo: No final do capitulo o leitor deverá ser capaz de efectuar um planeamento dos serviços de rede necessários numa dada realidade empresarial e implementar a instalação de uma Intranet nesse ambiente, criando os vários perfis necessários ao normal fluir da informação na Organização. Manual de Noções de Administração de Redes de Dados pág. Nº 17

18 Conceito de rede de computadores Uma rede é um conjunto de sistemas ou objectos ligados entre si. O exemplo mais comum de uma rede é um sistema de ligação telefónica. Uma rede permite que um computador possa comunicar com outros computadores que a ele estejam ligados física ou logicamente. Esta ligação permite a partilha de recursos, dados ou aplicações. Uma rede em que todas as máquinas estão situadas dentro do mesmo espaço físico, mesmo que esse espaço extravase as fronteiras de uma sala ou edifício, denomina-se de rede de área local ou LAN. Caso a rede se encontre dispersa por um espaço geográfico mais vasto, como por exemplo uma cidade designa-se por Metropolitan Área Network ou MAN. Se esta área geográfica se alarga de forma a abranger toda uma dada região então o termo que a caracteriza muda para Wide Área Network WAN. De uma forma geral todos somos utilizadores de uma WAN que é a Internet O que é uma INTRANET? Uma INTRANET é uma rede privada de computadores construída sobre tecnologias Internet, que usa protocolos de comunicações abertos que permitem que todos os computadores e sistemas operativos de vários fabricantes possam funcionar perfeitamente adaptados a outros computadores e sistemas operativos. Enquanto que a Internet é uma rede abrangente, fornecendo um manancial de informação a nível mundial, uma intranet é uma rede que faculta informação mas apenas num determinado contexto (normalmente duma empresa ou organização). Só devem ter acesso à Intranet os membros dessa organização. Hoje em dia o conceito alargou-se com a definição de Extranet, que pode estender privilégios da intranet a parceiros seleccionados, dando-lhes acesso a certas áreas dentro da sua própria intranet, criando deste modo, uma rede segura alargada a membros que não são directamente membros da Organização, (por ex: fornecedores ou clientes). As primeiras organizações a construírem uma intranet não o fizeram para seguir uma estratégia de empresa no sentido estrito da inovação e desenvolvimento, mas sim para resolver problemas e automatizar processos de maneira criativa e sectorial. Claro que, em alguns casos, este movimento em direcção às Intranets aconteceu porque algumas pessoas do departamento de Tecnologias de Informação pesquisavam as ferramentas e descobriram que poderiam fornecer acesso rápido a serviços, aplicações e Manual de Noções de Administração de Redes de Dados pág. Nº 18

19 informação de um modo fácil (conjunto útil de informações comuns à Organização). Além disso, se os utilizadores internos da rede já eram utilizadores da Internet, portanto já tinham assimilado como usar algumas funções básicas do browser, como por exemplo digitar um endereço (escrever um URL). Uma intranet é idêntica a um Website, utiliza protocolos da Internet, mas nem por isso deixa de ser uma rede interna exclusiva da empresa ou organização. A maioria das grandes empresas utiliza intranets. A distribuição da informação é uma tarefa árdua para qualquer empresa com muitos funcionários. As intranets podem facilitar esta tarefa. Mesmo as pequenas empresas possuem problemas de comunicação. A maioria dos funcionários descobre o que se passa na empresa através de conversas informais. No entanto, estas conversas são extremamente importantes no levantamento do sistema de informação, cabendo ao analista perceber o que se deve aproveitar das várias opiniões dos funcionários. Para que uma empresa seja bem sucedida, os seus funcionários devem compreender claramente os objectivos da empresa e o seu papel para atingir esse fim. As discussões relativas aos objectivos a curto prazo e a longo prazo não devem ser limitadas às reuniões entre directores. Todos devem trabalhar para atingir objectivos comuns. Uma intranet é o local ideal para publicar relatórios, memorandos e objectivos. Desta forma, todos possuem as mesmas informações. Uma pequena empresa com poucos funcionários beneficia com uma intranet. Utilizando uma intranet, as pessoas podem trabalhar num ficheiro partilhado, guardar o ficheiro mais recente numa localização central ou trocar um documento para que cada um possa registar um comentário. O mesmo se aplica à utilização de bases de dados. Desta forma, também pouparão espaço no servidor. Pode parecer irrelevante, mas o facto de se possuir diversas versões de vários ficheiros em todos os computadores ocupa um espaço significativo e, pior do que isso, pode degenerar em desorganização pois poderemos perder a noção de qual é a versão do documento mais recente. Antes de instalar a intranet, deve-se ter uma ideia clara sobre os objectivos da sua utilização. Compreender a forma como os funcionários a utilizarão. Por fim, utilize bons princípios de concepção. Antes que seja possível utilizar a intranet, ter-se-á necessidade de dispor de uma equipe para desenvolver e manter os conteúdos. O objectivo é o de fornecer aos funcionários informações continuamente actualizadas. Manual de Noções de Administração de Redes de Dados pág. Nº 19

20 Se a empresa for grande, talvez seja preferível optar por actualizações de conteúdos separadas, por departamentos. Independentemente da sua dimensão, deverá existir uma ideia dos custos associados à tarefa de manter a intranet. Uma intranet pode ser construída para maximizar todas as vantagens e minimizar todas as desvantagens de uma lan ou wan de uma grande Organização. Ela pode combinar o melhor do paradigma de desenvolvimento client/server com o melhor das tecnologias Internet para criar um ambiente computacional fácil de construir, manter, alterar, aprender e utilizar. As organizações adoptam uma INTRANET porque ela é uma ferramenta ágil e competitiva: poderosa o suficiente para economizar tempo, diminuir as desvantagens da distância e melhorar os conhecimentos dos funcionários com conhecimento das operações e produtos da empresa. Uma Intranet necessita de alguns servidores, para organizar e armazenar informação. Dependendo do tamanho da INTRANET e do número de computadores que ela precisa atender, os servidores podem ser dedicados a um único serviço, como mail server, servidor de aplicações, etc; ou estas funções podem ser aglutinadas num único servidor. Serão necessárias algumas ligações de rede (como routers e switches) para ligar os computadores e os vários servidores. A Intranet precisa de alguns softwares alojados na Internet para executar serviços especiais, tais como indexação de informação, pesquisa de bases de dados ou segurança. Esta será uma das áreas de software com maior crescimento, dado que os profissionais de TI concebem todos os dias, maneiras mais rápidas e inteligentes de acesso aos dados. O resultado final da implementação de uma intranet é muito mais do que a melhoria da comunicação dentro da organização, do acesso rápido a informação, utilização de poderosas ferramentas multimédia de aprendizagem online, mais do que produtividade aumentada, ciclos de tempo reduzidos ou escritórios sem papel Planeamento de uma Intranet De seguida indicam-se alguns tópicos a ter em conta na construção de uma Intranet. 1. Aplicações intranet devem ser constituídas em ambiente piloto com um pequeno grupo de teste antes de disponibilizá-las a um público mais amplo, (ambiente de produção). Isto permite testar as tecnologias, identificar os verdadeiros custos de manutenção e obter uma visão realista do período necessário para o retorno do investimento. Manual de Noções de Administração de Redes de Dados pág. Nº 20

21 2. Devem ser determinados os custos envolvidos em comunicações internas e tempo gasto para o fazer, para quantificar a economia de mover estas comunicações para uma intranet. Por exemplo, identifique o custo por cópia, incluindo a distribuição de um documento que é facilmente executado por um servidor interno. 3. Estimule o uso de aplicações intranet com potencial de geração de receita assim como benefícios de economia de custo. Em termos de retorno total sobre o investimento, uma intranet direccionada para melhorar a produtividade e efectividade das vendas de uma empresa é um bom exemplo do bom uso da tecnologia. Manual de Noções de Administração de Redes de Dados pág. Nº 21

22 2.3. Instalação e manutenção de uma Intranet. Na fase de instalação e manutenção de uma intranet, devemos atender a alguns aspectos: Testar a tecnologia inicialmente sem que tal seja do conhecimento generalizado da população alvo. O uso dos serviços disponibilizados deve ser progressivo e adoptado do topo para a base da organização. Tal vai fazer com que o exemplo seja seguido por todos os colaboradores e mais facilmente assimilado; Para o sucesso e viabilidade de implementação, deverá ter muita afinidade com a organização e para isso acontecer, as páginas deveriam ser desenvolvidas e mantidas pela própria organização; Toda a organização deve participar no uso da INTRANET para que ela não venha a ter uma visão parcial da organização; Permitir a utilização de ferramentas conhecidas mesmo para comunicação interna, para toda a instituição demonstrar interesse, Ex.: CHAT; Disponibilizar programas de ajuda ao trabalho do dia-a-dia para instalação da equipe técnica e de utilizadores da rede. Ex. Actualização de antivírus; Publicitar oficialmente a sua utilização crescente bem como todos os novos serviços disponíveis; Criar um ambiente de desenvolvimento e um de produção. Manual de Noções de Administração de Redes de Dados pág. Nº 22

23 2.4. Questionário final do capítulo 2 1. Diga o que entende por Intranet? 2. E Extranet? 3. Que tipo de serviços devem, em sua opinião ser implementados numa Intranet? 4. Aconselha-se a utilização de dois ambientes, um de produção e outro de teste para a implementação de uma Intranet. Dê algumas razões para se proceder dessa forma? 5. Em que medida pode o correio ( ) ser uma ferramenta de estímulo para captar os utilizadores para o uso da Intranet? Manual de Noções de Administração de Redes de Dados pág. Nº 23

24 3. Definição de perfis de utilização e níveis de segurança Objectivos do Capítulo: No final do capitulo o leitor deverá ser capaz de explicar o conceito de site, domínio e de uma forma geral os níveis de segurança implementáveis nestas estruturas. Dominar a instalação, configuração e gestão dos serviços mais importantes numa rede cliente-servidor, que comunica com outras redes. Manual de Noções de Administração de Redes de Dados pág. Nº 24

25 3.1. Caracterização dos serviços comuns ao domínio No estudo dos serviços de gestão de perfis e da segurança associada, utilizar-se-á como referência o sistema operativo Windows Server 2003, para uma mais fácil compreensão e adaptação de conceitos. A Estrutura de uma rede baseada em Windows Server 2003 A Active Directory ou serviço de directório do Windows Server 2003, é um serviço de rede. Este serviço identifica todos os recursos disponíveis numa rede, mantendo informações sobre eles (contas de utilizadores, grupos, computadores, recursos, políticas de segurança etc.) numa base de dados e torna estes recursos disponíveis para utilizadores e aplicações. Um serviço de directório não é mais do que uma base de dados com informações sobre utilizadores, palavras passe (passwords) e outros elementos necessários ao funcionamento de um sistema, quer seja um conjunto de aplicações num Mainframe (computador de grande porte), um grupo de servidores da rede local, o sistema de ou um outro sistema qualquer. Imagine uma empresa onde o utilizador, para realizar o seu trabalho diário, tem que aceder a aplicações e serviços em diferentes plataformas, aplicações cliente/servidor, sistemas de , intranet da empresa, além duma grande variedade de aplicações. O utilizador também precisa de acesso aos recursos básicos da rede, tais como pastas e impressoras partilhadas. Estas aplicações e serviços devem ser integradas num serviço de directórios. Isto significa que uma aplicação, ao invés de ter o seu próprio registo de utilizadores, passwords e grupos (o seu próprio directório), deve ser capaz de aceder às contas e grupos da Active Directory (AD) e atribuir as permissões de acesso directamente às contas e grupos da AD. Vamos supor, por exemplo, que a rede utiliza o Exchange 2003 como servidor de , esta aplicação já é integrada com a AD. Ao instalar o Exchange 2003, este é capaz de aceder à base de utilizadores e criar contas de para os utilizadores da Active Directory. Manual de Noções de Administração de Redes de Dados pág. Nº 25

26 Domínio O conjunto de servidores, estações de trabalho, bem como as informações do directório, formam uma unidade conhecida como Domínio como por exemplo cinel.pt ou xpto.local. Todos os servidores que contêm uma cópia da base de dados da Active Directory fazem parte do domínio. Um domínio pode também ser definido como um limite administrativo e de segurança. É um limite administrativo, pois as contas de Administrador têm permissões de acesso em todos os recursos do domínio, mas não em recursos de outros domínios. É um limite de segurança porque cada domínio tem definições de políticas de segurança que se aplicam às contas de utilizadores e demais recursos dentro do domínio e não a outros domínios. Num domínio baseado na Active Directory e no Windows Server 2003 é possível ter dois tipos de servidores Windows Server 2003: Controladores de Domínio (DC Domain Controlers) Member Servers Um Domínio é portanto, um agrupamento lógico de contas e recursos, os quais partilham políticas de segurança. A criação de conta de utilizadores, grupos de utilizadores e outros elementos da Active Directory, bem como alterações nas contas de utilizadores, nas políticas de segurança e em outros elementos da AD, podem ser feitas em qualquer um dos Controladores de Domínio (DC). Uma alteração feita num DC será automaticamente copiada (o termo técnico é replicada ) para os demais Controladores de Domínio. É por isso que o Domínio transmite a ideia de um agrupamento lógico de contas de utilizadores e grupos, bem como de políticas de segurança, uma vez que todo o Domínio partilha a mesma lista de utilizadores, grupos e políticas de segurança. Nos Member Servers podem ser criadas contas de utilizadores e grupos, as quais só serão validadas no Member Server onde foram criadas. Embora isso seja tecnicamente possível, constitui no entanto uma prática não recomendada, pois aumenta a complexidade da administração do Domínio. Os Domain Controlers partilham uma lista de utilizadores, grupos e políticas de segurança e também são responsáveis por fazer a autenticação dos utilizadores na rede. Já os Member Servers não possuem uma cópia da lista de utilizadores e grupos. Estes não efectuam a autenticação dos clientes e também não armazenam informações sobre as políticas de segurança para o Domínio as quais também são conhecidas por GPO Group Policies Objects. Manual de Noções de Administração de Redes de Dados pág. Nº 26

27 Os recursos de segurança são integrados na a Active Directory através do mecanismo de login e autenticação. Todos os utilizadores têm que fazer o login (processo de identificação e autenticação, através da utilização de um nome de utilizador e password associada), para ter acesso aos recursos da rede. Durante o login, a Active Directory verifica se as informações fornecidas pelo utilizador estão correctas e então permite o acesso aos recursos para os quais o utilizador tem permissão. Os recursos disponíveis através da Active Directory são organizados de uma maneira hierárquica, através do uso de Domínios. Uma rede na qual a Active Directory está instalada pode ser formada por um ou mais domínios. Com a utilização da Active Directory, um utilizador precisa apenas de estar criado num único Domínio, sendo que este utilizador pode receber permissões para aceder a recursos de qualquer um dos Domínios. A utilização da Active Directory simplifica bastante a administração, pois fornece um local centralizado, através do qual os recursos da rede podem ser administrados. A Active Directory utiliza o DNS (Domain Name System) como serviço de resolução de servidores e recursos e de resolução de nomes. Por isso, um dos pré-requisitos para que a Active Directory possa ser instalada e funcionar perfeitamente é que o DNS deve estar instalado e correctamente configurado. O Windows Server 2003 cria e mantém uma relação de confiança entre os diversos Domínios. As relações de confiança são bidireccionais e transitivas. Todos os Objectos duma rede (contas de utilizadores, grupos, impressoras, políticas de segurança, etc) fazem parte de um único domínio. Cada domínio só guarda informações sobre os objectos do seu próprio domínio. Cada domínio possui as suas próprias políticas de segurança. Manual de Noções de Administração de Redes de Dados pág. Nº 27

28 Arvore de Domínios Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server 2003, os quais partilham um space name Organizational Units, (OU s) Uma Organizational Unit é uma divisão que pode ser utilizada para organizar os objectos de um determinado domínio num agrupamento lógico para efeitos de administração. Isto resolve uma série de problemas que existiam em redes baseadas no NT Server 4.0. Com a utilização de Organizational Units, é possível restringir os direitos administrativos apenas ao nível dessa OU, sem que, com isso, o utilizador tenha poderes sobre todos os outros objectos do Domínio. Devem ser utilizadas Organizational Units quando se quiser delegar tarefas administrativas sem que, para isso tenhamos que dar poderes administrativos em todo o Domínio, ou para melhorar alterações na estrutura da empresa. A infra-estrutura das OU s não se deve basear na estrutura organizacional da companhia, mas sim na infraestrutura da política da rede. Manual de Noções de Administração de Redes de Dados pág. Nº 28

29 Objectos da Active Directory Os tipos de objectos existentes na AD são os: Utilizadores; Pasta partilhadas; Grupos; Computadores; Impressoras; Entre os mais importantes de referenciar Utilizadores Contas de utilizador. (User accounts) Uma conta de utilizador é um objecto da AD, que contém diversas informações sobre o utilizador. Para ter acesso aos recursos dos computadores do domínio, deve ser criado na AD. A conta de utilizador é um objecto utilizado com frequência na gestão da Active Directory. Guarda todas as informações que definem um utilizador, informações que são classificadas como atributos. Os atributos são os números de telefone, , endereço, nome, entre outros. Ao criar um utilizador, são definidos seis atributos, alguns são configurados pelo administrador, como o cn, onde cn é o nome completo do utilizador, e SamAccountName é o UserPrincipalName, (login Name) e os outros quatros são configurados pelo serviço de directório, Instance Typ, objectcategory, objectclalss, objectsid. Podemos visualizar e modificar qualquer atributo utilizando a ferramenta Adsiedit.msc presente no CD do Sistema Operativo na pasta Support, instale o pacote de ferramentas. Este recurso só está disponível para Windows 2000 e Windows Server Utilizamos diariamente a ferramenta Active Directory Users and Computers para gestão de utilizadores, criação, mover, excluir, alterar atributos e localizar. Cada conta de utilizador possível tem quatro tipos de nomes associados, um nome de login de utilizador, um nome de login do utilizador anterior ao Microsoft Windows Manual de Noções de Administração de Redes de Dados pág. Nº 29

30 2000, um nome de login principal do utilizador e um nome distinto do LDAP (Lightweight directory Access Protocol). Nome de login de utilizador: Deve ser exclusivo na floresta na qual a conta de utilizador foi criada. É utilizado durante o processo de logon. Ex: jpinto Nome de login anterior ao Windows 2000: Utilizado para fazer logon num domínio do Windows onde os computadores que executam sistemas operativos anteriores ao Windows 2000, usando um nome com o formato Nome do Domínio\Nome do Utilizador. Também é possível utilizar este nome para fazer logon em domínios a partir de computadores que executam o Windows 2000, Windows XP ou Windows Server Ex: cinelmail\jpinto. User principal Name: Consiste no nome de login do utilizador e do sufixo do nome principal do utilizador, unidos pelo símbolo de O (UPN User Principal Name) deve ser exclusivo na floresta. Ex: jpinto@cinel.pt Nome distinto relativo do LDAP: Este nome é utilizado para adicionar utilizadores à rede a partir de um script ou linha de comando. Identifica de forma exclusiva o objecto no seu recipiente principal. Ex: CN=jpinto,CN=users,DC=cinel,DC=pt O User login Name deve ser único na àrea, pasta ou contentor onde se encontrar e é usado durante o procedimento de Login (autenticação na rede). Pode conter até 20 caracteres, devendo ser composto por letras, maiúsculas e minúsculas (pois este campo é Case Sensitive que significa que uma letra escrita em minúsculas não é idêntica a uma letra escrita em maiúsculas), números e caracteres especiais com excepção dos seguintes: /\[]:; =,+*?<>. User principal login name O UPN consiste na justaposição do User login name e o do sufixo, concatenados pelo O UPN deve ser um nome único em toda a floresta (conjunto dos domínios). Manual de Noções de Administração de Redes de Dados pág. Nº 30

31 Um exemplo de um UPN é Pastas partilhadas (Shared Folders) O objectivo do uso de pastas partilhadas consiste na possibilidade de facilmente poder mapear essa pasta para uma aplicação, um utilizador ou um grupo. Com a pasta partilhada na Active Directory, a sua localização na rede é facilitada Grupos Utilizamos grupos para simplificar a administração, permitindo conceder permissões para acesso a recursos, uma vez por grupo em vez de se concederem conta de utilizador individualmente. Um grupo é uma associação de contas de utilizador e de computadores. Podemos utilizar os grupos separadamente ou podemos colocar um grupo dentro de outro, para simplificar ainda mais a administração. Existem dois tipos de grupos: Grupos de segurança: São utilizados para atribuir direitos e permissões de utilizador a grupos, onde os direitos determinam o que os membros do grupo de segurança podem fazer num domínio ou floresta. Já as permissões determinam quais os recursos a que um membro de um grupo pode aceder na rede. Grupos de distribuição: Utilizados em aplicações de , como o Microsoft Exchange, para enviar para um conjunto de utilizadores. Este grupo não tem recursos de segurança, pelo que não é possível conceder permissões. Os grupos estão divididos em: Grupo Global (Global group): É um grupo de segurança ou de distribuição que pode conter utilizadores, grupos e computadores do mesmo domínio que o grupo global. Podemos utilizar grupos de segurança nas situações em que os membros podem aceder a recursos de qualquer domínio da floresta. Grupo Universal (Universal Group): É um grupo de segurança ou de distribuição que pode conter utilizadores, grupos e computadores de qualquer domínio da floresta. Domain Local Group (Grupo de Domínio Local): É um grupo de segurança ou de distribuição que pode conter grupos universais, grupos globais, outros grupos de domínio local do seu próprio domínio e contas de qualquer domínio da floresta. Podemos utilizar Domain local groups quando os membros podem aceder a recursos somente no mesmo domínio em que se encontra o domain local group. Manual de Noções de Administração de Redes de Dados pág. Nº 31

32 Grupo Locais: É um conjunto de contas de utilizadores ou grupos de domínio, criados num Member server. Podemos utilizar grupos locais onde os membros podem aceder a recursos no computador local Computadores Qualquer computador que faz parte do domínio, seja uma estação de trabalho, Member Server, ou mesmo Domain Controler, deve ter uma conta de computador registada na Active Directory. É criado para facilitar a administração e a atribuição de permissões para acesso a recursos, tais como: pastas partilhadas, impressoras remotas, serviços diversos etc. A Conta de computador ajuda os administradores a gerir a estrutura de rede. Quando uma conta de computador é criada, o computador pode usar os processos de autenticação avançados para determinar como a auditoria deve ser aplicada e registada. Todos os computadores que correm o Windows NT, Windows 2000, Windows XP ou Windows Server 2003 e se registam num domínio, possuem uma conta de computador. Não é possível criar contas para computadores que correm windows 95, Windows 98, Windows Millennium e Windows XP Home Edition. Impressoras Uma conta de impressora consiste na publicação ou registo de uma impressora partilhada na rede. Com a impressora publicada na Active Directory a sua localização e a verificação do seu estado é extremamente facilitada na rede. Manual de Noções de Administração de Redes de Dados pág. Nº 32

33 3.2. Definição da política de acesso à informação Atribuição de User Login Names Os nomes a atribuir às contas de utilizador devem obedecer a regras para que facilmente se possam atribuir novas contas. Assim, pode escolher os nomes de utilizadores de acordo com as suas funções ou pode em organizações pequenas, escolher o primeiro nome. Em grandes organizações este método não é exequível face à grande probabilidade de existirem várias pessoas com o mesmo nome próprio. Opções de Password De modo a assegurar níveis de segurança adequados para o acesso à rede o administrador deve usar as várias opções de password disponíveis: User must change password at next logon Activar esta opção sempre que se cria uma nova conta de utilizador ou fizer RESET à password de uma dada conta. Esta activação obriga o utilizador a modificar a sua password logo que execute o primeiro logon depois da conta ter sido criada ou a password tenha sido alterada pelo administrador. User cannot change password deve usar esta opção quando o administrador não quiser que o utilizador tenha autonomia para mudar a sua própria password. Password never expires A opção da password não deixar de ter validade, não é uma boa prática em termos de segurança. Utilizar esta opção apenas nos casos em que o utilizador não tenha privilégios de acesso importantes. Account is disabled Desabilitar temporariamente uma conta de utilizador é uma pratica de administração que melhora significativamente o nível de segurança de uma rede. Esta opção deve ser usada sempre que uma conta pertencente a um utilizador com privilégios importantes na rede esteja temporariamente ausente. Por exemplo, quando um administrador da rede vai estar de férias, ou em formação fora da empresa, a sua conta deve ser inibida. Manual de Noções de Administração de Redes de Dados pág. Nº 33

34 3.3. Criação de Roaming Profiles O roaming profile ou perfil móvel é utilizado nos casos em que um determinado utilizador use máquinas diferentes em locais diferentes da rede, para realizar o seu trabalho. A utilização desta ferramenta permite recriar em qualquer estação de trabalho da rede sempre o mesmo ambiente de trabalho desde o fundo do desktop às aplicações disponíveis e drives mapeadas. No Servidor de Domínio deve ser criada uma drive partilhada acessível a todos os utilizadores da rede onde foram criadas pastas pessoais e só acessíveis a esses utilizadores, onde ficaram guardadas todas as definições dos Roaming Profile. Entende-se por profile todo o ambiente gráfico e configuração duma determinada sessão Windows. "Roaming Profile" significa que o profile do utilizador é guardado num servidor remoto. No funcionamento do Roaming Profile, o profile é guardado num dos servidores Windows do domínio e quando existe um evento de Login, o sistema copia-o para a máquina que o originou. Esta cópia é colocada em "C:\Documents and Settings\<username>". No final, (Evento: Logoff) o profile é copiado para o servidor, garantindo assim que no próximo login o utilizador possui as últimas alterações / configurações efectuadas. A vantagem fundamental dos "Roaming Profiles" é o facto de ser possível utilizar o mesmo desktop (ambiente de trabalho) e conta de correio electrónico independentemente da máquina onde é feito o Login. Como configurar os Roaming Profiles Selecção das propriedades do disco rígido para se efectuar a partilha para ficar acessível a todos os utilizadores do domínio. Manual de Noções de Administração de Redes de Dados pág. Nº 34

35 Selecção da opção de partilha do disco rígido. Manual de Noções de Administração de Redes de Dados pág. Nº 35

36 Selecção da opção de permissões a dar aos utilizadores no acesso à pasta criada e partilhada RoamingProfiles. Manual de Noções de Administração de Redes de Dados pág. Nº 36

37 Selecção de permissões a dar aos utilizadores: Total controlo da pasta partilhada RoamingProfiles. Manual de Noções de Administração de Redes de Dados pág. Nº 37

38 Politica de segurança criada para acesso aos utilizadores. Criação de novas políticas de acesso à pasta RoamingProfiles. Manual de Noções de Administração de Redes de Dados pág. Nº 38

39 Em cada pasta de utilizador criada foram dadas permissões de partilha da mesma. Manual de Noções de Administração de Redes de Dados pág. Nº 39

40 Em cada pasta de utilizador foi dada permissão total de controlo da mesma. Manual de Noções de Administração de Redes de Dados pág. Nº 40

41 Pastas de todos os utilizadores partilhadas com assinaturas personalizadas para o Microsoft Outlook. Manual de Noções de Administração de Redes de Dados pág. Nº 41

42 Pasta de um utilizador que contem a sua assinatura personalizada para posteriormente ser usada no Microsoft Outlook. Manual de Noções de Administração de Redes de Dados pág. Nº 42

43 Para concluir a configuração dos Roaming Profile é necessário aceder ao menu start e escolher o ícone Active Directory. Manual de Noções de Administração de Redes de Dados pág. Nº 43

44 Escolha de um utilizador a quem se irá configurar o seu profile. Manual de Noções de Administração de Redes de Dados pág. Nº 44

45 3.4. Questionário final do capítulo 3 1. Explique as diferenças entre um Member Server e um Domain Controler. 2. Enumere os tipos de grupos existentes e explique as suas características 3. Qual a diferença entre User login name e User principal Name 4. Em que consiste uma OU (Organizational Unit)? 5. Explique o que são Roaming Profiles. Manual de Noções de Administração de Redes de Dados pág. Nº 45

46 4. Planificação e Gestão de Domínios. Serviços fundamentais. Objectivos do Capitulo: No final do capítulo o leitor deverá ser capaz de fazer uma planificação dos objectos a criar de forma a projectar o ambiente de rede numa dada organização. Manual de Noções de Administração de Redes de Dados pág. Nº 46

47 4.1. O Conceito de DNS (Domain Name System) A Internet possui uma infinidade de sites e, para aceder a esses sites, é necessário digitar um endereço no campo correspondente do browser, por exemplo, No entanto, como actua o computador para encontrar esses sites quando os solicitamos? DNS é a sigla para Domain Name System (Sistema de Resolução de Nomes). Trata-se de um recurso usado em redes TCP/IP, que permite aceder a computadores sem que o utilizador ou sem que o próprio computador tenha conhecimento de seu endereço IP. Cada site da Internet pode ser acedido através do seu endereço IP. O problema é que existem tantos que é praticamente impossível decorar o IP de cada um. Imagine que ao invés de digitar para aceder a este site, o utilizador tivesse que fornecer o endereço Imagine então que este procedimento tivesse que ser repetido para cada site a visitar, como o Google, o Yahoo, etc. Como já se deve ter percebido, ia ser trabalhoso aceder a cada um desses sites através do endereço IP, pois além de decorá-los, teria que se consultar uma relação de IPs de cada vez que quisesse aceder a um site novo. Para lidar com esse problema é usado o DNS. É ele que permite o uso de nomes, em vez dos IPs no acesso aos sites. Basicamente, na Internet, o DNS é um conjunto de grandes bancos de dados distribuídos em servidores por todo o mundo que indicam qual o IP que está associado a um nome (ou seja, um endereço do tipo Funcionamento do DNS Como já foi dito, os serviços de DNS da Internet são um conjunto de bases de dados espalhados por muitos servidores em todo o mundo. Essas bases de dados têm a função de indicar qual o IP que está associado a um nome de um site. Quando se digita um endereço, o seu computador solícita aos servidores de DNS do seu fornecedor de Internet que encontre o endereço IP associado ao nome do site. Se os servidores não tiverem essa informação, ele pede ajuda a outros que a possam ter. Manual de Noções de Administração de Redes de Dados pág. Nº 47

48 Para facilitar esse processo, os nomes dos sites são divididos hierarquicamente, como mostra a imagem abaixo: Dentro de cada domínio (.com,.net,.gov) existem outras subdivisões. Por exemplo,.com.br,.com.fr,.com.eu, etc são sub-domínios de.com. Com essas divisões, é possível atribuir cada uma das terminações a uma entidade que as possa gerir. Assim, para que se possa registar um domínio.pt, é necessário fazer uma solicitação ao órgão que no País controla essa terminação. O servidor raiz - que pode ser entendido como o servidor principal no controle do DNS é representado por um ponto e, seguindo a ordem de pesquisa, a sua inserção é feita no final do nome. Assim, deveria ficar como: Se digitar o endereço exactamente como está acima, o browser entrará no site normalmente. No entanto, não é necessário incluir o ponto no final, pois os serviços envolvidos, assim como os browsers, sabem da sua existência e acrescentam-no automaticamente. Para melhor entender o DNS, vamos ao seguinte exemplo: suponha que queria visitar o site Para isso, primeiramente o servidor raiz é verificado e este indica o servidor de terminação.pt, que por sua vez, indica o servidor que gere o domínio nomedosite.com.pt que informa qual o seu IP, ou seja, qual o servidor onde o site em questão está localizado. Manual de Noções de Administração de Redes de Dados pág. Nº 48

49 Cache de DNS Suponha que visitou um site que nunca tenha sido resolvido pelo serviço de DNS do seu fornecedor, de forma que este tenha que fazer uma pesquisa noutros servidores de DNS (através da pesquisa hierárquica). Para evitar que essa pesquisa tenha que ser feita novamente quando outro utilizador tentar aceder ao mesmo site, o serviço de DNS guarda a informação da primeira consulta. Assim, noutra solicitação, ele já saberá qual o IP associado ao site em questão. Esse procedimento é conhecido como "cache de DNS". As informações da cache de DNS são armazenadas por um determinado período de tempo através de um parâmetro conhecido por TTL (Time-to-Live). Este é utilizado para evitar que as informações gravadas se tornem desactualizadas. O período de tempo do TTL varia conforme o servidor e o seu administrador. Quando a Internet ainda era uma ferramenta de uso militar e não possuía muitos computadores, o acesso aos nomes era possível graças a um ficheiro de nome hosts.txt. Este ficheiro continha os endereços de cada nome existente. Com o crescimento da Internet, esse ficheiro passou a crescer de igual forma e chegou ao ponto de ser tão grande que provocava morosidade nas actualizações. Por volta de 1983, o esquema hoje conhecido como DNS tomou forma para resolver este problema. A utilização do DNS não se limita à Internet. Este recurso pode ser utilizado em redes locais, extranets, etc. A sua implementação pode ser feita em praticamente qualquer sistema operativo, sendo muito usual nos sistemas baseados em Windows, Linux e Unix. Manual de Noções de Administração de Redes de Dados pág. Nº 49

50 4.2. DHCP - Dinamic Host Configuration Protocol Inicialmente, a necessidade de automatizar a requisição e distribuição do endereço IP deu-se em função da existência de estações de trabalho sem disco (diskless). Esta pesquisa provocou o uso do protocolo da camada de ligação de dados RARP (Reverse Address Resolution Protocol). Com o aumento do número de máquinas nas redes e também a crescente necessidade de maiores informações de configuração para comunicação numa rede, o RARP mostrou-se ineficiente, o que levou a criação do protocolo BOOTP. O advento da computação móvel trouxe uma grande limitação ao BOOTP. Foi criado, o DHCP, uma versão estendida do BOOTP, que permite a atribuição dinâmica de endereços IP. O DHCP foi designado para resolver esse problema enquanto simplifica a administração da rede TCP/IP. DHCP vem do Inglês Dynamic Host Configuration Protocol que significa Protocolo de Configuração de Host Dinâmico. O DHCP é especificado pela IETF - Internet Engineering Task Force por meio dos RFCs (Requests For Comments) 1533, 1534, 1541 e O RARP O funcionamento do DHCP, assenta no funcionamento de dois outros programas: O BOOTP, que, por sua vez, exige conhecimento prévio em relação ao funcionamento e problemas do RARP (Reverse Address Resolution Protocol). Para que um sistema computacional possa enviar e receber datagramas é preciso que este possua um endereço de rede IP de 32 bits que o identifique (versão IV). Em condições normais, o endereço IP fica armazenado na memória da máquina, carregado após o boot. Quando a máquina não possui um disco para inicialização do sistema (estação diskless) para carregar o seu endereço IP, a imagem de memória daquela estação fica armazenada no servidor. Como é possível a máquina cliente obter o seu endereço IP para envio da imagem de memória pelo servidor? Cada máquina com uma placa de rede possui uma identificação única e que não se repete. Esta identificação é uma sequência de bits, gravada no crcuito integrado da placa, que é utilizada como endereço físico na rede (MAC address). A estação diskless utiliza um protocolo que permite a obtenção do endereço IP fazendo uso do endereço físico da placa. Este protocolo é o RARP. Manual de Noções de Administração de Redes de Dados pág. Nº 50

51 O RARP é uma adaptação do protocolo ARP [RFC826] e apresenta o seguinte formato de mensagem: A exemplo do ARP, a mensagem RARP navega na rede encapsulada na parte de dados de uma frame. A identificação da frame é feita com o preenchimento de valores diferentes no campo operação. A comunicação RARP é feita a partir da difusão da solicitação de uma estação na rede local para aquisição de um endereço IP. A estação solicitante remete, na sua mensagem, o seu endereço MAC no campo target HA. Só os servidores RARP irão processá-la. Os servidores respondem às solicitações preenchendo o campo tipo de protocolo, mudando o campo operação de solicitação para resposta e enviando a mensagem diretamente a máquina solicitante. Ela recebe as respostas de todos os servidores RARP, mesmo tendo aceito a primeira. A partir deste momento a máquina só utilizará o RARP novamente se for feita uma reinicialização do sistema. Sintetizam-se de seguida, algumas desvantagens deste protocolo: Como o RARP opera num nível mais baixo, utiliza um acesso directo ao hardware de rede, com isso torna-se muito complicado para um programador de aplicações construir um servidor; Ele subutiliza o quadro, pois poderia carregar mais informações úteis para a configuração do cliente sem "custo adicional"; Pelo facto do RARP utilizar um endereço de hardware para identificar o equipamento, ele não pode ser aplicado em redes que atribuem esses endereços dinamicamente. Manual de Noções de Administração de Redes de Dados pág. Nº 51

52 O BOOTP As deficiências encontradas no RARP foram solucionadas com a criação do BOOTP (BOOTstrap Protocol). Ao contrário da comunicação RARP, a comunicação BOOTP processa-se na camada de rede. A estação cliente lança a sua solicitação na rede utilizando um endereço IP de broadcast. Os servidores BOOTP serão os únicos a reconhecer e responder também por broadcast. Esta forma de resposta é utilizada pelo facto do cliente não possuir ainda, o seu endereço IP para confirmar a recepção. O BOOTP delega ao cliente toda a responsabilidade por uma comunicação segura pois os protocolos utilizados são passíveis de corrupção ou perda de dados. O BOOTP solicita ao UDP - User Datagram Protocol - que faça uma verificação (checksum) e ainda especifica que solicitações e respostas tenham o seu campo DONT FRAGMENT activo para suportar clientes com pouca memória. O BOOTP permite várias respostas e processa sempre a primeira. Caso haja perda de datagrama, utiliza-se uma técnica de TIMEOUT para retransmissão DHCP Criado para substituir o BOOTP na tarefa de automatizar o fornecimento de endereços IP a equipamentos numa rede, o DHCP é um serviço que permite atribuição de endereços lógicos numa rede. Dois factores contribuíram para que este novo protocolo de configuração fosse criado. O BOOTP resolveu parte do problema de subutilização do quadro a quando do envio de um endereço IP. Com o DHCP, numa única mensagem são enviadas para o equipamento todas as informações de inicialização necessárias. Outro factor importantíssimo e que pode ser considerado como o principal é a alocação rápida e dinâmica de um endereço IP para um equipamento conectado à rede. ATRIBUIÇÃO DE ENDEREÇO O DHCP pode atribuir um endereço a um equipamento de rede de três formas: Configuração manual; Configuração automática; Configuração dinâmica. Configuração Manual Neste caso, é possível ligar um endereço IP a uma determinada máquina na rede. Para isso, é necessária a associação de um endereço existente na base de dados do servidor DHCP ao Manual de Noções de Administração de Redes de Dados pág. Nº 52

53 endereço MAC do adaptador de rede da máquina. Configurado desta forma, o DHCP irá trabalhar de maneira semelhante ao BOOTP. Esse endereço "amarrado" ao equipamento não poderá ser utilizado por outro, a não ser que eles utilizem a mesma placa de rede. Configuração Automática Nesta forma, o servidor DHCP é configurado para atribuir um endereço IP a um equipamento por tempo indeterminado. Quando este se liga pela primeira vez na rede, é-lhe atribuído um endereço. A diferença existente entre esta e a primeira configuração (BOOTP) é que nesta não é necessária uma especificação do equipamento que utilizará determinado endereço. É atribuído de forma automática. Configuração Dinâmica Neste tipo de configuração, é que reside a característica principal do DHCP, que o diferencia do BOOTP. Desta forma o endereço IP é alocado temporariamente a um equipamento e periodicamente, é necessária a actualização desse aluguer. Com essa configuração, é possível ser utilizado por diferentes equipamentos, em momentos diferentes, o mesmo endereço IP. Basta, para isso, que o primeiro a alugar o endereço, deixe de utilizá-lo. Quando o outro equipamento solicitar ao servidor DHCP um endereço IP poderá ser fornecido ao mesmo o endereço deixado pelo primeiro. O Servidor DHCP O servidor DHCP deve ser configurado pelo administrador da rede para disponibilizar aos seus clientes, endereços IP numa das três formas de fornecimento descritas acima. Para tal, ele alimenta uma base de dados com os endereços da sua sub-rede que serão fornecidos de forma automática. É importante deixar claro que, numa rede, o administrador deverá deixar fixo em algumas máquinas os seus endereços IP. Tais máquinas são os servidores e as impressoras, por exemplo. Nas configurações, será estabelecido o prazo de aluguer de um endereço. Esse prazo pode variar de horas a dias ou simplesmente ser ilimitado. Essa decisão irá depender da rede em que o DHCP está instalado e das necessidades de um determinado equipamento. O Cliente DHCP Um cliente DHCP é um equipamento que está configurado para solicitar a um servidor DHCP um endereço IP. Como já foi dito anteriormente, alguns equipamentos na rede devem possuir endereços IP fixos, já configurados na própria máquina, em função dos serviços que eles disponibilizam na rede. Essas máquinas não são consideradas como clientes DHCP. Manual de Noções de Administração de Redes de Dados pág. Nº 53

54 Um cliente DHCP pode passar por seis estados de aquisição: 1. INICIALIZA 2. SELECCIONA 3. SOLICITA 4. LIMITE 5. RENOVA 6. VINCULA NOVAMENTE O que define em que estado se encontra o cliente é a mensagem que ele envia para um dos servidores DHCP da sua rede. Inicializa Quando um cliente inicializa pela primeira vez, ele difunde uma mensagem para todos os servidores DHCP da rede local a fim de adquirir as configurações de inicialização na rede. Para tal, ele manda uma mensagem DHCPDISCOVER. O DHCPDISCOVER é enviado num datagrama UDP da mesma forma que no BOOTP. Após o envio dessa mensagem, o cliente passa para o estado SELECCIONA. Selecciona Neste estado, o cliente permanece aguardando a resposta dos servidores DHCP que receberam o DHCPDISCOVER. Aqueles servidores que estiverem configurados para responder, enviam ao cliente uma mensagem DHCPOFFER. Nesta mensagem, estão incluidas as informações necessárias para a configuração do cliente juntamente com um endereço IP que o servidor lhe oferece como empréstimo. Após a recepção de todas as mensagens enviadas pelos servidores, o cliente irá optar por uma e entrará em negociação de aluguer (leasing) com o servidor que está a oferecer o IP. Para iniciar a negociação, o cliente envia a mensagem DHCPREQUEST. Neste momento, ele entra no estado SOLICITA. Solicita Aqui, o cliente aguarda uma resposta de confirmação do servidor DHCP com quem ele entrou em negociação. Essa confirmação é remetida através da mensagem DHCPACK. Com a recepção da confirmação, o cliente passa a ter um endereço IP e utiliza-o, bem como todas as outras informações de configuração que foram enviadas pelo servidor e entra no estado LIMITE. Limite Este é o estado em que permanece o cliente durante a utilização do endereço IP até que atinja o período de renovação ou ele decida não utilizar mais o endereço alugado. Para este último Manual de Noções de Administração de Redes de Dados pág. Nº 54

55 caso, onde o cliente não espera o fim do prazo do aluguer, envia uma mensagem DHCPRELEASE para o servidor, a fim de provocar a libertação do endereço IP alugado. Desta forma, o cliente não poderá mais enviar datagramas IP utilizando o endereço que possuía e passa para o estado INICIALIZA. Renova Ao receber um DHCPACK, o cliente adquire a informação do período de aluguer do endereço. De posse dessa informação, ele inicializa três temporizadores. Eles são utilizados para controlar os períodos de renovação, revinculação e do fim do leasing. O servidor pode especificar o valor de cada temporizador. Não havendo essa especificação o cliente utiliza os valores padrão, que são de 50%, 85% e 100%, respectivamente. Quando o temporizador ultrapassa o valor da renovação, o cliente tentará renovar o aluguer. Para isso, ele faz uso novamente do DHCREQUEST ao servidor. Assim, ele passa para o estado RENOVA e aguarda a resposta. Na mensagem, segue incluido o endereço IP actual do cliente e uma solicitação de extensão do leasing do mesmo. O servidor poderá responder a autorizar a renovação do aluguer que necessariamente não possuirá o período anteriormente destinado ou poderá responder de forma negativa. No primeiro caso, o servidor envia um DHCPACK ao cliente. O recebimento dessa mensagem faz com que o cliente retorne ao estado limite. No segundo caso, o servidor envia um DHCPNACK, que faz com que o cliente interrompa o uso do endereço IP e passe para o estado INICIALIZA. Vincula Novamente Ao entrar no estado RENOVA, um cliente fica a aguardar a resposta do servidor. Caso essa resposta não chegue (é possível que o servidor tenha sido desligado, ou tenha sido desconectado da rede), o cliente permanece nesse estado e comunica normalmente até que seja ultrapassado o limite do segundo temporizador. Nesse ponto, o cliente passa do estado RENOVA para o estado vincula novamente. A partir daí, o cliente pressupõe que o servidor que lhe locou o endereço IP não estará mais disponível e tenta obter a renovação com qualquer outro servidor DHCP da sua rede local através do broadcast de DHCPREQUEST. Caso receba um DHCPACK de algum servidor habilitado para tal, o cliente retornará para o estado LIMITE. Recebendo um DHCPNACK, ele passará para o estado INICIALIZA. No caso do cliente não receber qualquer resposta, ele continuará a utilizar o endereço IP inicialmente alugado até que seja atingido o valor limite do terceiro temporizador, o que fará com que ele passe para o estado INICIALIZA. Formato da mensagem DHCP O servidor DHCP poderá responder tanto às solicitações BOOTP, quanto às DHCP, pois ambas possuem o mesmo formato. A figura a seguir mostra o formato da mensagem DHCP. Manual de Noções de Administração de Redes de Dados pág. Nº 55

56 OP HTYPE HLEN HOPS ID DE TRANSAÇÕES SEGUNDOS FLAGS ENDEREÇO IP DO CLIENTE O SEU ENDEREÇO IP ENDEREÇO IP DO SERVIDOR ENDEREÇO IP DO ROUTER ENDEREÇO DE HARDWARE DO CLIENTE (16 OCTETOS) NOME DO HOST DO SERVIDOR (64 OCTETOS) NOME DO FICHEIRO DE PARTIDA (128 OCTETOS) OPÇÕES (VARIÁVEL) Manual de Noções de Administração de Redes de Dados pág. Nº 56

57 Os campos da mensagem DHCP: CAMPO OP HTYPE HLEN HOPS ID DE TRANSAÇÕES SEGUNDOS FLAGS ENDEREÇO IP DO CLIENTE O SEU ENDEREÇO IP ENDEREÇO IP DO SERVIDOR ENDEREÇO IP DO ROUTER END. DE HARDWARE DO CLIENTE NOME DO HOST DO SERVIDOR NOME DO FICHEIRO DE PARTIDA OPÇÕES INFORMAÇÕES Numa mensagem DHCP, uma solicitação e uma resposta possuem os mesmos campos. O que as diferenciam é o conteúdo deste campo. O valor UM indica uma solicitação, o valor DOIS indica uma resposta Informa o padrão de rede utilizado pelo adaptador de rede Informa o tamanho do Header do adaptador de rede Quantidade de routers pelos quais a mensagem deverá passar Número de identificação da mensagem Quantidade de tempo em segundos desde que o cliente fez a inicialização Utilizado para "reset" a opções especiais de resposta às solicitações Numa solicitação o cliente informa o seu endereço IP (possível quando o cliente conhece o seu endereço) Utilizado pelo servidor para enviar informação do endereço IP disponível para o cliente que solicitou. Preenchido pelo cliente quando quer obter uma informação de um servidor específico. Preenchido pelo servidor para informar o cliente do endereço IP do router da rede local Informação do endereço MAC do cliente Quando estes campos não são utilizados para enviar as informações pertinentes a cada um (nome do servidor e informação do sistema operativo que será inicializado no cliente) o DHCP utiliza-o remetendo informações adicionais transformando-os em campo de OPÇÕES, optimizando assim a utilização da mensagem. Nome do ficheiro que contém a imagem de memória da(s) estação (ões) correspondente(s) Este campo é utilizado para informar que tipo de resposta ou solicitação DHCP (DHCPDISCOVER, DHCPOFFER etc.) está a ser enviada para o cliente ou para o servidor. Manual de Noções de Administração de Redes de Dados pág. Nº 57

58 Utilização do serviço de DHCP Um servidor DHCP faz com que o endereçamento de máquinas seja um processo mais dinâmico do que estático. Normalmente, um novo utilizador da rede solicita ao gestor um endereço IP válido. O gestor executa uma entrada nas tabelas HOSTS ou na base de dados DNS. Esse utilizador pode precisar desse endereço apenas esporadicamente ou até temporariamente. Contudo, enquanto o endereço está atribuído a uma máquina, ninguém mais pode usá-lo. Outro problema surge quando os utilizadores se tornam móveis e levam as suas máquinas com eles. Se alguém move o seu computador pessoal de uma rede para outra, o endereço antigo poderá não funcionar na nova rede local. Solicitar ao gestor de rede local um endereço para usar apenas temporariamente não faz sentido. Com o DHCP, os endereços IPs são atribuídos automaticamente conforme a necessidade e depois libertados quando já não são necessários. O processo é simples. Um servidor DHCP possui um grupo de endereços válidos que pode atribuir aos clientes. Quando o sistema de um cliente inicializa, ele envia uma mensagem para a rede solicitando um endereço. Cada servidor DHCP (podem existir vários) responde com um endereço IP e informações de configuração. O cliente recolhe as ofertas e selecciona um endereço válido, enviando de volta a confirmação para o servidor. Todos os servidores DHCP recebem a confirmação do cliente. O servidor DHCP cujo endereço foi selecionado pelo cliente, envia de volta uma mensagem de reconhecimento, enquanto os demais servidores DHCP cancelam as ofertas anteriores de seus grupos. Após o recebimento da mensagem de reconhecimento do servidor DHCP, o cliente pode entrar na rede TCP/IP. O servidor DHCP, essencialmente, reserva o endereço para o cliente. Esta pode ter um tempo determinado de modo que as reservas sem uso sejam retornadas de forma automática ao grupo de endereços. Se a reserva expirar, mas a máquina ainda estiver a usar o endereço, o servidor DHCP poderá renová-la, a fim de que o cliente possa continuar com o mesmo endereço. Manual de Noções de Administração de Redes de Dados pág. Nº 58

59 Instalação e configuração do DHCP no Windows A primeira coisa que se deve fazer é criar um scope administrativo do DHCP. Destaque a entrada Local Machine abaixo da lista DHCP Servers. Em seguida, deve-se seleccionar o Scope Create no menu, quando a caixa de diálogo Create Scope aparecerá. Nessa caixa de diálogo, estabelece-se o grupo de endereços que o DHCP disponibiliza dinamicamente para os clientes do DHCP. Digitam-se os endereços inicial e final para definir a gama. Caso se queira excluir alguns endereços do grupo, pode-se digitar uma gama a ser excluída ou um endereço. Para inserir uma gama de endereços a ser excluída, digitamse valores nos campos Start Address e End Address. Para excluir um único endereço, este deve ser inserido no campo Start Address. As gamas e endereços excluídos devem incluir outros servidores DHCP, clientes que não são do DHCP, estações de trabalho sem disco ou clientes RAS. Ao inserir gamas de endereços ou endereços excluídos, deve dar-se um "clique" sobre o botão Add para os acrescentar à lista da direita. Se for cometido um erro ou se se muda de ideia quanto a excluir um endereço, este deve ser destacado e um dá-se um clique sobre o botão Remove. A próxima parte da caixa de diálogo Create Scope, intitulada Lease Duration, determina o tempo durante o qual os clientes do DHCP podem manter os seus endereços. Deve-se ter em mente que uma das razões principais para instalar um servidor DHCP é a atribuição e libertação dos endereços dinamicamente (renew e release, respectivamente). Se for necessário que o servidor DHCP atribua endereços quando forem solicitados, mas nunca os liberte, deve-se dar um "clique' sobre o botão Unlimited Lease Duration. É mais provável que se queira definir a duração para alguns dias ou horas. Se especificar uma duração de três dias (o valor padrão), o servidor DHCP verificará se o cliente ainda está a usar aquele endereço quando a reserva expirar. Se o cliente ainda estiver a usar o endereço, a reserva poderá ser renovada. Se existir escassez de endereços válidos na rede e as máquinas ficarem fora da rede com frequência, três dias poderá ser muito tempo para uma reserva. Neste caso, pode-se querer especificar poucas horas. O único problema é o aumento de tráfego da negociação de endereços entre os servidores e clientes do DHCP. Se existirem endereços suficientes para a rede, mas ainda quiser endereços livres e sem uso depois de pouco tempo, poderia ser apropriado atribuir uma reserva de duração mais longa (como 30 dias). A única coisa que é necessário inserir na caixa de diálogo Create Scope é um nome de scope e um comentário opcional. O nome pode ter até 128 caracteres e pode ser qualquer nome que se queira dar à sub-rede. Pode-se usar letras, números e hífens. Qualquer outra informação que se queira incluir sobre o scope poderá ser inserida no campo Comment. Manual de Noções de Administração de Redes de Dados pág. Nº 59

60 Quando acabar de inserir todos os valores na caixa de diálogo, deve-se dar um "clique" sobre o OK. O Windows NT informará que o scope foi criado, mas que o mesmo ainda não está activo. Para activá-lo, deve-se dar um "clique" sobre o Yes. Querendo alterar as propriedades do scope, basta destacar o scope no lado esquerdo do utilitário DHCP Manager e selecionar Scope, Properties. Também a partir do menu Scope, pode-se selecionar Active Leases para ver quais os computadores que estão a usar o servidor DHCP. A caixa de diálogo Active Leases aparecerá. Pode-se destacar um cliente e dar um "clique" sobre o botão Properties. Será então, exibida a informação do endereço IP, quando a reserva vai expirar, o nome do cliente e o Identificador do Cliente que é normalmente o endereço MAC do adaptador da rede nessa máquina. A opção Add Reservations pode ser escolhida para fazer aparecer a caixa de diálogo Add Reserved Clients. Essa opção permite que se reserve um endereço específico para um cliente pre-estabelecido. Pode-se, portanto, especificar qualquer endereço IP que não esteja a ser usado pelo grupo de endereços. No campo Unique Identifier, deve-se digitar o endereço MAC do adaptador da rede no computador do cliente. A seguir, o nome do computador do cliente deve ser preenchido como uma ajuda, a fim de se lembrar para qual cliente o endereço foi reservado. É preciso digitar o nome exacto do computador para o cliente. Qualquer outra informação que queira digitar sobre o cliente poderá ser colocada no campo Client Comment. O utilitário DHCP Manager permite que se alterem os parâmetros de configuração que o servidor atribui aos clientes. As opções fornecem valores padrões baseados nos parâmetros padrões definidos pelo Internet Networking Group no RFC Pode-se alterar esses parâmetros para influenciar cada cliente ao qual o servidor DHCP presta serviços ou clientes de um determinado scope Gestão de Acessos a recursos da Active Directory A instalação de uma rede cliente-servidor num ambiente Windows 2003 obriga à instalação de pelo menos um servidor, que assumirá o papel de controlador de domínio ou domain controler, (DC). Nessa máquina será também instalada a base de dados com as características dos objectos da rede (Active Directory). Após a instalação do sistema operativo Windows 2003 Server na máquina eleita para controlador de domínio terá que ser feita a sua promoção a controlador de domínio. Manual de Noções de Administração de Redes de Dados pág. Nº 60

61 A promoção de um Servidor com Windows 2003 SRV a Domain Controler DC é um processo que se inicia com execução do comando Dcpromo na janela de execução (run) do SO, Na janela seguinte o utilizador decide qual a instalação que vai fazer, de acordo com os Sistemas Operativos das estações de trabalho que se vão ligar na rede. Caso o servidor seja o primeiro servidor no domínio, com a promoção a Domain Controler é também instalada a Active Directory AD e o Global Catalog. Manual de Noções de Administração de Redes de Dados pág. Nº 61

62 De seguida deve(m) ser fornecido(s) o(s) endereço(s) lógico(s) da(s) placa(s) de rede instalada(s) no servidor, ou seja o ou os endereços TCP-IP das placas de rede, visto podermos ter mais de uma placa de rede para aumentar a velocidade de comunicação entre o servidor e as estações de trabalho. Manual de Noções de Administração de Redes de Dados pág. Nº 62

63 Manual de Noções de Administração de Redes de Dados pág. Nº 63

64 4.4. Questionário final do capítulo O que é o DNS? Explique resumidamente o processo de resolução de nomes. 2. O serviço de DHCP faz atribuição de endereços aos computadores de uma rede. Como funciona? 3. O que acontece quando uma estação não obtêm resposta ao seu pedido de atribuição de endereço IP? Manual de Noções de Administração de Redes de Dados pág. Nº 64

65 5. Monitorização da rede. Objectivos do Capitulo: No final do capítulo o leitor deverá ser capaz de fazer uma planificação dos objectos a criar de forma a projectar o ambiente de uma dada organização. Manual de Noções de Administração de Redes de Dados pág. Nº 65

66 5.1. A monitorização de uma rede. Em redes de média e grande dimensão, algumas delas constituídas em troços que ligam locais afastados, o problema do controlo da rede, na sua componente de equipamentos de interligação de rede tem de ser executado, recorrendo a software especializado, de forma a minimizar as intervenções que obrigam a deslocação do técnico ao local onde se encontra o equipamento. Para que se possa executar uma monitorização contínua, mas centralizada, é necessário dotar cada ponto gerível da rede, com software apropriado, e que possa não só traduzir o estado do equipamento, mas que também permita a intervenção correctiva nesse nó de rede. Os programas disponíveis no mercado para este fim usam todos um protocolo que é um standard para este tipo de actividade de rede. O SNMP (Simple Network Management Protocol). Foi este o protocolo escolhido para ser estudado ao longo deste capítulo O protocolo SNMP como standard na Monitorização de redes A gestão e monitorização de equipamentos de rede local constitui uma tarefa de grande importância, uma vez que ela obriga a alocação de grande quantidade de recursos humanos, ocupando, por vezes, grande parte do seu tempo disponível. Além disso, a quantidade de equipamentos que podem ser geridos e monitorizados tende a aumentar continuamente e, aliado a este facto, está a necessidade de simplificar o processo de gestão. Assim, o protocolo SNMP (Simple Network Management Protocol) pode ser usado para a gestão dos dispositivos ligados a uma rede local de forma simples e directa. Por sua vez, os equipamentos tendem a oferecer cada vez mais possibilidades de gestão, de modo a facilitar tarefas como a detecção de falhas, a visualização de grandezas, as notificações de condições de erro, ou qualquer outro tipo de eventos. Portanto, cada vez mais equipamentos oferecem funcionalidades de gestão por SNMP, o que os torna compatíveis com as redes locais e mais facilmente geríveis. O SNMP é o protocolo de gestão de redes padrão do IETF (Internet Engineering Task Force) e tornou-se um standard de facto para a gestão de redes que usem o protocolo TCP/IP. Utiliza na camada de transporte os serviços do protocolo UDP para enviar as suas mensagens através da rede IP. Cada dispositivo gerido é chamado nó. Manual de Noções de Administração de Redes de Dados pág. Nº 66

67 Nos últimos anos o SNMP tem dominado o mercado de sistemas de gestão de redes devido, principalmente, à sua simplicidade de implementação, pois consome poucos recursos de rede e de processamento, o que permite a sua inclusão em equipamentos bastante simples. O SNMP ajuda o administrador a localizar e corrigir erros ou problemas duma rede. Através de agentes SNMP, o administrador da rede consegue visualizar, por exemplo, estatísticas de tráfego da rede e após analisar esses dados o administrador pode actuar na rede, alterando a sua configuração. O SNMP foi desenvolvido no final dos anos 80 por um grupo da Internet Engineering Task Force (IETF) e teve a sua origem num protocolo para monitorização de gateways IP, o Simple Gateway Management Protocol (SGMP). O modelo SNMP possui uma abordagem genérica, podendo ser utilizado para gerir diferentes tipos de sistemas. A sua especificação está contida no RFC A evolução do protocolo SNMP está descrita de seguida: SNMP versão Remote Monitoring RMON SNMP versão SNMP v2c (Community Security) MIB RMON v SNMP v3 (User Security Model) Funcionamento básico O protocolo SNMP define duas entidades para a gestão, as quais trocam informações entre si através de requisições do tipo cliente-servidor. O agente SNMP cliente realiza basicamente duas operações: a leitura de valores (GET) para a monitorização do dispositivo gerido e a escrita (SET) onde for possível efectuar a alteração de valores deste dispositivo. O agente SNMP servidor fica então responsável por responder às solicitações do gestor e alterar as informações quando solicitada tal operação, além de notificar o agente (TRAP) no caso de ocorrer alguma excepção. Toda a inteligência do processo fica na estação de gestão permitindo que o agente seja uma aplicação muito simples e com o mínimo de interferência no dispositivo em que está a ser executado. As decisões tomadas na ocorrência de problemas e as funções de relatórios ficam sob responsabilidade do agente de gestão. Manual de Noções de Administração de Redes de Dados pág. Nº 67

68 5.2.2 O Agente SNMP O agente é um processo executado no nó que estiver a ser gerido ou próximo dele, responsável pela manutenção de uma base de dados local com as informações de gestão desse nó. Cada nó gerido pelo SNMP deve possuir um agente e uma base de informações de gestão. Sendo assim, o nó gerido é visto como um conjunto de variáveis que representam informações referentes ao seu estado actual. Essas variáveis ficam disponíveis para gestão através de consultas e podem ser alteradas por ele. Ao disponibilizar essas variáveis para leitura, o nó permite a sua monitorização e, ao receber novos valores do gestor, o nó estará a ser controlado. Os nós geridos podem apresentar falhas ou comportamentos inadequados e quando o agente identifica que ocorreu um evento significativo, envia pacotes informativos sobre o ocorrido a todas as estações de gestão da sua lista de distribuição de alarmes. Esta operação é efectuada através de interrupções (traps) e esses traps podem ou não informar exactamente quais são os detalhes sobre o que ocorreu inesperadamente, podendo ser necessário que a estação de gestão realize consultas para essa investigação e obtenha mais detalhes. Tipos de Agentes SNMP Os agentes SNMP podem ser classificados em dois tipos distintos, que diferem entre si pela forma como são implementadas as funcionalidades do protocolo SNMP e pelo modo como são feitas as interacções com os dispositivos geridos. O primeiro tipo de agente SNMP é o agente extensível. Este tipo de agente em geral oferece suporte à MIB-II, e utiliza o SNMP directamente (explicaremos mais à frente o conceito de MIB). Isto significa que possui a implementação de todas as funcionalidades do protocolo SNMP. Para que ele comunique com o dispositivo gerido, é necessária a implementação de agentes extensíveis. Um exemplo de agente extensível é o agente SNMP do sistema operativo Microsoft Windows. Não possui suporte a nenhuma MIB, e para que ele responda às requisições de objectos de uma determinada MIB deve haver uma biblioteca adicional que implemente o suporte de MIB. Para a plataforma Linux/Unix pode-se citar o agente Net-SNMP (anteriormente chamado UCD-SNMP). Este agente é usado como base para a implementação de uma grande variedade de agentes estendidos e é um dos mais difundidos para o ambiente. Por sua vez, o agente estendido possui somente funções básicas de comunicação com o dispositivo gerido para busca de informações. Este tipo de agente é baseado em um agente principal (extensível), o qual implementa as funções do protocolo SNMP. Dessa Manual de Noções de Administração de Redes de Dados pág. Nº 68

69 forma, o trabalho de resposta às requisições do protocolo SNMP é feito somente pelo agente extensível, ficando para o agente SNMP estendido o trabalho de comunicação com o dispositivo gerido e disponibilização das informações de monitorização ao agente extensível Gestores SNMP O gestor é uma aplicação em execução numa estação de gestão. É possível que existam um ou mais gestores em execução numa mesma estação colaborando entre si para a gestão e todos eles utilizam o protocolo de gestão disponibilizado por essa estação. Estas aplicações são capazes de monitorizar os agentes através de requisições de informações contidas na base de informações de gestão e de alterar as características dos nós geridos, informando quais os novos valores ao agente. Os gestores são os responsáveis pela implementação da política que será adoptada na gestão e eles são acessíveis à pessoa ou entidade responsável pela gestão do nó. O envio de alarmes por , chamadas telefónicas, mensagens para telefones móveis ou outras formas de comunicação com o administrador, são comuns nestes programas de aplicação. Além disso, a visualização das grandezas e estados dos equipamentos é fundamental neste tipo de aplicação. Outra forma de visualização interessante é a apresentação de gráficos que mostrem a evolução de valores ou condições do equipamento ao longo do tempo, fornecendo informações sobre a tendência do comportamento dos equipamentos Operações do Protocolo O protocolo SNMP define as operações de leitura de valores, escrita de valores e notificação de condições de excepção (traps). Para que ocorra a troca de mensagens no protocolo SNMP são utilizadas cinco PDUs (Protocol Data Unit): GetRequest; GetNextRequest; GetResponse; SetRequest e Trap Cada PDU corresponde à definição dos formatos empregues pelas entidades do protocolo na troca de informações. Manual de Noções de Administração de Redes de Dados pág. Nº 69

70 As PDUs GetRequest e GetNextRequest serão utilizadas pelo gestor quando este desejar realizar uma leitura de dados, enquanto que a PDU SetRequest é utilizada pelo gestor para solicitar uma alteração do dado referente a algum objecto. Por sua vez, o agente responderá a uma solicitação do gestor utilizando a PDU GetResponse e tomará a iniciativa de enviar interrupções ao gestor através da PDU Trap, quando ocorrer uma condição de excepção que justifique essa notificação. A definição do SNMP prevê uma autenticação que deve ser feita ao trocar informações utilizando o protocolo. Essa autenticação é realizada através da string de comunidade (Community String) (informada por quem está tomando a iniciativa no envio de informações). A comunidade pode ser diferente para leitura (RO), escrita (RW) e envio de traps. Se a comunidade for informada incorrectamente, o agente não responderá à solicitação do gestor. Com a definição da versão 2 do SNMP (SNMPv2) surgiram duas novas PDUs (InformRequest e GetBulkRequest) e a possibilidade de se realizar uma gestão distribuída, através da comunicação gestor a gestor. No SNMPv3, um dos objectivos na definição foi de aumentar a segurança já que a forma como é feita a autenticação pela comunidade nas versões anteriores sempre foi considerada muito fraca para garantir alguma forma de segurança Management Information Base (MIB) A MIB (Management Information Base) é a base de informações de gestão. O agente é capaz de responder ao gestor de consultas SNMP sobre o conjunto de informações contido na MIB. De facto, em geral é codificado um ficheiro chamado ficheiro de MIB no qual são relacionadas essas informações para que o gestor saiba quais são as informações que podem ser solicitadas a um agente e também as informações de alerta (traps) que poderão ser enviadas do agente para o gestor. Constituída por uma estrutura em árvore contendo as variáveis de gestão de um determinado equipamento, a MIB define para cada variável um identificador único, denominado OID (Object Identifier), formado por um inteiro não negativo. Em princípio, todos os objectos definidos em todos os padrões oficiais podem ser exclusivamente identificados. Para localizar uma determinada informação, o identificador da variável que será acedida pelo SNMP é representado com o IP do equipamento em conjunto com o identificador do objecto na árvore MIB (OID). Manual de Noções de Administração de Redes de Dados pág. Nº 70

71 A MIB pode ter 3 classificações possíveis: - MIB Padrão: Possui um conjunto de objectos bem definidos, conhecidos e aceites pelos grupos e padrões Internet; - MIB Experimental: Estas MIBs podem conter informações específicas sobre outros elementos da rede e gestão de dispositivos que são considerados importantes. Este termo experimental é como se fosse um ensaio para a MIB se tornar padrão; - MIB Privada: São projectadas por empresas individuais exclusivamente para uso nos seus dispositivos de rede. Formato SNMP No SNMP, as informações são trocadas entre uma estação de gestão e um agente na forma de uma mensagem SNMP. Cada mensagem inclui o número da versão SNMP, o nome da comunidade a ser usado para esta troca e um de cinco tipos do Protocolo de Unidade de Dados (PDUs) Segurança no Protocolo SNMP O protocolo SNMP pode realizar operações de reconfiguração na rede alterando características de equipamentos ou até desligando máquinas, sendo que não existe qualquer mecanismo de segurança aplicado ao conteúdo das mensagens. O controle é feito através da verificação do conteúdo de um campo especial no pacote do SNMP Manual de Noções de Administração de Redes de Dados pág. Nº 71

72 denominada comunidade. A comunidade é definida como sendo a relação entre duas entidades do SNMP. Ela é definida como um conjunto de bytes formando caracteres ASCII que serão utilizados para efectuar este relacionamento. Desta forma, quando é realizada a comunicação entre duas entidades do SNMP, a entidade destinatária da mensagem realiza a verificação do conteúdo da comunidade para averiguar se esta informação é proveniente do remetente indicado. Através da comunidade é possível que o agente realize uma verificação da integridade do agente realizando autenticação e políticas de acesso (agente controla que diferentes gerentes podem obter diferentes variáveis da MIB) através deste campo. O mais importante no entendimento de comunidade, é que sem o conhecimento prévio da comunidade de um determinado equipamento gestionável, será impossível a qualquer aplicação de gestão, aceder às informações da MIB. Outra consideração importante é que um equipamento pode ter mais do que uma comunidade configurada, com direitos de leitura, escrita e trap. Portanto, um mesmo equipamento poderá contar com três strings de comunidade diferentes. Isto tem o objectivo de se aumentar a segurança no acesso aos equipamentos. O ficheiro snmpd.conf é o ficheiro onde se pode configurar o acesso que se quer fornecer às estações gestoras quando realizam a requisição SNMP. Pode-se limitar o acesso com read-only e read-write. Com este tipo de autenticação, o acesso à MIB torna-se pouco seguro, devido principalmente a: - Identificação da origem: a comunidade é transmitida sem qualquer protecção; - Integridade da mensagem: ao ser interceptada a mensagem não garante qualquer protecção referente ao conteúdo; - Tempo-limite: período de tempo que a mensagem pode ficar presa por algum serviço; - Privacidade: qualquer serviço pode monitorar uma comunicação entre entidades SNMP; - Autorização: não há controle de autorização de acesso aos dados da MIB; Limitações do SNMP SNMP versão 2 e SNMP versão 3 Visando obter melhorias em relação aos aspectos de segurança foram desenvolvidas novas versões do SNMP. A segunda versão, o SNMPv2 contém mecanismos adicionais Manual de Noções de Administração de Redes de Dados pág. Nº 72

73 para resolver os problemas relativos á segurança como: privacidade de dados, autenticação e controle de acesso. A terceira versão, o SNMPv3 tem como objectivo principal alcançar a segurança, sem esquecer-se da simplicidade do protocolo, através de novas funcionalidades como: Autenticação de privacidade Autorização e controle de acesso Nomes de entidades Pessoas e políticas Usernames e gestão de chaves Destinos de notificações Relacionamentos proxy Configuração remota O protocolo SNMP é um modelo simples de gestão de rede de fácil implementação, pois gera pouco tráfego de informações. Além disso, o seu design simples facilita ao utilizador programar as variáveis que ele gostaria de monitorizar. Porém, por ser tão simples, a informação que o SNMP manipula através das variáveis não é nem detalhada nem suficientemente organizada para as necessidades das redes a partir de 1990 e, além disso, não garante muita segurança para a rede. Com o aparecimento das novas versões o SNMPv2 e SNMPv3, foram realizadas alterações na especificação do protocolo, tais como a forma de representação das variáveis, o retorno dos tipos de erros, que acabaram por tirar a simplicidade ao protocolo. Entretanto, o SNMP é amplamente usado uma vez que a maioria dos fabricantes de hardware para internet (como bridges e routers) projectam os seus produtos para suportar o SNMP. Manual de Noções de Administração de Redes de Dados pág. Nº 73

74 5.3. Questionário de final do Capítulo 5 1. Quais as principais vantagens de monitorizar redes? 2. Em que consiste o protocolo SNMP? 3. Quais são os elementos básicos deste protocolo, e como funcionam? 4. Quais as principais vantagens e desvantagens do uso deste tipo de protocolo? Manual de Noções de Administração de Redes de Dados pág. Nº 74

75 6. Políticas de backup, redundância e fiabilidade Objectivos do Capitulo: No final do capítulo o leitor deverá ser capaz de definir um projecto de segurança periódica de dados, bem como a possibilidade de recuperação de informação em caso de acidente. Manual de Noções de Administração de Redes de Dados pág. Nº 75

76 6.1 A segurança da informação. A salvaguarda da informação deve constituir a principal preocupação da equipe de gestão de Tecnologias de Informação e Comunicação de uma organização. Essa salvaguarda deve ser vista nas suas principais vertentes: Segurança dos dados Segurança das infra-estruturas Segurança das aplicações Iremos abordar neste capítulo a vertente da segurança dos dados. Segurança dos dados Um dos pontos mais importantes nos sistemas baseados em redes de computadores é a salvaguarda e a possibilidade de recuperação da informação de modo a garantir a disponibilidade de serviços no caso de falhas dos componentes de hardware e ou software. De uma forma geral a segurança das bases de dados e de toda a documentação de uma organização é muitíssimo importante para garantir a continuidade do negócio. As aplicações de gestão nas empresas podem gerar grandes quantidades de informação e a cópia e guarda de uma quantidade significativa dessas informações no formato de ficheiros é normalmente designado backup, ou cópia de segurança. A importância crescente da disponibilização dos dados acentua a tendência actual de um crescimento contínuo das necessidades de armazenamento dos dados. Normalmente o backup, (também conhecido como cópia de segurança ou reserva) é uma tarefa administrativa de responsabilidade do administrador do sistema. Simplificadamente trata-se de uma cópia da informação contida numa base de dados local ou remota, sendo, na prática, uma réplica dos dados originais actuais, guardados noutro local e noutro suporte. As cópias de segurança são fundamentais em qualquer sistema. No caso de um acidente mais sério no sistema, só as cópias de segurança podem possibilitar a reposição da informação do utilizador. Podemos dividir em dois grandes tipos principais de dados que necessitam de uma política de backups periódicos: os dados do utilizador, como informações de textos, folhas de cálculo, s, imagens, bases de dados ou qualquer outro item criado pelo utilizador e os registos do sistema, com os dados criados ou alterados pelo sistema (informações sobre instalação de programas ou alteração destes) ou, ainda, armazenados por ele (log de segurança, registo de eventos). Por esse motivo é importante saber o que Manual de Noções de Administração de Redes de Dados pág. Nº 76

77 é um backup e no que consiste a tarefa simétrica a recuperação (Restore ou data recovery). A tarefa de criação de backups é muito importante. Os backups são cópias de segurança que permitem à organização, empresa ou utilizador estar seguro de que, se uma falha grave ocorrer nos computadores assim como nos servidores, esta não implicará a perda total da informação contida no sistema que, ao contrário do que acontece com o hardware, não é substituível. Uma boa arquitectura de backup e recuperação deve incluir um plano de prevenção de desastres, procedimentos e ferramentas que ajudem na recuperação de um desastre ou falha de energia ou mesmo catástrofe natural, além de procedimentos e normas para realizar a recuperação dos dados. Os suportes de armazenamento de backups, são os dispositivos físicos onde estão guardadas todas as informações das bases de dados e outros formatos de dados. Geralmente essas unidades são chamadas de "tapes de backup", pois são o meio preferencial de suporte porque apresentam uma grande capacidade de armazenamento físico, podendo ser reposto a qualquer momento O Backup e o Restore O backup é a acção de cópia dos dados dos ficheiros ou bases de dados, para os suportes definidos anteriormente. O Restore (recuperação), pode ser definida como a operação inversa ao backup e consiste na recuperação dos ficheiros seguros pelo processo anterior. Ao fazer um backup dispomos de uma cópia dos dados noutro local, e noutro suporte. Através do Restore os dados são recuperados e repostos no sistema no formato anterior ao problema. Armazenamento de Dados O backup de dados pode ter a sua segurança comprometida se os dispositivos de armazenamento estiverem no mesmo local físico. O ideal é que os suportes e demais dispositivos estejam localizados em local que obedeça às condições de segurança de acesso e de armazenamento e que permita, em caso de emergência, que esses recursos possam ser utilizados para recuperação num outro dispositivo, preparado num segundo local da empresa ou disponibilizado por um fornecedor desse tipo de serviços de contingência. Existem no mercado técnicas diferentes de apoio nos processos de backup e recuperação. Entre elas podemos destacar: Manual de Noções de Administração de Redes de Dados pág. Nº 77

78 Clustering - Um cluster pode ser definido como uma configuração ou um grupo de servidores independentes que aparecem na rede como uma simples máquina. São desenhados de tal forma que uma falha num dos componentes seja transparente aos utilizadores; As máquinas em cluster funcionam de modo a que se uma falhar a outra assume o fornecimento do serviço sem que haja o mínimo de impacto na rede. Mirroring (espelho) - É a técnica onde os discos são espelhados, ou seja, é feita uma cópia exacta de cada um em servidores diferentes. É uma técnica parecida com o clustering mas, em que em vez de termos duas máquinas completas a espelharem-se apenas temos os discos. Em caso de falhas ou perda de um disco, o outro assume inteiramente o papel até à substituição do disco com problemas. Device Parity Protection - O device parity tem a tecnologia similar ao do RAID-5 (redundant array of independent disks) e permite a manutenção concorrente quando houver falha num dos discos; Contingência - Em caso de necessidade, todo o sistema pode ser transferido para uma instalação contratada a terceiros (data center) Tipos de Backups Cópia simples - o backup é chamado de simples quando não envolve compressão de dados ou um registo de identificação do ficheiro para um backup subsequente; Normal - consiste em armazenar tudo que foi solicitado, podendo ainda ser feita a compressão dos dados ou não. Este método também é chamado de backup completo ou global, quando são gravados todas as informações e programas existentes no computador. A desvantagem deste método é que se gasta muito tempo e espaço no suporte de armazenamento; Diário a cópia dos ficheiros é feita verificando-se os dados, ou seja, armazenam-se todos os ficheiros que foram criados ou alterados na mesma data em que se faz o backup. É gasto menos tempo e espaço de armazenamento, mas são armazenados apenas os ficheiros criados ou alterados no dia; Diferencial - só pode ser realizado após um backup normal, pois, como o próprio nome diz, gravam-se as diferenças entre os dados gravados no último backup normal e a data de gravação do backup diferencial. Exemplos: um backup normal ocorreu na segundafeira; um backup diferencial realizado na terça-feira só constará os dados alterados ou criados na terça; se na quarta-feira for gravado outro backup diferencial, ele novamente vai gravar os arquivos alterados ou criados, desde que se gravou o backup normal, isto é, os arquivos de terça e de quarta. Apresenta como vantagem menos tempo e espaço de armazenamento, mas necessita do backup normal inicial; Manual de Noções de Administração de Redes de Dados pág. Nº 78

79 Incremental - também necessita do backup normal e visa o incremento da informação após a criação do backup normal. Ao contrário do diferencial, se for feito um backup incremental após outro incremental, o segundo backup não irá conter os dados do primeiro. Caso seja preciso restaurar o backup, será necessário restaurar o backup normal e todos os incrementais pela ordem em que foram gravados, isto é, uma vez feito o backup normal, o incremental só irá gravar os dados alterados ou criados após o backup anterior, seja ele normal ou incremental. Apresenta como vantagem menor gasto de tempo no backup e espaço de armazenamento, mas necessita do backup normal inicial e de todos os backups incrementais feitos após o normal; 6.4. Suportes de backup Fitas Magnéticas ou Tapes A fita é o mais tradicional meio de cópia de dados. Pode ser armazenada na própria empresa ou fora dela. Também pode ser descarregada numa máquina de contingência (instalada por exemplo num pólo técnico de emergência), da empresa ou numa máquina contratada de algum prestador de serviços de contingência. De entre os modelos de fitas de backup, pode-se destacar a fita DAT (Digital Audio Tape). Considerada como um suporte eficiente para backup, a fita DAT teve o seu aprimoramento com o passar do tempo. Os primeiros modelos atingiam no máximo 5Gb de armazenamento nominal. Hoje são encontradas fitas de 60m, 90m e 120m. O tamanho de cada fita está relacionado com a sua capacidade, ou seja, quanto maior o comprimento da fita, mais dados ela poderá armazenar. A leitura e gravação dos dados serão feitos de acordo com a capacidade da fita. Para definir as diferentes capacidades magnéticas das fitas DAT, foram criados padrões de gravação denominados DDS (Digital Data Storage). Estas unidades de DDS são diferenciadas por números sequenciais (DDS1, DDS2, DDS3 e DDS4). Por exemplo, essas capacidades podem variar desde 2Gb (DDS1) até 20Gb (DDS4) em fitas DAT de 90m. Uma característica das fitas DAT, tanto nos modelos antigos como nos novos, é que possui uma compressão de hardware nativa opcional que dobra a sua capacidade nominal de armazenamento. As unidades de backup tipo DAT/DDS são recomendadas para servidores de rede ou estações com necessidade de armazenar grandes volumes de dados. A opção de contar apenas com a fita para o backup e restauro (restore) de um sistema levanta vários problemas em termos de níveis de serviço. O backup e a recuperação tradicionais, baseados em fita não conseguem atender aos objectivos de tempo de recuperação críticos de hoje, pois não oferecem nenhuma garantia de que é possível Manual de Noções de Administração de Redes de Dados pág. Nº 79

80 fazer um backup completo dos dados ou recuperá-los totalmente, exigindo também períodos de backup longos que afectam directamente a disponibilidade das aplicações em rede. Discos São os Zip Disks, Jazz Disks, as disquetes e os HD s. Os discos apresentam vantagem sobre as fitas em relação à velocidade e ao modo de acesso; são rápidos na busca da informação e têm boa taxa de transferência de dados, mas perdem em espaço. Suportes Ópticos São todos os suportes que armazenam os dados por reflexão ou marcação. Entram nessa categoria as fitas perfuradas, que usam leitura óptica como meio de marcação e os DVD s (Digital Versátile Disc) e CD s, como suportes de reflexão. Os suportes que usam reflexão (CD-R, CD-RW e DVD-R), são classificados em duas categorias diferentes: regraváveis e de gravação única. As principais vantagens de um suporte óptico são durabilidade e imunidade a campos magnéticos. A desvantagem está no pouco espaço de armazenamento. Suportes Magneto-ópticos Ainda pouco utilizadas, podem ser discos ou tapes. Os discos possuem uma capacidade um pouco superior aos discos convencionais e taxas de transferência semelhantes. Podese usar qualquer tipo de suporte para fazer backup. CD-R, DVD-R e tapes são ideais para gravar dados que se têm de manter por longos períodos de tempo. Tão importante quanto fazer o backup é saber onde ele será armazenado. O ideal é que o backup esteja suficientemente distante dos servidores para não ser atingido no caso de uma calamidade (incêndio, desabamento, atentado terrorista, guerra, entre outras). Já o ideal para o Restauro (restore) é que este esteja o mais acessível e próximo possível de onde desejamos efectuá-lo. Logo, a disponibilidade de um sistema em rede está directamente associada ao projecto de backup e recuperação adoptado pela empresa como política de contingência. Uma solução confiável de backup e recuperação necessita de um planeamento detalhado e de um processo de criação eficaz. As soluções de backup e recuperação adoptadas devem igualmente considerar os requisitos de negócios da organização e do seu ambiente operacional. As soluções implantadas também devem ser previsíveis, confiáveis e capazes de processar dados com a maior rapidez possível. Manual de Noções de Administração de Redes de Dados pág. Nº 80

81 6.5. Serviços de backup e recuperação de dados Estratégias de backup Devem ser considerados vários factores ao planear uma solução de backup, como fazer o backup apenas do que é necessário, agendar cuidadosamente os backups e escolher o tipo adequado de backup a ser executado. Manual de Noções de Administração de Redes de Dados pág. Nº 81

82 6.6. Questionário final do capítulo 6 1. O planeamento de um backup ou cópia de segurança deve ter em linha de conta alguns aspectos fundamentais. Indique alguns dos mais importantes. 2. Qual a principal diferença entre um backup diferencial e um incremental? 3. Ao executar um seguro completo e integral a uma base de dados pesada (centenas de Gbytes), qual o tipo de suporte mais adequado? E qual o melhor período para o executar partindo do pressuposto que tem de ser executado diariamente? 4. Qual a principal desvantagem do CD como suporte de armazenamento de seguros? 5. O disco rígido pode constituir um bom suporte para armazenamento de backups. Indique algumas vantagens e desvantagens deste tipo de suporte de armazenamento de backups? Manual de Noções de Administração de Redes de Dados pág. Nº 82

83 7. Gestão de redes com ferramentas centralizadas Objectivos do Capitulo: No final do capítulo o leitor deverá ser capaz de explicar o princípio básico de funcionamento de dois programas de gestão, e instalação de software centralizado numa rede de computadores de média e grande dimensão. Deverá ser capaz de explorar as potencialidades do GFI-Languard. Manual de Noções de Administração de Redes de Dados pág. Nº 83

84 7.1. O problema da gestão de uma rede Hoje em dia, as redes locais de computadores espalham-se para alem dos espaços de umas quantas salas ou pisos de um edifício, dificultando a mobilidade dos técnicos para atender a todas as solicitações de reparação e manutenção de rede. Por outro lado, também os serviços que correm nas redes tornaram a sua gestão mais complexa. Por isso têm aparecido no mercado, soluções de aplicações informáticas especialmente habilitadas para a gestão das redes. Um desses produtos é o GFI- Languard. Escolhemos o GFI-Languard para ilustrar o comportamento de uma ferramenta de gestão de rede, com preocupações focadas na segurança e no deployment de actualizações e aplicação de serviço a software. Manual de Noções de Administração de Redes de Dados pág. Nº 84

85 7.2. O GFI Languard-NSS O GFI Languard-NSS é um software de monitorização de rede que permite recolher várias informações sobre a máquina que está a ser analisada, nomeadamente ao nível das características do software instalado, como por exemplo, actualizações de segurança (patches) em falta, pastas partilhadas abertas, portas abertas, serviços e aplicações activos no computador, entradas-chave no registry do sistema operativo, palavras-passe fracas (que não obedecem a níveis de dificuldade de captação, utilizadores e grupos. Estes resultados podem ser analisados através de registos e com o recurso a filtros, que permitem tomar medidas de gestão e assim reforçar a segurança da rede, por exemplo fechando portas, instalando service packs e hotfixes etc. O GFI LANGuard Network Security Scanner (N.S.S.) verifica a rede analisando todos os potenciais métodos que um hacker poderá usar para a atacar. Ao analisar o sistema operativo e as aplicações que correm na rede, o GFI LANguard N.S.S. identifica possíveis falhas na segurança. O GFI LANguard N.S.S. também é uma solução completa de gestão de patches. Depois de verificar a rede e determinar os patches e service packs em falta quer no sistema operativo, quer nas aplicações pode-se usar o GFI LANguard N.S.S. para instalar os ficheiros em falta nos computadores. Também pode instalar aplicações personalizadas em toda a rede. Em resumo enumeram-se algumas das características mais importantes que poderão ser decisivas para a instalação do GFI Languard NSS: Verificação de contas de utilizadores não utilizadas; Analise de rede no que respeita a vulnerabilidades de segurança; Detecção de pastas partilhadas desnecessárias e portas abertas do protocolo de rede; Verificação e instalação de patches de segurança em falta no sistema operativo e software de aplicação; Scanner de segurança Windows Requisitos do sistema O GFI LANGUARD Network security Scanner, necessita para a sua instalação dos seguintes requisitos mínimos: Windows 2000 com SP4, Windows XP com SP2, ou Windows Manual de Noções de Administração de Redes de Dados pág. Nº 85

86 Internet Explorer 5.1 ou versão superior. Cerca de 40 Mb de espaço livre em disco. Cliente para Microsoft Networks component ( Incluído por defeito em qualquer versão de Windows 95 ou superior), ou no caso de instalação em LINUX, o Secure Shell (SSH), incluída por defeito em qualquer distribuição de LINUX. As firewalls instaladas tanto nos computadores de domínio como nos computadores cliente, poderão interferir com as operações do GFI Languard NSS. Assim dever-se-á desligar as firewalls nos computadores cliente e servidor ou em alternativa deverá usar-se o Windows Internet Connection Firewall domain Policies, para configurar os serviços e as portas necessárias requeridos pelo GFI Languard, para operar correctamente Preparação dos postos remotos na rede Para o correcto funcionamento do GFI LanGuard NSS, é necessário activar o serviço NetBIOS nos computadores remotos. Para o fazer executar o seguinte: 1. Autenticar-se no computador remoto com privilégios de administração. 2. Navegar através do Windows Control Panel (start > Control Panel), e clicar duas vezes em Network Connections icon. Clicar com o lado direito em local área connection e seleccionar Properties Clicar no protocolo TCP-IP e seleccionar Properties Clicar em Advanced e escolher o separador Wins. Manual de Noções de Administração de Redes de Dados pág. Nº 86

87 Seleccionar opção Default na opção NetBIOS. INSTALAÇÃO DO CLIENTE PARA REDES MICROSOFT O cliente para redes Microsoft é um software essencial para a família de sistemas operativos Microsoft. Os computadores devem executar este cliente para poderem ter acesso remoto a ficheiros, impressoras e outros recursos de rede. Para verificar se o cliente está presente e activado fazer o seguinte: 1. Navegar até ao Windows control Panel (Start>Settings>Control Panel) 2. Em Start Menu > My Network Places, escolher Properties. 3. Clicar com o lado direito do rato em Local area Connection e clicar em Properties 4. Na opção General seleccionar a Checkbox próxima a Client for Microsoft windows e clicar em Install. Nota: se a mesma check box já estiver seleccionada, isso indica que o mesmo cliente já está instalado e em funcionamento. Manual de Noções de Administração de Redes de Dados pág. Nº 87

88 INSTALAÇÃO DO PROTOCOLO SNMP 1-Abra o Assistente de Componentes do Windows. 2-Em Componentes, clique em Ferramentas de Gestão e Monitorização (mas não seleccione nem desmarque a respectiva caixa de verificação) e, em seguida, clique em Detalhes. 3-Seleccione a caixa de verificação Protocolo SNMP (Simple Network Management Protocol) e, em seguida, clique em OK. 4-Clique em Seguinte A Instalação do GFI LANGUARD NSS Lançar o GFI LANGUARD NSS, executando o ficheiro languardnss7.exe. Assim que o display de diálogo surgir clicar em next. Especificar o nome completo, a organização, e a chave da Licença. Especificar o domínio onde o GFI vai trabalhar. Manual de Noções de Administração de Redes de Dados pág. Nº 88

89 De notar que o GFI Languard tem de ter privilégios administrativos, como tal terá de adoptar-se preferencialmente o Domain Administrator. No entanto não é obrigatório que se providencie um Profile de administrador para cada computador cliente. Escolher o local de backup onde o GFI irá guardar os resultados dos scans (auditorias) e outras informações. Relativamente ao tipo de estrutura de base de dados, pode-se escolher por exemplo entre o Microsoft Acess, Microsoft SQL Server 7/2000 ou MSDN. De notar que o MSDN só pode suportar até 2GB de informação enquanto o Microsoft SQL server poderá gerir volumes bem superiores, eficientemente e sem limitações. Manual de Noções de Administração de Redes de Dados pág. Nº 89

90 Se optar pelo Microsoft SQL Server, como base de dados poderá gerir a informação mais convenientemente e sem limitações. Na hipótese de escolha do SQL server terá de colocar as credenciais de Autenticação, para o login na base de dados Manual de Noções de Administração de Redes de Dados pág. Nº 90

91 De seguida terá de especificar os detalhes de SMTP/Mail, tais como o nome de cliente e IP, tal como o endereço de quando se pretender receber avisos ou notificações administrativas. Por último e ainda no âmbito da instalação, é necessário introduzir o caminho para a instalação do programa. De notar que são necessários cerca de 40Mb de espaço livre no disco para instalar esta aplicação. A introdução da licença depois da instalação no node é feita em: general>licensing. A licença do GFI Languard é baseada principalmente no número de computadores que estão a correr o GFI Languard, e por outro lado no número de IP s e computadores a gerir ou monitorizar na rede. Não se deve confundir a licença com o processo de registo do software junto do site do fabricante que é muito útil na medida em que nos permite receber um suporte permanente, bem como notificações e updates críticos. O registo poderá ser efectuado no seguinte site: Utilização do GFI LANGUARD O GFI Languard incluí uma configuração por defeito, para uma imediata pesquisa assim que a instalação tenha sido finalizada. Para essa pesquisa tipo Default, só é necessário especificar quais os computadores pretendidos para auditar. Manual de Noções de Administração de Redes de Dados pág. Nº 91

92 O Languard, irá assim por defeito, autenticar-se nos computadores seleccionados usando as credenciais estipuladas na instalação (Normalmente as de administrador de rede). Para este efeito é usada uma lista genérica de vulnerabilidades a verificar, que está pré configurada no Default Scanning Profile. Este é o perfil que vem pré configurado com o Languard. Para executar o primeiro scan ou varrimento deve fazer: FILE > NEW> SCAN SINGLE COMPUTER: Só para fazer scan a um computador SCAN RANGE OF COMPUTERS: Para fazer scan a uma gama de computadores SCAN LIST OF COMPUTERS: Para fazer scan a uma lista configurável de computadores SCAN A DOMAIN : Para fazer scan a um domínio inteiro De notar que todos estes scans podem ser calendarizados no Schedule. Manual de Noções de Administração de Redes de Dados pág. Nº 92

93 O GFI, começa então o scan, verificando na rede quais os computadores que estão ligados, autenticados e possam ser alcançáveis na rede. Isso é feito enviando do servidor de NSS, requests, usando NETBIOS queries, ICMP ping e SNMP queries. Se algum computador não responder a qualquer destes queries, o GFI assume que está desligado ou não existe na rede, e por defeito o Languard não faz scan a computadores que não respondam a queries. Logo de seguida é então executada a pesquisa de vulnerabilidades. A informação retirada tipicamente é a seguinte: Nível de Service packs do computador Falta de Patches de segurança Wireless acess points Dispositivos USB Open shares Portas abertas Serviços e aplicações activas nos computadores investigados Chaves e entradas de Registry Passwords de fraca segurança Utilizadores e grupos. Logo após o Scan o Languard, gera uma janela com os resultados desse scan, dentro da interface de configuração. Esses resultados estão dispostos e organizados por tipo e diferentes categorias. A quantidade e tipo de resultados obtidos são inteiramente dependentes dos computadores a pesquisar e da configuração colocada para pesquisa. Para condensar os resultados é possível aplicar a estes resultados um filtro, usando o comando scan filters. Manual de Noções de Administração de Redes de Dados pág. Nº 93

94 Desta forma é possível navegar nos resultados com o fim de investigar e identificar os assuntos de segurança relativos aos objectos incluídos. Os resultados são apresentados numa árvore com várias categorias simbolizadas com ícones, cuja legenda é apresentada abaixo. Manual de Noções de Administração de Redes de Dados pág. Nº 94

95 Categorias de pesquisa Para ver os resultados do scan, deve seleccionar na categoria pretendida, e a informação é mostrada na janela do lado direito. Manual de Noções de Administração de Redes de Dados pág. Nº 95

96 Vulnerabilidades Seleccionar vulnerabilidades no lado direito, para verificar o relatório de vulnerabilidades encontradas, no objecto de destino. Poderão ser encontradas cinco categorias de vulnerabilidades: Em Missing service Packs o GFI verifica e compara os service packs instalados, com os disponibilizados pela Microsoft Updates. Para obter mais informações clicar com o lado direito do rato no respectivo service pack e seleccionar: MORE DETAILS. Manual de Noções de Administração de Redes de Dados pág. Nº 96

97 POTENCIAL VULNERABILITIES Ao seleccionar este campo na árvore de pesquisa, verificamos as potenciais fraquezas que embora não sejam consideradas vulnerabilidades, requerem especial atenção, visto que podem ser aproveitadas por potenciais atacantes. Manual de Noções de Administração de Redes de Dados pág. Nº 97

98 OPEN SHARES Clicar em shares para verificar todas as partilhas nos computadores de destino. Assim já que existe uma larga quantidade de códigos maliciosos que se propagam em partilha efectiva de aplicações nas ligações de rede, esta verificação e o seu controle traduzemse numa mais valia para o bom funcionamento da rede de comunicações. O GFI mostra também as partilhas administrativas, tais como, C$, D$, E$ etc., e visto que tal informação poderá não ser relevante para o relatório de vulnerabilidades, será útil nesse sentido configurar o GFI para não mostrar essa informação. Manual de Noções de Administração de Redes de Dados pág. Nº 98

99 Password POLICY SETTINGS A fim de prevenir ataques às passwords na organização tipo força bruta, ou outros, a Microsoft tem políticas de implementação de passwords no domínio, com um conjunto de regras e graus de complexidade, seja no número de caracteres ou na sua diversidade, bem como a sua gestão. Neste Campo de resultados o Languard regista estas vulnerabilidades. Manual de Noções de Administração de Redes de Dados pág. Nº 99

100 REGISTRY SETTINGS Este campo de resultados serve para listar as entradas importantes no registo do computador em análise, e serve por exemplo para ver as aplicações que estão no arranque de um determinado computador. SECURITY AUDIT POLICY SETTINGS Este campo serve para auditar as políticas de segurança, configuradas no computador em análise. Uma importante acção na segurança de uma rede é a monitorização dos eventos ocorridos na mesma, o que serve para identificar buracos de segurança ou brechas. Assim, por exemplo, as tentativas falhadas de Autenticação poderão prevenir tentativas bem sucedidas de ataques. Assim as políticas de pesquisa do Languard recomendadas são listadas na seguinte tabela: Manual de Noções de Administração de Redes de Dados pág. Nº 100

101 Poderá ser configurada remotamente a política de auditoria de segurança, directamente no GFI Languard interface. Poderá ser feito da seguinte forma: Na listagem de computadores auditados, clicar com o lado direito do rato e seleccionar: ENABLE AUDIT ON > THIS COMPUTER. Irá aparecer a janela Audit Policy Administration Wizard, clicar em NEXT Seleccionar os campos a auditar com a selecção das check boxes respectivas. Manual de Noções de Administração de Redes de Dados pág. Nº 101

102 OPEN PORTS Clicar em open ports, para verificar as portas que se encontram abertas nos computadores auditados Open ports representa serviços e veículos activos que podem permitir a exploração por parte de utilizadores para ganhar acesso a um determinado computador. É importante deixar abertas apenas as portas que se julgue ser necessárias para as principais funções e serviços de rede. LOGGED ON USERS Usando esta informação ficamos a saber a listagem dos utilizadores que se encontram em comunicação com o computador monitorizado, seja localmente ou através da rede. Manual de Noções de Administração de Redes de Dados pág. Nº 102

103 Para qualquer utilizador é disponibilizada a seguinte informação: Username; ( Time and date of the Logon) Data e hora a que fez o LOGON ; ( Time elapsed Since their logon ) A duração da ligação; ( Number of programs Running ) o número de programas que o utilizador usou durante a sua ligação; ( Idle Time ) A duração da inactividade durante essa ligação; ( Client type) O sistema operativo usado pelo utilizador para essa ligação; (Transport) O tipo de serviço usado para a ligação entre o utilizador e o computador de destino; Manual de Noções de Administração de Redes de Dados pág. Nº 103

104 REMOTE RUNNING PROCESSES Nestes campos são listados todos os processos que estavam a correr no computador auditado, durante a pesquisa do LAN guard. Ainda sobre estes processos é apresentada a seguinte informação adicional: O Seu nome O Process ID O caminho ( Path) O utilizador O PPID O domínio A linha de comandos Handle Count Thread Count A prioridade (Priority) Manual de Noções de Administração de Redes de Dados pág. Nº 104

105 INSTALLED APLICATIONS Neste campo são listadas as aplicações instaladas que são agrupadas em três grupos básicos: -Aplicações de Antivírus -Aplicações AntiSpyware -Aplicações Gerais Nos respectivos campos destas aplicações podemos Consultar o estado dos serviços do Antivírus e Anti spyware, seus updates, e datas dos mesmos. Todos os programas que não são considerados, software de Anti-vírus ou Anti-Spyware, são listados como Aplicações gerais, e é referenciada a sua versão e Distribuidor. Manual de Noções de Administração de Redes de Dados pág. Nº 105

106 NETWORK DEVICES Nesta listagem são descritos todos os dispositivos na rede, sejam eles físicos, (utilizando cabo) ou wireless. Na descrição são utilizados os seguintes ícones: Cada Grupo inclui vários detalhes do dispositivo detectado, incluindo: Manual de Noções de Administração de Redes de Dados pág. Nº 106

107 USB DEVICES Neste campo são listados todos os dispositivos USB. Esta informação é extremamente útil para distinguir entre dispositivos USB autorizados e não autorizados. SYSTEM HOT FIXES PATCHING STATUS Manual de Noções de Administração de Redes de Dados pág. Nº 107

108 Clicar em para verificar o estado dos patches do sistema, em cada um dos computadores seleccionados. Ao clicar ainda em, obtemos uma lista dos nomes NETBIOS das máquinas enumeradas. Cada computador na rede tem um nome NETBIOS único de 16 bytes, que permite que os recursos baseados sejam identificados na rede. Durante a pesquisa usando NETBIOS, se o serviço estiver activado, o computador solicitado irá responder enviando o seu respectivo NETBIOS NAME. SCANNED TARGET COMPUTER DETAILS Nesta descrição podemos obter informação de alguns detalhes relacionados com o computador identificado. Para aceder a esta informação fazer ( ) - Mostra o Mac Address da carta de rede através da qual o computador está ligado à rede. Identifica o número de saltos permitidos até um pacote de dados expirar. Baseado neste valor poderá identificar-se a distância entre o computador que está a correr o GFI, e o computador de destino. Alguns valores típicos, rondam valores de cerca de 32, 64, 128, e 255. Mostra à quanto tempo um determinado computador é um posto de trabalho na rede ou um determinado servidor. Mostra dados relativos à identificação do/s domínio/s ou workgroups existentes na rede. : mostra o tipo de software de gestão de rede bem como sistema operativo relacionado. Mostra o idioma seleccionado no computador de destino. Manual de Noções de Administração de Redes de Dados pág. Nº 108

109 ACTIVE SESSIONS Ao clicar em temos acesso aos postos que estiveram ou estão remotamente ligados à rede. A informação reunida para cada caso estende-se ao seguinte: O endereço IP do posto que esteve ligado remotamente ao posto seleccionado. : O username do computador que esteve autenticado e ligado. : O número de ficheiros acedidos durante a sessão. : A duração da sessão em segundos em que os utilizadores estiveram remotamente ligados ao computador monitorizado. : O tempo total durante o qual a conexão com o computador seleccionado pelo acesso remoto esteve inactiva. : mostra o sistema operativo usado pelo acesso remoto. : O nome do serviço que foi usado para iniciar a conexão remota entre o computador monitorizado, (cliente) e o remoto. Por exemplo, NetBIOS, Smb. Manual de Noções de Administração de Redes de Dados pág. Nº 109

110 GUARDAR E RECUPERAR OS RESULTADOS DA PESQUISA. Por defeito o Languard, guarda os resultados do scan, numa base de dados Microsoft Access ou Microsoft SQL Server database backend. No entanto poderá ser guardada num ficheiro tipo xml externo. Os resultados guardados podem então ser extraídos quando necessário para por exemplo comparar com outras configurações ou efectuar o reenvio de patches perdidos. Para gravar os resultados do scan num ficheiro xml proceder de forma seguinte: No menu FILE, escolher: Save scan results... Escolher um nome para o ficheiro xml e clicar em SAVE. RESTAURO DE UM RESULTADO DE SCAN Por defeito o Languard guarda o scan do últimos dez logs ( poder-se-á aumentar este backup em Database Maintenance, e aí escolhendo Manage Saved Scan results. Para carregar da base de dados estes logs, fazer: Com o lado direito do rato clicar em Load Saved Scan results from... > Database Surge o quadro abaixo: Seleccionar o scan que queremos recuperar Clicar em OK FILTRAR RESULTADOS DE UM SCAN Os resultados de um scan poderão ser filtrados, de forma a mostrar apenas a informação que se julga relevante. Temos um exemplo dessa opção no quadro abaixo. Manual de Noções de Administração de Redes de Dados pág. Nº 110

111 Para obter um resultado filtrado do scan, proceder da forma seguinte: - Lançar um novo scan, ou utilizar um anterior guardado em backup. - Na janela de resultados, expandir o campo, Security Scanner > Scan filter - Aí seleccionar o campo que se pretende ver listado na amostragem. Manual de Noções de Administração de Redes de Dados pág. Nº 111

112 Configuração do GFI LANGUARD Uma das funções de muita utilidade do GFI Languard é a calendarização automática, das monitorizações. Para aceder a esta funcionalidade proceder da seguinte forma: No menu escolher, para configurar scans que serão periodicamente executados, ou numa data e hora específica. Assim podemos usar os recursos de uma rede disponíveis em períodos de menos tráfego, (ex. Madrugada, períodos de descanso, ou fins de semana.) Este recurso está organizado em dois quadros, o Result Saving Tab e o Results Notification Tab. Para aceder a estes quadros fazer: Lado direito do quadro clicar em e seleccionar Aparece o Scheduled Scans configuration dialog. O GFI permite que sejam enviados reports de scan, para uma determinada caixa de correio de a configurar. Essa informação poderá incluir Full scan results report e o Results comparation report. No primeiro resultado são incluídos os resultados do scan realizado pelo Schedule. No segundo são registadas as diferenças ou mudanças entre esse scan e o imediatamente anterior. (de notar que o GFI não envia o Comparison report, caso não haja diferenças entre reports, ou caso seja o primeiro log executado.) Manual de Noções de Administração de Redes de Dados pág. Nº 112

113 Para especificar que reports irão ser enviados por depois de um Scan, fazer: Com o lado direito do rato clicar em Configuration>Scheduled Scans,e seleccionar Properties.No qudro que se abre, clicar em Results Notification Tab, e seleccionar os reports que serão enviados, mal o scan esteja terminado. Clicar em OK para salvar as configurações. SCANNING PROFILES Os Scanning Profiles são modelos configuráveis, que determinam que testes de vulnerabilidade irão ser efectuados aos computadores de destino, bem como qual a informação que irá ser retirada durante a auditoria à rede. Desta forma o GFI vem por defeito com uma listagem de perfis de monitorização, para efectuar determinados scans de acordo com as características da rede. Essa listagem está acessível expandindo o menu, Configuration>Scanning Profiles. Eis alguns exemplos destes perfis: Default: scan destinado a retirar informações várias bem como verificar uma variedade de testes balanceados, como por exemplo aplicações instaladas, portas abertas, aplicações de segurança instaladas etc. Cgi Scanning: retira informações acerca do sistema operativo e retira informação relevante acerca dos servidores web. Full TCP and UDP port Scan: Efectua uma verificação recorrendo a TCP e UDP, a todas as portas desde 0 a Missing Patches: efectua uma verificação relacionada com patches de segurança em falta, bem como de service packs. Ping them ALL: Verifica quais os computadores de uma determinada rede estão ligados. Share Finder: verifica que partilhas estão activas na rede e retira informações acerca dessas partilhas. Removable media protection: verifica quais os dispositivos amovíveis que estão conectados na rede. Applications: verifica que aplicações estão instaladas nos computadores a monitorizar. Manual de Noções de Administração de Redes de Dados pág. Nº 113

114 De notar que quanto maior for o campo de pesquisa e os itens a pesquisar Maior será o tempo de pesquisa. GFI LANguard N.S.S. UPDATES O GFI usa diversos parâmetros, requeridos por diferentes processos de Scan à rede. Estes parâmetros que não são mais do que bases de dados, são actualizados periodicamente pela GFI, que oferece desta forma as últimas versões de Updates da Microsoft, testes de vulnerabilidade bem como informação de identificação de dispositivos, actualizada. Por outro lado através dos Updates recolhe-se melhoramentos de pesquisa do próprio GFI bem como possíveis correcções ás ferramentas de aplicação. Por defeito o GFI está programado para efectuar updates sempre que se inicia o seu funcionamento, mas também existe a possibilidade de os fazer manualmente, actuando no menu, em Help>Check for Updates. Para verificar qual o estado dos Updates do GFI NSS, clicar em General>Program Updates. Manual de Noções de Administração de Redes de Dados pág. Nº 114

115 Na eventualidade de não se pretender os Updates automáticos ao iniciar, fazer: General>Program Updates e Propertties PATCH MANAGEMENT: INSTALAÇÃO DE MICROSOFT UPDATES Ao usar este serviço garantimos que os produtos Microsoft instalados na rede estão actualizados com as últimas actualizações de segurança. Os produtos Microsoft suportados pelo GFI Languard em questões de monitorização encontram-se no seguinte endereço de Internet: Para enviar os patches e uptades para os computadores de destino com sucesso, deverá ter-se em atenção o seguinte: 1. O GFI terá de estar a correr numa conta com direitos administrativos, relativamente aos computadores sob os quais irão ser instalados os Updates. 2. O serviço NetBIOS terá de estar activado nos computadores remotos. O GFI faz uso de um agente de distribuição de patches para enviar patches e service packs. Esse agente não é mais do que um serviço, que é subtilmente enviado e instalado no computador remoto durante o Deployment, o que torna este processo muito mais eficiente e fiável. Manual de Noções de Administração de Redes de Dados pág. Nº 115

116 Para seleccionar os computadores de destino para onde os patches irão ser enviados actuar de forma seguinte: Para enviar patches a um só computador: Na janela de computadores monitorizados, seleccionar com o lado direito do rato no computador sobre o qual desejamos efectuar o update e seleccionar: Para enviar patches para uma gama de computadores: Na janela da gama computadores monitorizados, seleccionar a check box dos computadores sobre os quais desejamos efectuar o update e seleccionar escolhendo qualquer um deles: Para enviar patches para todos os computadores: Na janela da gama computadores monitorizados, seleccionar qualquer um dos computadores e fazer: Depois de especificados em quais os computadores a aplicar os patches, o GFI mostra automaticamente a tabela de opções de Deployiment onde se poderá escolher quais os patches a enviar. Manual de Noções de Administração de Redes de Dados pág. Nº 116

117 Instalação remota de software As ferramentas de deployment, estão acessíveis em Tools>Deploy Custom Software, e o procedimento é similar á distribuição de patches e updates da Microsoft, e resumese ao seguinte: 1. seleccionar qual ou quais os computadores onde o software irá ser instalado 2. Seleccionar qual o software a instalar 3. Iniciar o processo de deployment Manual de Noções de Administração de Redes de Dados pág. Nº 117

118 a) Clicar me Tools>deploy Custom software b) Em Computers to deploy Software, e a meio da janela, clicar em add ou em Select para seleccionar uma gama de computadores para onde irá ser enviado o software a instalar. NOTA: A lista de computadores também poderá ser importada de um ficheiro de texto, clicando no comando button. Manual de Noções de Administração de Redes de Dados pág. Nº 118

119 DEPLOYMENT DE SOFTWARE Através da software área no meio da interface de configuração clicar em add. Especificar o caminho do ficheiro de instalação Na eventualidade de ser requerido algum comando ou script de instalação poderá inscrever-se nesse mesmo quadro. Manual de Noções de Administração de Redes de Dados pág. Nº 119

120 Finalmente poderá dar início ao deployment carregando em start. O GFI permite efectuar a instalação remota de software de forma automática, usando o scheduling patch deployment. Para tal actuar da seguinte forma: 1. Na janela de deployment, seleccionar Deploy on option 2. Especificar a data escolhida e a hora nos campos previstos para tal. 3. Clicar em start para activar o deployment calendarizado. Poderão ser activadas algumas opções de Deployment como por exemplo o envio de uma mensagem durante a instalação no computador remoto, requerer uma permissão de instalação, ou parar todos os serviços antes de enviar o software. Poderá ainda opcionalmente escolher logo após o deployment, não reiniciar o computador remoto, ou pelo contrário permitir esse reboot, ou ainda deixar ao critério do utilizador remoto o momento desse reboot. Manual de Noções de Administração de Redes de Dados pág. Nº 120

121 TOOLS O GFI N.S.S, é distribuído com algumas ferramentas de rede que permitem ajudar a reparar problemas na rede, e assistir nas tarefas de administração. Para aceder a estas ferramentas usar:, para aceder ás seguintes ferramentas: DNS LOOKUP Acedendo a Tools>DNS Lookup, resolvemos os nomes através dos endereços IP, obtendo ainda informações particulares do computador alvo como por exemplo o MX record etc. Escolher o nome do computador de destino e as informações a recolher do menu proposto. Manual de Noções de Administração de Redes de Dados pág. Nº 121

122 TRACE ROUTE Escolher no menu Tools>Traceroute,para identificar o caminho que o GFI LANguard NSS percorreu para atingir o computador de destino. WHOIS CLIENT Manual de Noções de Administração de Redes de Dados pág. Nº 122

123 Escolhendo no menu Tools>Whois Client, podemos obter informação num domínio em particular ou num particular endereço IP. SNMP WALK Ao seleccionar no menu Tools>SNMP Walk, testamos a rede em todos os seus nós e podemos retirar informação SNMP como por exemplo OID s. Para Efectuar um SNMP Scan num determinado posto remoto fazer: 1. Clicar em Tools>SNMP Walk 2. Especificar o endereço IP de destino 3. Clicar em Retrieve para dar início ao processo de recolha De notar que por vezes as firewalls impedem este serviço de realizar-se. Por outro lado visto que nestes queries são frequentemente usados em ataques informáticos, a menos que seja mesmo requerido deixar o serviço SNMP desligado. Manual de Noções de Administração de Redes de Dados pág. Nº 123

124 SNMP AUDITING TOOL Usar tools>snmp Audit Tool, para executar Verificações SNMP nos postos remotos da rede e identificar ligações deficientes ou fracas relativamente a dados identificativos ou relacionais, executando um dictionary attack usando valores guardados no seu ficheiro pré definido ( snmp-pass.txt), que no entanto poderá ser actualizado recorrendo a um editor tipo note-pad. Para efectuar, clicar em Tools>SNMP Audit node, escolher o endereço IP do computador de destino, e por fim clicar em Retrieve. ENUMERATE COMPUTERS Manual de Noções de Administração de Redes de Dados pág. Nº 124

125 Ao usar no menu Tools>Enumerate Computers, podemos identificar os domínios e Workgroups na rede de Computadores. De entre a informação enumerada por esta ferramenta, podemos referir o nome do domínio ou workgroup, e suas respectivas listas de computadores, os sistemas operativos instalados nos computadores encontrados, e ainda alguns dados que poderão ser recolhidos através do NetBIOS. De referir que esta enumeração pode ser efectuada recorrendo a dois métodos: Através da Active Directory: é o mais rápido e ainda permite enumerar os computadores que estejam desligados no momento da sessão de recolha de informação. Usando o Windows Explorer Interface: Este método enumera os computadores em tempo real, no entanto é mais lento que o anterior e não enumera os computadores que nesse momento estejam desligados. ENUMERATE USERS Com esta ferramenta podemos enumerar todos os utilizadores registados na Active directory. Clicar em Tools>Enumerate Users para aceder a esta funcionalidade. Podemos filtrar a informação a extrair e mostrar apenas detalhes dos utilizadores. Opcionalmente é possível que sejam realçadas as contas desactivadas ou bloqueadas. Pode-se assim obter esta funcionalidade recorrendo ás opções de configuração, no lado direito do quadro Enumerate Users Tool. O GFI permite ainda activar ou desactivar qualquer uma das contas enumeradas, recorrendo ao clique com o lado direito em cima da Account e seleccionando. Manual de Noções de Administração de Redes de Dados pág. Nº 125

126 7.3. Questionário de final do Capítulo 7 1. Em traços gerais dê uma ideia das principais características que uma ferramenta de gestão e monitorização de redes deve possuir? 2. O GFI-Languard pode realizar processos de inventariação? De quê em concreto? 3. O que entende por deployment de software? 4. Que ferramentas de diagnóstico de redes possui o GFI-Languard? Manual de Noções de Administração de Redes de Dados pág. Nº 126

127 8. Gestão remota de Sistemas e Aplicações Objectivos do Capitulo: No final do capítulo o leitor deverá ser capaz de descrever as principais características do software Epolice Orchestrator e do Windows Server Update Services, bem como proceder à sua instalação, configuração e operação. Manual de Noções de Administração de Redes de Dados pág. Nº 127

128 8.1. O Epolice Orchestrator A actualização remota de antivírus. O epolicy Orchestrator é uma ferramenta que permite gerir políticas de segurança, avaliar e fiscalizar políticas, identificar e tomar medidas em relação a sistemas fora da nossa rede, além de notificar sobre determinados eventos que poderão ocorrer em toda a rede. O epolicy Orchestrator é constituído por vários componentes que podem ser instalados em sub-sistemas de toda a rede: Manual de Noções de Administração de Redes de Dados pág. Nº 128

129 Conceitos e Instalação do EPO Servidor EPolicy Orchestrator O servidor epolicy Orchestrator deve ser instalado numa máquina dedicada. Normalmente, ele é acedido por meio de consolas remotas do epolicy Orchestrator (instalados noutros computadores). Servidor de base de dados O epolicy Orchestrator utiliza uma base de dados back-end, para armazenar os dados, os quais são representados na árvore de consolas da interface do utilizador. A base de dados contém informações sobre cada computador gerido. Consolas do epolicy Orchestrator Podemos ter várias consolas instaladas na nossa rede. Uma delas fica instalada no próprio servidor de epolicy Orchestrator como consola local, mas podemos também instalar consolas noutras estações de trabalho de forma a aumentar a segurança global na rede. Agente epolicy Orchestrator O agente é um meio de informação e fiscalização entre o epolicy Orchestrator e cada sistema gerido. Para cada um dos sistemas geridos, o agente: Envia actualizações. Executa tarefas agendadas. Fiscaliza políticas. Encaminha propriedades e eventos para o servidor. Cada computador que se pretender gerir precisa de ter este agente instalado. Sensor Rogue System Detection (RSD) Os sensores podem ser instalados num ou mais sistemas por sub-rede. O sensor activo notifica-nos quando um sistema fora da rede (um sistema que não possui um agente epolicy Orchestrator) entra no domínio, podemos, então, iniciar uma ligação automática personalizada a esse sistema; por exemplo, enviando um agente para ser instalado remotamente nesse sistema. Manual de Noções de Administração de Redes de Dados pág. Nº 129

130 Master repository O Master repository faz parte do servidor epolicy Orchestrator, sendo o ponto central de todas as actualizações de produtos da McAfee. O Master repository conecta-se ao Site de Downloads da McAfee em intervalos definidos pelo administrador, para averiguar novas actualizações e patchs disponíveis. O master repository contém uma cópia do conteúdo do Site de Downloads da McAfee. Locais de actualização Os locais de actualização são distribuídos em todo o ambiente, permitindo que os sistemas geridos possam ir buscar arquivos DAT, actualizações e instalações de produtos. Dependendo de como a rede esteja configurada, convém ter diferentes tipos de locais de actualização. Podemos criar locais de actualização HTTP, FTP e de partilha UNC distribuídos em qualquer lugar da rede, ou podemos criar um local de actualização por subrede, transformando um agente de cada uma delas num SuperAgent. Primeiro há que preparar o ambiente instalando o Sistema Operativo Windows 2003 Server, num computador pertencente ao domínio. Na zona de Informação de conta, especifica-se o domínio onde vai ser inserido o computador com o EPO, nome de utilizador e a Password que foi utilizada na autenticação do servidor Epolicy Orchestrator, de seguida guardam-se as informações da conta. Na janela seguinte selecciona-se o servidor de base de dados, escolhendo-se instalar o servidor nesta máquina, visto que esta opção instala a base de dados gratuita MSDE incluída no pacote Epolicy Orchestrator. Através da janela de instalação configura-se a porta 82 HTTP para o agente e a porta 83 HTTP para a consola. Algumas portas HTTP, em particular as portas 80 e 81, são utilizadas habitualmente por muitas aplicações e serviços HTTP. Por esta razão, é possível que a porta 80 já esteja em uso e portanto não esteja disponível. A McAfee recomenda mudar o número desta porta para evitar conflitos. Se por acaso aparecer uma mensagem de advertência que indique que estejam em uso uma ou várias portas HTTP, então deveria ser seleccionado aceitar, repete-se o passo anterior e especificam-se as portas HTTP que estejam disponíveis Operação e Gestão do EPO Início da consola de epolicy Orchestrator Após a instalação anteriormente referida, pode-se abrir a consola do Epolicy Orchestrator de forma a difundir os agentes e produtos antivírus nas máquinas clientes da rede, encontrandose nesta fase o servidor em pleno funcionamento, permitindo começar a gerir directivas a partir da consola. Manual de Noções de Administração de Redes de Dados pág. Nº 130

131 Para abrir a consola carrega-se no botão Iniciar, selecciona-se Programas, Network Associates e Consola de epolicy Orchestrator Ao aparecer a janela de instalação iniciar sessão no servidor, confirma-se que o nome do servidor é o nome correcto do servidor Epolicy Orchestrator e que o nome do utilizador é administrador e atribui-se a Password que se escolheu durante a instalação. Agregar automaticamente contas da Active Directory no seu Directório O EPolicy Orchestrator permite importar todos os dados de uma Conta da Active Directory e as suas contas secundárias para o seu Directório, para as máquinas clientes locais que estejam colocadas na Active Directory da rede. Enviar agentes para clientes da rede Antes de continuar com a configuração das máquinas clientes do Domínio, deve-se instalar um agente do epolicy Orchestrator nas respectivas máquinas clientes. O agente é uma pequena aplicação que reside na máquina cliente e que averigua periodicamente as actualizações e novas instruções do servidor de Epolicy Orchestrator. Para enviar os agentes do servidor de EPolicy Orchestrator são necessárias as seguintes acções prévias: 1. Uma conta com privilégios de administrador com as seguintes características: Se especificarmos privilégios de administrador ao instalarmos o serviço de servidor de epolicy Orchestrator, poderemos enviar agentes automaticamente, de outra forma temos que especificar os privilégios apropriados para realizar o envio do mesmo. Através do Directório da consola do Epolicy Orchestrator, podemos instalar simultaneamente o agente em todas as máquinas da rede. Para isso, basta enviarmos um ficheiro de instalação para toda a rede. 2. Iniciar a instalação dos agentes nas máquinas a partir do servidor Utiliza-se a função Instalar agente para que o Epolicy Orchestrator envie os agentes para todas as máquinas da rede. Ao enviar os agentes a instalação é feita de forma imediata sem que o utilizador se aperceba ou intervenha. Manual de Noções de Administração de Redes de Dados pág. Nº 131

132 Definir directórios do VirusScan Enterprise 8.0i antes do envio Após criados os directórios, o VirusScan está pronto para ser enviado para as máquinas cliente, mas, antes de ser enviado, vamos submete-lo a algumas modificações. Através do arquivo NAP podemos configurar e aprender como funciona o VirusScan Enterprise, uma vez que está instalado na máquina cliente. Para isso utilizamos o seguinte exemplo: Modificamos os directórios das estações de trabalho para a instalação do VirusScan Enterprise 8.0i com um requisito mínimo de utilizador. Esta implementação poderá ser útil numa rede real, para ocultar a janela do sistema nas estações de trabalho, com o fim de impedir que os utilizadores finais possam mudar os directórios e desactivar funções. Para mudar os directórios do VirusScan Enterprise para as estações de trabalho Na consola, selecciona-se o grupo Estações de trabalho. No painel de configurações, carrega-se na ficha Directórios e, para continuar, selecciona-se VirusScan Enterprise 8.0i. Selecciona-se Directórios da área de utilizador. Desactiva-se a opção Herdar para activar as opções de Domínio da área de utilizador. Selecciona-se Mostrar o ícone da janela do sistema com as opções de menu mínimas. Manual de Noções de Administração de Redes de Dados pág. Nº 132

133 Estes passos são repetidos para a instalação do VirusScan nas outras estações de trabalho do nosso Domínio. Enviar VirusScan Enterprise para os clientes Para enviar o VirusScan Enterprise 8.0i para todas as máquinas do Domínio Na consola de configuração, selecciona-se o Domínio. Abre-se a consola de planificação do Epolicy Orchestrator, carregando na ficha Tarefas e anula-se a selecção de Herdar a Configuração de planificação. Na área de Configuração da planificação, selecciona-se Habilitar (a tarefa planificada executa-se na hora especificada). Guardam-se as opções de envio de produto e volta-se à janela de diálogo Planificada do epolicy Orchestrator. Na janela de diálogo Planificada do epolicy Orchestrator, carrega-se na ficha Planificação e anula-se a selecção Herdar para poder activar as opções de planificação. No Tipo de planificação, selecciona-se Executar imediatamente. Configura-se o envio predeterminado para instalar o VirusScan Enterprise em todas as máquinas cliente da rede. O envio executar-se-á da próxima vez que os agentes solicitarem novas instruções ao servidor de Epolicy Orchestrator. Também é possível iniciar uma chamada de activação do agente para que ele envie imediatamente. Actualizar ficheiros DAT mediante uma tarefa de actualização do cliente Uma das tarefas mais habituais que se realiza com o epolicy Orchestrator é a actualização dos ficheiros de definição de vírus (DAT). O VirusScan Enterprise realiza de forma predeterminada una tarefa de actualização imediatamente depois da instalação. Uma vez que o VirusScan Enterprise está instalado, devem ser actualizados os ficheiros DAT com frequência. O software de antivírus só será eficaz se estiver actualizado com os últimos ficheiros DAT, pelo que o melhor é mantê-los actualizados diariamente. Provavelmente ir-lhe-ão pedir para fazer este tipo de actualização; por exemplo, se a McAfee publica ficheiros DAT actualizados, em resposta a novas descobertas de vírus, deseja que os seus clientes actualizem os antivírus sem terem de esperar pelas tarefas de planificação que têm programadas de forma regular. Para isso, pode ser criada e executada uma tarefa de actualização da máquina cliente, através da consola do Epolicy Orchestrator. Esta tarefa obrigou a que todo o software de antivírus da máquina cliente realizasse uma tarefa de actualização. Para criar e executar uma tarefa de actualização da máquina cliente: Manual de Noções de Administração de Redes de Dados pág. Nº 133

134 Na consola, carregue na tecla do lado direito do rato no Directório e seleccione Planificar tarefa. Na Planificação da tarefa, escreve-se um nome no campo Nome da nova tarefa, para Actualizações DAT das máquinas cliente. Na lista do software, seleccione Agente de Epolicy Orchestrator e depois Actualizar para o tipo de tarefa pretendida. Carregue em F5 para actualizar a consola e para que a nova tarefa apareça na lista de Tarefas. Verifique que está agendada para que se executem todos os dias, o dia e a hora actual. Assim pode-se observar que o valor da etiqueta Habilitada é Falso; agora necessitamos mudar o valor para Verdadeiro e executá-la imediatamente. Faz-se a Anulação da selecção de Herdar na janela de Configuração do Epolicy Orchestrator. Em Patchs e Service Packs, seleccione VirusScan Enterprise 8.0 e carregue em Aceitar. Carrega-se na ficha agendada e, para continuar, anula-se a selecção de Herdar. Agenda-se uma tarefa para Executar imediatamente e carrega-se em Aceitar. Inicia-se uma chamada de activação do agente para todos os locais do Domínio, para que os agentes se conectem imediatamente para a respectiva actualização. Agendar sincronização automática dos Directórios Podem ser agendadas tarefas regulares de extracção e réplica para sincronizar os Directórios de origem, para que sejam todos actualizados. A partir desse momento, cria-se uma tarefa agendada de actualizações de clientes para assegurar que o software cliente (VirusScan Enterprise), é actualizado de uma forma regular, caso existam ficheiros DAT actualizados. Agendar uma tarefa de extracção para actualizar o Directório principal diariamente As tarefas de extracção, actualizam o directório do software principal com os últimos ficheiros DAT desde o directório de origem. De uma forma pré determinada, o directório de origem é o Local Web da McAfee. Cria-se uma tarefa agendada para extrair as últimas actualizações do local Web da McAfee por exemplo, uma vez por dia. Como planificar uma tarefa de extracção: Na Consola, seleccionamos Directório. Na página Directório, seleccionamos agendar tarefas de extracção para abrir a página de tarefas de Configuração do servidor. Manual de Noções de Administração de Redes de Dados pág. Nº 134

135 Carregamos em Criar tarefa para abrir a página de Configuração da nova tarefa. Especificamos um nome no campo Nome, como Tarefa diária de extracção do directório. Seleccionamos Extracção do directório no menu alterar Tipo de tarefa. Examinamos as Opções avançadas de agendamento e inserimos o dia e a hora de execução da tarefa. Seleccionamos NAI http para que a busca das actualizações ao Directório de origem seja mais fácil. Se existirem produtos antigos da McAfee, como VirusScan na rede, seleccionamos Admitir actualização de produtos antigos. Notificações do Epolicy Orchestrator A informação em tempo real acerca da actividade de armazenamento e conformidade na nossa rede é essencial. Nesse contexto, podemos configurar regras no Epolicy Orchestrator para que o avisem quando o servidor receber e processar eventos de armazenamento e conformidade especificados pelo utilizador. A possibilidade de estabelecer controlos de agregação e regulação para cada regra, permite definir quando é que serão enviadas as mensagens de notificação. Configurar directórios do agente para carregar eventos de forma imediata O agente envia os eventos das máquinas para o servidor de EPO, desde que as máquinas estejam ligadas ao Domínio ProjectoRedes, caso contrário, o servidor de epolicy Orchestrator não recebe eventos. Manual de Noções de Administração de Redes de Dados pág. Nº 135

136 Seleccionamos Agente de Epolicy Orchestrator e Configuração no painel de detalhes superior. Seleccionamos Activar a carga imediata de eventos e carregamos em Aplicar todos. Acabamos de configurar os agentes para receber os eventos no servidor de Epolicy Orchestrator imediatamente, e está pronto para configurarmos as Notificações. Configurar as notificações Antes de estabelecermos regras, devemos definir quem vai receber as mensagens de notificação: No Servidor de correio electrónico, escreve-se o nome do servidor a quem o servidor de Epolicy Orchestrator se poderá dirigir, e a direcção de correio que deve aparecer na linha de mensagem. Carregamos em Aplicar e de seguida, em Contactos de correio electrónico na parte superior da ficha. Esta página permite especificar todas as direcções que vão incluir no ficheiro desde a que seleccionará os destinatários durante a criação das regras. Agora que especificamos o servidor de correio electrónico, que vamos utilizar para enviar a mensagem numa direcção, está pronto para criar uma regra que activa um evento de VirusScan Enterprise. Manual de Noções de Administração de Redes de Dados pág. Nº 136

137 Configurar uma resposta automática Podemos configurar respostas automáticas para que o EPO as execute nos sistemas não fiáveis. Existem muitas situações em que é possível que não deixem aplicar uma resposta automática. Também se podem definir condições para os tipos de sistemas não fiáveis. Seleccionamos a Detecção de sistemas não fiáveis na consola central e na ficha de respostas no painel de configuração. Selecciona-se a janela de verificação, situada junto ao Consultar agente EPO, de seguida selecciona-se Desactivar na lista de respostas marcadas e carrega-se em Aplicar. Esta resposta vai comprovar se o sistema detectado tem algum agente de outro servidor EPO ou não. Selecciona-se aceitar resposta automática. Escolhe-se um nome para a resposta. Por exemplo, Inserção do agente. Manual de Noções de Administração de Redes de Dados pág. Nº 137

138 8.2. O Windows Server Update Services (Wsus) Conceitos e instalação do WSUS O Windows Server Update Services (WSUS) é a versão que substitui o Software Update Services (SUS). Esta aplicação permite a actualização remota de aplicação de serviço às várias versões de sistemas operativos Windows que estejam instalados na rede que vai ser servida. Requisitos mínimos de Instalação do WSUS O que vamos ver a seguir são os requisitos básicos de instalação do WSUS que utiliza opções padrão. Podemos encontrar os requisitos de hardware e software para outras instalações em Implantar o Microsoft Windows Server Update Services. As recomendações de hardware para um servidor até 500 computadores clientes são as seguintes: Processador de 1 GHz 1 GB de Memória RAM Requisitos de Software Antes de se iniciar a configuração do WSUS, devemos certificarmo-nos de que o computador que irá utilizar para o servidor WSUS tem pelo menos os requisitos listados abaixo. Se alguma dessas actualizações exigir que o computador seja reiniciado assim que a instalação estiver concluída, isso deverá ser feito antes de instalar o WSUS. Windows Server 2003 Caso opte por instalar o WSUS em ambiente Windows Server 2003, deverá ter instalados os seguintes programas de aplicação: Microsoft Internet Information Services (IIS) 6.0. Background Intelligent Transfer Service (BITS) 2.0 Microsoft.NET Framework 1.1 Service Pack 1 for Windows Server 2003 Windows Server 2000 Caso opte por instalar o WSUS em ambiente Windows Server 2000, deverá ter instalados os seguintes programas de aplicação: Microsoft Internet Information Services (IIS) 5.0. Background Intelligent Transfer Service (BITS) 2.0; Manual de Noções de Administração de Redes de Dados pág. Nº 138

139 Software de banco de dados que seja 100% compatível com o Microsoft SQL. Microsoft Internet Explorer 6.0 Service Pack 1; Microsoft.NET Framework Version 1.1 Redistributable Package; Microsoft.NET Framework 1.1 Service Pack 1; Requisitos e Recomendações para o Disco rígido de suporte Para instalar o WSUS, o sistema de ficheiros do servidor deve preencher os seguintes requisitos: Tanto a partição do sistema como a partição em que se instala o WSUS devem ser formatadas com o sistema de arquivo NTFS É necessário um espaço livre mínimo de 1 GB para a partição do sistema. É necessário um espaço livre mínimo de 6 GB para o volume em que o WSUS armazena o conteúdo; é recomendado 30 GB. É necessário um espaço livre mínimo de 2 GB para o volume em que o WSUS Setup instala o Windows SQL Server 2000 Desktop Engine (WMSDE). Instalar o MSDE no seu Servidor (Somente para Windows 2000) Se estiverem a usar o WSUS com o Windows 2000 Server e não possuírem acesso ao Microsoft SQL Server 2000, devem então instalar o Microsoft SQL Server 2000 Desktop Engine (MSDE) antes de executar o WSUS Setup. Caso não acontece se escolherem o Windows 2003 server, visto este já trazer incluído no pacote o Microsoft SQL Server. Instale o WSUS no Servidor SUS Após ter visto os requisitos de instalação e, opcionalmente, ter instalado o MSDE, já estaremos prontos para instalar o WSUS. O procedimento que se segue utiliza as opções padrão de instalação do WSUS no Windows 2000 Server com o SUS instalado. Isso requer que se forneça um software de base de dados, armazene localmente as actualizações e utilize o site na porta Se se está a usar o Windows Server 2003, não precisa fornecer este software de base de dados. Devemos efectuar login ao servidor em que planeia instalar o WSUS usando uma conta membro do grupo local Administrators. Só os membros desse grupo podem instalar o WSUS. Seleccionar Origem da Actualização (Select Update Source) Faça duplo clique no ficheiro de instalação WSUSSetup.exe. Na página Welcome do assistente, clique em Next. Leia atentamente os termos do acordo de licença, clique em I accept the terms of the License Agreement, e depois clique em Next. Na página Select Update Source, podemos especificar o local a partir do qual os clientes obtêm actualizações. Se seleccionar caixa de selecção Store updates locally, as actualizações Manual de Noções de Administração de Redes de Dados pág. Nº 139

140 serão armazenadas no servidor WSUS e deveremos seleccionar um local, no sistema de ficheiros, para armazená-las. Se não armazenarmos as actualizações localmente, os computadores clientes ligam-se à Microsoft Update para obter actualizações aprovadas. Mantenha as opções padrão e clique em Next. Seleccionar Origem da Actualização (Select Update Source) Na página Database Options, Para o Windows Server 2003, clique em Install SQL Server desktop engine (Windows) on this computer. Para o Windows 2000 Server, clique em Use an existing database server on this computer, seleccione o nome de instância da caixa SQL instance name, e depois clique em Next. Opções de Base de Dados (Database Options) Manual de Noções de Administração de Redes de Dados pág. Nº 140

141 Na página Web Site Selection, clique em Create a Microsoft Windows Server Update Services Web site. Esta página lista também duas URLs importantes, baseadas nesta selecção: a URL à qual iremos apontar como o local em que os computadores clientes do WSUS irão obter actualizações, e a URL para a consola do WSUS, em que iremos configurar o WSUS. Na página Mirror Update Settings, podemos especificar o papel do gestor para este servidor WSUS. Se este for o primeiro servidor WSUS. Na rede rede, ou se queremos uma topologia de gestão distribuída, passe este menu. Caso queiramos uma topologia de gestão central e este não é o primeiro WSUS na rede, seleccione a caixa de selecção, e digite o nome do servidor WSUS adicional na caixa Server name. Mantenha a opção padrão e clique em Next. Configurações de Actualização de Espelho (Mirror Update Settings) Manual de Noções de Administração de Redes de Dados pág. Nº 141

142 Na página Ready to Install Windows Server Update Services, verifique as Selecções e clique em Next. Instalar o Windows Server Update Services (Install Windows Server Update Services) Manual de Noções de Administração de Redes de Dados pág. Nº 142

143 Se a página final do assistente confirmar que a instalação do WSUS foi concluída com sucesso, clique em Finish. Manual de Noções de Administração de Redes de Dados pág. Nº 143

144 Configuração e Gestão do WSUS Configuração do WSUS Após instalar o WSUS, já está pronto para aceder a consola WSUS a fim de configurar o WSUS e começar a utilização do mesmo. Por padrão, o WSUS está configurado para usar a Microsoft Update como o local para se obter actualizações. Se possuir um servidor proxy na rede, use a consola do WSUS para configuração do WSUS para uso no servidor. Após configurar a ligação de rede, podemos obter as actualizações. Utilize uma opção de sincronização do WSUS para downloads agendados, que estão habilitados por padrão. Configure também o WSUS para fazer o download de actualizações para o mesmo número de idiomas para o qual o SUS foi configurado. Por padrão, o WSUS está configurado para fazer o download de todos os idiomas. Essas configurações garantem que não precisamos necessariamente fazer download de actualizações directo na sua ou em idiomas que não solicitou. Para obter actualizações, você deve sincronizar o servidor WSUS. A sincronização envolve o contacto do WSUS com a Microsoft Update. Após fazer o contacto, o WSUS determina se há alguma actualização disponível desde a última vez em que sincronizou. Como esta é a primeira vez que você está a sincronizar o servidor WSUS, todas as actualizações estão disponíveis e prontas para sua aprovação e instalação. Este passo contém os seguintes procedimentos: Abertura do console WSUS. Configuração das definições do servidor proxy para que o WSUS possa obter as actualizações. Configuração das definições de idiomas do WSUS. Sincronização do seu servidor WSUS. Como abrir a consola do WSUS No servidor WSUS, clique em Start, aponte para All Programs, depois Administrative Tools, e depois clique em Microsoft Windows Server Update Services. Deve ser membro tanto do grupo Administradores do WSUS como do grupo de segurança local, no servidor em que o WSUS está instalado, a fim de usar a consola do WSUS. Se não adicionarmos o <servidor> do site à lista de sites na zona de Intranet Local, no Internet Explorer no Windows Server 2003, poderemos receber credenciais de todas as vezes em que abrirmos a consola do WSUS. Se mudarmos a atribuição da porta, no IIS, após instalar o WSUS, deveremos actualizar manualmente o atalho pelo menu Start. Manual de Noções de Administração de Redes de Dados pág. Nº 144

145 8.3. Questionário final do capítulo 8 1. Em que consiste o programa Epolice Orchestrator? 2. O Windows Server Update services permite a execução descentralizada de algumas tarefas fundamentais na gestão de redes baseadas em Windows. Quais são essas tarefas? 3. Quais são, em seu entender as principais vantagens no uso destes programas? 4. De que forma se pode poupar em recursos humanos usando este tipo de programas? Manual de Noções de Administração de Redes de Dados pág. Nº 145

146 9. Políticas de licenciamento, suporte e manutenção Objectivos do Capitulo: No final do capitulo o leitor deverá ser capaz de descrever quais as políticas de licenciamento de software mais vulgarmente praticadas no mercado e adequar os vários tipos de licenciamento às realidades de cada organização. Manual de Noções de Administração de Redes de Dados pág. Nº 146

147 9.1. A questão do licenciamento de software A propriedade intelectual, ou mais concretamente a sua protecção, constitui uma preocupação muito grande nos nossos dias e nas mais variadas áreas de actividade. Na área das Tecnologias de Informação e Comunicação, esta questão assume particular relevo, uma vez que é de extrema simplicidade a contrafacção do software e a sua consequente utilização fraudulenta. Apesar de não terem suporte técnico, ou apoio pós-venda, quando contrafeito, o software continua a ser copiado e usado de uma forma abusiva contribuindo esta prática, também para o custo elevado de um original, (paga o justo pelo pecador). O "software pirata" é uma realidade nas empresas e nos particulares e a sua detecção por parte das entidades legais gera problemas muito graves para as empresas: multas, equipamento apreendido, impacto mediático e perda de clientes. Alguns fabricantes de software permitem licenciar por equipamento, o que, neste caso poderá ter a vantagem de poderem vários colaboradores usar o mesmo equipamento e software, mas outros fabricantes exigem que o licenciamento seja efectuado pelo nº de utilizadores. Se os utilizadores estiverem a usar funções especificas, como por exemplo, autenticação, utilização de acesso a ficheiros partilhados, impressão, num dado servidor, terá que fazer o licenciamento de todos os utilizadores ou máquinas que tem autorização de acesso ao software, mas dependendo das politicas de licenciamento dos fabricantes. Mas vejamos que tipos de software estão disponíveis no mercado Software Freeware São os programas gratuitos, exactamente como os programas Shareware que veremos já a seguir, mas não exigem registo e não têm qualquer exigência de pagamento pelo seu uso. Contudo não é permitida a sua alteração, ou seja não está disponível o código fonte que permite alterar ou adaptar o software Software com Licenciamento Shareware É um tipo de licenciamento que permite que o software seja usado durante um período de tempo, free-trial, pelo que após esse período expirar terá que desinstalar o software e/ou adquirir uma licença definitiva. Para muito software shareware, só é possível o seu uso sem licenciamento por entidades não comerciais. Manual de Noções de Administração de Redes de Dados pág. Nº 147

148 Inclusivamente o tipo de licenciamento pode ser alterado caso a versão de software mude. Acontece por vezes que ao mudar de versão de software tenha que se reger pelas novas políticas de licenciamento do fabricante Software com Licenciamento genérico Um acordo de Licença de Software é um memorando de contrato entre o produtor e um utilizador do software de computador que concede ao utilizador uma licença de uso. Um utilizador pode ser qualquer entidade juridicamente legal ou um utilizador-final, que no caso do acordo de licença de software é chamado às vezes de End User License Agreement. O acordo especifica as condições em que o produto é concedido pelo proprietário ao utilizador. Ao adquirir uma licença, o utilizador adquire o direito de uso do software com base em regras estabelecidas pelo detentor dos direitos de autor. O mesmo produto ou software pode ser vendido de vários modos, função do volume de licenças a adquirir ou do tipo de utilização a que se destina o software (por exemplo existem fabricantes que praticam preços especiais para o ensino). Cada instalação de software requer uma licença que o acompanha. Se uma empresa adquire um software, o acordo de licença determina também o número de computadores em que pode ser instalado o software. Por exemplo, a Microsoft oferece diferentes opções e acordos de licença para atender a necessidades variadas. Essas opções incluem desde licenças para uma única instalação até programas de licença em grandes volumes, que proporcionam uma economia significativa aos clientes que precisam de muitas instalações do mesmo programa (por exemplo, que precisam instalar o Microsoft Office em várias centenas de computadores). Conhecendo as opções de licenciamento de um determinado software, pode-se avaliar qual a melhor maneira, de adquirir o software e as respectivas licenças para as suas próprias necessidades. O licenciamento serve como uma valiosa protecção: protecção para os clientes, pois eles sabem que recebem o software genuíno (incluindo acesso a suporte técnico e actualizações), e protecção para a propriedade intelectual, investida na criação desse software. Manual de Noções de Administração de Redes de Dados pág. Nº 148

149 A Microsoft por exemplo disponibiliza vários tipos de licenças de software, donde descrevemos alguns de seguida: Software pré-instalado em computadores novos (software OEM) Este é o software que vem instalado quando o cliente adquire um computador novo (por exemplo: sistema operativo Windows XP Professional). Clientes que adquirem software pré-instalado podem beneficiar das opções disponíveis de licenciamento em grandes volumes para manter o seu software actualizado. FPP (Full Packaged Product) - Retalho O FPP refere-se às caixas embaladas de produtos licenciados que podem ser adquiridos numa loja de venda directa ao cliente em qualquer local. Não é possível combinar opções de actualização de licença em volume com o produto de retalho. Para os clientes que possuem cinco computadores ou mais, a migração para uma solução de licenciamento em volume provavelmente proporcionará uma economia de tempo e dinheiro Licenciamento em grandes volumes para organizações Determinados clientes podem fazer uma economia significativa com a aquisição de várias licenças de software. Vejamos a oferta da Microsoft nesta área, dependendo do tamanho e tipo da organização, as seguintes opções de licenciamento em grandes volumes podem ser oferecidas: O OPEN LICENSE é recomendado para organizações que vão adquirir no mínimo cinco licenças. Existem três tipos de Open License que a Microsoft pode oferecer ao seu cliente: Open Volume Licenses, Open Business Licenses e Open License Value. Microsoft Open License Value é um plano de aquisição de licenças que proporciona aos clientes descontos. O programa oferece várias vantagens às empresas que possuem no mínimo cinco computadores, incluindo economia com licenciamento em volume e a capacidade de parcelar o pagamento das licenças por um período de até três anos. Além disso, o Open License Value inclui Software Assurance, que possibilita que os seus clientes se mantenham actualizados com as tecnologias necessárias. Proporciona um melhor acesso a ferramentas avançadas de gestão de software. Manual de Noções de Administração de Redes de Dados pág. Nº 149

150 A modalidade SELECT LICENSE destina-se às organizações com no mínimo 250 computadores que conseguem prever as suas aquisições de licenças de software num período de três anos. Embora este tipo de licença só esteja disponível através dos revendedores que atendem a grandes contas (LARs). Uma Select License cria uma necessidade significativa de implementação e infra-estrutura para o cliente. ENTERPRISE AGREEMENT é talvez a melhor opção para clientes com várias centenas de computadores que pretendam standardizar a sua empresa com um ou mais dos produtos empresariais Microsoft (Office Professional, actualização para Windows Professional e Core CAL), com preços e descontos baseados em acordos com duração de três anos. ENTERPRISE SUBSCRIPTION AGREEMENT é o programa para clientes grandes com centenas ou milhares de computadores que preferem licenciar produtos de software Microsoft através do sistema de assinatura. O Enterprise Subscription Agreement possibilita ao seu cliente padronizar-se com um ou mais dos produtos empresariais Microsoft, com preços e com descontos baseados num acordo com duração de três anos. ACADEMIC VOLUME LICENSING é a solução de licenciamento em volume para atender às necessidades específicas das instituições de ensino. Manual de Noções de Administração de Redes de Dados pág. Nº 150

151 9.2. Outros tipos de licenciamento Outro fabricante de software, A McAfee, tem outra política para a comercialização dos seus produtos da área do Antivírus. As suas modalidades de licenciamento, disponibilizam duas possibilidades de adquirir os produtos dos seguintes modos: Licenças Perpétuas (independentemente da data de aquisição) e licenças por Assinatura. Licenças por Assinatura: O actual modelo de licenciamento por assinatura 2.1 foi introduzido em Janeiro de Isto separou o direito à manutenção de software do direito ao uso do software. O cliente deve ter um contrato de Suporte Técnico em vigor para ter direito à manutenção do software. O primeiro ano do prazo de 2 anos da licença do produto inclui o Suporte Técnico. O direito à manutenção de software durante o segundo ano do prazo da licença do produto é obtido com a aquisição de um outro contrato de Suporte Técnico de um ano. Licenças Perpétuas: Para os clientes que preferem um prazo indefinido de licença de software, apoiado por contratos de Suporte Técnico renováveis anualmente. As licenças perpétuas da McAfee exigem que o cliente opte por um dos contratos de Suporte Técnico para ter direito à manutenção de software. É importante observar que um contrato de licença NÃO confere ao cliente o direito à actualização para novas versões ou à actualização do produto. Especificamente, o direito à actualização para novas versões ou ao acesso a novos ficheiros de assinatura de vírus está disponível apenas por meio de um contrato de Suporte Técnico, o qual inclui a manutenção de software Todos os clientes recebem uma cópia do Contrato de Licença para Utilizadores Finais, da McAfee. O texto que se segue é um extracto da licença: Actualizações. A licença limita-se à versão do Software fornecido pela McAfee, não incluindo versões, actualizações, modificações ou revisões subsequentes, a menos que um contrato separado de manutenção seja adquirido. Se tal contrato for adquirido, então, pelo prazo especificado na tabela de preços pertinente ao Software, você terá direito ao download de revisões ou actualizações do Software quando e se a McAfee as disponibilizar, por exemplo através do seu site ou por outros serviços on-line. Após o Manual de Noções de Administração de Redes de Dados pág. Nº 151

152 prazo especificado, o utilizador não terá mais direito a receber nenhuma revisão ou actualização se não adquirir uma nova licença do Software. Manual de Noções de Administração de Redes de Dados pág. Nº 152

153 9.3. Questionário de final de Capítulo 9 1. Qual é, no seu entender, o melhor método de licenciamento para uma empresa com 250 computadores, 6 servidores com sistema operativo Windows 2003 SRV, com necessidade de distribuição de antivírus centralizada. 2. O que significa CAL (Client Access license)? 3. Qual a diferença entre suporte técnico e actualizações de produto? Manual de Noções de Administração de Redes de Dados pág. Nº 153

154 10. Estruturas de Apoio aos Utilizadores (Help-Desk) Objectivos do Capitulo: No final do capítulo o leitor deverá ser capaz de desenhar uma estrutura de Help-desk adequada a um dado cenário de Organização. Essa estrutura deverá contemplar a infraestrutura de apoio, os recursos humanos envolvidos e sua organização e planos de actuação. Manual de Noções de Administração de Redes de Dados pág. Nº 154

155 10.1. O Help-desk (Apoio aos utilizadores) O Conceito de Help-desk A abordagem que faremos neste capítulo ao tema Help-desk, tem como objectivo o apoio a utilizadores internos à organização, que necessitam de usar Tecnologias de Informação e Comunicação para executarem as suas tarefas diárias. Num Help-desk, raramente o planeamento prevalece sobre o inesperado. Todos os dias e a qualquer hora podem surgir incidentes que têm de ser imediatamente resolvidos tendo, para tal que serem deslocados das suas actividades agendadas, recursos humanos e por vezes materiais para reverter a situação. Para que tudo funcione, devemos inicialmente definir claramente as principais actividades do Help-desk e responsabilizar os técnicos que colaboram nessa estrutura para as várias actividades decorrentes do apoio aos utilizadores Actividades de Help-desk Poderemos sintetizar algumas das actividades que podem ser definidas como principais numa estrutura de Help-desk: 1. Receber as solicitações dos colaboradores e outros utilizadores relativamente á resolução de incidentes e pedidos de esclarecimento ao nível dos sistemas e tecnologias de informação e comunicação; 2. Corrigir anomalias e/ou promover a resolução de problemas na utilização das soluções instaladas; 3. Garantir a informação adequada e atempada aos utilizadores sobre as situações reportadas, de forma articulada com as outras áreas da Direcção de Sistemas e Tecnologias de Informação ou outros departamentos da organização; 4. Propor a aquisição de equipamentos, tecnologias e aplicações no sentido de garantir atempadamente a operacionalidade dos postos de trabalho; 5. Produzir e manter, em colaboração com o Serviço de Organização, manuais e outra documentação que possa apoiar a exploração das soluções e equipamentos instalados; 6. Produzir e controlar o inventário de Hardware e software, bem como a sua localização ou deslocação dentro da empresa Níveis de Help-desk Em organizações com um número significativo de utilizadores e consequentemente com um número muito elevado de estações de trabalho, servidores e com aplicações e bases de dados complexas, a estrutura de Help-desk que terá de ser criada é completamente Manual de Noções de Administração de Redes de Dados pág. Nº 155

156 diferente da que se implementará numa pequena ou média empresa. Vejamos então os dois extremos. Num primeiro cenário consideramos uma pequena empresa com um número de máquinas instaladas inferior a 30. Neste cenário existem dois servidores, um para suporte aos serviços de rede básicos como o DNS, o DHCP e a gestão do domínio. Para este ambiente, não necessitaremos de dividir a estrutura de Help-desk em sub níveis, ficando a tarefa do apoio aos utilizadores a cargo de um ou dois técnicos, que, nalguns casos práticos nem sequer estão acometidos a estas tarefas em regime de exclusividade. Um deles, poderá mesmo não ser um especialista, mas sim uma pessoa com prática no uso de TICs, que resolverá a maior parte dos problemas de erros de configuração ou má operação das estações de trabalho. Poderá ainda executar algumas tarefas não acometidas directamente ao apoio a utilizadores, como por exemplo a execução de backups, ou apenas a troca de tapes. Manual de Noções de Administração de Redes de Dados pág. Nº 156

157 No cenário de maior complexidade, já existe a necessidade de possuir uma estrutura de Help-desk organizada, em que deve haver um atendimento a dois ou três níveis. Manual de Noções de Administração de Redes de Dados pág. Nº 157