GERENCIAMENTO INTEGRADO DE REDE LOCAL COM SOFTWARE LIVRE

Transcrição

1 Ilha Solteira UNIVERSIDADE ESTADUAL PAULISTA JÚLIO DE MESQUITA FILHO Câmpus de Ilha Solteira - SP Ápio Carnielo e Silva GERENCIAMENTO INTEGRADO DE REDE LOCAL COM SOFTWARE LIVRE Ilha Solteira 2014

2 ÁPIO CARNIELO E SILVA GERENCIAMENTO INTEGRADO DE REDE LOCAL COM SOFTWARE LIVRE Dissertação apresentada à Faculdade de Engenharia do Câmpus de Ilha Solteira - UNESP como parte dos requisitos para obtenção do título de Mestre em Engenharia Elétrica. Especialidade: Automação. Prof. Dr. Sérgio Azevedo de Oliveira Orientador Ilha Solteira 2014

3 FICHA CATALOGRÁFICA Elaborada pela Seção Técnica de Aquisição e Tratamento da Informação Serviço Técnico de Biblioteca e Documentação da UNESP - Ilha Solteira. S586p Silva, Ápio Carnielo e. Gerenciamento integrado de rede local com software livre- / Apio Carnielo e Silva. - Ilha Solteira : [s.n.], f.:il. Dissertação (mestrado) - Universidade Estadual Paulista. Faculdade de Engenharia de Ilha Solteira. Área de Conhecimento: Automação, 2014 Orientador: Sérgio Azevedo de Oliveira Inclui bibliografia 1. Rede de computadores. 2. Interface gráfica. 3. Gerenciamento integrado. 4. Software livre.

4

5 À minha família, em especial aos meus pais Marinho e Ondina, ao meu irmão Álvaro por todo amor, apoio, confiança e incentivo em todos os momentos.

6 AGRADECIMENTOS Agradeço a Deus por estar sempre ao meu lado, me dando forças para superar todos os obstáculos com muita saúde. Ao Professor Sérgio Azevedo de Oliveira, pela orientação, dedicação, paciência e incentivo. À minha família, em especial aos meus pais Marinho e Ondina e ao meu irmão Álvaro pelo amor e apoio incondicional para que este trabalho fosse concluído. Aos amigos do Departamento de Engenharia Elétrica da UNESP Câmpus de Ilha Solteira, por suas amizades e apoio, em especial ao amigo Ricardo Frangiosi de Moura, que foi um grande irmão para mim. A todos os funcionários do Departamento de Engenharia Elétrica da UNESP Câmpus de Ilha Solteira, em especial à Luzinete Maria de Oliveira, Marcos Renato da Silva Junior, Rafael Estéfano Vicentini e Deoclécio Mitsuiti Kosaka pelo suporte técnico e pela amizade. Aos meus amigos de trabalho, não menos importantes, João Iron, Adriano, Vlademir, Pedro, Edilson, Domisley, Shigueo, Edilton, Fernando (Animal), Andréa, Marcão, Marcos Furini, Carlos Febres, Cuiabá, Max, Maria Eliza, Renan, Pedro, Curintinha e todos aqueles que conviveram dia-a-dia com as dificuldades encontradas em meu trabalho além de propiciar bons momentos em nossa convivência. Ao Programa de Pós Graduação em Engenharia Elétrica, da UNESP Câmpus de Ilha Solteira, pelo suporte técnico e de infraestrutura para realização deste trabalho. Meus agradecimentos a todos os familiares, amigos, professores e funcionários da UN- ESP Câmpus de Ilha Solteira, que direta ou indiretamente contribuíram para a realização deste trabalho.

7 O homem não morre quando deixa de viver, mas sim quando deixa de amar. Anônimo

8 RESUMO Neste trabalho foi desenvolvido uma interface gráfica denominada Silent Security Monitor (SSM) para uso via web, utilizando-se as linguagens shell script e PHP, com o objetivo de descentralizar o gerenciamento da rede em subdomínios, delegando responsabilidades para usuários previamente autorizados e que tenham um mínimo de conhecimento técnico sobre o assunto. A interface SSM foi feita com a integração de diferentes recursos computacionais de domínio público para facilitar a configuração e monitoração dos serviços necessários em um servidor de rede, tais como: firewall, DHCP, squid/proxy, DNS, , dentre outros. No desenvolvimento da ferramenta utilizou-se uma estratégia modular, que facilita o uso e permite a inclusão de novos módulos posteriormente. Cada módulo desenvolvido apresenta ícones, que acionados, executam em background gatilhos em forma de scripts. Estes por sua vez, executam comandos apropriados para as finalidades específicas de cada serviço associado ao ícone. Todas os serviços disponíveis na ferramenta possuem um texto auto-explicativo que detalha a sua forma de utilização. A ferramenta foi totalmente desenvolvida com software livre e o acesso ao seu código permite alterações de acordo com as necessidades do usuário. Palavras-chave: Redes de computadores. Interface gráfica. Gerenciamento integrado. Software livre.

9 ABSTRACT We have developed a graphical interface called Silent Security Monitor (SSM) for use by the web using the PHP languages and shell script, with the aim of decentralizing the management of the network into subdomains, delegating responsibilities to pre-authorized users and have a minimum of technical knowledge on the subject. The SSM interface was made with the integration of different computational resources in the public domain for easy configuration and monitoring necessary services on a network server, such as firewall, DHCP, squid/proxy, DNS, , among others. In developing the tool we used a modular strategy that facilitates the use and allows the addition of new modules later. Each module developed displays icons that triggered, running in the background triggers in the form of scripts. These in turn performing appropriate for the specific purposes of each service associated with the icon commands. All services available in the tool have a self explanatory text detailing the method of use. The tool was developed entirely with open source software and allows access to your code changes according to user needs. Keywords: Computer networks. GUI. Integrated management. Free software.

10 LISTA DE FIGURAS Figura 1 Ilustração do sistema operacional como interface entre o usuário e os recursos do sistema Figura 2 Esquema genérico de um servidor proxy Figura 3 Visão do sistema SARG Figura 4 Visão da tela de Acesso Negado Figura 5 Visão da tela de configuração do proxy no SO Linux Figura 6 Visão da tela de configuração do proxy no SO Windows c Figura 7 Tela de configuração gerada pelo MRTG Figura 8 Gráficos gerados pelo MRTG Figura 9 Funcionamento do servidor DHCP Figura 10 Esquema das etapas de uma gerência de rede Figura 11 Quatro elementos que devem estar presentes na rede Figura 12 Elementos de uma rede com SNMP Figura 13 Funcionamento da relação de um agente com o objeto a ser gerenciado Figura 14 Árvore MIB parcial a partir da raiz Figura 15 Modelo de comunicação entre gerente e agente usando SNMP Figura 16 Esquema da visão geral do NRPE Figura 17 Esquema da checagem direta Figura 18 Esquema da checagem indireta Figura 19 Ilustração de um firewall Figura 20 Diagrama do funcionamento do iptables Figura 21 Diagrama de blocos ilustrativo da ferramenta SSM Figura 22 Tela login para acessar a interface SSM Figura 23 Tela principal da interface SSM

11 Figura 24 Tela de serviços do firewall Figura 25 Figura 26 Tela de configuração dos endereços de IP s das placas de redes, gateway e DNS Tela de configuração dos endereços de IP das placas de redes externa e interna Figura 27 Tela de configuração do endereço de IP da placas de rede interna Figura 28 Tela de configuração do endereço de IP da placa de rede externa Figura 29 Tela de configuração do endereço de gateway Figura 31 Funcionamento do servidor DHCP Figura 32 Tela de configuração das funcionalidades do squid Figura 30 Tela de configuração dos endereços de DNS Figura 33 Tela de Relatórios internet, rede local, memória e processamento, status do disco rígido Figura 34 Gráfico gerado pelo MRTG Figura 35 Tela de configuração do serviço bandlimit Figura 36 Tela de teste de velocidade do link de internet Figura 37 Testando a velocidade da conexão Download Figura 38 Testando a velocidade da conexão Upload Figura 39 Tela do módulo de monitoramento da rede Figura 40 Tela das informações do computador cadastrado no Nagios Figura 41 Tela com informações gerais do computador monitorado Figura 42 Tela com mais detalhes sobre o computador monitorado Figura 43 Tela de cadastro do computador no Nagios Figura 44 Tela de cadastro de roteador, switch ou impressora no Nagios Figura 45 Tela de monitoramento do Nagvis Figura 46 Tela de monitoramento do Cacti Figura 47 Tela para mudar a senha do usuário admin

12 Figura 48 Tela com os botões para reiniciar ou desligar o servidor remotamente Figura 49 Tela de login do sistema Figura 50 Tela de alteração do endereço das placas de redes interna e externa Figura 51 Tela configuração da placa de rede Figura 52 Tela em que o usuário irá preencher os valores dos endereços IP, máscara de rede e classe de IP Figura 53 Acessando a opção para configurar os endereços de DNS Figura 54 Tela de configuração das opções do firewall Figura 55 Tela de configuração para cadastrar um computador na rede atrelado ao endereço MAC da placa Figura 56 Tela Principal do Sistema Figura 57 Tela de Monitoramento Figura 58 Tela de cadastro do computador no Nagios

13 LISTA DE TABELAS Tabela 1 Comparativo de preços de instalação e mão de obra Tabela 2 Operações do SNMP - Códigos da PDU Tabela 3 Operações do SNMP - Códigos de erros Tabela 4 Tabela de tratamento dos pacotes Tabela 5 Tabela de regras das cadeias do iptables Tabela 6 Tabela de ações a serem realizadas nos pacotes analisados Tabela 7 Tabela de comandos para manipular regras do firewall Tabela 8 Parâmetros para utilizar as regras nos comandos: add, delete, insert, replace e append

14 LISTA DE SIGLAS E ABREVIAÇÕES CPU CUGA DHCP DNS FTP GNU GPL HD HTML HTTP HTTPS IAB ICMP IP ISO kb MAC MB MIB MRTG NAT NOC NRPE OID PPOE PDU RAM RPC SGMP SNMP SO SSL UDP Central Process Unit Central Unificada de Gerenciamento de Ameaças Dynamic Host Configuration Protocol Domain Name System File Transfer Protocol General Public License Gnu Public License Hard Disk HyperText Markup Language Hyper Text Transfer Protocol Hyper Text Transfer Protocol Secure Internet Activities Board Internet Control Message Protocol Internet Protocol International Organization for Standardization Kilobytes Media Access Control MegaBytes Management Information Base Multi Router Traffic Grapher Network Address Translation Network Operation Center Nagios Remote Plugin Executor Object Identifier Point-to-Point Protocol over Ethernet Protocol Data Unit Randon Access Memory Remote Procedure Call Simple Gateway Management Protocol Simple Network Management Protocol System Operation Secure Socket Layer User Datagram Protocol

15 SUMÁRIO 1 INTRODUÇÃO 16 2 SISTEMA OPERACIONAL LINUX E OUTROS SOFTWARES LIVRES CARACTERÍSTICAS DO LINUX Kernel do Linux Licença do Linux Distribuições Linux SERVIDORES LINUX Servidor Proxy/Squid Criando o arquivo de configuração básica Configurando a função cache do squid Configurando a cache Configurando as restrições de acesso Configurando o proxy transparente MRTG - MULTI ROUTER TRAFFIC GRAPHER CONFIGURANDO E INSTALANDO O SARG BANDLIMIT CONFIGURAÇÃO DO SERVIDOR DHCP Detalhes da Configuração do Servidor DHCP EXEMPLO DE UM FIREWALL USANDO IPTABLES LINUX E SERVIDORES 51 3 GERÊNCIA DE SERVIÇOS E DE REDES DISTRIBUIÇÃO DA GERÊNCIA NA REDE MODELO GERAL DE GERENCIAMENTO DE REDE 58

16 3.2.1 A Relevância do Gerenciamento de uma Rede PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL Funcionamento do Protocolo SNMP Operações Realizadas pelo Protocolo SNMP PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR Características do NRPE Formas de Checagens do NRPE FERRAMENTA IPTABLES Funcionamento do Iptables Cadeias / Chains do Iptables Políticas de Trabalho do Iptables Listando as Regras do Iptables Bloqueando Portas Apagando uma Regra no Iptables Funcionamento do Iptables Estratégia para Montagem de um Firewall Eficiente 78 4 FERRAMENTA PROPOSTA PARA UM GERENCIAMENTO INTEGRADO FERRAMENTAS EXISTENTES Sistema IPCOP Sistema Endian Firewall Sistema pfsense Sistema Smoothwall FERRAMENTA PROPOSTA Firewall Alteração de IP 89

17 4.2.3 Configuração DHCP Configuração do Squid/Proxy Relatórios Controle Largura da Banda Medidor de Velocidade Monitoramento da Rede Cadastrando Equipamentos no Nagios Nagvis Cacti Alterar Senha Desligar/Reinicializar REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRA- MENTA SSM Roteiro para Instalação da SSM RESULTADOS E DISCUSSÕES ESTUDO DE CASO ESTUDO DE CASO ESTUDO DE CASO CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS 136 REFERÊNCIAS 138

18

19 16 1 INTRODUÇÃO De acordo com Freitas (2010), atualmente com a evolução da tecnologia, é totalmente desnecessário ressaltar a importância de uma estratégia para as empresas, no que diz respeito à agilidade no fluxo de informações. Essa agilidade tem relação direta com a produtividade e com a tomada de decisões. As organizações que possuem acesso às informações de uma forma privilegiada, consequentemente conhecem a melhor forma de usá-las, e por isso têm maiores chances de ganhar o jogo na competição pelo mercado. Por exemplo, pode-se citar a internet que com seu surgimento, aumentou também o fluxo de informação gerada nas empresas. O cenário da internet nos dias de hoje inspira e possibilita a criação de diversas tecnologias, atendendo as mais diversas necessidades, o que contribui para que a rede mundial ganhe cada vez mais importância nas soluções para o mundo computacional e que as novas tecnologias utilizem essa gama de possibilidades que o uso da internet proporciona. Com a popularização da internet, há uma grande preocupação de como manter segura a informação, e existem vários programas voltados para a segurança da informação, sejam eles proprietários ou livres. Muitos administradores de rede usam o Sistema Operacional Linux para realizar a proteção da informação, uma vez que com este sistema, pode-se configurar diversos serviços necessários na administração de uma rede, além da vantagem do código ser aberto (livre), diferente dos sistemas proprietários. Além do acesso às informações e de como essa informação é trabalhada, é ainda necessário, possuir mecanismos eficientes para distribuição das mesmas, de forma rápida e segura através da internet. Logo, com isso, ocorre uma simplificação e uma melhor interação do usuário, tornando fácil o acesso a aplicações e informações, sem importar o seu local de armazenamento. A internet auxilia no processo de descentralização das informações, na distribuição de dados e no desenvolvimento de aplicações. De acordo com Ball e Duff (2004), para controlar todo o tráfego da informação pode-se utilizar computadores que fazem a função de servidores; seja servidores de alta disponibilidade, de internet, de arquivos, de DNS, de proxy, dentre outros. Para controlar esses tipos de servidores, pode-se utilizar o sistema operacional Linux, que por muitos usuários, é considerado muito difícil de ser usado, além de ser pouco conhecido, sendo mais utilizado por empresas de grande porte, provedores de internet e órgãos governamentais. Um dos problemas existente é que para configurar um servidor, normalmente, é necessário

20 1 INTRODUÇÃO 17 utilizar longas linhas de comandos, o que acaba sendo difícil para um usuário que não tem muita experiência em configurar servidores com Linux, ou seja, exige-se do administrador de rede um bom conhecimento de comandos avançados. Fato este que poderia ser facilitado com a utilização de um ambiente gráfico amigável para a realização desta tarefa. Por isso, este trabalho tem como objetivo criar uma interface gráfica para centralizar a configuração e monitoração dos principais tipos de serviços em um servidor Linux, via web, ao invés de utilizar extensas linhas de comandos via terminal. Neste trabalho foram utilizadas as linguagens shell script Jargas (2008) e PHP Tucows (2013) para automatizar a configuração de serviços configurados no servidor, tais como: Firewall, DHCP, squid/proxy, DNS, , dentre outros serviços. Como exemplo, pode-se citar a configuração do serviço DHCP que pode ser automatizada através de um script que é executado em background quando o administrador preenche campos com informações prévias numa interface gráfica. Outras aplicações desenvolvidas são diferentes scripts para cada configuração de serviço, ou seja: Firewall (bloqueio/desbloqueio e redirecionamento de IP s e portas), squid/proxy (cache, bloqueio/desbloqueio de páginas), DNS, configuração de IP s, monitoramento da máquina via MRTG Oetiker (2006), dentre outros serviços. Neste trabalho serão abordados os seguintes tópicos: a) no capítulo 2 é feita uma análise histórica sobre o surgimentos e as características do sistema operacional Linux; além da apresentação de todos softwares livres utilizados neste trabalho; b) no capítulo 3 é feita uma abordagem sobre os conceitos, os tipos de gerências e serviços de redes, módulos funcionais de gerência e os protocolos que serão utilizados no sistema; c) no capítulo 4 é apresentado a interface gráfica Silent Security Monitor e suas funcionalidades; d) no capítulo 5 são apresentados resultados e discussões de dois estudos de casos, ambos utilizando a configuração de serviços por linhas de comandos e também utilizando a interface gráfica proposta; e) no capítulo 6 são apresentadas as conclusões e sugestões para trabalhos futuros.

21 18 2 SISTEMA OPERACIONAL LINUX E OUTROS SOFTWARES LIVRES Neste capítulo são abordados as principais características do sistema operacional (SO) Linux, bem como apresentadas as caractrísticas de alguns outros softwares utilizados neste trabalho. 2.1 CARACTERÍSTICAS DO LINUX De acordo com Bokhari (1995), em pesquisas realizadas em diversos provedores de serviços e datacenters mundiais, constatou-se que o Linux é o SO para servidor mais popular e mais usado no mundo. O servidor Linux, que antes era apenas uma segunda opção, passou a ser a primeira opção de escolha no provimento de muitos serviços para tecnologia da informação. Mas, o crescimento no uso do Linux possui relação direta com o crescimento da internet, e isto não é por acaso. As características deste SO criado por Linus Torvalds, fazem com que ele seja extremamente seguro e a escolha preferida para o fornecimento de serviços de internet. Há muito tempo, os usuários que desejam criar um servidor de internet, squid, proxy, DNS ou nem cogitam em usar outro sistema operacional que não seja o Linux, uma vez que hoje, a gama de serviços fornecidos por ele cresceu muito em quantidade e qualidade. Segundo Machado e Maia (2007), um SO, possui diversas funções mas que podem ser resumidas em duas: a) facilidade de acesso aos recursos: consiste em ser totalmente transparente ao usuário a maneira como funciona um computador, ou seja, para um usuário não importa como um arquivo que está em um pendrive será lido, mas sim que o mesmo será lido. Resumindo, um usuário não precisa saber como será realizada essa ação e suas inúmeras etapas. Logo, pode-se resumir que um SO é uma interface entre o usuário e os recursos disponíveis no sistema (Figura 1), sendo totalmente transparente ao usuário e tornando o trabalho do mesmo mais eficiente e com menor chance de ocasionar erros;

22 2.1 CARACTERÍSTICAS DO LINUX 19 Figura 1 - Ilustração do sistema operacional como interface entre o usuário e os recursos do sistema. programadores e analistas usuários programas sistemas e aplicativos Usuários Sistema Operacional memória discos UCP Hardware pendrive impressoras monitores Fonte: Adaptado de Machado e Maia (2007) b) compartilhamento de recursos de forma organizada e protegida: Consiste na possibilidade de vários usuários poderem compartilhar os mesmos recursos de um sistema, como por exemplo memória, discos ou outros periféricos presentes na máquina de forma protegida e segura, necessário para que um usuário ao ter acesso a um recurso da máquina não interfira no trabalho do outro que está compartilhando o recurso. Além disso o compartilhamento de recurso permite dentre outras possibilidades a diminuição de investimento em recursos, pois a medida que vários usuários possam acessar um recurso de forma concorrente, não será necessário a aquisição de novos produtos, como por exemplo, em um escritório, caso haja dez computadores e uma impressora, basta compartilhá-la na rede, e todos os usuários poderão imprimir seus documentos, não necessitando da compra de uma impressora para cada computador do escritório (MACHADO; MAIA, 2007); Ainda segundo Machado e Maia (2007), um SO nunca faz nada sozinho, ele apenas está esperando pelos programas requisitarem certos recursos, acessarem um certo arquivo em disco ou conectarem-se à internet.

23 2.1 CARACTERÍSTICAS DO LINUX 20 Segundo Bokhari (1995), o Linux foi criado em agosto de 1991, por um jovem estudante da Universidade de Helsinki localizado na Finlândia chamado Linus Benedict Torvalds que anunciou em uma lista de discussão na internet que estava criando um sistema operacional livre. Ele dizia modestamente que seu trabalho era apenas um passa-tempo. Em 5 de outubro de 1991, Linus anunciou a primeira versão oficial do Linux. Após alguns anos, este se tornou um dos mais populares sistemas operacionais disponíveis, sendo continuamente desenvolvido pelo próprio Linus e por pessoas do mundo inteiro. Desde então, surgiram várias empresas para dar suporte ao Linux, como a Red Hat Software, a Caldera Systems, a Debian Linux, entre outras. O Linux foi inicialmente concebido como uma alternativa aos mais caros sistemas Unix da época. A primeira versão pública do kernel do Linux (versão 0.02) foi distribuída em 1991 pela internet juntamente com seu código fonte. Mesmo sendo um projeto já real, ele ainda não tinha um nome. Inicialmente Torvalds atribuiu ao projeto o nome de Freax, uma junção de duas palavras do inglês free (livre) com freak (monstruoso, esquisito) e a letra X para indicar que veio do Unix. Mas foi após o programador Ari Lemmke sugerir a Torvalds que disponibilizasse o projeto em uma rede de compartilhamento para torná-lo mais acessível ele o hospedou em uma pasta chamada Linux (uma mistura de Linus com Unix), uma vez que Ari não havia gostado do apelido Freax, e até hoje essa denominação LINUX é utilizada. Assim como seu mascote, que foi escolhido em 1996 em uma lista de discussão Linux-Kernel após uma sugestão de Linus Torvalds, acabou sendo acatado a figura de um pinguim com o nome de Tux Kernel do Linux De acordo com Jones (2007), o kernel pode ser entendido como um núcleo do SO, o qual cabe fazer o canal entre o hardware e os softwares executados pelo computador. O que significa que a junção do kernel mais os softwares (drivers, protocolos de comunicação, dentre outros), de acordo com suas aplicações, é que forma o SO. O kernel não é necessariamente um software de fácil manipulação por um usuário, ou seja, não se trata de algo tão simples que possa ser instalado e em poucos minutos estar pronto para o uso, como um programa que para instalá-lo é necessário apenas clicar em avançar, avançar e fim; o kernel é sim uma base complexa que serve de estrutura para o sistema, atuando sempre em background, sendo totalmente transparente ao usuário. Ainda hoje, novas versões do kernel Linux são lançadas de tempos em tempos, já que o mesmo é atualizado constantemente pelas melhorias e correções de bugs (falhas) e no caso do SO, para adicionar novos recursos importantes ao kernel, principalmente compatibilidade aos novos softwares e hardwares (JONES, 2007).

24 2.1 CARACTERÍSTICAS DO LINUX 21 Segundo Jones (2007), cada versão de kernel é representada por quatro números distintos separados por ponto, como por exemplo a versão em que o primeiro número indica a versão do kernel, o segundo indica a atualização da versão realizada até o momento, enquanto que o terceiro número corresponde as revisões menores como a incorporação de drives e o último número representa as correções de pequenos erros ou patches de segurança. Anteriormente, a nomenclatura utilizada era da seguinte forma: caso o segundo número fosse ímpar, significava que aquela distribuição ainda estava em desenvolvimento, ou seja, era uma versão instável e que estava em fase de testes. Se o número fosse par, indicava que aquela distribuição já estava estável e pronta para ser disponibilizada para o uso Licença do Linux O Linux foi criado seguindo a licença GPL (Gnu Public License), que consiste em um tipo de licença que garante que um software possa ser distribuído e copiado livremente, juntamente com seu código fonte, o que possibilita ao usuário realizar mudanças em seu código de acordo com sua necessidade, levando uma verdadeira legião de programadores a contribuir na criação, manutenção e atualização do Linux através da internet. Em outras palavras, no que se refere a programas de código-fonte aberto, há vários tipos de licenças disponíveis, no entanto, o Linux utiliza a GPL. Inicialmente ao criar o Linux, Linus Torvalds aplicou uma licença própria, a qual continha restrições para uso comercial, onde mais tarde, no ano de 1992 foi adotada a licença GPL, uma vez que o Linux já era utilizado com software GNU, ou seja, muitos dos aplicativos que acompanham o kernel, como compiladores e editores de textos, foram criados pela GNU (sigla recursiva que significa Gnu is not Unix ; organização dedicada a criação de software livre), embora o termo mais correto a ser utilizado é Linux, para se referir apenas ao kernel (BOKHARI, 1995). A GPL foi criada pela Free Software Foundation (organização fundada por Richard Stallman) no ano de 1989, mas foi revisada em 1991 para atender determinadas necessidades, resultando na GPLv2, e posteriormente foi atualizada em surgindo a GPLv3. Ela é baseada em algumas formas de liberdade que a entidade defende (GANDI, 1996). São essas: a) liberdade de executar o programa, para qualquer propósito (liberdade zero); b) liberdade de estudar como o programa funciona e adaptá-lo às suas necessidades (liberdade 1), sendo o acesso ao código-fonte um pré-requisito para este aspecto; c) liberdade de distribuir cópias de forma que se possa ajudar ao seu próximo (liberdade 2); d) liberdade de melhorar o programa e liberar os seus aperfeiçoamentos, de modo que toda

25 2.2 SERVIDORES LINUX 22 a comunidade se beneficie (liberdade 3). Novamente, aqui o acesso ao código-fonte é um pré-requisito. Um software que não se enquadra em todos estes quesitos, não pode utilizar a GPL Distribuições Linux O Linux é composto por um grande número de programas, logo surgiu a necessidade de agrupar esses de forma coerente e funcional, e de criar mecanismos que permitissem o seu gerenciamento, surgindo então a nomenclatura de distribuições Linux, que nada mais é do que um conjunto de programas que compõem o Linux: o kernel, um sistema gerenciador de programas e um instalador. Esse conjunto de programas pode ser tão pequeno ao ponto de caber em um disquete (como por exemplo a distribuição coyote) ou grandes e completas ao ponto de caber em mais de um CD ou até mais de um DVD (como por exemplo Fedora, Mandriva, Debian, dentre outros) (BALL; DUFF, 2004). Por ser distribuído de forma gratuita e com o código-fonte aberto, o kernel possui a vantagem de outros programadores poderem modificá-los, criando um sistema operacional customizado. E foi isso que aconteceu ao longo dos últimos anos, em que vários grupos ou mesmo empresas se organizaram e criaram seu próprio sistema operacional baseado em Linux, onde cada uma delas receberam o nome de distribuição Linux ou distribuição GNU/Linux. Atualmente existem várias distribuições Linux, para os mais diversos fins, onde muitas vezes fazem parte de negócios rentáveis, em que as empresas fornecem por exemplo o sistema operacional de graça, mas obtém lucro a partir do suporte técnico. Eventualmente que as distribuições que se destinam ao segmento de usuários domésticos são os mais populares, como por exemplo tem-se a distribuição Ubuntu (UBUNTU, 2004), Fedora (HAT, 2004), Mandriva (ISTEAM, 2000), dentre outras. Por essa grande vantagem de ser um SO aberto, ter o acesso ao seu código fonte, e ter contribuições de grandes empresas de TI no seu desenvolvimento, como por exemplo a IBM, Sun Microsystems, Hewlett-Packard e Novell, foi possível transformar o Linux no principal SO para servidores. 2.2 SERVIDORES LINUX Como foi dito na seção 2.1, na página 18, o Linux é amplamente utilizado como servidores nos principais provedores de internet, visto que não se necessita de licença paga"para poder usufruir de todas as suas funcionalidades. Todos os procedimentos que serão explicados abaixo, foram retirados de diversos sítios de

26 2.2 SERVIDORES LINUX 23 foruns, como por exemplo o sítio ØØÔ»»ÛÛÛºÚ Ú ÓÐ ÒÙܺÓѺ Ö, onde são encontrados vários artigos e tutoriais para a configuração de diversos tipos de serviços no Linux. A seguir, será explicado o funcionamento de alguns módulos do Linux utilizados para instalar e configurar um servidor. (OBS: No decorrer da configuração de alguns módulos, aparecerá o símbolo # que serve para se colocar comentários no arquivo de configuração.) Servidor Proxy/Squid Um servidor proxy/squid é um serviço de rede que atua como intermediário na comunicação entre clientes e servidores de serviços, e geralmente costuma rodar em um servidor que também tenha serviço de firewall (relacionado com a segurança do sistema). O serviço de proxy serve basicamente para controlar a navegação em uma rede, recebendo as requisições de um ou mais clientes e as repassando para os servidores de destino. Este servidor também tem a função de realizar o armazenamento dos sítios navegados, tornando desta forma a navegação mais rápida e dinâmica (sítios acessados com frequência ficam pré-carregados no servidor e quando são requisitados abrem-se com maior velocidade, pois já estão armazenados na rede interna da empresa), além de poder filtrar as requisições realizadas pelos clientes através de palavraschaves. A Figura 2 mostra um modelo genérico de uso dos servidores proxy. Vale salientar que os servidores proxy não irão definir novos protocolos de aplicação, mas sim utilizar as funcionalidades dos já existentes. Figura 2 - Esquema genérico de um servidor proxy. Servidor Proxy Internet Hub/Switch ADSL Rede Interna Fonte: Adaptado de Ball e Duff (2004)

27 2.2 SERVIDORES LINUX 24 Um servidor proxy também pode implementar o NAT (Network Address Translation - Tradução de Endereço de Rede). O NAT permite que o endereço interno de rede de uma empresa seja ocultado na internet. A empresa é representada na internet como um endereço de IP (Internet Protocol) não relacionado com os endereços internos. Segundo Ball e Duff (2004), existem três vantagens em utilizar um servidor proxy na rede. 1. É possível configurar restrições de acesso à internet baseado em horários, login, endereço, IP do computador, além de bloquear páginas com conteúdos indesejados como: bate papo, Orkut, sítios pornográficos, dentre outros; 2. Como foi dito anteriormente, a possibilidade da criação de um cache, tornando o acesso aos sítios mais rápido, postergando investimento em uma conexão mais rápida; 3. A criação de logs de todos os acessos realizados à internet, podendo ser visualizado posteriormente usando o sistema SARG (Squid Analysis Report Generator), um programa que possibilita a visualização dos logs gerados pelo squid, sendo possível saber quem acessou quais páginas e em que horário. Na Figura 3 é mostrado um exemplo desta visualização com o uso do SARG. De acordo com Squid-cache (2013), o squid é um servidor proxy que tem suporte HTTP, HTTPS, FTP dentre outros tipos de protocolos. Sua função é de reduzir a utilização da conexão, melhorando assim os tempos de respostas de acesso, através da criação de cache dos sites já acessados, acelerando assim seus tempos de acessos. Ele é composto por apenas um único pacote, o que torna a sua instalação muito simples. Para instalá-lo, basta seguir os seguintes passos: 1 1. Como root, em um SO Ubuntu, use o seguinte comando: Ôع Ø Ò Ø ÐÐ ÕÙ Dependendo da distribuição que o usuário estiver usando, o comando pode variar. Por exemplo, em um S.O. Fedora, um comando análogo é o que segue: ÝÙÑ Ò Ø ÐÐ ÕÙ Toda configuração do squid é realizada no arquivo texto chamado squid.conf, que é localizado em» Ø» ÕÙ. 2. Depois de instalar o pacote squid, comece renomeando o arquivo original como backup com o seguinte comando: ÑÚ» Ø» ÕÙ» ÕÙ ºÓÒ ÕÙ ºÓÒ ºÓÐ 1 Neste trabalho, será adotado o editor de texto chamado vim.

28 2.2 SERVIDORES LINUX 25 Figura 3 - Visão do sistema SARG. Fonte: Volkov et al. (2009)

29 2.2 SERVIDORES LINUX O próximo passo é criar um arquivo novo com o comando abaixo: Ú Ñ ÕÙ ºÓÒ e digitar o seguinte texto: ØØÔ ÔÓÖØ ½¾ Ú Ð Ó ØÒ Ñ ÖÚ Ö Ð ÐÐ Ö ¼º¼º¼º¼»¼º¼º¼º¼ ØØÔ ÐÐÓÛ ÐÐ 4. Após salvar o arquivo» Ø» ÕÙ» ÕÙ ºÓÒ, basta utilizar o seguinte comando para inicializar o serviço: ÖÚ ÕÙ Ø ÖØ Apenas essas quatro linhas digitadas no novo arquivo de configuração já são suficientes para que o squid funcione. É a mesma função do primeiro arquivo que foi renomeado, com uma diferença, o primeiro arquivo contém linhas de comentários de como utilizar e configurar o squid, além de mais algumas configurações que podem ser ativadas no mesmo. Essas linhas de comentários são todas ignoradas pelo squid, uma vez que o squid apenas utiliza os valores default do sistema. Por isso é mais fácil e aconselhável criar um arquivo vazio e ir inserindo aos poucos as opções que o usuário deseja trabalhar. As quatro linhas que foram inseridas no arquivo, fazem as seguintes funções: a) http_port 3128: indica a porta em que o servidor squid irá ficar disponível. Essa porta utilizada, 3128, é a porta definida por padrão, mas pode ser trocada por outra, caso o usuário necessite. Muitos administradores de redes, utilizam a porta 8080; b) visible_name server: disponibiliza o nome do servidor, o mesmo que foi definido na configuração do computador na rede. O nome do computador na rede pode ser visualizado utilizando o seguinte comando: Ó ØÒ Ñ Após utilizar este comando, é retornado na tela o nome do computador. c) acl all src / e http_access allow all: Estas duas linhas criam regras ou política de acesso. A linha acl cria uma política de acesso chamada all (todos) para todos os IPs que se seguem, e a segunda linha finaliza por liberar todos os endereços de IP s possíveis, a qual permite qualquer computador que esteja nesta rede a utilizar o proxy sem limitações.

30 2.2 SERVIDORES LINUX 27 Para que seja possível testar o proxy, é necessário realizar uma configuração no navegador que o usuário está utilizando se não houver nenhum firewall na rede. Caso haja algum firewall na rede, terá de adicionar a seguinte linha de comando a qual irá abrir a porta 3128 na configuração do firewall, possibilitando que o squid receba as conexões da rede. ÔØ Ð ¹ ÁÆÈÍÌ ¹ Ø ¼ ¹Ô ØÔ ¹¹ ÔÓÖØ ½¾ ¹ ÈÌ Sendo que a placa de rede eth0, é a placa de rede que distribui a internet para a rede local (rede interna) Criando o arquivo de configuração básica O problema em se utilizar a configuração realizada anteriormente, é que com apenas as quatro linhas o proxy não tem nenhuma segurança, ou seja, ele não teria nenhuma funcionalidade. Caso utilize o servidor proxy no mesmo servidor de internet, e não tenha nenhum firewall configurado, qualquer computador poderá utilizar a internet através do proxy já configurado, o que em relação a segurança não seria nada aceitável. Logo, o proxy deve ficar acessível apenas na rede local. Para melhorar a configuração já criada, será apresentado a seguir algumas implementações que são feitas no arquivo» Ø» ÕÙ» ÕÙ ºÓÒ, criando assim uma segurança pela liberação e bloqueio de portas específicas, ao invés de liberar tudo. ØØÔ ÔÓÖØ ½¾ Ú Ð Ó ØÒ Ñ Ð ÐÐ Ö ¼º¼º¼º¼»¼º¼º¼º¼ Ð Ñ Ò Ö ÔÖÓØÓ Ó Ø Ð ÐÓ Ð Ó Ø Ö ½¾ º¼º¼º½»¾ º¾ º¾ º¾ Ð ËËÄ ÔÓÖØ ÔÓÖØ Ð Ë ÔÓÖØ ÔÓÖØ ¼ Ð Ë ÔÓÖØ ÔÓÖØ ¾½ Ð Ë ÔÓÖØ ÔÓÖØ Ð Ë ÔÓÖØ ÔÓÖØ ¼ Ð Ë ÔÓÖØ ÔÓÖØ ¾½¼ Ð Ë ÔÓÖØ ÔÓÖØ ¾ ¼ Ð Ë ÔÓÖØ ÔÓÖØ Ð Ë ÔÓÖØ ÔÓÖØ ½ Ð Ë ÔÓÖØ ÔÓÖØ Ð Ë ÔÓÖØ ÔÓÖØ ¼½ Ð Ë ÔÓÖØ ÔÓÖØ ½¼¾ ¹ ØØÔ ØÔ ØØÔ Ò Û ÓÔ Ö Û ØØÔ¹Ñ ÑØ ¹ ØØÔ Ð Ñ Ö ÑÙÐØ Ð Ò ØØÔ Û Ø ÔÓÖØ ÐØ

31 2.2 SERVIDORES LINUX 28 Ð ÔÙÖ Ñ Ø Ó ÈÍÊ Ð ÇÆÆ Ì Ñ Ø Ó ÇÆÆ Ì ØØÔ ÐÐÓÛ Ñ Ò Ö ÐÓ Ð Ó Ø ØØÔ ÒÝ Ñ Ò Ö ØØÔ ÐÐÓÛ ÔÙÖ ÐÓ Ð Ó Ø ØØÔ ÒÝ ÔÙÖ ØØÔ ÒÝ Ë ÔÓÖØ ØØÔ ÒÝ ÇÆÆ Ì ËËÄ ÔÓÖØ Ð Ö ÐÓ Ð Ö ½ ¾º½ º½º¼»¾ ØØÔ ÐÐÓÛ ÐÓ Ð Ó Ø ØØÔ ÐÐÓÛ Ö ÐÓ Ð ØØÔ ÒÝ ÐÐ Para entender melhor, faz-se a seguir uma breve explicação sobre as modificações realizadas no arquivo. As acl s ËËÄ ÔÓÖØ e Ë ÔÓÖØ servem para limitar as portas de comunicação que podem ser utilizadas através do proxy, que pode ser visto no bloco de comando anterior, no qual podem ser utilizados vários protocolos e algumas portas altas de comunicação, acima de Esse intervalo de portas é muito grande, por isso deve ser especificado em linhas diferentes. Pode-se também, ao invés de utilizar uma linha para cada porta, agrupar um intervalo de portas em uma única linha, o que deixará o arquivo de configuração muito menor, como pode ser visto logo abaixo: Ð Ë ÔÓÖØ ÔÓÖØ ¾½ ¼ ¼ ¾½¼ ¾ ¼ ½¼¾ ¹ A acl ÐÓ Ð Ó Ø que contém o endereço é utilizada para se navegar localmente no servidor, e a acl Ö ÐÓ Ð, é onde está especificado a faixa de IP juntamente com a máscara de subrede da rede local. As duas linhas ØØÔ ÐÐÓÛ ÐÓ Ð Ó Ø e ØØÔ ÐÐÓÛ Ö ÐÓ Ð servem para especificar que os computadores que estiverem na rede especificada, poderão utilizar o proxy, e a linha ØØÔ ÒÝ ÐÐ, indica que os computadores que não estiverem relacionados nas regras anteriores não poderão utilizar o proxy. A sequência das linhas de comando devem ser respeitadas, uma vez que o squid as interpreta na ordem em que são colocadas no arquivo. Se existe uma regra permitindo que um determinado computador utilize o proxy e em seguida tenha uma outra regra bloqueando seu acesso, esta não terá efeito algum, pois a primeira regra é a que será respeitada, ou seja, o computador terá acesso ao squid. Como pode ser indicado no exemplo abaixo. Ð Ö ÐÓ Ð Ö ½ ¾º½ º½º¼»¾

32 2.2 SERVIDORES LINUX 29 ØØÔ ÐÐÓÛ Ö ÐÓ Ð ØØÔ ÒÝ Ö ÐÓ Ð Para alguns sítios o proxy pode não funcionar, como por exemplo o sítio da Caixa Econômica Federal - Conectividade Social, que é utilizado por muitas empresas para o recolhimento do FGTS. Por isso, deve-se criar regras para que as requisições direcionadas ao sítio da Caixa Econômica Federal, seja redirecionada para fora do squid. Deve ser criada uma acl no arquivo de configuração do squid, indicando o sítio que deve ser liberado do squid. Logo, essa linha de comando deve vir antes das regras que liberam os acessos que venham da rede local, como mostrado abaixo: Ð Ø Ø ÓÑ Ò Ø Ð Ö Ó ÐÛ Ý Ö Ø ÐÐÓÛ Ø Ð Ö ÐÓ Ð Ö ½ ¾º½ º½º¼»¾ ØØÔ ÐÐÓÛ Ö ÐÓ Ð ØØÔ ÒÝ Ö ÐÓ Ð ØØÔ ÒÝ ÐÐ Onde o arquivo Ø Ð Ö Ó deve conter o nome dos sítios que devem passar fora do squid, como por exemplo o sítio da Caixa Econômica Federal. Todas as modificações realizadas no arquivo de configuração do squid, deve ser reinicializado com o seguinte comando: ÖÚ ÕÙ ØÓÔ ÖÚ ÕÙ Ø ÖØ Ou pode ser utilizado também o seguinte comando: ÖÚ ÕÙ Ö Ø ÖØ Configurando a função cache do squid A função cache do squid é muito importante, pois ela otimiza o tráfego da conexão através de caches, onde as páginas acessadas e os arquivos já acessados são guardados de forma a fornecer um acesso rápido quando solicitado novamente. O squid pode ser configurado na função cache de duas maneiras: a) cache rápida, que utiliza a memória RAM; b) cache mais lenta, que utiliza o disco rígido como forma de armazenamento.

33 2.2 SERVIDORES LINUX 30 A cache da primeira opção é excelente para armazenar arquivos pequenos, como sítios que serão devolvidos aos usuários quando os mesmos acessarem. Já a cache utilizando o disco rígido, é usada para armazenar arquivos maiores, como downloads, arquivos de atualizações do Windows ou pacotes de instalação do próprio Linux Configurando a cache Para configurar o cache, basta seguir os seguintes passos: 1 passo: Configuração da quantidade de memória RAM que será utilizada para a função cache, adicionando a seguinte linha no arquivo de configuração do squid, que irá reservar por exemplo 60 MB de espaço de memória. Ñ Ñ ¼ Å Dependendo da quantidade de usuários que irá utilizar o proxy, essa quantidade deverá ser modificada. A nível de regra, alguns administradores de redes utilizam a seguinte lógica: caso o servidor não seja dedicado e atenda apenas alguns usuários, pode-se utilizar de ¼ ¼ Å da memória RAM, mas se for um servidor dedicado, passa-se a utilizar 1/3 da memória RAM. 2 passo: A linha de comando Ñ Ü ÑÙÑ Ó Ø Þ Ò Ñ ÑÓÖÝ vai determinar o tamanho máximo do arquivo a ser armazenado na cache utilizando a memória RAM, e caso o tamanho exceda, o arquivo será armazenado na cache utilizando o disco rígido. Por ser mais rápida a cache que utiliza a memória RAM, os administradores utilizam esta cache para armazenar sítios, figuras e arquivos com o tamanho máximo de 64 kb. Ñ Ü ÑÙÑ Ó Ø Þ Ò Ñ ÑÓÖÝ Ã 3 passo: A linha de comando Ñ Ü ÑÙÑ Ó Ø Þ ½ Å realiza a configuração da cache utilizando parte do disco rígido, que armazenará os arquivos com tamanhos acima de. Por padrão, o tamanho máximo dos arquivos que serão armazenados na cache, são de 16 MB e o tamanho mínimo é de ¼ ÝØ, ou seja, todos os arquivos neste intervalo serão armazenados. Caso se deseja armazenar arquivos maiores, basta mudar o valor da linha de ½ Å para o valor desejado. Caso seja necessário armazenar um arquivo de atualização que tenha um tamanho de ½¾ Å, basta utilizar as seguintes linhas de comandos: Ñ Ü ÑÙÑ Ó Ø Þ ½¾ Å Ñ Ò ÑÙÑ Ó Ø Þ ¼ Ã

34 2.2 SERVIDORES LINUX 31 Para evitar que o espaço reservado para cache fique cheio, por padrão, já é configurado para que quando ela atingir 95% de seu uso, a mesma começa a descartar os arquivos armazenados até que volte a ter a porcentagem de 90% de uso, como pode ser visto abaixo: Û Ô ÐÓÛ ¼ Û Ô 4 passo: A cache física, que utiliza parte do disco rígido como cache. Essa configuração pode ser realizada através da opção Ö, que é composta por quatro valores. O primeiro valor»ú Ö» ÔÓÓл ÕÙ indica onde será armazenado os arquivos em forma de cache. O segundo valor ¾¼ indica o espaço que será reservado para a cache em disco, medido em MB. Dependendo do tamanho do disco rígido utilizado, e se o computador for um servidor dedicado, alguns administradores de servidores costumam aumentar esta opção. O terceiro e o quarto valor são ½ e ¾, que indicam a quantidade de diretório e subpastas que serão criadas respectivamente. Juntando tudo, a linha de comando fica da seguinte forma: Ö Ù»Ú Ö» ÔÓÓл ÕÙ ¾¼ ½ ¾ Mesmo que não se coloque essa linha, por padrão, uma configuração automática que utiliza o caminho»ú Ö» ÔÓÓл ÕÙ, utilizando um espaço em disco de ½¼¼ Å para cache, é configurada. 5 passo: Definir onde será armazenado o arquivo de log que será utilizado posteriormente para verificar as estatísticas de acesso. Para configurar essa opção, é utilizada a seguinte linha de comando: ÐÓ»Ú Ö»ÐÓ» ÕÙ» ºÐÓ Configurado toda a parte de cache do sistema, é necessário adicionar algumas regras para limitar o acesso a alguns sítios, aumentando assim a segurança na rede Configurando as restrições de acesso Algumas empresas trabalham a ideia de que os funcionários usem a internet apenas para comunicação, pesquisa e outras atividades relacionadas ao serviço. Com o squid, é possível bloquear alguns sítios por palavras ou domínios, através de um parâmetro chamado ÙÖÐ Ö Ü, que permite a criação de regras já vistas anteriormente chamadas de г que podem conter endereços de sítios que podem ser liberados ou bloqueados.

35 2.2 SERVIDORES LINUX 32 Para se bloquear ou liberar um sítio, é necessário realizar duas etapas. A primeira é a criação de uma regra chamada - Ð - na qual vai especificar os sítios que serão liberados ou bloqueados através de um arquivo chamado ÐÓÕÙ Ó ou Ð Ö Ó que conterá os domínios desejados, e em seguida usa-se o parâmetro ØØÔ para bloquear ou liberar o acesso a eles, como demonstrado abaixo: Ð ÐÓÕÙ Ó ÙÖÐ Ö Ü ¹» Ø» ÕÙ» ÐÓÕÙ Ó ØØÔ ÒÝ ÐÓÕÙ Ó Cria-se um arquivo de texto denominado ÐÓÕÙ Ó com todos os sítios desejados, da seguinte forma: ÓÖ ÙغÓÑ ÛÛÛºÓÖ ÙغÓÑ ÔÐ Ý Óݺ Ö ÐºÓѺ Ö ÛÛÛº ÓÓ ºÓÑ Uma outra forma de restrição do acesso, é utilizando o parâmetro Ø ÓÑ Ö Ü, responsável pelo bloqueio de uma forma mais geral, através de palavras chaves, ou seja, caso a palavra chave seja terra, qualquer sítio que contenha esta palavra chave na URL (endereço), será bloqueado. Essa forma de bloqueio pode ser feita através da seguinte linha de comando: Ð Ô Ð ÚÖ Ø ÓÑ Ö Ü» Ø» ÕÙ»Ô Ð ÚÖ ØØÔ ÒÝ Ô Ð ÚÖ Cria-se um arquivo denominado Ô Ð ÚÖ com as palavras chaves que deseja bloquear, da seguinte forma: ÜÓ Ø Ø ÖÖ ÓÖ ÙØ Ú ÚÓ ÐÑ O grande problema deste tipo de bloqueio, é que ele não realiza nenhuma distinção do sítio a ser bloqueado, ou seja, ele bloqueará todos os sítios que contenha a palavra armazenada no arquivo Ô Ð ÚÖ.

36 2.2 SERVIDORES LINUX 33 Caso o usuário tente acessar algum sítio que esteja bloqueado, o navegador retornará a tela de aviso apresentada na Figura 4. Figura 4 - Visão da tela de Acesso Negado. Fonte: Ball e Duff (2004) Depois de realizar todas as configurações mencionadas anteriormente, o arquivo de configuração ficará da seguinte forma: ØØÔ ÔÓÖØ ½¾ Ú Ð Ó ØÒ Ñ ÖÚ Ö ÖÖÓÖ Ö ØÓÖݻ٠ֻ Ö» ÕÙ» ÖÖÓÖ»ÈÓÖØÙ Ù» Ñ Ñ Å Ñ Ü ÑÙÑ Ó Ø Þ Ò Ñ ÑÓÖÝ Ã Ñ Ü ÑÙÑ Ó Ø Þ ½¾ Å Ñ Ò ÑÙÑ Ó Ø Þ ¼ Ã Û Ô ÐÓÛ ¼ Û Ô Ö Ù»Ú Ö» ÔÓÓл ÕÙ ¾¼ ½ ¾ ÐÓ»Ú Ö»ÐÓ» ÕÙ» ºÐÓ Ð ÐÐ Ö ¼º¼º¼º¼»¼º¼º¼º¼ Ð Ñ Ò Ö ÔÖÓØÓ Ó Ø Ð ÐÓ Ð Ó Ø Ö ½¾ º¼º¼º½»¾ º¾ º¾ º¾ Ð ËËÄ ÔÓÖØ ÔÓÖØ

37 2.2 SERVIDORES LINUX 34 Ð Ë ÔÓÖØ ÔÓÖØ ¾½ ¼ ¼ ¾½¼ ¾ ¼ ¼½ ½¼¾ ¹ Ð ÔÙÖ Ñ Ø Ó ÈÍÊ Ð ÇÆÆ Ì Ñ Ø Ó ÇÆÆ Ì ØØÔ ÐÐÓÛ Ñ Ò Ö ÐÓ Ð Ó Ø ØØÔ ÒÝ Ñ Ò Ö ØØÔ ÐÐÓÛ ÔÙÖ ÐÓ Ð Ó Ø ØØÔ ÒÝ ÔÙÖ ØØÔ ÒÝ Ë ÔÓÖØ ØØÔ ÒÝ ÇÆÆ Ì ËËÄ ÔÓÖØ Ð ÐÓÕÙ Ó ÙÖÐ Ö Ü ¹» Ø» ÕÙ» ÐÓÕÙ Ó Ð Ô Ð ÚÖ Ø ÓÑ Ö Ü» Ø» ÕÙ»Ô Ð ÚÖ ØØÔ ÒÝ ÐÓÕÙ Ó ØØÔ ÒÝ Ô Ð ÚÖ Ð Ö ÐÓ Ð Ö ½ ¾º½ º½º¼»¾ ØØÔ ÐÐÓÛ ÐÓ Ð Ó Ø ØØÔ ÐÐÓÛ Ö ÐÓ Ð ØØÔ ÒÝ ÐÐ Configurando o proxy transparente Na maioria dos que utilizam um servidor proxy, estão empresas que possuem uma grande quantidade de computadores, e para auxiliar o administrador de rede nesta árdua tarefa, existe o proxy transparente. O mesmo consiste em configurar o squid e o firewall da rede de forma que o servidor proxy fique escutando todas as conexões na porta de comunicação 80. Isto evita que o administrador tenha que configurar computador por computador ou que algum usuário tente desabilitar o proxy manualmente. Caso o administrador queira configurar manualmente os computadores, terá de colocar o IP do servidor squid na configuração de rede de cada navegador utilizado pelo usuário, como pode ser visto nas Figuras 5 e 6, que representam as telas de configuração do sistema operacional Linux e Windows c respectivamente.

38 2.2 SERVIDORES LINUX 35 Figura 5 - Visão da tela de configuração do proxy no SO Linux. Fonte: Adaptada de Ball e Duff (2004). Figura 6 - Visão da tela de configuração do proxy no SO Windows c. Fonte: Adaptada de Ball e Duff (2004). A função do proxy transparente é interceptar todas as conexões pela porta de comunicação 80 obrigando todos os usuários a passar pelas regras de controle de acesso.

39 2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 36 Para que se possa configurar a função de proxy transparente, é necessário que já esteja ativo o compartilhamento da internet através do módulo NAT, que pode ser ativado, através de três comandos: ÑÓ ÔÖÓ ÔØ Ð Ò Ø Ó ½»ÔÖÓ» Ý»Ò Ø» ÔÚ» Ô ÓÖÛ Ö ÔØ Ð ¹Ø Ò Ø ¹ ÈÇËÌÊÇÍÌÁÆ ¹Ó Ø ¼ ¹ Å ËÉÍ Ê O primeiro comando serve para ativar a função ÔØ Ð Ò Ø, módulo responsável por criar o roteamento da conexão proveniente da placa que recebe a conexão da internet para as outras placas de redes locais. A segunda linha de comando ativa a função Ô ÓÖÛ Ö, responsável por encaminhar os pacotes utilizados pelo módulo ÔØ Ð Ò Ø A terceira e última linha de comando, é responsável por direcionar para a internet todos os pacotes recebidos dos usuários, ou seja, ele passa a ser uma ponte para a conexão externa, recebendo a função chamada de gateway da rede. O termo Ø ¼ é a placa de rede que receberá a internet no servidor. Este comando compartilhará a conexão que está chegando no servidor com as outras placas de redes que estão conectadas ao servidor, por isso não é necessário especificar as placas de redes locais. Já configurado, o servidor está pronto para ser habilitado a função de proxy transparente, bastando apenas digitar a seguinte linha de comando: ÔØ Ð ¹Ø Ò Ø ¹ ÈÊ ÊÇÍÌÁÆ ¹ Ø ¼ ¹Ô ØÔ ¹¹ ÔÓÖØ ¼ ¹ Ê ÁÊ Ì ¹¹ØÓ¹ÔÓÖØ ½¾ Para ativar o suporte ao módulo do proxy transparente, dentro do arquivo de configuração do squid, é necessário apenas adicionar a linha de comando ØØÔ ÔÓÖØ ½¾ ØÖ Ò Ô Ö ÒØ no lugar de ØØÔ ÔÓÖØ ½¾. Feito isso, basta apenas reiniciar o serviço com o seguinte comando: ÖÚ ÕÙ Ö ÐÓ 2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER Segundo Oetiker (2006) o MRTG (Multi Router Traffic Grapher) é uma ferramenta de monitoramento que gera páginas HTML com gráficos de dados coletados a partir do protocolo SNMP e é amplamente conhecido, principalmente pelos administradores de redes.

40 2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 37 Algumas características do MRTG são: a) medição de dois valores, no caso de tráfego podem ser entrada e saída; b) leitura via SNMP ou através de script que retorne um formato padrão; c) coleta de dados a cada cinco minutos por padrão, mas o tempo pode ser aumentado de acordo com a necessidade do administrador de rede; d) criação de uma página HTML com quatro gráficos (diário, semanal, mensal e anual); e) o MRTG pode avisar se o gráfico atingir um valor pré-estabelecido; por exemplo, se determinado servidor atinge 95% do espaço do disco, o MRTG pode encaminhar um para o administrador informando o ocorrido; f) possui uma ferramenta para gerar os arquivos de configuração, chamado cfgmaker; g) possui uma ferramenta para gerar uma página de índice para os casos em que muitos itens são monitorados, chamado indexmaker; h) o MRTG é software livre e é distribuído nos termos GNU - General Public License. Para se instalar e configurar o módulo MRTG, basta seguir os seguintes passos: 1 passo: Como root, digite o seguinte comando: Ôع Ø Ò Ø ÐÐ ÑÖØ Durante a instalação e configuração do pacote, aparecerá uma janela em que o usuário deverá acionar o, como indicado na Figura 7.

41 2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 38 Figura 7 - Tela de configuração gerada pelo MRTG. Fonte: Oetiker (2006) 2 passo: Após o término da configuração, deve-se editar o arquivo de configuração mrtg.cfg que se encontra dentro da pasta» Ø. Neste arquivo será criado uma configuração para monitorar todo o tráfego na interface Ø ¼. O conteúdo do arquivo é como segue. ÊÉÍÁÎÇ ÇÆ Á ÍÊ Ç Ç ÅÊÌ ÓÒ ÙÖ Ó ÐÓ Ð ÏÓÖ Ö»Ú Ö»ÛÛÛ»ÑÖØ ÀØÑÐ Ö»Ú Ö»ÛÛÛ»ÑÖØ ÓÒ Ö Ñ» Ê Ö ¼¼ ÁÒØ ÖÚ Ð Ä Ò Ù ÔÓÖØÙ Ù ÊÙÒ ÑÓÒ ÅÓÒ ØÓÖ Ò Ó ÔÐ Ö Ø ¼ ÓÑ Ò Ó Ó ÙØ Ð Þ Ó Ô Ö ÔØÙÖ Ö Ò ÓÖÑ Ò Ö Ô Ö Ö Ö Ó Ö Ó Ó ÅÊÌ º

42 2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 39 Ì Ö Ø Ø ¼ Ø»ÔÖÓ»Ò Ø» Ú Ö Ô Ø ¼ Û ¹ ³ ³ ³ ßÔÖ ÒØ ¾Ð³ Û ³ßÔÖ ÒØ ½Ð³ Ø»ÔÖÓ»Ò Ø» Ú Ø ¼ Û ¹ ³ ³ ³ßÔÖ ÒØ ¾Ð³ Û ³ßÔÖ ÒØ Ð³ Ó¹ Ó ¹ Å Ü ÝØ Ø ¼ ½¾ ¼¼¼¼ Ì ØÐ Ø ¼ Ø ¼ ¹ ÍØ Ð Þ Ó Ø ¼ È ÌÓÔ Ø ¼ ½ Ø Ø Ø ÒØ Ö Ö ÍØ Ð Þ Ó ÒØ Ö ÜØ ÖÒ Ø ¼µ» ½ ÇÔØ ÓÒ Ø ¼ ÖÓÛÖ Ø Salve e saia do arquivo. 3 passo: Crie no diretório»ú Ö»ÛÛÛ», o subdiretório mrtg, com o seguinte comando: Ñ Ö»Ú Ö»ÛÛÛ»ÑÖØ em seguida, digite o seguinte comando: ÒÚ Ä Æ»Ù Ö» Ò»ÑÖØ 4 passo: Para acessar a tela de monitoramento do SARG, basta abrir um navegador e digitar o seguinte endereço: ØØÔ»»ÐÓ Ð Ó Ø»ÑÖØ» Ø ¼º ØÑÐ Após digitar o endereço, aparecerá a tela da Figura 8:

43 2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 40 Figura 8 - Gráficos gerados pelo MRTG. Fonte: Oetiker (2006)

44 2.4 CONFIGURANDO E INSTALANDO O SARG CONFIGURANDO E INSTALANDO O SARG O SARG (VOLKOV et al., 2009), é um módulo do Linux utilizado para realizar a interpretação dos logs gerados pelo squid, quando este monitora os acessos realizados pelos usuários na rede. Os logs contém informações como: a) As páginas acessadas; b) Tempo gasto em cada acesso; c) Tentativas de acesso bloqueados pelos filtros de conteúdo, dentre outras informações de acordo com a configuração do squid. Os logs são organizados por período, sendo que os relatórios antigos são mantidos, e de tempo em tempo são atualizados. Com isso acaba-se armazenando um volume muito grande de informações. Dentro do relatório de cada período, tem-se a lista dos endereços IP s e/ou dos usuários autenticados que utilizaram o proxy e, dentro do relatório referente a cada um, pode-se acompanhar o log das páginas acessadas e outras informações, de forma bastante detalhada. Para que o SARG possa funcionar, o squid já tem que estar instalado e configurado. Para instalar o SARG, basta seguir os seguintes passos: 1 passo: Primeiro, tem-se que instalar o servidor apache, para que o usuário tenha acesso as informações do MRTG via web. Para instalar, basta usar o seguinte comando: Ôع Ø Ò Ø ÐÐ Ô ¾ 2 passo: Após instalar o apache, tem-se que instalar o SARG com o seguinte comando: Ôع Ø Ò Ø ÐÐ Ö 3 passo: Após a instalação do SARG, deve-se editar o arquivo de configuração sarg.conf que fica localizado no seguinte caminho:» Ø» ÕÙ» Ö ºÓÒ. Ú Ñ» Ø» ÕÙ» Ö ºÓÒ Toda a configuração será feita neste arquivo, onde a linha mais importante é a que indica o arquivo de log do squid, e que geralmente fica em»ú Ö»ÐÓ» ÕÙ» ºÐÓ. O arquivo do SARG deve ficar assim, depois de configurado: Ö ºÓÒ Ð Ò Ù Ñ Ó Ö Ð Ø Ö Ó

45 2.4 CONFIGURANDO E INSTALANDO O SARG 42 Ð Ò Ù ÈÓÖØÙ Ù Ñ Ò Ó Ó ÖÕÙ ÚÓ ÐÓ Ó ÕÙ ÐÓ»Ú Ö»ÐÓ» ÕÙ» ºÐÓ Ç Ø ØÙÐÓ Ó Ù Ö Ð Ø Ö Ó Ø ØÐ Ê Ð Ø Ö Ó Ê ÍÒ Ô ÓÒØ Ó Ö Ð Ø Ö Ó ÓÒØ Ì ÓÑ Î Ö Ò Ö Ð Ö ÓÐÓÖ Ö ÐÙ Ö ÓÐÓÖ Ð Ò ÐÑÓÒ Ì Ñ Ò Ó ÓÒØ ÓÒØ Þ ÔÜ Ò Ó ÓÖ Ó Ö Ð Ø Ö Ó ÖÓÙÒ ÓÐÓÖ Û Ø Ø ÜØ ÓÐÓÖ ¼¼¼¼¼¼ Ø ÜØ ÓÐÓÖ Ð Ú Ò Ö Ø ØÐ ÓÐÓÖ Ö Ò ÄÓ Ð Þ Ó Ó ÖÕÙ ÚÓ Ø ÑÔÓÖ Ö Ó Ó Ö Ø ÑÔÓÖ ÖÝ Ö»ØÑÔ Ö Ø Ö Ó Ó Ö Ð Ø Ö Ó º ÓÙØÔÙØ Ö»Ú Ö»ÛÛÛ» ÕÙ ¹Ö ÔÓÖØ ÉÙ Ò Ó Ð Ø Ó Ö ÓÐÚ ÁÈ Ñ ÆÓÑ Ö ÓÐÚ Ô Ç Ø Ñ ÁÈ Ó Ù Ù Ö Ó Ù Ö Ô ÒÓ Ì ØÓÔÙ Ö ÓÖØ Ð Ð ÒÓÖÑ Ð»Ö Ú Ö ËÓÖØ Ð ÓÖ Ø ÌÓÔÙ Ö Ê ÔÓÖغ ÐÐÓÛ Ð ÍË Ê ÇÆÆ Ì Ì Ë ÌÁÅ ØÓÔÙ Ö ÓÖØ Ð Ì Ë Ö Ú Ö ÄÁÆÀ Á Ç Á Ê ËÈ ÁÌÇ Ç ÊÉÍÁÎÇ ÇÆ ÇÆËÌ Å ÇË ÍËÍýÊÁÇË ÉÍ ÆÇ Ì ÊÇ Ê Ä Ì ÊÁÇË Ù Ö ÓÖØ Ð Ì Ë Ö Ú Ö ÜÐÙ Ù Ö» Ø» ÕÙ» Ö ºÙ Ö ÜÐÙ Ó Ø» Ø» ÕÙ» Ö º Ó Ø ÓÖÑØ ØÓ Ø Ø ÓÖÑ Ø Ù Ð ØÐÓ ¼ Ê ÑÓÚ ÖÕÙ ÚÓ Ø ÑÔÓÖ Ö Ó Ö ÑÓÚ Ø ÑÔ Ð Ý ÓÒ ÙÖ Ó Ø ÔÓ Ü Ó

46 2.4 CONFIGURANDO E INSTALANDO O SARG 43 Ò Ü Ý Ò Ü ØÖ Ð ËÓ Ö Ô ÖÕÙ ÚÓ ÒØ Ó Ó Ü Ø Ñ ÓÚ ÖÛÖ Ø Ö ÔÓÖØ Ý Ö Ú Ó ÖÕÙ ÚÓ Ñ ÒØ Ó Ö ÓÖ Û Ø ÓÙØ Ù Ö Ô Í Ú Ö ÙÐ ÒÓ ÐÙ Ö ÔÓÒØÓ Ù ÓÑÑ Ý Å ÙÐÓ ÙØ Ð Þ Ó Ô» ÒÚ Ö ¹Ñ Ð Ñ Ð ÙØ Ð ØÝ Ñ Ð Ç Ò Ñ ÖÓ Ø ÕÙ Ö Ü Ö ÒÓ Ö Ð Ø Ö Óº ØÓÔ Ø ÒÙÑ ½¼¼ ØÓÔ Ø ÓÖØ ÓÖ Ö ÇÆÆ Ì Ò Ü ÓÖØ ÓÖ Ö ÜÐÙ Ó» Ø» ÕÙ» Ö º ÜÐÙ Ó Ñ Ü Ð Ô ¾ ¼¼¼¼¼ Ê ÙÞ Ò Ó ÓÒØ Ó Ö Ü Óº Ö ÔÓÖØ ØÝÔ ØÓÔÙ Ö ØÓÔ Ø Ø Ù Ö Ù Ö Ø Ø Ø Ñ Ò ÙØ ÐÙÖ Ø Ù Ö Ø Ñ Ø ÓÛÒÐÓ Á ÒØ Ó Ö Ð ØÓÖ Ó ÔÓÖ ÒÓÑ ÁȺ Ù ÖØ» Ø» ÕÙ» Ö ºÙ ÖØ À Ð Ø ÐÓÒ ÙÖÐ ÐÓÒ ÙÖÐ Ý Ø Ø Ñ Ý ÝØ Ö Ø Ä Ø Ò½ ÅÓ ØÖ Ñ Ò Ò ÒÓ Ò Ð Ö Ð ØÓÖ Ó Ö Óº ÓÛ Ù ÙÐ Ñ Ý ÓÛ Ö Ø Ø Ø ÒÓ ÉÙ ÑÔÓ Ú Ñ Ö Ü Ó ØÓÔÙ Ö Ð ÆÍÅ Ì ÌÁÅ ÍË ÊÁ ÇÆÆ Ì Ì Ë ± Ì Ë Áƹ À ¹ÇÍÌ ÍË ÌÁÅ ÅÁÄÁË ±ÌÁÅ ÌÇÌ Ä Î Ê Ù Ö Ö ÔÓÖØ Ð ÇÆÆ Ì Ì Ë ± Ì Ë Áƹ À ¹ÇÍÌ ÍË ÌÁÅ ÅÁÄÁË ±ÌÁÅ ÌÇÌ Ä Î Ê ØÓÔÙ Ö ÒÙÑ ¼ Ø Ù Ö Ø Ñ Ø ØÝÔ Ø Ð ÖÕÙ ÚÓ ÕÙ ÖÓ ÓÒ Ö Ó ÓÑÓ ÓÛÒÐÓ º

47 2.5 BANDLIMIT 44 ÓÛÒÐÓ Ù Ü Þ Ô Ö Þ Ô Þ Ó Ó Ø Ò ÓÑ ÓØ ÖÚ Ð ÐÞ Ñ Ñ Ó ÔÔØ ÖØ Ö Ý Ü ÐÐ ÑÔ Ú ÑÔ ÑÔ 4 passo: Depois de configurado o arquivo, basta reiniciar o squid com o seguinte comando: ÖÚ ÕÙ ØÓÔ ÖÚ ÕÙ Ø ÖØ 5 passo: Para gerar o relatório de log de acesso, basta usar o seguinte comando: Ö Após digitar o comando acima, será retornado uma mensagem de que o relatório do SARG foi gerado com sucesso no seguinte caminho:»ú Ö»ÐÓ» ÕÙ» ÕÙ ¹Ö ÔÓÖØ. 6 passo: De qualquer computador na mesma rede, o usuário conseguirá visualizar os relatórios. É só digitar o IP do computador que está rodando o SARG e o squid no navegador com o seguinte comando: ØØÔ»»½ ¾º½ ºÜºÜ» ÕÙ ¹Ö ÔÓÖØ Após entrar com o endereço acima, aparecerá uma tela análoga aquela anteriormente apresentada na Figura 3, na página BANDLIMIT O módulo bandlimit serve para controlar o link de download e upload de cada computador que acessa o servidor e que usa a rede, pois sem isso qualquer usuário poderia baixar um arquivo muito grande e usar toda a banda, fazendo com que a rede fique muito lenta para os outros usuários. Esta parte do trabalho foi baseada no projeto do sítio do UnderLinux Bandlimit e que tem como objetivo prover uma fácil solução para o controle de banda baseado nas ideias de Francisco Antonello e Marcus Maciel (ANTONELLO; MACIEL, 2004). Para instalar e configurar o bandlimit, basta seguir os seguintes passos como root: 1 passo: Baixe o arquivo rc.bandlimit-v0.4 no seguinte sítio: ØØÔ»»ÙÒ ÖÐ ÒÙܺÓѺ Ö» ÓÛÒÐÓ» Ò Ð Ñ Ø» 2 passo: Após baixar o arquivo, crie um diretório chamado Ò Ð Ñ Ø dentro de» Ø e dentro do diretório que foi criado, crie um arquivo de texto chamado IP, salvando nele o primeiro IP e as velocidades que serão controlados, no seguinte formato:

48 2.5 BANDLIMIT 45 Ô Ö Ø Ò Ö Ø ÓÙ Onde Ô é o endereço IP do computador que se deseja limitar a velocidade, Ö Ø Ò significa a taxa de download e o Ö Ø ÓÙØ a taxa de upload, como pode ser mostrado no exemplo: ½ ¾º½ º½º¾ ½¾ ¾ 3 passo: No mesmo diretório, crie um arquivo chamado interfaces e salve dentro dele as interfaces usadas no servidor no seguinte formato: Ø Ü Em que Ü simboliza o número da interface de rede que vai de 0 a n, como pode ser mostrado no seguinte exemplo: Ø ¼ Ø ½ 4 passo: Configure o arquivo de configuração do bandlimit, chamado Öº Ò Ð Ñ Ø. Procure por esta parte no arquivo: ÁÈÌ Ä Ë Û ÔØ Ð Ì Û Ø ÁÈ À ÁÆË Û Ô Ò Ê È Û Ö Ô ÍÌ Û ÙØ ÈÊ Û ÜÔÖ Comente a terceira linha com uma # (cerquilha), como mostrado abaixo: ÁÈÌ Ä Ë Û ÔØ Ð Ì Û Ø ÁÈ À ÁÆË Û Ô Ò Ê È Û Ö Ô ÍÌ Û ÙØ ÈÊ Û ÜÔÖ

49 2.6 CONFIGURAÇÃO DO SERVIDOR DHCP 46 5 passo: Agora é a parte da configuração das interfaces, ou seja, das placas de redes. É onde se configura em qual placa de rede o servidor irá receber o link de internet e qual placa irá distribuir o link de internet na rede interna. Isso pode ser visto no exemplo abaixo: ÁÒØ Ö Ö ÐÓ Ð Ø ¼ Ö ÐÓ Ð¾ Ø ¼ Ö ÐÓ Ð¾ Ò Ü Ø ÒØ ÒØ ÖÒ Ø Ø ½ De acordo com o código acima, pode-se verificar que a rede local está configurada para a placa de rede eth0 e a internet para a placa eth1, podendo ser modificada de acordo com a necessidade do usuário. 6 passo: Após configurar o arquivo de configuração do bandlimit, é necessário mover o arquivo Öº Ò Ð Ñ Ø para o diretório» Ø» Ò Øº», através do comando: ÑÚ Öº Ò Ð Ñ Ø» Ø» Ò Øº Depois, basta executar o seguinte comando para inicializar o bandlimit: ÑÓ Ü Öº Ò Ð Ñ Ø ÖÚ Ò Ð Ñ Ø Ø ÖØ Para testar, basta verificar no computador através de um download ou upload de um arquivo. 2.6 CONFIGURAÇÃO DO SERVIDOR DHCP O servidor Dynamic Host Configuration Protocol (DHCP) consiste em uma configuração automática e dinâmica realizada em um servidor de rede de computadores ligados a uma rede TCP/IP (DROMS, 1997). O serviço DHCP, é hoje um protocolo recomendado, em vias de ser padronizado pelo Internet Activities Board (IAB), pois o mesmo viabiliza a gerência de grandes redes de IP s. Sendo assim, para o perfeito funcionamento de um computador ligado a uma rede internet, não apenas precisa-se configurar o seu endereço IP de forma automática ou manual, mas também uma série de outros parâmetros de rede. Já um cliente DHCP busca encontrar um ou mais servidores

50 2.6 CONFIGURAÇÃO DO SERVIDOR DHCP 47 DHCP que possam fornecer os parâmetros desejados de uma forma automática na rede, para que o computador possa ser automaticamente configurado. A Figura 40, resume o funcionamento de um servidor DHCP. Figura 9 - Funcionamento do servidor DHCP. Fonte: Próprio autor. Mesmo não sendo o parâmetro mais importante, o endereço IP é importante, pois um mesmo endereço não deve ser utilizado por mais de um cliente ao mesmo tempo. Caso contrário pode-se acarretar o chamado conflito de IP. Por isso o DHCP possibilita a criação de uma política de alocação de endereços IP s de uma forma dinâmica, o que possibilita a reutilização de endereços disponíveis ao longo do tempo. O funcionamento do protocolo DHCP é estabelecido de uma forma bastante interessante, pois inicialmente a estação (computador) não sabe quem é, não possui um endereço IP e não sabe sequer qual é o endereço do servidor DHCP da rede. O computador cliente envia um pacote de broadcast endereçado ao IP ¾ º¾ º¾ º¾, que é transmitido pelo equipamento utilizado na rede, que pode ser desde um hub a um switch, e esse replica para todos os micros da rede. O servidor DHCP recebe este pacote e responde com um pacote endereçado ao endereço IP ¼º¼º¼º¼, que também é transmitido para todas as estações. Logo, apenas a estação que enviou a solicitação receberá o pacote, enquanto as demais irão descartá-los, pois ele é endereçado ao endereço MAC da placa de rede. Dentro deste pacote enviado pelo servidor DHCP estão especificados o endereço IP, máscara, gateway e servidores DNS que serão usados pela estação.

51 2.6 CONFIGURAÇÃO DO SERVIDOR DHCP Detalhes da Configuração do Servidor DHCP No geral, sua configuração não é difícil, bastando seguir as seguintas etapas: 1 etapa: Nas distribuições derivadas do Debian, o pacote correspondente ao servidor DHCP se chama dhcp3-server e pode ser instalado com o seguinte comando: Ôع Ø Ò Ø ÐÐ Ô ¹ ÖÚ Ö 2 etapa: Com o pacote já instalado pode-se ativá-lo ou desativá-lo usando os seguintes comandos:» Ø» Ò Øº» Ô ¹ ÖÚ Ö Ø ÖØ» Ø» Ò Øº» Ô ¹ ÖÚ Ö ØÓÔ 3 etapa: Como nos módulos anteriores, também existe um arquivo texto de configuração, denominado dhcpd.conf, que pode ser encontrado no caminho:» Ø» Ô». Editando-se o arquivo, pode-se configurar o DHCP com o seguinte exemplo: Ò ¹ÙÔ Ø ¹ ØÝÐ ÒÓÒ ÙÐعР¹Ø Ñ ¼¼ Ñ Ü¹Ð ¹Ø Ñ ¾¼¼ ÙØ ÓÖ Ø Ø Ú Ù Ò Ø ½ ¾º½ º½º¼ Ò ØÑ ¾ º¾ º¾ º¼ ß Ö Ò ½ ¾º½ º½º½¼¼ ½ ¾º½ º½º½ ÓÔØ ÓÒ ÖÓÙØ Ö ½ ¾º½ º½º½ ÓÔØ ÓÒ ÓÑ Ò¹Ò Ñ ¹ ÖÚ Ö ¾¼ º º¾¾¾º¾¾¾ ¾¼ º º¾¾¼º¾¾¼ ÓÔØ ÓÒ ÖÓ Ø¹ Ö ½ ¾º½ º½º¾ Ð Neste arquivo de exemplo existem algumas funções que serão explicadas logo a seguir: a) a opção ÙÐعР¹Ø Ñ controla o tempo de renovação dos endereços IP s; b) o ¼¼ indica que a cada dez minutos o servidor verifica se a estação cliente está ativa; c) o Ñ Ü¹Ð ¹Ø Ñ determina o tempo máximo que uma estação pode usar um determinado endereço IP; d) o Ö Ò determina a faixa de endereços IP que será usada pelo servidor, podendo ser mudada de acordo com a faixa de IP que está sendo utilizada na rede, podendo ser dinâmico ou estático;

52 2.7 EXEMPLO DE UM FIREWALL USANDO IPTABLES 49 e) ÓÔØ ÓÒ ÖÓÙØ Ö especifica o endereço do default gateway da rede, ou seja, o endereço do servidor que está compartilhando a conexão; f) o ÓÔØ ÓÒ ÓÑ Ò¹Ò Ñ ¹ ÖÚ Ö contém os servidores DNS que serão usados pelas estações. Após terminar a configuração do arquivo, pode-se testar se o serviço está funcionando em computadores com o SO Linux, usando o seguinte comando: Ð ÒØ Ø ¼ que retornará as seguintes informações: ÁÒØ ÖÒ Ø ËÝ Ø Ñ ÓÒ ÓÖØ ÙÑ À È Ð ÒØ Î º¼º ÓÔÝÖ Ø ¾¼¼ ¹¾¼¼ ÁÒØ ÖÒ Ø ËÝ Ø Ñ ÓÒ ÓÖØ ÙѺ ÐÐ Ö Ø Ö ÖÚ º ÓÖ Ò Ó ÔÐ Ú Ø ØØÔ»»ÛÛÛº ºÓÖ» Û» Ô» Ä Ø Ò Ò ÓÒ ÄÈ» Ø ½»¼¼ ½ ¼¼ Ë Ò Ò ÓÒ ÄÈ» Ø ½»¼¼ ½ ¼¼ Ë Ò Ò ÓÒ ËÓ Ø» ÐÐ À ÈÊ ÉÍ ËÌ ÓÒ Ø ½ ØÓ ¾ º¾ º¾ º¾ ÔÓÖØ À È Ã ÖÓÑ ½ ¾º½ º½º½ ÓÙÒ ØÓ ½ ¾º½ º½º½ ¹¹ Ö Ò Û Ð Ò ¾ ÓÒ º É importante ressaltar que quando se for utilizar um servidor com duas placas de rede, deve-se configurar o servidor DHCP para escutar apenas na placa da rede local, modificando o arquivo de configuração na linha: ÁÆÌ Ê Ë Adicionando a placa de rede que o servidor DHCP deve escutar, como em: ÁÆÌ Ê Ë Ø ¼ Não se deve esquecer de que todas as vezes que se realizar alguma modificação no arquivo de configuração, deve-se reinicializar o serviço para que as modificações entre em vigor. 2.7 EXEMPLO DE UM FIREWALL USANDO IPTABLES Utilizando-se apenas um arquivo texto, pode-se criar um firewall com os comandos explicados na seção 3.5, pagina 70. Nomeando o arquivo como firewall, segue-se a listagem do mesmo, com as principais regras mais utilizadas, comentadas passo a passo.

53 2.7 EXEMPLO DE UM FIREWALL USANDO IPTABLES 50» Ò» ÊÊ Æ Ç ÅÇ ÍÄÇË ÑÓ ÔÖÓ ÔØ Ð Ò Ø ÄÁÅÈ Æ Ç Ë Ì Ä Ë Ê Ê Ë ÔØ Ð ¹ ÔØ Ð ¹Ø Ò Ø ¹ ÔØ Ð ¹ Ä Ö Ò Ó ÌÈ ÔØ Ð ¹ ÁÆÈÍÌ ¹Ô ØÔ ¹¹ ÔÓÖØ ¾½ ¹ ÈÌ À Ð Ø Ò Ó ÁÈ ÓÖÛ Ö Ó ½»ÔÖÓ» Ý»Ò Ø» ÔÚ» Ô ÓÖÛ Ö ÔØ Ð ¹È ÇÊÏ Ê ÈÌ ÔØ Ð ¹ ÁÆÈÍÌ ¹ ÐÓ ¹ ÈÌ ÔØ Ð ¹ ÇÍÌÈÍÌ ¹Ó ÐÓ ¹ ÈÌ ÈÖÓÜÝ ØÖ Ò Ô Ö ÒØ ÔØ Ð ¹Ø Ò Ø ¹ ÈÊ ÊÇÍÌÁÆ ¹ Ø ½ ¹Ô ØÔ ¹¹ ÔÓÖØ ¼ ¹ Ê ÁÊ Ì ¹¹ØÓ¹ÔÓÖØ ½¾ ËÝÒ¹ ÐÓÓ ÔØ Ð ¹ ÇÊÏ Ê ¹Ô ØÔ ¹¹ ÝÒ ¹Ñ Ð Ñ Ø ¹¹Ð Ñ Ø ½» ¹ ÈÌ ÈÓÖØ ÒÒ Ö ÓÙÐØÓ ÔØ Ð ¹ ÇÊÏ Ê ¹Ô ØÔ ¹¹ØÔ¹ Ð Ë Æ Ã ÁÆ ÊËÌ ÊËÌ ¹Ñ Ð Ñ Ø ¹¹Ð Ñ Ø ½» ¹ ÈÌ È Ò ÑÓÖØ ÔØ Ð ¹ ÇÊÏ Ê ¹Ô ÑÔ ¹¹ ÑÔ¹ØÝÔ Ó¹Ö ÕÙ Ø ¹Ñ Ð Ñ Ø ¹¹Ð Ñ Ø ½» ¹ ÈÌ Î ÖÙ ÌÖÓ Ò Ò ¹ ÁÒÔÙØ ÔØ Ð ¹ ÁÆÈÍÌ ¹Ô ØÔ ¹¹ ÔÓÖØ ½ ½ ¹ ÊÇÈ ¹ ÓÖÛ Ö ¹ ÔØ Ð ¹ ÇÊÏ Ê ¹Ô ØÔ ¹¹ ÔÓÖØ ½ ½ ¹ ÊÇÈ ¹ ÇÙØÔÙØ ÔØ Ð ¹ ÇÍÌÈÍÌ ¹Ô ØÔ ¹¹ ÔÓÖØ ½ ½ ¹ ÊÇÈ Æ Ì ÔØ Ð ¹Ø Ò Ø ¹ ÈÇËÌÊÇÍÌÁÆ ¹ ½ ¾º½ º½º¼»¾ ¹Ó Ø ¼ ¹ Å ËÉÍ Ê ÈÖÓØ ÓÒØÖ ËÔÓÓ ÁÈ Ó ½»ÔÖÓ» Ý»Ò Ø» ÔÚ»ÓÒ» ÐлÖÔ ÐØ Ö

54 2.8 LINUX E SERVIDORES 51 ¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹ Ó Ó ºº ÁÊ Ï ÄÄ ÌÁÎ Ç ËÁËÌ Å ÈÊ È Ê Ç ºº Ó ¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹¹ Todas as linhas que começarem com # indica que a linha está comentada, ou seja, não é interpretada pelo sistema, e esse caracter é usado para comentar trechos de códigos no próprio arquivo. A primeira linha serve para saber o caminho completo do interpretador que se deseja utilizar para execução dos comando que serão realizados em sequência, uma vez que por default o shell do Linux executa shell-scripts. Isso pode ser visto como exemplo, já que o código está todo comentado, facilitando muito o entendimento. Após digitar todo o código no arquivo, salve-o e saia do editor de texto. Posteriormente dê permissão de execução ao arquivo com o seguinte comando: ÑÓ +Ü Ö Û ÐÐ Pronto, o arquivo de Ö Û ÐÐ já esta finalizado. Para executá-lo basta usar o comando: º» Ö Û ÐÐ O computador já está seguro e compartilhando a conexão de internet entre as outras máquinas da rede. Caso seja feita alguma modificação em seu código, basta executar o comando citado anteriormente para que as modificações sejam aplicadas. 2.8 LINUX E SERVIDORES Estima-se hoje que 80% das melhores empresas de hospedagens no mundo utilizem alguma distribuição Linux como sistema operacional de seus servidores, devido a sua licença ser de graça e a possibilidade de configurar vários serviços desde o compartilhamento de impressora a um servidor de internet e de segurança. De acordo com a Tabela 1, pode-se fazer uma comparação dos custos associados e de outras características, quando da utilização de um SO proprietário e um outro de domínio público, para a configuração de alguns serviços.

55 2.8 LINUX E SERVIDORES 52 Tabela 1 - Comparativo de preços de instalação e mão de obra. Modelo de Licenciamento Licenças Microsoft Licenças Linux PROPRIETÁRIO GPL Economia Versão do Servidor Windows 2008 Server Debian/Ubuntu Standard Custo da Licença Inicial (R$) R$ R$ 0,00 R$ 2.000,00 Custo da Licença Adicional por usuário (R$) R$ 100,00 R$ 0,00 R$ 100,00 Mão de Obra de Instalação (Técnico): Custo médio (R$) R$ 1.200,00 R$ 1800,00 R$ - 600,00 Observação: Não Inclui anti-vírus Inclui anti-vírus Comparativos de Custo INICIAL + LICENÇAS USUÁRIOS Rede com 20 usuários R$ R$ 0,00 R$ 3.600,00 Rede com 30 usuários R$ R$ 0,00 R$ 4.500,00 Rede com 50 usuários R$ R$ 0,00 R$ 6.500,00 Comparativos Técnicos Níveis de segurança à área protegida ALTO ALTO Incidência de vírus ALTA BAIXO Integração de Windows XP/VISTA SIM SIM Recuperação em caso de falha (Software) BAIXA ALTA Outros Comparativos Antivirus Free para Servidor NÃO TEM CLAMAV Custo Antivirus para Servidor mínimo R$ R$ 0,00 (R$) Máquina mínima para funcionar Dual Core 4 e 1 GB RAM Pentium IV 2.8 com 50 usuários Ghz e 1 GB RAM Fonte: Adaptado de DMN Eletrônica (2013), Duarta (2009) e SMART UNION (2012). Como exemplo, na hipótese da instalação de uma rede local com um servidor e vinte usuários (instalação típica de um laboratório computacional de pesquisa em uma universidade), tem-se um custo total de Ê º ¼¼ ¼¼ com a utilização de softwares proprietários, enquanto o custo total cai para Ê ½º ¼¼ ¼¼ com o uso de softwares livres.

56 2.8 LINUX E SERVIDORES 53 Com todas essas informações pode-se concluir que o Linux é um sistema operacional completo, e que tem inúmeras vantagens sobre outros sistemas operacionais para uso em servidores, tais como (BALL; DUFF, 2004): a) estabilidade: Capacidade de funcionar anos initerruptamente sem qualquer tipo de falha, fato esse que faz com que muitos usuários de Linux nunca tenham ouvido falar a respeito de uma manutenção do sistema, uma vez que isso acaba sendo primordial para sistemas operacionais de servidores, pois cada minuto parado gera prejuízo para inúmeros sítios e clientes. Outro detalhe é o fato do Linux conseguir trabalhar com grande volume de acesso simultâneos, outra característica fundamental para servidores, característica essa que é um dos grandes problemas do Windows, o que pode gerar lentidão e até possíveis travamentos do SO; b) segurança: Por ser nativamente mais seguro que o Windows, seja como servidor ou como desktop, é possível que o Linux também possa sofrer ataques, mas as suas vulnerabilidades tendem a serem descobertas muito antes, e corrigidas em um tempo muito pequeno, devido ao grande número de programadores espalhados pelo mundo cooperando na sua manutenção; c) hardware: Pelo fato de ser um sistema leve, ele não necessita de grandes equipamentos para suportá-lo, nem de constantes atualizações de hardware, como acontece com sistemas baseados em Windows. Ele pode ainda ser configurado de forma a somente serem utilizados os recursos necessários, tornando-o ainda mais leve e acelerando ainda mais o seu desempenho; d) liberdade: Por não existir um único fornecedor para o Linux, o usuário não fica preso a certas características e protocolos, uma vez que ele tem a liberdade para escolher a versão ou distribuição que melhor atende as suas necessidades, isso tudo sem contar o custo total dessa operação, que é muito inferior aos outros SO. O SO Linux pode ser utilizado como servidor de rede, o que facilita muito a vida de um administrador de rede. Neste trabalho utilizou-se a distribuição Ubuntu para configurar: a) um dispositivo de rede de computadores que tem por objetivo criar uma barreira de proteção que por uma política de segurança controla o tráfego de dados entre o computador e a rede;

57 2.8 LINUX E SERVIDORES 54 b) um servidor proxy que suporta os protocolos: HTTP, HTTPS, FTP, dentre outros, que em conjunto com a cache, reduz a utilização da conexão e melhora o tempo de resposta das requisições solicitadas de páginas web s; c) uma ferramenta de monitoração que através de arquivos de logs gera páginas HTML com gráficos de dados de acesso, memória utilizada, capacidade de armazenamento do servidor, dentre outros tipos de gráficos; d) uma ferramenta de monitoramento de sites acessados pelos usuários; e) uma ferramenta para limitar o link de download e upload de cada usuário; f) um servidor que forneça IP (Internet Protocol) para cada máquina da rede de forma automática. Na sequência será apresentado conceitos de gerência de serviços e de redes, utilizados na ferramenta proposta.

58 55 3 GERÊNCIA DE SERVIÇOS E DE REDES O aumento da competitividade no mercado empresarial tem obrigado as empresas dos mais variados segmentos e portes, a uma busca incansável pela redução de custos, aumento da eficiência operacional, novos mercados, maior lucratividade, racionalização de investimentos e mais agilidade na tomada decisões. Sendo assim, deixar de monitorar e gerenciar estes ambientes, pode significar muitas perdas e prejuízos, uma vez que os dados e informações que trafegam nas redes corporativas são, em última análise, valores monetários. Neste contexto, a gerência e monitoramento dos serviços nas redes corporativas, tornam-se imprescindíveis, pois mais importante que saber quais os problemas que estão relacionados à rede corporativa, é conhecer o impacto deles nos lucros das empresas (SOUZA, 2009). Segundo Tanenbaum (2011), as redes de computadores foram concebidas como meio para compartilhar dispositivos periféricos tais como impressoras, drivers de alta velocidade, entre outros, existindo inicialmente apenas em ambientes acadêmicos, governamentais e algumas empresas de grande porte. Entretanto a rápida evolução das tecnologias de redes, aliada à grande redução de custos dos recursos computacionais, motivou a proliferação das redes de computadores por todos os segmentos da sociedade. À medida que essas redes foram crescendo e tornando-se integradas às organizações, o compartilhamento dos dispositivos tomou aspecto secundário em comparação às outras vantagens oferecidas. As redes passaram então a fazer parte do cotidiano das pessoas como uma ferramenta que oferece recursos e serviços que permitem uma maior interação entre os usuários e um consequente aumento de produtividade. Também ocorreu uma grande mudança nos serviços oferecidos, pois além do compartilhamento de recursos, novos serviços tais como correio eletrônico, transferência de arquivos, internet, aplicações multimídia, dentre outros, foram acrescentados, aumentando ainda mais a complexidade das redes. Não bastassem esses fatos, o mundo da interconexão de sistemas ainda passou a conviver com a grande heterogeneidade de padrões, sistemas operacionais, equipamentos, etc. Considerando este quadro, torna-se cada vez mais necessário o gerenciamento do ambiente de redes de computadores para mantê-lo funcionando corretamente. Surge então a necessidade de buscar uma maneira consistente de realizar o gerenciamento de redes para, com isso, manter toda a estrutura funcionando de forma a atender as necessidades dos usuários e às expectativas dos administradores.

59 3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE 56 O gerenciamento de rede pode ser definido como a coordenação (controle de atividades e monitoração de uso) de recursos materiais (modems, roteadores, etc.) e ou lógicos (protocolos), fisicamente distribuídos na rede, visando maximizar sua eficiência e produtividade além de assegurar, na medida do possível, confiabilidade, tempos de resposta aceitáveis e a segurança das informações (TANENBAUM, 2011). A gerência em redes de computadores torna-se uma tarefa complexa em boa parte, por consequência do crescimento acelerado das mesmas, tanto em desempenho quanto em suporte à um grande conjunto de serviços. Além disso, os sistemas de telecomunicações, parte importante e componente das redes, também adicionam maior complexidade, estando cada vez mais presentes, mesmo em pequenas instalações. Admitindo-se que as ferramentas para gerência de redes não abrangem toda a gama de problemas de uma rede e que estas nem sempre são usadas nas organizações que possuem redes, se faz necessário que outros mecanismos de gerência sejam utilizados para suprir suas carências mais evidentes. As informações que circulam em uma rede de computadores devem ser transportadas de modo confiável e rápido. Para que isso aconteça é importante que os dados sejam monitorados de maneira que os problemas que por ventura possam existir sejam detectados rapidamente e sejam solucionados eficientemente. Uma rede sem mecanismos de gerência pode apresentar problemas que irão afetar o tráfego dos dados, bem como sua integridade, como problemas de congestionamento do tráfego, recursos mal utilizados, recursos sobrecarregados, problemas com segurança entre outros. O gerenciamento está associado ao controle de atividades e ao monitoramento do uso dos recursos da rede. A tarefa básica que uma gerência de rede deve executar envolve a obtenção de informações da rede, tratar estas informações possibilitando um diagnóstico seguro e encaminhar as soluções dos problemas. Para cumprir estes objetivos, funções de gerência devem ser embutidas nos diversos componentes da rede, possibilitando descobrir, prever e reagir a problemas. 3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE De acordo com Freitas (2010), um sistema de gerenciamento consiste de alguns itens de hardware e software adicionais, implementados entre os equipamentos de rede existentes. O software usado para auxiliar neste gerenciamento é instalado em servidores, estações e processadores de comunicação, tais como, roteadores, concentradores de acesso e switches, uma vez que é projetado para oferecer uma visão de toda a rede como uma arquitetura unificada, com endereços e rótulos associados a cada ponto da rede e atributos específicos de cada elemento e link conhecido do sistema de gerenciamento.

60 3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE 57 Com o crescimento das redes de computadores, em tamanho e complexidade, sistemas de gerência baseados em um único gerente são inapropriados, ou seja, não se deve centralizar o gerenciamento em apenas um único gerente, devido ao volume das informações que devem ser tratadas e que podem pertencer a localizações geograficamente distantes do gerente, evidenciando-se então a necessidade da distribuição da gerência na rede, através da divisão das responsabilidades entre gerentes locais que controlem domínios distintos e da expansão das funcionalidades dos agentes. Os modelos de gerência diferenciam-se nos aspectos organizacionais envolvendo a disposição dos gerentes na rede, bem como no grau da distribuição das funções de gerência. Cada gerente local de um domínio pode prover acesso a um gerente responsável (pessoa que interage com o sistema de gerenciamento) local e/ou ser automatizado para executar funções delegadas por um gerente de mais alto nível, geralmente denominado de Centro de Operações da Rede (Network Operation Center - NOC). O NOC é responsável por gerenciar os aspectos interdomínios, tal como um enlace que envolva vários domínios, ou aspectos específicos de um domínio, devido à inexistência de gerente local. Segundo Comer (2007), a gerência de rede é dividida em três etapas como pode ser visto na Figura 10 a seguir: Figura 10 - Esquema das etapas de uma gerência de rede. Fonte: Adaptado de Comer (2007). a) coleta de dados: Processo automático que consiste na monitoração dos recursos gerenciados e armazenados em arquivos de logs; b) diagnóstico: Consiste no tratamento e análise realizados a partir dos dados coletados onde também é realizado a detecção da causa do problema no recurso gerenciado através de um computador de gerenciamento que executa uma série de procedimentos manuais ou automáticos (por intermédio de um operador ou não) com o intuito de determinar a causa do problema representado no recurso gerenciado;

61 3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 58 c) ação: Uma vez diagnosticado o problema cabe uma ação ou controle sobre o recurso, caso o evento não tenha sido passageiro. 3.2 MODELO GERAL DE GERENCIAMENTO DE REDE Para que ocorra as etapas de coleta de dados, diagnóstico e por fim a ação a ser tomada, é preciso que esteja presente na rede em questão, quatro elementos básicos que auxiliará no monitoramento da rede, conforme a Figura 11. Figura 11 - Quatro elementos que devem estar presentes na rede. Troca de mensagens entre Gerente e Agente Solicitações Gerente Protocolo Agente MIB Respostas e Notificações MIB Fonte: Adaptado de Galstad (2010). Gerente: Um computador conectado a rede que executa o software de protocolo de gerenciamento que solicita informações aos agentes, também chamado de console de gerenciamento, que abrange pelo menos quatro ítens: 1. Conjunto de aplicações de gerenciamento que irá analisar e recuperar as falhas encontradas; 2. Uma interface pela qual o administrador irá interagir com o sistema, facilitando o seu controle, gerenciamento e monitoramento do mesmo; 3. Forma de interpretar as solicitações do administrador para realizar as tarefas desejadas; 4. Uma base de dados com informações obtidas de todos os elementos gerenciados na rede conhecida como MIB. Agente: Um processo (software) que roda em um recurso, elemento ou sistema gerenciado, que exporta uma base de dados de gerenciamento (MIB) para os que o gerente possa

62 3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 59 ter acesso aos mesmos. Esse agente responde às solicitações de informações feitas pelo gerente e executa algumas ações; podendo até mesmo fornecer algumas informações ao gerente sem mesmo ter sido solicitado por este; Management Information Base - MIB (Base de dados de gerenciamento): Uma tabela onde são armazenados os dados de gerenciamento coletados que serão enviados ao gerente; Protocolo de gerenciamento: Fornece os mecanismos de comunicação entre o gerente e o agente Todos os elementos citados acima, serão tratados com mais detalhes nas seções 3.3, 3.4 e A Relevância do Gerenciamento de uma Rede Por menor e mais simples que seja, uma rede de computadores precisa ser gerenciada a fim de garantir, aos seus usuários, a disponibilidade de serviços a um nível de desempenho aceitável. À medida que a rede cresce, aumenta a complexidade de seu gerenciamento, forçando a adoção de ferramentas automatizadas para a sua monitoração e controle, por isso a adoção de um software de gerenciamento não resolve todos os problemas da pessoa responsável pela administração da rede, visto que geralmente o usuário de um software de gerenciamento espera muito dele e, consequentemente, fica frustrado quanto aos resultados que obtém; por outro lado, esses mesmos softwares quase sempre são sub-utilizados, isto é, possuem inúmeras características inexploradas ou utilizadas de modo pouco eficiente (SOULA, 2013). Para gerenciar um recurso, é necessário conhecê-lo muito bem e visualizar claramente o que este recurso representa no contexto da rede, por isso, o investimento em um software de gerenciamento pode ser justificado pelos seguintes fatores: a) as redes e recursos de computação distribuídos estão se tornando vitais para a maioria das organizações, e sem um controle efetivo destes recursos, os não é possível garantir o retorno que a corporação necessita; b) o contínuo crescimento da rede em termos de componentes, usuários, interfaces, protocolos e fornecedores ameaçam o gerenciamento com perda de controle sobre o que está conectado na rede e como os recursos estão sendo utilizados; c) os usuários esperam uma melhoria dos serviços oferecidos (ou no mínimo, a mesma qualidade), quando novos recursos são adicionados ou quando são distribuídos;

63 3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 60 d) os recursos computacionais e as informações da organização geram vários grupos de aplicações de usuários com diferentes necessidades de suporte nas áreas de desempenho, disponibilidade e segurança, por isso o gerente da rede deve atribuir e controlar recursos para balancear estas várias necessidades, sem que uma interfira na outra; e) à medida que um recurso fica mais importante para a organização, maior fica a sua necessidade de disponibilidade, por isso o sistema de gerenciamento deve garantir esta disponibilidade, evitando que quando solicitado, o mesmo esteja indisponível; f) a utilização dos recursos deve ser monitorada e controlada para garantir que as necessidades dos usuários sejam satisfeitas a um custo razoável ou como mencionado anteriormente, no mínimo de mesma qualidade. Além desta visão qualitativa, uma separação funcional de necessidades no processo de gerenciamento foi apresentada pela International Organization for Standardization (ISO), como parte de sua especificação de Gerenciamento de Sistemas, divisão esta que representa os recursos de rede e protocolos para a transferência de informações sobre as gerências da rede. A partir desta divisão, foi criado o modelo dividido em cinco áreas funcionais denominadas FCAPS uma sigla vem vem do inglês: Fault, Configuration, Accounting, Performance e Security, formada a partir das iniciais de cada área de gerenciamento, a qual foi adotada pela maioria dos fornecedores de sistemas de gerenciamento de redes para descrever as necessidades de gerenciamento de Falhas, Configuração, Contabilidade ou Contabilização, Desempenho e Segurança, que serão detalhados a seguir (MAGALHÃES; PINHEIRO, 2007): a) falha: compreende as facilidades que permitem a detecção, o isolamento e a correção de operações anormais no ambiente de rede, necessitando mesmo assim de que em uma configuração de rede, haja uma manutenção apropriada para que todo o ambiente esteja funcionando de acordo com o desejado, e caso ocorra alguma falta no sistema, seja possível ser detectado onde a mesma ocorreu, de modo que seja corrigida o mais rápido possível, seguindo as seguintes premissas: 1. isolar o problema do resto da rede; 2. reconfigurar a rede para evitar o uso do componente que veio a falhar; 3. consertar o elemento que apresentou a falha. Deve-se tomar muito cuidado, pois as vezes o conceito de falha pode ser confundido com erro, uma vez que uma falha é considerada falha quando ocorre em uma situação anormal e que necessita de uma intervenção para ser reparada, por outro lado, um erro ocorre de uma forma esporádica e pode ser tratado através de uma rotina automática;

64 3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 61 b) configuração e nomes: Visa prover facilidades como a inicialização/shutdown de sistemas, a distribuição e a atualização de pacotes de software para os elementos de uma rede, ou seja, possui a função de controlar a identificação dos componentes na rede que visa sua configuração apropriada; c) contabilidade: Provê o gerenciamento da contabilização do uso dos objetos, ou seja, em uma organização é necessário que os custos relativos ao uso do ambiente seja computado para os diversos centros de custo da corporação. Como exemplo pode-se avaliar o custo de configuração de rede de uma corporação, que com o uso da contabilização, é possível auxiliar na tomada de decisão para onde o ambiente de rede deve ser expandido, mostrando além disso onde é que os recursos estão sendo mal aproveitados; d) desempenho: Neste nível deve existir uma avaliação do comportamento dos objetos gerenciados e sua eficiência quanto às atividades de comunicação, ou seja, em outras palavras ela se preocupa com os limites de desempenho necessário para o perfeito funcionamento dos objetos em uma configuração de rede, monitorando e controlando as atividades da rede, permitindo assim alguns ajustes no desempenho para que o mesmo se torne aceitável para o ambiente. Alguns itens que deve serervados pelo gerenciamento de desempenho são: percentual do uso da capacidade de transmissão da rede, o delay do ambiente, possíveis congestionamentos e gargalos na rede; e) segurança: Sua função é tratar dos aspectos relacionados à segurança dos componentes que estão sendo gerenciados, como por exemplo a distribuição e armazenamento de chaves de segurança, controle e autorização de acesso aos computadores da rede como um todo, monitoramento e controle de acesso. Com esse grande crescimento das redes, conhecida como sistemas de gerenciamento de serviços e de redes, tornou-se de grande importância para as corporações e organizações. Esse sistema é composto por um conjunto de ferramentas que tem como objetivo controlar e monitorar toda a rede de forma integrada. Segue algumas características desejáveis de um sistema de gerenciamento: a) interface: amigável, única, mas com um grande potencial para executar vários comandos para gerenciar a rede; b) independência de Plataforma: desejável que haja uma independência de hardware e software, aproveitando-se todo o ambiente computacional da corporação; c) pacote de Software de Gerenciamento das Tarefas: deve residir de maneira distribuída nos computadores e elementos de comunicação da rede;

65 3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 62 d) sistema de Gerenciamento: deve ser projetado para que o ambiente de hardware e software da corporação seja uma arquitetura unificada. Neste trabalho será trabalhado apenas as áreas funcionais de gerenciamento de configuração, contabilização e segurança. Para isso, foi utilizado os protocolos SNMP (Simple Network Management Protocol), NRPE (Nagios Remote Plugin Executor) e o iptables para que seja realizado as trocas de mensagens e tratado a parte de segurança, respectivamente. 3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL De acordo com Cisco (2010), com a necessidade de novos mecanismos que possibilitasse o gerenciamento das redes baseadas no protocolo TCP/IP, foi criado o padrão SNMP, o qual foi associado com uma base de dados chamada MIB (Management Information Base). O órgão identificado como Internet Activities Board (IAB), o qual rege a política da internet e o protocolo, o qual requisitou um comitê para rever as opções de gerenciamento de rede, concluiu que o protocolo baseado no Simple Gateway Management Protocol (SGMP), que foi desenvolvido para administrar redes, deveria ser adotado. A criação do SNMP, baseou-se em alguns objetivos e algumas especificações a seguir: a) gerenciamento integrado de rede: a capacidade de gerenciar redes incorporando componentes de arquiteturas heterogêneas através de uma simples aplicação; b) interoperabilidade: é a capacidade de qualquer equipamento de qualquer marca seja gerenciado por outros equipamentos; c) padronização: facilitam o método de comunicação e as estruturas de dados de forma que as redes não similares possam ser integradas no gerenciamento; Segundo RFC1157 (2009), este protocolo tem como premissa a flexibilidade e a facilidade de implementação, também em relação aos produtos futuros. O SNMP é um protocolo de gerência definido a nível de aplicação, é utilizado para obter informações de servidores SNMP - agentes espalhados em uma rede baseada na pilha de protocolos TCP/IP. Os dados são obtidos através de requisições de um gerente a um ou mais agentes utilizando os serviços do protocolo de transporte User Datagram Protocol (UDP) para enviar e receber suas mensagens através da rede. Dentre as variáveis que podem ser requisitadas, serão utilizadas as MIB s; podendo fazer parte da MIB II, da experimental ou da privada. O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil do estado em tempo real da rede, podendo ser utilizado para gerenciar diferentes tipos de sis-

66 3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 63 temas. Este gerenciamento é conhecido como modelo de gerenciamento SNMP, ou simplesmente, gerenciamento SNMP, o qual também é o nome do protocolo no qual as informações são trocadas entre a MIB e a aplicação de gerência como também é o nome deste modelo de gerência Funcionamento do Protocolo SNMP Seu funcionamento é baseado em dois dispositivos, o agente e o gerente, em que cada máquina gerenciada é vista como um conjunto de variáveis que representam informações referentes ao seu estado atual; e estas informações ficam disponíveis ao gerente através de consulta e que podem ser alteradas por ele. Cada máquina gerenciada pelo SNMP deve possuir um agente e uma base de informações MIB como pode ser visto na Figura 12. Figura 12 - Elementos de uma rede com SNMP. GERENTE SNMP MIB AGENTE Fonte: Adaptado de??) a) agente: É um processo executado na máquina gerenciada (ou próximo a ela), responsável pela manutenção das informações de gerência da máquina. Cada máquina gerenciada pelo SNMP deve possuir um agente e uma base de informações de gerência, por isso a máquina que será gerenciada é vista como um conjunto de variáveis que representam informações referentes ao seu estado atual. Essas variáveis ficam disponíveis ao gerente através de consultas e podem ser alteradas por ele, se assim as variáveis foram definidas. Ao disponibilizar essas variáveis à leitura, a máquina permite seu monitoramento e, ao

67 3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 64 receber novos valores do gerente, a máquina estará sendo monitorada. As funções principais de um agente são: responsável por atender as requisições enviadas pelo gerente; responsável por enviar automaticamente informações de gerenciamento ao gerente, quando previamente programado; ele utiliza as system calls para realizar o monitoramento das informações da máquina e utiliza as RPC (Remote Procedure Call) para o controle das informações da máquina. b) gerente: É um programa executado em uma estação um computador servidor o qual permite a obtenção e o envio de informações de gerenciamento junto aos dispositivos gerenciados mediante a comunicação com um ou mais agentes, como pode ser visto na Figura 13. Figura 13 - Funcionamento da relação de um agente com o objeto a ser gerenciado. Gerente Gerenciamento Protocolo de Gerenciamento Notificação de objetos ou eventos Agente Notificações de gerenciamento Ações de gerenciamento MIB Objetos Gerenciados Fonte: Adaptado de Breitgand, Raz e Shavitt (2002). Logo, pode-se resumir a função de cada um da seguinte maneira: a) o gerente fica responsável pelo monitoramento, relatórios e decisões na ocorrência de problemas; a) o agente fica responsável pelas funções de envio e alteração das informações e também pela notificação da ocorrência de eventos específicos ao gerente. c) base de informação gerencial (MIB): é um arquivo codificado no qual são relacionadas as informações que o gerente deve repassar ao agente quando solicitadas através das consultas SNMP, como também as informações de alerta (traps) que poderão ser enviadas do agente para o gerente.

68 3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 65 Figura 14 - Árvore MIB parcial a partir da raiz. Fonte: Mauro e Schmidt (2005). Constituída por uma estrutura em árvore como pode ser visto na Figura 14, contendo as variáveis de gerência de um determinado equipamento, a MIB define para cada variável um identificador único denominado Object Identifier (OID), formado por um número inteiro não negativo. Em princípio, todos os objetos definidos em todos os padrões oficiais podem ser exclusivamente identificados. Para localizar uma determinada informação, o identificador da variável que será acessada pelo SNMP é representado com o IP do equipamento em conjunto com o identificador do objeto (OID) na árvore MIB. O OID de um nodo da árvore descrita por uma MIB é composto pelo OID do seu pai mais seu próprio identificador relativo. Logo, o uso de números dos OIDs dificulta a compreensão dos nodos da MIB, e por isso o OID pode ser substituído por um nome (OID Name), que pode ser usado em conjunto com o OID numérico, como pode ser visto no exemplo do seguinte OID , o qual pode ser representado pelo OID Name system. Um outro exemplo é o sysuptime cujo OID que também pode ser representado por system.3. Para cada objeto são definidos o nome, um identificador, uma sintaxe, uma descrição e um controle de acesso. As instâncias dos objetos são chamadas de variáveis. O nome do objeto (Object Name) é composto por uma string de texto curto. O OID é formado por números separados por pontos. A sintaxe (syntax) descreve o formato ou valor e define

69 3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 66 o tipo do objeto. A descrição é uma string que informa o que a variável representa. O acesso é o tipo de controle que se pode ter sobre o objeto (somente leitura, leitura e escrita ou não acessível) Operações Realizadas pelo Protocolo SNMP Por ser um protocolo de gerenciamento de rede e trabalhar no nível de aplicação, de acordo com Breitgand, Raz e Shavitt (2002), o SNMP utiliza o UDP como protocolo de transporte, ou seja, ele pode apenas ler ou alterar o conteúdo das variáveis por meio de algumas operações básicas: (SET e GET) e suas derivações (GET-NEXT, TRAP), as quais são descritas a seguir: a) a operação SET é utilizada para alterar o valor da variável dos agentes, uma vez que para cada SetRequest executado pelo gerente, o agente responde com um GetResponse, alterando assim o valor da variável; b) a operação GET é utilizada pelo gerente para ler o valor da variável dos agentes, podendo ser de dois tipos: GetRequest o qual recupera a primeira informação da lista de informação de um objeto e o GetNextRequest que recupera a próxima informação disponível na lista a partir da última informação solicitada. Lembrando que para cada GetRequest ou GetNextRequest enviado pelo gerente aos agentes, o mesmo retornará com um GetResponse. c) a operação TRAP é utilizada pelo agente para comunicar um evento ao gerente, mesmo que não o tenha solicitado. São sete tipos básicos de trap determinados: coldstart: a entidade que a envia foi reinicializada, indicando que a configuração do agente ou a implementação pode ter sido alterada; warmstart: a entidade que a envia foi reinicializada, porém a configuração do agente e a implementação não foram alteradas; linkdown: o enlace de comunicação foi interrompido; linkup: o enlace de comunicação foi estabelecido; authenticationfailure: o agente recebeu uma mensagem SNMP do gerente que não foi autenticada; egpneighborloss: um par EGP parou; enterprisespecific: indica a ocorrência de uma operação TRAP não básica. Na Figura??, é mostrado como são trocadas as informações entre um gerente e um agente utilizando as mensagens SNMP, a qual é formada pelo Protocol Data Unit (PDU), cujo con-

70 3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 67 teúdo é formado por: um número que indica a versão do protocolo SNMP, um nome de comunidade que serve como uma senha para autenticação da mensagem e um código de acordo com a Tabela 2. Figura 15 - Modelo de comunicação entre gerente e agente usando SNMP. Fonte: Adaptado de Mauro e Schmidt (2005) Tabela 2 - Operações do SNMP - Códigos da PDU. PDU Interação Descrição 0 - GetRequest Gerente-agente Solicitação de leitura sobre conteúdo dos objetivos: apenas uma instância de objeto. 1 - GetNextRequest Gerente-agente Solicitação de leitura sobre conteúdo dos objetivos: próximo na lista. 2 - SetRequest Gerente-agente Altera o valor de um objeto. 3 - GetResponse Agente-gerente Retorna o valor de um objeto ao pedido do gerente. 4 - Trap Agente-gerente Notifica o gerente da ocorrência de um evento excepcional. Fonte: (MAURO; SCHMIDT, 2005).

71 3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR 68 Se o agente e o gerente em questão for da mesma versão do SNMP e o gerente enviar o nome da comunidade correta, a PDU da mensagem será processada. A PDU é formado por um código que identifica o tipo da mesma, o nome do objeto envolvido na operação e o código de erro. Como explicado anteriormente, a PDU do tipo GetRequest é enviada por um gerente, contendo o nome dos objetos cujo valores são consultados, tornando-se uma operação atômica, ou seja, ou todos os valores consultados são devolvidos, ou nenhum é desenvolvido. Já a PDU do tipo GetNextRequest também é enviada por um gerente contendo as informações de um ou mais objetos que serão consultados. A PDU do tipo SetRequest é enviada por um gerente solicitando os valores alterados das variáveis monitoradas. Resumindo, o agente responde com uma PDU do tipo GetResponse, contendo os valores das variáveis em questão, juntamente com um código de erro associado que por sua vez indica se a operação foi realizado com sucesso ou falha; e caso seja retornado com um código de falha, os valores solicitados não serão enviados, como pode ser visto na Tabela 3. Tabela 3 - Operações do SNMP - Códigos de erros. status de Erro Descrição 0 - noerror Operação bem sucedida. 1 - toobig PDU GetResponse extrapola limite local 2 - nosuchname Não existe objeto com o nome solicitado. 3 - BadValue Uma PDU SetRequest contém uma variável de tipo, tamanho ou valor inconsistente. 4 - readonly Compatibilidade SNMP. 5 - generr Erro Genérico. Fonte: (MAURO; SCHMIDT, 2005). 3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR De acordo com Galstad (2007), este complemento é desenhado para permitir que sejam executados os plugins do Nagios em computadores remotos com SO Linux, possibilitando assim que o Nagios monitore recursos locais, como carga da CPU, uso de memória, etc. Uma vez que recursos públicos não são expostos para máquinas externas, é necessário um agente, como o NRPE, instalado diretamente nos computadores Linux remotos Características do NRPE O NRPE é composto por dois complementos, onde o primeiro é o plugin check_nrpe que está localizado no host de monitoramento e o segundo complemento é o daemon NRPE, o qual vai estar presente nas máquinas remotas. Na Figura 16 é mostrada a visão geral do NRPE.

72 3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR 69 Figura 16 - Esquema da visão geral do NRPE. Servidor de Monitoramento Nagios check_nrpe SSL NRPE Máquina Linux/Unix Remota check_disk check_load check_http check_ftp Recursos e Serviços Locais Serviços Remotos em outros Hosts Fonte: Adaptado de Galstad (2007). Seu funcionamento é baseado nas seguintes etapas: 1 passo: É executado um plugin chamado check_nrpe, o qual retorna que um serviço deve ser checado; 2 passo: O plugin realiza uma comunicação com o daemon NRPE do computador remoto através de uma conexão protegida por SSL; 3 passo: O daemon é responsável por rodar um plugin que checa o serviço ou o recurso desejado; 4 passo: As informações obtidas nas etapas anteriores, são repassadas ao plugin check_nrpe pelo daemon NRPE, retornando assim ao processo do Nagios. Lembrando que para que ocorra todas as etapas, é necessário que o plugin do Nagios esteja instalado em todos os computadores da rede Formas de Checagens do NRPE Nesta seção será explicado os dois tipos de checagens que o módulo NRPE realiza: Direta: Consiste em monitorar recursos locais e privados, na máquina Linux/Unix remota. Isto inclui recursos como carga da CPU, uso de memória, uso de swap, usuários conectados atualmente, uso de disco, estado de processos, etc. Na Figura 17 é mostrado o esquema.

73 3.5 FERRAMENTA IPTABLES 70 Figura 17 - Esquema da checagem direta. Servidor de Monitoramento Máquina Linux/Unix Remota Nagios check_nrpe SSL NRPE check_disk check_load Recursos e Serviços Locais Fonte: Galstad (2007). Indireta: Consiste em checar serviços e recursos públicos de servidores remotos, que podem não estar diretamente visíveis ao servidor de monitoramento (Nagios). Isso pode ser visto na Figura??, a seguir. Figura 18 - Esquema da checagem indireta. Servidor de Monitoramento Máquina Linux/Unix Remota Servidor Web Remoto Nagios check_nrpe SSL NRPE check_disk check_load HTTP FTP Fonte: Adaptado de Galstad (2007). 3.5 FERRAMENTA IPTABLES De acordo com Purdy (2004), quando se fala em firewall, pensa-se em um dispositivo dedicado ou um equipamento que é colocado entre o servidor e a internet (Figura 19), entretanto, firewalls dedicados também estão entre os mais utilizados pelos administradores em grandes redes, onde o investimento é justificável. Pode-se também obter um nível de segurança similar ou até superior, simplesmente usando os recursos nativos do sistema, utilizando o módulo iptables. O firewall trabalha como um fiscal, que vai analisar todos os pacotes que chegam, decidindo qual deve passar e qual deve ficar retido, através de um conjunto de regras definidas em sua configuração.

74 3.5 FERRAMENTA IPTABLES 71 Figura 19 - Ilustração de um firewall. Fonte: NETO (2004). PAREI AQUI Existem vários tipos de servidores, dentre eles o destinado a compartilhar a conexão com a internet e proteger os computadores da rede local, que utilizam regras de compartilhamento da conexão através do módulo NAT, combinadas com regras de acesso ou bloqueio para os computadores da rede local e tráfego proveniente da internet; e os destinados a abrir ou fechar portas de comunicações ou redirecionar alguma porta específica para um computadores dentro da rede local executando algum software que necessite de portas de entrada, deixando bloqueada todas as demais. Em um servidor de internet, por sua vez, não se pode simplesmente bloquear todas as portas, pois senão o usuário não conseguiria acessar o ambiente externo de sua rede. Ou seja, se o administrador de redes fechasse todas as portas de comunicação, o usuário não navegaria na internet; uma vez que, por definição, o servidor deve receber requisições dos usuários e disponibilizar as páginas hospedadas, entre outros recursos solicitados pelos mesmos. Para que o usuário consiga acessar a rede, o administrador então, deverá fazer uma configuração mais cuidadosa, listando os serviços que devem ficar disponíveis, abrindo as portas referentes a eles e fechando todas as demais. As portas básicas para um servidor web, por exemplo, são: portas 22 (SSH);

75 3.5 FERRAMENTA IPTABLES 72 porta 53 (DNS); portas 80 e 443 (WEB). Atualmente existem vários firewalls gráficos para Linux, como o Shorewall Endian Firewall, Smoothwall, Firestarter dentre outros. Todos variam em nível de facilidade e recursos, oferecendo uma interface de fácil manipulação e gerando as regras do iptables de acordo com a configuração feita. Alguns administradores de rede escolhem usar um programa muitas vezes de código fechado que melhor atenda as necessidades, mas muitos preferem configurar diretamente usando o iptables com as regras que definem condições onde os pacotes serão aceitos ou recusados. De acordo com NETO (2004), Netfilter é um módulo do Kernel do Linux responsável pelo controle da rede e das funções do módulo NAT, Firewall e log do sistema. Iptables é o nome da ferramenta que controla o módulo Netfilter, e é o termo utilizado para se referenciar as funcionalidades do Netfilter. O pacote iptables já vem instalado na maioria das distribuições Linux por padrão, porém, se não tiver o módulo instalado basta utilizar o seguinte comando: Ôع Ø Ò Ø ÐÐ ÔØ Ð Funcionamento do Iptables De acordo com Lobo, Marchi e Provetti (2012), seu funcionamento é baseado em pares de regras que filtram pacotes de determinadas redes, gerando uma ação que define qual atitude deve ser tomada quando um pacote se enquadrar em uma determinada regra, como por exemplo a ação de recusar, ou seja, bloquear pacotes duvidosos da rede. O nome iptables vem do fato de que esta ferramenta trabalha baseada em tabelas, em que cada tabela possui uma função específica para o tratamento dos pacotes de acordo com a Tabela 4. Tabela 4 - Tabela de tratamento dos pacotes. Tabela Descrição RAW Faz pequenas mudanças nos pacotes. Geralmente utilizada para colocar marcas. NAT Muda os cabeçalhos dos pacotes, usado para realizar o NAT. MANGLE Realiza alterações específicas nos pacotes. FILTER Utilizado para filtragem dos pacotes. Fonte: (NETO, 2004).

76 3.5 FERRAMENTA IPTABLES Cadeias / Chains do Iptables No iptables existe o conceito de cadeias ou chains (regras) que auxilia no entendimento de como o Netfilter monitora os pacotes, que já foi implementado no ipchains e melhorado no iptables (NETO, 2004). Na Tabela 5 são apresentadas as principais regras e descrições das cadeias. Tabela 5 - Tabela de regras das cadeias do iptables. Cadeia Descrição INPUT Tráfego que tem como destino a própria máquina. FORWARD Consultado os dados que são redirecionados para outra interface de rede ou outra máquina. OUTPUT Tráfego gerado localmente, tanto como destino local quanto remoto. PREROUTING Utilizado no tráfego que chega no servidor. POSTROUTING Utiliza em todo o tráfego que sai do servidor. Fonte: (NETO, 2004) Políticas de Trabalho do Iptables O iptables trabalha com algumas configurações padrão ou como é conhecida na informática, configurações default. O mais comum é quando um pacote que está sendo analisado não se enquadra em nenhuma das regras estabelecidas, a política padrão utilizada é a DROP, ou seja, o pacote será descartado (FANG; HAN; LI, 2009). Toda regra que é criada, tem um target, ou seja, tem uma lista de ação que pode ser realizada, como apresentado na Tabela 6. Tabela 6 - Tabela de ações a serem realizadas nos pacotes analisados. Target Descrição ACCEPT O pacote que está sendo analisado é aceito na rede. DROP O pacote que está sendo analisado é descartado. REJECT O pacote analisado é rejeitado e uma mensagem ICMP é enviada à origem. USER_CHAIN O pacote analisado será enviado para outra chain. Fonte: (NETO, 2004). Para se utilizar o iptables necessita-se de algumas regras que devem ser manipuladas como root. Nas Tabelas 7 e 8 são apresentados alguns comandos e parâmetros para especificar as regras trabalhadas no firewall.

77 3.5 FERRAMENTA IPTABLES 74 Tabela 7 - Tabela de comandos para manipular regras do firewall. Comando Descrição -N [regra] Cria uma regra. -X [regra] Apaga uma regra. -P [regra] [ação] Muda a política padrão de uma regra. -L [regra] Lista as regras dos módulos usados para configurar o firewall que estão ativos. -F [regra] Apaga todas as regras ativas. -A [regra] Acrescenta uma regra. -I [regra] [num linha] Insere uma regra numa posição. -R [regra] [num linha] Troca de posição a regra. -D [regra] Apaga a regra. Fonte: (NETO, 2004). Tabela 8 - Parâmetros para utilizar as regras nos comandos: add, delete, insert, replace e append. Parâmetros Descrição -s [endereço] Especifica o endereço de origem. -d [endereço] Especifica o endereço de destino. -p [ptotocolo] Especifica o protocolo que será trabalhado. -i [interface] Especifica a interface de entrada dos pacotes. -o [interface] Especifica a interface de saída dos pacotes. -f Indica que a regra deve ser aplicada somente a fragmentos, a partir do segundo pacote. -j [alvo] Indica qual a ação que deve ser tomada caso a regra seja ativada. Fonte: (NETO, 2004). Como explicado anteriormente as regras de iptables devem ser executadas somente como root e os mesmo podem ser feita via shell-script. O shell é um programa interativo que serve como interpretador de linha de comando. Ele pesquisa por um comando e executa o programa a ele associado, substitui os valores das variáveis do shell pelo conteúdo a ela associado, executa substituição de comandos, completa nomes de arquivos a partir de caracteres de geração de nomes de arquivos (curingas), manipula redirecionamento de entrada, saída e pipelines. Ele é responsável pela interface entre o usuário e o SO, traduzindo os comandos por ele digitados para o hardware executar. O shell contém uma interface de programação interpretada, incluindo testes, desvios e loops. Aos programas criados usando a interface programada do Linux dá-se o nome de shell script (JARGAS, 2008).

78 3.5 FERRAMENTA IPTABLES 75 Através do shell script é possível criar script com linhas de comandos que facilita a manipulação do iptables, visto que todas as vezes que um computador for configurada como um firewall e for desligado, ao reiniciar, terá de ser digitado todas as regras do iptables novamente. Para evitar todo esse trabalho, basta criar um arquivo de texto com todas as regras do iptables e configurar para ser executado na inicialização do computador Listando as Regras do Iptables A principal tabela do iptables é a tabela filter; portanto para mostrar as regras que estão ativas no firewall, basta executar o seguinte comando: ÔØ Ð ¹Ä que retornará os seguintes dados: Ò ÁÆÈÍÌ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Ò ÇÊÏ Ê ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Ò ÇÍÌÈÍÌ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Caso queira-se listar as opções de cada regra de uma outra tabela específica, basta usar o seguinte parâmetro: -t. ÔØ Ð ¹Ä ¹Ø Ñ Ò Ð que retornará as cinco opções que a tabela mangle implementa: Ò ÈÊ ÊÇÍÌÁÆ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Ò ÁÆÈÍÌ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Ò ÇÊÏ Ê ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Ò ÇÍÌÈÍÌ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Ò ÈÇËÌÊÇÍÌÁÆ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ

79 3.5 FERRAMENTA IPTABLES Bloqueando Portas Uma das principais funcionalidades do iptables é o bloqueio de portas que pode ser realizado, como por exemplo, caso se deseja bloquear a porta 22 do serviço ssh demonstrado a seguir: ÔØ Ð ¹ ÁÆÈÍÌ ¹Ô ¹ ÔÓÖØ ¾¾ ¹ ÊÇÈ ou também pode-se utilizar o seguinte comando: ÔØ Ð ¹ ÁÆÈÍÌ ¹Ô ØÔ ¹ ÔÓÖØ ¾¾ ¹ Ê Â Ì Onde ambos comandos realizam a mesma finalidade que é de bloquear a porta 22, no entanto, quando se utiliza o parâmetro ÊÇÈ, ele simplesmente descarta o pacote quando o mesmo chega ao servidor, já com o parâmetro Ê Â Ì, além de descartar o pacote, ainda envia uma notificação a origem informando que o pacote não foi aceito Apagando uma Regra no Iptables As duas formas mais utilizadas para apagar regras que são inseridas no firewall são: Apagando as regras de uma única vez; Apagar uma regra especifica de uma determinada tabela. Para se apagar todas as regras, basta usar o seguinte comando: ÔØ Ð ¹Ø Ø Ð ¹ OBS: Se não for especificado uma tabela, a tabela padrão a ser utilizada é a filter. Como exemplo, será utilizada a tabela filter, que aparece da seguinte maneira: Ò ÁÆÈÍÌ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ ÊÇÈ ØÔ ¹¹ ÒÝÛ Ö ÒÝÛ Ö ØÔ ÔØ ÑØÔ ÊÇÈ ØÔ ¹¹ ÒÝÛ Ö ÒÝÛ Ö ØÔ ÔØ ØØÔ ÊÇÈ ØÔ ¹¹ ÒÝÛ Ö ÒÝÛ Ö ØÔ ÔØ Ò ÇÊÏ Ê ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Ò ÇÍÌÈÍÌ ÔÓÐ Ý È̵ Ø Ö Ø ÔÖÓØ ÓÔØ ÓÙÖ Ø Ò Ø ÓÒ Caso o usuário necessite remover a regra DROP referente a porta 80 utilizado para navegar na internet (http), basta usar a regra com a seguinte sintaxe:

80 3.5 FERRAMENTA IPTABLES 77 ÔØ Ð ¹Ø Ø Ð ¹ Ö Ö ÖÙÐ onde o ÖÙÐ indica qual linha dentro da tabela que o usuário deseja eliminar, contando de cima para baixo. Exemplo: ÔØ Ð ¹Ø ÐØ Ö ¹ ÁÆÈÍÌ ¾ Funcionamento do Iptables Como se sabe, o kernel guarda as regras em tabelas. Uma delas em especial, a filter, armazena as regras em listas, que são conhecidas como firewall chains ou simplesmente FOR- WARD. Cada vez que um pacote chega a um computador-destino, o mesmo é analisado e encaminhado de acordo com a regra criada. Isto é efeito consultando cada chain desta, sucessivamente, até que seja decidido o que fazer. Tem-se na Figura 20, um exemplo: Figura 20 - Diagrama do funcionamento do iptables Entrada Decisão de Roteamento FORWARD SAÍDA INPUT OUTPUT Processamento Local Fonte: Autoria própria. Esse diagrama pode ser explicado da seguinte forma: 1. Quando o pacote chega (por uma placa de rede, por exemplo), o kernel executa a análise do destino do pacote, realizando o que chamamos de roteamento (routing). 2. Se o pacote tem como destino o próprio computador, é direcionado para a chain INPUT. Se passar pela chain INPUT, então o computador recebe o pacote. 3. Se o kernel não tem suporte ao forwarding ou não sabe como repassar (forward) o pacote, este é descartado. Se há suporte a forwarding e o pacote é destinado a outra interface de rede (caso exista outra), o pacote vai para a chain FORWARD. Se o mesmo for aceite (ACCEPT), ele será enviado.

81 3.5 FERRAMENTA IPTABLES Finalmente, um programa rodando no computador firewall pode enviar pacotes. Esses pacotes passam pela chain OUTPUT imediatamente: se ela aceitar o pacote, ele continua seu caminho, caso contrário, ele é descartado (DROP) Estratégia para Montagem de um Firewall Eficiente De acordo com Marcelo (2003), antes de decidir implementar um firewall, é importante ter o conhecimento de algumas estratégias básicas empregadas na construção destes. Visando uma maior segurança do firewall, o mesmo será dividido em métodos que serão analisados a seguir: 1. Menor Privilégio O princípio do menor privilégio, é aquele que preza por delegar somente os privilégios necessários para que um determinado objeto possa realizar sua função na organização, mas é preciso tomar muito cuidado para não atribuir privilégios menores que o necessário, pois desta forma, tal objeto não conseguirá realizar suas tarefas. Esse método é largamente utilizado, sendo importante para eliminar ou amenizar os danos causados por pessoas mal intencionadas. Como exemplo, têm-se os fabricantes de automóveis que configuram suas fechaduras de forma que uma única chave sirva para as portas e a ignição e uma chave diferente sirva para o porta luvas e o porta malas; isto é, pode-se impor o menor privilégio dando ao manobrista do estacionamento a possibilidade de estacionar o carro sem ter acesso ao que está guardado no porta-malas. Muitas pessoas utilizam chaveiros separados pela mesma razão. O usuário também pode impor o menor privilégio dando a alguém a chave de seu carro, mas não a chave da casa. Um sistema de filtragem de pacotes projetado para permitir apenas a entrada de pacotes para serviços necessários é outro exemplo do princípio do menor privilégio. Ele é muito utilizado em grande escala, por sua simplicidade e eficiência. No contexto de internet, existem vários exemplos: a) todo usuário não precisa acessar todos os serviços de internet existentes; b) todo usuário não precisa modificar todos os arquivos em seu sistema; c) todo usuário não precisa saber da senha de root (administrador) do computador; d) todo administrador de sistema não precisa conhecer as senhas de root de todos os sistemas; e) todo sistema não precisa acessar todos os arquivos de outro sistema; f) o princípio do menor privilégio sugere que se devem explorar meios para reduzir os privilégios necessários para diversas operações. Por exemplo:

82 3.5 FERRAMENTA IPTABLES 79 não dê a um usuário direitos administrativos de um sistema, se tudo que ele precisa é executar o apache; não faça um programa ser executado como membro de um grupo altamente privilegiado, se tudo que ele precisa é fazer uma gravação em um arquivo, em vez disso, agrupe o arquivo em um grupo e faça o programa ser executado como um membro deste grupo; não faça sua rede interna confiar em um dos firewall, mas sim o firewall confiar na sua rede interna. Muitos dos problemas de segurança na internet podem ser evitados com a utilização deste princípio. Por exemplo, o Sendmail 1 é um alvo muito visado pelos atacantes, pelo fato de funcionar acoplado ao root e de seu alto nível de complexidade, que aumenta a ocorrência de bugs. Por isso, programas privilegiados devem ser tão simples quanto possíveis. Caso um programa complexo exija privilégios acentuados, deve-se procurar meios de separar e isolar as partes que necessitam destes privilégios das que não precisam. 2. Defesa em Profundidade Este princípio de segurança é destinado a prevenção dos acidentes e a minimização das respectivas consequências, evitando assim que um problema isolado se alastre pelo sistema, instituindo múltiplos, redundantes e independentes níveis de proteção. A ideia aqui é não depender de um único método de defesa, instalando vários níveis de proteção, tornando a tentativa de invasão arriscada ou cansativa demais para os atacantes. Isto porque as chances de violar um nível de proteção do sistema são muito maiores do que a chance de violar um sistema com vários níveis de segurança. 3. Ponto de Estrangulamento Existem muitos exemplos fáceis de citar para se entender este princípio: o guichê do pedágio, o caixa de supermercado ou do banco. O ponto de estrangulamento (Choke Point) força as pessoas a usarem um meio estreito, para que o administrador possa monitorar o que está ocorrendo. Normalmente, o firewall em sua rede é esse ponto de estrangulamento; qualquer atacante que desejar entrar na rede deve passar obrigatoriamente pelo firewall. O administrador deve estar preparado para responder a tais ataques. O planejamento e utilização desse método não compensam se houver uma outra maneira de um atacante acessar a rede, que não seja ponto de estrangulamento. Afinal de contas, de que adianta travar uma batalha contra o firewall se pode-se dar a volta, buscando uma outra maneira de acessar a rede? Por isso deve-se garantir um ponto de estrangulamento eficiente. 1 Tipo de servidor de Linux.

83 3.5 FERRAMENTA IPTABLES Simplicidade É uma estratégia de segurança, pois, manter as coisas mais simples, as torna mais fáceis de se entender. Se algo não é compreendido, não se pode realmente saber se o mesmo é ou não seguro. Programas complexos têm mais bugs, sendo que cada um deles pode constituir um problema de segurança. Apenas deve-se tomar cuidado de não sacrificar a segurança para conseguir simplicidade, já que a segurança efetiva é complexa por natureza. O importante é manter um sistema que possa compreender sem perder a segurança e a confiabilidade. 5. Obscuridade Manter a segurança pela obscuridade é um princípio nada confiável, pois consiste unicamente em ocultar as coisas. Exemplos práticos deste método são: a) colocar um computador na internet e achar que ninguém tentará invadí-lo, simplesmente porque ninguém sabe sobre ele; b) abrir um servidor apache 2 em outra porta diferente para que ninguém a utilize, a não ser as pessoas que o administrador informou sobre sua existência; c) configurar a rede de forma que usuários internos vejam informações de uma maneira e usuários externos - (internet) - não consigam ver tais informações, como portas e serviços prestados nos servidores. Deve-se observar alguns pontos: a) sempre utilizar esta técnica em conjunto de outras, pois manter a segurança apenas através da obscuridade é muito ruim; b) não anunciar algo não é o mesmo que ocultá-lo; c) utilizar um sistema de criptografia desconhecido não garante segurança nenhuma. De acordo com os protocolos, módulos e conceitos apresentados, foi criado um módulo para facilitar a administração remota de servidores e serviços da rede. Os detalhes do módulo estão apresentados na Capítulo 4 seguinte. 2 Tipo de servidor web Linux

84 81 4 FERRAMENTA PROPOSTA PARA UM GERENCIAMENTO INTEGRADO Neste capítulo, é apresentado uma nova ferramenta desenvolvida para o gerenciamento integrado de redes locais com o uso de software livre, composta de uma interface gráfica que integra diversos serviços de redes, além de incorporar a documentação na própria ferramenta. 4.1 FERRAMENTAS EXISTENTES Atualmente existem no mercado diversas ferramentas que são utilizadas para o gerenciamento, administração e monitoramento de redes corporativas. Nesta seção faz-se um levantamento das principais características de algumas ferramentas que existem para estas finalidades. As ferramentas analisadas são: a) IPCOP; b) Endian Firewall; c) PFSENSE; d) SMOOTHWALL Sistema IPCOP Segundo Beglinger (2013), este sistema é baseado em uma distribuição Linux distribuída sob GPL, semelhante ao Endian Firewall que será discutido na sequência, com o objetivo de proporcionar um elevado nível de segurança em redes de pequena e média empresa. O sistema possui um kernel próprio, ou seja, ele por si só é uma distribuição Linux; com kernel 2.6, suporte a RAID, arquitetura Alpha, Power PC e Sparc. Além disso o sistema possui algumas ferramentas integradas como Open Virtual Private Network - OpenVPN, proxy, firewall, proxy/squid, serviço SSH, monitoramento de tráfego, serviço DHCP, dentre outras. Seu acesso é realizado por um navegador web com conexão Secure Socket Layer (SSL) e criptografada. Sua desvantagem é por possuir o código fonte como uma caixa fechada, ou

85 4.1 FERRAMENTAS EXISTENTES 82 seja, não se tem o acesso ao código fonte, além do que, para que possa ser instalado obrigatoriamente tem que ter pelo menos duas placas de redes, instaladas no computador. Requisitos mínimos de hardware: Processador de no mínimo 1 GHz ou superior; 20 GB de espaço em disco; 512 MB memória RAM; 2 placas de redes Sistema Endian Firewall Segundo Vallazza (2004), ele é um SO Linux, ou seja já possui um kernel próprio, baseado no sistema IPCOP. Trata-se de uma ferramenta de monitoramento de redes que contempla várias funcionalidades de segurança como firewall, proxy e que trabalha com vários protocolos como HTTP, FTP, POP3, SMTP. Tem controle de conteúdo por usuário, Intrusion Prevention, antivirus, filtragem de spam, VPN; e que também foi baseado no conceito de Central Unificada de Gerenciamento de Ameaças - CUGA. Sua administração é realizada através de um navegador web. Sua desvantagem é de possuir algumas limitações principalmente referentes a suporte e garantia. O exemplo que pode ser tomado, é referente ao gerenciamento, pois na versão comercial existe a assistência, monitoração e atualização por parte da Endian, enquanto na versão gratuita estes devem ser efetuados pela própria empresa que o utiliza. Além disso, para que possa ser instalado obrigatoriamente tem que ter pelo menos duas placas de redes instaladas no computador. Requisitos mínimos de hardware: Processador de no mínimo 1 GHz ou superior; 20 GB de espaço em disco; 512 MB memória RAM; 2 placas de redes Sistema pfsense Segundo Buechler (2013), o sistema pfsense é um projeto que foi iniciado em 2004, baseado na então conhecida plataforma UNIX. O sistema possui um servidor web que suporta aplicações

86 4.1 FERRAMENTAS EXISTENTES 83 em PHP, proporcionando uma interação amigável entre usuário e sistema, chamada de Dashboard. Esse conceito de configuração em modo gráfico utiliza os mesmos recursos de um serviço web. Essa ideia foi aproveitada do sistema m0n0wall (KASPER, 2012), que foi o primeiro sistema criado, o qual deu origem ao pfsense. A criação do pfsense, foi motivada pelo fato de que a UNIX era o único que dominava a tecnologia wireless de forma bastante avançada, possuindo até mesmo suporte à criptografia do tipo WPA2, o que não era possível em outros sistemas na época. O pfsense possui um kernel próprio, o que o torna um sistema operacional. Também possui os módulos de firewall, redundância de firewall, balanceamento de carga, monitoramento gráfico, servidor PPPOE, DNS dinâmico, servidor DHCP, suporte a NAT; mas todos com algumas limitações. Por exemplo no balanceamento de carga a limitação presente é que nem todos os recursos do OpenVPN são suportados, ou seja, a filtragem do tráfego do OpenVPN ainda não é suportado. Atualmente ele está em fase de tradução. Seu acesso é realizado somente através de um navegador web. Uma outra desvantagem é que para que possa ser instalado obrigatoriamente tem que ter duas placas de redes instaladas no computador para que seja possível inicializar a instalação do sistema. Requisitos mínimos de hardware: Processador de no mínimo 1 GHz ou superior; 20 GB de espaço em disco; 512 MB memória RAM; 2 placas de redes Sistema Smoothwall Segundo Manning e Morrel (2012), o sistema Smoothwall também possui um kernel próprio, por isso é tratado como uma distribuição. Essa ferramenta possui algumas configurações como: firewall, proxy, NAT, servidor DHCP suporte a redes wireless, antivirus. Também há a necessidade de se instalar no mínimo duas placas de redes no computador para a instalação e o funcionamento do sistema. Ele é acessado também por um navegador. Requisitos mínimos de hardware: Processador de no mínimo 1 GHz ou superior; 20 GB de espaço em disco;

87 4.2 FERRAMENTA PROPOSTA MB memória RAM; 2 placas de redes; Sistema 64 bits. 4.2 FERRAMENTA PROPOSTA Pela análise das ferramentas citadas nas sub-seções anteriores, constatou-se que para instalálas é necessário que estejam instaladas duas placas de rede para que seja possível realizar as configurações de rede durante a instalação do sistema, além do que o único acesso à ferramenta que o administrador teria, seria através de um navegador, onde realizaria apenas algumas configurações específicas. Não se tem o acesso ao código fonte, caso deseje realizar algumas mudanças que sejam necessária. Considerando a ideia de Freitas (2010), discutido na seção 3.1 na página 56, afirmando que o crescimento das redes de computadores, em tamanho e complexidade, faz com que os sistemas de gerência baseados em um único gerente sejam inapropriados; teve-se o intuito de criar uma ferramenta para desmembrar a gerência de rede, facilitando assim seu monitoramento. Como exemplo pode-se citar o câmpus Unesp de Ilha Solteira, em que a Reitoria monitora todo o tráfego de informações da Universidade a partir da cidade de São Paulo. No câmpus de Ilha Solteira, por se ter uma enorme quantidade de computadores, também há um controle realizado pelo Serviço Técnico de Informática (STI) local que gerencia todo o parque computacional do câmpus. Particularmente, o Departamento de Engenharia Elétrica possui uma quantidade considerável de computadores (acima de 400), possuindo cerca de vinte laboratórios de pesquisa. Cada câmpus através do seu STI gerencia os laboratórios didáticos e outros computadores que por ventura se contectam na rede. Logo a ideia é descentralizar o gerenciamento da rede, caso por ventura algum administrador ou professor responsável de laboratório didático queira monitorá-lo separadamente, como por exemplo o Laboratório de Linux de Processamento Paralelo (LLPP) do Departamento de Engenharia Elétrica. Com o uso da ferramenta SSM é possível gerenciá-la bem como gerenciar as regras de segurança separadamente dos outros laboratórios, promovendo assim a distribuição da gerência da rede pela divisão das responsabilidade com gerentes locais. Para isso, utilizou-se o SO Ubuntu, como comentado na seção 2.8, página 51 para implementação de alguns serviços centralizados em uma úinica ferramenta o gerenciamento da rede local do LLPP, em que os computadores permanecem estar ligados ineterruptamente. Com o objetivo de melhorar a administração e agilizar o gerenciamento de rede, foi desenvolvida uma ferramenta que integra várias ferramentas de forma gráfica com os seguintes recursos: firewall (bloqueio/desbloqueio de portas TCP e UDP, endereços IP s), configuração

88 4.2 FERRAMENTA PROPOSTA 85 das placas de redes internas e externas, serviço DHCP, configuração das opções do proxy, acesso a relatórios Sarg e MRTG, controle de banda, teste de velocidade de conexão, monitoramento da rede com serviços Nagios, Nagvis e Cacti, alteração de senha e a possibilidade de reinicializar e desligar o servidor. A ferramenta foi idealizada de forma modular, o que permite a inclusão de novos módulos a posteori. Esta ferramenta foi denominada Silent Security Monitor (SSM). Na criação da ferramenta foram utilizadas as linguagens PHP 1 (TUCOWS, 2013) e shell script (JARGAS, 2008) para a utilização de script para automatizar em configuração de serviços no servidor, os quais são executados em background. Na Figura 21 é apresentado um diagrama de blocos que ilustra o funcionamento da ferramenta. Figura 21 - Diagrama de blocos ilustrativo da ferramenta SSM. Firewall Alteração de IP Configuração de Proxy Configuração DHCP Relatório da Máquina Tela de Login Tela Principal Relatório de Acesso Controle de Banda Teste de Conexão Monitoramento da Rede Alteração de Senha Reboot Desligar Shell Script Fonte: Próprio autor. Para que o administrador possa utilizar a ferramenta, é necessário que o mesmo abra um navegador, de preferência o Firefox, e no lugar em que se digita os endereços do sítio deve-se digitar o endereço IP do computador em que a ferramenta está instalada da seguinte forma: ØØÔ»»½ ¾º½ º½º½¼» ÙÐØ» Ò ÜºÔ Ô ou ØØÔ»»ÐÓ Ð Ó Ø» ÙÐØ» Ò ÜºÔ Ô Aparecendo a seguir a tela apresentada na Figura 22, em que se digitará um login e senha préviamente cadastrados, e após escolherá a opção ÒØÖ Ö se terá acesso a tela mostrada na Figura Para a montagem das páginas web

89 4.2 FERRAMENTA PROPOSTA 86 Figura 22 - Tela login para acessar a interface SSM. Fonte: Próprio autor. Figura 23 - Tela principal da interface SSM. Fonte: Próprio autor.

90 4.2 FERRAMENTA PROPOSTA 87 A partir da tela mostrada na Figura 23, o administrador poderá acessar e configurar os seguintes serviços: Firewall Configurar bloqueio e liberação de portas UDP e TCP; Bloqueio e desbloqueio de endereços IP s; Liberação ou bloqueio de IP s atrelado ao endereço MAC da placa de rede. Alteração dos endereços IP s das placas de redes interna e externa; Configuração de um servidor DHCP; Configuração do serviço de proxy; Relatórios de acesso e status do servidor; Controle de banda; Teste de Conexão; Monitoramento da rede com Nagios, Nagvis e Cacti; Alteração de senha do usuário admin; Reinicialização do computador; Desligamento do computador. Nas seções seguintes, detalhar-se-á todos estes serviços Firewall Para configurar o firewall pela interface SSM, não há a necessidade de se utilizar longas linhas de comandos, pois foram criados alguns scripts que farão a função de bloquear e liberar IP s, portas de comunicações e controle de IP atrelado com MAC, tudo centralizado em uma única interface gráfica, em que se encontram vários serviços que podem ser configurados em um firewall, facilitando e muito a vida de um administrador de rede, como pode ser visto na Figura 24.

91 4.2 FERRAMENTA PROPOSTA 88 Figura 24 - Tela de serviços do firewall. Fonte: Próprio autor. O funcionamento desta etapa do serviço consiste em diversas opções de configuração de um firewall, já criado em scripts, que aparecerão no navegador em forma de campos. Variáveis serão alimentadas conforme o administrador preenche os dados nos respectivos campos e posteriormente, acionando-se o botão Aplicar, ativam-se os scripts em background, sendo totalmente transparente ao usuário. Nesta unificação de serviços, é possível configurar: a) bloqueio e desbloqueio de portas UDP; b) bloqueio e desbloqueio de portas TCP; c) bloqueio e desbloqueio de IP s; a) redirecionamento de IP;

92 4.2 FERRAMENTA PROPOSTA 89 a) controle de IP+MAC. Para todas estas opções são apresentadas, na própria ferramenta, uma descrição de cada serviço a ser realizado Alteração de IP Para que um servidor possa funcionar em qualquer rede, ele precisa de algumas configurações primordiais, tais como: endereço IP das placas de redes (interna 2 e externa 3 ), endereço de gateway e endereços de DNS. Na tela apresentada na Figura 25, encontram-se as opções referentes a configurações necessárias para a alteração de IP. Figura 25 - Tela de configuração dos endereços de IP s das placas de redes, gateway e DNS. Fonte: Próprio autor. Ao acionar o ícone ÓÒ ÙÖ Ó ÁÈ, aparecerá a tela da Figura 26, em que o administrador optará pela configuração das placas de rede interna ou externa. 2 Utilizada para enviar as informações para a rede interna. 3 Utilizada para realizar a comunicação externa com a rede local.

93 4.2 FERRAMENTA PROPOSTA 90 Figura 26 - Tela de configuração dos endereços de IP das placas de redes externa e interna. Fonte: Próprio autor. Ao acionar a opção ÓÒ ÙÖ Ó ÁÈ Ê ÁÒØ ÖÒ, poderá configurar ítens como: a) endereço IP; b) máscara de rede; c) classe de rede. Para configurar os itens citados acima, basta acionar o ícone na forma de lápis e digitar as informações necessárias conforme é apresentado na Figura 27. Posteriormente basta acionar a opção ÔÐ Ö para se ter configurada a placa de rede interna. Voltando à Figura 26 com a escolha de ÓÒ ÙÖ Ó ÁÈ no menu superior, e ao acionar a opção ÓÒ ÙÖ Ó ÁÈ Ê ÜØ ÖÒ, poder-se-á configurar as opções: a) endereço IP; b) máscara de rede. Na tela mostrada na Figura 28, após digitar as informações solicitadas nos campos correspondentes, com o acionamento prévio do ícone na forma de lápis, basta acionar a opção ÔÐ Ö para se ter configurada a placa de rede externa. Na sequência, com a escolha da opção ÐØ Ö Ó ÁÈ no menu superior, volta-se a tela da Figura 25. Acionando-se agora a opção Ø Û Ý, será possível configurar o endereço de gateway acionando o lápis e preenchendo o respectivo campo, conforme é mostrado na

94 4.2 FERRAMENTA PROPOSTA 91 Figura 27 - Tela de configuração do endereço de IP da placas de rede interna. Fonte: Próprio autor. Figura 28 - Tela de configuração do endereço de IP da placa de rede externa. Fonte: Próprio autor.

95 4.2 FERRAMENTA PROPOSTA 92 Figura 29. Este endereço é conhecido como portão de entrada, ou seja, ele é responsável por interligar duas redes que utilizam protocolos diferentes e compartilhar a conexão com a internet entre várias estações. Figura 29 - Tela de configuração do endereço de gateway. Fonte: Próprio autor. Para finalizar a alteração de IP é necessário ainda especificar os endereços de DNS responsável por relacionar o nome do sítio ao IP do mesmo. Isto é feito acionando-se inicialmente a opção ÓÒ ÙÖ Ó ÆË conforme apresentada na Figura 25. Assim, se terá acesso a tela mostrada na Figura??, em que, após o acionamento da opção lápis poderão ser alterados as informações apresentadas automaticamente do arquivo Ö ÓÐÚºÓÒ. Para isto, digita-se o endereço DNS no campo ÆË e aciona-se o botão ØÖ Ö. Por tanto, com o uso da ferramenta SSM e de modo conversacional, é possível configurar todas as premissas de rede necessárias para que um servidor possa se conectar a rede. A seguir, para efeitos de comparação, será realizada a alteração de IP, de forma manual, ou seja, sem a utilização da ferramenta. Para isso, são necessários os seguintes passos: 1 passo: O administrador terá de logar como root para que possa ter acesso privilegiado ao Linux. Todos os comandos devem ser executado em um prompt de um terminal de texto. Para configurar o endereço IP e a máscara de rede da placa de rede interna deve-se digitar o seguinte comando: ÓÒ Ø ½ ½ ¾º½ º½º½ Ò ØÑ ¾ º¾ º¾ º½ ¾ Apenas o comando ÓÒ é utilizado para listas as interfaces de rede instaladas no computador, mas em conjunto com outros comandos, é utilizado para configurar uma

96 4.2 FERRAMENTA PROPOSTA 93 placa de rede e sua máscara de rede, como foi usado neste exemplo, em que foi configurado uma placa de rede com o endereço IP ½ ¾º½ º½º½, juntamente com sua máscara de rede ¾ º¾ º¾ º½ ¾. Para identificar qual placa de rede está sendo configurada tem-se que especificar pela opção Ø, onde o pode variar de 0 a um valor N inteiro. Por padrão, adota-se Ø ½ como a interface (placa de rede) que será redirecionado para a rede interna, também conhecida como interface de rede interna. 2 passo: Para configurar o endereço IP e a máscara de rede da placa de rede externa deve-se digitar o seguinte comando: ÓÒ Ø ¼ ½ º º½ º½ ¼ Ò ØÑ ¾ º¾ º¾ º¼ Neste caso foi utilizado a opção Ø ¼, pois foi configurado o endereço IP e a máscara de rede da placa de rede que irá receber o link de uma conexão de internet, também conhecida como placa de rede externa. 3 passo: Para configurar o endereço de gateway da rede deve-se digitar o seguinte comando: ÖÓÙØ ÙÐØ Û ½ º º½ º½ Como explicado anteriormente, o gateway é o endereço de rede que é utilizado para ter o acesso externo, ou seja, é o endereço IP que a informação utiliza para se ter acesso a rede externa. Por isso se utiliza a linha de comando citada acima que consiste em: configurar uma rota padrão do tipo gateway cujo endereço é passo: Para configurar os endereços de DNS, basta editar o arquivo Ö ÓÐÚºÓÒ, localizado em» Ø» e adicionar as seguintes linhas: Ò Ñ ÖÚ Ö ÓÑ Ò ¾º ºÙÒ Ôº Ö Ö ¾º ºÙÒ Ôº Ö Ò Ñ ÖÚ Ö ½ ¾º¾½º¼º¾ Essas três linhas de comandos são utilizadas para gerenciar a navegação da internet. A primeira linha, Ò Ñ ÖÚ Ö ÓÑ Ò ¾º ºÙÒ Ôº Ö, faz uma busca direta no endereço IP do computador responsável por ser o DNS (ou servidor de nomes) da rede; a segunda linha, Ö ¾º ºÙÒ Ôº Ö, faz uma busca pelo nome do servidor DNS, ou seja, verifica quais são os servidores de nome que devem ser buscados, mas por padrão costuma ser um único, o local. A terceira e última linha, Ò Ñ ÖÚ Ö ½ ¾º¾½º¼º¾, busca o servidor DNS através do endereço IP.

97 4.2 FERRAMENTA PROPOSTA 94 Uma observação a ser feita, com a apresentação desta comparação entre o uso da ferramenta proposta e o uso convencional, é que pela última forma o administrador tem que conhecer previamente os comandos e suas respectivas opções, além dos arquivos a serem alterados. Enquanto que, com o uso da ferramenta proposta, isto não é necessário, pois os comandos já estão implícitos nos scripts que são executados em background Configuração DHCP Através da tela apresentada na Figura 31 é possível configurar o serviço Dynamic Host Configuration Protocol (DHCP), responsável por atribuir endereços IP automaticamente aos computadores que estão conectados a rede. Para configurar esse serviço, basta apenas especificar o intervalo de endereço IP que será utilizado pelo serviço, escolher a opção Ø Ú Ö Ó Ë ÖÚ Ó e acionar o botão ÔÐ Ö. Figura 31 - Funcionamento do servidor DHCP. Fonte: Próprio autor. A seguir será realizada a mesma configuração, através de linhas de códigos e com o auxilio de um terminal de texto, sem a utilização da ferramenta com os seguintes passos: 1 passo: Inicialmente é necessário estar logado como root para que se possa configurar o serviço DHCP que consiste em editar as seguintes informações: endereço de rede, máscara de rede, intervalo de endereço IP, gateway, endereço de DNS e o de broadcast. É necessário editar o seguinte arquivo: Ô ºÓÒ, localizado em» Ø» Ô».

98 4.2 FERRAMENTA PROPOSTA 95 Ò ¹ÙÔ Ø ¹ ØÝÐ ÒÓÒ ÙÐعР¹Ø Ñ ¼¼ Ñ Ü¹Ð ¹Ø Ñ ¾¼¼ ÙØ ÓÖ Ø Ø Ú Ù Ò Ø ½ ¾º½ º½º¼ Ò ØÑ ¾ º¾ º¾ º½ ¾ ß Ö Ò ½ ¾º½ º½º¾ ½ ¾º½ º½º½¼¼ ÓÔØ ÓÒ ÖÓÙØ Ö ½ ¾º½ º½º½ ÓÔØ ÓÒ ÓÑ Ò¹Ò Ñ ¹ ÖÚ Ö ½ ¾º¾½º¼º¾ ÓÔØ ÓÒ ÖÓ Ø¹ Ö ½ ¾º½ º½º¾ Ð Neste arquivo as quatro primeiras linhas são configurações padrão, ou seja, não há a necessidade de serem modificadas. Neste mesmo arquivo foi especificado o endereço da rede, que como exemplo foi utilizado o endereço ½ ¾º½ º½º¼, com a máscara de rede ¾ º¾ º¾ º½ ¾. Além disso, é necessário especificar o intervalo de endereços IPs que será utilizado no serviço (½ ¾º½ º½º¾ ¹ ½ ¾º½ º½º½¼¼), o endereço de gateway (½ ¾º½ º½º½), o endereço de DNS (½ ¾º¾½º¼º¾µ e o endereço de bradcast (½ ¾º½ º½º¾ ). Para inserir estas informações, é encessário utilizar um editor de texto que funcione via terminal; logo ao sair do arquivo, se faz necessário salvá-lo para que as informações digitadas não se percam. 2 passo: Feito isso, deve-se digitar o seguinte comando para inicializar o serviço: ÖÚ Ô ØÓÔ ÖÚ Ô Ø ÖØ Aqui, observa-se também a facilidade da configuração do DHCP via ferramenta gráfica, quando comparada com a forma convencional, em que o administrador tem que ter conhecimento právios de inúmeros comandos e respectivas opçoes Configuração do Squid/Proxy Através da tela apresentada na Figura 32, é possível configurar os serviços de bloqueio de sítio por:

99 4.2 FERRAMENTA PROPOSTA 96 a) palavras: consiste em bloquear os sítios que contenham as palavras-chave que foram indicadas na configuração; por exemplo, caso deseja-se bloquear o sítio cujo endereço é ØØÔ ÛÛÛÛº ÓÓ ºÓÑ basta cadastrar a palavra facebook que quando o usuário tentar acessar o sítio cujo endereço contenha a palavra facebook, a mesma retornará uma tela de acesso negado. b) domínio: consiste em bloquear todo o sítio, ou seja, caso um sítio seja um subsítio de um sítio, ele também será bloqueado; como por exemplo, caso o administrador tenha bloqueado o domínio ÛÛÛºØ ÖÖ ºÓѺ Ö e deseja-se acessar um site que esteja hospedado dentro deste domínio, o mesmo não será possível acessar. c) extensão de um arquivo: consiste em bloquear uma extensão de um arquivo, como por exemplo em que o administrador queira bloquear o download de um arquivo de música, basta ele bloquear a extensão *.mp3 e todas os arquivos.mp3 serão bloqueados; d) limitar tamanho de arquivo: consiste em limitar o tamanho do arquivo que será realizado o download, ou seja, caso seja especificado um arquivo com tamanho de 3 MB, e o usuário desejar baixar um arquivo maior, o sistema bloqueará esse download. Figura 32 - Tela de configuração das funcionalidades do squid. Fonte: Próprio autor. Essa configuração é toda facilitada, pois não se depende de longas linhas de códigos: as mesmas já estão previstas nos correspondentes scripts e após o preenchimento de campos específicos, as linhas de códigos serão executadas em background.

100 4.2 FERRAMENTA PROPOSTA 97 Como explicado anteriormente na seção 2.2.1,na página 23, passo 3, é possivel configurar o serviço proxy/squid com apenas quatro linhas. No entando, a configuração a ser realizada aqui é mais avançada, por se tratar de uma monitoria mais segura da rede. O que será tratado nesta configuração utilizando linhas de códigos com o auxilio do terminal de texto relaciona-se apenas aos itens: configuração do proxy transparente, bloqueio de palavras, sítios e extensões. A seguir será realizada a mesma configuração, mas de forma manual, sem a utilização da ferramenta com os seguintes passos: 1 passo: Inicialmente deve-se editar o arquivo ÕÙ ºÓÒ localizado em» Ø» ÕÙ», conforme a seguir: ÓÒ ÙÖ Ó ËÕÙ ÅÓ Ó ÔÓÖ Ô Ó ÖÒ ÐÓ Ë ÐÚ Å Ò Ò ÖÖÓ Ñ ÈÓÖØÙ Ù ÖÖÓÖ Ö ØÓÖݻ٠ֻ Ö» ÕÙ» ÖÖÓÖ»ÈÓÖØÙ Ù ÈÓÖØ Ó ËÕÙ ØØÔ ÔÓÖØ ½¾ ØÖ Ò Ô Ö ÒØ ÆÓÑ Ó ÖÚ ÓÖ Ú Ð Ó ØÒ Ñ Ô Ó Ñ Ñ ¼¼ Å Ñ Ü ÑÙÑ Ó Ø Þ Ò Ñ ÑÓÖÝ ¾ Ã Ñ Ü ÑÙÑ Ó Ø Þ ½¼¾ Å Ñ Ò ÑÙÑ Ó Ø Þ ¼ Ã Û Ô ÐÓÛ ¼ Û Ô Ö»Ú Ö»» ÕÙ» ¼¼¼¼ ½ ¾ ÄÓ Ó ÐÓ»Ú Ö»ÐÓ» ÕÙ» ºÐÓ Ê Ö Ð Ô ÖÓ Ð ÐÐ Ö ¼º¼º¼º¼»¼º¼º¼º¼ Ð Ñ Ò Ö ÔÖÓØÓ Ó Ø Ð ÐÓ Ð Ó Ø Ö ½¾ º¼º¼º½»¾ º¾ º¾ º¾

101 4.2 FERRAMENTA PROPOSTA 98 Ð ËËÄ ÔÓÖØ ÔÓÖØ Ð Ë ÔÓÖØ ÔÓÖØ ¼ ØØÔ Ð Ë ÔÓÖØ ÔÓÖØ ¾½ ØÔ Ð Ë ÔÓÖØ ÔÓÖØ ØØÔ Ò Û Ð Ë ÔÓÖØ ÔÓÖØ ¼ ÓÔ Ö Ð Ë ÔÓÖØ ÔÓÖØ ¾½¼ Û Ð Ë ÔÓÖØ ÔÓÖØ ¾ ¼ ØØÔ¹Ñ ÑØ Ð Ë ÔÓÖØ ÔÓÖØ ¹ ØØÔ Ð Ë ÔÓÖØ ÔÓÖØ ½ Ð Ñ Ö Ð Ë ÔÓÖØ ÔÓÖØ ÑÙÐØ Ð Ò ØØÔ Ð Ë ÔÓÖØ ÔÓÖØ ¼½ Û Ø Ð Ë ÔÓÖØ ÔÓÖØ ½¼¾ ¹ ÔÓÖØ ÐØ Ð ÔÙÖ Ñ Ø Ó ÈÍÊ Ð ÇÆÆ Ì Ñ Ø Ó ÇÆÆ Ì Ä³Ë Ç ÍËÍ ÊÁÇ Ð Ò ØÛÓÖ Ö»Ú Ö»ÛÛÛ» ÙÐØ» Ö Û ÐлֻØÜØ»Ò Þ ÖÓ Ö ºØÜØ Ð ÓÖ Ö Ö Ö»Ú Ö»ÛÛÛ» ÙÐØ» Ö Û ÐлÔÖÓÜÝ»Ú ÔºØÜØ ÄÁÅÁÌ Æ Ç ÇÏÆÄÇ Ð ØÑÐ Ö Ô Ñ Ñ ØÝÔ Ø ÜØ» ØÑÐ Ö ÔÐÝ Ó Ý Ñ Ü Þ ¼ ÐÐÓÛ ØÑÐ Ö ÔÐÝ Ó Ý Ñ Ü Þ Ø»Ú Ö»ÛÛÛ» ÙÐØ» Ö Û ÐлÔÖÓÜÝ»Ð Ñ Ø ºØÜØ ÐÐÓÛ ÐÐ ÓÖ Ö Ö Ð Ô Ø Ø ÓÑ Ò»Ú Ö»ÛÛÛ» ÙÐØ» Ö Û ÐлÔÖÓÜÝ» ÔÖÓ Ö Ø ºØÜØ Ð Ô ÜØ Ò ÙÖÐ Ö Ü»Ú Ö»ÛÛÛ» ÙÐØ» Ö Û ÐлÔÖÓÜÝ» ÔÖÓ Ö ÜØ Ò ÓºØÜØ Ð Ô Ô Ð Ú ÙÖÐ Ö Ü»Ú Ö»ÛÛÛ» ÙÐØ» Ö Û ÐлÔÖÓÜÝ» ÔÖÓ Ö Ô Ð ÚÖ ºØÜØ ØØÔ ÒÝ Ò ØÛÓÖ Ô Ø ØØÔ ÒÝ Ò ØÛÓÖ Ô ÜØ Ò ØØÔ ÒÝ Ò ØÛÓÖ Ô Ô Ð Ú ØØÔ ÐÐÓÛ ÐÓ Ð Ó Ø ÇÒÐÝ ÐÐÓÛ Ñ Ö ÖÓÑ ÐÓ Ð Ó Ø

102 4.2 FERRAMENTA PROPOSTA 99 ØØÔ ÐÐÓÛ Ñ Ò Ö ÐÓ Ð Ó Ø ØØÔ ÒÝ Ñ Ò Ö ÒÝ Ö ÕÙ Ø ØÓ ÙÒ ÒÓÛÒ ÔÓÖØ ØØÔ ÒÝ Ë ÔÓÖØ ÒÝ ÇÆÆ Ì ØÓ ÓØ Ö Ø Ò ËËÄ ÔÓÖØ ØØÔ ÒÝ ÇÆÆ Ì ËËÄ ÔÓÖØ ÐÓÕÙ Ó Ù Ù Ö Ó ÓÖ Ö ØØÔ ÒÝ ÐÐ Todos estes comandos, referentes aos acl s do usuário, foram explicados detalhadamente nas seções até , páginas 27 a página passo: Para ativar o proxy transparente, há a necessidade de executar o comando abaixo. O comando é responsável por configurar o proxy transparente, ele faz redirecionamento de toda a navegação que passa pela ÔÓÖØ ¼ passar automáticamente pela ÔÓÖØ ½¾. ÔØ Ð ¹Ø Ò Ø ¹ ÈÊ ÊÇÍÌÁÆ ¹ Ø ¼ ¹Ô ØÔ ¹¹ ÔÓÖØ ¼ ¹ Ê ÁÊ Ì ¹¹ØÓ¹ÔÓÖØ ½¾ 3 passo: Para bloquear algum sítio utilizando palavras chaves, deve-se editar o arquivo ÔÖÓ Ö Ô Ð ÚÖ colocando as palavras chave como abaixo: Ø ÖÖ ÜÓ ÐÓ Ó 4 passo: Para bloquear algum domínio de um sítio utilizando palavras chave, deve-se editar o arquivo ÔÖÓ Ö Ø ºØÜØ colocando as palavras chave como abaixo: Ø ÖÖ ºÓÑ ÐÓ ÓºÓÑ 5 passo: Para bloquear o download de algum arquivo com uma extensão especial, deve-se editar o arquivo ÔÖÓ Ö ÜØ Ò ÓºØÜØ colocando as palavras chave como abaixo:

103 4.2 FERRAMENTA PROPOSTA 100 º Ô ºÑÔ º 6 passo: Feito isso, deve-se digitar no promtp do SO o seguinte comando para inicializar o serviço: ÖÚ ÕÙ ØÓÔ ÖÚ ÕÙ Ø ÖØ Relatórios Através da tela apresentada na Figura 33, é possível visualizar relatórios para facilitar o serviço do administrador de rede, tais como: a) internet: mostra quanto foi o tráfego gerado na placa de rede externa; b) rede local: mostra quanto foi o tráfego gerado na placa de rede local; c) memória e processamento: mostra como está sendo utilizado a memória e o processador da máquina, verificando assim se a mesma está sobrecarregada ou não; d) disco rígido: Neste relatório o administrador monitora o espaço ocupado no Hard Disk (HD); e) relatórios de acesso: possibilita ao administrador monitorar todo o acesso dos usuários na internet, facilitando assim quaisquer auditorias internas. Outros relatórios, que podem auxiliar os administradores no monitoramento da rede, podem ser inseridos de forma modular, acrescentando um novo ícone nesta tela, que ao ser acionado apresenta o novo relatório. A fim de exemplificar, na Figura 34, é apresentado o relatório de tráfego gerado na placa de rede que recebe o link de internet. Na sequência dos gráficos da Figura 34, são apresentados os dados referentes a taxa de transferência de entrada e saída: diário, semanal, mensal e anual.

104 4.2 FERRAMENTA PROPOSTA 101 Figura 30 - Tela de configuração dos endereços de DNS. Fonte: Próprio autor. Figura 33 - Tela de Relatórios internet, rede local, memória e processamento, status do disco rígido. Fonte: Próprio autor.

105 4.2 FERRAMENTA PROPOSTA 102 Figura 34 - Gráfico gerado pelo MRTG. Fonte: Próprio autor.

106 4.2 FERRAMENTA PROPOSTA Controle Largura da Banda Através da tela apresentada na Figura 35, o administrador é capaz de controlar o link de navegação, ou seja, neste caso o administrador especifica o valor máximo de download e upload relacionando-o a um endereço de IP previamente selecionado. Ao acionar o botão ÔÐ Ö as mudanças preestabelecidas são aplicadas. Figura 35 - Tela de configuração do serviço bandlimit. Fonte: Próprio autor. No exemplo da Figura 35 o endereço IP teve suas larguras de banda de download e upload ambas limitados a 128 kb. A seguir será realizada a mesma configuração, mas de forma manual, sem a utilização da ferramenta, com os seguintes passos: 1 passo: Editar o arquivo Ô ºØÜØ, localizado em»ú Ö»ÛÛÛ» ÙÐØ» Ö Û Ðл Ö ÔØ»ØÜØ», colocando a seguinte informação: ½ ¾º½ º½º ½¾ ½¾ Essas informações consistem em: endereço IP, velocidade de download e upload respectivamente. 2 passo: Após editar o arquivo, é necessário digitar no promtp do SO, o seguinte comando para inicializar o serviço: ÖÚ Ò Ð Ñ Ø ØÓÔ ÖÚ Ò Ð Ñ Ø Ø ÖØ

107 4.2 FERRAMENTA PROPOSTA 104 Veja que quando não se usa a ferramenta SSM, o administrador tem que saber em qual arquivo deve colocar a informação, além de conhecer a sintaxe correta, precisa saber inicializar o serviço. Com o uso da ferramenta isto é feito de maneira automática Medidor de Velocidade Neste módulo é possível medir a velocidade do link de internet que está chegando no servidor. Basta acionar o botão Ø Ø Ù ÓÒ ÜÓ, como pode ser visto na Figura 36, e será apresentado o valor da velocidade da conexão em kb. Figura 36 - Tela de teste de velocidade do link de internet. Fonte: Próprio autor. Após acionar o botão Ø Ø ÓÒ ÜÓ, o mesmo irá verificar a taxa de transferência de download e upload como pode ser visto nas Figuras 37 e 38, respectivamente. Após o acionamento inicial, são apresentados, alternadamente, na mesma tela, estas informações.

108 4.2 FERRAMENTA PROPOSTA 105 Figura 37 - Testando a velocidade da conexão Download. Fonte: Próprio autor. Figura 38 - Testando a velocidade da conexão Upload. Fonte: Próprio autor Monitoramento da Rede A partir da tela principal, Figura 23, acionando a opção ÅÓÒ ØÓÖ Ñ ÒØÓ Ê, tem-se o acesso a tela da Figura 39, onde é possível utilizar três ferramentas: o Nagios, o Nagvis e o Cacti.

109 4.2 FERRAMENTA PROPOSTA 106 Estas ferramentas são utilizadas para monitorar serviços tais como: ping, ssh, quantidade de processos e taxa de utilização de alguns componentes do computador (espaço no HD, quantidade de usuários conectados, etc.). Figura 39 - Tela do módulo de monitoramento da rede. Fonte: Próprio autor. Ao acionar a opção Æ Ó, será solicitado o nome de usuário e senha previamente, cadastrados. Acionando-se a opção Å Ô, no frame lateral esquerdo, é possível verificar os computadores que estão conectados na rede, podendo monitorar alguns serviços e processos. Para verificar os serviços que estão sendo monitorados, basta posicionar o mouse sobre algum computador já cadastrado, que irá aparecer uma tela com as informações, mostradas na Figura 39.

110 4.2 FERRAMENTA PROPOSTA 107 Figura 40 - Tela das informações do computador cadastrado no Nagios. Fonte: Próprio autor. Figura 41 - Tela com informações gerais do computador monitorado. Fonte: Próprio autor.

111 4.2 FERRAMENTA PROPOSTA 108 Acionando-se o mouse uma única vez em cima do ícone do computador cadastrado, conforme mostrado na Figura 41, aparecerá algumas informações sobre o mesmo. Ao acionar o mouse duas vezes no ícone do computador escolhido, será exibido uma tela com informações mais detalhadas dos itens que estão sendo monitorados, conforme é mostrado na Figura 42. Figura 42 - Tela com mais detalhes sobre o computador monitorado. Fonte: Galstad (2010). Para que se possa realizar o monitoramento, é possível cadastrar tanto os computadores como os dispositivos de rede, tais como: roteador, switch, impressora ou qualquer outro equipamento que contenha endereço IP e que possa ser conectado na rede Cadastrando Equipamentos no Nagios Para cadastrar os equipamentos, basta acionar o ícone ØÖÓ Å ÕÙ Ò a partir da tela da Figura 39, caso deseja-se cadastrar um computador; ou ÊÓØ ÓÖ ËÛ Ø e ÁÑÔÖ ÓÖ, caso deseja-se cadastrar os demais componentes de rede. Estes cadastramentos podem ser vistos nas Figura 58 e 44, respectivamente.

112 4.2 FERRAMENTA PROPOSTA 109 Ao se cadastrar um computador na rede será necessário entrar com as informações solicitadas, conforme mostrado na Figura 58. Figura 43 - Tela de cadastro do computador no Nagios. Fonte: Próprio autor. Após o preenchimento de todos os campos deve-se acionar a opção Ë ÐÚ Ö para que o computador seja cadastrado. Nesta mesma tela tem-se a opção ÜÐÙ Ö, pela qual se pode retirar qualquer configuração. Para cadastrar equipamentos tais como uma impressora, um roteador ou um switch, é necessário entrar com as informações apresentadas na Figura 44, a seguir.

113 4.2 FERRAMENTA PROPOSTA 110 Figura 44 - Tela de cadastro de roteador, switch ou impressora no Nagios. Fonte: Próprio autor. Após o preenchimento de todos os campos deve-se acionar a opção Ë ÐÚ Ö para que o roteador seja cadastrado. A seguir será realizado o cadastramento de um computador e uma impressora de forma manual, sem a utilização da ferramenta, com os seguintes passos: 1 passo: Para realizar o cadastro de um computador, criar um arquivo com o ÒÓÑ Ñ ÕÙ Ò e com a extensão º, localizado em» Ø»Ò Ó» ÖÚ Ö colocando as seguintes informações que se seguem: Como exemplo, foi criado o arquivo Ô ÓØØÓº. Ò Ó Ó ÀÓ Ø Ò Ó Øß Ù Ò Ö ¹ Ó Ø Ó Ø Ò Ñ Ô ÓØØÓ Ð Ô ÓØØÓ Ö ½ ¾º¾½º½º¾¾ Ô Ö ÒØ Ô Ó ÓÑÑ Ò ¹ Ó Ø¹ Ð Ú Ñ Ü ØØ ÑÔØ ¾ ÒØ ÖÚ Ð ½ ÒÓØ Ø ÓÒ ÒØ ÖÚ Ð ½

114 4.2 FERRAMENTA PROPOSTA 111 Ð ÒÓØ Ø ÓÒ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÓÔØ ÓÒ Ù Ö ÓÒØ Ø ÖÓÙÔ Ñ Ò ÓÒ Ñ Ð ÒÙÜ ¼ºÔÒ Ø ØÙ Ñ Ô Ñ Ð ÒÙÜ ¼ºÔÒ ÈÁÆ Ò ÖÚ ß Ó Ø Ò Ñ Ô ÓØØÓ ÖÚ Ö ÔØ ÓÒ ÈÁÆ ÓÑÑ Ò Ô Ò ¼¼¼º¼ ¼± ¼¼¼º¼ ½¼¼± Ñ Ü ØØ ÑÔØ ¾ ÒÓÖÑ Ð ÒØ ÖÚ Ð ½ Ö ØÖÝ ÒØ ÖÚ Ð ½ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÒØ ÖÚ Ð ¼ ÒÓØ Ø ÓÒ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÓÔØ ÓÒ Û Ö ÓÒØ Ø ÖÓÙÔ Ñ Ò Ð ËËÀ Ò ÖÚ ß Ó Ø Ò Ñ Ô ÓØØÓ ÖÚ Ö ÔØ ÓÒ ËËÀ ÓÑÑ Ò ¹Ø ¼ Ñ Ü ØØ ÑÔØ ¾ ÒÓÖÑ Ð ÒØ ÖÚ Ð ½ Ö ØÖÝ ÒØ ÖÚ Ð ½ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÒØ ÖÚ Ð ¼ ÒÓØ Ø ÓÒ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÓÔØ ÓÒ Û Ö ÓÒØ Ø ÖÓÙÔ Ñ Ò Ð

115 4.2 FERRAMENTA PROPOSTA passo: Para cadastrar, um roteador, criar um arquivo com ÒÓÑ Ó ÖÓÙØ Ö com a extensao º, localizado em» Ø»Ò Ó»ÖÓÙØ Ö, colocando as informações que se seguem: Como exemplo foi utilizado o arquivo ÖÓÙØ Ö½º. Ò Ó Ó ÀÓ Ø Ò Ó Øß Ù Ò Ö ¹ Ó Ø Ð Ó Ø Ò Ñ ÖÓÙØ Ö½ Ð ÖÓÙØ Ö Ð ÔÖÓ Ö ½ ¾º¾½º½º¾¼ Ô Ö ÒØ Ô Ó ÓÑÑ Ò ¹ Ó Ø¹ Ð Ú Ñ Ü ØØ ÑÔØ ¾ ÒØ ÖÚ Ð ½ ÒÓØ Ø ÓÒ ÒØ ÖÚ Ð ½ ÒÓØ Ø ÓÒ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÓÔØ ÓÒ Ù Ö ÓÒØ Ø ÖÓÙÔ Ñ Ò ÓÒ Ñ ÖÓÙØ ÖºÔÒ Ø ØÙ Ñ Ô Ñ ÖÓÙØ ÖºÔÒ ÈÁÆ Ò ÖÚ ß Ó Ø Ò Ñ ÖÓÙØ Ö½ ÖÚ Ö ÔØ ÓÒ ÈÁÆ ÓÑÑ Ò Ô Ò ¼¼¼º¼ ¼± ¼¼¼º¼ ½¼¼± Ñ Ü ØØ ÑÔØ ¾ ÒÓÖÑ Ð ÒØ ÖÚ Ð ½ Ö ØÖÝ ÒØ ÖÚ Ð ½ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÒØ ÖÚ Ð ¼ ÒÓØ Ø ÓÒ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÓÔØ ÓÒ Û Ö

116 4.2 FERRAMENTA PROPOSTA 113 Ð ÓÒØ Ø ÖÓÙÔ Ñ Ò 3 passo: Para realizar o cadastro de impressora, edite o arquivo ÒÓÑ ÑÔÖ ÓÖ º localizado em» Ø»Ò Ó»ÔÖ ÒØ Ö, colocando as seguintes informações: Ò Ó Ó ÀÓ Ø Ò Ó Øß Ù Ò Ö ¹ Ó Ø Ð Ó Ø Ò Ñ ÔÖ ÒØ Ö½ Ð ÔÖ ÒØ Ö Ð ÔÖÓ Ö ½ ¾º¾½º½º½¼ Ô Ö ÒØ Ô Ó ÓÑÑ Ò ¹ Ó Ø¹ Ð Ú Ñ Ü ØØ ÑÔØ ¾ ÒØ ÖÚ Ð ½ ÒÓØ Ø ÓÒ ÒØ ÖÚ Ð ½ ÒÓØ Ø ÓÒ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÓÔØ ÓÒ Ù Ö ÓÒØ Ø ÖÓÙÔ Ñ Ò ÓÒ Ñ ÔÖ ÒØ ÖºÔÒ Ø ØÙ Ñ Ô Ñ ÔÖ ÒØ Ö½ºÔÒ ÈÁÆ Ò ÖÚ ß Ó Ø Ò Ñ ÔÖ ÒØ Ö½ ÖÚ Ö ÔØ ÓÒ ÈÁÆ ÓÑÑ Ò Ô Ò ¼¼¼º¼ ¼± ¼¼¼º¼ ½¼¼± Ñ Ü ØØ ÑÔØ ¾ ÒÓÖÑ Ð ÒØ ÖÚ Ð ½ Ö ØÖÝ ÒØ ÖÚ Ð ½ Ô Ö Ó ¾ Ü ÒÓØ Ø ÓÒ ÒØ ÖÚ Ð ¼ ÒÓØ Ø ÓÒ Ô Ö Ó ¾ Ü

117 4.2 FERRAMENTA PROPOSTA 114 Ð ÒÓØ Ø ÓÒ ÓÔØ ÓÒ Û Ö ÓÒØ Ø ÖÓÙÔ Ñ Ò 4 passo: Para finalizar os cadastros dos equipamentos, basta executar no prompt do SO so seguintes comandos: ÖÚ Ò Ó ØÓÔ ÖÚ Ò Ó Ø ÖØ Percebe-se claramente que com o uso da ferramenta, pode-se cadastrar os equipamentos no Nagios de forma mais prática Nagvis É uma ferramenta que auxilia o Nagios na verificação e monitoramento dos equipamentos conectados na rede. Nesta ferramenta pode-se usar, por exemplo, uma planta baixa ou uma foto de uma sala com todos os equipamentos previamente cadastrados no Nagios e que através de ícones informa o status dos mesmos, como pode ser observado na Figura 45.

118 4.2 FERRAMENTA PROPOSTA 115 Figura 45 - Tela de monitoramento do Nagvis. Fonte: Husch (2010). Com este recurso, pode-se subdividir redes com grandes quantidades de computadores monitorados, particularizando grupos específicos de computadores em forma de diagramas menores Cacti Ferramenta que também monitora todos os equipamentos que estão conectados na rede através de gráficos de alguns ítens previamente cadastrados, como por exemplo quantidade de usuários conectados ao computador, quantidade de processos sendo realizados, taxa de processamento do processador, dentre outros, como pode ser visto na Figura 46.

119 4.2 FERRAMENTA PROPOSTA 116 Figura 46 - Tela de monitoramento do Cacti. Fonte: Urban (2013). Nesta figura, são apresentados como exemplo, os seguintes gráficos referentes ao servidor: carga média, usuários conectados no servidor, memória utilizada e processos Alterar Senha Na interface SSM também há a possibilidade de se alterar a senha posteriormente, visto que devido a segurança, sempre há a necessidade de se trocar as senhas. Por isso, na Figura 47, é apresentada uma tela que é possível trocar a senha do usuário predefinido admin.

120 4.2 FERRAMENTA PROPOSTA 117 Figura 47 - Tela para mudar a senha do usuário admin. Fonte: Próprio autor. O descritivo na tela, informa os procedimentos para alterar a senha Desligar/Reinicializar Uma outra possibilidade existente na ferramenta proposta é a reinicialização ou o desligamento do servidor remotamente, através de duas opções presentes na parte gráfica, identificadas como: Ê ÓÓØ e Ð Ö, como realçado na Figura 48.

121 4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 118 Figura 48 - Tela com os botões para reiniciar ou desligar o servidor remotamente. Fonte: Próprio autor. Ao acionar o ícone Ê ÓÓØ o computador será reinicializado e ao acionar o ícone Ð Ö o computador será desligado. Assim a interface gráfica SSM vem atender de uma forma muito mais fácil e acessível as necessidades de um administrador de redes, pois caso haja algum problema, ele pode realizar o acesso ao servidor a distância ou se for necessário orientar uma pessoa para que possa realizar o monitoramento ou a administração dos serviços de uma forma bem prática. 4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM Para instalar o SSM, é necessário um computador com as seguintes especificações mínimas: Processador: Pentium 4 1 GHz; 512 MB de memória RAM; 5 GB de espaço no HD; Uma unidade de CD/DVD.

122 4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM Roteiro para Instalação da SSM. Nesta subseção, será apresentado o roteiro utilizado para instalar a ferramenta Silent Security Monitor no servidor. 1. Instale o apache2 e o php5 com o seguinte comando: Ôع Ø Ò Ø ÐÐ Ô ¾ Ô Ô 2. Copiar a pasta ÙÐØ para dentro de»ú Ö»ÛÛÛ e mudar o dono da mesma com o comando: ÓÛÒ ¹Ê ÛÛÛ¹ Ø ÛÛÛ¹ Ø ÙÐØ 3. Instale o módulo squid com o seguinte comando: Ôع Ø Ò Ø ÐÐ ÕÙ e posteriormente copie o arquivo ÕÙ ºÓÒ da pasta»ú Ö»ÛÛÛ» ÙÐØ»ØÙ Ó» ÕÙ ºÓÒ para a pasta» Ø» ÕÙ», com o seguinte comando: Ô»Ú Ö»ÛÛÛ» ÙÐØ»ØÙ Ó» ÕÙ ºÓÒ» Ø» ÕÙ» 4. Instale o módulo do seviço DHCP com o seguinte comando: Ôع Ø Ò Ø ÐÐ ¹ Ô¹ ÖÚ Ö 5. Instale o módulo Sarg com o seguinte comando: Ôع Ø Ò Ø ÐÐ Ö e em seguida copie o arquivo Ö ºÓÒ dentro da pasta ØÙ Ó e cole dentro de» Ø» Ö com o comando:

123 4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 120 Ô»Ú Ö»ÛÛÛ» ÙÐØ»ØÙ Ó» Ö ºÓÒ» Ø» Ö 6. Instale o módulo bandlimit digitando o conteúdo abaixo ou copiando o arquivo Öº Ò Ð Ñ Ø de»ú Ö»ÛÛÛ» ÙÐØ»ØÙ Ó» para» Ø» Ò Øº». ÁÆËÌ Ä Ç Ö Ó Ö ØÓÖ Ó Ò Ð Ñ Ø ÒØÖÓ Ó Ù» Ø Ñ Ö» Ø» Ò Ð Ñ Ø ÒØÖÓ Ø Ö ØÓÖ Ó Ö Ó ÖÕÙ ÚÓ Ô ÒØ Ö ØÓÙ» Ø» Ò Ð Ñ Ø» Ô ØÓÙ» Ø» Ò Ð Ñ Ø» ÒØ Ö ÔÓ Ø Ó Ô Ó ÒØ Ö ÓÐÓ Ò Ó ÒØÖÓ Ó Ô Ó Ô ÕÙ Ú Ð Ñ Ø Ö ½ ÔÓÖ Ð Ò ÒÓ Ù ÒØ ÓÖÑ ØÓ Ô Ö Ø Ò Ö Ø ÓÙØ Ü ½¼º¼º½º¾ ÒÓ ÒØ Ö ÒØ Ö ÕÙ Ú Ù Ò Ù Ñ ÕÙ Ò ÒÓ ÓÖÑ ØÓ Ø Ü Ü Ø ¼ ½ ÔÓÖ Ð Ò Ø Ñ Ñ µµ È Ö ÖÓ Ö ÓÐÓÕÙ Ó Ö ÔØ ÒØÖÓ Ó Ù ÖºÐÓ Ð È Ö Ö ÑÓÚ Ö Ö Ö Ø Öº Ò Ð Ñ Ø ØÓÔ Após gerar o arquivo, se faz necessário dar permissão de execução para o mesmo com o comando: ÑÓ Ü» Ø» Ò Øº»Öº Ò Ð Ñ Ø 7. Instale os módulos Nagios e Nagvis, respectivamente, com os seguinte comandos: Ôع Ø Ò Ø ÐÐ Ò Ó Ôع Ø Ò Ø ÐÐ Ö Ô Ú Þ

124 4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 121 Após realizar a instalação dos módulos também, é necessário baixar o arquivo Ñ ¹Ð Ú Ø ØÙ através do comando: Û Ø ØØÔ»»ÛÛÛºÑ Ø ¹ ØØÒ Öº» ÓÛÒÐÓ»Ñ ¹Ð Ú Ø ØÙ ¹½º¾º¼Ô¾ºØ Öº Þ Descompacte o arquivo com o seguinte comando: Ø Ö ÜÚ Þ Ñ ¹Ð Ú Ø ØÙ ¹½º¾º¼Ô¾ºØ Öº Þ e logo após instale-o com o comando: º»ÓÒ ÙÖ ²²Ñ Ò Ø ÐÐ Edite o arquivo Ò Ó º, localizado em»ù Ö»ÐÓ Ð»Ò Ó» Ø»Ò Ó º, e adicione a seguinte linha de comando: ÖÓ Ö ÑÓ Ùл٠ֻÐÓ Ð»Ð»Ñ ¹Ð Ú Ø ØÙ»Ð Ú Ø ØÙ ºÓ»Ú Ö»Ð»Ò Ó»ÖÛ»Ð Ú 8. Baixe o arquivo Ò Ú com a seguinte linha de comando: Û Ø ØØÔ»» ÓÙÖ ÓÖ ºÒ Ø» ØØ Ò»Ñ ÖÖÓ Ó ÔÖÓ ØÒ Ñ Ò Ú ² Ð Ò Ñ Æ Î ¾¼½¾º»Ò Ú ¹½º º ºØ Öº Þ e descompacte o mesmo usando: Ø Ö ÜÚ Þ Ò Ú ¹½º º ºØ Öº Þ e com o comando: º» Ò Ø ÐÐ instale o Nagvis. 9. Instale os módulos Cacti, SNMP e SNMPD com o seguinte comando: Ôع Ø Ò Ø ÐÐ ÒÑÔ ÒÑÔ Ø Ao término da instalação é necessário editar o arquivo ÒÑÔ ºÓÒ, mas antes é necessário parar o serviço em execução com o comando:

125 4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 122» Ø» Ò Øº» ÒÑÔ ØÓÔ Será apresentado no terminal as informaçõe abaixo: Ä Ø Ò ÓÖ ÓÒÒ Ø ÓÒ ÖÓÑ Ø ÐÓ Ð Ý Ø Ñ ÓÒÐÝ ÒØ Ö Ù Ô ½¾ º¼º¼º½ ½ ½ Ä Ø Ò ÓÖ ÓÒÒ Ø ÓÒ ÓÒ ÐÐ ÒØ Ö ÓØ ÁÈÚ Ò ÁÈÚ µ ÒØ Ö Ù Ô ½ ½ Ù Ô ½ ½ ½ Após editar o arquivo é necessário reinicializar o serviço com o comando: ÖÚ ÒÑÔ Ø ÖØ Com os precedimentos de 1 a 9 do roteiro, tem-se disponível no servidor a ferramenta SSM, instalada e configurada.

126 123 5 RESULTADOS E DISCUSSÕES Neste capítulo serão abordados três estudos de caso testados no escopo da interface gráfica SSM relacionados as áreas funcionais de gerenciamento de configuração, segurança e contabilização: a) Estudo de caso 1: Descreve como o administrador de rede configura uma placa de rede utilizando apenas linhas de códigos e utilizando a interface desenvolvida; b) Estudo de caso 2: Descreve como o administrador de rede libera um computador na rede atrelado ao MAC Address utilizando linhas de códigos e utilizando a interface desenvolvida; c) Estudo de caso 3: Descreve como realizar o cadastro de um computador da rede para ser monitorado pelo sistema. Além disso, neste capítulo analisa-se os resultados da utilização da ferramenta proposta frente a abordagem convencional. 5.1 ESTUDO DE CASO 1 Neste primeiro estudo de caso, será mostrado como um administrador faz para configurar a placa de rede presente no servidor, que será utilizada para receber enviar o sinal de internet e controlar os computadores da rede local, utilizando apenas linhas de códigos com os seguinte itens: a) endereço IP da placa de rede; b) máscara de rede; c) endereços de DNS. Os dados referentes aos itens anteriores, são os que se seguem. a) endereço IP > ; a) endereço de mácara de rede > ;

127 5.1 ESTUDO DE CASO a) endereço de DNS1 > ; a) endereço de DNS2 > Para realizar todos os comandos relacionados a configuração do sistema, se faz necessário logar como root (administrador) do Linux. Primeiramente o administrador configura o IP da placa com o seguinte comando: ÓÒ Ø ½ ½ ¾º½ º½º½ Ò ØÑ ¾ º¾ º¾ º¼ Após configurar o endereço de IP e a máscara da placa de rede, é necessário configurar os endereços de DNS para que o servidor possa navegar na internet. Para isso basta editar o arquivo de configuração Ö ÓÐÚºÓÒ, que está localizado no diretório» Ø, podendo ser utilizado qualquer editor de texto ASCII. Neste estudo de caso, será utilizado o editor chamado Ú Ñ, com o seguinte comando: Ú Ñ» Ø»Ö ÓÐÚºÓÒ Dentro deste arquivo, basta adicionar os dois endereços de DNS mencionado acima, para que seja possível navegar na internet. Ò Ñ ÖÚ Ö º º º Ò Ñ ÖÚ Ö º º º Feito isso, deve-se salvar o arquivo e sair, utilizando o seguinte conjunto de teclas: + + Ü + (Com esta sequência de comandos no vim grava-se o conteúdo do arquivo.) Na sequência, para testar se a máquina está com a placa configurada, pode-se utilizar o comando ping para mandar pingar o sítio, por exemplo do UOL, com o seguinte comando: Ô Ò ÛÛÛºÙÓкÓѺ Ö Caso tenha alguma resposta como mostrado abaixo: Ô Ó Ð Ò Ö Ô Ò ÛÛÛºÙÓкÓѺ Ö ÈÁÆ ÛÛÛºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ µ ÝØ Ó Ø º ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ½ ØØÐ Ø Ñ º Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ¾ ØØÐ Ø Ñ º¼ Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ØØÐ Ø Ñ º¾ Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ØØÐ Ø Ñ º Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ØØÐ Ø Ñ º¾ Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ØØÐ Ø Ñ º Ñ

128 5.1 ESTUDO DE CASO ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ØØÐ Ø Ñ º½ Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ØØÐ Ø Ñ º Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ØØÐ Ø Ñ º Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ½¼ ØØÐ Ø Ñ º Ñ ÝØ ÖÓÑ ÓÑ ºÙÓкÓѺ Ö ¾¼¼º¾¾½º¾º µ ÑÔ Ö Õ ½½ ØØÐ Ø Ñ º Ñ ¹¹¹ ÛÛÛºÙÓкÓѺ Ö Ô Ò Ø Ø Ø ¹¹¹ ½½ Ô Ø ØÖ Ò Ñ ØØ ½½ Ö Ú ¼± Ô Ø ÐÓ Ø Ñ ½¼¼½¾Ñ ÖØØ Ñ Ò» Ú»Ñ Ü»Ñ Ú º» º ¼» º» º Ñ Ô Ó Ð Ò Ö indica que o computador já está navegando na internet. Pelo que pôde ser visto, esta primeira etapa do estudo de caso em que o administrador configura o servidor utilizando apenas linhas de comando, mostra-se um pouco trabalhosa, além do que é necessário se ter uma boa memória para gravar todos os comandos utilizados. Pois com o uso da ferramenta SSM, basta o administrador seguir as etapas descritas abaixo, sem a necessidade de utilizar longas linhas de comandos. A partir da tela inicial mostrada na Figura 49, têm-se: Etapa 1: Nesta etapa, basta o administrador entrar com o usuário e senha pré-definidos.

129 5.1 ESTUDO DE CASO Figura 49 - Tela de login do sistema. Fonte: Próprio autor. Etapa 2: Na tela apresentada na Figura 50, acione a opção ÐØ Ö Ó ÁÈ para ter acesso as duas interfaces de rede, apresentada na Figura 51.

130 5.1 ESTUDO DE CASO Figura 50 - Tela de alteração do endereço das placas de redes interna e externa. Fonte: Próprio autor. Etapa 3: Em seguida, basta acionar o ícone referente a configuração da placa de rede interna, indicada na Figura 51. Figura 51 - Tela configuração da placa de rede. Fonte: Próprio autor. Etapa 4: Nesta etapa, basta preencher o endereço IP acionando o icone do lápis, com o valor ½ ¾º½ º½º½, a máscara de rede ¾ º¾ º¾ º¼ e a classe de rede ½ ¾º½ º½º¼, não esquecendo de sempre que finalizar o preenchimento, acionar o o botão aplicar, para que as

131 5.1 ESTUDO DE CASO alterações sejam efetivadas, conforme a Figura 52. Figura 52 - Tela em que o usuário irá preencher os valores dos endereços IP, máscara de rede e classe de IP. Fonte: Próprio autor. Etapa 5: Para configurar os endereços de DNS, basta acionar o ícone ÓÒ ÙÖ Ó ÆË na Figura 50, obtendo-se a a tela apresetnada na Figura 53. Figura 53 - Acessando a opção para configurar os endereços de DNS. Fonte: Próprio autor.