ESTÁGIO CURRICULAR I E II SEGURANÇA CORPORATIVA

Transcrição

1 DIEGO LOTHER ESTÁGIO CURRICULAR I E II SEGURANÇA CORPORATIVA EMPRESA: GATI TECNOLOGIA DA INFORMAÇÃO SETOR: INFRA-ESTRUTURA SUPERVISOR: DIONEI ALVES DOMINGOS ORIENTADOR: RAFAEL RODRIGUES OBELHEIRO CURSO DE TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT UNIVERSIDADE DO ESTADO DE SANTA CATARINA UDESC JOINVILLE SANTA CATARINA - BRASIL MAIO-2011

2

3 Carimbo da Empresa UNIDADE CONCEDENTE Razão Social: Gati Tecnologia da Informação LTDA EPP CGC/MF: / Endereço: Rua Iririú, 1060 Bairro: Iririú CEP: Cidade: Joinville UF: SC Fone: Supervisor: Dionei Alves Domingos Cargo: Diretor ESTAGIÁRIO Nome: Diego Lother Matrícula: Endereço: av. Santa Catarina, 3148 Bairro: Floresta CEP: Cidade: Joinville UF: SC Fone: Curso de: Tecnologia em Análise e Desenvolvimento de Sistemas Título do Estágio: Segurança Corporativa Período: 21/03/2011 a 13/05/2011 Carga horária: 240h AVALIAÇÃO FINAL DO ESTÁGIO PELO CENTRO DE CIÊNCIAS TECNOLÓGICAS Representada pelo Professor Orientador: Rafael Rodrigues Obelheiro CONCEITO FINAL DO ESTÁGIO Excelente (9,1 a 10) Muito Bom (8,1 a 9,0) Bom (7,1 a 8,0) Regular (5,0 a 7,0) Reprovado (0,0 a 4,9) NOTA ETG I (Média do Processo) NOTA ETG II (Média do Processo) Rubrica do Professor da Disciplina Joinville / /

4 Nome do Estagiário: Diego Lother QUADRO I AVALIAÇÃO NOS ASPECTOS PROFISSIONAIS QUALIDADE DO TRABALHO: Considerando o possível. ENGENHOSIDADE: Capacidade de sugerir, projetar, executar modificações ou inovações. CONHECIMENTO: Demonstrado no desenvolvimento das atividades programadas. CUMPRIMENTO DAS TAREFAS: Considerar o volume de atividades dentro do padrão razoável. ESPÍRITO INQUISITIVO: Disposição demonstrada para aprender. INICIATIVA: No desenvolvimento das atividades. SOMA Pontos QUADRO II AVALIAÇÃO DOS ASPECTOS HUMANOS ASSIDUIDADE: Cumprimento do horário e ausência de faltas. DISCIPLINA: Observância das normas internas da Empresa. SOCIABILIDADE: Facilidade de se integrar com os outros no ambiente de trabalho. COOPERAÇÃO: Disposição para cooperar com os demais para atender as atividades. SENSO DE RESPONSABILIDADE: Zelo pelo material, equipamentos e bens da empresa. SOMA Pontos PONTUAÇÃO PARA O QUADRO I E II Sofrível - 1 ponto, Regular - 2 pontos, Bom - 3 pontos, Muito Bom - 4 pontos, Excelente - 5 pontos LIMITES PARA CONCEITUAÇÃO AVALIAÇÃO FINAL Pontos De 57 a SOFRÍVEL SOMA do Quadro I multiplicada por 7 De 102 a REGULAR SOMA do Quadro II multiplicada por 3 De 148 a BOM SOMA TOTAL De 195 a MUITO BOM De 241 a EXCELENTE Nome da Empresa: Representada pelo Supervisor: CONCEITO CONFORME SOMA TOTAL Rubrica do Supervisor da Empresa Local: Data : Carimbo da Empresa

5 UDESC UNIVERSIDADE DO ESTADO DE SANTA CATARINA - UDESC CENTRO DE CIÊNCIAS TECNOLÓGICAS - FEJ PLANO DE ESTÁGIO CURRICULAR I e II ESTAGIÁRIO Nome: Diego Lother Matrícula: Endereço (Em Jlle): Av. Santa Catarina, nº3148 Bairro: Floresta CEP: Cidade: Joinville UF: SC Fone: Endereço (Local estágio): Iririú, 1060 Bairro: Iririú CEP: Cidade: Joinville UF: SC Fone: Regularmente matriculado no semestre: 4º Curso: Tecnologia em Analise e Desenvolvimento de Sistemas Formatura (prevista) Semestre/Ano: 2012/1 UNIDADE CONCEDENTE Razão Social: GATI Tecnologia da Informação Ltda. EPP CGC/MF: / Endereço: Iririú, 1060 Bairro: Iririú CEP: Cidade: Joinville UF: SC Fone: Atividade Principal: Tecnologia da Informação Supervisor: Dionei Alves Domingos Cargo: Diretor DADOS DO ESTÁGIO Área de atuação: Infra-Estrutura de Redes Departamento de atuação: Infra Estrutura Fone: Ramal: Horário do estágio: 10:00 12:00 e 13:00 17:00 Total de horas: 240 Período: 21/03/2011 a 13/05/2011 Nome do Professor Orientador: Rafael Rodrigues Obelheiro Departamento: Ciência da Computação Disciplina(s) simultânea(s) com o estágio Quantas: Três. Quais: Engenharia de Software, Banco de Dados e Java Avançado II OBJETIVO GERAL Agregar conhecimento em infra-estrutura de redes e servidores e análise de ambiente corporativo em clientes, adquirindo assim qualificação na área de segurança da informação que gerará benefícios para mim e para os parceiros de negócio da GATI

6 ATIVIDADES OBJETIVO ESPECÍFICO HORAS 1 - Implantação de Firewall/Proxy - Iptables Instalação Tabelas Definição de regras - Squid - Instalação Configuração Criação de arquivos para bloqueios de sites. - Sqstat - Instalação Configuração -Sarg Instalação Configuração para geração de relatório. -DHCPD - Instalação -Bind Configuração - Instalação Configuração Implementar mecanismos de segurança compatíveis com as necessidades organizacionais, ferramentas de monitoramento de segurança e serviços auxiliares de rede Implantação de Domínio - Criação de AD - Definição de Políticas de Segurança - Gerenciamento de Diretivas - Configuração de Perfil Móvel - Isolamento de Domínio 3-Suporte de Hardware e Software 4- Administração de Servidores Linux -CentOs Implementar serviços para gerenciamento de usuários/senhas e de políticas de controle de acesso. Identificar problemas de hardware e software solucionando os mesmos ou providenciando para que eles sejam resolvidos. Instalar, configurar e administrar servidores firewall/proxy que dêem suporte às necessidades de segurança computacional da organização Rubrica do Professor Orientador Rubrica do Comitê de Estágios Rubrica do Coordenador de Estágios Rubrica do Supervisor da Empresa Data: Data: Data: Data: Carimbo da Empresa

7 CRONOGRAMA FÍSICO E REAL PERÍODO (20 horas) P ATIVIDADES R Implantação de P Firewall/Proxy R P Implantação de Domínio R Suporte de hardware e P Software R Administração de P Servidores Linux R P R P R P R P R P R P R P R P R P R

8 À minha namorada Ana Carolina Cardim de Lima Ao meu irmão Bryan Lehm Reimer À minha mãe Marilsa Lehm

9 AGRADECIMENTOS Muitas pessoas e empresas tornaram-se merecedoras do meu reconhecimento, pelo muito que colaboraram para a realização deste trabalho, dentre elas destacam-se: Empresa Gati Tecnologia da Informação Ltda. Professores do curso Tecnologia em Análise e Desenvolvimento de Sistemas. Professor Orientador Rafael Rodrigues Obelheiro pela paciência e atenção. Colegas de turma. Amigos e Amigas.

10 RESUMO INTRODUÇÃO Específicos Justificativa ORGANIZAÇÃO DO ESTUDO A EMPRESA HISTÓRICO PRINCIPAIS PRODUTOS E SERVIÇOS INFRA-ESTRUTURA E SEGURANÇA PRINCIPAIS CLIENTES CONSIDERAÇÕES GERAIS DESENVOLVIMENTO IMPLANTAÇÃO DE FIREWALL/PROXY IPTABLES INSTALAÇÃO DO IPTABLES TABELAS DEFINIÇÃO DE REGRAS SQUID INSTALAÇÃO DO SQUID CONFIGURAÇÃO DO SQUID CRIAÇÃO DE ARQUIVOS PARA BLOQUEIO DE SITES SQSTAT CONFIGURAÇÃO DO SQSTAT SARG DHCPD INSTALAÇÃO E CONFIGURAÇÃO DO DHCPD BIND INSTALAÇÃO DO BIND CONFIGURAÇÃO DO BIND IMPLANTAÇÃO DE DOMÍNIO CRIAÇÃO DE ACTIVE DIRECTORY DEFINIÇÃO DE POLÍTICAS DE SEGURANÇA CONFIGURAÇÃO DE PERFIL MÓVEL ISOLAMENTO DE DOMÍNIO SUPORTE DE HARDWARE E SOFTWARE CASOS COMUNS DE CHAMADOS ADMINISTRAÇÃO DE SERVIDORES LINUX CENTOS CONSIDERAÇÕES FINAIS GLOSSÁRIO REFERÊNCIAS... 32

11 1 RESUMO O relatório aqui descrito visa abordar as atividades realizadas durante o período de estágio na área de Infra-Estrutura da empresa GATI Tecnologia da Informação, pelo acadêmico Diego Lother, atendendo clientes que utilizam os serviços de segurança em redes. Esta equipe presta atendimento técnico, realizando a montagem, configuração, manutenção e customização de redes em cliente de acordo com as necessidades dos mesmos. Durante estágio foram realizadas as atividades de implantação de firewall/proxy, assim como a configuração de serviços adicionais, sendo eles sqstat, bind, dhcpd e sarg, todos próprios do Linux. Também foram realizadas implantações de domínio com o Windows Server 2008 utilizando-se da ferramenta do Active Directory. Realizando também atividades de suporte de hardware e software e administração de servidores.

12 2 1. INTRODUÇÃO Durante as primeiras décadas de sua existência, as redes de computadores eram geralmente utilizadas por universitários e empresários com fins de trocar mensagens e compartilhar recursos (como arquivos e impressoras), vendo por este ponto não eram tomados muito cuidados com segurança (TANENBAUM, 1997, p.657). Hoje, com milhões de pessoas que utilizam a rede para os mais variados fins como transações bancárias, fazer compras, emitir notas e outras atividades, surge à necessidade de sanar os problemas de segurança em seus ambientes de rede. Assim como um avião precisa de um piloto, para monitorar os equipamentos e garantir que os mesmos funcionem, a área de Infra-Estrutura necessita de um administrador para gerenciar as redes de forma que garanta que as mesmas funcionem de forma eficaz e segura. Portanto, a equipe de infra-estrutura da GATI tem preocupação total com a segurança da informação de seus clientes, área na qual foram focadas as atividades realizadas nesse estágio, tendo por objetivo planejar uma rede segura e que de confiança para que os colaboradores das empresas de clientes possam exercer suas atividades sem colocar em risco a informação que estão manipulando. Levando em consideração que o planejamento utilizado para interromper a atividade de invasores eventuais terá pouco impacto sobre invasores que se encontram dentro da própria empresa. Tendo-se também consciência de que muitas vezes o perigo se encontra dentro das próprias empresas, na forma de um funcionário descontente ou demitido que conheça demais sobre a organização. As ferramentas de apoio adotadas para assegurar a segurança são: Firewall (Iptables), Proxy (squid), Active Directory entre outras que serão descritas no decorrer do relatório OBJETIVOS Geral

13 3 Agregar conhecimento em infra-estrutura de redes e servidores e análise de ambiente corporativo em clientes, adquirindo assim qualificação na área de segurança da informação, que gerará benefícios para mim e para os parceiros de negócio da GATI Específicos Para atender ao objetivo geral foi necessária a realização das seguintes atividades: Implementar mecanismos de segurança compatíveis com as necessidades organizacionais, ferramentas de monitoramento de segurança e serviços auxiliares de rede; Implementar serviços para gerenciamento de usuários/senhas e de políticas de controle de acesso; Identificar problemas de hardware e software, solucionando os mesmos ou providenciando para que eles sejam resolvidos; Instalar, configurar e administrar servidores firewall/proxy que dêem suporte às necessidades de segurança computacional da organização Justificativa Nos primórdios das redes de computadores, quando elas ainda eram artefatos de pesquisa e não uma infra-estrutura usada por milhões de pessoas por dia, gerenciamento de rede era algo que nunca se tinha ouvido falar. (KUROSE, 2006, p.572). Nos dias atuais, tendo a segurança como um problema eminente, cria-se cada vez mais a necessidade de uma pessoa que administre a rede, e que possa fornecer segurança e eficácia. Com esse cenário, a empresa GATI oferece o serviço de infraestrutura e segurança, e com isso são necessárias pessoas com conhecimento aprofundado sobre estes serviços, visando um atendimento qualificado aos clientes. Desta forma, há sempre a necessidade de que pessoas se desenvolvam e aprofundem seus conhecimentos na área em questão, assim como na tecnologia em si, para assegurar a comodidade e segurança das empresas que são atendidas.

14 ORGANIZAÇÃO DO ESTUDO Este relatório está dividido em três partes principais. O capítulo 1 faz uma breve introdução sobre a área de atuação e intuito do estágio, o capítulo 2 apresenta a empresa, sua história, produtos e clientes, e o capítulo 3 trata do desenvolvimento do estágio em si, os principais conceitos e tecnologias utilizadas para a execução das atividades, e também os resultados obtidos ao final do desenvolvimento

15 5 2. A EMPRESA Neste capítulo serão apresentados os principais aspectos da empresa GATI, entre eles, histórico, principais produtos e clientes, e outras considerações gerais. Desta forma, é possível ter uma visão macro da empresa onde o estágio foi realizado HISTÓRICO Fundada em 2001, por Tercilio Stedille e Dionei Domingos, oferecia serviços de gestão e assessoria. Em 2003 inicia suas atividades na incubadora Jaraguatec passando a oferecer também o serviço de fábrica de software. Dois anos depois inicia as atividades de gestão e assessoria em uma incubadora de Joinville MIDIVILLE, sendo que alguns anos mais adiante transferem sua operação de fábrica de software para Joinville, mas continuam mantendo filial em Jaraguá. Em 2008 tem início o processo de qualificação e certificação profissional em CCMI, Progress, Java e ITIL. Em 2009 é criada a empresa G1sistemas, que atua como fábrica de software desenvolvendo ERP. Um ano depois a GATI consolida-se como fábrica de software e passa a mirar também o mercado paulista e mineiro. Em 2011 a GATI completa 10 anos, e retoma o processo de certificação em novas tecnologias PRINCIPAIS PRODUTOS E SERVIÇOS A GATI oferece diversos produtos e serviços dentre eles, são citados os mais focados: Fábrica de Software, Nota Fiscal Eletrônica, Móbile Software e Consultoria como ilustrado na figura 2.1. Fábrica de Software Nota Fiscal Eletrônica Móbile Software Consultoria Figura 2.1 Principais serviços e clientes. (Fonte:

16 INFRA-ESTRUTURA E SEGURANÇA A GATI oferece os seguintes serviços na área de Infra-Estrutura: Criação de Servidores de Criação de Servidores de Domínio Firewall Proxy Backup Projeto e Implantação de Redes com segurança Criação de Servidores de Arquivos Criação de Servidores de Impressão 2.3. PRINCIPAIS CLIENTES Tupy Tigre Lepper Dânica Marisol Duas Rodas Industrial Sundown Ciser Itatiaia Weg Intelbras Malwee Tecmatic Oxford Franke Liasa Polystar Tuper Tear Textil Fornac Ima Textil Fezer Proelt Eletro Douat Novacki Copercarga Artefama Cecred CooperCargo Termotécnica Laboratório Catarinense

17 CONSIDERAÇÕES GERAIS Trabalha há mais de 10 anos no mercado de tecnologia, com atuação em consultoria e fábrica de software, em fase de pré-qualificação CMMI e, tendo matriz em Joinville e filial em Jaraguá do Sul (SC). A GATI possui mais de 50 colaboradores (programadores, analistas, consultores e gerentes de projeto) altamente qualificados, certificados e, focados em diversas áreas como manufatura, logística, custos, vendas e gestão de projetos, conseguindo assim, atingir outras regiões do Brasil como Sudeste e o Centro-Oeste.

18 8 3. DESENVOLVIMENTO O estágio foi desenvolvido com foco na segurança de redes corporativas proporcionando ferramentas de controle e monitoramento de redes, além de serviços auxiliares de rede. Para isto, foi necessário aprofundar os conhecimentos em ferramentas de segurança como firewall, Proxy e Active Directory IMPLANTAÇÃO DE FIREWALL/PROXY Os firewalls implantados durante o estágio foram configurados em plataforma Linux, na distribuição CentOS que será detalhada mais adiante no item 3.4 deste capítulo. Existem vários tipos de firewall. Entende-se por firewall como sendo qualquer máquina capaz de tomar decisões em relação ao tráfego de rede, criando uma barreira entre a rede local e a Internet IPTABLES O Iptables é uma ferramenta nativa do CentOs que serve para filtrar pacotes, ou seja, com ele você é capaz de analisar o cabeçalho de cada pacote, e tomar decisões sobre os destinos destes pacotes. Basicamente, só entende endereço IP, máscara de subrede, portas e tipos de protocolos. Não analisa o conteúdo do pacote INSTALAÇÃO DO IPTABLES O iptables vem instalado por padrão no CentOS. Para configurá-lo, o sistema oferece uma ferramenta Firewall que é um wizard que gera um conjunto de regras para iptables a partir do conjunto de portas UDP/TCP usadas pelos serviços de rede ativos da máquina servidora e para as máquinas clientes da rede local. Também é possível desabilitar essa configuração, e fazer um script com as regras que se aplicam à rede onde vai ser utilizado e colocá-lo para iniciar junto com a inicialização do servidor.

19 TABELAS O filtro de pacotes do Linux funciona mediante as regras estabelecidas, e todos os pacotes entram no kernel para sem analisados (URUBATAN, 2004). Quando um pacote entra no kernel é verificado se alguma chain (local onde as regras do firewall definidas pelo administrador são armazenadas para operação do firewall) se aplica a ele, caso não se aplique nenhuma regra é utilizada a política default. A política default do firewall consiste na regra que será utilizada caso algum pacote não se encaixe em nenhuma das regras estabelecidas. Por questão de segurança utiliza-se para a política default a regra DROP, ou seja, tudo que não for expressamente permitido será descartado. Os tipos de chain vão depender do tipo de tabela (listas de regras) que está sendo utilizada, existem três tabelas possíveis mostradas na figura 3.1(URUBATAN, 2004): filter é a tabela default. Quando não especificamos a tabela, a filter será utilizada. Refere-se às atividades de tráfego de dados, sem ocorrência de nat. Admite as chains INPUT, OUTPUT E FORWARD. nat: utilizada quando há nat (necessita fazer a conversão de endereços IPs entre redes distintas). Admite as chains PREROUTING, OUTPUT e POSTROUTING. mangle: serve para especificar ações especiais para o tratamento do tráfego que atravessa os chains alterando o conteúdo dos pacotes. Mas, é raramente utilizada. As Chains da tabela filter funcionam da seguinte forma: - INPUT: quando o pacote está com destino à máquina firewall. - OUTPUT: quando o pacote está saindo da máquina firewall. - FORWARD: qualquer pacote que atravesse o firewall não tendo ele como destino ou saída. Na figura 3.1 é mostrado um esquema do funcionamento da tabela filter:

20 10 Figura 3.1 Diagrama de funcionamento da tabela filter (Fonte: As chains da tabela nat funcionam da seguinte forma: - PREROUTING: analisa os pacotes que estão entrando no kernel para sofrerem nat. - POSTROUTING: analisa os pacotes que estão saindo do kernel, após sofrerem nat. - OUTPUT: utilizadas para analisar pacotes que são gerados pela própria máquina e que irão sofrer nat DEFINIÇÃO DE REGRAS As regras de firewall no iptables têm a sintaxe da seguinte forma: iptables [-t tabela] [opção] [chain] [dados] j [ação] Cada regra entre parênteses possui suas atribuições, no caso da tabela pode ser nat, filter ou mangle.

21 11 Inicia-se tratando da tabela filter. As principais opções são as seguintes (tabela 3.1): Sintaxe Utilidade Altera a política da chain. Por padrão a política de cada chain vem como -P ACCEPT, se permanecer neste modo o firewall vai aceitar qualquer INPUT, OUTPUT e FORWARD -A Acrescenta uma nova regra a chain. -D Apaga uma regra da chain. -L Lista as regras existentes. -F Remove todas as regras. Quadro 3.1 Tabela de sintaxe das opções da tabela filter. No campo chain temos as opções de INPUT, OUTPUT e FORWARD. Já nos dados os elementos mais comuns são (tabela 3.2): Sintaxe Utilidade -s Indica a origem do pacote. -d Indica o destino do pacote. -p Especifica o protocolo a ser filtrado. -i Especifica a interface de entrada. -o Especifica a interface de saída -! Utilizado com os argumentos anteriores serve para exclusão. --sport Porta de origem só funciona com protocolos UDP e TCP. --dport Porta de destino só funciona com protocolos UDP e TCP. Quadro 3.2 Tabela de sintaxe de dados da tabela filter. Sintaxe ACCEPT DROP REJECT LOG As ações tomadas pelo firewall podem ser a seguintes (tabela 3.3): Utilidade Permite a passagem do pacote Descarta o pacote e não avisa o host origem. Descarta o pacote, mas avisa o host origem. Cria um log referente à regra. Quadro 3.3 Tabela de sintaxe de ações da tabela filter.

22 12 Já na tabela nat existem algumas mudanças. As opções são apenas A ou D tendo as mesmas funções descritas acima. Na descriminação da chain possuímos os seguintes comandos: PREROUTING, POSTROUTING e OUTPUT. Já nos dados os elementos utilizados são (tabela 3.4): Sintaxe Utilidade -t Especifica a tabela a ser usada. --to Utilizado para definir porta. --to-port Define uma porta de destino após um REDIRECT. Quadro 3.4 Tabela de sintaxe de dados da tabela nat. O restante dos dados utilizados são os mesmo citados na tabela filter. As ações são as seguintes (tabela 3.5): Sintaxe Utilidade Utilizado com o POSTROUTING para fazer ações de SNAT mascaramento da origem. Utilizado com o PREROUTING e OUTPUT para fazer ações de redirecionamento de portas e servidores, balanceamento de carga e DNAT Proxy transparente. Caso a porta de destino não seja especificada valerá a porta de origem. No firewall, a porta que será redirecionada não pode estar sendo usada por um serviço. Faz o mascaramento (uma forma de fazer NAT, que faz ser possível MASQUERADE uma rede inteira solicitar os dados para a máquina que faz o mascaramento e essa busca tais dados na Internet) na saída de dados. REDIRECT Redireciona as requisições para uma porta local do firewall. Quadro 3.5 Tabela de sintaxe de ações da tabela nat SQUID Segundo (Lunardi, 2005) o squid é uma ferramenta que atua como Proxy que suporta HTTP, HTTPS, FTP e outros. O Proxy reduz a utilização da conexão e melhora os tempos de resposta fazendo cache de requisições frequentes de páginas web numa rede.

23 INSTALAÇÃO DO SQUID A instalação do squid é feita no terminal do Linux com o seguinte comando: yum install squid Após a execução desse comando o pacote do squid será instalado no diretório /etc/squid/ CONFIGURAÇÃO DO SQUID As configurações do squid são mantidas no arquivo /etc/squid/squid.conf. As principais opções de configurações são: http.port [porta] define a porta que será utilizada pelo squid. Visible_hostname localhost define o ip da máquina servidora. Para definir a atuação do squid devem-se criar as acls, que são as regras que fundamentas o trabalho do squid, ressaltando que o squid lê as acls de cima para baixo e para a leitura assim que encontrar uma acl que se aplique a situação. A criação das acls segue esse modelo do exemplo: #definição de usuários acl restrito proxy_auth "/etc/squid/basico (criação de usuário restrito). E depois se define o que vai ser feito com a regra, ou seja libera ou nega. http_access allow restrito Após criar todas as acl, pode-se colocar o squid em funcionamento através do comando: squid start Se precisar futuramente fazer alguma alteração, basta editar o arquivo squid.conf e depois recarregar o squid através do comando: squid reloaded Após isto, devem-se alterar as configurações padrão do navegador de Internet utilizado nas máquinas da rede. Em configurações avançadas de rede, deve-se selecionar para obter uma configuração manual de Proxy e então redirecionar o protocolo HTTP para localhost (endereço ip do proxy) que é definido em Visible_hostname e colocar a porta que foi definida como padrão no squid.

24 CRIAÇÃO DE ARQUIVOS PARA BLOQUEIO DE SITES No squid quando é necessário bloquear uma relação de palavras ou sites pode-se utilizar do seguinte parâmetro. Podemos definir um arquivo texto com uma lista de links ou palavras e criar uma acl apontando para esse arquivo texto, conforme exemplo: #definir sites bloqueados acl bloqueiasites url_regex -i /etc/squid/bloqueia.txt Neste exemplo aponta-se para o arquivo bloqueia.txt que contém uma relação de sites proibidos dentro da empresa. Para criação desse arquivo, abrisse um editor de texto e informe a relação de restrições, depois salvo o arquivo dentro do diretório /etc/squid/. As mesmas definições são válidas se quiser fazer uma relação de sites liberados SQSTAT Segundo a fonte ( o sqstat é um script desenvolvido em PHP (linguagem de programação web) que mostra em uma página todos os acessos da rede que estão acontecendo, em tempo real. Ele atua fazendo a leitura do squid e mostrando quantas conexões estão abertas. O mesmo não funciona sem a presença do squid. Para executar a instalação do o sqstat deve-se fazer o download do arquivo, podendo ser feito através do seguinte comando no terminal do: wget -c Depois é só descompactar o arquivo, mover para a pasta do webserver e renomear o arquivo config.inc.php.defaults para config.inc.php CONFIGURAÇÃO DO SQSTAT Para configurá-lo edita-se o arquivo config.inc.php: Em $squidhost[0]= ip do servidor onde está instalado; Em $squidport[0]= coloque a porta onde o squid está escutando no

25 15 servidor; Em $resolveip[0]= coloque true para que o sqstat resolva os nomes das maquinas; Em $group_by[0]= coloca nome-de-usuario para as informações serem exibidas por usuários; Para que o sqstat funcione, é necessário a inserção de algumas linhas no arquivo squid.conf: acl manager proto cache_object acl webserver src servidor onde está instalado/gateway http_access allow manager webserver http_access deny manager Estas acls devem ser as primeiras da lista, tendo como finalidade a comunicação entre sqstat e squid de forma que o sqstat possa fazer uma leitura das conexões abertas no Proxy. Feito isso reiniciasse o squid e o serviço entrará em execução. Para visualizá-lo é aberto o navegador e utiliza-se a seguinte url SARG O sarg é um visualizador de logs para o squid. Sempre que executado, ele cria um conjunto de páginas, divididas por dia, com uma lista de todas as páginas que foram acessadas, e uma relação de quais máquinas tiveram acesso a rede. Caso tenha-se configurado o squid para exigir autenticação, ele organiza os acessos com base nos logins dos usuários. Caso contrário, ele mostra os endereços IP das máquinas. As distribuições mais atuais já vêm com o sarg, caso não venham basta executar os seguintes passos conforme informe passado pelo fornecedor: Para poder fazer a instalação do sarg é necessário ter no servidor Linux o MySQL e o Apache, caso os mesmos se encontrem ausentes é possível fazer a instalação através do comando yum, e depois deve se fazer o download do sarg. Com o sarg no servidor é possível configurá-lo através dos comandos:./configure make

26 16 make install sarg Após o último comando é gerado o relatório do squid que pode ser visualizado no browser através da seguinte endereço É necessário chamar o sarg como root toda vez que precisar gerar um relatório ou é possível automatizar esta tarefa pelo cron especificando que ele seja executado de acordo com a necessidade. Assim como o squid, o sarg possui um arquivo com a sua configuração, que é o sarg.conf. Nele, podemos alterar layout de página, ativar recursos de envio de uma cópia do relatório por sempre que o sarg for executado, entre outros DHCPD DHCPD nada mais é do que um serviço de DHCP do Linux. Ele é responsável por fazer a distribuição dos endereços IPs dentro da rede INSTALAÇÃO E CONFIGURAÇÃO DO DHCPD Para instalá-lo utiliza-se o comando: yum install dhcp Após a instalação deve-se configurar o serviço para inicializar junto com o boot do servidor através do comando: chkconfig dhcpd on Feito isso se deve editar o arquivo dhcpd.conf seguindo as definições da configuração da rede: # faz a iteração com o servidor DNS. ddns-update-style none; # faz uma verificação a cada 600 segundos para saber se os IPs ainda estão ativos. default-lease-time 600; # Especifica o tempo máximo que uma estação fica com um endereço IP(em segundos). max-lease-time 7200;

27 17 # define o servidor como master da rede, evitando colisões na entrega de endereços IP. authoritative; # Especifica a sub-rede e sua mascara. subnet netmask { #Especifica quais endereços IP ficaram disponiveis. range ; #Especifica o endereço default do gateway. option routers ; #Especificação dos servidores DNS. option domain-name-servers , ; # Especifica o broadcast da rede. option broadcast-address ; } comando: Feita essa configuração pode-se iniciar o serviço de DHCP através do service dhcpd restart BIND O BIND é um software que faz o serviço de DNS(Domain Name System Sistema de nomes de domínio) do Linux, é ele quem faz a tradução de nomes em endereços IP e vice-versa INSTALAÇÃO DO BIND Para instalá-lo utiliza-se o comando: yum install bind No caso do CentOS ele sempre instala a versão mais recente não precisando especificar qual versão deseja instalar.

28 CONFIGURAÇÃO DO BIND No BIND o arquivo a ser configurado é o named.conf, que vem com as seguintes configurações: zone "." { type hint; file "/etc/bind/db.root"; }; zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; }; Essa configuração não deve ser alterada. No caso de utilizar o sistema operacional CentOS, deve-se instalar o BIND e depois copiar os arquivos que estão dentro da pasta "/usr/share/doc/bind-9.?.?/sample/" para a pasta apropriada: cp -r /usr/share/doc/bind-9.?.?/sample/etc/* /etc/ cp -r /usr/share/doc/bind-9.?.?/sample/var/named/* /var/named/

29 IMPLANTAÇÃO DE DOMÍNIO O domínio do Windows Server é uma estrutura lógica onde uma central compartilha serviços e diretórios (technet.microsoft.com/pt-br/library/cc aspx). A base de dados do diretório contém as contas de usuários e as políticas de segurança do domínio. O Domínio é composto por computadores configurados no Controlador de Domínio do Windows Server. Com uma única conta, os usuários podem validar-se no domínio a partir de qualquer máquina (onde se tenha autorização) e, a partir daí, usufruir dos recursos da rede para os quais o administrador do domínio lhes der permissões. O Active Directory (AD) é um serviço de diretório nas redes Windows Server, presente na versão 2000 em diante. Um serviço de diretório é um conjunto de atributos sobre recursos e serviços existentes na rede, sendo que é uma maneira de organizar e simplificar o acesso aos recursos de sua rede centralizando-os, bem como reforçar a segurança e dar proteção aos objetos do database do servidor contra intrusos, ou controlar acessos dos usuários internos da rede CRIAÇÃO DE ACTIVE DIRECTORY A instalação do Active Directory é um processo simples, porém deve-se atentar-se a alguns detalhes antes de iniciar os processos, devem ser validados os seguintes pontos: Configurar o servidor com IP fixo em todas as suas interfaces de rede; Configurar o DNS primário da placa de rede para ser o próprio IP do servidor; Caso o servidor tenha mais de uma placa de rede, certificar-se que a placa que vai ser utilizada pelo AD seja a número 1. Após a validação dos itens citados acima, pode ser dada continuidade ao processo de configuração do AD: Para iniciar deve-se abrir o menu iniciar, ir em executar e digitar dcpromo. Na primeira tela do assistente de configuração do AD (figura 3.2), apenas clique em próximo.

30 20 Figura 3.2 Wizard para instalação do AD Na tela seguinte surge um aviso sobre o novo método de criptografia implementado no Windows Server 2008 R2. Na tela seguinte faz-se a seleção da configuração de implantação, o que em 90% dos casos ocorridos na GATI é a criação de um novo domínio em uma nova floresta (uma coleção de domínios). Selecione e avance (figura 3.3). Figura 3.3 Criação de um Domínio. Em seguida determina-se o nome da floresta, adicionando o a extensão.local. Como por padrão na GATI utiliza-se para nome da floresta o nome da empresa contratante (ou outro nome, caso seja solicitado pela mesma). Na tela seguinte é feita a definição do nível de especificação da floresta; o nível definido deve poder ser implementado em toda a empresa, e para isso deve-se levar em consideração o porte de hardware do cliente. Na próxima janela seleciona-se DNS Server e prossiga (figura 3.4).

31 21 Figura 3.4 Selecionar a opção DNS Server. Em seguida define-se onde serão gravadas as pastas Logs, Database e SYSVOL. Por padrão o Windows já especifica um local no disco C: (figura 3.5). Figura 3.5 Definição dos diretórios e pastas. Na página seguinte configura-se uma senha para acessar o AD no modo de reparação, esta senha pode ser modificada posteriormente. Após todos os processos descritos chega-se então à tela que apresenta o resumo das configurações selecionadas no decorrer do processo. Deve-se fazer a conferência dos itens e clicar em avançar para iniciar a instalação (Figura 3.6).

32 22 Figura 3.6 Resumo das configurações. Após finalizar a instalação, o assistente será encerrado e o servidor reiniciado. Feito isso é só verificar os logs de instalação para ver se tudo foi aplicado corretamente e encerrar o processo de criação do AD DEFINIÇÃO DE POLÍTICAS DE SEGURANÇA A chamada Group Policy (GPO) é uma importante ferramenta de administração de rede, com ela obtem-se um controle total de um parque de máquinas com muita simplicidade e praticidade. A política de grupo é capaz de mudar configurações, restringir ações ou até mesmo distribuir aplicações em seu ambiente de redes. Para utilizar-se das mesmas, basta ter configurado um Active Directory no ambiente onde ela será criada. Após a criação de um AD no ambiente de um cliente são definidas as políticas de segurança, em função das necessidades do mesmo e dos requisitos de segurança por parte dos seus administradores. A criação de uma GPO é simples e ocorre da seguinte forma: No servidor onde se encontra o AD, abrir o menu iniciar, avance até painel de controle, Ferramentas administrativas, gerenciamento de diretivas. Abrir o domínio desejado e localizar a GPO Diretiva padrão de domínio; esta política é criada por padrão quando é feita a instalação do AD e ela funciona como base para o domínio.

33 23 Selecionar e abrir para edição. Dentro da GPO pode-se escolher diversos itens de administração, conforme a necessidade do local onde a mesma está sendo aplicada. Por exemplo, em uma empresa metalúrgica é possível via GPO, bloquear o prompt de comando dos computadores da linha de produção, evitando assim que pessoas mexam no que não estão autorizadas. Para executar a GPO, escolhe-se o item que tenha sido requerido pela empresa e o ativa. As GPOs não se aplicam automaticamente, elas possuem um agendamento para serem aplicadas. Quando há necessidade de que a alteração seja aplicada na hora, é necessário fazer uma atualização forçada via prompt de comando digitando o seguinte comando: gpupdate /force CONFIGURAÇÃO DE PERFIL MÓVEL Em algumas empresas uma mesma pessoa trabalha em mais de uma máquina, e por isso exige-se que seus documentos estejam disponíveis no local em que ela estiver trabalhando. Quando configurado um AD deve-se fazer também a implementação de perfis móveis. Um perfil móvel é armazenado em qualquer local da rede e copiado para o computador local quando o usuário faz logon. Independente do computador no qual o usuário faz logon, o perfil móvel é usado. Quando o usuário faz logoff, quaisquer alterações feitas no perfil dele são salvos na cópia da rede. São criados dois tipos de perfil, um perfil padrão, chamado Default User, para que toda vez que um novo usuário seja inserido na empresa ele já tenha um perfil configurado (levando em conta que este perfil funcionará somente para usuários que ainda não efetuaram nenhum logon em máquina cliente), e o perfil de cada usuário, para que ele possa trabalhar em outras estações tendo consigo seus documentos e configurações. Para definir o perfil padrão deve-se fazer a seguintes configurações: Criar um usuário modelo no domínio, depois efetuar o logon em uma estação de trabalho com a conta modelo, criando todas as configurações desejadas para servir como modelo para a rede. Após seguir esses passos, deve-se fazer o logoff da conta de usuário modelo e efetuar o logon com a conta do Administrador local da

34 24 estação de trabalho, seguir até o painel de controle, acessar a opção sistema, clicar na guia avançado, e na seção perfil de usuários clicar no botão de configurações. Aparecerá uma caixa de diálogo chamada de perfil de usuário, selecionar o perfil modelo, e clicar no botão copiar para. Após entrar nessa nova caixa de diálogo digite no campo copiar perfil para o caminho para a rede e em permissões, clique no botão alterar e defina o grupo Todos, para que todos possam acessar o perfil modelo. Para finalizar basta clicar em OK. (figura 3.7). Figura 3.7 Copiando perfil modelo. Deve-se atentar para salvar o perfil modelo com o nome Default User, pois quando um usuário efetuar o primeiro logon em uma estação de trabalho o sistema operacional automaticamente irá procurar o perfil Default User no compartilhamento NETLOGON do servidor, caso ele exista o perfil será copiado do compartilhamento, caso contrário será copiado o perfil Default User da máquina local. Para a criação do perfil móvel deve-se entrar no servidor do AD e ir à caixa de diálogo de Propriedades em vários objetos, clicar na guia perfil e selecionar a opção caminho de perfil e digitar o caminho para o perfil e clicar em ok. Com isso ficamos com os perfis de todos os usuários salvos na rede podendo assim executar backups periódicos, e usá-los eventualmente se houver necessidade de formatação ou houver problemas com a máquina local ISOLAMENTO DE DOMÍNIO O isolamento do domínio impõe uma política de rede, que requer computadores que sejam membros do domínio para aceitar pedidos de comunicação de

35 25 entrada, aceitando pedidos somente de computadores que podem se autenticar com as credenciais do domínio. Em uma implantação simplificada de isolamento de domínio, devem-se configurar as regras de segurança de conexão que definem tipos específicos de tráfegos e como o tráfego será tratado. Sua configuração ocorre em forma de GPO, como descrito no item As regras são definidas e aplicadas ao grupo de hosts pertencentes ao domínio. Depois de aplicadas as diretivas de isolamento, os hosts que não fazem parte do domínio não poderão se comunicar com hosts que estão isolados, sendo válida a ligação de forma inversa. Em termos o isolamento de domínio, funciona da forma representada na figura 3.9. Figura 3.8 Domínio Isolado (Fonte: Na figura observa-se que só é possível a comunicação de host isolado para host isolado ou host isolado para host não-isolado. Uma tentativa de conexão entre host não-isolado com host isolado seria descartada.

36 SUPORTE DE HARDWARE E SOFTWARE O processo de suporte compreende a identificação e solução de problemas reportados pelos clientes tanto internos quanto externos, podendo ser esses problemas tanto de nível de hardware quanto de software. Para soluções de problemas necessita-se do conhecimento em diversas ferramentas de trabalho dos colaboradores da GATI, já que cada colaborador utiliza diversas aplicações para efetivação de seu trabalho. Algumas ferramentas costumeiramente utilizadas pelos colaboradores são: OpenVpn, Team Viewer, pacote do Office, ambientes de programação, Skype, bancos de dados em geral, entre outros aplicativos. Já na parte de hardware é necessário saber resolver apenas questões mais básicas, como substituição de peças e teste das mesmas. Já que problemas mais sérios são resolvidos por parceiros. O processo de suporte ocorre da seguinte forma: o usuário abre o chamado, reportando na descrição do mesmo o problema que está acontecendo. Após a abertura a pessoa responsável recebe um informando sobre a abertura do chamado. Os chamados são atendidos por ordem de chegada ou levando em consideração a sua prioridade, como ilustrado na figura Nesta situação foi dada prioridade ao chamado 2357, pois devido ao problema de inicialização do Windows reportado, tinha-se um funcionário parado sem faturar, o que gera perda de rendimento. Já os demais chamados foram atendidos por ordem de abertura CASOS COMUNS DE CHAMADOS Um dos tipos mais comuns de chamados envolve a instalação de aplicativos em máquinas de colaboradores. Como se pode notar na figura 3.9, foram abertos três chamados com relação à instalação de aplicativos no caso dos chamados 2353, 2358 e As mesmas instalações devem ser feitas por alguém da área de infra-estrutura, já que o domínio impede que qualquer aplicativo seja instalado sem conhecimento nosso. Com isso evitamos a instalação de jogos e outros aplicativos que possam tirar rendimento dos colaboradores no horário de serviço.

37 27 Figura 3.9 Portal de chamados GATI (GPS). (Fonte: Outro tipo de chamado comum é o de liberação de Internet, como liberação para acesso a um endereço IP de cliente, ou alguma página de interesse profissional, assim também como liberação de Internet para visitantes (entende-se por visitantes clientes que vêm para ter reuniões dentro da própria sede da GATI). 3.4 ADMINISTRAÇÃO DE SERVIDORES LINUX CENTOS O CentOS é uma versão gratuita do Red Hat Enterprise Linux((RHEL) que é um sistema operacional usado em ambientes corporativos, mais precisamente em servidores) gerado a partir do código fonte disponibilizado pela Red Hat e mantido de forma bastante competente por um grupo de desenvolvedores. O CentOS possui um excelente histórico de segurança e conta com uma boa estrutura de suporte comunitário e atualizações pontuais de segurança, qualidades que o tornam uma das distribuições Linux mais populares em servidores. Por ser um sistema gerado a partir do código fonte do Red Hat, garante-se que os dois sistemas sejam