“jÚlio de mesquita filho” ilha solteira · figura 36 tela de teste de velocidade do link de...

Ilha SolteiraIlha Solteira

UNIVERSIDADE ESTADUAL PAULISTA

“JÚLIO DE MESQUITA FILHO”

Câmpus de Ilha Solteira - SP

Ápio Carnielo e Silva

GERENCIAMENTO INTEGRADO DE REDE LOCAL COM

SOFTWARE LIVRE

Ilha Solteira

2014

ÁPIO CARNIELO E SILVA

GERENCIAMENTO INTEGRADO DE REDE LOCAL

COM SOFTWARE LIVRE

Dissertação apresentada à Faculdade deEngenharia do Câmpus de Ilha Solteira- UNESP como parte dos requisitos paraobtenção do título de Mestre em Engen-haria Elétrica.Especialidade: Automação.

Prof. Dr. Sérgio Azevedo de Oliveira

Orientador

Ilha Solteira

2014

FICHA CATALOGRÁFICA

Elaborada pela Seção Técnica de Aquisição e Tratamento da InformaçãoServiço Técnico de Biblioteca e Documentação da UNESP - IlhaSolteira.

Silva, Ápio Carnielo e.S586p Gerenciamento integrado de rede local com software livre-

/ Apio Carnielo e Silva. - Ilha Solteira : [s.n.], 2014142 f.:il.

Dissertação (mestrado) - Universidade Estadual Paulista.Faculdade deEngenharia de Ilha Solteira. Área de Conhecimento: Automação, 2014

Orientador: Sérgio Azevedo de Oliveira

Inclui bibliografia

1. Rede de computadores. 2. Interface gráfica. 3. Gerenciamento integrado.4. Software livre.

À minha família, em especial aos meus pais Marinho e Ondina, ao meu irmão

Álvaro por todo amor, apoio, confiança e incentivo em todos osmomentos.

AGRADECIMENTOS

Agradeço a Deus por estar sempre ao meu lado, me dando forças para superar todos os

obstáculos com muita saúde.

Ao Professor Sérgio Azevedo de Oliveira, pela orientação, dedicação, paciência e incentivo.

À minha família, em especial aos meus pais Marinho e Ondina e ao meu irmão Álvaro pelo

amor e apoio incondicional para que este trabalho fosse concluído.

Aos amigos do Departamento de Engenharia Elétrica da UNESP Câmpus de Ilha Solteira,

por suas amizades e apoio, em especial ao amigo Ricardo Frangiosi de Moura, que foi um

grande irmão para mim.

A todos os funcionários do Departamento de Engenharia Elétrica da UNESP Câmpus de

Ilha Solteira, em especial à Luzinete Maria de Oliveira, Marcos Renato da Silva Junior, Rafael

Estéfano Vicentini e Deoclécio Mitsuiti Kosaka pelo suporte técnico e pela amizade.

Aos meus amigos de trabalho, não menos importantes, João Iron, Adriano, Vlademir, Pe-

dro, Edilson, Domisley, Shigueo, Edilton, Fernando (Animal), Andréa, Marcão, Marcos Furini,

Carlos Febres, Cuiabá, Max, Maria Eliza, Renan, Pedro, Curintinha e todos aqueles que con-

viveram dia-a-dia com as dificuldades encontradas em meu trabalho além de propiciar bons

momentos em nossa convivência.

Ao Programa de Pós Graduação em Engenharia Elétrica, da UNESP Câmpus de Ilha Solteira,

pelo suporte técnico e de infraestrutura para realização deste trabalho.

Meus agradecimentos a todos os familiares, amigos, professores e funcionários da UN-

ESP Câmpus de Ilha Solteira, que direta ou indiretamente contribuíram para a realização deste

trabalho.

“O homem não morre quando deixa de viver,

mas sim quando deixa de amar.”

Anônimo

RESUMO

Neste trabalho foi desenvolvido uma interface gráfica denominadaSilent Security Monitor(SSM) para uso via web, utilizando-se as linguagensshell scripte PHP, com o objetivo dedescentralizar o gerenciamento da rede em subdomínios, delegando responsabilidades parausuários previamente autorizados e que tenham um mínimo de conhecimento técnico sobreo assunto. A interface SSM foi feita com a integração de diferentes recursos computacionaisde domínio público para facilitar a configuração e monitoração dos serviços necessários emum servidor de rede, tais como:firewall, DHCP,squid/proxy, DNS, e-mail, dentre outros. Nodesenvolvimento da ferramenta utilizou-se uma estratégiamodular, que facilita o uso e permitea inclusão de novos módulos posteriormente. Cada módulo desenvolvido apresenta ícones, queacionados, executam embackgroundgatilhos em forma descripts. Estes por sua vez, executamcomandos apropriados para as finalidades específicas de cadaserviço associado ao ícone. To-das os serviços disponíveis na ferramenta possuem um texto auto-explicativo que detalha a suaforma de utilização. A ferramenta foi totalmente desenvolvida com software livre e o acesso aoseu código permite alterações de acordo com as necessidadesdo usuário.

Palavras-chave:Redes de computadores. Interface gráfica. Gerenciamento integrado. Soft-ware livre.

ABSTRACT

We have developed a graphical interface called Silent Security Monitor (SSM) for use by theweb using the PHP languages and shell script, with the aim of decentralizing the managementof the network into subdomains, delegating responsibilities to pre-authorized users and havea minimum of technical knowledge on the subject. The SSM interface was made with theintegration of different computational resources in the public domain for easy configuration andmonitoring necessary services on a network server, such as firewall, DHCP, squid/proxy, DNS,email, among others. In developing the tool we used a modularstrategy that facilitates theuse and allows the addition of new modules later. Each moduledeveloped displays icons thattriggered, running in the background triggers in the form ofscripts. These in turn performingappropriate for the specific purposes of each service associated with the icon commands. Allservices available in the tool have a self explanatory text detailing the method of use. Thetool was developed entirely with open source software and allows access to your code changesaccording to user needs.

Keywords: Computer networks. GUI. Integrated management. Free software.

LISTA DE FIGURAS

Figura 1 Ilustração do sistema operacional como interface entre o usuário e os recursos

do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Figura 2 Esquema genérico de um servidorproxy. . . . . . . . . . . . . . . . . . 23

Figura 3 Visão do sistema SARG. . . . . . . . . . . . . . . . . . . . . . . . . . 25

Figura 4 Visão da tela de Acesso Negado.. . . . . . . . . . . . . . . . . . . . . 33

Figura 5 Visão da tela de configuração doproxyno SO Linux. . . . . . . . . . . . . 35

Figura 6 Visão da tela de configuração doproxyno SO Windowsc©. . . . . . . . . . 35

Figura 7 Tela de configuração gerada pelo MRTG.. . . . . . . . . . . . . . . . . 38

Figura 8 Gráficos gerados pelo MRTG.. . . . . . . . . . . . . . . . . . . . . . . 40

Figura 9 Funcionamento do servidor DHCP.. . . . . . . . . . . . . . . . . . . . 47

Figura 10 Esquema das etapas de uma gerência de rede.. . . . . . . . . . . . . . . 57

Figura 11 Quatro elementos que devem estar presentes na rede.. . . . . . . . . . . . 58

Figura 12 Elementos de uma rede com SNMP.. . . . . . . . . . . . . . . . . . . . 63

Figura 13 Funcionamento da relação de um agente com o objeto a ser gerenciado. . . . 64

Figura 14 Árvore MIB parcial a partir da raiz. . . . . . . . . . . . . . . . . . . . . 65

Figura 15 Modelo de comunicação entre gerente e agente usando SNMP.. . . . . . . 67

Figura 16 Esquema da visão geral do NRPE.. . . . . . . . . . . . . . . . . . . . . 69

Figura 17 Esquema da checagem direta.. . . . . . . . . . . . . . . . . . . . . . . 70

Figura 18 Esquema da checagem indireta.. . . . . . . . . . . . . . . . . . . . . . 70

Figura 19 Ilustração de umfirewall. . . . . . . . . . . . . . . . . . . . . . . . . . 71

Figura 20 Diagrama do funcionamento doiptables . . . . . . . . . . . . . . . . . . 77

Figura 21 Diagrama de blocos ilustrativo da ferramenta SSM.. . . . . . . . . . . . 85

Figura 22 Tela login para acessar a interface SSM.. . . . . . . . . . . . . . . . . . 86

Figura 23 Tela principal da interface SSM.. . . . . . . . . . . . . . . . . . . . . . 86

Figura 24 Tela de serviços dofirewall. . . . . . . . . . . . . . . . . . . . . . . . . 88

Figura 25 Tela de configuração dos endereços de IP’s das placas de redes, gatewaye

DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Figura 26 Tela de configuração dos endereços de IP das placas de redes externa e in-

terna. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

Figura 27 Tela de configuração do endereço de IP da placas de rede interna. . . . . . . 91

Figura 28 Tela de configuração do endereço de IP da placa de rede externa. . . . . . . 91

Figura 29 Tela de configuração do endereço degateway. . . . . . . . . . . . . . . . 92

Figura 31 Funcionamento do servidor DHCP.. . . . . . . . . . . . . . . . . . . . 94

Figura 32 Tela de configuração das funcionalidades dosquid. . . . . . . . . . . . . . 96

Figura 30 Tela de configuração dos endereços de DNS.. . . . . . . . . . . . . . . . 101

Figura 33 Tela de Relatórios internet, rede local, memória e processamento, status do

disco rígido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Figura 34 Gráfico gerado pelo MRTG.. . . . . . . . . . . . . . . . . . . . . . . . 102

Figura 35 Tela de configuração do serviçobandlimit. . . . . . . . . . . . . . . . . . 103

Figura 36 Tela de teste de velocidade dolink de internet. . . . . . . . . . . . . . . . 104

Figura 37 Testando a velocidade da conexãoDownload. . . . . . . . . . . . . . . . 105

Figura 38 Testando a velocidade da conexãoUpload. . . . . . . . . . . . . . . . . . 105

Figura 39 Tela do módulo de monitoramento da rede.. . . . . . . . . . . . . . . . 106

Figura 40 Tela das informações do computador cadastrado no Nagios.. . . . . . . . 107

Figura 41 Tela com informações gerais do computador monitorado.. . . . . . . . . . 107

Figura 42 Tela com mais detalhes sobre o computador monitorado.. . . . . . . . . . 108

Figura 43 Tela de cadastro do computador no Nagios.. . . . . . . . . . . . . . . . 109

Figura 44 Tela de cadastro de roteador,switchou impressora no Nagios. . . . . . . . 110

Figura 45 Tela de monitoramento do Nagvis.. . . . . . . . . . . . . . . . . . . . . 115

Figura 46 Tela de monitoramento do Cacti. . . . . . . . . . . . . . . . . . . . . . 116

Figura 47 Tela para mudar a senha do usuário admin.. . . . . . . . . . . . . . . . . 117

Figura 48 Tela com os botões para reiniciar ou desligar o servidor remotamente. . . . 118

Figura 49 Tela delogin do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . 126

Figura 50 Tela de alteração do endereço das placas de redes interna e externa. . . . . . 127

Figura 51 Tela configuração da placa de rede.. . . . . . . . . . . . . . . . . . . . 127

Figura 52 Tela em que o usuário irá preencher os valores dos endereços IP, máscara de

rede e classe de IP.. . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Figura 53 Acessando a opção para configurar os endereços de DNS.. . . . . . . . . 128

Figura 54 Tela de configuração das opções dofirewall. . . . . . . . . . . . . . . . . 130

Figura 55 Tela de configuração para cadastrar um computador na rede atrelado ao en-

dereço MAC da placa. . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Figura 56 Tela Principal do Sistema.. . . . . . . . . . . . . . . . . . . . . . . . . 133

Figura 57 Tela de Monitoramento.. . . . . . . . . . . . . . . . . . . . . . . . . . 134

Figura 58 Tela de cadastro do computador no Nagios.. . . . . . . . . . . . . . . . 135

LISTA DE TABELAS

Tabela 1 Comparativo de preços de instalação e mão de obra. . .. . . . . . . . 52

Tabela 2 Operações do SNMP - Códigos da PDU.. . . . . . . . . . . . . . . . . . 67

Tabela 3 Operações do SNMP - Códigos de erros.. . . . . . . . . . . . . . . . . . 68

Tabela 4 Tabela de tratamento dos pacotes.. . . . . . . . . . . . . . . . . . . . . 72

Tabela 5 Tabela de regras das cadeias doiptables. . . . . . . . . . . . . . . . . . . 73

Tabela 6 Tabela de ações a serem realizadas nos pacotes analisados.. . . . . . . . . 73

Tabela 7 Tabela de comandos para manipular regras dofirewall. . . . . . . . . . . . 74

Tabela 8 Parâmetros para utilizar as regras nos comandos:add, delete, insert, replace

eappend. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

LISTA DE SIGLAS E ABREVIAÇÕES

CPU Central Process Unit

CUGA Central Unificada de Gerenciamento de Ameaças

DHCP Dynamic Host Configuration Protocol

DNS Domain Name System

FTP File Transfer Protocol

GNU General Public License

GPL Gnu Public License

HD Hard Disk

HTML HyperText Markup Language

HTTP Hyper Text Transfer Protocol

HTTPS Hyper Text Transfer Protocol Secure

IAB Internet Activities Board

ICMP Internet Control Message Protocol

IP Internet Protocol

ISO International Organization for Standardization

kB Kilobytes

MAC Media Access Control

MB MegaBytes

MIB Management Information Base

MRTG Multi Router Traffic Grapher

NAT Network Address Translation

NOC Network Operation Center

NRPE Nagios Remote Plugin Executor

OID Object Identifier

PPOE Point-to-Point Protocol over Ethernet

PDU Protocol Data Unit

RAM Randon Access Memory

RPC Remote Procedure Call

SGMP Simple Gateway Management Protocol

SNMP Simple Network Management Protocol

SO System Operation

SSL Secure Socket Layer

UDP User Datagram Protocol

SUMÁRIO

1 INTRODUÇÃO 16

2 SISTEMA OPERACIONAL LINUX E OUTROS SOFTWARES LIVRES 18

2.1 CARACTERÍSTICAS DO LINUX 18

2.1.1 Kernel do Linux 20

2.1.2 Licença do Linux 21

2.1.3 Distribuições Linux 22

2.2 SERVIDORES LINUX 22

2.2.1 ServidorProxy/Squid 23

2.2.1.1 Criando o arquivo de configuração básica 27

2.2.1.2 Configurando a função cache do squid 29

2.2.1.3 Configurando a cache 30

2.2.1.4 Configurando as restrições de acesso 31

2.2.1.5 Configurando o proxy transparente 34

2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 36

2.4 CONFIGURANDO E INSTALANDO O SARG 41

2.5 BANDLIMIT 44

2.6 CONFIGURAÇÃO DO SERVIDOR DHCP 46

2.6.1 Detalhes da Configuração do Servidor DHCP 48

2.7 EXEMPLO DE UMFIREWALLUSANDO IPTABLES 49

2.8 LINUX E SERVIDORES 51

3 GERÊNCIA DE SERVIÇOS E DE REDES 55

3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE 56

3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 58

3.2.1 A Relevância do Gerenciamento de uma Rede 59

3.3 PROTOCOLO SNMP -SIMPLE NETWORK MANAGEMENT PROTOCOL 62

3.3.1 Funcionamento do Protocolo SNMP 63

3.3.2 Operações Realizadas pelo Protocolo SNMP 66

3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR 68

3.4.1 Características do NRPE 68

3.4.2 Formas de Checagens do NRPE 69

3.5 FERRAMENTAIPTABLES 70

3.5.1 Funcionamento doIptables 72

3.5.2 Cadeias /Chainsdo Iptables 73

3.5.3 Políticas de Trabalho doIptables 73

3.5.4 Listando as Regras doIptables 75

3.5.5 Bloqueando Portas 76

3.5.6 Apagando uma Regra noIptables 76

3.5.7 Funcionamento doIptables 77

3.5.8 Estratégia para Montagem de umFirewall Eficiente 78

4 FERRAMENTA PROPOSTA PARA UM GERENCIAMENTO INTEGRADO 81

4.1 FERRAMENTAS EXISTENTES 81

4.1.1 Sistema IPCOP 81

4.1.2 Sistema Endian Firewall 82

4.1.3 Sistema pfSense 82

4.1.4 Sistema Smoothwall 83

4.2 FERRAMENTA PROPOSTA 84

4.2.1 Firewall 87

4.2.2 Alteração de IP 89

4.2.3 Configuração DHCP 94

4.2.4 Configuração doSquid/Proxy 95

4.2.5 Relatórios 100

4.2.6 Controle Largura da Banda 103

4.2.7 Medidor de Velocidade 104

4.2.8 Monitoramento da Rede 105

4.2.9 Cadastrando Equipamentos no Nagios 108

4.2.10 Nagvis 114

4.2.11 Cacti 115

4.2.12 Alterar Senha 116

4.2.13 Desligar/Reinicializar 117

4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRA-

MENTA SSM 118

4.3.1 Roteiro para Instalação da SSM. 119

5 RESULTADOS E DISCUSSÕES 123

5.1 ESTUDO DE CASO 1 123



6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS 136

REFERÊNCIAS 138

16

1 INTRODUÇÃO

De acordo com Freitas (2010), atualmente com a evolução da tecnologia, é totalmente

desnecessário ressaltar a importância de uma estratégia para as empresas, no que diz respeito

à agilidade no fluxo de informações. Essa agilidade tem relação direta com a produtividade e

com a tomada de decisões. As organizações que possuem acessoàs informações de uma forma

privilegiada, consequentemente conhecem a melhor forma deusá-las, e por isso têm maiores

chances de ganhar o jogo na competição pelo mercado.

Por exemplo, pode-se citar a internet que com seu surgimento, aumentou também o fluxo

de informação gerada nas empresas. O cenário da internet nosdias de hoje inspira e possibilita

a criação de diversas tecnologias, atendendo as mais diversas necessidades, o que contribui para

que a rede mundial ganhe cada vez mais importância nas soluções para o mundo computa-

cional e que as novas tecnologias utilizem essa gama de possibilidades que o uso da internet

proporciona.

Com a popularização da internet, há uma grande preocupação de como manter segura a

informação, e existem vários programas voltados para a segurança da informação, sejam eles

proprietários ou livres. Muitos administradores de rede usam o Sistema Operacional Linux para

realizar a proteção da informação, uma vez que com este sistema, pode-se configurar diversos

serviços necessários na administração de uma rede, além da vantagem do código ser aberto

(livre), diferente dos sistemas proprietários.

Além do acesso às informações e de como essa informação é trabalhada, é ainda necessário,

possuir mecanismos eficientes para distribuição das mesmas, de forma rápida e segura através

da internet. Logo, com isso, ocorre uma simplificação e uma melhor interação do usuário,

tornando fácil o acesso a aplicações e informações, sem importar o seu local de armazenamento.

A internet auxilia no processo de descentralização das informações, na distribuição de dados e

no desenvolvimento de aplicações.

De acordo com Ball e Duff (2004), para controlar todo o tráfego da informação pode-se

utilizar computadores que fazem a função de servidores; seja servidores de alta disponibilidade,

de internet, de arquivos, de DNS, deproxy, dentre outros. Para controlar esses tipos de servi-

dores, pode-se utilizar o sistema operacional Linux, que por muitos usuários, é considerado

muito difícil de ser usado, além de ser pouco conhecido, sendo mais utilizado por empresas de

grande porte, provedores de internet e órgãos governamentais.

Um dos problemas existente é que para configurar um servidor,normalmente, é necessário

1 INTRODUÇÃO 17

utilizar longas linhas de comandos, o que acaba sendo difícil para um usuário que não tem

muita experiência em configurar servidores com Linux, ou seja, exige-se do administrador de

rede um bom conhecimento de comandos avançados. Fato este que poderia ser facilitado com

a utilização de um ambiente gráfico amigável para a realização desta tarefa.

Por isso, este trabalho tem como objetivo criar uma interface gráfica para centralizar a

configuração e monitoração dos principais tipos de serviçosem um servidor Linux, via web, ao

invés de utilizar extensas linhas de comandos via terminal.

Neste trabalho foram utilizadas as linguagensshell script Jargas (2008) ePHP Tucows

(2013) para automatizar a configuração de serviços configurados no servidor, tais como:Fire-

wall, DHCP,squid/proxy, DNS, e-mail, dentre outros serviços. Como exemplo, pode-se citar

a configuração do serviço DHCP que pode ser automatizada através de umscript que é execu-

tado embackgroundquando o administrador preenche campos com informações prévias numa

interface gráfica.

Outras aplicações desenvolvidas são diferentesscriptspara cada configuração de serviço,

ou seja:Firewall (bloqueio/desbloqueio e redirecionamento de IP’s e portas), squid/proxy(cache,

bloqueio/desbloqueio de páginas), DNS, configuração de IP’s, monitoramento da máquina via

MRTG Oetiker (2006), dentre outros serviços.

Neste trabalho serão abordados os seguintes tópicos:

a) no capítulo 2 é feita uma análise histórica sobre o surgimentos e as características do sis-

tema operacional Linux; além da apresentação de todossoftwareslivres utilizados neste

trabalho;

b) no capítulo 3 é feita uma abordagem sobre os conceitos, os tipos de gerências e serviços

de redes, módulos funcionais de gerência e os protocolos queserão utilizados no sistema;

c) no capítulo 4 é apresentado a interface gráficaSilent Security Monitore suas funcionali-

dades;

d) no capítulo 5 são apresentados resultados e discussões dedois estudos de casos, ambos

utilizando a configuração de serviços por linhas de comandose também utilizando a in-

terface gráfica proposta;

e) no capítulo 6 são apresentadas as conclusões e sugestões para trabalhos futuros.

18

2 SISTEMA OPERACIONAL LINUX E OUTROS SOFTWARES LIVRES

Neste capítulo são abordados as principais características do sistema operacional (SO)

Linux, bem como apresentadas as caractrísticas de alguns outros softwaresutilizados neste

trabalho.

2.1 CARACTERÍSTICAS DO LINUX

De acordo com Bokhari (1995), em pesquisas realizadas em diversos provedores de serviços

e datacentersmundiais, constatou-se que o Linux é o SO para servidor mais popular e mais

usado no mundo. O servidor Linux, que antes era apenas uma segunda opção, passou a ser a

primeira opção de escolha no provimento de muitos serviços para tecnologia da informação.

Mas, o crescimento no uso do Linux possui relação direta com ocrescimento da internet,

e isto não é por acaso. As características deste SO criado porLinus Torvalds, fazem com que

ele seja extremamente seguro e a escolha preferida para o fornecimento de serviços de internet.

Há muito tempo, os usuários que desejam criar um servidor de internet,squid, proxy, DNS ou

e-mail nem cogitam em usar outro sistema operacional que nãoseja o Linux, uma vez que hoje,

a gama de serviços fornecidos por ele cresceu muito em quantidade e qualidade.

Segundo Machado e Maia (2007), um SO, possui diversas funções mas que podem ser

resumidas em duas:

a) facilidade de acesso aos recursos:consiste em ser totalmente transparente ao usuário a

maneira como funciona um computador, ou seja, para um usuário não importa como um

arquivo que está em umpendriveserá lido, mas sim que o mesmo será lido. Resumindo,

um usuário não precisa saber como será realizada essa ação e suas inúmeras etapas.

Logo, pode-se resumir que um SO é uma interface entre o usuário e os recursos disponíveis

no sistema (Figura 1), sendo totalmente transparente ao usuário e tornando o trabalho do

mesmo mais eficiente e com menor chance de ocasionar erros;


Figura 1 -Ilustração do sistema operacional como interface entre o usuário eos recursos do sistema.

Usuários

Sistema Operacional

Hardware

programadorese analistas

usuários programassistemas eaplicativos

memória

monitores

pendrive

discos

impressoras

UCP

Fonte: Adaptado de Machado e Maia (2007)

b) compartilhamento de recursos de forma organizada e protegida: Consiste na pos-

sibilidade de vários usuários poderem compartilhar os mesmos recursos de um sistema,

como por exemplo memória, discos ou outros periféricos presentes na máquina de forma

protegida e segura, necessário para que um usuário ao ter acesso a um recurso da máquina

não interfira no trabalho do outro que está compartilhando o recurso.

Além disso o compartilhamento de recurso permite dentre outras possibilidades a diminuição

de investimento em recursos, pois a medida que vários usuários possam acessar um re-

curso de forma concorrente, não será necessário a aquisiçãode novos produtos, como

por exemplo, em um escritório, caso haja dez computadores e uma impressora, basta

compartilhá-la na rede, e todos os usuários poderão imprimir seus documentos, não neces-

sitando da compra de uma impressora para cada computador do escritório (MACHADO;

MAIA, 2007);

Ainda segundo Machado e Maia (2007), um SO nunca faz nada sozinho, ele apenas está

esperando pelos programas requisitarem certos recursos, acessarem um certo arquivo em disco

ou conectarem-se à internet.


Segundo Bokhari (1995), o Linux foi criado em agosto de 1991,por um jovem estudante

da Universidade de Helsinki localizado na Finlândia chamado Linus Benedict Torvalds que

anunciou em uma lista de discussão na internet que estava criando um sistema operacional

livre. Ele dizia modestamente que seu trabalho era “apenas um passa-tempo”. Em 5 de outubro

de 1991, Linus anunciou a primeira versão “oficial” do Linux.Após alguns anos, este se tornou

um dos mais populares sistemas operacionais disponíveis, sendo continuamente desenvolvido

pelo próprio Linus e por pessoas do mundo inteiro. Desde então, surgiram várias empresas para

dar suporte ao Linux, como a Red Hat Software, a Caldera Systems, a Debian Linux, entre

outras.

O Linux foi inicialmente concebido como uma alternativa aosmais caros sistemas Unix da

época. A primeira versão pública do kernel do Linux (versão 0.02) foi distribuída em 1991 pela

internet juntamente com seu código fonte.

Mesmo sendo um projeto já real, ele ainda não tinha um nome. Inicialmente Torvalds

atribuiu ao projeto o nome deFreax, uma junção de duas palavras do inglêsfree (livre) com

freak(monstruoso, esquisito) e a letraX para indicar que veio do Unix.

Mas foi após o programador Ari Lemmke sugerir a Torvalds que disponibilizasse o projeto

em uma rede de compartilhamento para torná-lo mais acessível ele o hospedou em uma pasta

chamada “Linux” (uma mistura de Linus com Unix), uma vez que Ari não havia gostado do

apelidoFreax, e até hoje essa denominação LINUX é utilizada. Assim como seu mascote, que

foi escolhido em 1996 em uma lista de discussãoLinux-Kernelapós uma sugestão de Linus

Torvalds, acabou sendo acatado a figura de um pinguim com o nome de Tux.

2.1.1 Kernel do Linux

De acordo com Jones (2007), okernelpode ser entendido como um núcleo do SO, o qual

cabe fazer o canal entre ohardwaree ossoftwaresexecutados pelo computador. O que significa

que a junção dokernelmais os softwares (drivers, protocolos de comunicação, dentre outros),

de acordo com suas aplicações, é que forma o SO.

O kernelnão é necessariamente um software de fácil manipulação por um usuário, ou seja,

não se trata de algo tão simples que possa ser instalado e em poucos minutos estar pronto para

o uso, como um programa que para instalá-lo é necessário apenas clicar em avançar, avançar e

fim; o kernelé sim uma base complexa que serve de estrutura para o sistema,atuando sempre

embackground, sendo totalmente transparente ao usuário.

Ainda hoje, novas versões dokernelLinux são lançadas de tempos em tempos, já que o

mesmo é atualizado constantemente pelas melhorias e correções debugs(falhas) e no caso do

SO, para adicionar novos recursos importantes aokernel, principalmente compatibilidade aos

novossoftwaresehardwares(JONES, 2007).


Segundo Jones (2007), cada versão dekernelé representada por quatro números distintos

separados por ponto, como por exemplo a versão 2.6.20-1.2962 em que o primeiro número

indica a versão dokernel, o segundo indica a atualização da versão realizada até o momento,

enquanto que o terceiro número corresponde as revisões menores como a incorporação de drives

e o último número representa as correções de pequenos erros ou patchesde segurança. Anteri-

ormente, a nomenclatura utilizada era da seguinte forma: caso o segundo número fosse ímpar,

significava que aquela distribuição ainda estava em desenvolvimento, ou seja, era uma versão

instável e que estava em fase de testes. Se o número fosse par,indicava que aquela distribuição

já estava estável e pronta para ser disponibilizada para o uso.

2.1.2 Licença do Linux

O Linux foi criado seguindo a licença GPL (Gnu Public License), que consiste em um tipo

de licença que garante que umsoftwarepossa ser distribuído e copiado livremente, juntamente

com seu código fonte, o que possibilita ao usuário realizar mudanças em seu código de acordo

com sua necessidade, levando uma verdadeira legião de programadores a contribuir na criação,

manutenção e atualização do Linux através da internet.

Em outras palavras, no que se refere a programas de código-fonte aberto, há vários tipos de

licenças disponíveis, no entanto, o Linux utiliza a GPL.

Inicialmente ao criar o Linux, Linus Torvalds aplicou uma licença própria, a qual continha

restrições para uso comercial, onde mais tarde, no ano de 1992 foi adotada a licença GPL,

uma vez que o Linux já era utilizado comsoftwareGNU, ou seja, muitos dos aplicativos que

acompanham okernel, como compiladores e editores de textos, foram criados pelaGNU (sigla

recursiva que significa “Gnu is not Unix”; organização dedicada a criação desoftwarelivre), em-

bora o termo mais correto a ser utilizado é Linux, para se referir apenas aokernel(BOKHARI,

1995).

A GPL foi criada pelaFree Software Foundation(organização fundada por Richard Stall-

man) no ano de 1989, mas foi revisada em 1991 para atender determinadas necessidades, resul-

tando na GPLv2, e posteriormente foi atualizada em 2.007 surgindo a GPLv3. Ela é baseada

em algumas formas de liberdade que a entidade defende (GANDI, 1996). São essas:

a) liberdade de executar o programa, para qualquer propósito (liberdade zero);

b) liberdade de estudar como o programa funciona e adaptá-loàs suas necessidades (liber-

dade 1), sendo o acesso ao código-fonte um pré-requisito para este aspecto;

c) liberdade de distribuir cópias de forma que se possa ajudar ao seu próximo (liberdade 2);

d) liberdade de melhorar o programa e liberar os seus aperfeiçoamentos, de modo que toda


a comunidade se beneficie (liberdade 3). Novamente, aqui o acesso ao código-fonte é um

pré-requisito.

Um softwareque não se enquadra em todos estes quesitos, não pode utilizar a GPL.

2.1.3 Distribuições Linux

O Linux é composto por um grande número de programas, logo surgiu a necessidade de

agrupar esses de forma coerente e funcional, e de criar mecanismos que permitissem o seu

gerenciamento, surgindo então a nomenclatura de distribuições Linux, que nada mais é do que

um conjunto de programas que compõem o Linux: okernel, um sistema gerenciador de pro-

gramas e um instalador. Esse conjunto de programas pode ser tão pequeno ao ponto de caber

em um disquete (como por exemplo a distribuiçãocoyote) ou grandes e completas ao ponto

de caber em mais de um CD ou até mais de um DVD (como por exemplo Fedora, Mandriva,

Debian, dentre outros) (BALL; DUFF, 2004).

Por ser distribuído de forma gratuita e com o código-fonte aberto, okernelpossui a van-

tagem de outros programadores poderem modificá-los, criando um sistema operacional cus-

tomizado. E foi isso que aconteceu ao longo dos últimos anos,em que vários grupos ou mesmo

empresas se organizaram e criaram seu próprio sistema operacional baseado em Linux, onde

cada uma delas receberam o nome de “distribuição Linux” ou “distribuição GNU/Linux”.

Atualmente existem várias distribuições Linux, para os mais diversos fins, onde muitas

vezes fazem parte de negócios rentáveis, em que as empresas fornecem por exemplo o sistema

operacional de graça, mas obtém lucro a partir do suporte técnico. Eventualmente que as dis-

tribuições que se destinam ao segmento de usuários domésticos são os mais populares, como

por exemplo tem-se a distribuição Ubuntu (UBUNTU, 2004), Fedora (HAT, 2004), Mandriva

(ISTEAM, 2000), dentre outras.

Por essa grande vantagem de ser um SO aberto, ter o acesso ao seu código fonte, e ter

contribuições de grandes empresas de TI no seu desenvolvimento, como por exemplo a IBM,

Sun Microsystems, Hewlett-Packard e Novell, foi possível transformar o Linux no principal SO

para servidores.

2.2 SERVIDORES LINUX

Como foi dito na seção 2.1, na página 18, o Linux é amplamente utilizado como servidores

nos principais provedores de internet, visto que não se necessita de licença “paga"para poder

usufruir de todas as suas funcionalidades.

Todos os procedimentos que serão explicados abaixo, foram retirados de diversos sítios de


foruns, como por exemplo o sítiohttp://www.vivaolinux. om.br, onde são encontrados

vários artigos e tutoriais para a configuração de diversos tipos de serviços no Linux.

A seguir, será explicado o funcionamento de alguns módulos do Linux utilizados para in-

stalar e configurar um servidor.

(OBS: No decorrer da configuração de alguns módulos, aparecerá o símbolo # que serve

para se colocar comentários no arquivo de configuração.)

2.2.1 ServidorProxy/Squid

Um servidorproxy/squidé um serviço de rede que atua como intermediário na comunicação

entre clientes e servidores de serviços, e geralmente costuma rodar em um servidor que também

tenha serviço defirewall (relacionado com a segurança do sistema). O serviço deproxyserve

basicamente para controlar a navegação em uma rede, recebendo as requisições de um ou mais

clientes e as repassando para os servidores de destino. Esteservidor também tem a função

de realizar o armazenamento dos sítios navegados, tornandodesta forma a navegação mais

rápida e dinâmica (sítios acessados com frequência ficam pré-carregados no servidor e quando

são requisitados abrem-se com maior velocidade, pois já estão armazenados na rede interna

da empresa), além de poder filtrar as requisições realizadaspelos clientes através de palavras-

chaves.

A Figura 2 mostra um modelo genérico de uso dos servidoresproxy. Vale salientar que os

servidoresproxynão irão definir novos protocolos de aplicação, mas sim utilizar as funcionali-

dades dos já existentes.

Figura 2 -Esquema genérico de um servidorproxy.

Internet

ServidorProxy

Hub/Switch

ADSL

RedeInterna

Fonte: Adaptado de Ball e Duff (2004)


Um servidorproxy também pode implementar o NAT (Network Address Translation-

Tradução de Endereço de Rede). O NAT permite que o endereço interno de rede de uma em-

presa seja ocultado na internet. A empresa é representada nainternet como um endereço de IP

(Internet Protocol) não relacionado com os endereços internos.

Segundo Ball e Duff (2004), existem três vantagens em utilizar um servidorproxyna rede.

1. É possível configurar restrições de acesso à internet baseado em horários,login, endereço,

IP do computador, além de bloquear páginas com conteúdos indesejados como: bate

papo, Orkut, sítios pornográficos, dentre outros;

2. Como foi dito anteriormente, a possibilidade da criação de umcache, tornando o acesso

aos sítios mais rápido, postergando investimento em uma conexão mais rápida;

3. A criação delogsde todos os acessos realizados à internet, podendo ser visualizado poste-

riormente usando o sistema SARG(Squid Analysis Report Generator), um programa que

possibilita a visualização doslogsgerados pelosquid, sendo possível saber quem acessou

quais páginas e em que horário. Na Figura 3 é mostrado um exemplo desta visualização

com o uso do SARG.

De acordo com Squid-cache (2013), osquidé um servidorproxyque tem suporte HTTP,

HTTPS, FTP dentre outros tipos de protocolos. Sua função é dereduzir a utilização da conexão,

melhorando assim os tempos de respostas de acesso, através da criação decachedos sites já

acessados, acelerando assim seus tempos de acessos. Ele é composto por apenas um único

pacote, o que torna a sua instalação muito simples. Para instalá-lo, basta seguir os seguintes

passos:1

1. Comoroot, em um SO Ubuntu, use o seguinte comando:

apt-get install squid

Dependendo da distribuição que o usuário estiver usando, o comando pode variar. Por

exemplo, em um S.O. Fedora, um comando análogo é o que segue:

yum install squid

Toda configuração dosquidé realizada no arquivo texto chamadosquid.conf, que é local-

izado em/et /squid.

2. Depois de instalar o pacotesquid, comece renomeando o arquivo original comobackup

com o seguinte comando:

mv /et /squid/squid. onf squid. onf.old

1Neste trabalho, será adotado o editor de texto chamadovim.


Figura 3 -Visão do sistema SARG.

Fonte: Volkov et al. (2009)


3. O próximo passo é criar um arquivo novo com o comando abaixo:

vim squid. onf

e digitar o seguinte texto:

http_port 3128

visible_hostname server

a l all sr 0.0.0.0/0.0.0.0

http_a ess allow all

4. Após salvar o arquivo/et /squid/squid. onf, basta utilizar o seguinte comando para

inicializar o serviço:

servi e squid start

Apenas essas quatro linhas digitadas no novo arquivo de configuração já são suficientes

para que osquid funcione. É a mesma função do primeiro arquivo que foi renomeado, com

uma diferença, o primeiro arquivo contém linhas de comentários de como utilizar e configurar

o squid, além de mais algumas configurações que podem ser ativadas nomesmo. Essas linhas

de comentários são todas ignoradas pelosquid, uma vez que osquidapenas utiliza os valores

defaultdo sistema.

Por isso é mais fácil e aconselhável criar um arquivo vazio e ir inserindo aos poucos as

opções que o usuário deseja trabalhar.

As quatro linhas que foram inseridas no arquivo, fazem as seguintes funções:

a) http_port 3128: indica a porta em que o servidorsquid irá ficar disponível. Essa porta

utilizada, 3128, é a porta definida por padrão, mas pode ser trocada por outra, caso o

usuário necessite. Muitos administradores de redes, utilizam a porta 8080;

b) visible_name server: disponibiliza o nome do servidor, o mesmo que foi definido na

configuração do computador na rede. O nome do computador na rede pode ser visualizado

utilizando o seguinte comando:

hostname

Após utilizar este comando, é retornado na tela o nome do computador.

c) acl all src 0.0.0.0/0.0.0.0e http_access allow all: Estas duas linhas criam regras ou

política de acesso. A linhaacl cria uma política de acesso chamadaall (todos) para todos

os IPs que se seguem, e a segunda linha finaliza por liberar todos os endereços de IP’s

possíveis, a qual permite qualquer computador que esteja nesta rede a utilizar oproxysem

limitações.


Para que seja possível testar oproxy, é necessário realizar uma configuração no navegador

que o usuário está utilizando se não houver nenhumfirewallna rede. Caso haja algumfirewallna

rede, terá de adicionar a seguinte linha de comando a qual iráabrir a porta 3128 na configuração

dofirewall, possibilitando que osquidreceba as conexões da rede.

iptables -A INPUT -i eth0 -p t p --dport 3128 -j ACCEPT

Sendo que a placa de rede eth0, é a placa de rede que distribui ainternet para a rede local

(rede interna).

2.2.1.1 Criando o arquivo de configuração básica

O problema em se utilizar a configuração realizada anteriormente, é que com apenas as qua-

tro linhas oproxynão tem nenhuma segurança, ou seja, ele não teria nenhuma funcionalidade.

Caso utilize o servidorproxyno mesmo servidor de internet, e não tenha nenhumfirewall

configurado, qualquer computador poderá utilizar a internet através doproxy já configurado, o

que em relação a segurança não seria nada aceitável. Logo, oproxydeve ficar acessível apenas

na rede local.

Para melhorar a configuração já criada, será apresentado a seguir algumas implementações

que são feitas no arquivo/et /squid/squid. onf, criando assim uma segurança pela liber-

ação e bloqueio de portas específicas, ao invés de liberar tudo.

http_port 3128

visible_hostname gdh

a l all sr 0.0.0.0/0.0.0.0

a l manager proto a he_obje t

a l lo alhost sr 127.0.0.1/255.255.255.255

a l SSL_ports port 443 563

a l Safe_ports port 80 # http

a l Safe_ports port 21 # ftp

a l Safe_ports port 443 563 # https, snews

a l Safe_ports port 70 # gopher

a l Safe_ports port 210 # wais

a l Safe_ports port 280 # http-mgmt

a l Safe_ports port 488 # gss-http

a l Safe_ports port 591 # filemaker

a l Safe_ports port 777 # multiling http

a l Safe_ports port 901 # swat

a l Safe_ports port 1025-65535 # portas altas


a l purge method PURGE

a l CONNECT method CONNECT

http_a ess allow manager lo alhost

http_a ess deny manager

http_a ess allow purge lo alhost

http_a ess deny purge

http_a ess deny !Safe_ports

http_a ess deny CONNECT !SSL_ports

a l redelo al sr 192.168.1.0/24

http_a ess allow lo alhost

http_a ess allow rede_lo al

http_a ess deny all

Para entender melhor, faz-se a seguir uma breve explicação sobre as modificações realizadas

no arquivo.

As acl’sSSL_ports e Safe_ports servem para limitar as portas de comunicação que po-

dem ser utilizadas através doproxy, que pode ser visto no bloco de comando anterior, no qual

podem ser utilizados vários protocolos e algumas portas altas de comunicação, acima de 1024.

Esse intervalo de portas é muito grande, por isso deve ser especificado em linhas diferentes.

Pode-se também, ao invés de utilizar uma linha para cada porta, agrupar um intervalo de portas

em uma única linha, o que deixará o arquivo de configuração muito menor, como pode ser visto

logo abaixo:

a l Safe_ports port 21 80 443 563 70 210 280 1025-65535

A acl lo alhost que contém o endereço 127.0.0.1 é utilizada para se navegar localmente

no servidor, e a aclrede_lo al, é onde está especificado a faixa de IP juntamente com a

máscara de subrede da rede local.

As duas linhashttp_a ess allow lo alhost ehttp_a ess allow rede_lo al servem

para especificar que os computadores que estiverem na rede especificada, poderão utilizar o

proxy, e a linhahttp_a ess deny all, indica que os computadores que não estiverem rela-

cionados nas regras anteriores não poderão utilizar oproxy.

A sequência das linhas de comando devem ser respeitadas, umavez que osquidas interpreta

na ordem em que são colocadas no arquivo. Se existe uma regra permitindo que um determinado

computador utilize oproxye em seguida tenha uma outra regra bloqueando seu acesso, esta não

terá efeito algum, pois a primeira regra é a que será respeitada, ou seja, o computador terá

acesso aosquid. Como pode ser indicado no exemplo abaixo.

a l redelo al sr 192.168.1.0/24



http_a ess deny rede_lo al

Para alguns sítios oproxypode não funcionar, como por exemplo o sítio da Caixa Econômica

Federal - Conectividade Social, que é utilizado por muitas empresas para o recolhimento do

FGTS. Por isso, deve-se criar regras para que as requisiçõesdirecionadas ao sítio da Caixa

Econômica Federal, seja redirecionada para fora dosquid. Deve ser criada uma acl no arquivo

de configuração dosquid, indicando o sítio que deve ser “liberado” dosquid. Logo, essa linha

de comando deve vir antes das regras que liberam os acessos que venham da rede local, como

mostrado abaixo:

a l site dstdomain sitesliberados

always_dire t allow sites

a l redelo al sr 192.168.1.0/24


http_a ess deny rede_lo al

http_a ess deny all

Onde o arquivositesliberados deve conter o nome dos sítios que devem passar fora do

squid, como por exemplo o sítio da Caixa Econômica Federal.

Todas as modificações realizadas no arquivo de configuração do squid, deve ser reinicial-

izado com o seguinte comando:

servi e squid stop

servi e squid start

Ou pode ser utilizado também o seguinte comando:

servi e squid restart

2.2.1.2 Configurando a função cache do squid

A funçãocachedo squidé muito importante, pois ela otimiza o tráfego da conexão através

de caches, onde as páginas acessadas e os arquivos já acessados são guardados de forma a

fornecer um acesso rápido quando solicitado novamente. Osquid pode ser configurado na

funçãocachede duas maneiras:

a) cacherápida, que utiliza a memória RAM;

b) cachemais lenta, que utiliza o disco rígido como forma de armazenamento.


A cacheda primeira opção é excelente para armazenar arquivos pequenos, como sítios que

serão devolvidos aos usuários quando os mesmos acessarem. Já a cacheutilizando o disco

rígido, é usada para armazenar arquivos maiores, comodownloads, arquivos de atualizações do

Windowsou pacotes de instalação do próprio Linux.

2.2.1.3 Configurando a cache

Para configurar ocache, basta seguir os seguintes passos:

1◦ passo: Configuração da quantidade de memória RAM que será utilizadapara a função

cache, adicionando a seguinte linha no arquivo de configuração dosquid, que irá reservar

por exemplo 60 MB de espaço de memória.

a he_mem 60 MB

Dependendo da quantidade de usuários que irá utilizar oproxy, essa quantidade deverá ser

modificada. A nível de regra, alguns administradores de redes utilizam a seguinte lógica:

caso o servidor não seja dedicado e atenda apenas alguns usuários, pode-se utilizar de

30 a 60 MB da memória RAM, mas se for um servidor dedicado, passa-se a utilizar 1/3

da memória RAM.

2◦ passo: A linha de comandomaximum_obje t_size_in_memory vai determinar o tamanho

máximo do arquivo a ser armazenado nacacheutilizando a memória RAM, e caso o

tamanho exceda, o arquivo será armazenado nacacheutilizando o disco rígido. Por ser

mais rápida acacheque utiliza a memória RAM, os administradores utilizam estacache

para armazenar sítios, figuras e arquivos com o tamanho máximo de 64 kB.

maximum_obje t_size_in_memory 64 KB

3◦ passo: A linha de comandomaximum_obje t_size 16 MB realiza a configuração dacache

utilizando parte do disco rígido, que armazenará os arquivos com tamanhos acima de

64 kb. Por padrão, o tamanho máximo dos arquivos que serão armazenados nacache, são

de 16 MB e o tamanho mínimo é de0 bytes, ou seja, todos os arquivos neste intervalo

serão armazenados. Caso se deseja armazenar arquivos maiores, basta mudar o valor

da linha de16 MB para o valor desejado. Caso seja necessário armazenar um arquivo

de atualização que tenha um tamanho de512 MB, basta utilizar as seguintes linhas de

comandos:

maximum_obje t_size 512 MB

minimum_obje t_size 0 KB


Para evitar que o espaço reservado paracachefique cheio, por padrão, já é configurado

para que quando ela atingir 95% de seu uso, a mesma começa a descartar os arquivos

armazenados até que volte a ter a porcentagem de 90% de uso, como pode ser visto

abaixo:

a he_swap_low 90

a he_swap_high 95

4◦ passo: A cachefísica, que utiliza parte do disco rígido comocache. Essa configuração pode

ser realizada através da opção a he_dir, que é composta por quatro valores. O primeiro

valor/var/spool/squid indica onde será armazenado os arquivos em forma decache.

O segundo valor2048 indica o espaço que será reservado para acacheem disco, medido

em MB. Dependendo do tamanho do disco rígido utilizado, e se ocomputador for um

servidor dedicado, alguns administradores de servidores costumam aumentar esta opção.

O terceiro e o quarto valor são16 e256, que indicam a quantidade de diretório e subpastas

que serão criadas respectivamente. Juntando tudo, a linha de comando fica da seguinte

forma:

a he_dir ufs /var/spool/squid 2048 16 256

Mesmo que não se coloque essa linha, por padrão, uma configuração automática que

utiliza o caminho/var/spool/squid, utilizando um espaço em disco de100 MB para

cache, é configurada.

5◦ passo: Definir onde será armazenado o arquivo delogque será utilizado posteriormente para

verificar as estatísticas de acesso. Para configurar essa opção, é utilizada a seguinte linha

de comando:

a he_a ess_log /var/log/squid/a ess.log

Configurado toda a parte decachedo sistema, é necessário adicionar algumas regras para

limitar o acesso a alguns sítios, aumentando assim a segurança na rede.

2.2.1.4 Configurando as restrições de acesso

Algumas empresas trabalham a ideia de que os funcionários usem a internet apenas para

comunicação, pesquisa e outras atividades relacionadas aoserviço.

Com osquid, é possível bloquear alguns sítios por palavras ou domínios, através de um

parâmetro chamadourl_regex, que permite a criação de regras já vistas anteriormente chamadas

dea l's que podem conter endereços de sítios que podem ser liberadosou bloqueados.


Para se bloquear ou liberar um sítio, é necessário realizar duas etapas. A primeira é a criação

de uma regra chamada -a l - na qual vai especificar os sítios que serão liberados ou bloqueados

através de um arquivo chamadobloqueados ouliberados que conterá os domínios desejados,

e em seguida usa-se o parâmetrohttp_a ess para bloquear ou liberar o acesso a eles, como

demonstrado abaixo:

a l bloqueados url_regex -i "/et /squid/bloqueados"

http_a ess deny bloqueados

Cria-se um arquivo de texto denominadobloqueados com todos os sítios desejados, da

seguinte forma:

orkut. om

www.orkut. om

playboy.abril. om.br

www.fa ebook. om

Uma outra forma de restrição do acesso, é utilizando o parâmetro dstdom_regex, respon-

sável pelo bloqueio de uma forma mais geral, através de palavras chaves, ou seja, caso a palavra

chave seja “terra”, qualquer sítio que contenha esta palavra chave na URL (endereço), será blo-

queado.

Essa forma de bloqueio pode ser feita através da seguinte linha de comando:

a l palavras dstdom_regex "/et /squid/palavras"

http_a ess deny palavras

Cria-se um arquivo denominadopalavras com as palavras chaves que deseja bloquear, da

seguinte forma:

sexo

hat

terra

orkut

vivo

filmes

O grande problema deste tipo de bloqueio, é que ele não realiza nenhuma distinção do sítio

a ser bloqueado, ou seja, ele bloqueará todos os sítios que contenha a palavra armazenada no

arquivopalavras.


Caso o usuário tente acessar algum sítio que esteja bloqueado, o navegador retornará a tela

de aviso apresentada na Figura 4.

Figura 4 -Visão da tela de Acesso Negado.

Fonte: Ball e Duff (2004)

Depois de realizar todas as configurações mencionadas anteriormente, o arquivo de config-

uração ficará da seguinte forma:

http_port 3128

visible_hostname server

error_dire tory /usr/share/squid/errors/Portuguese/

a he_mem 64 MB




a he_swap_low 90

a he_swap_high 95

a he_dir ufs /var/spool/squid 2048 16 256


a l all sr 0.0.0.0/0.0.0.0


a l lo alhost sr 127.0.0.1/255.255.255.255

a l SSL_ports port 443 563


a l Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535





http_a ess allow purge lo alhost

http_a ess deny purge



a l bloqueados url_regex -i "/et /squid/bloqueados"

a l palavras dstdom_regex "/et /squid/palavras"

http_a ess deny bloqueados

http_a ess deny palavras

a l redelo al sr 192.168.1.0/24



http_a ess deny all

2.2.1.5 Configurando o proxy transparente

Na maioria dos que utilizam um servidorproxy, estão empresas que possuem uma grande

quantidade de computadores, e para auxiliar o administrador de rede nesta “árdua” tarefa, existe

o proxytransparente. O mesmo consiste em configurar osquide ofirewall da rede de forma que

o servidorproxyfique “escutando” todas as conexões na porta de comunicação 80. Isto evita

que o administrador tenha que configurar computador por computador ou que algum usuário

tente desabilitar oproxymanualmente.

Caso o administrador queira configurar manualmente os computadores, terá de colocar o IP

do servidorsquidna configuração de rede de cada navegador utilizado pelo usuário, como pode

ser visto nas Figuras 5 e 6, que representam as telas de configuração do sistema operacional

Linux e Windowsc©respectivamente.


Figura 5 -Visão da tela de configuração doproxyno SO Linux.

Fonte: Adaptada de Ball e Duff (2004).

Figura 6 -Visão da tela de configuração doproxyno SO Windowsc©.

Fonte: Adaptada de Ball e Duff (2004).

A função doproxytransparente é interceptar todas as conexões pela porta de comunicação

80 obrigando todos os usuários a passar pelas regras de controle de acesso.


Para que se possa configurar a função deproxytransparente, é necessário que já esteja ativo

o compartilhamento da internet através do módulo NAT, que pode ser ativado, através de três

comandos:

modeprobe iptable_nat

e ho 1 > /pro /sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

O primeiro comando serve para ativar a funçãoiptable_nat, módulo responsável por criar

o roteamento da conexão proveniente da placa que recebe a conexão da internet para as outras

placas de redes locais.

A segunda linha de comando ativa a funçãoip_forward, responsável por encaminhar os

pacotes utilizados pelo móduloiptable_nat

A terceira e última linha de comando, é responsável por direcionar para a internet todos

os pacotes recebidos dos usuários, ou seja, ele passa a ser uma ponte para a conexão externa,

recebendo a função chamada degatewayda rede.

O termoeth0 é a placa de rede que receberá a internet no servidor. Este comando com-

partilhará a conexão que está chegando no servidor com as outras placas de redes que estão

conectadas ao servidor, por isso não é necessário especificar as placas de redes locais.

Já configurado, o servidor está pronto para ser habilitado a função deproxy transparente,

bastando apenas digitar a seguinte linha de comando:

iptables -t nat -A PREROUTING -i eth0 -p t p --dport 80 -j \

REDIRECT --to-port 3128

Para ativar o suporte ao módulo doproxy transparente, dentro do arquivo de configuração

do squid, é necessário apenas adicionar a linha de comandohttp_port 3128 transparent

no lugar dehttp_port 3128.

Feito isso, basta apenas reiniciar o serviço com o seguinte comando:

servi e squid reload

2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER

Segundo Oetiker (2006) o MRTG (Multi Router Traffic Grapher) é uma ferramenta de

monitoramento que gera páginas HTML com gráficos de dados coletados a partir do protocolo

SNMP e é amplamente conhecido, principalmente pelos administradores de redes.


Algumas características do MRTG são:

a) medição de dois valores, no caso de tráfego podem ser entrada e saída;

b) leitura via SNMP ou através descript que retorne um formato padrão;

c) coleta de dados a cada cinco minutos por padrão, mas o tempopode ser aumentado de

acordo com a necessidade do administrador de rede;

d) criação de uma página HTML com quatro gráficos (diário, semanal, mensal e anual);

e) o MRTG pode avisar se o gráfico atingir um valor pré-estabelecido; por exemplo, se

determinado servidor atinge 95% do espaço do disco, o MRTG pode encaminhar um

e-mailpara o administrador informando o ocorrido;

f) possui uma ferramenta para gerar os arquivos de configuração, chamadocfgmaker;

g) possui uma ferramenta para gerar uma página de índice paraos casos em que muitos itens

são monitorados, chamadoindexmaker;

h) o MRTG é software livre e é distribuído nos termos GNU -General Public License.

Para se instalar e configurar o módulo MRTG, basta seguir os seguintes passos:

1◦ passo: Comoroot, digite o seguinte comando:

apt-get install mrtg

Durante a instalação e configuração do pacote, aparecerá umajanela em que o usuário

deverá acionar oYes, como indicado na Figura 7.


Figura 7 -Tela de configuração gerada pelo MRTG.

Fonte: Oetiker (2006)

2◦ passo: Após o término da configuração, deve-se editar o arquivo de configuraçãomrtg.cfg

que se encontra dentro da pasta/et . Neste arquivo será criado uma configuração para

monitorar todo o tráfego na interfaceeth0. O conteúdo do arquivo é como segue.

###################################################################

# ARQUIVO DE CONFIGURAÇ�O DO MRTG #

###################################################################

# Configura ao Global

WorkDir: /var/www/mrtg

Htmldir: /var/www/mrtg

i ondir: images/

Refresh: 300

Interval: 5

Language: portuguese

RunAsDaemon: Yes

###################################################################

# Monitorando pla a de rede eth0 #

###################################################################

# Esses omandos são utilizados para apturar as informações #

# ne essárias para gerar o gráfi o do MRTG. #


###################################################################

Target[eth0℄: ` at /pro /net/dev | grep eth0 | awk -F':' ' \

{print $2}' | awk '{print $1}'; at /pro /net/dev | eth0 | \

awk -F':' '{print $2}' | awk '{print $9}';

e ho-e; e ho -e`

MaxBytes[eth0℄: 1250000

Title[eth0℄:eth0 - Utiliza ao eth0

PageTop[eth0℄: <h1>Estatisti a das interfa es<br>Utiliza ao da

interfa e externa(eth0)</h1>

Options[eth0℄: growright

Salve e saia do arquivo.

3◦ passo: Crie no diretório/var/www/, o subdiretório mrtg, com o seguinte comando:

mkdir /var/www/mrtg

em seguida, digite o seguinte comando:

env LANG=C /usr/bin/mrtg

4◦ passo: Para acessar a tela de monitoramento do SARG, basta abrir um navegador e digitar

o seguinte endereço:http://lo alhost/mrtg/eth0.html

Após digitar o endereço, aparecerá a tela da Figura 8:


Figura 8 -Gráficos gerados pelo MRTG.

Fonte: Oetiker (2006)


2.4 CONFIGURANDO E INSTALANDO O SARG

O SARG (VOLKOV et al., 2009), é um módulo do Linux utilizado para realizar a interpre-

tação doslogsgerados pelosquid, quando este monitora os acessos realizados pelos usuários

na rede. Oslogscontém informações como:

a) As páginas acessadas;

b) Tempo gasto em cada acesso;

c) Tentativas de acesso bloqueados pelos filtros de conteúdo, dentre outras informações de

acordo com a configuração dosquid.

Os logs são organizados por período, sendo que os relatórios antigos são mantidos, e de

tempo em tempo são atualizados. Com isso acaba-se armazenando um volume muito grande

de informações. Dentro do relatório de cada período, tem-sea lista dos endereços IP’s e/ou dos

usuários autenticados que utilizaram oproxye, dentro do relatório referente a cada um, pode-se

acompanhar olog das páginas acessadas e outras informações, de forma bastante detalhada.

Para que o SARG possa funcionar, osquidjá tem que estar instalado e configurado.

Para instalar o SARG, basta seguir os seguintes passos:

1◦ passo: Primeiro, tem-se que instalar o servidorapache, para que o usuário tenha acesso as

informações do MRTG via web. Para instalar, basta usar o seguinte comando:

apt-get install apa he2

2◦ passo: Após instalar o apache, tem-se que instalar o SARG com o seguinte comando:

apt-get install sarg

3◦ passo: Após a instalação do SARG, deve-se editar o arquivo de configuraçãosarg.confque

fica localizado no seguinte caminho:/et /squid/sarg. onf.

vim /et /squid/sarg. onf

Toda a configuração será feita neste arquivo, onde a linha mais importante é a que indica

o arquivo delog do squid, e que geralmente fica em/var/log/squid/a ess.log .

O arquivo do SARG deve ficar assim, depois de configurado:

# sarg. onf

#

# A linguagem do relatório


language Portuguese

# Caminho do arquivo de log do squid

a ess_log /var/log/squid/a ess.log

# O título do seu relatório

title "Relatório Rede Unesp"

# A fonte do relatório

font_fa e Tahoma,Verdana,Arial

header_ olor darkblue

header_bg olor blan hedalmond

# Tamanho da fonte

font_size 9px

# Definição das ores do relatório

ba kground_ olor white

text_ olor #000000

text_bg olor lavender

title_ olor green

# Lo alização do arquivo temporário do sarg

temporary_dir /tmp

# Diretório dos relatórios.#

output_dir /var/www/squid-reports

# Quando habilitado resolve IP em Nome

resolve_ip

# Obtém IP do usuário

user_ip no

# TAG: topuser_sort_field field normal/reverse

# Sort field for the Topuser Report.

# Allowed fields: USER CONNECT BYTES TIME

topuser_sort_field BYTES reverse

# A LINHA ABAIXO DIZ RESPEITO AO ARQUIVO ONDE CONSTAM

# OS USUÁRIOS QUE N�O TER�O RELATÓRIOS

user_sort_field BYTES reverse

ex lude_users /et /squid/sarg.users

ex lude_hosts /et /squid/sarg.hosts

# Formtato de data

date_format u

lastlog 0

# Remove arquivos temporários

remove_temp_files yes

# Configura o tipo de exibição


index yes

index_tree file

# Sobrepõe arquivos antigos aso existam

overwrite_report yes

# Grava os arquivos sem identifi ação

re ords_without_userid ip

# Usa virgula no lugar de ponto

use_ omma yes

# Módulo utilizado p/ enviar e-mails

mail_utility mail

# O número de sites que irá exibir no relatório.

topsites_num 100

topsites_sort_order CONNECT D

index_sort_order D

ex lude_ odes /et /squid/sarg.ex lude_ odes

max_elapsed 28800000

# Reduzindo onteúdo a ser exibido.

report_type topusers topsites sites_users users_sites date_time

denied auth_failures site_user_time_date

downloads

# Identifi ação de ada relatorio por nome e IP.

usertab /et /squid/sarg.usertab

# Habilita longas url

long_url yes

date_time_by bytes

harset Latin1

# Mostra mensagens no final de ada relatorio gerado.

show_su essful_message yes

show_read_statisti s no

# Quais ampos devem ser exibidos

topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES

IN-CACHE-OUT

USED_TIME MILISEC %TIME TOTAL AVERAGE

user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME

MILISEC %TIME

TOTAL AVERAGE

topuser_num 0

site_user_time_date_type table

# Arquivos que serão onsiderados omo download.

2.5 BANDLIMIT 44

download_suffix "zip,arj,bzip,gz,a e,do ,iso,adt,bin, ab, om,dot,drv$,

lha,lzh,mdb,mso,ppt,rtf,sr ,shs,sys,exe,dll,mp3,avi,mpg,mpeg"

4◦ passo: Depois de configurado o arquivo, basta reiniciar osquidcom o seguinte comando:

servi e squid stop

servi e squid start

5◦ passo: Para gerar o relatório delog de acesso, basta usar o seguinte comando:

sarg

Após digitar o comando acima, será retornado uma mensagem deque o relatório do

SARG foi gerado com sucesso no seguinte caminho:/var/log/squid/squid-reports.

6◦ passo: De qualquer computador na mesma rede, o usuário conseguirá visualizar os re-

latórios. É só digitar o IP do computador que está rodando o SARG e osquidno naveg-

ador com o seguinte comando:

http://192.168.x.x/squid-reports

Após entrar com o endereço acima, aparecerá uma tela análogaaquela anteriormente apre-

sentada na Figura 3, na página 25.

2.5 BANDLIMIT

O módulobandlimitserve para controlar olink dedownloadeuploadde cada computador

que acessa o servidor e que usa a rede, pois sem isso qualquer usuário poderia baixar um arquivo

muito grande e usar toda a banda, fazendo com que a rede fique muito lenta para os outros

usuários.

Esta parte do trabalho foi baseada no projeto do sítio do UnderLinux Bandlimit e que tem

como objetivo prover uma fácil solução para o controle de banda baseado nas ideias de Fran-

cisco Antonello e Marcus Maciel (ANTONELLO; MACIEL, 2004).

Para instalar e configurar obandlimit, basta seguir os seguintes passos comoroot:

1◦ passo: Baixe o arquivo rc.bandlimit-v0.4 no seguinte sítio:http://underlinux. om.br/

downloads/bandlimit/

2◦ passo: Após baixar o arquivo, crie um diretório chamadobandlimit dentro de/et e

dentro do diretório que foi criado, crie um arquivo de texto chamadoIP, salvando nele o

primeiro IP e as velocidades que serão controlados, no seguinte formato:

2.5 BANDLIMIT 45

<ip>:ratein:rateou

Onde<ip> é o endereço IP do computador que se deseja limitar a velocidade,ratein

significa a taxa dedownloade orateout a taxa deupload, como pode ser mostrado no

exemplo:

192.168.1.2:128:256

3◦ passo: No mesmo diretório, crie um arquivo chamadointerfacese salve dentro dele as in-

terfaces usadas no servidor no seguinte formato:

ethx

Em quex simboliza o número da interface de rede que vai de 0 a n, como pode ser

mostrado no seguinte exemplo:

eth0

eth1

4◦ passo: Configure o arquivo de configuração dobandlimit, chamador .bandlimit.

Procure por esta parte no arquivo:

IPTABLES=`whi h iptables`

TC=`whi h t `

IPCHAINS=`whi h ip hains`

GREP=`whi h grep`

CUT=`whi h ut`

EXPR=`whi h expr`

Comente a terceira linha com uma # (cerquilha), como mostrado abaixo:

IPTABLES=`whi h iptables`

TC=`whi h t `

# IPCHAINS=`whi h ip hains`

GREP=`whi h grep`

CUT=`whi h ut`

EXPR=`whi h expr`


5◦ passo: Agora é a parte da configuração das interfaces, ou seja, das placas de redes. É onde

se configura em qual placa de rede o servidor irá receber olink de internet e qual placa

irá distribuir olink de internet na rede interna. Isso pode ser visto no exemplo abaixo:

#############

# Interfa es

redelo al=eth0

#redelo al2=eth0

redelo al2=inexistente

internet=eth1

#############

De acordo com o código acima, pode-se verificar que a rede local está configurada para a

placa de rede eth0 e a internet para a placa eth1, podendo ser modificada de acordo com

a necessidade do usuário.

6◦ passo: Após configurar o arquivo de configuração dobandlimit, é necessário mover o ar-

quivor .bandlimit para o diretório/et /init.d/, através do comando:

mv r .bandlimit /et /init.d

Depois, basta executar o seguinte comando para inicializaro bandlimit:

hmod +x r .bandlimit

servi e bandlimit start

Para testar, basta verificar no computador através de umdownloadouuploadde um arquivo.

2.6 CONFIGURAÇÃO DO SERVIDOR DHCP

O servidorDynamic Host Configuration Protocol(DHCP) consiste em uma configuração

automática e dinâmica realizada em um servidor de rede de computadores ligados a uma rede

TCP/IP (DROMS, 1997).

O serviço DHCP, é hoje um protocolo recomendado, em vias de ser padronizado peloInter-

net Activities Board(IAB), pois o mesmo viabiliza a gerência de grandes redes de IP’s. Sendo

assim, para o perfeito funcionamento de um computador ligado a uma rede internet, não ape-

nas precisa-se configurar o seu endereço IP de forma automática ou manual, mas também uma

série de outros parâmetros de rede. Já um cliente DHCP busca encontrar um ou mais servidores


DHCP que possam fornecer os parâmetros desejados de uma forma automática na rede, para que

o computador possa ser automaticamente configurado. A Figura 40, resume o funcionamento

de um servidor DHCP.

Figura 9 -Funcionamento do servidor DHCP.

Fonte: Próprio autor.

Mesmo não sendo o parâmetro mais importante, o endereço IP é importante, pois um

mesmo endereço não deve ser utilizado por mais de um cliente ao mesmo tempo. Caso con-

trário pode-se acarretar o chamado “conflito de IP”. Por issoo DHCP possibilita a criação de

uma política de alocação de endereços IP’s de uma forma dinâmica, o que possibilita a reuti-

lização de endereços disponíveis ao longo do tempo.

O funcionamento do protocolo DHCP é estabelecido de uma forma bastante interessante,

pois inicialmente a estação (computador) não sabe quem é, não possui um endereço IP e não

sabe sequer qual é o endereço do servidor DHCP da rede. O computador cliente envia um pa-

cote debroadcastendereçado ao IP255.255.255.255, que é transmitido pelo equipamento

utilizado na rede, que pode ser desde umhuba umswitch, e esse replica para todos os micros

da rede. O servidor DHCP recebe este pacote e responde com um pacote endereçado ao en-

dereço IP0.0.0.0, que também é transmitido para todas as estações. Logo, apenas a estação

que enviou a solicitação receberá o pacote, enquanto as demais irão descartá-los, pois ele é en-

dereçado ao endereço MAC da placa de rede. Dentro deste pacote enviado pelo servidor DHCP

estão especificados o endereço IP, máscara,gatewaye servidores DNS que serão usados pela

estação.


2.6.1 Detalhes da Configuração do Servidor DHCP

No geral, sua configuração não é difícil, bastando seguir as seguintas etapas:

1◦ etapa: Nas distribuições derivadas do Debian, o pacote correspondente ao servidor DHCP

se chamadhcp3-servere pode ser instalado com o seguinte comando:

apt-get install dh p3-server

2◦ etapa: Com o pacote já instalado pode-se ativá-lo ou desativá-lo usando os seguintes co-

mandos:

/et /init.d/dh p3-server start

/et /init.d/dh p3-server stop

3◦ etapa: Como nos módulos anteriores, também existe um arquivo textode configuração,

denominadodhcpd.conf, que pode ser encontrado no caminho:/et /dh p3/.

Editando-se o arquivo, pode-se configurar o DHCP com o seguinte exemplo:

ddns-update-style none;

default-lease-time 600;

max-lease-time 7200;

authoritative;

subnet 192.168.1.0 netmask 255.255.255.0 {

range 192.168.1.100 192.168.1.199;

option routers 192.168.1.1;

option domain-name-servers 208.67.222.222,208.67.220.220;

option broad ast-address 192.168.1.255;

}

Neste arquivo de exemplo existem algumas funções que serão explicadas logo a seguir:

a) a opçãodefault-lease-time controla o tempo de renovação dos endereços IP’s;

b) o 600 indica que a cada dez minutos o servidor verifica se a estação cliente está

ativa;

c) o max-lease-time determina o tempo máximo que uma estação pode usar um

determinado endereço IP;

d) o range determina a faixa de endereços IP que será usada pelo servidor, podendo

ser mudada de acordo com a faixa de IP que está sendo utilizadana rede, podendo

ser dinâmico ou estático;

2.7 EXEMPLO DE UM FIREWALL USANDO IPTABLES 49

e) option routers especifica o endereço dodefault gatewayda rede, ou seja, o en-

dereço do servidor que está compartilhando a conexão;

f) o option domain-name-servers contém os servidores DNS que serão usados

pelas estações.

Após terminar a configuração do arquivo, pode-se testar se o serviço está funcionando em

computadores com o SO Linux, usando o seguinte comando:

dh lient eth0

que retornará as seguintes informações:

Internet Systems Consortium DHCP Client V3.0.4

Copyright 2004-2006 Internet Systems Consortium.

All rights reserved.

For info, please visit http://www.is .org/sw/dh p/

Listening on LPF/eth1/00:15:00:4b:68:db

Sending on LPF/eth1/00:15:00:4b:68:db

Sending on So ket/fallba k

DHCPREQUEST on eth1 to 255.255.255.255 port 67

DHCPACK from 192.168.1.1

bound to 192.168.1.199 -- renewal in 245 se onds.

É importante ressaltar que quando se for utilizar um servidor com duas placas de rede,

deve-se configurar o servidor DHCP para “escutar” apenas na placa da rede local, modificando

o arquivo de configuração na linha:

INTERFACES=""

Adicionando a placa de rede que o servidor DHCP deve “escutar”, como em:

INTERFACES="eth0"

Não se deve esquecer de que todas as vezes que se realizar alguma modificação no arquivo

de configuração, deve-se reinicializar o serviço para que asmodificações entre em vigor.

2.7 EXEMPLO DE UMFIREWALLUSANDO IPTABLES

Utilizando-se apenas um arquivo texto, pode-se criar umfirewall com os comandos expli-

cados na seção 3.5, pagina 70. Nomeando o arquivo comofirewall, segue-se a listagem do

mesmo, com as principais regras mais utilizadas, comentadas passo a passo.

2.7 EXEMPLO DE UM FIREWALL USANDO IPTABLES 50

#!/bin/bash

###CARREGANDO MODULOS ####

modprobe iptable_nat

### LIMPANDO AS TABELAS E REGRAS #####

iptables -F

iptables -t nat -F

iptables -X

## Liberando FTP

iptables -A INPUT -p t p --dport 21 -j ACCEPT

##Habilitando IP Forward

e ho "1" > /pro /sys/net/ipv4/ip_forward

iptables -P FORWARD ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

#Proxy transparente



#Syn-floods

iptables -A FORWARD -p t p --syn -m limit --limit 1/s \

-j ACCEPT

#Port s anners o ultos

iptables -A FORWARD -p t p --t p-flags SYN,ACK,FIN,RST RST -m \

limit --limit 1/s -j ACCEPT

#Ping da morte

iptables -A FORWARD -p i mp --i mp-type e ho-request -m limit \

--limit 1/s -j ACCEPT

###########################

## Virus, Trojans e Afins ##

###########################

# -> Input

iptables -A INPUT -p t p --dport 135:139 -j DROP

# -> Forward ->

iptables -A FORWARD -p t p --dport 135:139 -j DROP

# -> Output

iptables -A OUTPUT -p t p --dport 135:139 -j DROP

############ NAT ############

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

##Protege ontra Spoof de IP

e ho "1" > /pro /sys/net/ipv4/ onf/all/rp_filter


#-----------------------------------------------------------

e ho ""

e ho "..:: FIREWALL ATIVADO SISTEMA PREPARADO ::.."

e ho ""

#----------------------------------------------------------

Todas as linhas que começarem com # indica que a linha está comentada, ou seja, não é

interpretada pelo sistema, e esse caracter é usado para comentar trechos de códigos no próprio

arquivo.

A primeira linha serve para saber o caminho completo do interpretador que se deseja utilizar

para execução dos comando que serão realizados em sequência, uma vez que pordefaulto shell

do Linux executashell-scripts.

Isso pode ser visto como exemplo, já que o código está todo comentado, facilitando muito

o entendimento.

Após digitar todo o código no arquivo, salve-o e saia do editor de texto. Posteriormente dê

permissão de execução ao arquivo com o seguinte comando:

hmod +x firewall

Pronto, o arquivo defirewall já esta finalizado. Para executá-lo basta usar o comando:

./firewall

O computador já está seguro e compartilhando a conexão de internet entre as outras máquinas

da rede. Caso seja feita alguma modificação em seu código, basta executar o comando citado

anteriormente para que as modificações sejam aplicadas.

2.8 LINUX E SERVIDORES

Estima-se hoje que 80% das melhores empresas de hospedagensno mundo utilizem alguma

distribuição Linux como sistema operacional de seus servidores, devido a sua licença ser de

graça e a possibilidade de configurar vários serviços desde ocompartilhamento de impressora

a um servidor de internet e de segurança.

De acordo com a Tabela 1, pode-se fazer uma comparação dos custos associados e de outras

características, quando da utilização de um SO proprietário e um outro de domínio público, para

a configuração de alguns serviços.


Tabela 1 - Comparativo de preços de instalação e mão de obra.

Modelo de LicenciamentoLicenças Microsoft Licenças Linux

EconomiaPROPRIETÁRIO GPL

Versão do ServidorWindows 2008 Server Debian/Ubuntu

Standard

Custo da Licença Inicial (R$) R$ 2.000.00 R$ 0,00 R$ 2.000,00

Custo da Licença Adicional

por usuário (R$)R$ 100,00 R$ 0,00 R$ 100,00

Mão de Obra de Instalação

(Técnico): Custo médio (R$)R$ 1.200,00 R$ 1800,00 R$ - 600,00

Observação: Não Inclui anti-vírus Inclui anti-vírus

Comparativos de Custo INICIAL + LICENÇAS USUÁRIOS

Rede com 20 usuários R$ 3.600.00 R$ 0,00 R$ 3.600,00



Comparativos Técnicos

Níveis de segurança à áreaALTO ALTO

protegida

Incidência de vírus ALTA BAIXO

Integração de WindowsSIM SIM

XP/VISTA

Recuperação em caso deBAIXA ALTA

falha (Software)

Outros Comparativos

Antivirus Free para Servidor NÃO TEM CLAMAV

Custo Antivirus para Servi-

dor (R$)

mínimo R$ 500.00 R$ 0,00

Máquina mínima para fun-

cionar com 50 usuários

Dual Core 4 e 1 GB RAM Pentium IV 2.8

Ghz e 1 GB RAM

Fonte: Adaptado de DMN Eletrônica (2013), Duarta (2009) e SMART UNION (2012).

Como exemplo, na hipótese da instalação de uma rede local comum servidor e vinte

usuários (instalação típica de um laboratório computacional de pesquisa em uma universidade),

tem-se um custo total deR$ 7.400,00 com a utilização desoftwaresproprietários, enquanto

o custo total cai paraR$ 1.800,00 com o uso desoftwareslivres.


Com todas essas informações pode-se concluir que o Linux é umsistema operacional com-

pleto, e que tem inúmeras vantagens sobre outros sistemas operacionais para uso em servidores,

tais como (BALL; DUFF, 2004):

a) estabilidade: Capacidade de funcionar anos initerruptamente sem qualquer tipo de falha,

fato esse que faz com que muitos usuários de Linux nunca tenham ouvido falar a respeito

de uma manutenção do sistema, uma vez que isso acaba sendo primordial para sistemas

operacionais de servidores, pois cada minuto parado gera prejuízo para inúmeros sítios e

clientes.

Outro detalhe é o fato do Linux conseguir trabalhar com grande volume de acesso simultâ-

neos, outra característica fundamental para servidores, característica essa que é um dos

grandes problemas do Windows, o que pode gerar lentidão e atépossíveis travamentos do

SO;

b) segurança: Por ser nativamente mais seguro que o Windows, seja como servidor ou

comodesktop, é possível que o Linux também possa sofrer ataques, mas as suas vul-

nerabilidades tendem a serem descobertas muito antes, e corrigidas em um tempo muito

pequeno, devido ao grande número de programadores espalhados pelo mundo cooperando

na sua manutenção;

c) hardware: Pelo fato de ser um sistema leve, ele não necessita de grandes equipamentos

para suportá-lo, nem de constantes atualizações de hardware, como acontece com sis-

temas baseados em Windows. Ele pode ainda ser configurado de forma a somente serem

utilizados os recursos necessários, tornando-o ainda maisleve e acelerando ainda mais o

seu desempenho;

d) liberdade: Por não existir um único fornecedor para o Linux, o usuário não fica preso a

certas características e protocolos, uma vez que ele tem a liberdade para escolher a versão

ou distribuição que melhor atende as suas necessidades, isso tudo sem contar o custo total

dessa operação, que é muito inferior aos outros SO.

O SO Linux pode ser utilizado como servidor de rede, o que facilita muito a vida de um

administrador de rede.

Neste trabalho utilizou-se a distribuição Ubuntu para configurar:

a) um dispositivo de rede de computadores que tem por objetivo criar uma barreira de pro-

teção que por uma política de segurança controla o tráfego dedados entre o computador

e a rede;


b) um servidorproxyque suporta os protocolos: HTTP, HTTPS, FTP, dentre outros,que em

conjunto com acache, reduz a utilização da conexão e melhora o tempo de resposta das

requisições solicitadas de páginas web’s;

c) uma ferramenta de monitoração que através de arquivos delogs gera páginas HTML

com gráficos de dados de acesso, memória utilizada, capacidade de armazenamento do

servidor, dentre outros tipos de gráficos;

d) uma ferramenta de monitoramento de sites acessados pelosusuários;

e) uma ferramenta para limitar olink dedownloadeuploadde cada usuário;

f) um servidor que forneça IP (Internet Protocol) para cada máquina da rede de forma au-

tomática.

Na sequência será apresentado conceitos de gerência de serviços e de redes, utilizados na

ferramenta proposta.

55

3 GERÊNCIA DE SERVIÇOS E DE REDES

O aumento da competitividade no mercado empresarial tem obrigado as empresas dos mais

variados segmentos e portes, a uma busca incansável pela redução de custos, aumento da efi-

ciência operacional, novos mercados, maior lucratividade, racionalização de investimentos e

mais agilidade na tomada decisões.

Sendo assim, deixar de monitorar e gerenciar estes ambientes, pode significar muitas perdas

e prejuízos, uma vez que os dados e informações que trafegam nas redes corporativas são, em

última análise, valores monetários.

Neste contexto, a gerência e monitoramento dos serviços nasredes corporativas, tornam-se

imprescindíveis, pois mais importante que saber quais os problemas que estão relacionados à

rede corporativa, é conhecer o impacto deles nos lucros das empresas (SOUZA, 2009).

Segundo Tanenbaum (2011), as redes de computadores foram concebidas como meio para

compartilhar dispositivos periféricos tais como impressoras, drivers de alta velocidade, entre

outros, existindo inicialmente apenas em ambientes acadêmicos, governamentais e algumas

empresas de grande porte. Entretanto a rápida evolução das tecnologias de redes, aliada à

grande redução de custos dos recursos computacionais, motivou a proliferação das redes de

computadores por todos os segmentos da sociedade.

À medida que essas redes foram crescendo e tornando-se integradas às organizações, o com-

partilhamento dos dispositivos tomou aspecto secundário em comparação às outras vantagens

oferecidas. As redes passaram então a fazer parte do cotidiano das pessoas como uma ferra-

menta que oferece recursos e serviços que permitem uma maiorinteração entre os usuários

e um consequente aumento de produtividade. Também ocorreu uma grande mudança nos

serviços oferecidos, pois além do compartilhamento de recursos, novos serviços tais como cor-

reio eletrônico, transferência de arquivos, internet, aplicações multimídia, dentre outros, foram

acrescentados, aumentando ainda mais a complexidade das redes. Não bastassem esses fatos, o

mundo da interconexão de sistemas ainda passou a conviver com a grande heterogeneidade de

padrões, sistemas operacionais, equipamentos, etc.

Considerando este quadro, torna-se cada vez mais necessário o gerenciamento do ambiente

de redes de computadores para mantê-lo funcionando corretamente. Surge então a necessidade

de buscar uma maneira consistente de realizar o gerenciamento de redes para, com isso, manter

toda a estrutura funcionando de forma a atender as necessidades dos usuários e às expectativas

dos administradores.


O gerenciamento de rede pode ser definido como a coordenação (controle de atividades e

monitoração de uso) de recursos materiais (modems, roteadores, etc.) e ou lógicos (protocolos),

fisicamente distribuídos na rede, visando maximizar sua eficiência e produtividade além de

assegurar, na medida do possível, confiabilidade, tempos deresposta aceitáveis e a segurança

das informações (TANENBAUM, 2011).

A gerência em redes de computadores torna-se uma tarefa complexa em boa parte, por con-

sequência do crescimento acelerado das mesmas, tanto em desempenho quanto em suporte à

um grande conjunto de serviços. Além disso, os sistemas de telecomunicações, parte impor-

tante e componente das redes, também adicionam maior complexidade, estando cada vez mais

presentes, mesmo em pequenas instalações.

Admitindo-se que as ferramentas para gerência de redes não abrangem toda a gama de

problemas de uma rede e que estas nem sempre são usadas nas organizações que possuem

redes, se faz necessário que outros mecanismos de gerência sejam utilizados para suprir suas

carências mais evidentes.

As informações que circulam em uma rede de computadores devem ser transportadas de

modo confiável e rápido. Para que isso aconteça é importante que os dados sejam monitorados

de maneira que os problemas que por ventura possam existir sejam detectados rapidamente e

sejam solucionados eficientemente. Uma rede sem mecanismosde gerência pode apresentar

problemas que irão afetar o tráfego dos dados, bem como sua integridade, como problemas

de congestionamento do tráfego, recursos mal utilizados, recursos sobrecarregados, problemas

com segurança entre outros.

O gerenciamento está associado ao controle de atividades e ao monitoramento do uso dos

recursos da rede. A tarefa básica que uma gerência de rede deve executar envolve a obtenção

de informações da rede, tratar estas informações possibilitando um diagnóstico seguro e en-

caminhar as soluções dos problemas. Para cumprir estes objetivos, funções de gerência devem

ser embutidas nos diversos componentes da rede, possibilitando descobrir, prever e reagir a

problemas.

3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE

De acordo com Freitas (2010), um sistema de gerenciamento consiste de alguns itens de

hardwaree softwareadicionais, implementados entre os equipamentos de rede existentes. O

softwareusado para auxiliar neste gerenciamento é instalado em servidores, estações e proces-

sadores de comunicação, tais como, roteadores, concentradores de acesso eswitches, uma vez

que é projetado para oferecer uma visão de toda a rede como umaarquitetura unificada, com

endereços e rótulos associados a cada ponto da rede e atributos específicos de cada elemento e

link conhecido do sistema de gerenciamento.


Com o crescimento das redes de computadores, em tamanho e complexidade, sistemas de

gerência baseados em um único gerente são inapropriados, ouseja, não se deve centralizar

o gerenciamento em apenas um único gerente, devido ao volumedas informações que de-

vem ser tratadas e que podem pertencer a localizações geograficamente distantes do gerente,

evidenciando-se então a necessidade da distribuição da gerência na rede, através da divisão das

responsabilidades entre gerentes locais que controlem domínios distintos e da expansão das

funcionalidades dos agentes.

Os modelos de gerência diferenciam-se nos aspectos organizacionais envolvendo a dis-

posição dos gerentes na rede, bem como no grau da distribuição das funções de gerência. Cada

gerente local de um domínio pode prover acesso a um gerente responsável (pessoa que interage

com o sistema de gerenciamento) local e/ou ser automatizadopara executar funções delegadas

por um gerente de mais alto nível, geralmente denominado de Centro de Operações da Rede

(Network Operation Center- NOC). O NOC é responsável por gerenciar os aspectos inter-

domínios, tal como um enlace que envolva vários domínios, ouaspectos específicos de um

domínio, devido à inexistência de gerente local.

Segundo Comer (2007), a gerência de rede é dividida em três etapas como pode ser visto

na Figura 10 a seguir:

Figura 10 -Esquema das etapas de uma gerência de rede.

Fonte: Adaptado de Comer (2007).

a) coleta de dados: Processo automático que consiste na monitoração dos recursos geren-

ciados e armazenados em arquivos de logs;

b) diagnóstico: Consiste no tratamento e análise realizados a partir dos dados coletados

onde também é realizado a detecção da causa do problema no recurso gerenciado através

de um computador de gerenciamento que executa uma série de procedimentos manuais

ou automáticos (por intermédio de um operador ou não) com o intuito de determinar a

causa do problema representado no recurso gerenciado;


c) ação: Uma vez diagnosticado o problema cabe uma ação ou controle sobre o recurso,

caso o evento não tenha sido passageiro.

3.2 MODELO GERAL DE GERENCIAMENTO DE REDE

Para que ocorra as etapas de coleta de dados, diagnóstico e por fim a ação a ser tomada,

é preciso que esteja presente na rede em questão, quatro elementos básicos que auxiliará no

monitoramento da rede, conforme a Figura 11.

Figura 11 -Quatro elementos que devem estar presentes na rede.

Gerente Agente

Solicitações

Respostas e Notificações

Troca de mensagens entre Gerente e Agente

MIBMIB

Protocolo

Fonte: Adaptado de Galstad (2010).

• Gerente: Um computador conectado a rede que executa o software de protocolo de geren-

ciamento que solicita informações aos agentes, também chamado de console de gerenci-

amento, que abrange pelo menos quatro ítens:

1. Conjunto de aplicações de gerenciamento que irá analisare recuperar as falhas en-

contradas;

2. Uma interface pela qual o administrador irá interagir como sistema, facilitando o

seu controle, gerenciamento e monitoramento do mesmo;

3. Forma de interpretar as solicitações do administrador para realizar as tarefas dese-

jadas;

4. Uma base de dados com informações obtidas de todos os elementos gerenciados na

rede conhecida como MIB.

• Agente: Um processo (software) que roda em um recurso, elemento ou sistema gerenci-

ado, que exporta uma base de dados de gerenciamento (MIB) para os que o gerente possa


ter acesso aos mesmos. Esse agente responde às solicitaçõesde informações feitas pelo

gerente e executa algumas ações; podendo até mesmo forneceralgumas informações ao

gerente sem mesmo ter sido solicitado por este;

• Management Information Base- MIB (Base de dados de gerenciamento): Uma tabela

onde são armazenados os dados de gerenciamento coletados que serão enviados ao ger-

ente;

• Protocolo de gerenciamento: Fornece os mecanismos de comunicação entre o gerente e

o agente.

Todos os elementos citados acima, serão tratados com mais detalhes nas seções 3.3, 3.4 e

3.5.

3.2.1 A Relevância do Gerenciamento de uma Rede

Por menor e mais simples que seja, uma rede de computadores precisa ser gerenciada a fim

de garantir, aos seus usuários, a disponibilidade de serviços a um nível de desempenho aceitável.

À medida que a rede cresce, aumenta a complexidade de seu gerenciamento, forçando a adoção

de ferramentas automatizadas para a sua monitoração e controle, por isso a adoção de umsoft-

ware de gerenciamento não resolve todos os problemas da pessoa responsável pela adminis-

tração da rede, visto que geralmente o usuário de um softwarede gerenciamento espera muito

dele e, consequentemente, fica frustrado quanto aos resultados que obtém; por outro lado, esses

mesmos softwares quase sempre são sub-utilizados, isto é, possuem inúmeras características

inexploradas ou utilizadas de modo pouco eficiente (SOULA, 2013).

Para gerenciar um recurso, é necessário conhecê-lo muito bem e visualizar claramente o

que este recurso representa no contexto da rede, por isso, o investimento em um software de

gerenciamento pode ser justificado pelos seguintes fatores:

a) as redes e recursos de computação distribuídos estão se tornando vitais para a maioria

das organizações, e sem um controle efetivo destes recursos, os não é possível garantir o

retorno que a corporação necessita;

b) o contínuo crescimento da rede em termos de componentes, usuários, interfaces, proto-

colos e fornecedores ameaçam o gerenciamento com perda de controle sobre o que está

conectado na rede e como os recursos estão sendo utilizados;

c) os usuários esperam uma melhoria dos serviços oferecidos(ou no mínimo, a mesma qual-

idade), quando novos recursos são adicionados ou quando sãodistribuídos;


d) os recursos computacionais e as informações da organização geram vários grupos de apli-

cações de usuários com diferentes necessidades de suporte nas áreas de desempenho,

disponibilidade e segurança, por isso o gerente da rede deveatribuir e controlar recursos

para balancear estas várias necessidades, sem que uma interfira na outra;

e) à medida que um recurso fica mais importante para a organização, maior fica a sua neces-

sidade de disponibilidade, por isso o sistema de gerenciamento deve garantir esta disponi-

bilidade, evitando que quando solicitado, o mesmo esteja indisponível;

f) a utilização dos recursos deve ser monitorada e controlada para garantir que as necessi-

dades dos usuários sejam satisfeitas a um custo razoável ou como mencionado anterior-

mente, no mínimo de mesma qualidade.

Além desta visão qualitativa, uma separação funcional de necessidades no processo de

gerenciamento foi apresentada pelaInternational Organization for Standardization(ISO), como

parte de sua especificação de Gerenciamento de Sistemas, divisão esta que representa os recur-

sos de rede e protocolos para a transferência de informaçõessobre as gerências da rede. A partir

desta divisão, foi criado o modelo dividido em cinco áreas funcionais denominadas FCAPS uma

sigla vem vem do inglês:Fault, Configuration,Accounting,Performance eSecurity, formada

a partir das iniciais de cada área de gerenciamento, a qual foi adotada pela maioria dos fornece-

dores de sistemas de gerenciamento de redes para descrever as necessidades de gerenciamento

de Falhas, Configuração, Contabilidade ou Contabilização,Desempenho e Segurança, que serão

detalhados a seguir (MAGALHÃES; PINHEIRO, 2007):

a) falha: compreende as facilidades que permitem a detecção, o isolamento e a correção

de operações anormais no ambiente de rede, necessitando mesmo assim de que em uma

configuração de rede, haja uma manutenção apropriada para que todo o ambiente esteja

funcionando de acordo com o desejado, e caso ocorra alguma falta no sistema, seja pos-

sível ser detectado onde a mesma ocorreu, de modo que seja corrigida o mais rápido

possível, seguindo as seguintes premissas:

1. isolar o problema do resto da rede;

2. reconfigurar a rede para evitar o uso do componente que veioa falhar;

3. consertar o elemento que apresentou a falha.

Deve-se tomar muito cuidado, pois as vezes o conceito de falha pode ser confundido com

erro, uma vez que uma falha é considerada falha quando ocorreem uma situação anormal

e que necessita de uma intervenção para ser reparada, por outro lado, um erro ocorre de

uma forma esporádica e pode ser tratado através de uma rotinaautomática;


b) configuração e nomes: Visa prover facilidades como a inicialização/shutdownde sis-

temas, a distribuição e a atualização de pacotes desoftwarepara os elementos de uma

rede, ou seja, possui a função de controlar a identificação dos componentes na rede que

visa sua configuração apropriada;

c) contabilidade: Provê o gerenciamento da contabilização do uso dos objetos, ou seja,

em uma organização é necessário que os custos relativos ao uso do ambiente seja com-

putado para os diversos centros de custo da corporação. Comoexemplo pode-se avaliar

o custo de configuração de rede de uma corporação, que com o usoda contabilização, é

possível auxiliar na tomada de decisão para onde o ambiente de rede deve ser expandido,

mostrando além disso onde é que os recursos estão sendo mal aproveitados;

d) desempenho: Neste nível deve existir uma avaliação do comportamento dos objetos

gerenciados e sua eficiência quanto às atividades de comunicação, ou seja, em outras

palavras ela se preocupa com os limites de desempenho necessário para o perfeito fun-

cionamento dos objetos em uma configuração de rede, monitorando e controlando as

atividades da rede, permitindo assim alguns ajustes no desempenho para que o mesmo se

torne aceitável para o ambiente. Alguns itens que deve serervados pelo gerenciamento

de desempenho são: percentual do uso da capacidade de transmissão da rede, odelaydo

ambiente, possíveis congestionamentos e gargalos na rede;

e) segurança: Sua função é tratar dos aspectos relacionados à segurança dos componentes

que estão sendo gerenciados, como por exemplo a distribuição e armazenamento de

chaves de segurança, controle e autorização de acesso aos computadores da rede como

um todo, monitoramento e controle de acesso.

Com esse grande crescimento das redes, conhecida como sistemas de gerenciamento de

serviços e de redes, tornou-se de grande importância para ascorporações e organizações.

Esse sistema é composto por um conjunto de ferramentas que tem como objetivo controlar

e monitorar toda a rede de forma integrada. Segue algumas características desejáveis de um

sistema de gerenciamento:

a) interface: amigável, única, mas com um grande potencial para executar vários comandos

para gerenciar a rede;

b) independência de Plataforma: desejável que haja uma independência dehardwareesoft-

ware, aproveitando-se todo o ambiente computacional da corporação;

c) pacote deSoftwarede Gerenciamento das Tarefas: deve residir de maneira distribuída nos

computadores e elementos de comunicação da rede;

3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 62

d) sistema de Gerenciamento: deve ser projetado para que o ambiente dehardwaree soft-

wareda corporação seja uma arquitetura unificada.

Neste trabalho será trabalhado apenas as áreas funcionais de gerenciamento de configu-

ração, contabilização e segurança. Para isso, foi utilizado os protocolos SNMP (Simple Net-

work Management Protocol), NRPE (Nagios Remote Plugin Executor) e o iptablespara que

seja realizado as trocas de mensagens e tratado a parte de segurança, respectivamente.

3.3 PROTOCOLO SNMP -SIMPLE NETWORK MANAGEMENT PROTOCOL

De acordo com Cisco (2010), com a necessidade de novos mecanismos que possibilitasse

o gerenciamento das redes baseadas no protocolo TCP/IP, foicriado o padrão SNMP, o qual foi

associado com uma base de dados chamada MIB (Management Information Base).

O órgão identificado comoInternet Activities Board(IAB), o qual rege a política da internet

e o protocolo, o qual requisitou um comitê para rever as opções de gerenciamento de rede,

concluiu que o protocolo baseado noSimple Gateway Management Protocol(SGMP), que foi

desenvolvido para administrar redes, deveria ser adotado.

A criação do SNMP, baseou-se em alguns objetivos e algumas especificações a seguir:

a) gerenciamento integrado de rede: a capacidade de gerenciar redes incorporando com-

ponentes de arquiteturas heterogêneas através de uma simples aplicação;

b) interoperabilidade: é a capacidade de qualquer equipamento de qualquer marca seja

gerenciado por outros equipamentos;

c) padronização: facilitam o método de comunicação e as estruturas de dados de forma que

as redes não similares possam ser integradas no gerenciamento;

Segundo RFC1157 (2009), este protocolo tem como premissa a flexibilidade e a facilidade

de implementação, também em relação aos produtos futuros. OSNMP é um protocolo de

gerência definido a nível de aplicação, é utilizado para obter informações de servidores SNMP

- agentes espalhados em uma rede baseada na pilha de protocolos TCP/IP. Os dados são obtidos

através de requisições de um gerente a um ou mais agentes utilizando os serviços do protocolo

de transporteUser Datagram Protocol(UDP) para enviar e receber suas mensagens através da

rede. Dentre as variáveis que podem ser requisitadas, serãoutilizadas as MIB’s; podendo fazer

parte da MIB II, da experimental ou da privada.

O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil

do estado em tempo real da rede, podendo ser utilizado para gerenciar diferentes tipos de sis-


temas. Este gerenciamento é conhecido como modelo de gerenciamento SNMP, ou simples-

mente, gerenciamento SNMP, o qual também é o nome do protocolo no qual as informações

são trocadas entre a MIB e a aplicação de gerência como tambémé o nome deste modelo de

gerência.

3.3.1 Funcionamento do Protocolo SNMP

Seu funcionamento é baseado em dois dispositivos, o agente eo gerente, em que cada

máquina gerenciada é vista como um conjunto de variáveis querepresentam informações refer-

entes ao seu estado atual; e estas informações ficam disponíveis ao gerente através de consulta

e que podem ser alteradas por ele.

Cada máquina gerenciada pelo SNMP deve possuir um agente e uma base de informações

MIB como pode ser visto na Figura 12.

Figura 12 -Elementos de uma rede com SNMP.

MIB

SNM

P

AGENTE

GERENTE

Fonte: Adaptado de??)

a) agente: É um processo executado na máquina gerenciada (ou próximo aela), responsável

pela manutenção das informações de gerência da máquina. Cada máquina gerenciada

pelo SNMP deve possuir um agente e uma base de informações de gerência, por isso

a máquina que será gerenciada é vista como um conjunto de variáveis que representam

informações referentes ao seu estado atual. Essas variáveis ficam disponíveis ao gerente

através de consultas e podem ser alteradas por ele, se assim as variáveis foram definidas.

Ao disponibilizar essas variáveis à leitura, a máquina permite seu monitoramento e, ao


receber novos valores do gerente, a máquina estará sendo monitorada. As funções princi-

pais de um agente são:

– responsável por atender as requisições enviadas pelo gerente;

– responsável por enviar automaticamente informações de gerenciamento ao gerente,

quando previamente programado;

– ele utiliza assystem callspara realizar o monitoramento das informações da máquina

e utiliza as RPC(Remote Procedure Call)para o controle das informações da máquina.

b) gerente: É um programa executado em uma estação um computador servidor o qual

permite a obtenção e o envio de informações de gerenciamentojunto aos dispositivos

gerenciados mediante a comunicação com um ou mais agentes, como pode ser visto na

Figura 13.

Figura 13 -Funcionamento da relação de um agente com o objeto a sergerenciado.

Gerente Agente

Gerenciamento

Protocolo de Gerenciamento

Notificação deobjetos ou

eventos

MIB

ObjetosGerenciados

Notificações degerenciamento

Açõ

es

de

ge

ren

cia

me

nto

Fonte: Adaptado de Breitgand, Raz e Shavitt (2002).

Logo, pode-se resumir a função de cada um da seguinte maneira:

a) o gerente fica responsável pelo monitoramento, relatórios e decisões na ocorrência

de problemas;

a) o agente fica responsável pelas funções de envio e alteração das informações e tam-

bém pela notificação da ocorrência de eventos específicos ao gerente.

c) base de informação gerencial (MIB): é um arquivo codificado no qual são relacionadas

as informações que o gerente deve repassar ao agente quando solicitadas através das con-

sultas SNMP, como também as informações de alerta (traps) que poderão ser enviadas do

agente para o gerente.


Figura 14 -Árvore MIB parcial a partir da raiz.

Fonte: Mauro e Schmidt (2005).

Constituída por uma estrutura em árvore como pode ser visto na Figura 14, contendo as

variáveis de gerência de um determinado equipamento, a MIB define para cada variável

um identificador único denominadoObject Identifier(OID), formado por um número

inteiro não negativo.

Em princípio, todos os objetos definidos em todos os padrões oficiais podem ser exclu-

sivamente identificados. Para localizar uma determinada informação, o identificador da

variável que será acessada pelo SNMP é representado com o IP do equipamento em con-

junto com o identificador do objeto (OID) na árvore MIB.

O OID de um nodo da árvore descrita por uma MIB é composto pelo OID do seu pai

mais seu próprio identificador relativo. Logo, o uso de números dos OIDs dificulta a

compreensão dos nodos da MIB, e por isso o OID pode ser substituído por um nome

(OID Name), que pode ser usado em conjunto com o OID “numérico”, como pode ser

visto no exemplo do seguinte OID 1.3.6.1.2.1.1, o qual pode ser representado pelo OID

Name “system”. Um outro exemplo é osysUpTimecujo OID 1.3.6.1.2.1.1.3 que também

pode ser representado porsystem.3.

Para cada objeto são definidos o nome, um identificador, uma sintaxe, uma descrição e

um controle de acesso. As instâncias dos objetos são chamadas de variáveis. O nome do

objeto (Object Name) é composto por umastring de texto curto. O OID é formado por

números separados por pontos. A sintaxe (syntax) descreve o formato ou valor e define


o tipo do objeto. A descrição é umastring que informa o que a variável representa. O

acesso é o tipo de controle que se pode ter sobre o objeto (somente leitura, leitura e escrita

ou não acessível).

3.3.2 Operações Realizadas pelo Protocolo SNMP

Por ser um protocolo de gerenciamento de rede e trabalhar no nível de aplicação, de acordo

com Breitgand, Raz e Shavitt (2002), o SNMP utiliza o UDP comoprotocolo de transporte, ou

seja, ele pode apenas ler ou alterar o conteúdo das variáveispor meio de algumas operações

básicas: (SETeGET) e suas derivações (GET-NEXT, TRAP), as quais são descritas a seguir:

a) a operaçãoSET é utilizada para alterar o valor da variável dos agentes, umavez que

para cadaSetRequestexecutado pelo gerente, o agente responde com umGetResponse,

alterando assim o valor da variável;

b) a operaçãoGET é utilizada pelo gerente para ler o valor da variável dos agentes, podendo

ser de dois tipos:GetRequesto qual recupera a primeira informação da lista de infor-

mação de um objeto e oGetNextRequestque recupera a próxima informação disponível

na lista a partir da última informação solicitada. Lembrando que para cadaGetRequest

ouGetNextRequestenviado pelo gerente aos agentes, o mesmo retornará com umGetRe-

sponse.

c) a operaçãoTRAPé utilizada pelo agente para comunicar um evento ao gerente,mesmo

que não o tenha solicitado. São sete tipos básicos detrap determinados:

– coldStart: a entidade que a envia foi reinicializada, indicando que a configuração do

agente ou a implementação pode ter sido alterada;

– warmStart: a entidade que a envia foi reinicializada, porém a configuração do agente

e a implementação não foram alteradas;

– linkDown: o enlace de comunicação foi interrompido;

– linkUp: o enlace de comunicação foi estabelecido;

– authenticationFailure: o agente recebeu uma mensagem SNMP do gerente que não

foi autenticada;

– egpNeighborLoss: um parEGPparou;

– enterpriseSpecific: indica a ocorrência de uma operaçãoTRAPnão básica.

Na Figura??, é mostrado como são trocadas as informações entre um gerente e um agente

utilizando as mensagens SNMP, a qual é formada peloProtocol Data Unit(PDU), cujo con-


teúdo é formado por: um número que indica a versão do protocolo SNMP, um nome de comu-

nidade que serve como uma senha para autenticação da mensagem e um código de acordo com

a Tabela 2.

Figura 15 -Modelo de comunicação entre gerente e agente usando SNMP.

Fonte: Adaptado de Mauro e Schmidt (2005)

Tabela 2 -Operações do SNMP - Códigos da PDU.

PDU Interação Descrição

0 - GetRequest Gerente-agenteSolicitação de leitura sobre conteúdo dos objetivos: apenas

uma instância de objeto.

1 - GetNextRequestGerente-agenteSolicitação de leitura sobre conteúdo dos objetivos: próx-

imo na lista.

2 - SetRequest Gerente-agenteAltera o valor de um objeto.

3 - GetResponse Agente-gerenteRetorna o valor de um objeto ao pedido do gerente.

4 - Trap Agente-gerenteNotifica o gerente da ocorrência de um evento excepcional.

Fonte: (MAURO; SCHMIDT, 2005).


Se o agente e o gerente em questão for da mesma versão do SNMP e ogerente enviar o

nome da comunidade correta, a PDU da mensagem será processada. A PDU é formado por

um código que identifica o tipo da mesma, o nome do objeto envolvido na operação e o código

de erro. Como explicado anteriormente, a PDU do tipoGetRequesté enviada por um gerente,

contendo o nome dos objetos cujo valores são consultados, tornando-se uma operação atômica,

ou seja, ou todos os valores consultados são devolvidos, ou nenhum é desenvolvido. Já a PDU

do tipo GetNextRequesttambém é enviada por um gerente contendo as informações de um

ou mais objetos que serão consultados. A PDU do tipoSetRequesté enviada por um gerente

solicitando os valores alterados das variáveis monitoradas.

Resumindo, o agente responde com uma PDU do tipoGetResponse, contendo os valores

das variáveis em questão, juntamente com um código de erro associado que por sua vez indica

se a operação foi realizado com sucesso ou falha; e caso seja retornado com um código de falha,

os valores solicitados não serão enviados, como pode ser visto na Tabela 3.

Tabela 3 -Operações do SNMP - Códigos de erros.

status de Erro Descrição0 - noError Operação bem sucedida.1 - tooBig PDUGetResponseextrapola limite local2 - noSuchNameNão existe objeto com o nome solicitado.3 - BadValue Uma PDU SetRequestcontém uma variável de tipo,

tamanho ou valor inconsistente.4 - readOnly Compatibilidade SNMP.5 - genErr Erro Genérico.

Fonte: (MAURO; SCHMIDT, 2005).

3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR

De acordo com Galstad (2007), este complemento é desenhado para permitir que sejam ex-

ecutados ospluginsdo Nagios em computadores remotos com SO Linux, possibilitando assim

que o Nagios monitore recursos “locais”, como carga da CPU, uso de memória, etc. Uma vez

que recursos públicos não são expostos para máquinas externas, é necessário um agente, como

o NRPE, instalado diretamente nos computadores Linux remotos.

3.4.1 Características do NRPE

O NRPE é composto por dois complementos, onde o primeiro é oplugin check_nrpeque

está localizado nohostde monitoramento e o segundo complemento é odaemon NRPE, o qual

vai estar presente nas máquinas remotas. Na Figura 16 é mostrada a visão geral do NRPE.


Figura 16 -Esquema da visão geral do NRPE.

Servidor de Monitoramento

Nagios check_nrpe

SSL

NRPE

Máquina Linux/Unix Remota

check_disk

check_load

check_ftp

check_http

Recursose

ServiçosLocais

ServiçosRemotos

emoutros Hosts


Seu funcionamento é baseado nas seguintes etapas:

1◦ passo: É executado umplugin chamadocheck_nrpe, o qual retorna que um serviço deve ser

checado;

2◦ passo: O plugin realiza uma comunicação com odaemonNRPE do computador remoto através

de uma conexão protegida por SSL;

3◦ passo: O daemoné responsável por rodar umpluginque checa o serviço ou o recurso desejado;

4◦ passo: As informações obtidas nas etapas anteriores, são repassadas aoplugin check_nrpepelo

daemonNRPE, retornando assim ao processo do Nagios. Lembrando quepara que ocorra

todas as etapas, é necessário que oplugin do Nagios esteja instalado em todos os com-

putadores da rede.

3.4.2 Formas de Checagens do NRPE

Nesta seção será explicado os dois tipos de checagens que o módulo NRPE realiza:

• Direta: Consiste em monitorar recursos “locais” e “privados”, na máquina Linux/Unix

remota. Isto inclui recursos como carga da CPU, uso de memória, uso deswap, usuários

conectados atualmente, uso de disco, estado de processos, etc. Na Figura 17 é mostrado

o esquema.

3.5 FERRAMENTA IPTABLES 70

Figura 17 -Esquema da checagem direta.


Nagios check_nrpe

SSL

NRPE

check_disk

check_load

Recursose

ServiçosLocais

Máquina Linux/Unix Remota

Fonte: Galstad (2007).

• Indireta : Consiste em checar serviços e recursos “públicos” de servidores remotos, que

podem não estar diretamente visíveis ao servidor de monitoramento (Nagios). Isso pode

ser visto na Figura??, a seguir.

Figura 18 -Esquema da checagem indireta.


Nagios check_nrpe

SSL

NRPE

check_disk

check_load

Máquina Linux/Unix RemotaServidor Web

Remoto

HTTP

FTP


3.5 FERRAMENTAIPTABLES

De acordo com Purdy (2004), quando se fala emfirewall, pensa-se em um dispositivo ded-

icado ou um equipamento que é colocado entre o servidor e a internet (Figura 19), entretanto,

firewalls dedicados também estão entre os mais utilizados pelos administradores em grandes

redes, onde o investimento é justificável.

Pode-se também obter um nível de segurança similar ou até superior, simplesmente usando

os recursos nativos do sistema, utilizando o móduloiptables. O firewall trabalha como um

fiscal, que vai analisar todos os pacotes que chegam, decidindo qual deve passar e qual deve

ficar retido, através de um conjunto de regras definidas em suaconfiguração.


Figura 19 -Ilustração de umfirewall.

Fonte: NETO (2004).

PAREI AQUI

Existem vários tipos de servidores, dentre eles o destinadoa compartilhar a conexão com

a internet e proteger os computadores da rede local, que utilizam regras de compartilhamento

da conexão através do módulo NAT, combinadas com regras de acesso ou bloqueio para os

computadores da rede local e tráfego proveniente da internet; e os destinados a abrir ou fechar

portas de comunicações ou redirecionar alguma porta específica para um computadores dentro

da rede local executando algumsoftwareque necessite de portas de entrada, deixando bloqueada

todas as demais.

Em um servidor de internet, por sua vez, não se pode simplesmente bloquear todas as

portas, pois senão o usuário não conseguiria acessar o ambiente externo de sua rede. Ou seja,

se o administrador de redes fechasse todas as portas de comunicação, o usuário não navegaria

na internet; uma vez que, por definição, o servidor deve receber requisições dos usuários e

disponibilizar as páginas hospedadas, entre outros recursos solicitados pelos mesmos.

Para que o usuário consiga acessar a rede, o administrador então, deverá fazer uma con-

figuração mais cuidadosa, listando os serviços que devem ficar disponíveis, abrindo as portas

referentes a eles e fechando todas as demais. As portas básicas para um servidor web, por

exemplo, são:

• portas 22 (SSH);


• porta 53 (DNS);

• portas 80 e 443 (WEB).

Atualmente existem váriosfirewalls gráficos para Linux, como oShorewall Endian Fire-

wall, Smoothwall, Firestarterdentre outros. Todos variam em nível de facilidade e recursos,

oferecendo uma interface de fácil manipulação e gerando as regras doiptablesde acordo com a

configuração feita.

Alguns administradores de rede escolhem usar um programa muitas vezes de código fechado

que melhor atenda as necessidades, mas muitos preferem configurar diretamente usando oipt-

ablescom as regras que definem condições onde os pacotes serão aceitos ou recusados.

De acordo com NETO (2004),Netfilteré um módulo doKerneldo Linux responsável pelo

controle da rede e das funções do módulo NAT,Firewall e log do sistema.Iptablesé o nome

da ferramenta que controla o móduloNetfilter, e é o termo utilizado para se referenciar as

funcionalidades doNetfilter.

O pacoteiptablesjá vem instalado na maioria das distribuições Linux por padrão, porém,

se não tiver o módulo instalado basta utilizar o seguinte comando:

apt-get install iptables

3.5.1 Funcionamento doIptables

De acordo com Lobo, Marchi e Provetti (2012), seu funcionamento é baseado em pares

de regras que filtram pacotes de determinadas redes, gerandouma ação que define qual atitude

deve ser tomada quando um pacote se enquadrar em uma determinada regra, como por exemplo

a ação de recusar, ou seja, bloquear pacotes duvidosos da rede.

O nomeiptablesvem do fato de que esta ferramenta trabalha baseada em tabelas, em que

cada tabela possui uma função específica para o tratamento dos pacotes de acordo com a Tabela

4.

Tabela 4 -Tabela de tratamento dos pacotes.

Tabela DescriçãoRAW Faz pequenas mudanças nos pacotes. Geralmente utilizada para colocar marcas.NAT Muda os cabeçalhos dos pacotes, usado para realizar o NAT.MANGLE Realiza alterações específicas nos pacotes.FILTER Utilizado para filtragem dos pacotes.

Fonte: (NETO, 2004).


3.5.2 Cadeias /Chainsdo Iptables

No iptablesexiste o conceito de cadeias ouchains(regras) que auxilia no entendimento

de como oNetfiltermonitora os pacotes, que já foi implementado noipchainse melhorado no

iptables(NETO, 2004).

Na Tabela 5 são apresentadas as principais regras e descrições das cadeias.

Tabela 5 -Tabela de regras das cadeias doiptables.

Cadeia DescriçãoINPUT Tráfego que tem como destino a própria máquina.FORWARD Consultado os dados que são redirecionados para outra in-

terface de rede ou outra máquina.OUTPUT Tráfego gerado localmente, tanto como destino local

quanto remoto.PREROUTING Utilizado no tráfego que chega no servidor.POSTROUTINGUtiliza em todo o tráfego que sai do servidor.


3.5.3 Políticas de Trabalho doIptables

O iptablestrabalha com algumas configurações padrão ou como é conhecida na informática,

configuraçõesdefault. O mais comum é quando um pacote que está sendo analisado não se

enquadra em nenhuma das regras estabelecidas, a política padrão utilizada é a DROP, ou seja,

o pacote será descartado (FANG; HAN; LI, 2009).

Toda regra que é criada, tem umtarget, ou seja, tem uma lista de ação que pode ser real-

izada, como apresentado na Tabela 6.

Tabela 6 -Tabela de ações a serem realizadas nos pacotes analisados.

Target DescriçãoACCEPT O pacote que está sendo analisado é aceito na rede.DROP O pacote que está sendo analisado é descartado.REJECT O pacote analisado é rejeitado e uma mensagem

ICMP é enviada à origem.USER_CHAIN O pacote analisado será enviado para outrachain.


Para se utilizar oiptablesnecessita-se de algumas regras que devem ser manipuladas como

root. Nas Tabelas 7 e 8 são apresentados alguns comandos e parâmetros para especificar as

regras trabalhadas nofirewall.


Tabela 7 -Tabela de comandos para manipular regras dofirewall.

Comando Descrição-N [regra] Cria uma regra.-X [regra] Apaga uma regra.-P [regra] [ação] Muda a política padrão de uma regra.-L [regra] Lista as regras dos módulos usados para configurar ofire-

wall que estão ativos.-F [regra] Apaga todas as regras ativas.-A [regra] Acrescenta uma regra.-I [regra] [num linha] Insere uma regra numa posição.-R [regra] [num linha] Troca de posição a regra.-D [regra] Apaga a regra.


Tabela 8 -Parâmetros para utilizar as regras nos comandos:add, delete, insert, replaceeappend.

Parâmetros Descrição

-s [endereço] Especifica o endereço de origem.

-d [endereço] Especifica o endereço de destino.

-p [ptotocolo] Especifica o protocolo que será trabalhado.

-i [interface] Especifica a interface de entrada dos pacotes.

-o [interface] Especifica a interface de saída dos pacotes.

-f Indica que a regra deve ser aplicada somente a frag-

mentos, a partir do segundo pacote.

-j [alvo] Indica qual a ação que deve ser tomada caso a regra

seja ativada.


Como explicado anteriormente as regras deiptablesdevem ser executadas somente como

root e os mesmo podem ser feita viashell-script.

O shellé um programa interativo que serve como interpretador de linha de comando. Ele

pesquisa por um comando e executa o programa a ele associado,substitui os valores das var-

iáveis doshell pelo conteúdo a ela associado, executa substituição de comandos, completa

nomes de arquivos a partir de caracteres de geração de nomes de arquivos (curingas), manipula

redirecionamento de entrada, saída epipelines. Ele é responsável pela interface entre o usuário

e o SO, traduzindo os comandos por ele digitados para ohardwareexecutar. Oshell contém

uma interface de programação interpretada, incluindo testes, desvios eloops. Aos programas

criados usando a interface programada do Linux dá-se o nome deshell script(JARGAS, 2008).


Através doshell scripté possível criarscript com linhas de comandos que facilita a ma-

nipulação doiptables, visto que todas as vezes que um computador for configurada como um

firewall e for desligado, ao reiniciar, terá de ser digitado todas as regras doiptablesnovamente.

Para evitar todo esse trabalho, basta criar um arquivo de texto com todas as regras doiptablese

configurar para ser executado na inicialização do computador.

3.5.4 Listando as Regras doIptables

A principal tabela doiptablesé a tabelafilter; portanto para mostrar as regras que estão

ativas nofirewall, basta executar o seguinte comando:

iptables -L

que retornará os seguintes dados:

Chain INPUT (poli y ACCEPT)

target prot opt sour e destination

Chain FORWARD (poli y ACCEPT)


Chain OUTPUT (poli y ACCEPT)


Caso queira-se listar as opções de cada regra de uma outra tabela específica, basta usar o

seguinte parâmetro:-t.

iptables -L -t mangle

que retornará as cinco opções que a tabelamangleimplementa:

Chain PREROUTING (poli y ACCEPT)








Chain POSTROUTING (poli y ACCEPT)



3.5.5 Bloqueando Portas

Uma das principais funcionalidades doiptablesé o bloqueio de portas que pode ser real-

izado, como por exemplo, caso se deseja bloquear a porta 22 doserviçosshdemonstrado a

seguir:

iptables -A INPUT -p -dport 22 -j DROP

ou também pode-se utilizar o seguinte comando:

iptables -A INPUT -p t p -dport 22 -j REJECT

Onde ambos comandos realizam a mesma finalidade que é de bloquear a porta 22, no en-

tanto, quando se utiliza o parâmetroDROP, ele simplesmente descarta o pacote quando o mesmo

chega ao servidor, já com o parâmetroREJECT, além de descartar o pacote, ainda envia uma

notificação a origem informando que o pacote não foi aceito.

3.5.6 Apagando uma Regra noIptables

As duas formas mais utilizadas para apagar regras que são inseridas nofirewall são:

• Apagando as regras de uma única vez;

• Apagar uma regra especifica de uma determinada tabela.

Para se apagar todas as regras, basta usar o seguinte comando:

iptables -t [tabela℄ -F

OBS: Se não for especificado uma tabela, a tabela padrão a ser utilizada é afilter. Como

exemplo, será utilizada a tabelafilter, que aparece da seguinte maneira:



DROP t p -- anywhere anywhere t p dpt:smtp

DROP t p -- anywhere anywhere t p dpt:http

DROP t p -- anywhere anywhere t p dpt:ssh





Caso o usuário necessite remover a regraDROPreferente a porta 80 utilizado para navegar

na internet (http), basta usar a regra com a seguinte sintaxe:


iptables -t [tabela℄ -D [regra℄ [ruleid℄

onde oruleid indica qual linha dentro da tabela que o usuário deseja eliminar, contando

de cima para baixo. Exemplo:

iptables -t filter -D INPUT 2

3.5.7 Funcionamento doIptables

Como se sabe, okernelguarda as regras em tabelas. Uma delas em especial, afilter, ar-

mazena as regras em listas, que são conhecidas comofirewall chainsou simplesmenteFOR-

WARD. Cada vez que um pacote chega a um computador-destino, o mesmo é analisado e en-

caminhado de acordo com a regra criada. Isto é efeito consultando cadachaindesta, sucessiva-

mente, até que seja decidido o que fazer. Tem-se na Figura 20,um exemplo:

Figura 20 -Diagrama do funcionamento doiptables

Entrada Decisãode Roteamento

FORWARD SAÍDA

OUTPUT

Processamento Local

INPUT

Fonte: Autoria própria.

Esse diagrama pode ser explicado da seguinte forma:

1. Quando o pacote chega (por uma placa de rede, por exemplo),o kernelexecuta a análise

do destino do pacote, realizando o que chamamos de roteamento (routing).

2. Se o pacote tem como destino o próprio computador, é direcionado para achain INPUT.

Se passar pelachain INPUT, então o computador recebe o pacote.

3. Se okernelnão tem suporte aoforwardingou não sabe como repassar (forward) o pacote,

este é descartado. Se há suporte aforwardinge o pacote é destinado a outra interface de

rede (caso exista outra), o pacote vai para achain FORWARD. Se o mesmo for aceite

(ACCEPT), ele será enviado.


4. Finalmente, um programa rodando no computadorfirewall pode enviar pacotes. Esses

pacotes passam pelachain OUTPUTimediatamente: se ela aceitar o pacote, ele continua

seu caminho, caso contrário, ele é descartado (DROP).

3.5.8 Estratégia para Montagem de umFirewall Eficiente

De acordo com Marcelo (2003), antes de decidir implementar um firewall, é importante ter

o conhecimento de algumas estratégias básicas empregadas na construção destes. Visando uma

maior segurança dofirewall, o mesmo será dividido em métodos que serão analisados a seguir:

1. Menor Privilégio

O princípio do menor privilégio, é aquele que preza por delegar somente os privilégios

necessários para que um determinado objeto possa realizar sua função na organização,

mas é preciso tomar muito cuidado para não atribuir privilégios menores que o necessário,

pois desta forma, tal objeto não conseguirá realizar suas tarefas. Esse método é larga-

mente utilizado, sendo importante para eliminar ou amenizar os danos causados por pes-

soas mal intencionadas.

Como exemplo, têm-se os fabricantes de automóveis que configuram suas fechaduras de

forma que uma única chave sirva para as portas e a ignição e umachave diferente sirva

para o porta luvas e o porta malas; isto é, pode-se impor o menor privilégio dando ao

manobrista do estacionamento a possibilidade de estacionar o carro sem ter acesso ao que

está guardado no porta-malas. Muitas pessoas utilizam chaveiros separados pela mesma

razão. O usuário também pode impor o menor privilégio dando aalguém a chave de seu

carro, mas não a chave da casa.

Um sistema de filtragem de pacotes projetado para permitir apenas a entrada de pacotes

para serviços necessários é outro exemplo do princípio do menor privilégio. Ele é muito

utilizado em grande escala, por sua simplicidade e eficiência.

No contexto de internet, existem vários exemplos:

a) todo usuário não precisa acessar todos os serviços de internet existentes;

b) todo usuário não precisa modificar todos os arquivos em seusistema;

c) todo usuário não precisa saber da senha deroot (administrador) do computador;

d) todo administrador de sistema não precisa conhecer as senhas deroot de todos os

sistemas;

e) todo sistema não precisa acessar todos os arquivos de outro sistema;

f) o princípio do menor privilégio sugere que se devem explorar meios para reduzir os

privilégios necessários para diversas operações. Por exemplo:


– não dê a um usuário direitos administrativos de um sistema, se tudo que ele

precisa é executar oapache;

– não faça um programa ser executado como membro de um grupo altamente

privilegiado, se tudo que ele precisa é fazer uma gravação emum arquivo, em

vez disso, agrupe o arquivo em um grupo e faça o programa ser executado como

um membro deste grupo;

– não faça sua rede interna confiar em um dosfirewall, mas sim ofirewall confiar

na sua rede interna.

Muitos dos problemas de segurança na internet podem ser evitados com a utilização deste

princípio. Por exemplo, oSendmail1 é um alvo muito visado pelos atacantes, pelo fato de

funcionar acoplado aoroot e de seu alto nível de complexidade, que aumenta a ocorrência

debugs. Por isso, programas privilegiados devem ser tão simples quanto possíveis. Caso

um programa complexo exija privilégios acentuados, deve-se procurar meios de separar

e isolar as partes que necessitam destes privilégios das quenão precisam.

2. Defesa em Profundidade

Este princípio de segurança é destinado a prevenção dos acidentes e a minimização das

respectivas consequências, evitando assim que um problemaisolado se alastre pelo sis-

tema, instituindo múltiplos, redundantes e independentesníveis de proteção. A ideia aqui

é não depender de um único método de defesa, instalando vários níveis de proteção, tor-

nando a tentativa de invasão arriscada ou cansativa demais para os atacantes. Isto porque

as chances de violar um nível de proteção do sistema são muitomaiores do que a chance

de violar um sistema com vários níveis de segurança.

3. Ponto de Estrangulamento

Existem muitos exemplos fáceis de citar para se entender este princípio: o guichê do pedá-

gio, o caixa de supermercado ou do banco. O ponto de estrangulamento (Choke Point)

força as pessoas a usarem um meio estreito, para que o administrador possa monitorar

o que está ocorrendo. Normalmente, ofirewall em sua rede é esse ponto de estrangula-

mento; qualquer atacante que desejar entrar na rede deve passar obrigatoriamente pelo

firewall. O administrador deve estar preparado para responder a taisataques.

O planejamento e utilização desse método não compensam se houver uma outra maneira

de um atacante acessar a rede, que não seja ponto de estrangulamento. Afinal de contas,

de que adianta travar uma batalha contra ofirewall se pode-se dar a volta, buscando uma

outra maneira de acessar a rede?

Por isso deve-se garantir um ponto de estrangulamento eficiente.

1Tipo de servidor de e-mail Linux.


4. Simplicidade

É uma estratégia de segurança, pois, manter as coisas mais simples, as torna mais fáceis

de se entender. Se algo não é compreendido, não se pode realmente saber se o mesmo

é ou não seguro. Programas complexos têm maisbugs, sendo que cada um deles pode

constituir um problema de segurança.

Apenas deve-se tomar cuidado de não sacrificar a segurança para conseguir simplicidade,

já que a segurança efetiva é complexa por natureza. O importante é manter um sistema

que possa compreender sem perder a segurança e a confiabilidade.

5. Obscuridade

Manter a segurança pela obscuridade é um princípio nada confiável, pois consiste unica-

mente em ocultar as coisas. Exemplos práticos deste método são:

a) colocar um computador na internet e achar que ninguém tentará invadí-lo, simples-

mente porque ninguém sabe sobre ele;

b) abrir um servidor apache2 em outra porta diferente para que ninguém a utilize, a não

ser as pessoas que o administrador informou sobre sua existência;

c) configurar a rede de forma que usuários internos vejam informações de uma maneira

e usuários externos - (internet) - não consigam ver tais informações, como portas e

serviços prestados nos servidores.

Deve-se observar alguns pontos:

a) sempre utilizar esta técnica em conjunto de outras, pois manter a segurança apenas

através da obscuridade é muito ruim;

b) não anunciar algo não é o mesmo que ocultá-lo;

c) utilizar um sistema de criptografia desconhecido não garante segurança nenhuma.

De acordo com os protocolos, módulos e conceitos apresentados, foi criado um módulo

para facilitar a administração remota de servidores e serviços da rede.

Os detalhes do módulo estão apresentados na Capítulo 4 seguinte.

2Tipo de servidor web Linux

81

4 FERRAMENTA PROPOSTA PARA UM GERENCIAMENTO INTEGRADO

Neste capítulo, é apresentado uma nova ferramenta desenvolvida para o gerenciamento

integrado de redes locais com o uso de software livre, composta de uma interface gráfica que

integra diversos serviços de redes, além de incorporar a documentação na própria ferramenta.

4.1 FERRAMENTAS EXISTENTES

Atualmente existem no mercado diversas ferramentas que sãoutilizadas para o gerencia-

mento, administração e monitoramento de redes corporativas. Nesta seção faz-se um levanta-

mento das principais características de algumas ferramentas que existem para estas finalidades.

As ferramentas analisadas são:

a) IPCOP;

b)

• Endian Firewall;

c) PFSENSE;

d) SMOOTHWALL.

4.1.1 Sistema IPCOP

Segundo Beglinger (2013), este sistema é baseado em uma distribuição Linux distribuída

sob GPL, semelhante aoEndian Firewallque será discutido na sequência, com o objetivo de

proporcionar um elevado nível de segurança em redes de pequena e média empresa.

O sistema possui umkernelpróprio, ou seja, ele por si só é uma distribuição Linux; com

kernel2.6, suporte a RAID, arquiteturaAlpha, Power PCe Sparc.

Além disso o sistema possui algumas ferramentas integradascomoOpen Virtual Private

Network - OpenVPN,proxy, firewall, proxy/squid, serviço SSH, monitoramento de tráfego,

serviço DHCP, dentre outras.

Seu acesso é realizado por um navegador web com conexãoSecure Socket Layer(SSL) e

criptografada. Sua desvantagem é por possuir o código fontecomo uma “caixa fechada”, ou


seja, não se tem o acesso ao código fonte, além do que, para quepossa ser instalado obrigatori-

amente tem que ter pelo menos duas placas de redes, instaladas no computador.

Requisitos mínimos dehardware:

• Processador de no mínimo 1 GHz ou superior;

• 20 GB de espaço em disco;

• 512 MB memóriaRAM;

• 2 placas de redes.

4.1.2 Sistema Endian Firewall

Segundo Vallazza (2004), ele é um SO Linux, ou seja já possui um kernelpróprio, baseado

no sistema IPCOP. Trata-se de uma ferramenta de monitoramento de redes que contempla várias

funcionalidades de segurança comofirewall, proxye que trabalha com vários protocolos como

HTTP, FTP, POP3, SMTP. Tem controle de conteúdo por usuário,Intrusion Prevention, an-

tivirus, filtragem despam, VPN; e que também foi baseado no conceito de Central Unificada de

Gerenciamento de Ameaças - CUGA.

Sua administração é realizada através de um navegador web.

Sua desvantagem é de possuir algumas limitações principalmente referentes a suporte e

garantia. O exemplo que pode ser tomado, é referente ao gerenciamento, pois na versão com-

ercial existe a assistência, monitoração e atualização porparte da Endian, enquanto na versão

gratuita estes devem ser efetuados pela própria empresa queo utiliza. Além disso, para que

possa ser instalado obrigatoriamente tem que ter pelo menosduas placas de redes instaladas no

computador.






4.1.3 Sistema pfSense

Segundo Buechler (2013), o sistema pfSense é um projeto que foi iniciado em 2004, baseado

na então conhecida plataforma UNIX. O sistema possui um servidor web que suporta aplicações


em PHP, proporcionando uma interação amigável entre usuário e sistema, chamada deDash-

board. Esse conceito de configuração em modo gráfico utiliza os mesmos recursos de um

serviço web. Essa ideia foi aproveitada do sistema m0n0wall(KASPER, 2012), que foi o

primeiro sistema criado, o qual deu origem ao pfSense.

A criação do pfSense, foi motivada pelo fato de que a UNIX era oúnico que dominava a

tecnologiawirelessde forma bastante avançada, possuindo até mesmo suporte à criptografia do

tipo WPA2, o que não era possível em outros sistemas na época.

O pfSense possui umkernelpróprio, o que o torna um sistema operacional. Também possui

os módulos defirewall, redundância defirewall, balanceamento de carga, monitoramento grá-

fico, servidor PPPOE, DNS dinâmico, servidor DHCP, suporte aNAT; mas todos com algumas

limitações. Por exemplo no balanceamento de carga a limitação presente é que nem todos os

recursos do OpenVPN são suportados, ou seja, a filtragem do tráfego do OpenVPN ainda não é

suportado.

Atualmente ele está em fase de tradução. Seu acesso é realizado somente através de um

navegador web. Uma outra desvantagem é que para que possa serinstalado obrigatoriamente

tem que ter duas placas de redes instaladas no computador para que seja possível inicializar a

instalação do sistema.






4.1.4 Sistema Smoothwall

Segundo Manning e Morrel (2012), o sistema Smoothwall também possui umkernelpróprio,

por isso é tratado como uma distribuição. Essa ferramenta possui algumas configurações como:

firewall, proxy, NAT, servidor DHCP suporte a redeswireless, antivirus. Também há a ne-

cessidade de se instalar no mínimo duas placas de redes no computador para a instalação e o

funcionamento do sistema. Ele é acessado também por um navegador.






• 2 placas de redes;

• Sistema 64 bits.

4.2 FERRAMENTA PROPOSTA

Pela análise das ferramentas citadas nas sub-seções anteriores, constatou-se que para instalá-

las é necessário que estejam instaladas duas placas de rede para que seja possível realizar as

configurações de rede durante a instalação do sistema, além do que o único acesso à ferra-

menta que o administrador teria, seria através de um navegador, onde realizaria apenas algumas

configurações específicas. Não se tem o acesso ao código fonte, caso deseje realizar algumas

mudanças que sejam necessária.

Considerando a ideia de Freitas (2010), discutido na seção 3.1 na página 56, afirmando

que o crescimento das redes de computadores, em tamanho e complexidade, faz com que os

sistemas de gerência baseados em um único gerente sejam inapropriados; teve-se o intuito de

criar uma ferramenta para desmembrar a gerência de rede, facilitando assim seu monitoramento.

Como exemplo pode-se citar o câmpus Unesp de Ilha Solteira, em que a Reitoria monitora todo

o tráfego de informações da Universidade a partir da cidade de São Paulo. No câmpus de Ilha

Solteira, por se ter uma enorme quantidade de computadores,também há um controle realizado

pelo Serviço Técnico de Informática (STI) local que gerencia todo o parque computacional do

câmpus. Particularmente, o Departamento de Engenharia Elétrica possui uma quantidade con-

siderável de computadores (acima de 400), possuindo cerca de vinte laboratórios de pesquisa.

Cada câmpus através do seu STI gerencia os laboratórios didáticos e outros computadores

que por ventura se contectam na rede. Logo a ideia é descentralizar o gerenciamento da rede,

caso por ventura algum administrador ou professor responsável de laboratório didático queira

monitorá-lo separadamente, como por exemplo o Laboratóriode Linux de Processamento Par-

alelo (LLPP) do Departamento de Engenharia Elétrica. Com o uso da ferramenta SSM é pos-

sível gerenciá-la bem como gerenciar as regras de segurançaseparadamente dos outros labo-

ratórios, promovendo assim a distribuição da gerência da rede pela divisão das responsabilidade

com gerentes locais.

Para isso, utilizou-se o SO Ubuntu, como comentado na seção 2.8, página 51 para imple-

mentação de alguns serviços centralizados em uma úinica ferramenta o gerenciamento da rede

local do LLPP, em que os computadores permanecem estar ligados ineterruptamente.

Com o objetivo de melhorar a administração e agilizar o gerenciamento de rede, foi de-

senvolvida uma ferramenta que integra várias ferramentas de forma gráfica com os seguintes

recursos:firewall (bloqueio/desbloqueio de portas TCP e UDP, endereços IP’s), configuração


das placas de redes internas e externas, serviço DHCP, configuração das opções doproxy, acesso

a relatóriosSargeMRTG, controle de banda, teste de velocidade de conexão, monitoramento da

rede com serviços Nagios, Nagvis e Cacti, alteração de senhae a possibilidade de reinicializar

e desligar o servidor. A ferramenta foi idealizada de forma modular, o que permite a inclusão

de novos módulos a posteori. Esta ferramenta foi denominadaSilent Security Monitor(SSM).

Na criação da ferramenta foram utilizadas as linguagensPHP 1 (TUCOWS, 2013) eshell

script (JARGAS, 2008) para a utilização descriptpara automatizar em configuração de serviços

no servidor, os quais são executados embackground. Na Figura 21 é apresentado um diagrama

de blocos que ilustra o funcionamento da ferramenta.

Figura 21 -Diagrama de blocos ilustrativo da ferramenta SSM.Firewall

Configuração DHCP

Alteração de IPConfiguração de Proxy

Relatório da Máquina

Relatório de Acesso

Controle de BandaTeste de Conexão

Monitoramento da RedeAlteração de Senha

RebootDesligar

Tela de Login Tela Principal Shell Script


Para que o administrador possa utilizar a ferramenta, é necessário que o mesmo abra um

navegador, de preferência oFirefox, e no lugar em que se digita os endereços do sítio deve-se

digitar o endereço IP do computador em que a ferramenta está instalada da seguinte forma:

http://192.168.1.103/default/index.php

ou

http://lo alhost/default/index.php

Aparecendo a seguir a tela apresentada na Figura 22, em que sedigitará umlogin e senha

préviamente cadastrados, e após escolherá a opçãoEntrar se terá acesso a tela mostrada na

Figura 23.

1Para a montagem das páginas web


Figura 22 -Tela login para acessar a interface SSM.


Figura 23 -Tela principal da interface SSM.



A partir da tela mostrada na Figura 23, o administrador poderá acessar e configurar os

seguintes serviços:

• Firewall

– Configurar bloqueio e liberação de portas UDP e TCP;

– Bloqueio e desbloqueio de endereços IP’s;

– Liberação ou bloqueio de IP’s atrelado ao endereço MAC da placa de rede.

• Alteração dos endereços IP’s das placas de redes interna e externa;

• Configuração de um servidor DHCP;

• Configuração do serviço deproxy;

• Relatórios de acesso estatusdo servidor;

• Controle de banda;

• Teste de Conexão;

• Monitoramento da rede com Nagios, Nagvis e Cacti;

• Alteração de senha do usuárioadmin;

• Reinicialização do computador;

• Desligamento do computador.

Nas seções seguintes, detalhar-se-á todos estes serviços.

4.2.1 Firewall

Para configurar ofirewall pela interface SSM, não há a necessidade de se utilizar longas

linhas de comandos, pois foram criados algunsscriptsque farão a função de bloquear e liberar

IP’s, portas de comunicações e controle de IP atrelado comMAC, tudo centralizado em uma

única interface gráfica, em que se encontram vários serviçosque podem ser configurados em

um firewall, facilitando e muito a vida de um administrador de rede, comopode ser visto na

Figura 24.


Figura 24 -Tela de serviços dofirewall.


O funcionamento desta etapa do serviço consiste em diversasopções de configuração de

umfirewall, já criado emscripts, que aparecerão no navegador em forma de campos. Variáveis

serão alimentadas conforme o administrador preenche os dados nos respectivos campos e poste-

riormente, acionando-se o botãoAplicar, ativam-se osscriptsembackground, sendo totalmente

transparente ao usuário.

Nesta unificação de serviços, é possível configurar:

a) bloqueio e desbloqueio de portas UDP;

b) bloqueio e desbloqueio de portas TCP;

c) bloqueio e desbloqueio de IP’s;

a) redirecionamento de IP;


a) controle de IP+MAC.

Para todas estas opções são apresentadas, na própria ferramenta, uma descrição de cada

serviço a ser realizado.

4.2.2 Alteração de IP

Para que um servidor possa funcionar em qualquer rede, ele precisa de algumas configu-

rações primordiais, tais como: endereço IP das placas de redes (interna2 e externa3), endereço

degatewaye endereços de DNS.

Na tela apresentada na Figura 25, encontram-se as opções referentes a configurações necessárias

para a alteração de IP.

Figura 25 -Tela de configuração dos endereços de IP’s das placas de redes,gatewaye DNS.


Ao acionar o íconeConfiguração de IP, aparecerá a tela da Figura 26, em que o admin-

istrador optará pela configuração das placas de rede internaou externa.

2Utilizada para enviar as informações para a rede interna.3Utilizada para realizar a comunicação externa com a rede local.


Figura 26 -Tela de configuração dos endereços de IP das placas de redesexterna e interna.


Ao acionar a opçãoConfiguração de IP Rede Interna, poderá configurar ítens como:

a) endereço IP;

b) máscara de rede;

c) classe de rede.

Para configurar os itens citados acima, basta acionar o íconena forma de lápis e digitar as

informações necessárias conforme é apresentado na Figura 27. Posteriormente basta acionar a

opçãoApli ar para se ter configurada a placa de rede interna.

Voltando à Figura 26 com a escolha deConfiguração de IP no menu superior, e ao

acionar a opçãoConfiguração de IP Rede Externa, poder-se-á configurar as opções:

a) endereço IP;

b) máscara de rede.

Na tela mostrada na Figura 28, após digitar as informações solicitadas nos campos cor-

respondentes, com o acionamento prévio do ícone na forma de lápis, basta acionar a opção

Apli ar para se ter configurada a placa de rede externa.

Na sequência, com a escolha da opçãoAlteração de IP no menu superior, volta-se a

tela da Figura 25. Acionando-se agora a opçãoGateway, será possível configurar o endereço

de gatewayacionando o lápis e preenchendo o respectivo campo, conforme é mostrado na


Figura 27 -Tela de configuração do endereço de IP da placas de rede in-terna.


Figura 28 -Tela de configuração do endereço de IP da placa de rede externa.



Figura 29. Este endereço é conhecido como “portão de entrada”, ou seja, ele é responsável por

interligar duas redes que utilizam protocolos diferentes ecompartilhar a conexão com a internet

entre várias estações.

Figura 29 -Tela de configuração do endereço degateway.


Para finalizar a alteração de IP é necessário ainda especificar os endereços de DNS respon-

sável por relacionar o nome do sítio ao IP do mesmo. Isto é feito acionando-se inicialmente a

opção Configuração DNS conforme apresentada na Figura 25. Assim, se terá acesso a tela

mostrada na Figura??, em que, após o acionamento da opção lápis poderão ser alterados as

informações apresentadas automaticamente do arquivoresolv. onf.

Para isto, digita-se o endereço DNS no campoDNS e aciona-se o botãoCadastrar.

Por tanto, com o uso da ferramenta SSM e de modo conversacional, é possível configurar

todas as premissas de rede necessárias para que um servidor possa se conectar a rede.

A seguir, para efeitos de comparação, será realizada a alteração de IP, de forma manual, ou

seja, sem a utilização da ferramenta. Para isso, são necessários os seguintes passos:

1◦ passo: O administrador terá de logar comoroot para que possa ter acesso privilegiado ao

Linux. Todos os comandos devem ser executado em umpromptde um terminal de texto.

Para configurar o endereço IP e a máscara de rede da placa de rede interna deve-se digitar

o seguinte comando:

if onfig eth1 192.168.1.1 netmask 255.255.255.192

Apenas o comandoif onfig é utilizado para listas as interfaces de rede instaladas no

computador, mas em conjunto com outros comandos, é utilizado para configurar uma


placa de rede e sua máscara de rede, como foi usado neste exemplo, em que foi configu-

rado uma placa de rede com o endereço IP192.168.1.1, juntamente com sua máscara

de rede255.255.255.192. Para identificar qual placa de rede está sendo configurada

tem-se que especificar pela opçãoeth?, onde o? pode variar de 0 a um valor N inteiro.

Por padrão, adota-seeth1 como a interface (placa de rede) que será redirecionado paraa

rede interna, também conhecida como interface de rede interna.

2◦ passo: Para configurar o endereço IP e a máscara de rede da placa de rede externa deve-se

digitar o seguinte comando:


Neste caso foi utilizado a opçãoeth0, pois foi configurado o endereço IP e a máscara

de rede da placa de rede que irá receber olink de uma conexão de internet, também

conhecida como placa de rede externa.

3◦ passo: Para configurar o endereço degatewayda rede deve-se digitar o seguinte comando:

route add default gw 189.47.158.1

Como explicado anteriormente, ogatewayé o endereço de rede que é utilizado para ter o

acesso externo, ou seja, é o endereço IP que a informação utiliza para se ter acesso a rede

externa. Por isso se utiliza a linha de comando citada acima que consiste em: configurar

uma rota padrão do tipogatewaycujo endereço é 189.47.158.1.

4◦ passo: Para configurar os endereços de DNS, basta editar o arquivoresolv. onf, local-

izado em/et / e adicionar as seguintes linhas:

nameserver domain dee2.feis.unesp.br

sear h dee2.feis.unesp.br

nameserver 172.21.0.2

Essas três linhas de comandos são utilizadas para gerenciara navegação da internet. A

primeira linha, nameserver domain dee2.feis.unesp.br, faz uma busca direta no

endereço IP do computador responsável por ser o DNS (ou servidor de nomes) da rede;

a segunda linha,sear h dee2.feis.unesp.br, faz uma busca pelo nome do servidor

DNS, ou seja, verifica quais são os servidores de nome que devem ser buscados, mas por

padrão costuma ser um único, o local. A terceira e última linha, nameserver 172.21.0.2,

busca o servidor DNS através do endereço IP.


Uma observação a ser feita, com a apresentação desta comparação entre o uso da ferramenta

proposta e o uso convencional, é que pela última forma o administrador tem que conhecer previ-

amente os comandos e suas respectivas opções, além dos arquivos a serem alterados. Enquanto

que, com o uso da ferramenta proposta, isto não é necessário,pois os comandos já estão implíc-

itos nosscriptsque são executados embackground.

4.2.3 Configuração DHCP

Através da tela apresentada na Figura 31 é possível configurar o serviçoDynamic Host

Configuration Protocol(DHCP), responsável por atribuir endereços IP automaticamente aos

computadores que estão conectados a rede.

Para configurar esse serviço, basta apenas especificar o intervalo de endereço IP que será

utilizado pelo serviço, escolher a opçãoAtivar o Serviço e acionar o botãoApli ar.

Figura 31 -Funcionamento do servidor DHCP.


A seguir será realizada a mesma configuração, através de linhas de códigos e com o auxilio

de um terminal de texto, sem a utilização da ferramenta com osseguintes passos:

1◦ passo: Inicialmente é necessário estar logado comoroot para que se possa configurar o

serviço DHCP que consiste em editar as seguintes informações: endereço de rede, más-

cara de rede, intervalo de endereço IP,gateway, endereço de DNS e o debroadcast. É

necessário editar o seguinte arquivo:dh pd. onf, localizado em/et /dh p3/.


ddns-update-style none;

default-lease-time 600;

max-lease-time 7200;

authoritative;

subnet 192.168.1.0 netmask 255.255.255.192 {

range 192.168.1.2 192.168.1.100;

option routers 192.168.1.1;

option domain-name-servers 172.21.0.2;

option broad ast-address 192.168.1.255;

}

Neste arquivo as quatro primeiras linhas são configurações padrão, ou seja, não há a

necessidade de serem modificadas. Neste mesmo arquivo foi especificado o endereço

da rede, que como exemplo foi utilizado o endereço192.168.1.0, com a máscara de

rede255.255.255.192. Além disso, é necessário especificar o intervalo de endereços

IPs que será utilizado no serviço (192.168.1.2 - 192.168.1.100), o endereço de

gateway(192.168.1.1), o endereço de DNS (172.21.0.2) e o endereço debradcast

(192.168.1.255). Para inserir estas informações, é encessário utilizar umeditor de texto

que funcione via terminal; logo ao sair do arquivo, se faz necessário salvá-lo para que as

informações digitadas não se percam.

2◦ passo: Feito isso, deve-se digitar o seguinte comando para inicializar o serviço:

servi e dh pd stop

servi e dh pd start

Aqui, observa-se também a facilidade da configuração do DHCPvia ferramenta gráfica,

quando comparada com a forma convencional, em que o administrador tem que ter conheci-

mento právios de inúmeros comandos e respectivas opçoes.

4.2.4 Configuração doSquid/Proxy

Através da tela apresentada na Figura 32, é possível configurar os serviços de bloqueio de

sítio por:


a) palavras: consiste em bloquear os sítios que contenham as palavras-chave que foram

indicadas na configuração; por exemplo, caso deseja-se bloquear o sítio cujo endereço é

http:\\wwww.fa ebook. om basta cadastrar a palavrafacebookque quando o usuário

tentar acessar o sítio cujo endereço contenha a palavrafacebook, a mesma retornará uma

tela de acesso negado.

b) domínio: consiste em bloquear todo o sítio, ou seja, caso um sítio seja um subsítio de

um sítio, ele também será bloqueado; como por exemplo, caso oadministrador tenha blo-

queado o domíniowww.terra. om.br e deseja-se acessar um site que esteja hospedado

dentro deste domínio, o mesmo não será possível acessar.

c) extensão de um arquivo: consiste em bloquear uma extensão de um arquivo, como por

exemplo em que o administrador queira bloquear odownloadde um arquivo de música,

basta ele bloquear a extensão*.mp3e todas os arquivos.mp3serão bloqueados;

d) limitar tamanho de arquivo : consiste em limitar o tamanho do arquivo que será real-

izado odownload, ou seja, caso seja especificado um arquivo com tamanho de 3 MB, e o

usuário desejar baixar um arquivo maior, o sistema bloqueará essedownload.

Figura 32 -Tela de configuração das funcionalidades dosquid.


Essa configuração é toda facilitada, pois não se depende de longas linhas de códigos: as

mesmas já estão previstas nos correspondentesscriptse após o preenchimento de campos es-

pecíficos, as linhas de códigos serão executadas embackground.


Como explicado anteriormente na seção 2.2.1,na página 23, passo 3, é possivel configurar

o serviçoproxy/squidcom apenas quatro linhas. No entando, a configuração a ser realizada

aqui é mais avançada, por se tratar de uma monitoria mais segura da rede. O que será tratado

nesta configuração utilizando linhas de códigos com o auxilio do terminal de texto relaciona-se

apenas aos itens: configuração doproxytransparente, bloqueio de palavras, sítios e extensões.

A seguir será realizada a mesma configuração, mas de forma manual, sem a utilização da

ferramenta com os seguintes passos:

1◦ passo: Inicialmente deve-se editar o arquivosquid. onf localizado em/et /squid/,

conforme a seguir:

# Configuração Squid

# Modifi ado por Apio Carnielo e Silva

# Mensagens de erro em Português

error_dire tory /usr/share/squid/errors/Portuguese

# Porta do Squid

http_port 3128 transparent

# Nome do servidor

visible_hostname apio

# Ca he

a he_mem 700 MB




a he_swap_low 90

a he_swap_high 95

a he_dir diskd /var/ a he/squid/ 30000 16 256

# Logs de a esso


# Regras a l padrão

a l all sr 0.0.0.0/0.0.0.0


a l lo alhost sr 127.0.0.1/255.255.255.255


a l SSL_ports port 443 563 873

a l Safe_ports port 80 # http

a l Safe_ports port 21 # ftp

a l Safe_ports port 443 563 873 # https, snews

a l Safe_ports port 70 # gopher

a l Safe_ports port 210 # wais

a l Safe_ports port 280 # http-mgmt

a l Safe_ports port 488 # gss-http

a l Safe_ports port 591 # filemaker

a l Safe_ports port 777 # multiling http

a l Safe_ports port 901 # swat

a l Safe_ports port 1025-65535 # portas altas



####################################################################

# ACL'S DO USUARIO

####################################################################

a l network sr "/var/www/default/firewall/rede/txt/n_zero_rede.txt"

a l fora_da_regra sr "/var/www/default/firewall/proxy/vip.txt"

####################LIMITANDO DOWNLOAD##############################

a l html rep_mime_type text/html

reply_body_max_size 0 allow html

reply_body_max_size ` at "/var/www/default/firewall/proxy/limite.txt`

allow all !fora_da_regra

####################################################################

a l p_sites dstdomain "/var/www/default/firewall/proxy/ \

proibir_sites.txt"

a l p_exten url_regex "/var/www/default/firewall/proxy/ \

proibir_extensao.txt"

a l p_palav url_regex "/var/www/default/firewall/proxy/ \

proibir_palavras.txt"

####################################################################

http_a ess deny network p_sites

http_a ess deny network p_exten

http_a ess deny network p_palav


####################################################################

# Only allow a hemgr a ess from lo alhost




# Deny requests to unknown ports


# Deny CONNECT to other than SSL ports


# Bloqueio de usuários fora da rede

http_a ess deny all

Todos estes comandos, referentes aos acl’s do usuário, foram explicados detalhadamente

nas seções 2.2.1.1 até 2.2.1.4, páginas 27 a página 34.

2◦ passo: Para ativar oproxytransparente, há a necessidade de executar o comando abaixo. O

comando é responsável por configurar oproxy transparente, ele faz redirecionamento de

toda a navegação que passa pelaporta 80 passar automáticamente pelaporta 3128 .



3◦ passo: Para bloquear algum sítio utilizando palavras chaves, deve-se editar o arquivoproibir_palavras.txt

colocando as palavras chave como abaixo:

terra

sexo

globo

4◦ passo: Para bloquear algum domínio de um sítio utilizando palavraschave, deve-se editar o

arquivoproibir_sites.txt colocando as palavras chave como abaixo:

terra. om

globo. om

5◦ passo: Para bloquear odownloadde algum arquivo com uma extensão especial, deve-se

editar o arquivoproibir_extensao.txt colocando as palavras chave como abaixo:


.jpg

.mp3

.gif

6◦ passo: Feito isso, deve-se digitar no promtp do SO o seguinte comando para inicializar o

serviço:

servi e squid stop

servi e squid start

4.2.5 Relatórios

Através da tela apresentada na Figura 33, é possível visualizar relatórios para facilitar o

serviço do administrador de rede, tais como:

a) internet: mostra quanto foi o tráfego gerado na placa de rede externa;

b) rede local: mostra quanto foi o tráfego gerado na placa de rede local;

c) memória e processamento: mostra como está sendo utilizado a memória e o processador

da máquina, verificando assim se a mesma está sobrecarregadaou não;

d) disco rígido: Neste relatório o administrador monitora o espaço ocupadono Hard Disk

(HD);

e) relatórios de acesso: possibilita ao administrador monitorar todo o acesso dos usuários

na internet, facilitando assim quaisquer auditorias internas.

Outros relatórios, que podem auxiliar os administradores no monitoramento da rede, podem

ser inseridos de forma modular, acrescentando um novo íconenesta tela, que ao ser acionado

apresenta o novo relatório.

A fim de exemplificar, na Figura 34, é apresentado o relatório de tráfego gerado na placa de

rede que recebe olink de internet. Na sequência dos gráficos da Figura 34, são apresentados os

dados referentes a taxa de transferência de entrada e saída:diário, semanal, mensal e anual.


Figura 30 -Tela de configuração dos endereços de DNS.


Figura 33 -Tela de Relatórios internet, rede local, memória e processa-mento, status do disco rígido.



Figura 34 -Gráfico gerado pelo MRTG.



4.2.6 Controle Largura da Banda

Através da tela apresentada na Figura 35, o administrador é capaz de controlar olink de

navegação, ou seja, neste caso o administrador especifica o valor máximo dedownloadeupload

relacionando-o a um endereço de IP previamente selecionado. Ao acionar o botãoApli ar as

mudanças preestabelecidas são aplicadas.

Figura 35 -Tela de configuração do serviçobandlimit.


No exemplo da Figura 35 o endereço IP 192.168.1.4 teve suas larguras de banda dedown-

load e uploadambas limitados a 128 kB.

A seguir será realizada a mesma configuração, mas de forma manual, sem a utilização da

ferramenta, com os seguintes passos:

1◦ passo: Editar o arquivoips.txt, localizado em/var/www/default/firewall/s ript/txt/,

colocando a seguinte informação:

192.168.1.4:128:128

Essas informações consistem em: endereço IP, velocidade dedownloadeuploadrespec-

tivamente.

2◦ passo: Após editar o arquivo, é necessário digitar no promtp do SO, oseguinte comando para

inicializar o serviço:

servi e bandlimit stop

servi e bandlimit start


Veja que quando não se usa a ferramenta SSM, o administrador tem que saber em qual

arquivo deve colocar a informação, além de conhecer a sintaxe correta, precisa saber inicializar

o serviço. Com o uso da ferramenta isto é feito de maneira automática.

4.2.7 Medidor de Velocidade

Neste módulo é possível medir a velocidade dolink de internet que está chegando no servi-

dor. Basta acionar o botãoteste sua onexão, como pode ser visto na Figura 36, e será

apresentado o valor da velocidade da conexão em kB.

Figura 36 -Tela de teste de velocidade dolink de internet.


Após acionar o botãoteste de onexão, o mesmo irá verificar a taxa de transferência

de downloade upload como pode ser visto nas Figuras 37 e 38, respectivamente. Após o

acionamento inicial, são apresentados, alternadamente, na mesma tela, estas informações.


Figura 37 -Testando a velocidade da conexãoDownload.


Figura 38 -Testando a velocidade da conexãoUpload.


4.2.8 Monitoramento da Rede

A partir da tela principal, Figura 23, acionando a opçãoMonitoramento da Rede, tem-se

o acesso a tela da Figura 39, onde é possível utilizar três ferramentas: o Nagios, o Nagvis e o

Cacti.


Estas ferramentas são utilizadas para monitorar serviços tais como: ping, ssh, quantidade

de processos e taxa de utilização de alguns componentes do computador (espaço no HD, quan-

tidade de usuários conectados, etc.).

Figura 39 -Tela do módulo de monitoramento da rede.


Ao acionar a opçãoNagios, será solicitado o nome de usuário e senha previamente, cadastra-

dos. Acionando-se a opçãoMap, no frame lateral esquerdo, é possível verificar os computadores

que estão conectados na rede, podendo monitorar alguns serviços e processos. Para verificar os

serviços que estão sendo monitorados, basta posicionar o mouse sobre algum computador já

cadastrado, que irá aparecer uma tela com as informações, mostradas na Figura 39.


Figura 40 -Tela das informações do computador cadastrado no Nagios.


Figura 41 -Tela com informações gerais do computador monitorado.



Acionando-se o mouse uma única vez em cima do ícone do computador cadastrado, con-

forme mostrado na Figura 41, aparecerá algumas informaçõessobre o mesmo.

Ao acionar o mouse duas vezes no ícone do computador escolhido, será exibido uma tela

com informações mais detalhadas dos itens que estão sendo monitorados, conforme é mostrado

na Figura 42.

Figura 42 -Tela com mais detalhes sobre o computador monitorado.

Fonte: Galstad (2010).

Para que se possa realizar o monitoramento, é possível cadastrar tanto os computadores

como os dispositivos de rede, tais como: roteador,switch, impressora ou qualquer outro equipa-

mento que contenha endereço IP e que possa ser conectado na rede.

4.2.9 Cadastrando Equipamentos no Nagios

Para cadastrar os equipamentos, basta acionar o íconeCadastro de Máquinas a partir

da tela da Figura 39, caso deseja-se cadastrar um computador; ou Roteadores, Swit hes e

Impressoras, caso deseja-se cadastrar os demais componentes de rede. Estes cadastramentos

podem ser vistos nas Figura 58 e 44, respectivamente.


Ao se cadastrar um computador na rede será necessário entrarcom as informações solici-

tadas, conforme mostrado na Figura 58.

Figura 43 -Tela de cadastro do computador no Nagios.


Após o preenchimento de todos os campos deve-se acionar a opção Salvar para que o

computador seja cadastrado. Nesta mesma tela tem-se a opçãoEx luir, pela qual se pode

retirar qualquer configuração.

Para cadastrar equipamentos tais como uma impressora, um roteador ou umswitch, é

necessário entrar com as informações apresentadas na Figura 44, a seguir.


Figura 44 -Tela de cadastro de roteador,switchou impressora no Nagios.


Após o preenchimento de todos os campos deve-se acionar a opção Salvar para que o

roteador seja cadastrado.

A seguir será realizado o cadastramento de um computador e uma impressora de forma

manual, sem a utilização da ferramenta, com os seguintes passos:

1◦ passo: Para realizar o cadastro de um computador, criar um arquivo com onome_da_maquina

e com a extensão. fg, localizado em/et /nagios3/servers colocando as seguintes

informações que se seguem: Como exemplo, foi criado o arquivo pigeotto. gf.

### Defini oes do Host ###

define host{

use generi -host

host_name pigeotto

alias pigeotto

address 172.21.1.22

parents apio

he k_ ommand he k-host-alive

max_ he k_attempts 2

he k_interval 1

notifi ation_interval 1


notifi ation_period 24x7

notifi ation_options d,u,r

onta t_groups admins

i on_image linux40.png

statusmap_image linux40.png

}

### PING ###

define servi e{

host_name pigeotto

servi e_des ription PING

he k_ ommand he k_ping!5000.0,80%!8000.0,100%


normal_ he k_interval 1

retry_ he k_interval 1

he k_period 24x7



notifi ation_options w, ,r


}

### SSH ###

define servi e{

host_name pigeotto

servi e_des ription SSH

he k_ ommand he k_ssh! -t 50




he k_period 24x7





}


2◦ passo: Para cadastrar, um roteador, criar um arquivo comnome_do_router com a extensao

. fg, localizado em/et /nagios3/routers, colocando as informações que se seguem:

Como exemplo foi utilizado o arquivorouter1. fg.


define host{

use generi -host

host_name router1

alias router_sala_prof

address 172.21.1.20

parents apio



he k_interval 1





i on_image router.png

statusmap_image router.png

}

### PING ###

define servi e{

host_name router1






he k_period 24x7






}

3◦ passo: Para realizar o cadastro de impressora, edite o arquivonome_da_impressora. fg local-

izado em/et /nagios3/printers, colocando as seguintes informações:


define host{

use generi -host

host_name printer1

alias printer_sala_prof

address 172.21.1.10

parents apio



he k_interval 1





i on_image printer.png

statusmap_image printer1.png

}

### PING ###

define servi e{

host_name printer1






he k_period 24x7






}

4◦ passo: Para finalizar os cadastros dos equipamentos, basta executar no prompt do SO so seguintes

comandos:

servi e nagios3 stop

servi e nagios3 start

Percebe-se claramente que com o uso da ferramenta, pode-se cadastrar os equipamentos no

Nagios de forma mais prática.

4.2.10 Nagvis

É uma ferramenta que auxilia o Nagios na verificação e monitoramento dos equipamentos

conectados na rede. Nesta ferramenta pode-se usar, por exemplo, uma planta baixa ou uma foto

de uma sala com todos os equipamentos previamente cadastrados no Nagios e que através de

ícones informa ostatusdos mesmos, como pode ser observado na Figura 45.


Figura 45 -Tela de monitoramento do Nagvis.

Fonte: Husch (2010).

Com este recurso, pode-se subdividir redes com grandes quantidades de computadores

monitorados, particularizando grupos específicos de computadores em forma de diagramas

menores.

4.2.11 Cacti

Ferramenta que também monitora todos os equipamentos que estão conectados na rede

através de gráficos de alguns ítens previamente cadastrados, como por exemplo quantidade de

usuários conectados ao computador, quantidade de processos sendo realizados, taxa de proces-

samento do processador, dentre outros, como pode ser visto na Figura 46.


Figura 46 -Tela de monitoramento do Cacti.

Fonte: Urban (2013).

Nesta figura, são apresentados como exemplo, os seguintes gráficos referentes ao servidor:

carga média, usuários conectados no servidor, memória utilizada e processos.

4.2.12 Alterar Senha

Na interface SSM também há a possibilidade de se alterar a senha posteriormente, visto que

devido a segurança, sempre há a necessidade de se trocar as senhas.

Por isso, na Figura 47, é apresentada uma tela que é possível trocar a senha do usuário

predefinidoadmin.


Figura 47 -Tela para mudar a senha do usuário admin.


O descritivo na tela, informa os procedimentos para alterara senha.

4.2.13 Desligar/Reinicializar

Uma outra possibilidade existente na ferramenta proposta éa reinicialização ou o desliga-

mento do servidor remotamente, através de duas opções presentes na parte gráfica, identificadas

como:Reboot eDesligar, como realçado na Figura 48.

4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 118

Figura 48 -Tela com os botões para reiniciar ou desligar o servidor remota-mente.


Ao acionar o íconeReboot o computador será reinicializado e ao acionar o íconeDesligar

o computador será desligado.

Assim a interface gráfica SSM vem atender de uma forma muito mais fácil e acessível as

necessidades de um administrador de redes, pois caso haja algum problema, ele pode realizar o

acesso ao servidor a distância ou se for necessário orientaruma pessoa para que possa realizar

o monitoramento ou a administração dos serviços de uma formabem prática.

4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTASSM

Para instalar o SSM, é necessário um computador com as seguintes especificações mínimas:

• Processador: Pentium 4 1 GHz;

• 512 MB de memória RAM;

• 5 GB de espaço no HD;

• Uma unidade de CD/DVD.


4.3.1 Roteiro para Instalação da SSM.

Nesta subseção, será apresentado o roteiro utilizado para instalar a ferramentaSilent Secu-

rity Monitor no servidor.

1. Instale o apache2 e o php5 com o seguinte comando:

apt-get install apa he2 php5$

2. Copiar a pastadefault para dentro de/var/www e mudar o dono da mesma com o

comando:

hown -R www-data:www-data default

3. Instale o módulo squid com o seguinte comando:

apt-get install squid

e posteriormente copie o arquivosquid. onf da pasta/var/www/default/tudo/squid. onf

para a pasta/et /squid/, com o seguinte comando:

p /var/www/default/tudo/squid. onf /et /squid/

4. Instale o módulo do seviço DHCP com o seguinte comando:

apt-get install is -dh p-server

5. Instale o módulo Sarg com o seguinte comando:

apt-get install sarg

e em seguida copie o arquivosarg. onf dentro da pastatudo e cole dentro de/et /sarg

com o comando:


p /var/www/default/tudo/sarg. onf /et /sarg

6. Instale o módulobandlimitdigitando o conteúdo abaixo ou copiando o arquivor .bandlimit

de/var/www/default/tudo/ para/et /init.d/.

##################

#INSTALACAO

# rie o diretorio bandlimit dentro do seu /et

# mkdir /et /bandlimit

# dentro deste diretorio rie os arquivos ips e interfa es

# tou h /et /bandlimit/ips

# tou h /et /bandlimit/interfa es

# depois edite o ips e o interfa es

# olo ando dentro do ips

# os ips que v deseja limitar 1 por linha no seguinte formato

# ip:ratein:rateout ex: 10.0.1.2:97:33

# e no interfa es as interfa es que v usa na sua maquina

# no formato ethx ex: eth0

# 1 por linha tambem ))

#

# Para rodar oloque o s ript dentro do seu r .lo al

# Para remover as regras digite r .bandlimit stop

#

##################

Após gerar o arquivo, se faz necessário dar permissão de execução para o mesmo com o

comando:

hmod +x 777 /et /init.d/r .bandlimit

7. Instale os módulos Nagios e Nagvis, respectivamente, comos seguinte comandos:

apt-get install nagios3

apt-get install graphviz


Após realizar a instalação dos módulos também, é necessáriobaixar o arquivomk-livestatus

através do comando:

wget http://www.mathias-kettner.de/download/mk-livestatus-1.2.0p2.tar.gz

Descompacte o arquivo com o seguinte comando:

tar xvfz mk-livestatus-1.2.0p2.tar.gz

e logo após instale-o com o comando:

./ onfigure &&make install

Edite o arquivonagios. fg, localizado em/usr/lo al/nagios/et /nagios. fg, e

adicione a seguinte linha de comando:

broker_module=/usr/lo al/lib/mk-livestatus/livestatus.o

/var/lib/nagios3/rw/live

8. Baixe o arquivonagvis com a seguinte linha de comando:

wget http://sour eforge.net/settings/mirro_ hoi es?proje tname=nagvis&

filename=NagVis\2012.6/nagvis-1.6.6.tar.gz

e descompacte o mesmo usando:

tar xvfz nagvis-1.6.6.tar.gz

e com o comando:./install instale o Nagvis.

9. Instale os módulos Cacti, SNMP e SNMPD com o seguinte comando:

apt-get install snmp snmpd a ti

Ao término da instalação é necessário editar o arquivosnmpd. onf, mas antes é necessário

parar o serviço em execução com o comando:


/et /init.d/snmpd stop

Será apresentado no terminal as informaçõe abaixo:

# Listen for onne tions from the lo al system only

#agentAddress udp:127.0.0.1:161

# Listen for onne tions on all interfa es (both IPv4 *and* IPv6)

agentAddress udp:161,udp6:[::1℄:161

Após editar o arquivo é necessário reinicializar o serviço com o comando:

servi e snmpd start

Com os precedimentos de 1 a 9 do roteiro, tem-se disponível noservidor a ferramenta SSM,

instalada e configurada.

123

5 RESULTADOS E DISCUSSÕES

Neste capítulo serão abordados três estudos de caso testados no escopo da interface gráfica

SSM relacionados as áreas funcionais de gerenciamento de configuração, segurança e contabi-

lização:

a) Estudo de caso 1: Descreve como o administrador de rede configura uma placa derede

utilizando apenas linhas de códigos e utilizando a interface desenvolvida;

b) Estudo de caso 2: Descreve como o administrador de rede libera um computadorna

rede atrelado aoMAC Addressutilizando linhas de códigos e utilizando a interface desen-

volvida;

c) Estudo de caso 3: Descreve como realizar o cadastro de um computador da rede para ser

monitorado pelo sistema.

Além disso, neste capítulo analisa-se os resultados da utilização da ferramenta proposta

frente a abordagem convencional.

5.1 ESTUDO DE CASO 1

Neste primeiro estudo de caso, será mostrado como um administrador faz para configurar

a placa de rede presente no servidor, que será utilizada parareceber enviar o sinal de internet e

controlar os computadores da rede local, utilizando apenaslinhas de códigos com os seguinte

itens:

a) endereço IP da placa de rede;

b) máscara de rede;

c) endereços de DNS.

Os dados referentes aos itens anteriores, são os que se seguem.

a) endereço IP –> 192.168.1.1;

a) endereço de mácara de rede –> 255.255.255.0;


a) endereço de DNS1 –> 8.8.8.8;

a) endereço de DNS2 –> 8.8.4.4 .

Para realizar todos os comandos relacionados a configuraçãodo sistema, se faz necessário

logar comoroot (administrador) do Linux.

Primeiramente o administrador configura o IP da placa com o seguinte comando:


Após configurar o endereço de IP e a máscara da placa de rede, é necessário configurar

os endereços de DNS para que o servidor possa navegar na internet. Para isso basta editar

o arquivo de configuraçãoresolv. onf, que está localizado no diretório/et , podendo ser

utilizado qualquer editor de texto ASCII. Neste estudo de caso, será utilizado o editor chamado

vim, com o seguinte comando:

vim /et /resolv. onf

Dentro deste arquivo, basta adicionar os dois endereços de DNS mencionado acima, para

que seja possível navegar na internet.

nameserver 8.8.8.8

nameserver 8.8.4.4

Feito isso, deve-se salvar o arquivo e sair, utilizando o seguinte conjunto de teclas:

es + : + x + ! (Com esta sequência de comandos no vim grava-se o conteúdo do

arquivo.)

Na sequência, para testar se a máquina está com a placa configurada, pode-se utilizar o

comandopingpara mandar “pingar” o sítio, por exemplo do UOL, com o seguinte comando:

ping www.uol. om.br

Caso tenha alguma resposta como mostrado abaixo:

apio�silen er:~$ ping www.uol. om.br

PING www.uol. om.br (200.221.2.45) 56(84) bytes of data.

64 bytes from home.uol. om.br (200.221.2.45): i mp_req=1 ttl=55 time=55.5 ms












--- www.uol. om.br ping statisti s ---

11 pa kets transmitted, 11 re eived, 0% pa ket loss, time 10012ms

rtt min/avg/max/mdev = 54.458/57.407/66.537/3.858 ms

apio�silen er:~$

indica que o computador já está navegando na internet.

Pelo que pôde ser visto, esta primeira etapa do estudo de casoem que o administrador

configura o servidor utilizando apenas linhas de comando, mostra-se um pouco trabalhosa, além

do que é necessário se ter uma boa memória para gravar todos oscomandos utilizados.

Pois com o uso da ferramenta SSM, basta o administrador seguir as etapas descritas abaixo,

sem a necessidade de utilizar longas linhas de comandos.

A partir da tela inicial mostrada na Figura 49, têm-se:

Etapa 1: Nesta etapa, basta o administrador entrar com o usuário e senha pré-definidos.


Figura 49 -Tela delogin do sistema.


Etapa 2: Na tela apresentada na Figura 50, acione a opçãoAlteração de IP para ter

acesso as duas interfaces de rede, apresentada na Figura 51.


Figura 50 -Tela de alteração do endereço das placas de redes interna e ex-terna.


Etapa 3: Em seguida, basta acionar o ícone referente a configuração da placa de rede interna,

indicada na Figura 51.

Figura 51 -Tela configuração da placa de rede.


Etapa 4: Nesta etapa, basta preencher o endereço IP acionando o icone do lápis, com o

valor 192.168.1.1, a máscara de rede255.255.255.0 e a classe de rede192.168.1.0, não

esquecendo de sempre que finalizar o preenchimento, acionaro o botão aplicar, para que as


alterações sejam efetivadas, conforme a Figura 52.

Figura 52 -Tela em que o usuário irá preencher os valores dos endereços IP,máscara de rede e classe de IP.


Etapa 5: Para configurar os endereços de DNS, basta acionar o íconeConfiguração DNS

na Figura 50, obtendo-se a a tela apresetnada na Figura 53.

Figura 53 -Acessando a opção para configurar os endereços de DNS.



Etapa 6: Finalizando a configuração, basta entrar com os endereços de DNS desejados, um

por um, acionando o o botãocadastrarapós digitar cada endereço.

Essas são as etapas para se realizar a configuração de uma placa de rede sem utilizar co-

mando algum, apenas com a parte gráfica do projeto.

Nota-se que todos os comandos são executados embackgroundatravés descriptsespecífi-

cos.


Neste segundo estudo de caso, será mostrado como um administrador faz para configurar

um computador na rede atrelado ao endereço MAC da placa de rede utilizando apenas linhas de

códigos. O seguinte arquivo será alterado:

• Arquivo liberados: onde é cadastrado o computador juntamente com o endereço MAC

de sua placa de rede, para ser liberado seu acesso à rede interna.

Os dados referentes ao arquivo, são os seguintes:

• Endereço IP do computador: 192.168.1.2;

• Endereço MAC do computador: 00:02:78:e6:34:8f

Etapa 1: Primeiramente tem-se que editar o arquivoliberados que pode ser armazenado

dentro de uma pasta chamadafirewall. Este arquivo contém todos os endereços IP’s e endereços

MAC’s dos computadores que terão autorização para utilizara rede. Dentro do arquivo, basta

adicionar as informações citadas no início do estudo de caso2, que consiste no endereço IP e o

endereço MAC da placa de rede.

192.16.0.1;00:02:78:e6:34:8f

(OBS: Não se deve esquecer as informações devem ser colocadas na sequência acima, ou

seja,<IP>; <Endereço MAC>, pois somente assim o sistema irá liberar o computador para o

uso da rede.)

Etapa 2: Feito isso, é necessário ainda reiniciar oscriptdofirewallcom o seguinte comando:

./firewall

Assim, a máquina já se encontra liberada na rede para navegar.


Pelo que pôde ser visto nesta segunda etapa do estudo de caso,em que o administrador tem

que liberar um computador na rede utilizando apenas linhas de comando, a mesma mostra ser

também trabalhosa.

Já utilizando a interface gráfica SSM, basta seguir as etapasseguintes descritas:

Etapa 1: Nesta etapa basta acionar a opçãofirewall na tela apresentada na Figura 23 e, logo

após, na opçãoControle de IP+MAC conforme apresentado na Figura 54.

Figura 54 -Tela de configuração das opções dofirewall.


Etapa 2: Agora basta entrar com as mesmas informações utilizadas neste estudo de caso

como o IP do computador, o MAC da placa de rede, além de poder identificar através de um

nome ou apelido o dono do computador; não esquecendo de mudaro dropboxpara A eito ,

para que assim o computador possa ser habilitado a navegar narede interna. Um exemplo deste

cadastro pode ser visto na Figura 55.


Figura 55 -Tela de configuração para cadastrar um computador na redeatrelado ao endereço MAC da placa.


Como no estudo de caso anterior, também se faz necessário acionar o botãoCadastrar e

posteriormente no botãoApli ar, para que as alterções sejam efetuadas no sistema.

Neste estudo de caso 2, foi verificado que também há uma facilidade na realização da tarefa

de cadastramento utilizando a parte gráfica do que com o uso das linhas de comando.


Neste terceiro estudo de caso, será mostrado como um administrador faz para cadastrar

um computador da rede para ser monitorado pelo módulo Nagios, utilizando apenas linhas de

códigos. Para fazer isso, deverá seguir os seguintes passos:

1◦ passo: Logado comoroot, dentro da pasta/et /nagios3/servers, criar um arquivo com

nome_do_ omputador e com a extensão. fg. Dentro do arquivo deve-se colocar o

seguinte conteúdo:


define host{

use generi -host

host_name robim

alias robim

address 172.21.1.21


parents apio



he k_interval 1





i on_image linux40.png

statusmap_image linux40.png

}

### PING ###

define servi e{

host_name robim






he k_period 24x7





}

### SSH ###

define servi e{

host_name robim

servi e_des ription SSH

he k_ ommand he k_ssh! -t 50





he k_period 24x7





}

2◦ passo: Abrir um navegador e digitar o seguinte endereço:

http://192.168.1.103/nagios3/

que consiste nos serviços a serem monitorados, como oping para verificar se o com-

putador está ligado e ossh, para verificar se o serviço que possibilita acesso remoto está

habilitado no computador que está sendo monitorado.

Já utilizando a interface gráfica SSM, basta seguir as etapasseguintes passos:

1◦ passo: Abra a interface da ferramenta e acione a opçãoMonitoramento da Rede con-

forme realçado na Figura 56

Figura 56 -Tela Principal do Sistema.



2◦ passo: Para cadastrar um novo computador, acione a opçãoCadastro de Máquinas con-

forme mostrado na Figura??.

Figura 57 -Tela de Monitoramento.


3◦ passo: Após preencher os campos com as informações como nome do computador, apelido,

endereço IP, dentre outras informações conforme a Figura 58, acione o botãoSalvar

após o término do preenchimento.


Figura 58 -Tela de cadastro do computador no Nagios.


Feito isso, considera-se já realizado o cadastro do computador para ser monitorado pelo

Nagios.

Com a interface gráfica desenvolvida, como visto nestes trêsestudos de casos, o admin-

istrador de rede apenas terá de acessar a tela gráfica correspondente e realizar a configuração

necessária, preenchendo campos e/ou acionando opções do menu, tornando assim a adminis-

tração mais simplificada e amigável, na medida que não é mais necessário o uso de longos

comandos Linux para a configuração do servidor.

Ou seja, tem-se agora uma ferramenta integrada em uma única página web, que executa os

principaisscriptspara a configuração de um servidor, de forma transparente para o usuário, pois

as funções de tela transferem os respectivos comandos para os scripts, facilitando e agilizando

o serviço de um administrador de rede.

136

6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS

Com o crescimento do parque computacional das empresas de grande porte como conces-

sionárias de energia elétrica, indústrias e também universidades, torna-se cada vez mais difícil

o gerenciamento dos equipamentos das redes de informática.

Na tarefa de gerenciar esses equipamentos são utilizados inúmeras ferramentas com difer-

entes características entre si e que também são proprietárias, com código restrito, ou de domínio

público, com o código aberto.

Com a proposta de um gerenciamento descentralizado, do ponto de vista da aplicação para

pequenas redes locais de departamentos e laboratórios computacionais, e de um gerenciamento

unificado, com a integração de diversas ferramentas em uma única interface gráfica, foi desen-

volvida a ferramenta gráficaSilent Security Monitor(SSM). Para tal, utilizou-se a linguagem

PHP na implementação da interface gráfica, como tambémshell scriptpara criar os gatilhos

que irão executar os comandos embackgroundno sistema.

Com o uso da SSM o trabalho de um administrador de rede torna-se muito mais fácil e

rápido, pois a mesma auxilia-o no gerenciamento de diferentes serviços em um servidor de rede

sem a necessidade de se conhecer todos os comandos e respectivos parâmetros para a execução

desses serviços. Uma outra vantagem é que, por ter sido construído de forma modular, de

acordo com a necessidade, o administrador poderá modificar ocódigo fonte adicionando novos

serviços quando necessário.

Além de algumas ferramentas de gerencimento de rede, comofirewall, proxy, limitador

de banda, dentre outros, também foram adicionadas algumas ferramentas de monitoramento

da rede, como o Nagios, Nagvis, e o Cacti. Estas ferramentas realizam o monitoramento de

equipamentos que possuem endereço IP como computadores, roteadores,switches, dentre out-

ros. Além disso, para facilitar o cadastro dos equipamentos, também foi criado alguns gatilhos

que automatizam essa tarefa.

Os resultados dos testes realizados até o momento indicam que um usuário, previamente au-

torizado e que tenha conhecimento em administração de redes, pode sem problemas administrar

e configurar serviços de um servidor Linux com o uso da ferramenta SSM. Isto foi comprovado

através do uso da ferramenta no Laboratório de Linux e Processamento Paralelo (LLPP), da

UNESP Câmpus de Ilha Solteira, e também no servidor central do Instituto Federal do Mato

Grosso do Sul (IFMS), do Câmpus de Três Lagoas.

Para trabalhos futuros, pode-se criar o serviço de autenticação de usuário através dos módu-

6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS 137

los Samba e LDAP, centralizando desta forma o acesso ao sistema com apenas uma única senha

por usuário. Também pode-se automatizar a instalação da ferramenta através de um programa

inicializador.

Novos módulos relacionados ao controle e desempenho da redee ao gerenciamento de

falhas podem ser incorporados àaferramenta, completando-se assim os aspectos funcionaisdo

gerenciamento da rede.

138

REFERÊNCIAS

ANTONELLO, F.; MACIEL, M. Bandlimit. Resende: Under-linux.org, 2004. Disponível em:<http://underlinux.com.br>. Acesso em: 10 mar. 2012.

BALL, B.; DUFF, H. Dominando Linux Red Hat e Fedora. São Paulo: LTC, 2004.

BEGLINGER, J.IPCop: the bad packets stop here. Georgetown: Jack Beglinger, 2013.Disponível em:<http://www.ipcop.org/index.php>. Acesso em: 11 jul. 2013.

BOKHARI, S. H. The linux operation system.IEEE Computer Society, Hampton, v. 28, n. 8,p. 74–79, 1995.

BREITGAND, D.; RAZ, D.; SHAVITT, Y. SNMP getprev: an efficient way to browse largeMIB tables.IEEE Journal on Selected Areas in Communications, Piscataway, v. 20, n. 4, p.656–667, 2002.

BUECHLER, C.Project PfSense. Austin: Chris Buechler, 2013. Disponível em:<http://www.pfsense.org/>. Acesso em: 12 abr. 2013.

CISCO.Network management system: best practices white paper. San Jose: Cisco Technology,2010. Disponível em:<http://www.cisco.com>. Acesso em: 10 maio 2013.

COMER, D. E.Redes de computadores e internet. 4. ed. São Paulo: Bookman, 2007.

DMN Eletrônica.Alcance Digital. São Paulo: DMN Eletrônica, 2013. Disponível em:<http://www.alcancedigital.com.br/site/index.php/tabela-de-precos>. Acesso em: 12 abr.2013.

DROMS, R.Dynamic host configuration protocol. Lewisburg: Bucknell University, 1997.Disponível em:<http://tools.ieff.org/html/rfc2131>. Acesso em: 10 mar. 2012.

DUARTA, J. N. M.Sistart: tecnologia e sistema. São Paulo: José Ney Meirelles Duarte, 2009.Disponível em:<http://sistart.com.br>. Acesso em: 12 abr. 2013.

FANG, Y.; HAN, B.; LI, Y. The design and realization of the packet filter firewall based onLinux. In: INTERNATIONAL CONFERENCE ON INDUSTRIAL AND INFORMATIONSYSTEMS, 9., Haikou, 2009.Proceedings...Washington, DC: IEEE Computer Society, 2009.

FREITAS, M. A. S.Fundamentos do gerenciamento de serviços de TI. São Paulo: Brasport,2010.

GALSTAD, E. Nagios NRPE documentation. New York: Host Master, 2007. Disponível em:<http://nagios.sourceforge.net/docs/nrpe/NRPE.pdf>. Acesso em: 12 abr. 2013.

GALSTAD, E.Nagios NRPE documentation. Saint Paul: Nagios Enterprises, 2010. Disponível

REFERÊNCIAS 139

em:<http://www.nagios.org/documentation>. Acesso em: 12 abr. 2013.

GANDI, S. Portal GNU. Boston: Gandi SAS, 1996. Disponível em:<www.gnu.org/licenses/gpl.html>. Acesso em: 25 mar. 2012.

HAT, R. Fedora. Raleigh: Red Hat., 2004. Disponível em:<http://fedoraproject.org/>. Acessoem: 10 mar. 2013.

HUSCH, A.Nagvis documentation. Pruemzurlay: Andreas Husch, 2010. Disponível em:<http://www.nagvis.org/doc>. Acesso em: 12 abr. 2013.

ISTEAM, M. Mandriva. Paris: Mandriva ISTeam, 2000. Disponível em:<http://www.mandriva.com>. Acesso em: 10 mar. 2012.

JARGAS, A. M.Shell script profissional. Joinville: Novatec, 2008.

JONES, M. T.Anatomia do kernel Linux: histórico e decomposição arquitetural. Armonk:IBM, 2007. Disponível em:<http://www.ibm.com/developerworks/br/library/l-linux-kernel/#author1>. Acesso em: 14 maio 2012.

KASPER, M. M0n0wall. Switzerland: Kasper Manuel, 2012. Disponível em:<http://m0n0.ch/wall/>. Acesso em: 14 abr. 2013.

LOBO, J.; MARCHI, M.; PROVETTI, A. Firewall configuration policies for the specificationand implementation of private zones. In: IEEE INTERNATIONAL SYMPOSIUM ONPOLICIES FOR DISTRIBUTED SYSTEMS AND NETWORKS (POLICY), 13., Carolina doNorte, 2012.Proceedings...Washington, DC: IEEE Computer Society, 2012.

MACHADO, F. B.; MAIA, L. P. Arquitetura de sistemas operacionais. 4. ed. Rio de Janeiro:LTC, 2007.

MAGALHÃES, I. L. M.; PINHEIRO, W. B.Gerenciamento de serviços de TI na prática. SãoPaulo: Novatec, 2007.

MANNING, L.; MORREL, R. SMOOTWALL: Open source community. Leeds: ASCIOTechnologies, 2012. Disponível em:<http://www.smoothwall.org/>. Acesso em: 22 jul. 2013.

MARCELO, A. Firewalls em Linux. [S.l.]: Brasport, 2003.

MAURO, D. R.; SCHMIDT, K. J.Essential SNMP. 2. ed. Sebastopol: O Reilly & Associates,2005.

NETO, U.Dominando Linux firewall iptables. Rio de Janeiro: Ciencia Moderna, 2004.

OETIKER, T.MRTG: the multi router traffic grapher. Olten: Zaucker Fritz, 2006. Disponívelem:<http://oss.oetiker.ch/mrtg/index.html>. Acesso em: 09 fev. 2012.

PURDY, G. N.Linux iptables pocket reference. New York: O’Reilly Media, 2004.

RFC1157.RFC 1157: simple network management protocol (SNMP). Flossmoor: Advameg,2009. Disponível em:<http://www.faqs.org/rfcs/rfc1157.html>. Acesso em: 25 maio 2013.

REFERÊNCIAS 140

SMART UNION. Consultoria e soluções em tecnologia Ltda.São Paulo: Smart Union, 2012.Disponível em:<http://www.smartunion.com.br/>. Acesso em: 12 abr. 2013.

SOULA, J. M. F.Gerenciamento de serviços de tecnologia da informação: teoria e prática.[S.l.]: São Paulo, 2013.

SOUZA, L. B. d.Redes de computadores: guia total. São Paulo: [s.n.], 2009.

SQUID-CACHE. Squid-cache. Moscow: Duane Wessels, 2013. Disponível em:<http://www.squid-cache.org/>. Acesso em: 20 ago. 2013.

TANENBAUM, A. Redes de computadores. 5. ed. São Paulo: Campus, 2011.

TUCOWS.The PHP group. Cary: TUCOWS, 2013. Disponível em:<http://www.php.net/>.Acesso em: 12 abr. 2013.

UBUNTU. Portal Ubuntu. São Paulo: Canonical, 2004. Disponível em:<http://www.ubuntu-br.org/>. Acesso em: 14 abr. 2013.

URBAN, T. Cacti: the complete rrdtool-based graphing solution. Ann Arbor:Cacti, 2013.Disponível em:<http://www.cacti.net/>. Acesso em: 10 maio 2013.

VALLAZZA, R. Project endian firewall. Appiano: Network Solutions, 2004. Disponível em:<http://www.endian.com>. Acesso em: 10 mar. 2013.

VOLKOV, P.; WIEERS, D.; GANGITANO, L.; SANTOS, V. H. d.; MICHEL, H.;REDOSCHI, M.Squid analysis report generator. New York: TUCOWS, 2009. Disponível em:<http://sarg.sourceforge.net/>. Acesso em: 10 mar. 2012.

“jÚlio de mesquita filho” ilha solteira · figura 36 tela de teste de velocidade do link de...

Documents