Relatório Final do Projecto - Paginas ISPGaya

Transcrição

Instituto Superior Politécnico de Gaya
Projecto Informático em Contexto Empresarial
Engenharia Informática
2010/2011
Miguel Torres Aguiar da Costa
http://paginas.ispgaya.pt/~ei072259
[email protected]
Relatório
Centro de Dados
Resumo
O presente relatório tem como base, a descrição detalhada de um projecto final do curso
de Eng. Informática. É disponibilizada toda a informação, conceitos e configurações utilizadas
no desenvolvimento do projecto.
Tem como principal objectivo, a criação de um Centro de Dados que seja capaz de
suportar todas as necessidades de uma qualquer pequena ou média empresa que precise de um
sistema de informação. Serviços como Controlador de Domínio, DNS, DHCP, Proxy, Firewall e
Gestão de áreas pessoais, entre outros…São serviços com uma relevância importante no
funcionamento de sistemas de informação de empresas, instituições ou organizações.
11 de Fevereiro de 2011
2
Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa
1. Palavras-chave

Centro de Dados

Redes Informáticas

Administração de Sistemas Informáticos

Servidor DNS

Servidor DHCP

Controlador de Domínio Microsoft Active Directory

Squid – Proxy Transparente

FreeNAS

Firewall

RSYNC

VPN
3
2. Coordenador:

Mestre Mário Santos
3. Orientadores

Professor Eng. Vasco Capitão Miranda

Professor Eng. Jorge Ruão Pinheiro
4
4. Agradecimentos
Agradeço a todos os professores do ISPGaya que me acompanharam durante o
meu percurso académico e que permitiram que as minhas actividades se concretizassem
na realidade, em especial ao Eng. Vasco Capitão Miranda e ao Eng. Jorge Ruão pela
orientação, disponibilidade e acompanhamento realizado ao longo deste semestre e pela
disponibilidade que sempre demonstraram para esclarecer todas as dúvidas em todas as
etapas da realização deste projecto.
Agradeço também ao coordenador da Unidade Curricular pelo acompanhamento
e atenção demonstrados para com o presente trabalho.
Aproveito também para agradecer ao Pedro, Técnico de Informática do CIISP
(Centro de Informática do ISPGaya) pela colaboração e paciência demonstrada ao longo
deste semestre.
5
5. Índice
1.
Palavras-Chave – Pág: 2
2. Coordenador – Pág: 3
3. Orientadores – Pág: 3
4. Agradecimentos – Pág: 4
5. Índice – Pág: 5
6. Índice de Figuras – Pág: 7
7. Introdução – Pág: 9
8. Resumo – Pág: 11
9. Descrição – Pág: 13
10. Objectivos – Pág: 14
10.1
Fases Previstas e Calendarização – Pág: 15
10.2
Meios Necessários – Pág: 16
10.3
Reuniões de Acompanhamento – Pág: 16
11. Bases Teóricas – Pág: 17
11.1.
Redes Informáticas – Classificação – Pág: 17
11.2.
Protocolo TCP/IP – Pág: 18
11.3.
Protocolo IP – Pág: 19
11.4.
Protocolo DHCP – Pág: 20
11.5.
Gateway – Pág: 21
11.6.
Mecanismo DNS – Pág: 21
11.7.
Sistemas Operativos – Pág: 22
11.8.
Serviço Proxy – Pág: 23
11.9.
Armazenamento e Backups – Pág: 28
11.10.
Redes Virtuais Privadas – Pág: 29
11.11.
Redes Wireless – Pág: 31
12. Desenvolvimento e Implementação – Pág: 33
12.1.
Configuração do Windows Server – Pág 34
12.2.
Preparação do Controlador de Domínio – Pág: 36
12.3.
Preparação do Servidor DNS – Pág: 37
12.4.
Preparação do Servidor DHCP – Pág: 37
12.5.
Configuração do Windows XP – Pág: 38
12.6.
Configuração do Ubuntu 9.10 Server Edition – Pág: 40
12.7.
Preparação da Firewall – Pág: 42
6
12.8.
Preparação do Proxy Trasparente - Squid – Pág: 43
12.9.
Preparação do Servidor VPN – Pág: 45
12.10.
Configuração FreeNAS – Pág: 48
12.11.
Preparação Pastas Pessoais e Publicas – Pág: 51
12.12.
Preparação dos Backups – Pág: 52
13. Problemas e Decisões – Pág: 55
14. Futuras Implementações – Pág: 57
15. Complementos do Projecto – Pág: 58
16. Conclusões – Pág: 60
17. Bibliografia e Referências – Pág: 62
18. Anexos – Pág: 63
17.1.
Anexo I – Pág: 63
17.2.
Anexo II – Pág: 71
17.3.
Anexo III – Pág 74
17.4.
Anexo IV – Pág: 75
7
6. Índice de Figuras

10 - Objectivos
Figura 10.1 – Tarefas e Calendarização – Pág: 15
Figura 10.2 – Mapa de Gant das tarefas – Pág: 15

11 – Bases Teóricas
Figura 11.1 – Cenário de interligação de redes LAN, MAN e WAN – Pág: 17
Figura 11.2 – Arquitectura protocolar – TCP/IP – Pág: 18
Figura 11.3 – Formato dos segmentos do TCP – Pág: 18
Figura 11.4 – Classes e gamas de endereços de IP – Pág: 19
Figura 11.5 – Formato de um pacote IP – Pág: 19
Figura 11.6 – Esquema Cliente – Servidor DHCP – Pág: 20
Figura 11.7 – Esquema Cliente – Servidor DNS – Pág: 21
Figura 11.8 – Windows Server – Pág: 22
Figura 11.9 – Windows XP – Pág: 22
Figura 11.10 – Linux – Pág: 22
Figura 11.11 – Ubuntu – Pág: 23
Figura 11.12 – Exemplo de rede com Proxy – Pág: 23
Figura 11.13 – Squid – Pág: 27
Figura 11.14 – Exemplo de aplicação FTP – Pág: 28
Figura 11.15 – FreeNAS – Pág: 28
Figura 11.16 – rsync – Pág: 29
Figura 11.17 – Exemplo prático de VPN – Pág: 29
Figura 11.18 – Protocolos para VPN – Pág: 30
Figura 11.19 – OpenVPN – Pág: 31
Figura 11.20 – Esquema de funcionamento do RADIUS – Pág: 32
Figura 11.21 – freeRADIUS – Pág: 32

12 – Desenvolvimento e Implementação
Figura 12.1 – Esquema da rede para o projecto – Pág: 33
Figura 12.2 – Propriedades/Configurações de TCP/IP do Windows Server
2003 – Pág: 34
8
Figura 12.3 – Assistente de instalação do Active Directory – Pág: 35
Figura 12.4 – Active Directory – Pág: 35
Figura 12.5 – Tabela dos Grupos de Utilizadores – Pág: 36
Figura 12.6 – Tabela dos Utilizadores – Pág: 36
Figura 12.7 – DNS – Pág: 37
Figura 12.8 – Scope DHCP – Pág: 37
Figura 12.9 – Opções DHCP – Pág: 38
Figura 12.10 – Nome e Domínio do computador – Pág: 39
Figura 12.11 – Utilizador “mcosta” autenticado no domínio – Pág: 40
Figura 12.12 – Ficheiro de configuração das interfaces de rede – Pág: 41
Figura 12.13 – Ficheiro “/etc/init.d/firewall” a ser executado – Pág: 42
Figura 12.14 – Ficheiro “/etc/rc.local” – Pág: 43
Figura 12.15 – Ficheiro squid.conf – Pág: 44
Figura 12.16 – Restart OpenVPN – Pág: 47
Figura 12.17 – Teste ao VPN – Pág: 47
Figura 12.18 – FreeNAS – Pág: 48
Figura 12.19 – Configuração da interface de rede do FreeNAS – Pág: 49
Figura 12.20 – FreeNAS via browser – Pág: 49
Figura 12.21 – Paginal inicial do FreeNAS via browser – Pág: 50
Figura 12.22 – Pasta Privada Pessoal de Miguel Costa no FreeNAS – Pág:
52
Figura 12.23 – Página de configuração do Rsync no FreeNAS – Pág: 53
Figura 12.24 – Listagem das tarefas de cópias de segurança agendadas no
Crontab – Pág: 54
Figura 12.25 – Cron (Tarefas Agendadas) no FreeNAS – Pág: 54

15 – Complementos do Projecto
Figura 15.1 – Website: http://paginas.ispgaya.pt/~ei072259 – Pág: 58
Figura 15.2 – Poster do Projecto – Pág: 59
9
7. Introdução
As redes informáticas são componentes essenciais de qualquer sistema de
informação actual. A informática adquire cada vez mais uma elevada importância na vida
quotidiana das pessoas e das organizações. Por exemplo, nas empresas, devido ao
elevado grau de competitividade próprio da sua natureza é fundamental, para o seu
sucesso, possuir uma rede informática bem estrutura que dê suporte aos funcionários para
que estes possam realizar o seu trabalho de uma forma correcta e eficaz.
Através da interligação de redes e sistemas é possível tornar disponível aos
utilizadores de sistemas informáticos um vastíssimo leque de serviços e recursos para
tornar todo o processo de uma organização mais eficaz. Na grande maioria das
organizações, a indisponibilidade da rede informática acarreta avultados prejuízos (não só
económicos), podendo levar mesmo à paralização temporária da organização.
As redes informáticas de hoje pouco têm a ver com as redes utilizadas há alguns
anos atrás, beneficiando dos avanços fisicos e tecnológicos obtidos desde então. Desta
forma, a instalação e configuração de uma rede poderá vir a ter elevados custos. Portanto,
deve ser efectuado um estudo das necessidades da organização, tendo em conta a relação
custo/benefício, do seu desempenho e da divulgação no mercado e da sua capacidade de
evolução.
Pensar numa infra-estrutura de rede bem concebida implica, obviamente, a
inclusão de um Centro de Dados, o que nos remete para ambientes que poderão ser mais
ou menos complexos.
Um Centro de Dados envolve aspectos tão complexos na sua concepção e
construção como a alimentação eléctrica, a manutenção de um ambiente de
funcionamento ideal, a segurança fisica e lógica e a gestão dos sistemas, etc. que estão
fora do âmbito pretendido neste trabalho. A implementação de um Centro de Dados é
certamente um processo bastante complexo!
10
A escolha deste tema na unidade curricular “Projecto Informático em Contexto
Empresarial” teve em conta os meus gostos pessoais. No mundo da informática existem
áreas bastante distintas, embora possam estar todas relacionadas. De todas as áreas
existentes em informática, a que me proporciona um gozo especial é o mundo das redes
informáticas e administração de sistemas, por isso, a escolha deste tema!
Este projecto pode ser realizado em qualquer pequena e/ou média organização
que necessite de uma infra-estrutura de rede, serviços de rede integrados e administração
de sistemas.
11
8. Resumo
Pretende-se com este projecto estudar, perceber, experimentar, instalar e
configurar novos conceitos, novas aplicações e novas plataformas que permitam
implementar um Centro de Dados que seja capaz de suportar infra-estruturas de redes,
serviços de rede integrados e administração de sistemas com especial relevo para a
segurança, elevado desempenho e disponibilização de serviços.
A realização deste projecto começa pela implementação de serviços,
nomeadamente por instalar e configurar uma máquina com Windows Server 2003 para
gerir a rede sob o ponto de vista das ligações de rede, atribuição de endereços de rede IP
(Internet Protocol) através de um servidor DHCP (Dynamic Host Configuration
Protocol), sistema capaz de resolver nomes de domínios em endereços de rede IP através
de um servidor de DNS (Domain Name System), efectuar a gestão da rede sob o ponto de
vista dos utilizadores, grupos, administradores pertencentes a rede em questão através do
Active Directory.
É também tema do projecto instalar uma máquina com uma distribuição Linux
para implementar um Proxy Transparente. Assim, de uma forma simples e eficaz o Proxy
fornece os serviços requisitados pelos clientes, armazenando esses serviços em “cache”
para futuras requisições por outros clientes e desta forma, tornar o serviço mais rápido,
mais eficaz e ajuda a diminuir o tráfego na rede.
Tal como em todas as organizações, um bom sistema de armazenamento, é um
dos pontos fulcrais para preservar toda a informação necessária. Para isso recorremos ao
FreeNAS, distribuição baseada em Linux que suporta vários protocolos e vários serviços
para diversas necessidades.
Com o avanço tecnológico, as redes wireless, fazem parte da maioria das
organizações que lidam com muitas pessoas. As redes wireless fornecem um grau de
credibilidade bastante elevado com a primazia de não serem necessários cabos para se
ligar a qualquer rede. Desta forma, também faz parte do projecto instalar, montar e
12
configurar uma rede wireless com autenticação via Radius (Remote Authentication Dial
In User Service).
A necessidade de interligar redes ou sub-redes privadas, ou de aceder a uma
determinada rede privada mesmo estando longe fisicamente dessa rede, é uma
necessidade comum e constante no dia-a-dia das empresas. Nesse sentido, e com o
objectivo de auxiliar os funcionários das empresas, foi criado uma VPN (Virtual Private
Network).
13
9. Descrição
O Centro de Dados que me proponho a desenvolver e implementar neste projecto,
tem como objectivo representar um ambiente de contexto empresarial. É um projecto
relevante e bastante importante que abrange diversos conceitos na área da informática,
onde as redes informáticas e a administração de sistemas são os temas predominantes e
centrais do projecto.
Este trabalho está englobado na Unidade Curricular de “Projecto Informático em
Contexto Empresarial”, leccionada no 5º semestre do curso de Engenharia Informática no
Instituto Superior Politécnico de Gaya e que terá continuação no 6º e último semestre do
curso, nomeadamente na Unidade Curricular de “Estágio Informático em Contexto
Empresarial”. Neste primeiro semestre é objectivo pensar, estruturar e definir as
características, funcionalidades e serviços para um Centro de Dados. É também objectivo
a instalação e configuração dos serviços propostos.
O Centro de Dados tem como principal objectivo suportar as necessidades
informáticas de uma qualquer organização. Contudo proponho neste caso de estudo a
elaboração de uma proposta para uma pequena e/ou média empresa que necessite de
serviços de rede integrados, infra-estruturas de redes e serviços e administração de
sistemas. As principais funcionalidades e serviços a estudar, para futuramente
implementar no Centro de Dados são o DHCP, DNS, Active Directory, Proxy
Transparente, Sistema de Armazenamento, Gestão de áreas pessoais e públicas dos
utilizadores e Firewall, criação de uma rede wireless e servidor VPN.
As funcionalidades e os serviços mencionados no parágrafo anterior podem ser
implementados em diferentes sistemas operativos, em diversos ambientes como por
exemplo em ambiente Windows, ambiente Linux ou mesmo em ambos os ambientes.
A escolha do ambiente para cada funcionalidade e serviço vai ter em conta uma
relação composta por 3 factores, que são o custo, a qualidade do serviço e o grau de
dificuldade de implementação e interligação de todas as funcionalidades e serviços.
14
10.
Objectivos
O projecto tem como objectivo adquirir novas e melhores capacidades no ramo
das “Redes Informáticas” e “Administração de Sistemas Informáticos”, não só em
sistemas Windows como também em sistemas baseados em Linux, assim como a
aplicação dos conhecimentos adquiridos nas aulas ao longo de todo o percurso académico
no ISPGaya, mas também para estudar, aprender, alargar conhecimentos de novas
aplicações e novos conceitos. Sendo necessário efectuar um trabalho de pesquisa, análise e
estudo destes novos temas, para um projecto mais lúcido, funcional e robusto com vista a
apresentar uma solução credível, fiável e coesa ao tema escolhido.
A solução deve preencher todos os requisitos da melhor forma possível e prática
não ignorando ou desviando os obstáculos, para que não seja uma solução conflituosa ou
incoerente, mas sim confrontar e resolver os obstáculos.
Este projecto abrange diversos conceitos na área da informática, onde as “Redes
Informáticas” e “Administração de Sistemas Informáticos” são os temas predominantes e
centrais do projecto.
O projecto consiste então em arquitectar um Centro de Dados capaz de tornar uma
nova rede ou uma rede não organizada, numa rede que se rege por um conjunto de regras
impostas para o bom funcionamento de uma pequena e/ou média organização, através de
infra-estruturas de redes, serviços de rede integrados (serviços, servidores e abordagens
de gestão) e administração de sistemas para atingir uma solução integradora no âmbito da
segurança, performance e serviços necessários.
15
10.1. Fases Previstas e Calendarização

Tarefas e calendarização:
Figura 10.1 – Tarefas e Calendarização

Mapa de Gant das tarefas:
Figura 10.2 – Mapa de Gant das tarefas
16
10.2. Meios necessários
Os meios necessários para a realização do projecto são:
o
Software:

Microsoft Windows Server 2003

Microsoft Windows XP (Service Pack 3)

Ubuntu 9.10 Server Edition

Squid Proxy

FreeNAS

RSYNC

OpenVPN

Microsoft IAS RADIUS

Citrix XenCenter
o Hardware:

Computador portátil pessoal

Computador com XenCenter para todas as máquinas virtuais

Router Wireless (cedido pelo ISPGaya)
10.3 Reuniões de acompanhamento
Durante o primeiro semestre do ano lectivo 2010/2011, realizou-se várias reuniões
de acompanhamento com ambos os orientadores deste projecto. Com estas reuniões foi
possível manter os orientadores contextualizados sobre a evolução do projecto e do
trabalho realizado, também foi possível debater alguns dos temas em questão, resolver
problemas e tirar dúvidas sobre um ou outro assunto.
17
11. Bases Teóricas
11.1 Redes Informáticas - Classificação
As redes informáticas são uma presença reconhecida no nosso quotidiano. Uma
rede informática é um conjunto de computadores e sistemas de computação interligados
através de fios (comunicação sem fios) ou de ondas rádio (comunicação sem fios –
wireless) de modo a que possam comunicar entre si. As redes informáticas podem ser
caracterizadas ou classificadas segundo a região geográfica por LAN, PAN, SAN, MAN,
WAN e VAN.
As redes LAN – Local Area Networks, são redes locais de pequena dimensão que
incluem dispositivos numa pequena área geográfica, normalmente distribuidos por uma
sala, por um edifício ou até por vários edifícios próximos entre si.
As redes PAN – Personal Area Networks, são redes que utilizam tecnologias de
comunicação sem fios para interligar computadores, periféricos e equipamentos de voz
numa área reduzida.
As redes SAN – Storage Area Networks, destinam-se à interligação de grandes
computadores e dispositivos de armazenamento de massa, também numa área
relativamente pequena, por exemplo um centro de informática.
As redes MAN – Metropolitan Area Network, são utilizadas para interligar redes
locais situadas em diversos pontos de uma vila ou cidade, ou seja, na interligação de
componentes geográficamente dispersos por uma área de alguns quilómetros quadrados.
As redes WAN – Wide Area Network, possibilitam a interligação de
equipamentos, redes locais e redes metropolitanas dispersas por uma grande área
geográfica, um país, um ou vários continentes e até mesmo o mundo, como a rede
Internet.
Figura 11.1 – Cenário de interligação de redes LAN, MAN e WAN
18
Para construir uma rede informática, e para que seja possível comunicar entre as
várias redes existentes na actualidade, é necessário existir um conjunto de equipamentos
bem interligados e bem configurados, como os Routers, Switchs, Hubs, Bridges. É nestes
equipamentos (como também computadores, servidores, impressoras de rede, etc…) e
nestas configurações onde reside o protocolo IP e o conjunto de protocolos TCP/IP.
11.2 Protocolo TCP/IP
O TCP/IP – Transmission Control Protocol / Internet Protocol, é o conjunto
dos dois protocolos TCP e IP. Este conjunto pode ser visto como um modelo de camadas,
onde cada camada é responsável por realizar determinadas tarefas. É um modelo que
atingiu, com enorme êxito, os objectivos primordiais, tais como a independência
relativamente a fabricantes de equipamentos, abertura e universalidade, privilegiando
uma abordagem simples. A arquitectura TCP/IP é constituído por 32bits e é composto por
quatro classes, embora haja quem defina a arquitectura TCP/IP com cinco classes, a
camada “Acesso à Rede” seria substituída pelas camadas “Enlace” e “Física”.
Camada
Protocolo
4 – Aplicação
HTTP, FTP, DNS, SOCKET
3 – Transporte
TCP, UDP, RTP, SCTP
2 – Rede
IP, MPLS
1 – Acesso à Rede
ARP, Ethernet, Wi-Fi, etc
Figura 11.2 – Arquitectura protocolar – TCP/IP
As principais características da arquitectura TCP/IP são possuir protocolos
suportados por, praticamente todos os fabricantes de equipamentos de rede, conjunto de
protocolos livres e independentes do hardware, sistemas operativos ou fabricantes,
esquema de endereçamento universal e esquema de nomeação hierárquico.
Figura 11.3 – Formato dos segmentos do TCP
19
11.3 Protocolo IP
O protocolo IP – Internet Protocol realiza a transferência de pacotes com base
num endereço lógico, também designado por endereço IP. O endereço IP é constituido
por 32bits e é composto por cinco classes.
Figura 11.4 – Classes e gamas de endereços de IP
É um protocolo que funciona em modo de ausência de ligação, portanto, é um
protocolo que não garante a transferência fiável de informação, pelo facto de não possuir
funções de detecção e recuperação de erros. Estas funções ficam a cargo de protocolos
dos níveis superiores (transporte ou aplicação) da arquitectura TCP/IP.
Neste momento, a versão mais usual do IP é o Ipv4, mas devido ao constante
aumento de utilização da Internet, já se começa a falar no Ipv6 que em vez dos 32bits do
Ipv4 passam a ser 128bits, o que permite um número bastante superior de IP‟s.
Figura 11.5 – Formato de um pacote IP
20
11.4 Protocolo DHCP
Todos os dispositivos ligados a uma rede TCP/IP têm de ser configurados com
um endereço IP. Existe duas formas de configurar o endereço IP nos computadores,
manualmente ou automaticamente. O método manual requer mais esforço e um maior
controlo pelo administrador de sistemas pois tem que se deslocar pessoalmente a cada
computador e atribuir um endereço IP manualmente, se a rede tiver muitos computadores,
maior será a dificuldade de atribuir estes endereços IP manualmente. A solução é utilizar
um servidor que proceda à atribuição automática de endereços IP. O protocolo mais
utilizado na atribuição dinâmica de endereços IP é o DHCP – Dynamic Host
Configuration Protocol, é um protocolo de serviço TCP/IP que oferece a configuração
dinâmica dos endereços de rede (endereço IP) dos host‟s. Um cliente envia um pacote
UDP em broadcast com um pedido DHCP, os servidores DHCP que capturarem este
pacote de pedido irão responder através de um pacote com configurações onde constará
um endereço IP, uma máscara de rede, um gateway e um servidor de DNS (estes dois
últimos são opcionais).
Figura 11.6 – Esquema Cliente – Servidor DHCP
21
11.5 Gateway
O Gateway é uma máquina intermediária geralmente destinada a interligar redes,
separar domínios de colisão ou mesmo traduzir protocolos. O gateway pode ser um
router, uma firewall ou até mesmo um proxy. É normalmente composto por duas
interfaces de rede, uma externa e outra interna. A interface de rede externa é a interface
responsável de efectuar a comunicação entre o exterior e o interior da rede privada.
11.6 Mecanismo DNS
De um modo geral, é mais difícil decorar endereço IP do que um nome (por
exemplo, é mais fácil decorar o nome www.sapo.pt do que o endereço lógico
213.13.146.140 que corresponde ao sítio do SAPO). Desta forma, existe um mecanismo
chamado DNS – Domain Name System que faz a resolução de nomes em endereços IP.
O objectivo é facilitar a identificação de rede dos dispositivos.
Um Servidor de DNS, consiste numa “base de dados distribuída” com a
correspondência entre endereços lógicos e nomes de domínio. A base de dados é
distribuída por uma hierarquia de servidores DNS. Para aceder a um determinado
dispositivo a partir do nome, é feito um pedido de resolução do nome ao servidor DNS
local. Se este não conseguir resolver o nome, envia um pedido ao servidor DNS
hierarquicamente superior, e assim sucessivamente até que se consiga encontrar o
endereço respectivo ou se conclua que não existe nenhum endereço associado a esse
nome.
Figura 11.7 – Esquema Cliente – Servidor DNS
22
11.7 Sistemas Operativos
O Microsoft Windows Server 2003, é um sistema operativo produzido pela
Microsoft e foi lançado a 24 de Abril de 2003, direccionado para gerir, configurar e
controlar redes informáticas. Possui várias características que o torna um sistema
operativo robusto e credível no mundo das redes informáticas. Algumas das
características são a possibilidade de actuar como “Servidor de DNS”, “Servidor de
DHCP”, “Servidor de FTP”, “Servidor de Impressão”, “Servidor Web”, “Servidor de
Correio Electrónico”, “Servidor de Terminais”, “Servidor
de Acesso remoto/VPN”, “Servidor WINS”, “Servidor de
transmissão de multimédia em sequência” e como
“Controlador de Domínio (Active Directory)” bastante
robusto.
Figura 11.8: Windows Server
O Microsoft Windows XP, é outro sistema operativo produzido pela Microsoft e
foi lançado a 26 de Outubro de 2001 direccionado para o
utilizador comum, é conhecida pela sua estabilidade e
eficiência. Porém é um sistema operativo comercial (acarreta
custos), que faz com que muitos utilizadores mais experientes
Figura 11.9: Windows XP
utilizem outros sistemas operativos de código aberto e não comerciais como as
distribuições Linux.
Linux é o termo geralmente usado para designar qualquer
sistema operativo que utilize o núcleo Linux. Existem várias
distribuições Linux, grande maioria de código aberto e não comerciais,
embora também haja distribuições Linux comerciais.
Figura 11.10: Linux
23
Uma distribuição Linux não comercial é o Ubuntu 9.10 Server Edition. É um
sistema operativo baseado na distribuição Debian. Esta distribuição Linux tem
características especiais como as do Microsoft Windows Server 2003 mas com a
vantagem de ser uma distribuição não comercial, é freeware. Ubuntu 9.10 Server Edition
não possui ambiente gráfico como o KDE ou GNOME, todo o sistema operativo funciona
em modo texto, onde é efectuada a configuração de todos os serviços como Proxy, SSH,
FTP, Firewall, Correio Electrónico, SAMBA, File System, DHCP, DNS, entre outros!
Figura 11.11: Ubuntu
11.8 Serviço Proxy
Um servidor Proxy é um sistema de computadores, ou uma aplicação que actua
como intermediário entre os pedidos de recursos de outros servidores, efectuados pelos
clientes.
Figura 11.12: Exemplo de rede com Proxy
24
Um cliente liga-se ao servidor proxy requisitando um serviço disponível noutro
servidor, por exemplo a requisição de um ficheiro, uma página Web ou outro recurso. O
servidor proxy verifica se o pedido não vai de encontro a nenhuma regra de filtragem
estipulada, por exemplo podem haver filtros relacionados com endereços www, IP e/ou
protocolos. Se o servidor validar a requisição do cliente, então efectua o pedido do
recurso em nome do cliente. O servidor Proxy, pode armazenar o resultado dos pedidos
em cache para que da próxima vez que um cliente efectuar o mesmo pedido, o servidor
de proxy fornece o resultado que tinha armazenado em cache. Este processo permite uma
diminuição de latência na rede, tornando uma rede informática mais rápida e mais eficaz,
podendo ser considerado então um servidor Web. Normalmente um servidor Proxy, é
considerado o gateway de uma rede informática, e possui no mínimo duas interfaces de
rede, uma interface externa e outra interface interna, para efectuar a comunicação entre a
rede externa e a rede interna, mas ao mesmo tempo separar as duas redes e assim
incrementar a segurança na rede interna.
Existem vários tipos de servidor Proxy, tais como:

Proxy de Web
o Um proxy que trata apenas de tráfego WWW, é chamada de
Web Proxy. A utilização mais comum de uma Web proxy é
servir como cache de páginas Web. Algumas destas proxy
filtram páginas Web ou protocolos, como por exemplo o Gtalk,
msn, entre outros…
o O Web Proxy funciona como um proxy normal, que é
configurado nos browsers e normalmente é usado com o
objectivo de esconder a verdadeira identidade da rede onde
está.

Proxy de Cache
o Um servidor proxy de cache, é um servidor que guarda as
respostas às requisições dos clientes. Ao invés do servidor
requisitado responder ao pedido do cliente, o servidor proxy
responde, encaminhando a resposta armazenada do servidor
requisitado, possibilitando assim uma maior rapidez no
tratamento dos pedidos.
25

Proxy de Filtro de Conteúdo
o Um proxy de filtro de conteúdo, como o próprio nome indica, é
vocacionado para filtrar páginas da internet em alguns meios,
como no trabalho, nas escolas, bibliotecas, etc…
o Este tipo de proxy para além de filtrar URL, DNS, tipos MIME
e palavras, serve por exemplo, para não deixar alunos de
escolas com acesso a pornografia, chats, jogos e outros
conteúdos, de maneira a tornar a navegação mais segura.
o Para além do descrito acima ainda podem suportar
autenticação, produção de registos de actividades, monitor de
actividade por utilizador, estatísticas, antivírus e anti-malware.

Proxy Anónimo
o Um proxy anónimo, é usado para esconder o utilizador, um dos
tipos mais comuns das proxy anónimos, são os open proxy,
devido à sua dificuldade de rastrear.
o No entanto, os pedidos entre os clientes e o proxy não são
anónimos, tendo assim que haver confiança entre os clientes e
o proxy.
o Alguns proxy anónimos, podem reencaminhar cabeçalhos de
pacotes
IP
contendo
linhas
como
“HTTP_VIA,
HTTP_X_FORWARDED_FOR” ou “HTTP_FORWARDED”
que podem também conter o endereço IP do cliente.
o Alguns proxy dos bons proxy anónimos, incluem no cabeçalho
dos pacotes IP a linha “REMOTE_ADDR” com o endereço IP
da proxy em vez do endereço IP do cliente.

Proxy Hostil
o Como existem proxy para o lado honesto, também existem para
o lado desonesto, como é o caso de um Proxy Hostil. Estes
proxy capturam e analisam os pacotes transferidos entre
clientes e servidores para procurarem por dados de
autenticação como “utilizador : palavra passe”. Por esta razão,
é necessário usar ligações SSL para proteger a ligação.

Proxy de Intercepção
o Um Proxy de Intercepção, combina um “router” ou uma
“gateway” normalmente com capacidades NAT. Servem para
não ser preciso configurar nenhum proxy no lado do cliente.
26
Este tipo de proxy têm politica de controlo de “Active
Directory”, DHCP e detecção automática de proxy.
o Podem também ser usados por ISPs para poupar alguma
largura de banda no upload e para melhorar os tempos de
resposta aos clientes, usando a sua cache.

Proxy Transparente
o Um Proxy Transparente, é um proxy que só altera os pedidos e
respostas dos clientes para colocar no campo a autentificação
dos utilizadores.
o É um método para obrigar os utilizadores de uma rede a
utilizarem o servidor proxy sem que eles saibam que o estão a
utilizar, é possível configurar um conjunto de regras que vise o
melhoramento da rede.

Proxy Aberto
o Não é mais que um servidor Proxy que é acessível por qualquer
utilizador, quer pertença ou não à rede onde está o proxy.
Permite aos utilizadores de um grupo da rede armazenar e
encaminhar serviços de Internet como DNS ou páginas Web e
reduzir e controlar a rede usada pelo grupo.

Proxy Recursivo
o Um servidor de Proxy Recursivo é um servidor que se encontra
instalado antes dos servidores Web de maneira a que todo o
tráfego da internet direccionado aos servidores Web passe
sempre pela proxy.
o Este servidor proxy é usado com os seguintes objectivos:
 Cifrar ou acelerar o protocolo SSL de maneira a que
todos os servidores por de trás desta proxy tenham as
ligações cifradas por SSL. Também tem a
funcionalidade de deixar de ser necessária a
configuração de vários certificados para as diferentes
máquinas, passando apenas a existir um único para a
proxy.
 Balanço de carga de servidores: Este tipo de proxy
consegue distribuir a carga entre os diversos servidores
Web reescrevendo o URL.
 Capacidade de cache.
 Compressão de pacotes.
27



Capacidade de reduzir a utilização dos recursos causado
por clientes lentos, guardando em cache os pedidos e
respondendo à medida da velocidade do cliente.
Melhora a segurança dos servidores Web.
Proxy de Túnel
o Este tipo de proxy é utilizado para escapar às políticas de
controlo de acesso feitas pelas empresas desbloqueando as
páginas Web bloqueadas.
o Esta proxy recebe os pedidos dos clientes, efectua-os e no fim
transmite o resultado ao utilizador, fazendo que este esteja a
navegar na internet apenas por uma página.
o Também existem proxy deste tipo, que escondem servidores
com intenções ocultas, como recolher informações pessoais dos
computadores.
Um software livre capaz de implementar um servidor de proxy é o Squid. Esta
aplicação suporta HTTP, HTTPS, FTP e outros. Reduz a largura de banda e melhora os
tempos de resposta devido à cache dos
pedidos frequentes de páginas Web numa
rede. Funciona na maioria dos sistemas
operativos
disponíveis,
incluindo
o
Windows e está sob a licença GNU GPL.
Figura 11.13 - Squid
Um dos protocolos que é suportado pelo Squid é o HTTP – Hypertext Transfer
Protocol. É o protocolo mais utilizado para aceder aos conteúdos das páginas Web. O
browser envia um pedido http relativo a uma determinada página, que por seu lado, o
servidor de páginas Web responde ao pedido enviando a página respectiva. Por norma,
este protocolo funciona no porto 8080 ou porto 80.
Também existe o HTTPS – HyperText Transfer Protocol Secure que não é
mais do que a implementação do protocolo http sobre uma camada SSL ou TLS. Esta
camada permite que os dados transmitidos na rede estejam encriptados e que indivíduos
28
não autorizados possam visualizar a informação através de “sniffers”. Por defeito, este
protocolo funciona no porto 443. O http, também pode ser utilizado para carregar
ficheiros de páginas Web a par com o protocolo FTP. Este protocolo, FTP – File
Transfer Protocol, é um protocolo de transferência de ficheiros, permite receber ou
enviar ficheiros de e para um computador remoto. Existem várias aplicações FTP que
permitem listar e manipular directorias, ler e copiar ficheiros, mas não permitem a
execução remota de ficheiros. Pode
ser
definido
autenticação
um
com
processo
o
nome
de
de
utilizador e palavra-chave respectiva
para obter maior segurança.
Figura 11.14: Exemplo de aplicação FTP
Existe também, o protocolo FTPS – abreviação de: FTP/SSL, que é a
implementação do protocolo FTP com SSL, que proporciona a transferência de ficheiros
segura através de mecanismos de chaves públicas.
11.9 Armazenamento e Backups
FreeNAS é uma solução gratuita e livre de servidor NAS (Network Attached
Storage) baseada no FreeBSD, e que suporta diversos protocolos e
serviços de comunicação como: CIFS (samba), FTP, NFS, Rsync,
autenticação local de utilizadores, suporte a RAID (0,1,5), e com
uma interface de gestão via browser. É uma plataforma de
armazenamento bastante leve, fácil e não necessita de uma
máquina muito robusta. Apenas com um Pentium II com 96 MB de
Figura 11.15: FreeNAS
RAM serve para fazer funcionar o FreeNAS, quanto á capacidade de armazenamento já
vai depender das necessidades da organização e da quantidade e do espaço dos discos
rigidos instalados. Não é necessário estar ligado ao monitor, teclado e rato, pois pode-se
configurar o FreeNAS via browser. Permite a integração numa rede Microsoft Windows
(com ou sem Active Directory) ou numa rede Linux com partilhas NFS, além de ter ele
próprio, a capacidade de fazer a gestão de utilizadores locais/grupos. Neste momento, a
versão mais recente do FreeNAS é a versão 7.2.
29
Rsync é um utilitário de código aberto que fornece rápida transferência
incremental de arquivos, está disponível livremente sob a licença GNU General Public
Licence e é sustentado por Wayne Davison. Efectua a
sincronização de arquivos e directórios entre duas
máquinas diferentes ou entre directórios diferentes na
mesma máquina. Este utilitário está presente no
FreeNAS para facilitar a gestão de armazenamento. A
versão mais recente é “3.0.7”.
Figura 11.16: rsync
11.10 Redes Virtuais Privadas
A necessidade de interligar redes ou sub-redes privadas de uma forma segura
tendo como suporte canais de comunicação de redes públicas ou não confiáveis, levou à
criação do conceito de redes privadas virtuais, VPN – Virtual Private Network. Uma
rede virtual privada é uma rede constituída por um conjunto de redes privadas
interligadas por circuitos virtuais suportados noutras redes (Públicas). Para garantir a
segurança da comunicação que atravessa os circuitos públicos são utilizadas técnicas para
encriptação e autenticação.
Figura 11.17: Exemplo prático de VPN
Para que seja possível comunicar de uma forma segura entre as duas redes, ambas
terão que acordar esquemas comuns para encriptação e autenticação, que tem de ser feito
nos sistemas extremos do canal que atravessa a rede (Internet). Este serviço permite
reduzir bastante os custos da empresa cobrados pelas operadoras na prestação de circuitos
ou redes dedicadas. Em termos de segurança, a confidencialidade dos dados que circulam
na rede virtual privada deverá ser garantida por encriptação e/ou tunnelling, usando-se no
primeiro caso, mecanismos de encriptação comprovados (como por exemplo DES, 3DES,
30
RSA, IDEA) e no segundo caso, normas como o IPSec ou o L2TP. A integridade dos
dados também deve estar protegida através de algoritmos de Hashing como o SHA ou o
MD5, a autenticação é efectuada através de certificados e assinaturas digitais e permite
controlar quais os utilizadores que acedem a VPN. Existem três tipos de VPN tais como:
entre duas máquinas, entre uma máquina e uma rede, entre duas redes. Para aplicar o
conceito VPN, devemos de utilizar um dos quatro protocolos existentes, como demonstra
a figura seguinte.
Protocolo
Especificação
- Layer 2 Fowarding Protocol (Cisco)
L2F
- Já não é utilizado
- Point-to-Point Tunneling Protocol
PPTP
- Tunelamento da Camada 2
- Level 2 Tunneling Protocol
L2TP
- Combinação do L2F e PPTP
- IETF (Internet Engineering Task Force)
IPSec
Figura 11.18: Protocolos para VPN
Para criar uma VPN, é necessário uma aplicação que o faça, uma delas é o
OpenVPN. Esta aplicação é open-source e livre, e permite a criação de redes privadas
virtuais do tipo ponto-a-ponto com autenticação através de chaves secretas
compartilhadas, certificados digitais ou autenticação com utilizador e palavra-chave.
Quando utilizado no modo multiclient-server, permite que cada cliente utilize a
autenticação pública com certificados digitais. O OpenVPN utiliza a biblioteca OpenSSL
para prover criptografia entre ambos os canais. Está disponível para os sistemas
operativos baseados em Windows, Linux, FreeBSD, MAC OS X e Solaris, a última
versão estabilizada é a 2.1.4 – lançada em 2010.11.09,
porém, já existe uma nova versão BETA, sendo a 2.2beta5 – lançada em 2010.12.03 e foi desenvolvido por
James Yonan sendo publicado sob a licença GNU
General Pulic Licence (GPL).
Figura 11.19: OpenVPN
31
11.11 Redes Wireless
Devido ao avanço tecnológico, as Redes Wireless tornaram-se uma constante nas
organizações, seja em complemento ou até em substituição das redes informáticas por
cabos. Fornecem um elevado grau de credibilidade, com a primazia de não serem
necessários fios para se conectar à rede. Permitem-nos ter os mesmos serviços que nas
redes informáticas com cabos. A qualidade das redes wireless, tem alguns factores que
devem ser tomados em conta, tais como o ruído, a existência de paredes ou objectos,
entre outros… Estes factores podem condicionar a qualidade da rede wireless. As redes
wireless são classificadas da mesma forma que as redes com fio são classificadas, mas
com a diferença que são redes sem fios, ou seja:

WPAN – Wireless Personal Area Network

WLAN – Wireless Local Area Network

WMAN – Wireless Metropolitan Area Network

WWAN – Wireless Wide Area Network
Existem vários tipos de redes wireless, tais como:

IrDA

Bluetooth (IEEE 802.15.1)

RONJA

Wi-Fi (IEEE 802.11)

WiMAX (IEEE 802.16)

Mesh (IEEE 802.11s)

WiGig
O tipo de redes wireless Wi-Fi (IEEE 802.11) é o tipo mais utilizado nas redes
informáticas. É neste tipo de rede wireless que funcionam as LAN e WAN.
As redes wireless podem estar com protecção, ou não, quanto ao acesso à rede
interna. Se não existir qualquer tipo de autenticação, qualquer utilizador poderá se ligar a
32
rede sem qualquer restrição, contudo, uma forma bastante utilizada nas empresas,
escolas, entre outros, para restringir o acesso à rede wireless é a instalação de um servidor
Radius.
RADIUS – Remote Authentication Dial In User Service, é um protocolo AAA
(Authentication, Authorization e Accounting) para as aplicações que fornecem o acesso à
rede. É um serviço baseado em UDP (pergunta e resposta), o porto para a autenticação
normalmente são os portos 1645 e 1812 UDP.
Figura 11.20: Esquema de funcionamento do RADIUS
Uma aplicação livre e de código aberto para
funcionar como servidor RADIUS, mas apenas em
ambientes baseados em Linux, é o freeRADIUS.
Figura 11.21: freeRADIUS
Para implementar um servidor RADIUS em ambientes Windows, existe o
Microsoft IAS RADIUS, é uma aplicação exclusiva da Microsoft. O Windows Server
2003 e 2008 são distribuições Windows preparadas para funcionarem como servidores,
desta forma, podemos instalar o Microsoft IAS Radius, também conhecido por AAA
nestas distribuições Windows. É um servidor extremamente estável, seguro e robusto.
33
12. Desenvolvimento e Implementação
Efectuado então o estudo, a análise e o levantamento de conceitos e das
aplicações em causa para a realização do projecto, foi posto em prática o resultado desse
estudo.
Assim, proponho como esquema do Centro de Dados deste projecto uma
configuração de rede e serviços representada na seguinte figura.
Figura 12.1: Esquema da rede para o projecto
34
12.1 Configuração do Windows Server 2003
O ponto de partida foi a instalação dos sistemas operativos. Devido à falta de
computadores para a realização em máquinas físicas deste projecto, utilizou-se a
aplicação Citrix XenCenter para virtualização dos vários sistemas operativos, como
alternativa aos computadores físicos. Desta forma foi instalado o Windows Server 2003
para promover o servidor a controlador de domínio primário. Como tal, foi configurado o
endereço IP, DNS, Mascara de Rede e Gateway e alterou-se o nome do computador para
“winserver”. As configurações referidas anteriormente estão definidas da seguinte forma:

Endereço IP: 192.168.1.2

Máscara de sub-rede: 255.255.255.0

Gateway predefinido: 192.168.1.1

Servidor de DNS preferido: 127.0.0.0
Figura 12.2: Propriedades/Configurações de TCP/IP do Windows Server 2003
35
12.2 Preparação do Controlador de Domínio
Para promovermos o servidor a controlador de domínio primário, no “Menu
Iniciar” >> “Executar”, de seguida escreve-se “dcpromo” na janela que irá aparecer.
Depois de clicar em “OK”, aparecerá a janela do “Assistente de Instalação do Active
Directory” como demonstra a seguinte figura:
Figura 12.3: Assistente de instalação do Active Directory
Após a instalação e configuração do Active Directory, como domínio: projecto.pt,
foram criados novos utilizadores, grupos e unidades organizacionais no domínio.
Figura 12.4: Active Directory
36
Tendo em conta que é apenas um projecto com possibilidade de ser implementado
numa organização, apenas criei três grupos de utilizadores, num total quatro utilizadores,
como é possível verificar na seguinte tabela:
Nome do Grupo
Membros do Grupo
Descrição
Administração
- Miguel Costa
Grupo dos utilizadores que
fazem parte da Administração
- Maria José
da Empresa
Informática
fazem
- Miguel Costa
parte
dos
Admin.
Informáticos da Empresa
- Luís Torres
Funcionários
fazem parte dos Funcionários
- Marta Torres
da Empresa
Figura 12.5: Tabela dos Grupos de Utilizadores
Os utilizadores criados, possuem um username e uma palavra-chave para
acederem ao domínio. Na seguinte tabela pode-se verificar os nomes dos utilizadores, e
os respectivos usernames e ainda de que Grupos fazem parte:
Nome de Utilizador
Username
Miguel Costa
mcosta
Membro de Grupo
- Administração
- Adminsitradores
- Informática
- Administrador DHCP
- Admins de Empresa
- Admins de Domínio
- Utilizador de Domínio
Maria José
mjose
- Administração
- Admins de Empresa
Luís Torres
ltorres
- Funcionários
Marta Torres
mtorres
- Funcionários
Figura 12.6: Tabela dos Utilizadores
37
12.3 Preparação do Servidor DNS
De seguida foi criado uma Zona DNS e Reverse DNS para que o Windows Server
2003 funcione também como Servidor de DNS.
Figura 12.7: DNS
12.4 Preparação do Servidor DHCP
Depois de instalado e configurado o servidor DNS, foi instalado e configurado o
serviço DHCP, para que o Windows Server 2003 funcione também como servidor de
DHCP. Foi definido um scope desde 192.168.1.1 até 192.168.1.254, com uma regra de
excepção para os endereços IP desde 192.168.1.1 até 192.168.1.5 inclusive, que ficam
assim excluídos da distribuição.
Figura 12.8: Scope DHCP
38
Definiu-se algumas propriedades como o Gateway (Router) definido para
192.168.1.1, Nome de Domínio DNS como “projecto.pt”, Servidor de Nomes como
192.168.1.2 e Servidor de DNS como 192.168.1.2.
Figura 12.9: Opções DHCP
12.5 Configuração do Windows XP
Concluída a instalação e configuração do Microsoft Windows Server 2003,
prossegui-se para a instalação do Microsoft Windows XP para efectuar o “join” no
domínio criado. Logo de seguida, foi configurado o Microsoft Windows XP, alterou-se as
definições da placa de rede de forma a definir o endereço IP dentro da rede do domínio.
Colocou-se então o endereço IP “192.168.1.10”, Máscara de Sub-Rede “255.255.255.0”,
Gateway “192.168.1.1” e DNS para “192.168.1.2” para permitir o contacto com a rede do
domínio “projecto.pt”.
Mudou-se o nome do computador para “projectoEI-XP”, e alterou-se para
membro do domínio “projecto.pt”. Ao alterar para membro do domínio é necessário
introduzir o login e password de Administrador do domínio em questão, depois de
efectuada a mudança é necessário reiniciar o computador para que todas as configurações
fiquem bem configuradas.
39
Figura 12.10: Nome e Domínio do computador
Após o „restart‟ do computador, é necessário efectuar o login no Windows XP
como Administrador (da própria máquina) para alterar as definições da placa de rede para
obter endereço IP dinâmicamente, IP do Gateway e do DNS automaticamente através do
serviço DHCP.
De seguida, terminamos a sessão como Administrador e é necessário executar
login com um utilizador criado no Active Directory do Windows Server 2003, como por
exemplo o username “mcosta” de nome Miguel Costa. Após efectuado o login com
sucesso do utilizador “mcosta” do Active Directory, o computador em que foi efectuado
o login, obteve as seguintes definições da placa de rede pelo serviço DHCP do domínio
“projecto.pt” configurado Windows Server 2003:

Sufixo DNS: projecto.pt

Endereço IP: 192.168.1.10 (Fornecido pelo DHCP)

Máscara de Sub-rede: 255.255.255.0

Gateway: 192.168.1.1
O endereço de IP do Gateway, não é nada mais do que o endereço IP do Proxy
configurado no sistema operativo Ubuntu 9.10 Server Edition, que irá ser falado
posteriormente.
40
Figura 12.11: Utilizador “mcosta” autenticado no domínio
12.6 Configuração do Ubuntu 9.10 Server Edition
De seguida, foi instalado o sistema operativo Ubuntu 9.10 Server Edition para
trabalhar como o Gateway no domínio e funcionar como Firewall, servidor Proxy e
servidor VPN. Para que a Gateway funcione correctamente, é necessário possuir duas
interfaces de rede, tal como já foi referido anteriormente, uma interface para a rede
externa e outra interface para a rede interna e desta forma poder separar a rede privada
das redes públicas.
Após a instalação do Ubuntu 9.10 Server Edition concluida, foi definido a
password do login “root” (login master no Linux) como “ei072259” para puder interagir
com o sistema correctamente, de seguida acedeu-se ao ficheiro de configuração da placa
de rede com o comando “nano /etc/network/interfaces” e alterou-se as configurações da
seguinte forma:
41

Interface de Rede Externa – Eth0:
o Endereço IP: 192.168.2.201
o Máscara de Sub-Rede: 255.255.255.0
o Rede: 192.168.2.0
o Broadcast: 192.168.2.255
o Gateway: 192.168.2.1

Interface de Rede Interna – Eth1:
o Endereço IP: 192.168.1.1
o Máscara de Sub-Rede: 255.255.255.0
o Rede: 192.168.1.0
o Broadcast: 192.168.1.255
o Gateway: 192.168.1.1
Figura 12.12: Ficheiro de configuração das interfaces de rede
42
Após a configuração da placa de rede do Ubuntu, realizou-se uma actualização
pelos repositórios do Ubuntu, através do comando “# apt-get update” e “# apt-get
upgrade”. O “apt-get” é um software que além de instalar o programa especificado,
instala também todas as dependências do pacote solicitado.
12.7 Preparação da Firewall
Uma vez configuradas as interfaces e as actualizações realizadas, é imprescindível
criar uma firewall para que a nossa rede fique bem protegida de ataques e do acesso a
indivíduos não autorizados. Desta forma, foi criado o ficheiro “/etc/init.d/firewall”, um
ficheiro como o bloco de notas que irá conter as regras iptables da firewall. O conteúdo
do ficheiro “/etc/init.d/firewall” pode ser visualizado no Anexo – I.
Figura 12.13: Ficheiro “/etc/init.d/firewall” a ser executado
43
Para que o script de firewall seja executado sempre que a máquina reiniciar, é
necessário acrescentar “/etc/init.d/firewall” antes do “exit 0” no ficheiro “/etc/rc.local”.
Figura 12.14: Ficheiro “/etc/rc.local”
12.8 Preparação do Proxy Transparente - Squid
Prossegue-se então a instalação do Squid, software responsável por actuar como
Servidor de Proxy que suporta HTTP, HTTPS, FTP, entre outros protocolos. No projecto
optei por um Proxy Transparente, para que de uma forma simples e eficaz forneça os
serviços requisitados por clientes podendo armazenar os resultados dos serviços prestados
para futuras requisições por outros clientes, para que este serviço se torne mais rápido,
eficaz e também diminuir o tráfego na rede, sem existir a necessidade de configurar os
browsers manualmente, visto que os utilizadores da rede nem saberão que estão a utilizar
o proxy.
Para instalar o Squid recorre-se ao comando “# apt-get install squid3” e o Ubuntu
instala-o automaticamente. De seguida é necessário aceder ao ficheiro de configuração do
44
Squid através do comando “# nano /etc/squid3/squid.conf” e configurar este ficheiro para
que o Squid faça Transparente Proxy.
Figura 12.15: Ficheiro squid.conf
Estas configurações podem ser alteradas de acordo com as necessidades de cada
organização. É também necessário criar uma regra IPTABLE na firewall para que o
Ubuntu redirecione todas as comunicações na porta 80 e 8080 (portas por defeito para o
protocolo HTTP) para a porta 3128 configurada no Squid e desta forma transparente
efectuar o serviço. As regras então necessárias são:

iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport
8080 -j REDIRECT --to-port 3128
Para adicionar o utilizador “proxy” ao Squid utiliza-se o comando “# useradd
proxy” e para adicionar o grupo “proxy” ao Squid utiliza-se o comando “# addgroup
proxy” e para dar permissões ao utilizador e grupo para aceder a cache utiliza-se o
comando “# chown –R proxy.proxy /var/log/squid3/cache.log”, por fim so falta reiniciar
45
o Squid com o comando “# /etc/init.d/squid3 restart” e desta forma o Squid fica a
funcionar.
Podemos confirmar a utilização do proxy através do login numa máquina
qualquer que esteja dentro do domínio, se essa máquina possuir ligação à Internet é sinal
que o Proxy está a funcionar. Para visualizar o conteúdo do ficheiro de configuração do
proxy Squid (/etc/squid3/squid.conf) na íntegra, consulte o Anexo – II.
12.9 Preparação do Servidor VPN
Neste momento podemos configurar o servidor de VPN no Ubuntu, para isso é
fundamental instalar o OpenVPN através do comando “# apt-get install openvpn”. Depois
de instalar o OpenVPN, é importante carregar o módulo "tun" do Kernel, através do
comando “# modprobe tun”, que é utilizado pelo OpenVPN para criar interfaces virtuais.
Cada VPN criada comporta-se como se fosse uma nova interface de rede, conectada à
rede de destino. Convém adicionar a linha “tun” no final do ficheiro "/etc/modules" para
que o módulo possa ser carregado automaticamente durante o boot do Ubuntu. Estes três
passos devem ser executados tanto no servidor VPN como no cliente. Os ficheiros de
configuração do OpenVPN estão todos em “/etc/openvpn”.
No projecto foi criado VPN com certificados X509, este é o método chamado de
PKI (Public Key Infraestructure) que permite criar VPN‟s mais complexas e é mais
seguro. Para criar os certificados, utilizaremos o easy-rsa, um conjunto de scripts
incluídos
no
pacote
do
OpenVPN,
que
se
encontra
dentro
da
pasta
"/usr/share/doc/openvpn/examples/easy-rsa/2.0 ". Depois é necessário copiar todo o
conteúdo
para
a
pasta
“/etc/openvpn”,
através
do
comando
“#
cp
-a
/usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn/”.
Neste momento, é necessário abrir o ficheiro “/etc/openvpn/easy-rsa/2.0/vars”, e
no fim do ficheiro altera para as seguintes linhas:
export KEY_COUNTRY="PT"
export KEY_PROVINCE="PT"
export KEY_CITY="Porto"
export KEY_ORG="Projecto"
export [email protected]
46
De seguida, utiliza-se o comando “# source” para carregar as variáveis contidas
dentro do ficheiro "vars" e, de seguida, executa-se os scripts "# ./clean-all" e "# ./buildca". O primeiro script limpa qualquer sobra de configuração anterior, enquanto o segundo
gera o certificado raiz, usando o openssl. Depois dos scripts terem sido executados,
criaram uma pasta “keys” em “/etc/openvpn/easy-rsa/2.0/keys” que contém os ficheiros
“ca.crt”, “ca.key”, “index.txt” e “serial”. O arquivo "ca.crt" contém o certificado raiz. De
seguida, é necessário gerar os certificados para o servidor e para o cliente, através do
comando “# cd /etc/openvpn/easy-rsa/2.0/”, depois “# ./build-key-server servidor”. Como
o certificado do servidor já se encontra gerado, agora é preciso gerar o certificado para o
cliente através do comando “./build-key cliente”. Por fim é necessário utilizar o script "#
./build-dh", para gerar os parâmetros Diffie Hellman, que reforçam a segurança,
permitindo que o servidor e os clientes troquem as chaves (de forma segura) no momento
da conexão, confirmando suas identidades. Depois de tudo isto concluído, é indispensável
instalar as chaves no servidor e no cliente. No servidor, cria-se o directório
“/etc/openvpn/keys” e copia-se para lá os arquivos "ca.crt", "servidor.crt", "servidor.key"
e “dh1024.pem” através dos seguintes comandos:
# cd /etc/openvpn/easy-rsa/2.0/keys
# mkdir /etc/openvpn/keys
# cp -a ca.crt servidor.crt servidor.key /etc/openvpn/keys/
# cp -a dh1024.pem /etc/openvpn/keys/
Para terminar, é essencial copiar os certificados para os clientes utilizando o
SFTP. É necessário criar a pasta “/etc/openvpn/key” no cliente. Para fazer a cópia dos
certificados é necessário utilizar os seguintes comandos:
# sftp [email protected] (Outra máquina Ubuntu, que contêm os backups)
Password: ei072259
sftp> mkdir /etc/openvpn/keys
sftp> cd /etc/openvpn/keys
sftp> put ca.crt
47
sftp> put dh1024.pem
sftp> put cliente1.crt
sftp> put cliente1.key
Seguidamente
é
necessário
criar
e
configurar
o
ficheiro
“/etc/openvpn/server.conf” no servidor, como também criar e configurar o respectivo
ficheiro “/etc/openvpn/client.conf” no cliente. É possível visualizar o conteúdo dos dois
ficheiros de configuração referidos anteriormente no Anexo – III.
Para finalizar é necessário reiniciar o OpenVPN, através do comando “#
/etc/init.d/openvpn restart”.
Figura 12.16: Restart OpenVPN
Como teste ao VPN podemos executar o comando “# ssh 10.0.0.1”, sendo o
endereço IP 10.0.0.1 o endereço do servidor de VPN definido no ficheiro “server.conf”.
Figura 12.17: Teste ao VPN
48
12.10 Configuração do FreeNAS
Para efectuar a gestão de armazenamento de dados é utilizado sistema operativo
FreeNAS. A informação e os dados das organizações são informações bastante
importantes para o seu funcionamento, e como tal é necessário um bom sistema de gestão
de armazenamento de dados para preservar e deixar acessível a informação aos que assim
necessitam. FreeNAS é uma distribuição baseada no FreeBSD, grátis e suporta vários
protocolos e várias aplicações que fornecem um bom sistema de armazenamento de
dados. Procede-se então à instalação do FreeNAS que é como a maioria dos sistemas
baseados em Linux.
Figura 12.18: FreeNAS
Com a instalação já concluída, é necessário configurar a máquina FreeNAS para
que esta possa estar inserida na rede e no domínio correctamente. As configurações da
interface de rede do FreeNAS são:

Endereço IP: 192.168.1.3

Máscara de Sub-Rede: 255.255.255.0

Gateway: 192.168.1.1”

DNS: 192.168.1.2
49
Figura 12.19: Configuração da interface de rede do FreeNAS
Deste modo, o FreeNAS fica disponível para ser configurado via browser através
do seu Endereço IP, neste caso “192.168.1.3” na porta 80. Ao aceder então ao FreeNAS
via browser, através do endereço “http://192.168.1.3:80” como é mostrado na figura
seguinte.
Figura 12.20: FreeNAS via browser
50
O FreeNAS vem configurado com o login “admin” e password “freenas” por
omissão para que seja possível entra no menu de configuração do FreeNAS. Este login e
password podem e devem ser alterados por questões de segurança.
Efectuando o login é apresentado uma página de entrada, onde inclui um resumo
da situação actual do FreeNAS, tais como o nome da máquina, o domínio, versão do
sistema operativo, caracteristicas do computador onde está instalado o FreeNAS, data e
hora do sistema, dados estatísticos e reais sobre a utilização do CPU, da memória, do
espaço em disco, entre outros.
Figura 12.21: Paginal inicial do FreeNAS via browser
51
12.11 Preparação das Pastas Pessoais e Privadas
Para que o FreeNAS funcione correctamente, é fundamental configurar e preparar
os discos rígidos. Em primeiro lugar, no separador ir a Discos » Gestão, depois clicar no
botão + para adicionar o primeiro disco. Depois de adicionado o disco, é preciso montar o
disco em Discos » Ponto de Montagem, e de seguida adicionar um ponto de montagem
referente ao disco adicionado. Para que os utilizadores de computadores Windows
possam ter acesso e consigam detectar o NAS, é necessário activar e configurar o
protocolo CIFS/SMB. Ao configurar este serviço, é necessário definir o método de
autenticação como Active Directory para restringir o acesso ao NAS.
Além destas configurações via browser, é necessário configurar o Samba e o
Winbind no FreeNAS. Portanto, acede-se a linha de comandos do FreeNAS pelo
comando “ssh 192.168.1.3”. O ficheiro de configuração do Samba é o “smb.conf” e fica
em “# /var/etc/smb.conf”. Ao editar esse ficheiro verifica-se que existem vários
parâmetros necessários para o seu correcto funcionamento. O conteúdo do ficheiro
“/var/etc/smb.conf” encontra-se no Anexo – IV.
Depois de configurado o Samba, é necessário criar as pastas privadas pessoais de
cada utilizador, como no projecto apenas temos quatro utilizadores:

# mkdir /mnt/ServidorNAS/Pessoais/mcosta

# mkdir /mnt/ServidorNAS/Pessoais/mtorres

# mkdir /mnt/ServidorNAS/Pessoais/mjose

# mkdir /mnt/ServidorNAS/Pessoais/ltorres
Para que haja mais segurança nas pastas privadas de cada utilizador, convém
restringir o acesso ao proprietário da pasta pessoa. Então, é necessário executar os
seguintes comandos:

# chown -R mcosta /mnt/ServidorNAS/Pessoais/mcosta

# chown -R mtorres /mnt/ServidorNAS/Pessoais/mtorres

# chown -R mjose /mnt/ServidorNAS/Pessoais/mjose

# chown -R ltorres /mnt/ServidorNAS/Pessoais/ltorres
52
Neste momento, é fundamental adicionar o FreeNAS ao domínio “projecto.pt”,
então utiliza-se o seguinte comando “# net rpc join -S winserver -U Administrador”.
Terminadas estas configurações, já é possível os clientes Windows acederem as suas
pastas privadas e públicas no FreeNAS.
Figura 12.22: Pasta Privada Pessoal de Miguel Costa no FreeNAS
12.12 Preparação dos Backups
Rsync é uma aplicação bastante utilizada em sistemas Linux, para sincronização
remota dos dados entre dois directórios diferentes na mesma máquina e entre duas
máquinas distintas. Tem propriedades de criptografia do protocolo SSH, o que torna a
transmissão de dados mais segura que o tão conhecido FTP. Além das propriedades de
segurança, o Rsync utiliza o protocolo remote-update, que aumenta bastante a velocidade
e diminui a quantidade de dados transferidos, pois faz uma comparação entre os ficheiros
já existentes e os novos ficheiros e só transfere os novos ficheiros. A figura a baixo
mostra a página de configuração do serviço Rsync no Servidor NAS
53
Figura 12.23: Página de configuração do Rsync no FreeNAS
Como é sempre importante ter cópias dos ficheiros mais importantes dos
servidores, os comandos a executar são:

rsync -Cravzp /etc/openvpn/ [email protected]:/mnt/backups/crontab/

rsync -Cravzp /etc/squid3/ [email protected]:/mnt/backups/crontab/

rsync -Cravzp /etc/init.d/firewall [email protected]:/mnt/backups/crontab/
O conteúdo das pastas pessoais e privadas do FreeNAS também são ficheiros que
se deve ter sempre uma cópia para o caso de falhas do sistema. Então, o comando a
utilizar é:

rsync -Cravzp /mnt/ServidorNAS/ [email protected]:/mnt/backups/crontab/
54
Estes comandos podem ser executados manualmente, mas se houver uma
aplicação que o faça por nós, de uma forma automática e agendada, ainda melhor, como é
o caso do Crontab. O Crontab é uma aplicação para agendar tarefas para um
determinado momento e para qualquer programa. É possível editar o Crontab através do
comando “# crontab –e”, sendo que a ordem das informações que devem ser inseridas é
“Minuto
Hora
Dia_do_mês
Mês
Dia_da_Semana
Comando”. Para remover as
tarefas agendadas, basta executar o comando “# crontab –d”. Para listar todas as tarefas
agendadas é necessário executar o comando “# crontab –l”, como é possível ver na
seguinte figura:
Figura 12.24: Listagem das tarefas de cópias de segurança agendadas no Crontab
Figura 12.25: Cron (Tarefas Agendadas) no FreeNAS
55
13. Problemas e Decisões
Durante as várias etapas do projecto, nomeadamente na tarefa número três, quatro,
dez e dezassete, apareceram várias aplicações, plataformas, sistemas operativos e dúvidas
que poderiam efectuar os mesmos serviços, embora todos eles com propriedades e
maneiras diferentes de obter o mesmo resultado.
No início do projecto tive de optar por utilizar o Microsoft Windows Server 2003
ou a versão mais actualizada existente da Microsoft, o Microsoft Windows Server 2008.
Depois de efectuar uma pesquisa e após reunião com o orientador, optei por utilizar o
Microsoft Windows Server 2003 para fazer de Servidor DNS, Servidor DHCP,
controlador de domínio e IAS Radius por ser uma versão mais que testada
empresarialmente e bem sucedida.
Existem inúmeras distribuições, algumas até completas como o Untangle que nos
fornece vários serviços, mas tem como desvantagem o facto de ser um software pago. Por
esses motivos preferi o Ubuntu Server Edition para fazer de Gateway com os serviços
Proxy, VPN e Firewall, apesar de ser mais delicado e mais trabalhoso, pois não existe um
interface gráfico que nos possa orientar. Existem várias versões Ubuntu Server Edition,
mas optei por utilizar a versão mais recente, o Ubuntu 9.10 Server Edition.
Para efectuar a gestão de armazenamento de dados na rede existem dois sistemas
bastante poderosos e com bastantes parecenças, o FreeNAS e o OpenFiler. O OpenFiler é
uma distribuição Linux, enquanto o FreeNAS é baseado no FreeBSD (UNIX). Ambos
são gratuitos, fiáveis e em constante desenvolvimento. Pelas pesquisas e análises que fiz,
o OpenFiler oferece um leque de opções bem maior, adaptando-se melhor à realidade das
empresas. Permite ainda criar NAS com taxas de transferência mais rápidas (maior
velocidade de cópia de ficheiros através da rede) e tem um maior suporte de hardware
mais sofisticado (placas RAID, por exemplo). Apesar do Openfiler ter claramente um
ADN empresarial, este sistema é também muito mais difícil de instalar e exige hardware
56
bem mais recente do que o FreeNAS. Outro problema do OpenFiler para os utilizadores
domésticos é a relativa falta de documentação disponibilizada na Internet. Aliás, apesar
de o software ser gratuito, o manual de utilização é pago (40 dólares). Por outro lado, o
FreeNAS tem uma instalação simples e, por ser mais popular, é fácil encontrar
informação online sobre a instalação e configuração deste sistema. Tendo em conta estas
características de cada uma das opções, escolhi utilizar o FreeNAS.
Durante a realização deste projecto, surgiram algumas dificuldades, que só com
esforço, trabalho, empenho e com a ajuda de ambos os orientadores foi possível superar
este desafio. Uma das principais dificuldades foi conseguir fazer com que o Proxy
funciona-se de forma transparente conforme era objectivo deste projecto, que entretanto
foi realizado com sucesso. Outra dificuldade foi interligar o FreeNAS com o Active
Directory do Windows Server 2003, mais concretamente ao fazer o „join‟ do FreeNAS no
domínio „projecto.pt” do Windows Server 2003, que posteriormente foi resolvido com
sucesso.
57
14. Futuras Implementações
Uma vez concluída a unidade curricular “Projecto Informático em Contexto
Empresarial” sucede-se a unidade curricular “Estágio Informático em Contexto
Empresarial”, onde o trabalho a desenvolver passará por melhorar o projecto inicial, o
Centro de Dados.
Alguns dos temas que poderão ser abordados na unidade curricular “Estágio
Informático em Contexto Empresarial” podem ser por exemplo:
o Publicação de repositório de informação com FAQ's, vídeos e
procedimentos sobre como os utilizadores podem configurar VPN,
Correio electrónico, etc. nos seus clientes;
o Instalação e configuração de ferramentas de helpdesk, como por exemplo
um sistema de tickets;
o Criação de correio electrónico para a organização com mecanismos de
anti-spam, SPF, filtragem por conteúdos. Também pode explorar os
serviços fornecidos aos utilizadores;
o Criação de políticas de restrição no armazenamento através de
implementação de quotas;
o Etc.
58
15. Complementos do Projecto
Como complemento do projecto, foi criado um website, onde contém a informação
do estado actual do projecto que vai sendo actualizado regularmente, com novas
informações sobre o desenvolvimento do mesmo. O website é importante para que os
orientadores, o arguente, o coordenador do projecto e outros possam seguir todos os
passos do desenvolvimento.
O espaço está alojado na página pessoal do Instituto Superior Politécnico de Gaya,
tendo o seguinte endereço:
http://paginas.ispgaya.pt/~ei072259
Figura 15.1: Website: http://paginas.ispgaya.pt/~ei072259
59
Como requisito da unidade curricular, também foi criado uma página poster sobre
o projecto, contendo as informações básicas sobre o mesmo, tal como pode ser
visualizado na seguinte figura:
Figura 15.2: Poster do Projecto
60
16. Conclusões
Após ter terminado o projecto, é altura de reflectir sobre o percurso efectuado,
complexo, é certo, mas ao mesmo tempo fascinante pelo desafio que nos foi colocado em
todas as fases de construção do conhecimento e capacidades.
A informática engloba diversas áreas em permanente expansão, contudo o
presente projecto incidiu apenas numa área, sendo ela a Administração de Sistemas
Informáticos. A escolha deste tema reflectiu, simplesmente, o meu interesse e a minha
motivação em aprofundar e melhorar os meus conhecimentos nesta vertente, com a qual
mais me identifico.
Com a realização deste Projecto consegui colocar os meus conhecimentos e
capacidades em prática, com sucesso, na medida em que consegui elaborar um Centro de
Dados para uma organização. Para isso, implementei um conjunto de serviços, com o
intuito de gerir o Centro de Dados supra-mencionado. Estes serviços incluíram não só a
implementação de um servidor DHCP, como também de um servidor DNS, de um
Controlador de Domínio, do Proxy Transparente, do Sistema de Armazenamento, da
Gestão de áreas pessoais e públicas dos utilizadores e da Firewall. Além disso, envolveu,
também, a implementação de um servidor VPN.
Devido à falta de recursos materiais, não consegui desenvolver a rede wireless.
Contudo, realizei uma breve pesquisa sobre a implementação de um servidor RADIUS,
com o objectivo de efectuar a autenticação dos utilizadores na rede wireless. Assim, no
próximo semestre, na Unidade Curricular “Estágio Informático em Contexto
Empresarial” pretendo desenvolver os conhecimentos que adquiri.
Na minha opinião, o desenvolvimento do meu “Projecto Informático em Contexto
Empresarial” foi influenciado pelas minhas experiências anteriores, incluindo a
realização dos trabalhos académicos na unidade curricular “Redes e Computadores” do
61
2º ano e de todas as unidades curriculares leccionadas pelo Eng. Jorge Ruão. Contudo,
dou especial ênfase às Unidades Currisculares: “Administração de Sistemas” e
“Interligação e Gestão de Sistemas Informáticos”, ambas do 3º ano, pois contribuíram
para a aquisição de novos conhecimentos e capacidades, através do contacto com novas
funcionalidades e aplicações, promovendo, desta forma, o meu crescimento no domínio
cognitivo. Assim, posso afirmar que os trabalhos realizados foram essenciais e
constituíram a base para o meu desenvolvimento. Contudo, os conhecimentos e as
capacidades devem ser aperfeiçoadas e melhoradas, pelo que a concretização deste
Projecto revestiu-se de especial importância.
Este Projecto permitiu-me contactar, mais de perto, com a realidade da
Administração de Sistemas Informáticos, assim como me proporcionou um enorme
conjunto de novas experiências que me consciencializaram sobre o meu potencial e
dificuldade para a aplicação destas funções.
Concluo então, que o desenvolvimento do “Projecto Informático em Contexto
Empresarial” foi importante, na medida em que me permitiu colocar em prática os
conhecimentos que fui adquirindo ao longo destes três anos. Além disso, saliento o facto
do projecto em questão ter enriquecido o meu currículo profissional, pois promoveu o
desenvolvimento de novas competências que serão fundamentais para a nova etapa que se
avizinha.
62
17. Bibliografia e Referências

Engenharia de Redes Informáticas, Edmundo Monteiro / Fernando
Boavida

Redes Cisco Para Profissionais, Mário P. Véstias

Administração de Redes Informáticas, Fernando Boavida / Mário
Bernardes / Pedro Vapi

http://paginas.ispgaya.pt/~jruao

www.pplware.pt

www.microsoft.com

http://technet.microsoft.com

www.vivaolinux.com.br

http://www.vivaolinux.com.br/artigo/Script-de-firewall-completissimo/?
pagina=1

http://en.wikipedia.org/wiki/Internet_Authentication_Service

http://www.guiadohardware.net/tutoriais/samba-pdc/

Exame Informática – Setembro 2009
63
18. Anexos
18.1. Anexo I – Script Firewall - /etc/init.d/firewall
#!/bin/sh
echo ""
echo "SCRIPT DE FIREWALL RUNNING"
sleep 0.5
echo ""
echo "By: Miguel Costa - [email protected] - Setembro de 2010"
echo ""
sleep 0.5
# Activar os diversos modulos do iptables
#/sbin/modprobe iptable_nat
#/sbin/modprobe ip_conntrack
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_nat_ftp
#/sbin/modprobe ipt_LOG
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe ipt_multiport
modprobe iptable_mangle
modprobe ipt_tos
modprobe ipt_limit
modprobe ipt_mark
modprobe ipt_MARK
# Activa forward no kernel do SO - forward ON
64
echo "1" > /proc/sys/net/ipv4/ip_forward
echo ""
echo "A activar o redirecionamento no ficheiro ip_forward"
sleep 0.5
echo "......................................................................... [ OK ]"
# explicit congestion notification OFF
echo 0 > /proc/sys/net/ipv4/tcp_ecn
# Proteccao contra IP Spoofing - Anti Spoofing
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo ""
echo "A activar proteccao contra ataques do tipo Anti-Spoofings"
sleep 0.5
echo "......................................................................... [ OK ]"
# Limpa as regras iptables
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
# Determina a politica padrao - NAO USAR QUE DROPA AS LIGACOES
# Nega todas asacoes, fica incomunicavel.
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -P FORWARD DROP
# Descarta pacotes TCP indesejaveis
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL:
NEW sem syn: "
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
# Aceita os pacotes que realmente devem entrar
65
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# Proteccao contra trinoo
echo ""
echo "A activar proteccao contra Trinoo"
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 27444 -j TRINOO
sleep 0.5
echo "......................................................................... [ OK ]"
# Proteccao contra trojans
echo ""
echo "A activar proteccao contra Trojans"
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN
sleep 0.5
echo "......................................................................... [ OK ]"
# Proteccao contra worms
echo ""
echo "A activar proteccao contra ataques do tipo Worms"
iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT
66
sleep 0.5
echo "......................................................................... [ OK ]"
# Proteccao contra syn-flood
echo ""
echo "0" > /proc/sys/net/ipv4/tcp_syncookies
echo "A activar proteccao contra ataques do tipo Syn-Flood"
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
sleep 0.5
echo "......................................................................... [ OK ]"
echo ""
# Proteccao contra Ping of Death e DoS
echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "A activar proteccao contra ataques do tipo Ping Of Death e do tipo DoS"
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
sleep 0.5
echo "......................................................................... [ OK ]"
echo ""
# Proteccao contra ataques SSH por forca bruta
echo "A activar proteccao contra ataques do tipo SSH Brute Force"
iptables -A FORWARD -p tcp --dport 22 -m limit --limit 1/s --limit-burst 4 -j ACCEPT
sleep 0.5
echo "......................................................................... [ OK ]"
echo ""
# Proteccao contra port scanners
echo "A activar proteccao contra Port Scanners ocultos"
iptables -N SCANNER
iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:
"
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER
67
iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER
sleep 0.5
echo "......................................................................... [ OK ]"
echo ""
# Loga tentativa de acesso pelo exterior a determinadas portas (21,23,25,80,
#110,111,113,137,161,6667,6668,3128
# Os logs ficam em /var/log/messages
iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: "
iptables -A INPUT -p tcp --dport 23 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: "
iptables -A INPUT -p tcp --dport 25 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: "
iptables -A INPUT -p tcp --dport 80 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: http: "
iptables -A INPUT -p tcp --dport 110 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: "
iptables -A INPUT -p udp --dport 111 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: "
iptables -A INPUT -p tcp --dport 113 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: identd: "
iptables -A INPUT -p tcp --dport 137:139 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p udp --dport 137:139 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: samba: "
iptables -A INPUT -p tcp --dport 161:162 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: "
iptables -A INPUT -p tcp --dport 6667:6668 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: irc: "
iptables -A INPUT -p tcp --dport 3128 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: squid: "
# Permite acesso externo a porta 22 - SSH
echo "A permitir acesso externo pela porta 22 - SSH"
iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 20000 -i eth0 -j ACCEPT
sleep 0.5
echo "......................................................................... [ OK ]"
# Bloqueia o MSN
#IPSOURCE=192.168.1.2
echo ""
echo "A bloquear o MSN"
68
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 63.208.13.126 -j DROP
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 1863 -j DROP
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.0.0/24 -j DROP
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.0.0/24 -j DROP
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 6891:6901
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 5190
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 1863:1864 -j DROP
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 6891:6901
iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 5190
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passaport.com -j REJECT
sleep 0.5
echo "......................................................................... [ OK ]"
69
echo ""
echo "A bloquear programas p2p e CIA, tipo Emule, BitTorrent, LimeWire"
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 6346 -j REJECT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6346 -j REJECT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 6881:6889 -j REJECT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6881:6889 -j REJECT
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 1214:1215 -j REJECT
sleep 0.5
echo "......................................................................... [ OK ]"
#IMPORTANTE NAO MEXER NISTO
# Activa mascaramento de saida
echo ""
echo "A activar regra de mascaramento de saida"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sleep 0.5
echo "......................................................................... [ OK ]"
# REGRA DO PROXY
echo ""
echo "A activar as regras do Proxy Transparente, reencaminhamento do porto 80 e do"
echo "porto 8080 para o porto 3128"
70
iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port
3128
iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 8080 -j REDIRECT --to-port
3128
sleep 0.5
echo "......................................................................... [ OK ]"
# REGRA DA VPN
#echo ""
#echo "A activar regra da VPN."
#iptables -t nat -s 10.0.0.0/24 -A POSTROUTING -o eth0 -j MASQUERADE
#route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0
#Esta regra em cima, orienta o sistema a encaminhar os pacotes recebidos a partir do end IP do cliente
(10.0.0.2) para a interface de rede local eth0.
#sleep 0.5
#echo "......................................................................... [ OK ]"
# Carrega controlador de banda
#/etc/init.d/cbq start
sleep 0.25
echo ""
echo "Terminada a configuracao da Firewall!"
sleep 0.25
echo ""
echo "FIREWALL ON"
echo ""
71
18.2. Anexo II – Script Proxy – /etc/squid3/squid.conf
####SQUID.CONF####
http_port 3128 transparent
cache_mem 5000 MB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 15000 16 256
# TAMANHO MAXIMO PARA CACHEAR
maximum_object_size 500 MB
maximum_object_size_in_memory 40 KB
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
pid_filename /var/run/squid3.pid
mime_table /usr/share/squid3/mime.conf
cache_mgr [email protected]
memory_pools off
append_domain .gmail.com
diskd_program /usr/lib/squid3/diskd
unlinkd_program /usr/lib/squid3/unlinkd
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher:
1440
refresh_pattern (cgi-bin|\?)
0
refresh_pattern .
0
quick_abort_max 16 KB
quick_abort_pct 95
quick_abort_min 16 KB
20%
0%
0%
4320
1440
0
72
#TAMANHO MAXIMO PARA UM HEADER#
request_header_max_size 20 KB
reply_header_max_size 20 KB
#TAMANHO MAXIMO PARA UM BODY REQUEST#
request_body_max_size 2.5 MB
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl LanFora src 192.168.2.0/24
acl LanDentro src 192.168.1.0/24
#ACL PARA PROIBIR SITES
acl Block url_regex "/etc/squid3/blocked_sites"
http_access deny Block
#ACL PARA BLOQUEAR DETERMINADAS PALAVRAS NO URL
acl Palavras dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny Palavras
#ACL PARA DAR ACESSO A DETERMINADOS IP's
acl IpLivres src "/etc/squid3/ipslivres
http_access allow IpLivres
#ACL PARA REJEITAR DETERMINADOS TIPOS DE FICHEIROS
acl Extensoes url_regex -i \.dos \.torrent #\.exe
http_access deny Extensoes
#ACL PARA BLOQUEAR O MSN
acl MSN url_regex -i /gateway/gateway.dll
http_access deny MSN
#acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443 563
acl Safe_ports port 80 21 1863 70 210 488 777 591 280 4505 9000 1025-65535
acl CONNECT method CONNECT
73
#PROXYING DE FTP#
acl FTP_Port port 21
http_access allow CONNECT FTP_Port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow LanFora
http_access allow LanDentro
cache_mgr webmaster
mail_program mail
cache_effective_user proxy
cache_effective_group proxy
httpd_suppress_version_string off
visible_hostname projecto
error_directory /usr/share/squid3/errors/pt
visible_hostname Ubuntu
74
18.3. Anexo III – Script VPN – server.conf e client.conf
 server.conf
proto udp
port 22222
dev tap
server 10.0.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
ifconfig-pool-persist /etc/openvpn/ipp.txt
max-clients 10
tls-server
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/servidor.crt
key /etc/openvpn/keys/servidor.key

client.conf
remote 192.168.1.1
proto udp
port 20000
client
pull
dev tap
comp-lzo
keepalive 10 120
persist-key
persist-tun
float
tls-client
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/cliente1.crt
key /etc/openvpn/keys/cliente1.key
75
18.4. Anexo IV – Script Samba FreeNAS– smb.conf
[global]
#max protocol = smb2
encrypt passwords = yes
netbios name = ServidorNAS
workgroup = projecto
server string = FreeNAS Server
security = ads
dns proxy = no
# Settings to enhance performance:
use sendfile = yes
strict locking = no
read raw = yes
write raw = yes
oplocks = yes
max xmit = 65535
deadtime = 15
getwd cache = yes
socket options = TCP_NODELAY SO_SNDBUF=64240 SO_RCVBUF=64240
# End of performance section
wins server = 192.168.1.2
unix charset = UTF-8
ea support = yes
store dos attributes = yes
local master = no
time server = no
guest account = convidado
display charset = LOCALE
max log size = 10
syslog only = yes
syslog = 1
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
log level = 1
76
dos charset = CP437
smb passwd file = /var/etc/private/smbpasswd
private dir = /var/etc/private
passdb backend = tdbsam
allow trusted domains = no
idmap alloc backend = tdb
idmap backend = tdb
idmap uid = 10000-39999
idmap gid = 10000-39999
idmap config projecto : backend = rid
idmap config projecto : range = 10000-39999
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind normalize names = yes
template homedir = /mnt/ServidorNAS/Pessoais/%U
template shell = /bin/sh
[Pasta PÃºblica]
comment = Pasta publica do projecto no Servidor NAS
path = /mnt/ServidorNAS/Public/
writeable = yes
printable = no
veto files = /.snap/
hide dot files = yes
vfs objects = recycle
recycle:repository = .recycle/%U
recycle:keeptree = yes
recycle:versions = yes
recycle:touch = yes
recycle:directory_mode = 0777
recycle:subdir_mode = 0700
[Pastas Pessoais]
comment = Pastas Pessoais, com acesso apenas para o proprietÃ¡rio da pasta
path = /mnt/ServidorNAS/Pessoais/
writeable = yes
printable = no
77
[ltorres]
comment = Pasta Privada Luis Torres
path = /mnt/ServidorNAS/Pessoais/ltorres/
writeable = yes
printable = no
inherit permissions = yes
vfs objects = recycle
recycle:repository = .recycle/%U
recycle:keeptree = yes
recycle:versions = yes
recycle:touch = yes
recycle:directory_mode = 0777
recycle:subdir_mode = 0700
%U ltorres
[mcosta]
comment = Pasta pessoal de Miguel Costa
path = /mnt/ServidorNAS/Pessoais/mcosta/
writeable = yes
printable = no
inherit permissions = yes

Relatório Final do Projecto - Paginas ISPGaya

Transcrição

Documentos relacionados

FN Hotelaria

Ciclo Sessões Meio Dia José Pedro Fev 2010.cdr

GOPACA Século XXI Inovar para Crescer e Internacionalizar

Configuração do Proxy no Mozilla Firefox 1 - Multiweb

Como acessar rede UFPR de casa

dowload pdf

Jovens carenciados recebem formação na ATEC

Autor do Projecto de Condicionamento Acústico

Configuração do Proxy no Google Chrome - Multiweb

PROJECTO 8 DO IPCser