Relatório Final do Projecto - Paginas ISPGaya
Transcrição
Relatório Final do Projecto - Paginas ISPGaya
Instituto Superior Politécnico de Gaya Projecto Informático em Contexto Empresarial Engenharia Informática 2010/2011 Miguel Torres Aguiar da Costa http://paginas.ispgaya.pt/~ei072259 [email protected] Relatório Centro de Dados Resumo O presente relatório tem como base, a descrição detalhada de um projecto final do curso de Eng. Informática. É disponibilizada toda a informação, conceitos e configurações utilizadas no desenvolvimento do projecto. Tem como principal objectivo, a criação de um Centro de Dados que seja capaz de suportar todas as necessidades de uma qualquer pequena ou média empresa que precise de um sistema de informação. Serviços como Controlador de Domínio, DNS, DHCP, Proxy, Firewall e Gestão de áreas pessoais, entre outros…São serviços com uma relevância importante no funcionamento de sistemas de informação de empresas, instituições ou organizações. 11 de Fevereiro de 2011 2 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 1. Palavras-chave Centro de Dados Redes Informáticas Administração de Sistemas Informáticos Servidor DNS Servidor DHCP Controlador de Domínio Microsoft Active Directory Squid – Proxy Transparente FreeNAS Firewall RSYNC VPN 3 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 2. Coordenador: Mestre Mário Santos 3. Orientadores Professor Eng. Vasco Capitão Miranda Professor Eng. Jorge Ruão Pinheiro 4 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 4. Agradecimentos Agradeço a todos os professores do ISPGaya que me acompanharam durante o meu percurso académico e que permitiram que as minhas actividades se concretizassem na realidade, em especial ao Eng. Vasco Capitão Miranda e ao Eng. Jorge Ruão pela orientação, disponibilidade e acompanhamento realizado ao longo deste semestre e pela disponibilidade que sempre demonstraram para esclarecer todas as dúvidas em todas as etapas da realização deste projecto. Agradeço também ao coordenador da Unidade Curricular pelo acompanhamento e atenção demonstrados para com o presente trabalho. Aproveito também para agradecer ao Pedro, Técnico de Informática do CIISP (Centro de Informática do ISPGaya) pela colaboração e paciência demonstrada ao longo deste semestre. 5 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 5. Índice 1. Palavras-Chave – Pág: 2 2. Coordenador – Pág: 3 3. Orientadores – Pág: 3 4. Agradecimentos – Pág: 4 5. Índice – Pág: 5 6. Índice de Figuras – Pág: 7 7. Introdução – Pág: 9 8. Resumo – Pág: 11 9. Descrição – Pág: 13 10. Objectivos – Pág: 14 10.1 Fases Previstas e Calendarização – Pág: 15 10.2 Meios Necessários – Pág: 16 10.3 Reuniões de Acompanhamento – Pág: 16 11. Bases Teóricas – Pág: 17 11.1. Redes Informáticas – Classificação – Pág: 17 11.2. Protocolo TCP/IP – Pág: 18 11.3. Protocolo IP – Pág: 19 11.4. Protocolo DHCP – Pág: 20 11.5. Gateway – Pág: 21 11.6. Mecanismo DNS – Pág: 21 11.7. Sistemas Operativos – Pág: 22 11.8. Serviço Proxy – Pág: 23 11.9. Armazenamento e Backups – Pág: 28 11.10. Redes Virtuais Privadas – Pág: 29 11.11. Redes Wireless – Pág: 31 12. Desenvolvimento e Implementação – Pág: 33 12.1. Configuração do Windows Server – Pág 34 12.2. Preparação do Controlador de Domínio – Pág: 36 12.3. Preparação do Servidor DNS – Pág: 37 12.4. Preparação do Servidor DHCP – Pág: 37 12.5. Configuração do Windows XP – Pág: 38 12.6. Configuração do Ubuntu 9.10 Server Edition – Pág: 40 12.7. Preparação da Firewall – Pág: 42 6 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 12.8. Preparação do Proxy Trasparente - Squid – Pág: 43 12.9. Preparação do Servidor VPN – Pág: 45 12.10. Configuração FreeNAS – Pág: 48 12.11. Preparação Pastas Pessoais e Publicas – Pág: 51 12.12. Preparação dos Backups – Pág: 52 13. Problemas e Decisões – Pág: 55 14. Futuras Implementações – Pág: 57 15. Complementos do Projecto – Pág: 58 16. Conclusões – Pág: 60 17. Bibliografia e Referências – Pág: 62 18. Anexos – Pág: 63 17.1. Anexo I – Pág: 63 17.2. Anexo II – Pág: 71 17.3. Anexo III – Pág 74 17.4. Anexo IV – Pág: 75 7 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 6. Índice de Figuras 10 - Objectivos Figura 10.1 – Tarefas e Calendarização – Pág: 15 Figura 10.2 – Mapa de Gant das tarefas – Pág: 15 11 – Bases Teóricas Figura 11.1 – Cenário de interligação de redes LAN, MAN e WAN – Pág: 17 Figura 11.2 – Arquitectura protocolar – TCP/IP – Pág: 18 Figura 11.3 – Formato dos segmentos do TCP – Pág: 18 Figura 11.4 – Classes e gamas de endereços de IP – Pág: 19 Figura 11.5 – Formato de um pacote IP – Pág: 19 Figura 11.6 – Esquema Cliente – Servidor DHCP – Pág: 20 Figura 11.7 – Esquema Cliente – Servidor DNS – Pág: 21 Figura 11.8 – Windows Server – Pág: 22 Figura 11.9 – Windows XP – Pág: 22 Figura 11.10 – Linux – Pág: 22 Figura 11.11 – Ubuntu – Pág: 23 Figura 11.12 – Exemplo de rede com Proxy – Pág: 23 Figura 11.13 – Squid – Pág: 27 Figura 11.14 – Exemplo de aplicação FTP – Pág: 28 Figura 11.15 – FreeNAS – Pág: 28 Figura 11.16 – rsync – Pág: 29 Figura 11.17 – Exemplo prático de VPN – Pág: 29 Figura 11.18 – Protocolos para VPN – Pág: 30 Figura 11.19 – OpenVPN – Pág: 31 Figura 11.20 – Esquema de funcionamento do RADIUS – Pág: 32 Figura 11.21 – freeRADIUS – Pág: 32 12 – Desenvolvimento e Implementação Figura 12.1 – Esquema da rede para o projecto – Pág: 33 Figura 12.2 – Propriedades/Configurações de TCP/IP do Windows Server 2003 – Pág: 34 8 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Figura 12.3 – Assistente de instalação do Active Directory – Pág: 35 Figura 12.4 – Active Directory – Pág: 35 Figura 12.5 – Tabela dos Grupos de Utilizadores – Pág: 36 Figura 12.6 – Tabela dos Utilizadores – Pág: 36 Figura 12.7 – DNS – Pág: 37 Figura 12.8 – Scope DHCP – Pág: 37 Figura 12.9 – Opções DHCP – Pág: 38 Figura 12.10 – Nome e Domínio do computador – Pág: 39 Figura 12.11 – Utilizador “mcosta” autenticado no domínio – Pág: 40 Figura 12.12 – Ficheiro de configuração das interfaces de rede – Pág: 41 Figura 12.13 – Ficheiro “/etc/init.d/firewall” a ser executado – Pág: 42 Figura 12.14 – Ficheiro “/etc/rc.local” – Pág: 43 Figura 12.15 – Ficheiro squid.conf – Pág: 44 Figura 12.16 – Restart OpenVPN – Pág: 47 Figura 12.17 – Teste ao VPN – Pág: 47 Figura 12.18 – FreeNAS – Pág: 48 Figura 12.19 – Configuração da interface de rede do FreeNAS – Pág: 49 Figura 12.20 – FreeNAS via browser – Pág: 49 Figura 12.21 – Paginal inicial do FreeNAS via browser – Pág: 50 Figura 12.22 – Pasta Privada Pessoal de Miguel Costa no FreeNAS – Pág: 52 Figura 12.23 – Página de configuração do Rsync no FreeNAS – Pág: 53 Figura 12.24 – Listagem das tarefas de cópias de segurança agendadas no Crontab – Pág: 54 Figura 12.25 – Cron (Tarefas Agendadas) no FreeNAS – Pág: 54 15 – Complementos do Projecto Figura 15.1 – Website: http://paginas.ispgaya.pt/~ei072259 – Pág: 58 Figura 15.2 – Poster do Projecto – Pág: 59 9 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 7. Introdução As redes informáticas são componentes essenciais de qualquer sistema de informação actual. A informática adquire cada vez mais uma elevada importância na vida quotidiana das pessoas e das organizações. Por exemplo, nas empresas, devido ao elevado grau de competitividade próprio da sua natureza é fundamental, para o seu sucesso, possuir uma rede informática bem estrutura que dê suporte aos funcionários para que estes possam realizar o seu trabalho de uma forma correcta e eficaz. Através da interligação de redes e sistemas é possível tornar disponível aos utilizadores de sistemas informáticos um vastíssimo leque de serviços e recursos para tornar todo o processo de uma organização mais eficaz. Na grande maioria das organizações, a indisponibilidade da rede informática acarreta avultados prejuízos (não só económicos), podendo levar mesmo à paralização temporária da organização. As redes informáticas de hoje pouco têm a ver com as redes utilizadas há alguns anos atrás, beneficiando dos avanços fisicos e tecnológicos obtidos desde então. Desta forma, a instalação e configuração de uma rede poderá vir a ter elevados custos. Portanto, deve ser efectuado um estudo das necessidades da organização, tendo em conta a relação custo/benefício, do seu desempenho e da divulgação no mercado e da sua capacidade de evolução. Pensar numa infra-estrutura de rede bem concebida implica, obviamente, a inclusão de um Centro de Dados, o que nos remete para ambientes que poderão ser mais ou menos complexos. Um Centro de Dados envolve aspectos tão complexos na sua concepção e construção como a alimentação eléctrica, a manutenção de um ambiente de funcionamento ideal, a segurança fisica e lógica e a gestão dos sistemas, etc. que estão fora do âmbito pretendido neste trabalho. A implementação de um Centro de Dados é certamente um processo bastante complexo! 10 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa A escolha deste tema na unidade curricular “Projecto Informático em Contexto Empresarial” teve em conta os meus gostos pessoais. No mundo da informática existem áreas bastante distintas, embora possam estar todas relacionadas. De todas as áreas existentes em informática, a que me proporciona um gozo especial é o mundo das redes informáticas e administração de sistemas, por isso, a escolha deste tema! Este projecto pode ser realizado em qualquer pequena e/ou média organização que necessite de uma infra-estrutura de rede, serviços de rede integrados e administração de sistemas. 11 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 8. Resumo Pretende-se com este projecto estudar, perceber, experimentar, instalar e configurar novos conceitos, novas aplicações e novas plataformas que permitam implementar um Centro de Dados que seja capaz de suportar infra-estruturas de redes, serviços de rede integrados e administração de sistemas com especial relevo para a segurança, elevado desempenho e disponibilização de serviços. A realização deste projecto começa pela implementação de serviços, nomeadamente por instalar e configurar uma máquina com Windows Server 2003 para gerir a rede sob o ponto de vista das ligações de rede, atribuição de endereços de rede IP (Internet Protocol) através de um servidor DHCP (Dynamic Host Configuration Protocol), sistema capaz de resolver nomes de domínios em endereços de rede IP através de um servidor de DNS (Domain Name System), efectuar a gestão da rede sob o ponto de vista dos utilizadores, grupos, administradores pertencentes a rede em questão através do Active Directory. É também tema do projecto instalar uma máquina com uma distribuição Linux para implementar um Proxy Transparente. Assim, de uma forma simples e eficaz o Proxy fornece os serviços requisitados pelos clientes, armazenando esses serviços em “cache” para futuras requisições por outros clientes e desta forma, tornar o serviço mais rápido, mais eficaz e ajuda a diminuir o tráfego na rede. Tal como em todas as organizações, um bom sistema de armazenamento, é um dos pontos fulcrais para preservar toda a informação necessária. Para isso recorremos ao FreeNAS, distribuição baseada em Linux que suporta vários protocolos e vários serviços para diversas necessidades. Com o avanço tecnológico, as redes wireless, fazem parte da maioria das organizações que lidam com muitas pessoas. As redes wireless fornecem um grau de credibilidade bastante elevado com a primazia de não serem necessários cabos para se ligar a qualquer rede. Desta forma, também faz parte do projecto instalar, montar e 12 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa configurar uma rede wireless com autenticação via Radius (Remote Authentication Dial In User Service). A necessidade de interligar redes ou sub-redes privadas, ou de aceder a uma determinada rede privada mesmo estando longe fisicamente dessa rede, é uma necessidade comum e constante no dia-a-dia das empresas. Nesse sentido, e com o objectivo de auxiliar os funcionários das empresas, foi criado uma VPN (Virtual Private Network). 13 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 9. Descrição O Centro de Dados que me proponho a desenvolver e implementar neste projecto, tem como objectivo representar um ambiente de contexto empresarial. É um projecto relevante e bastante importante que abrange diversos conceitos na área da informática, onde as redes informáticas e a administração de sistemas são os temas predominantes e centrais do projecto. Este trabalho está englobado na Unidade Curricular de “Projecto Informático em Contexto Empresarial”, leccionada no 5º semestre do curso de Engenharia Informática no Instituto Superior Politécnico de Gaya e que terá continuação no 6º e último semestre do curso, nomeadamente na Unidade Curricular de “Estágio Informático em Contexto Empresarial”. Neste primeiro semestre é objectivo pensar, estruturar e definir as características, funcionalidades e serviços para um Centro de Dados. É também objectivo a instalação e configuração dos serviços propostos. O Centro de Dados tem como principal objectivo suportar as necessidades informáticas de uma qualquer organização. Contudo proponho neste caso de estudo a elaboração de uma proposta para uma pequena e/ou média empresa que necessite de serviços de rede integrados, infra-estruturas de redes e serviços e administração de sistemas. As principais funcionalidades e serviços a estudar, para futuramente implementar no Centro de Dados são o DHCP, DNS, Active Directory, Proxy Transparente, Sistema de Armazenamento, Gestão de áreas pessoais e públicas dos utilizadores e Firewall, criação de uma rede wireless e servidor VPN. As funcionalidades e os serviços mencionados no parágrafo anterior podem ser implementados em diferentes sistemas operativos, em diversos ambientes como por exemplo em ambiente Windows, ambiente Linux ou mesmo em ambos os ambientes. A escolha do ambiente para cada funcionalidade e serviço vai ter em conta uma relação composta por 3 factores, que são o custo, a qualidade do serviço e o grau de dificuldade de implementação e interligação de todas as funcionalidades e serviços. 14 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 10. Objectivos O projecto tem como objectivo adquirir novas e melhores capacidades no ramo das “Redes Informáticas” e “Administração de Sistemas Informáticos”, não só em sistemas Windows como também em sistemas baseados em Linux, assim como a aplicação dos conhecimentos adquiridos nas aulas ao longo de todo o percurso académico no ISPGaya, mas também para estudar, aprender, alargar conhecimentos de novas aplicações e novos conceitos. Sendo necessário efectuar um trabalho de pesquisa, análise e estudo destes novos temas, para um projecto mais lúcido, funcional e robusto com vista a apresentar uma solução credível, fiável e coesa ao tema escolhido. A solução deve preencher todos os requisitos da melhor forma possível e prática não ignorando ou desviando os obstáculos, para que não seja uma solução conflituosa ou incoerente, mas sim confrontar e resolver os obstáculos. Este projecto abrange diversos conceitos na área da informática, onde as “Redes Informáticas” e “Administração de Sistemas Informáticos” são os temas predominantes e centrais do projecto. O projecto consiste então em arquitectar um Centro de Dados capaz de tornar uma nova rede ou uma rede não organizada, numa rede que se rege por um conjunto de regras impostas para o bom funcionamento de uma pequena e/ou média organização, através de infra-estruturas de redes, serviços de rede integrados (serviços, servidores e abordagens de gestão) e administração de sistemas para atingir uma solução integradora no âmbito da segurança, performance e serviços necessários. 15 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 10.1. Fases Previstas e Calendarização Tarefas e calendarização: Figura 10.1 – Tarefas e Calendarização Mapa de Gant das tarefas: Figura 10.2 – Mapa de Gant das tarefas 16 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 10.2. Meios necessários Os meios necessários para a realização do projecto são: o Software: Microsoft Windows Server 2003 Microsoft Windows XP (Service Pack 3) Ubuntu 9.10 Server Edition Squid Proxy FreeNAS RSYNC OpenVPN Microsoft IAS RADIUS Citrix XenCenter o Hardware: Computador portátil pessoal Computador com XenCenter para todas as máquinas virtuais Router Wireless (cedido pelo ISPGaya) 10.3 Reuniões de acompanhamento Durante o primeiro semestre do ano lectivo 2010/2011, realizou-se várias reuniões de acompanhamento com ambos os orientadores deste projecto. Com estas reuniões foi possível manter os orientadores contextualizados sobre a evolução do projecto e do trabalho realizado, também foi possível debater alguns dos temas em questão, resolver problemas e tirar dúvidas sobre um ou outro assunto. 17 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 11. Bases Teóricas 11.1 Redes Informáticas - Classificação As redes informáticas são uma presença reconhecida no nosso quotidiano. Uma rede informática é um conjunto de computadores e sistemas de computação interligados através de fios (comunicação sem fios) ou de ondas rádio (comunicação sem fios – wireless) de modo a que possam comunicar entre si. As redes informáticas podem ser caracterizadas ou classificadas segundo a região geográfica por LAN, PAN, SAN, MAN, WAN e VAN. As redes LAN – Local Area Networks, são redes locais de pequena dimensão que incluem dispositivos numa pequena área geográfica, normalmente distribuidos por uma sala, por um edifício ou até por vários edifícios próximos entre si. As redes PAN – Personal Area Networks, são redes que utilizam tecnologias de comunicação sem fios para interligar computadores, periféricos e equipamentos de voz numa área reduzida. As redes SAN – Storage Area Networks, destinam-se à interligação de grandes computadores e dispositivos de armazenamento de massa, também numa área relativamente pequena, por exemplo um centro de informática. As redes MAN – Metropolitan Area Network, são utilizadas para interligar redes locais situadas em diversos pontos de uma vila ou cidade, ou seja, na interligação de componentes geográficamente dispersos por uma área de alguns quilómetros quadrados. As redes WAN – Wide Area Network, possibilitam a interligação de equipamentos, redes locais e redes metropolitanas dispersas por uma grande área geográfica, um país, um ou vários continentes e até mesmo o mundo, como a rede Internet. Figura 11.1 – Cenário de interligação de redes LAN, MAN e WAN 18 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Para construir uma rede informática, e para que seja possível comunicar entre as várias redes existentes na actualidade, é necessário existir um conjunto de equipamentos bem interligados e bem configurados, como os Routers, Switchs, Hubs, Bridges. É nestes equipamentos (como também computadores, servidores, impressoras de rede, etc…) e nestas configurações onde reside o protocolo IP e o conjunto de protocolos TCP/IP. 11.2 Protocolo TCP/IP O TCP/IP – Transmission Control Protocol / Internet Protocol, é o conjunto dos dois protocolos TCP e IP. Este conjunto pode ser visto como um modelo de camadas, onde cada camada é responsável por realizar determinadas tarefas. É um modelo que atingiu, com enorme êxito, os objectivos primordiais, tais como a independência relativamente a fabricantes de equipamentos, abertura e universalidade, privilegiando uma abordagem simples. A arquitectura TCP/IP é constituído por 32bits e é composto por quatro classes, embora haja quem defina a arquitectura TCP/IP com cinco classes, a camada “Acesso à Rede” seria substituída pelas camadas “Enlace” e “Física”. Camada Protocolo 4 – Aplicação HTTP, FTP, DNS, SOCKET 3 – Transporte TCP, UDP, RTP, SCTP 2 – Rede IP, MPLS 1 – Acesso à Rede ARP, Ethernet, Wi-Fi, etc Figura 11.2 – Arquitectura protocolar – TCP/IP As principais características da arquitectura TCP/IP são possuir protocolos suportados por, praticamente todos os fabricantes de equipamentos de rede, conjunto de protocolos livres e independentes do hardware, sistemas operativos ou fabricantes, esquema de endereçamento universal e esquema de nomeação hierárquico. Figura 11.3 – Formato dos segmentos do TCP 19 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 11.3 Protocolo IP O protocolo IP – Internet Protocol realiza a transferência de pacotes com base num endereço lógico, também designado por endereço IP. O endereço IP é constituido por 32bits e é composto por cinco classes. Figura 11.4 – Classes e gamas de endereços de IP É um protocolo que funciona em modo de ausência de ligação, portanto, é um protocolo que não garante a transferência fiável de informação, pelo facto de não possuir funções de detecção e recuperação de erros. Estas funções ficam a cargo de protocolos dos níveis superiores (transporte ou aplicação) da arquitectura TCP/IP. Neste momento, a versão mais usual do IP é o Ipv4, mas devido ao constante aumento de utilização da Internet, já se começa a falar no Ipv6 que em vez dos 32bits do Ipv4 passam a ser 128bits, o que permite um número bastante superior de IP‟s. Figura 11.5 – Formato de um pacote IP 20 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 11.4 Protocolo DHCP Todos os dispositivos ligados a uma rede TCP/IP têm de ser configurados com um endereço IP. Existe duas formas de configurar o endereço IP nos computadores, manualmente ou automaticamente. O método manual requer mais esforço e um maior controlo pelo administrador de sistemas pois tem que se deslocar pessoalmente a cada computador e atribuir um endereço IP manualmente, se a rede tiver muitos computadores, maior será a dificuldade de atribuir estes endereços IP manualmente. A solução é utilizar um servidor que proceda à atribuição automática de endereços IP. O protocolo mais utilizado na atribuição dinâmica de endereços IP é o DHCP – Dynamic Host Configuration Protocol, é um protocolo de serviço TCP/IP que oferece a configuração dinâmica dos endereços de rede (endereço IP) dos host‟s. Um cliente envia um pacote UDP em broadcast com um pedido DHCP, os servidores DHCP que capturarem este pacote de pedido irão responder através de um pacote com configurações onde constará um endereço IP, uma máscara de rede, um gateway e um servidor de DNS (estes dois últimos são opcionais). Figura 11.6 – Esquema Cliente – Servidor DHCP 21 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 11.5 Gateway O Gateway é uma máquina intermediária geralmente destinada a interligar redes, separar domínios de colisão ou mesmo traduzir protocolos. O gateway pode ser um router, uma firewall ou até mesmo um proxy. É normalmente composto por duas interfaces de rede, uma externa e outra interna. A interface de rede externa é a interface responsável de efectuar a comunicação entre o exterior e o interior da rede privada. 11.6 Mecanismo DNS De um modo geral, é mais difícil decorar endereço IP do que um nome (por exemplo, é mais fácil decorar o nome www.sapo.pt do que o endereço lógico 213.13.146.140 que corresponde ao sítio do SAPO). Desta forma, existe um mecanismo chamado DNS – Domain Name System que faz a resolução de nomes em endereços IP. O objectivo é facilitar a identificação de rede dos dispositivos. Um Servidor de DNS, consiste numa “base de dados distribuída” com a correspondência entre endereços lógicos e nomes de domínio. A base de dados é distribuída por uma hierarquia de servidores DNS. Para aceder a um determinado dispositivo a partir do nome, é feito um pedido de resolução do nome ao servidor DNS local. Se este não conseguir resolver o nome, envia um pedido ao servidor DNS hierarquicamente superior, e assim sucessivamente até que se consiga encontrar o endereço respectivo ou se conclua que não existe nenhum endereço associado a esse nome. Figura 11.7 – Esquema Cliente – Servidor DNS 22 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 11.7 Sistemas Operativos O Microsoft Windows Server 2003, é um sistema operativo produzido pela Microsoft e foi lançado a 24 de Abril de 2003, direccionado para gerir, configurar e controlar redes informáticas. Possui várias características que o torna um sistema operativo robusto e credível no mundo das redes informáticas. Algumas das características são a possibilidade de actuar como “Servidor de DNS”, “Servidor de DHCP”, “Servidor de FTP”, “Servidor de Impressão”, “Servidor Web”, “Servidor de Correio Electrónico”, “Servidor de Terminais”, “Servidor de Acesso remoto/VPN”, “Servidor WINS”, “Servidor de transmissão de multimédia em sequência” e como “Controlador de Domínio (Active Directory)” bastante robusto. Figura 11.8: Windows Server O Microsoft Windows XP, é outro sistema operativo produzido pela Microsoft e foi lançado a 26 de Outubro de 2001 direccionado para o utilizador comum, é conhecida pela sua estabilidade e eficiência. Porém é um sistema operativo comercial (acarreta custos), que faz com que muitos utilizadores mais experientes Figura 11.9: Windows XP utilizem outros sistemas operativos de código aberto e não comerciais como as distribuições Linux. Linux é o termo geralmente usado para designar qualquer sistema operativo que utilize o núcleo Linux. Existem várias distribuições Linux, grande maioria de código aberto e não comerciais, embora também haja distribuições Linux comerciais. Figura 11.10: Linux 23 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Uma distribuição Linux não comercial é o Ubuntu 9.10 Server Edition. É um sistema operativo baseado na distribuição Debian. Esta distribuição Linux tem características especiais como as do Microsoft Windows Server 2003 mas com a vantagem de ser uma distribuição não comercial, é freeware. Ubuntu 9.10 Server Edition não possui ambiente gráfico como o KDE ou GNOME, todo o sistema operativo funciona em modo texto, onde é efectuada a configuração de todos os serviços como Proxy, SSH, FTP, Firewall, Correio Electrónico, SAMBA, File System, DHCP, DNS, entre outros! Figura 11.11: Ubuntu 11.8 Serviço Proxy Um servidor Proxy é um sistema de computadores, ou uma aplicação que actua como intermediário entre os pedidos de recursos de outros servidores, efectuados pelos clientes. Figura 11.12: Exemplo de rede com Proxy 24 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Um cliente liga-se ao servidor proxy requisitando um serviço disponível noutro servidor, por exemplo a requisição de um ficheiro, uma página Web ou outro recurso. O servidor proxy verifica se o pedido não vai de encontro a nenhuma regra de filtragem estipulada, por exemplo podem haver filtros relacionados com endereços www, IP e/ou protocolos. Se o servidor validar a requisição do cliente, então efectua o pedido do recurso em nome do cliente. O servidor Proxy, pode armazenar o resultado dos pedidos em cache para que da próxima vez que um cliente efectuar o mesmo pedido, o servidor de proxy fornece o resultado que tinha armazenado em cache. Este processo permite uma diminuição de latência na rede, tornando uma rede informática mais rápida e mais eficaz, podendo ser considerado então um servidor Web. Normalmente um servidor Proxy, é considerado o gateway de uma rede informática, e possui no mínimo duas interfaces de rede, uma interface externa e outra interface interna, para efectuar a comunicação entre a rede externa e a rede interna, mas ao mesmo tempo separar as duas redes e assim incrementar a segurança na rede interna. Existem vários tipos de servidor Proxy, tais como: Proxy de Web o Um proxy que trata apenas de tráfego WWW, é chamada de Web Proxy. A utilização mais comum de uma Web proxy é servir como cache de páginas Web. Algumas destas proxy filtram páginas Web ou protocolos, como por exemplo o Gtalk, msn, entre outros… o O Web Proxy funciona como um proxy normal, que é configurado nos browsers e normalmente é usado com o objectivo de esconder a verdadeira identidade da rede onde está. Proxy de Cache o Um servidor proxy de cache, é um servidor que guarda as respostas às requisições dos clientes. Ao invés do servidor requisitado responder ao pedido do cliente, o servidor proxy responde, encaminhando a resposta armazenada do servidor requisitado, possibilitando assim uma maior rapidez no tratamento dos pedidos. 25 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Proxy de Filtro de Conteúdo o Um proxy de filtro de conteúdo, como o próprio nome indica, é vocacionado para filtrar páginas da internet em alguns meios, como no trabalho, nas escolas, bibliotecas, etc… o Este tipo de proxy para além de filtrar URL, DNS, tipos MIME e palavras, serve por exemplo, para não deixar alunos de escolas com acesso a pornografia, chats, jogos e outros conteúdos, de maneira a tornar a navegação mais segura. o Para além do descrito acima ainda podem suportar autenticação, produção de registos de actividades, monitor de actividade por utilizador, estatísticas, antivírus e anti-malware. Proxy Anónimo o Um proxy anónimo, é usado para esconder o utilizador, um dos tipos mais comuns das proxy anónimos, são os open proxy, devido à sua dificuldade de rastrear. o No entanto, os pedidos entre os clientes e o proxy não são anónimos, tendo assim que haver confiança entre os clientes e o proxy. o Alguns proxy anónimos, podem reencaminhar cabeçalhos de pacotes IP contendo linhas como “HTTP_VIA, HTTP_X_FORWARDED_FOR” ou “HTTP_FORWARDED” que podem também conter o endereço IP do cliente. o Alguns proxy dos bons proxy anónimos, incluem no cabeçalho dos pacotes IP a linha “REMOTE_ADDR” com o endereço IP da proxy em vez do endereço IP do cliente. Proxy Hostil o Como existem proxy para o lado honesto, também existem para o lado desonesto, como é o caso de um Proxy Hostil. Estes proxy capturam e analisam os pacotes transferidos entre clientes e servidores para procurarem por dados de autenticação como “utilizador : palavra passe”. Por esta razão, é necessário usar ligações SSL para proteger a ligação. Proxy de Intercepção o Um Proxy de Intercepção, combina um “router” ou uma “gateway” normalmente com capacidades NAT. Servem para não ser preciso configurar nenhum proxy no lado do cliente. 26 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Este tipo de proxy têm politica de controlo de “Active Directory”, DHCP e detecção automática de proxy. o Podem também ser usados por ISPs para poupar alguma largura de banda no upload e para melhorar os tempos de resposta aos clientes, usando a sua cache. Proxy Transparente o Um Proxy Transparente, é um proxy que só altera os pedidos e respostas dos clientes para colocar no campo a autentificação dos utilizadores. o É um método para obrigar os utilizadores de uma rede a utilizarem o servidor proxy sem que eles saibam que o estão a utilizar, é possível configurar um conjunto de regras que vise o melhoramento da rede. Proxy Aberto o Não é mais que um servidor Proxy que é acessível por qualquer utilizador, quer pertença ou não à rede onde está o proxy. Permite aos utilizadores de um grupo da rede armazenar e encaminhar serviços de Internet como DNS ou páginas Web e reduzir e controlar a rede usada pelo grupo. Proxy Recursivo o Um servidor de Proxy Recursivo é um servidor que se encontra instalado antes dos servidores Web de maneira a que todo o tráfego da internet direccionado aos servidores Web passe sempre pela proxy. o Este servidor proxy é usado com os seguintes objectivos: Cifrar ou acelerar o protocolo SSL de maneira a que todos os servidores por de trás desta proxy tenham as ligações cifradas por SSL. Também tem a funcionalidade de deixar de ser necessária a configuração de vários certificados para as diferentes máquinas, passando apenas a existir um único para a proxy. Balanço de carga de servidores: Este tipo de proxy consegue distribuir a carga entre os diversos servidores Web reescrevendo o URL. Capacidade de cache. Compressão de pacotes. 27 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Capacidade de reduzir a utilização dos recursos causado por clientes lentos, guardando em cache os pedidos e respondendo à medida da velocidade do cliente. Melhora a segurança dos servidores Web. Proxy de Túnel o Este tipo de proxy é utilizado para escapar às políticas de controlo de acesso feitas pelas empresas desbloqueando as páginas Web bloqueadas. o Esta proxy recebe os pedidos dos clientes, efectua-os e no fim transmite o resultado ao utilizador, fazendo que este esteja a navegar na internet apenas por uma página. o Também existem proxy deste tipo, que escondem servidores com intenções ocultas, como recolher informações pessoais dos computadores. Um software livre capaz de implementar um servidor de proxy é o Squid. Esta aplicação suporta HTTP, HTTPS, FTP e outros. Reduz a largura de banda e melhora os tempos de resposta devido à cache dos pedidos frequentes de páginas Web numa rede. Funciona na maioria dos sistemas operativos disponíveis, incluindo o Windows e está sob a licença GNU GPL. Figura 11.13 - Squid Um dos protocolos que é suportado pelo Squid é o HTTP – Hypertext Transfer Protocol. É o protocolo mais utilizado para aceder aos conteúdos das páginas Web. O browser envia um pedido http relativo a uma determinada página, que por seu lado, o servidor de páginas Web responde ao pedido enviando a página respectiva. Por norma, este protocolo funciona no porto 8080 ou porto 80. Também existe o HTTPS – HyperText Transfer Protocol Secure que não é mais do que a implementação do protocolo http sobre uma camada SSL ou TLS. Esta camada permite que os dados transmitidos na rede estejam encriptados e que indivíduos 28 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa não autorizados possam visualizar a informação através de “sniffers”. Por defeito, este protocolo funciona no porto 443. O http, também pode ser utilizado para carregar ficheiros de páginas Web a par com o protocolo FTP. Este protocolo, FTP – File Transfer Protocol, é um protocolo de transferência de ficheiros, permite receber ou enviar ficheiros de e para um computador remoto. Existem várias aplicações FTP que permitem listar e manipular directorias, ler e copiar ficheiros, mas não permitem a execução remota de ficheiros. Pode ser definido autenticação um com processo o nome de de utilizador e palavra-chave respectiva para obter maior segurança. Figura 11.14: Exemplo de aplicação FTP Existe também, o protocolo FTPS – abreviação de: FTP/SSL, que é a implementação do protocolo FTP com SSL, que proporciona a transferência de ficheiros segura através de mecanismos de chaves públicas. 11.9 Armazenamento e Backups FreeNAS é uma solução gratuita e livre de servidor NAS (Network Attached Storage) baseada no FreeBSD, e que suporta diversos protocolos e serviços de comunicação como: CIFS (samba), FTP, NFS, Rsync, autenticação local de utilizadores, suporte a RAID (0,1,5), e com uma interface de gestão via browser. É uma plataforma de armazenamento bastante leve, fácil e não necessita de uma máquina muito robusta. Apenas com um Pentium II com 96 MB de Figura 11.15: FreeNAS RAM serve para fazer funcionar o FreeNAS, quanto á capacidade de armazenamento já vai depender das necessidades da organização e da quantidade e do espaço dos discos rigidos instalados. Não é necessário estar ligado ao monitor, teclado e rato, pois pode-se configurar o FreeNAS via browser. Permite a integração numa rede Microsoft Windows (com ou sem Active Directory) ou numa rede Linux com partilhas NFS, além de ter ele próprio, a capacidade de fazer a gestão de utilizadores locais/grupos. Neste momento, a versão mais recente do FreeNAS é a versão 7.2. 29 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Rsync é um utilitário de código aberto que fornece rápida transferência incremental de arquivos, está disponível livremente sob a licença GNU General Public Licence e é sustentado por Wayne Davison. Efectua a sincronização de arquivos e directórios entre duas máquinas diferentes ou entre directórios diferentes na mesma máquina. Este utilitário está presente no FreeNAS para facilitar a gestão de armazenamento. A versão mais recente é “3.0.7”. Figura 11.16: rsync 11.10 Redes Virtuais Privadas A necessidade de interligar redes ou sub-redes privadas de uma forma segura tendo como suporte canais de comunicação de redes públicas ou não confiáveis, levou à criação do conceito de redes privadas virtuais, VPN – Virtual Private Network. Uma rede virtual privada é uma rede constituída por um conjunto de redes privadas interligadas por circuitos virtuais suportados noutras redes (Públicas). Para garantir a segurança da comunicação que atravessa os circuitos públicos são utilizadas técnicas para encriptação e autenticação. Figura 11.17: Exemplo prático de VPN Para que seja possível comunicar de uma forma segura entre as duas redes, ambas terão que acordar esquemas comuns para encriptação e autenticação, que tem de ser feito nos sistemas extremos do canal que atravessa a rede (Internet). Este serviço permite reduzir bastante os custos da empresa cobrados pelas operadoras na prestação de circuitos ou redes dedicadas. Em termos de segurança, a confidencialidade dos dados que circulam na rede virtual privada deverá ser garantida por encriptação e/ou tunnelling, usando-se no primeiro caso, mecanismos de encriptação comprovados (como por exemplo DES, 3DES, 30 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa RSA, IDEA) e no segundo caso, normas como o IPSec ou o L2TP. A integridade dos dados também deve estar protegida através de algoritmos de Hashing como o SHA ou o MD5, a autenticação é efectuada através de certificados e assinaturas digitais e permite controlar quais os utilizadores que acedem a VPN. Existem três tipos de VPN tais como: entre duas máquinas, entre uma máquina e uma rede, entre duas redes. Para aplicar o conceito VPN, devemos de utilizar um dos quatro protocolos existentes, como demonstra a figura seguinte. Protocolo Especificação - Layer 2 Fowarding Protocol (Cisco) L2F - Já não é utilizado - Point-to-Point Tunneling Protocol PPTP - Tunelamento da Camada 2 - Level 2 Tunneling Protocol L2TP - Tunelamento da Camada 2 - Combinação do L2F e PPTP - IETF (Internet Engineering Task Force) IPSec - Tunelamento da Camada 3 Figura 11.18: Protocolos para VPN Para criar uma VPN, é necessário uma aplicação que o faça, uma delas é o OpenVPN. Esta aplicação é open-source e livre, e permite a criação de redes privadas virtuais do tipo ponto-a-ponto com autenticação através de chaves secretas compartilhadas, certificados digitais ou autenticação com utilizador e palavra-chave. Quando utilizado no modo multiclient-server, permite que cada cliente utilize a autenticação pública com certificados digitais. O OpenVPN utiliza a biblioteca OpenSSL para prover criptografia entre ambos os canais. Está disponível para os sistemas operativos baseados em Windows, Linux, FreeBSD, MAC OS X e Solaris, a última versão estabilizada é a 2.1.4 – lançada em 2010.11.09, porém, já existe uma nova versão BETA, sendo a 2.2beta5 – lançada em 2010.12.03 e foi desenvolvido por James Yonan sendo publicado sob a licença GNU General Pulic Licence (GPL). Figura 11.19: OpenVPN 31 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 11.11 Redes Wireless Devido ao avanço tecnológico, as Redes Wireless tornaram-se uma constante nas organizações, seja em complemento ou até em substituição das redes informáticas por cabos. Fornecem um elevado grau de credibilidade, com a primazia de não serem necessários fios para se conectar à rede. Permitem-nos ter os mesmos serviços que nas redes informáticas com cabos. A qualidade das redes wireless, tem alguns factores que devem ser tomados em conta, tais como o ruído, a existência de paredes ou objectos, entre outros… Estes factores podem condicionar a qualidade da rede wireless. As redes wireless são classificadas da mesma forma que as redes com fio são classificadas, mas com a diferença que são redes sem fios, ou seja: WPAN – Wireless Personal Area Network WLAN – Wireless Local Area Network WMAN – Wireless Metropolitan Area Network WWAN – Wireless Wide Area Network Existem vários tipos de redes wireless, tais como: IrDA Bluetooth (IEEE 802.15.1) RONJA Wi-Fi (IEEE 802.11) WiMAX (IEEE 802.16) Mesh (IEEE 802.11s) WiGig O tipo de redes wireless Wi-Fi (IEEE 802.11) é o tipo mais utilizado nas redes informáticas. É neste tipo de rede wireless que funcionam as LAN e WAN. As redes wireless podem estar com protecção, ou não, quanto ao acesso à rede interna. Se não existir qualquer tipo de autenticação, qualquer utilizador poderá se ligar a 32 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa rede sem qualquer restrição, contudo, uma forma bastante utilizada nas empresas, escolas, entre outros, para restringir o acesso à rede wireless é a instalação de um servidor Radius. RADIUS – Remote Authentication Dial In User Service, é um protocolo AAA (Authentication, Authorization e Accounting) para as aplicações que fornecem o acesso à rede. É um serviço baseado em UDP (pergunta e resposta), o porto para a autenticação normalmente são os portos 1645 e 1812 UDP. Figura 11.20: Esquema de funcionamento do RADIUS Uma aplicação livre e de código aberto para funcionar como servidor RADIUS, mas apenas em ambientes baseados em Linux, é o freeRADIUS. Figura 11.21: freeRADIUS Para implementar um servidor RADIUS em ambientes Windows, existe o Microsoft IAS RADIUS, é uma aplicação exclusiva da Microsoft. O Windows Server 2003 e 2008 são distribuições Windows preparadas para funcionarem como servidores, desta forma, podemos instalar o Microsoft IAS Radius, também conhecido por AAA nestas distribuições Windows. É um servidor extremamente estável, seguro e robusto. 33 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 12. Desenvolvimento e Implementação Efectuado então o estudo, a análise e o levantamento de conceitos e das aplicações em causa para a realização do projecto, foi posto em prática o resultado desse estudo. Assim, proponho como esquema do Centro de Dados deste projecto uma configuração de rede e serviços representada na seguinte figura. Figura 12.1: Esquema da rede para o projecto 34 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 12.1 Configuração do Windows Server 2003 O ponto de partida foi a instalação dos sistemas operativos. Devido à falta de computadores para a realização em máquinas físicas deste projecto, utilizou-se a aplicação Citrix XenCenter para virtualização dos vários sistemas operativos, como alternativa aos computadores físicos. Desta forma foi instalado o Windows Server 2003 para promover o servidor a controlador de domínio primário. Como tal, foi configurado o endereço IP, DNS, Mascara de Rede e Gateway e alterou-se o nome do computador para “winserver”. As configurações referidas anteriormente estão definidas da seguinte forma: Endereço IP: 192.168.1.2 Máscara de sub-rede: 255.255.255.0 Gateway predefinido: 192.168.1.1 Servidor de DNS preferido: 127.0.0.0 Figura 12.2: Propriedades/Configurações de TCP/IP do Windows Server 2003 35 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 12.2 Preparação do Controlador de Domínio Para promovermos o servidor a controlador de domínio primário, no “Menu Iniciar” >> “Executar”, de seguida escreve-se “dcpromo” na janela que irá aparecer. Depois de clicar em “OK”, aparecerá a janela do “Assistente de Instalação do Active Directory” como demonstra a seguinte figura: Figura 12.3: Assistente de instalação do Active Directory Após a instalação e configuração do Active Directory, como domínio: projecto.pt, foram criados novos utilizadores, grupos e unidades organizacionais no domínio. Figura 12.4: Active Directory 36 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Tendo em conta que é apenas um projecto com possibilidade de ser implementado numa organização, apenas criei três grupos de utilizadores, num total quatro utilizadores, como é possível verificar na seguinte tabela: Nome do Grupo Membros do Grupo Descrição Administração - Miguel Costa Grupo dos utilizadores que fazem parte da Administração - Maria José da Empresa Grupo dos utilizadores que Informática fazem - Miguel Costa parte dos Admin. Informáticos da Empresa Grupo dos utilizadores que - Luís Torres Funcionários fazem parte dos Funcionários - Marta Torres da Empresa Figura 12.5: Tabela dos Grupos de Utilizadores Os utilizadores criados, possuem um username e uma palavra-chave para acederem ao domínio. Na seguinte tabela pode-se verificar os nomes dos utilizadores, e os respectivos usernames e ainda de que Grupos fazem parte: Nome de Utilizador Username Miguel Costa mcosta Membro de Grupo - Administração - Adminsitradores - Informática - Administrador DHCP - Admins de Empresa - Admins de Domínio - Utilizador de Domínio Maria José mjose - Administração - Admins de Empresa - Utilizador de Domínio Luís Torres ltorres - Funcionários - Utilizador de Domínio Marta Torres mtorres - Funcionários - Utilizador de Domínio Figura 12.6: Tabela dos Utilizadores 37 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 12.3 Preparação do Servidor DNS De seguida foi criado uma Zona DNS e Reverse DNS para que o Windows Server 2003 funcione também como Servidor de DNS. Figura 12.7: DNS 12.4 Preparação do Servidor DHCP Depois de instalado e configurado o servidor DNS, foi instalado e configurado o serviço DHCP, para que o Windows Server 2003 funcione também como servidor de DHCP. Foi definido um scope desde 192.168.1.1 até 192.168.1.254, com uma regra de excepção para os endereços IP desde 192.168.1.1 até 192.168.1.5 inclusive, que ficam assim excluídos da distribuição. Figura 12.8: Scope DHCP 38 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Definiu-se algumas propriedades como o Gateway (Router) definido para 192.168.1.1, Nome de Domínio DNS como “projecto.pt”, Servidor de Nomes como 192.168.1.2 e Servidor de DNS como 192.168.1.2. Figura 12.9: Opções DHCP 12.5 Configuração do Windows XP Concluída a instalação e configuração do Microsoft Windows Server 2003, prossegui-se para a instalação do Microsoft Windows XP para efectuar o “join” no domínio criado. Logo de seguida, foi configurado o Microsoft Windows XP, alterou-se as definições da placa de rede de forma a definir o endereço IP dentro da rede do domínio. Colocou-se então o endereço IP “192.168.1.10”, Máscara de Sub-Rede “255.255.255.0”, Gateway “192.168.1.1” e DNS para “192.168.1.2” para permitir o contacto com a rede do domínio “projecto.pt”. Mudou-se o nome do computador para “projectoEI-XP”, e alterou-se para membro do domínio “projecto.pt”. Ao alterar para membro do domínio é necessário introduzir o login e password de Administrador do domínio em questão, depois de efectuada a mudança é necessário reiniciar o computador para que todas as configurações fiquem bem configuradas. 39 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Figura 12.10: Nome e Domínio do computador Após o „restart‟ do computador, é necessário efectuar o login no Windows XP como Administrador (da própria máquina) para alterar as definições da placa de rede para obter endereço IP dinâmicamente, IP do Gateway e do DNS automaticamente através do serviço DHCP. De seguida, terminamos a sessão como Administrador e é necessário executar login com um utilizador criado no Active Directory do Windows Server 2003, como por exemplo o username “mcosta” de nome Miguel Costa. Após efectuado o login com sucesso do utilizador “mcosta” do Active Directory, o computador em que foi efectuado o login, obteve as seguintes definições da placa de rede pelo serviço DHCP do domínio “projecto.pt” configurado Windows Server 2003: Sufixo DNS: projecto.pt Endereço IP: 192.168.1.10 (Fornecido pelo DHCP) Máscara de Sub-rede: 255.255.255.0 Gateway: 192.168.1.1 O endereço de IP do Gateway, não é nada mais do que o endereço IP do Proxy configurado no sistema operativo Ubuntu 9.10 Server Edition, que irá ser falado posteriormente. 40 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Figura 12.11: Utilizador “mcosta” autenticado no domínio 12.6 Configuração do Ubuntu 9.10 Server Edition De seguida, foi instalado o sistema operativo Ubuntu 9.10 Server Edition para trabalhar como o Gateway no domínio e funcionar como Firewall, servidor Proxy e servidor VPN. Para que a Gateway funcione correctamente, é necessário possuir duas interfaces de rede, tal como já foi referido anteriormente, uma interface para a rede externa e outra interface para a rede interna e desta forma poder separar a rede privada das redes públicas. Após a instalação do Ubuntu 9.10 Server Edition concluida, foi definido a password do login “root” (login master no Linux) como “ei072259” para puder interagir com o sistema correctamente, de seguida acedeu-se ao ficheiro de configuração da placa de rede com o comando “nano /etc/network/interfaces” e alterou-se as configurações da seguinte forma: 41 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Interface de Rede Externa – Eth0: o Endereço IP: 192.168.2.201 o Máscara de Sub-Rede: 255.255.255.0 o Rede: 192.168.2.0 o Broadcast: 192.168.2.255 o Gateway: 192.168.2.1 Interface de Rede Interna – Eth1: o Endereço IP: 192.168.1.1 o Máscara de Sub-Rede: 255.255.255.0 o Rede: 192.168.1.0 o Broadcast: 192.168.1.255 o Gateway: 192.168.1.1 Figura 12.12: Ficheiro de configuração das interfaces de rede 42 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Após a configuração da placa de rede do Ubuntu, realizou-se uma actualização pelos repositórios do Ubuntu, através do comando “# apt-get update” e “# apt-get upgrade”. O “apt-get” é um software que além de instalar o programa especificado, instala também todas as dependências do pacote solicitado. 12.7 Preparação da Firewall Uma vez configuradas as interfaces e as actualizações realizadas, é imprescindível criar uma firewall para que a nossa rede fique bem protegida de ataques e do acesso a indivíduos não autorizados. Desta forma, foi criado o ficheiro “/etc/init.d/firewall”, um ficheiro como o bloco de notas que irá conter as regras iptables da firewall. O conteúdo do ficheiro “/etc/init.d/firewall” pode ser visualizado no Anexo – I. Figura 12.13: Ficheiro “/etc/init.d/firewall” a ser executado 43 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Para que o script de firewall seja executado sempre que a máquina reiniciar, é necessário acrescentar “/etc/init.d/firewall” antes do “exit 0” no ficheiro “/etc/rc.local”. Figura 12.14: Ficheiro “/etc/rc.local” 12.8 Preparação do Proxy Transparente - Squid Prossegue-se então a instalação do Squid, software responsável por actuar como Servidor de Proxy que suporta HTTP, HTTPS, FTP, entre outros protocolos. No projecto optei por um Proxy Transparente, para que de uma forma simples e eficaz forneça os serviços requisitados por clientes podendo armazenar os resultados dos serviços prestados para futuras requisições por outros clientes, para que este serviço se torne mais rápido, eficaz e também diminuir o tráfego na rede, sem existir a necessidade de configurar os browsers manualmente, visto que os utilizadores da rede nem saberão que estão a utilizar o proxy. Para instalar o Squid recorre-se ao comando “# apt-get install squid3” e o Ubuntu instala-o automaticamente. De seguida é necessário aceder ao ficheiro de configuração do 44 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Squid através do comando “# nano /etc/squid3/squid.conf” e configurar este ficheiro para que o Squid faça Transparente Proxy. Figura 12.15: Ficheiro squid.conf Estas configurações podem ser alteradas de acordo com as necessidades de cada organização. É também necessário criar uma regra IPTABLE na firewall para que o Ubuntu redirecione todas as comunicações na porta 80 e 8080 (portas por defeito para o protocolo HTTP) para a porta 3128 configurada no Squid e desta forma transparente efectuar o serviço. As regras então necessárias são: iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 8080 -j REDIRECT --to-port 3128 Para adicionar o utilizador “proxy” ao Squid utiliza-se o comando “# useradd proxy” e para adicionar o grupo “proxy” ao Squid utiliza-se o comando “# addgroup proxy” e para dar permissões ao utilizador e grupo para aceder a cache utiliza-se o comando “# chown –R proxy.proxy /var/log/squid3/cache.log”, por fim so falta reiniciar 45 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa o Squid com o comando “# /etc/init.d/squid3 restart” e desta forma o Squid fica a funcionar. Podemos confirmar a utilização do proxy através do login numa máquina qualquer que esteja dentro do domínio, se essa máquina possuir ligação à Internet é sinal que o Proxy está a funcionar. Para visualizar o conteúdo do ficheiro de configuração do proxy Squid (/etc/squid3/squid.conf) na íntegra, consulte o Anexo – II. 12.9 Preparação do Servidor VPN Neste momento podemos configurar o servidor de VPN no Ubuntu, para isso é fundamental instalar o OpenVPN através do comando “# apt-get install openvpn”. Depois de instalar o OpenVPN, é importante carregar o módulo "tun" do Kernel, através do comando “# modprobe tun”, que é utilizado pelo OpenVPN para criar interfaces virtuais. Cada VPN criada comporta-se como se fosse uma nova interface de rede, conectada à rede de destino. Convém adicionar a linha “tun” no final do ficheiro "/etc/modules" para que o módulo possa ser carregado automaticamente durante o boot do Ubuntu. Estes três passos devem ser executados tanto no servidor VPN como no cliente. Os ficheiros de configuração do OpenVPN estão todos em “/etc/openvpn”. No projecto foi criado VPN com certificados X509, este é o método chamado de PKI (Public Key Infraestructure) que permite criar VPN‟s mais complexas e é mais seguro. Para criar os certificados, utilizaremos o easy-rsa, um conjunto de scripts incluídos no pacote do OpenVPN, que se encontra dentro da pasta "/usr/share/doc/openvpn/examples/easy-rsa/2.0 ". Depois é necessário copiar todo o conteúdo para a pasta “/etc/openvpn”, através do comando “# cp -a /usr/share/doc/openvpn/examples/easy-rsa /etc/openvpn/”. Neste momento, é necessário abrir o ficheiro “/etc/openvpn/easy-rsa/2.0/vars”, e no fim do ficheiro altera para as seguintes linhas: export KEY_COUNTRY="PT" export KEY_PROVINCE="PT" export KEY_CITY="Porto" export KEY_ORG="Projecto" export [email protected] 46 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa De seguida, utiliza-se o comando “# source” para carregar as variáveis contidas dentro do ficheiro "vars" e, de seguida, executa-se os scripts "# ./clean-all" e "# ./buildca". O primeiro script limpa qualquer sobra de configuração anterior, enquanto o segundo gera o certificado raiz, usando o openssl. Depois dos scripts terem sido executados, criaram uma pasta “keys” em “/etc/openvpn/easy-rsa/2.0/keys” que contém os ficheiros “ca.crt”, “ca.key”, “index.txt” e “serial”. O arquivo "ca.crt" contém o certificado raiz. De seguida, é necessário gerar os certificados para o servidor e para o cliente, através do comando “# cd /etc/openvpn/easy-rsa/2.0/”, depois “# ./build-key-server servidor”. Como o certificado do servidor já se encontra gerado, agora é preciso gerar o certificado para o cliente através do comando “./build-key cliente”. Por fim é necessário utilizar o script "# ./build-dh", para gerar os parâmetros Diffie Hellman, que reforçam a segurança, permitindo que o servidor e os clientes troquem as chaves (de forma segura) no momento da conexão, confirmando suas identidades. Depois de tudo isto concluído, é indispensável instalar as chaves no servidor e no cliente. No servidor, cria-se o directório “/etc/openvpn/keys” e copia-se para lá os arquivos "ca.crt", "servidor.crt", "servidor.key" e “dh1024.pem” através dos seguintes comandos: # cd /etc/openvpn/easy-rsa/2.0/keys # mkdir /etc/openvpn/keys # cp -a ca.crt servidor.crt servidor.key /etc/openvpn/keys/ # cp -a dh1024.pem /etc/openvpn/keys/ Para terminar, é essencial copiar os certificados para os clientes utilizando o SFTP. É necessário criar a pasta “/etc/openvpn/key” no cliente. Para fazer a cópia dos certificados é necessário utilizar os seguintes comandos: # sftp [email protected] (Outra máquina Ubuntu, que contêm os backups) Password: ei072259 sftp> mkdir /etc/openvpn/keys sftp> cd /etc/openvpn/keys sftp> put ca.crt 47 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa sftp> put dh1024.pem sftp> put cliente1.crt sftp> put cliente1.key Seguidamente é necessário criar e configurar o ficheiro “/etc/openvpn/server.conf” no servidor, como também criar e configurar o respectivo ficheiro “/etc/openvpn/client.conf” no cliente. É possível visualizar o conteúdo dos dois ficheiros de configuração referidos anteriormente no Anexo – III. Para finalizar é necessário reiniciar o OpenVPN, através do comando “# /etc/init.d/openvpn restart”. Figura 12.16: Restart OpenVPN Como teste ao VPN podemos executar o comando “# ssh 10.0.0.1”, sendo o endereço IP 10.0.0.1 o endereço do servidor de VPN definido no ficheiro “server.conf”. Figura 12.17: Teste ao VPN 48 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 12.10 Configuração do FreeNAS Para efectuar a gestão de armazenamento de dados é utilizado sistema operativo FreeNAS. A informação e os dados das organizações são informações bastante importantes para o seu funcionamento, e como tal é necessário um bom sistema de gestão de armazenamento de dados para preservar e deixar acessível a informação aos que assim necessitam. FreeNAS é uma distribuição baseada no FreeBSD, grátis e suporta vários protocolos e várias aplicações que fornecem um bom sistema de armazenamento de dados. Procede-se então à instalação do FreeNAS que é como a maioria dos sistemas baseados em Linux. Figura 12.18: FreeNAS Com a instalação já concluída, é necessário configurar a máquina FreeNAS para que esta possa estar inserida na rede e no domínio correctamente. As configurações da interface de rede do FreeNAS são: Endereço IP: 192.168.1.3 Máscara de Sub-Rede: 255.255.255.0 Gateway: 192.168.1.1” DNS: 192.168.1.2 49 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Figura 12.19: Configuração da interface de rede do FreeNAS Deste modo, o FreeNAS fica disponível para ser configurado via browser através do seu Endereço IP, neste caso “192.168.1.3” na porta 80. Ao aceder então ao FreeNAS via browser, através do endereço “http://192.168.1.3:80” como é mostrado na figura seguinte. Figura 12.20: FreeNAS via browser 50 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa O FreeNAS vem configurado com o login “admin” e password “freenas” por omissão para que seja possível entra no menu de configuração do FreeNAS. Este login e password podem e devem ser alterados por questões de segurança. Efectuando o login é apresentado uma página de entrada, onde inclui um resumo da situação actual do FreeNAS, tais como o nome da máquina, o domínio, versão do sistema operativo, caracteristicas do computador onde está instalado o FreeNAS, data e hora do sistema, dados estatísticos e reais sobre a utilização do CPU, da memória, do espaço em disco, entre outros. Figura 12.21: Paginal inicial do FreeNAS via browser 51 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 12.11 Preparação das Pastas Pessoais e Privadas Para que o FreeNAS funcione correctamente, é fundamental configurar e preparar os discos rígidos. Em primeiro lugar, no separador ir a Discos » Gestão, depois clicar no botão + para adicionar o primeiro disco. Depois de adicionado o disco, é preciso montar o disco em Discos » Ponto de Montagem, e de seguida adicionar um ponto de montagem referente ao disco adicionado. Para que os utilizadores de computadores Windows possam ter acesso e consigam detectar o NAS, é necessário activar e configurar o protocolo CIFS/SMB. Ao configurar este serviço, é necessário definir o método de autenticação como Active Directory para restringir o acesso ao NAS. Além destas configurações via browser, é necessário configurar o Samba e o Winbind no FreeNAS. Portanto, acede-se a linha de comandos do FreeNAS pelo comando “ssh 192.168.1.3”. O ficheiro de configuração do Samba é o “smb.conf” e fica em “# /var/etc/smb.conf”. Ao editar esse ficheiro verifica-se que existem vários parâmetros necessários para o seu correcto funcionamento. O conteúdo do ficheiro “/var/etc/smb.conf” encontra-se no Anexo – IV. Depois de configurado o Samba, é necessário criar as pastas privadas pessoais de cada utilizador, como no projecto apenas temos quatro utilizadores: # mkdir /mnt/ServidorNAS/Pessoais/mcosta # mkdir /mnt/ServidorNAS/Pessoais/mtorres # mkdir /mnt/ServidorNAS/Pessoais/mjose # mkdir /mnt/ServidorNAS/Pessoais/ltorres Para que haja mais segurança nas pastas privadas de cada utilizador, convém restringir o acesso ao proprietário da pasta pessoa. Então, é necessário executar os seguintes comandos: # chown -R mcosta /mnt/ServidorNAS/Pessoais/mcosta # chown -R mtorres /mnt/ServidorNAS/Pessoais/mtorres # chown -R mjose /mnt/ServidorNAS/Pessoais/mjose # chown -R ltorres /mnt/ServidorNAS/Pessoais/ltorres 52 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Neste momento, é fundamental adicionar o FreeNAS ao domínio “projecto.pt”, então utiliza-se o seguinte comando “# net rpc join -S winserver -U Administrador”. Terminadas estas configurações, já é possível os clientes Windows acederem as suas pastas privadas e públicas no FreeNAS. Figura 12.22: Pasta Privada Pessoal de Miguel Costa no FreeNAS 12.12 Preparação dos Backups Rsync é uma aplicação bastante utilizada em sistemas Linux, para sincronização remota dos dados entre dois directórios diferentes na mesma máquina e entre duas máquinas distintas. Tem propriedades de criptografia do protocolo SSH, o que torna a transmissão de dados mais segura que o tão conhecido FTP. Além das propriedades de segurança, o Rsync utiliza o protocolo remote-update, que aumenta bastante a velocidade e diminui a quantidade de dados transferidos, pois faz uma comparação entre os ficheiros já existentes e os novos ficheiros e só transfere os novos ficheiros. A figura a baixo mostra a página de configuração do serviço Rsync no Servidor NAS 53 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Figura 12.23: Página de configuração do Rsync no FreeNAS Como é sempre importante ter cópias dos ficheiros mais importantes dos servidores, os comandos a executar são: rsync -Cravzp /etc/openvpn/ [email protected]:/mnt/backups/crontab/ rsync -Cravzp /etc/squid3/ [email protected]:/mnt/backups/crontab/ rsync -Cravzp /etc/init.d/firewall [email protected]:/mnt/backups/crontab/ O conteúdo das pastas pessoais e privadas do FreeNAS também são ficheiros que se deve ter sempre uma cópia para o caso de falhas do sistema. Então, o comando a utilizar é: rsync -Cravzp /mnt/ServidorNAS/ [email protected]:/mnt/backups/crontab/ 54 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Estes comandos podem ser executados manualmente, mas se houver uma aplicação que o faça por nós, de uma forma automática e agendada, ainda melhor, como é o caso do Crontab. O Crontab é uma aplicação para agendar tarefas para um determinado momento e para qualquer programa. É possível editar o Crontab através do comando “# crontab –e”, sendo que a ordem das informações que devem ser inseridas é “Minuto Hora Dia_do_mês Mês Dia_da_Semana Comando”. Para remover as tarefas agendadas, basta executar o comando “# crontab –d”. Para listar todas as tarefas agendadas é necessário executar o comando “# crontab –l”, como é possível ver na seguinte figura: Figura 12.24: Listagem das tarefas de cópias de segurança agendadas no Crontab Figura 12.25: Cron (Tarefas Agendadas) no FreeNAS 55 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 13. Problemas e Decisões Durante as várias etapas do projecto, nomeadamente na tarefa número três, quatro, dez e dezassete, apareceram várias aplicações, plataformas, sistemas operativos e dúvidas que poderiam efectuar os mesmos serviços, embora todos eles com propriedades e maneiras diferentes de obter o mesmo resultado. No início do projecto tive de optar por utilizar o Microsoft Windows Server 2003 ou a versão mais actualizada existente da Microsoft, o Microsoft Windows Server 2008. Depois de efectuar uma pesquisa e após reunião com o orientador, optei por utilizar o Microsoft Windows Server 2003 para fazer de Servidor DNS, Servidor DHCP, controlador de domínio e IAS Radius por ser uma versão mais que testada empresarialmente e bem sucedida. Existem inúmeras distribuições, algumas até completas como o Untangle que nos fornece vários serviços, mas tem como desvantagem o facto de ser um software pago. Por esses motivos preferi o Ubuntu Server Edition para fazer de Gateway com os serviços Proxy, VPN e Firewall, apesar de ser mais delicado e mais trabalhoso, pois não existe um interface gráfico que nos possa orientar. Existem várias versões Ubuntu Server Edition, mas optei por utilizar a versão mais recente, o Ubuntu 9.10 Server Edition. Para efectuar a gestão de armazenamento de dados na rede existem dois sistemas bastante poderosos e com bastantes parecenças, o FreeNAS e o OpenFiler. O OpenFiler é uma distribuição Linux, enquanto o FreeNAS é baseado no FreeBSD (UNIX). Ambos são gratuitos, fiáveis e em constante desenvolvimento. Pelas pesquisas e análises que fiz, o OpenFiler oferece um leque de opções bem maior, adaptando-se melhor à realidade das empresas. Permite ainda criar NAS com taxas de transferência mais rápidas (maior velocidade de cópia de ficheiros através da rede) e tem um maior suporte de hardware mais sofisticado (placas RAID, por exemplo). Apesar do Openfiler ter claramente um ADN empresarial, este sistema é também muito mais difícil de instalar e exige hardware 56 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa bem mais recente do que o FreeNAS. Outro problema do OpenFiler para os utilizadores domésticos é a relativa falta de documentação disponibilizada na Internet. Aliás, apesar de o software ser gratuito, o manual de utilização é pago (40 dólares). Por outro lado, o FreeNAS tem uma instalação simples e, por ser mais popular, é fácil encontrar informação online sobre a instalação e configuração deste sistema. Tendo em conta estas características de cada uma das opções, escolhi utilizar o FreeNAS. Durante a realização deste projecto, surgiram algumas dificuldades, que só com esforço, trabalho, empenho e com a ajuda de ambos os orientadores foi possível superar este desafio. Uma das principais dificuldades foi conseguir fazer com que o Proxy funciona-se de forma transparente conforme era objectivo deste projecto, que entretanto foi realizado com sucesso. Outra dificuldade foi interligar o FreeNAS com o Active Directory do Windows Server 2003, mais concretamente ao fazer o „join‟ do FreeNAS no domínio „projecto.pt” do Windows Server 2003, que posteriormente foi resolvido com sucesso. 57 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 14. Futuras Implementações Uma vez concluída a unidade curricular “Projecto Informático em Contexto Empresarial” sucede-se a unidade curricular “Estágio Informático em Contexto Empresarial”, onde o trabalho a desenvolver passará por melhorar o projecto inicial, o Centro de Dados. Alguns dos temas que poderão ser abordados na unidade curricular “Estágio Informático em Contexto Empresarial” podem ser por exemplo: o Publicação de repositório de informação com FAQ's, vídeos e procedimentos sobre como os utilizadores podem configurar VPN, Correio electrónico, etc. nos seus clientes; o Instalação e configuração de ferramentas de helpdesk, como por exemplo um sistema de tickets; o Criação de correio electrónico para a organização com mecanismos de anti-spam, SPF, filtragem por conteúdos. Também pode explorar os serviços fornecidos aos utilizadores; o Criação de políticas de restrição no armazenamento através de implementação de quotas; o Etc. 58 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 15. Complementos do Projecto Como complemento do projecto, foi criado um website, onde contém a informação do estado actual do projecto que vai sendo actualizado regularmente, com novas informações sobre o desenvolvimento do mesmo. O website é importante para que os orientadores, o arguente, o coordenador do projecto e outros possam seguir todos os passos do desenvolvimento. O espaço está alojado na página pessoal do Instituto Superior Politécnico de Gaya, tendo o seguinte endereço: http://paginas.ispgaya.pt/~ei072259 Figura 15.1: Website: http://paginas.ispgaya.pt/~ei072259 59 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa Como requisito da unidade curricular, também foi criado uma página poster sobre o projecto, contendo as informações básicas sobre o mesmo, tal como pode ser visualizado na seguinte figura: Figura 15.2: Poster do Projecto 60 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 16. Conclusões Após ter terminado o projecto, é altura de reflectir sobre o percurso efectuado, complexo, é certo, mas ao mesmo tempo fascinante pelo desafio que nos foi colocado em todas as fases de construção do conhecimento e capacidades. A informática engloba diversas áreas em permanente expansão, contudo o presente projecto incidiu apenas numa área, sendo ela a Administração de Sistemas Informáticos. A escolha deste tema reflectiu, simplesmente, o meu interesse e a minha motivação em aprofundar e melhorar os meus conhecimentos nesta vertente, com a qual mais me identifico. Com a realização deste Projecto consegui colocar os meus conhecimentos e capacidades em prática, com sucesso, na medida em que consegui elaborar um Centro de Dados para uma organização. Para isso, implementei um conjunto de serviços, com o intuito de gerir o Centro de Dados supra-mencionado. Estes serviços incluíram não só a implementação de um servidor DHCP, como também de um servidor DNS, de um Controlador de Domínio, do Proxy Transparente, do Sistema de Armazenamento, da Gestão de áreas pessoais e públicas dos utilizadores e da Firewall. Além disso, envolveu, também, a implementação de um servidor VPN. Devido à falta de recursos materiais, não consegui desenvolver a rede wireless. Contudo, realizei uma breve pesquisa sobre a implementação de um servidor RADIUS, com o objectivo de efectuar a autenticação dos utilizadores na rede wireless. Assim, no próximo semestre, na Unidade Curricular “Estágio Informático em Contexto Empresarial” pretendo desenvolver os conhecimentos que adquiri. Na minha opinião, o desenvolvimento do meu “Projecto Informático em Contexto Empresarial” foi influenciado pelas minhas experiências anteriores, incluindo a realização dos trabalhos académicos na unidade curricular “Redes e Computadores” do 61 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 2º ano e de todas as unidades curriculares leccionadas pelo Eng. Jorge Ruão. Contudo, dou especial ênfase às Unidades Currisculares: “Administração de Sistemas” e “Interligação e Gestão de Sistemas Informáticos”, ambas do 3º ano, pois contribuíram para a aquisição de novos conhecimentos e capacidades, através do contacto com novas funcionalidades e aplicações, promovendo, desta forma, o meu crescimento no domínio cognitivo. Assim, posso afirmar que os trabalhos realizados foram essenciais e constituíram a base para o meu desenvolvimento. Contudo, os conhecimentos e as capacidades devem ser aperfeiçoadas e melhoradas, pelo que a concretização deste Projecto revestiu-se de especial importância. Este Projecto permitiu-me contactar, mais de perto, com a realidade da Administração de Sistemas Informáticos, assim como me proporcionou um enorme conjunto de novas experiências que me consciencializaram sobre o meu potencial e dificuldade para a aplicação destas funções. Concluo então, que o desenvolvimento do “Projecto Informático em Contexto Empresarial” foi importante, na medida em que me permitiu colocar em prática os conhecimentos que fui adquirindo ao longo destes três anos. Além disso, saliento o facto do projecto em questão ter enriquecido o meu currículo profissional, pois promoveu o desenvolvimento de novas competências que serão fundamentais para a nova etapa que se avizinha. 62 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 17. Bibliografia e Referências Engenharia de Redes Informáticas, Edmundo Monteiro / Fernando Boavida Redes Cisco Para Profissionais, Mário P. Véstias Administração de Redes Informáticas, Fernando Boavida / Mário Bernardes / Pedro Vapi http://paginas.ispgaya.pt/~jruao www.pplware.pt www.microsoft.com http://technet.microsoft.com www.vivaolinux.com.br http://www.vivaolinux.com.br/artigo/Script-de-firewall-completissimo/? pagina=1 http://en.wikipedia.org/wiki/Internet_Authentication_Service http://www.guiadohardware.net/tutoriais/samba-pdc/ Exame Informática – Setembro 2009 63 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 18. Anexos 18.1. Anexo I – Script Firewall - /etc/init.d/firewall #!/bin/sh echo "" echo "SCRIPT DE FIREWALL RUNNING" sleep 0.5 echo "" echo "By: Miguel Costa - [email protected] - Setembro de 2010" echo "" sleep 0.5 # Activar os diversos modulos do iptables #/sbin/modprobe iptable_nat #/sbin/modprobe ip_conntrack #/sbin/modprobe ip_conntrack_ftp #/sbin/modprobe ip_nat_ftp #/sbin/modprobe ipt_LOG #/sbin/modprobe ipt_REJECT #/sbin/modprobe ipt_MASQUERADE modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ipt_LOG modprobe ipt_REJECT modprobe ipt_MASQUERADE modprobe ipt_state modprobe ipt_multiport modprobe iptable_mangle modprobe ipt_tos modprobe ipt_limit modprobe ipt_mark modprobe ipt_MARK # Activa forward no kernel do SO - forward ON 64 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa echo "1" > /proc/sys/net/ipv4/ip_forward echo "" echo "A activar o redirecionamento no ficheiro ip_forward" sleep 0.5 echo "......................................................................... [ OK ]" # explicit congestion notification OFF echo 0 > /proc/sys/net/ipv4/tcp_ecn # Proteccao contra IP Spoofing - Anti Spoofing echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter echo "" echo "A activar proteccao contra ataques do tipo Anti-Spoofings" sleep 0.5 echo "......................................................................... [ OK ]" # Limpa as regras iptables iptables -F iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD iptables -X iptables -F -t nat iptables -X -t nat iptables -F -t mangle iptables -X -t mangle # Determina a politica padrao - NAO USAR QUE DROPA AS LIGACOES # Nega todas asacoes, fica incomunicavel. #iptables -P INPUT DROP #iptables -P OUTPUT DROP #iptables -P FORWARD DROP # Descarta pacotes TCP indesejaveis iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL: NEW sem syn: " iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP # Aceita os pacotes que realmente devem entrar 65 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa iptables -A INPUT -i eth0 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT # Proteccao contra trinoo echo "" echo "A activar proteccao contra Trinoo" iptables -N TRINOO iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: " iptables -A TRINOO -j DROP iptables -A INPUT -p TCP -i eth0 --dport 27444 -j TRINOO iptables -A INPUT -p TCP -i eth0 --dport 27665 -j TRINOO iptables -A INPUT -p TCP -i eth0 --dport 31335 -j TRINOO iptables -A INPUT -p TCP -i eth0 --dport 34555 -j TRINOO iptables -A INPUT -p TCP -i eth0 --dport 35555 -j TRINOO sleep 0.5 echo "......................................................................... [ OK ]" # Proteccao contra trojans echo "" echo "A activar proteccao contra Trojans" iptables -N TROJAN iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: " iptables -A TROJAN -j DROP iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN iptables -A INPUT -p TCP -i eth0 --dport 666 -j TROJAN iptables -A INPUT -p TCP -i eth0 --dport 4000 -j TROJAN iptables -A INPUT -p TCP -i eth0 --dport 6000 -j TROJAN iptables -A INPUT -p TCP -i eth0 --dport 6006 -j TROJAN iptables -A INPUT -p TCP -i eth0 --dport 16660 -j TROJAN sleep 0.5 echo "......................................................................... [ OK ]" # Proteccao contra worms echo "" echo "A activar proteccao contra ataques do tipo Worms" iptables -A FORWARD -p tcp --dport 135 -i eth1 -j REJECT Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 66 sleep 0.5 echo "......................................................................... [ OK ]" # Proteccao contra syn-flood echo "" echo "0" > /proc/sys/net/ipv4/tcp_syncookies echo "A activar proteccao contra ataques do tipo Syn-Flood" iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT sleep 0.5 echo "......................................................................... [ OK ]" echo "" # Proteccao contra Ping of Death e DoS echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all echo "A activar proteccao contra ataques do tipo Ping Of Death e do tipo DoS" iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP sleep 0.5 echo "......................................................................... [ OK ]" echo "" # Proteccao contra ataques SSH por forca bruta echo "A activar proteccao contra ataques do tipo SSH Brute Force" iptables -A FORWARD -p tcp --dport 22 -m limit --limit 1/s --limit-burst 4 -j ACCEPT sleep 0.5 echo "......................................................................... [ OK ]" echo "" # Proteccao contra port scanners echo "A activar proteccao contra Port Scanners ocultos" iptables -N SCANNER iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner: " iptables -A SCANNER -j DROP iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth0 -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL NONE -i eth0 -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL ALL -i eth0 -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i eth0 -j SCANNER 67 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i eth0 -j SCANNER iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth0 -j SCANNER iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth0 -j SCANNER sleep 0.5 echo "......................................................................... [ OK ]" echo "" # Loga tentativa de acesso pelo exterior a determinadas portas (21,23,25,80, #110,111,113,137,161,6667,6668,3128 # Os logs ficam em /var/log/messages iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: ftp: " iptables -A INPUT -p tcp --dport 23 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: telnet: " iptables -A INPUT -p tcp --dport 25 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: smtp: " iptables -A INPUT -p tcp --dport 80 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: http: " iptables -A INPUT -p tcp --dport 110 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: pop3: " iptables -A INPUT -p udp --dport 111 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: rpc: " iptables -A INPUT -p tcp --dport 113 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: identd: " iptables -A INPUT -p tcp --dport 137:139 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: samba: " iptables -A INPUT -p udp --dport 137:139 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: samba: " iptables -A INPUT -p tcp --dport 161:162 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: snmp: " iptables -A INPUT -p tcp --dport 6667:6668 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: irc: " iptables -A INPUT -p tcp --dport 3128 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: squid: " # Permite acesso externo a porta 22 - SSH echo "A permitir acesso externo pela porta 22 - SSH" iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT iptables -A INPUT -p udp --dport 1194 -i eth0 -j ACCEPT iptables -A INPUT -p udp --dport 20000 -i eth0 -j ACCEPT iptables -A INPUT -p tcp --dport 20000 -i eth0 -j ACCEPT iptables -A INPUT -p udp --dport 22222 -i eth0 -j ACCEPT sleep 0.5 echo "......................................................................... [ OK ]" # Bloqueia o MSN #IPSOURCE=192.168.1.2 echo "" echo "A bloquear o MSN" 68 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT --reject-with tcp-reset iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 63.208.13.126 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 64.4.12.200 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 64.4.12.201 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.131.249 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.194.118 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.211.61 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.104.20 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.110.2 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 204.46.106.162 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 208.175.188.30 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.239.141 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 1863 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.179.192 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.183.192 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.110.252 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.107.3 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.109.55 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.112.65 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.239.211 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.27.253 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.0.0/24 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.0.0/24 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 1863 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 7001 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.239.211 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.27.253 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 6891:6901 iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 5190 iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.107.3 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 1863:1864 -j DROP iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 6891:6901 iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 5190 iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT iptables -A FORWARD -s 192.168.1.0/24 -d loginnet.passaport.com -j REJECT sleep 0.5 echo "......................................................................... [ OK ]" 69 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa echo "" echo "A bloquear programas p2p e CIA, tipo Emule, BitTorrent, LimeWire" iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 6346 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6346 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 6881:6889 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6881:6889 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 1214:1215 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 1981 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 2037 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 3501 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 3531 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 3587 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 3955 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 4242 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 4661:4672 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 4688 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 5121 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 5662 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6085:6086 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6346:6347 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6699 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 6881:6889 -j REJECT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 8473 -j REJECT sleep 0.5 echo "......................................................................... [ OK ]" #IMPORTANTE NAO MEXER NISTO # Activa mascaramento de saida echo "" echo "A activar regra de mascaramento de saida" iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE sleep 0.5 echo "......................................................................... [ OK ]" # REGRA DO PROXY echo "" echo "A activar as regras do Proxy Transparente, reencaminhamento do porto 80 e do" echo "porto 8080 para o porto 3128" 70 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -s 192.168.1.0/255.255.255.0 -p tcp --dport 8080 -j REDIRECT --to-port 3128 sleep 0.5 echo "......................................................................... [ OK ]" # REGRA DA VPN #echo "" #echo "A activar regra da VPN." #iptables -t nat -s 10.0.0.0/24 -A POSTROUTING -o eth0 -j MASQUERADE #route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1 dev tun0 #Esta regra em cima, orienta o sistema a encaminhar os pacotes recebidos a partir do end IP do cliente (10.0.0.2) para a interface de rede local eth0. #sleep 0.5 #echo "......................................................................... [ OK ]" # Carrega controlador de banda #/etc/init.d/cbq start sleep 0.25 echo "" echo "Terminada a configuracao da Firewall!" sleep 0.25 echo "" echo "FIREWALL ON" echo "" 71 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 18.2. Anexo II – Script Proxy – /etc/squid3/squid.conf ####SQUID.CONF#### http_port 3128 transparent cache_mem 5000 MB cache_swap_low 90 cache_swap_high 95 cache_dir ufs /var/spool/squid3 15000 16 256 # TAMANHO MAXIMO PARA CACHEAR maximum_object_size 500 MB maximum_object_size_in_memory 40 KB access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_store_log /var/log/squid3/store.log pid_filename /var/run/squid3.pid mime_table /usr/share/squid3/mime.conf cache_mgr [email protected] memory_pools off append_domain .gmail.com diskd_program /usr/lib/squid3/diskd unlinkd_program /usr/lib/squid3/unlinkd refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 refresh_pattern (cgi-bin|\?) 0 refresh_pattern . 0 quick_abort_max 16 KB quick_abort_pct 95 quick_abort_min 16 KB 20% 0% 0% 4320 1440 0 72 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa #TAMANHO MAXIMO PARA UM HEADER# request_header_max_size 20 KB reply_header_max_size 20 KB #TAMANHO MAXIMO PARA UM BODY REQUEST# request_body_max_size 2.5 MB acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl LanFora src 192.168.2.0/24 acl LanDentro src 192.168.1.0/24 #ACL PARA PROIBIR SITES acl Block url_regex "/etc/squid3/blocked_sites" http_access deny Block #ACL PARA BLOQUEAR DETERMINADAS PALAVRAS NO URL acl Palavras dstdom_regex "/etc/squid3/palavrasproibidas" http_access deny Palavras #ACL PARA DAR ACESSO A DETERMINADOS IP's acl IpLivres src "/etc/squid3/ipslivres http_access allow IpLivres #ACL PARA REJEITAR DETERMINADOS TIPOS DE FICHEIROS acl Extensoes url_regex -i \.dos \.torrent #\.exe http_access deny Extensoes #ACL PARA BLOQUEAR O MSN acl MSN url_regex -i /gateway/gateway.dll http_access deny MSN #acl all src 0.0.0.0/0.0.0.0 acl SSL_ports port 443 563 acl Safe_ports port 80 21 1863 70 210 488 777 591 280 4505 9000 1025-65535 acl CONNECT method CONNECT 73 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa #PROXYING DE FTP# acl FTP_Port port 21 http_access allow CONNECT FTP_Port http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow LanFora http_access allow LanDentro cache_mgr webmaster mail_program mail cache_effective_user proxy cache_effective_group proxy httpd_suppress_version_string off visible_hostname projecto error_directory /usr/share/squid3/errors/pt visible_hostname Ubuntu 74 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 18.3. Anexo III – Script VPN – server.conf e client.conf server.conf proto udp port 22222 dev tap server 10.0.0.0 255.255.255.0 push "route 192.168.1.0 255.255.255.0" comp-lzo keepalive 10 120 persist-key persist-tun float ifconfig-pool-persist /etc/openvpn/ipp.txt max-clients 10 tls-server dh /etc/openvpn/keys/dh1024.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/servidor.crt key /etc/openvpn/keys/servidor.key client.conf remote 192.168.1.1 proto udp port 20000 client pull dev tap comp-lzo keepalive 10 120 persist-key persist-tun float tls-client dh /etc/openvpn/keys/dh1024.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/cliente1.crt key /etc/openvpn/keys/cliente1.key 75 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa 18.4. Anexo IV – Script Samba FreeNAS– smb.conf [global] #max protocol = smb2 encrypt passwords = yes netbios name = ServidorNAS workgroup = projecto server string = FreeNAS Server security = ads dns proxy = no # Settings to enhance performance: use sendfile = yes strict locking = no read raw = yes write raw = yes oplocks = yes max xmit = 65535 deadtime = 15 getwd cache = yes socket options = TCP_NODELAY SO_SNDBUF=64240 SO_RCVBUF=64240 # End of performance section wins server = 192.168.1.2 unix charset = UTF-8 ea support = yes store dos attributes = yes local master = no time server = no guest account = convidado display charset = LOCALE max log size = 10 syslog only = yes syslog = 1 load printers = no printing = bsd printcap name = /dev/null disable spoolss = yes log level = 1 76 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa dos charset = CP437 smb passwd file = /var/etc/private/smbpasswd private dir = /var/etc/private passdb backend = tdbsam allow trusted domains = no idmap alloc backend = tdb idmap backend = tdb idmap uid = 10000-39999 idmap gid = 10000-39999 idmap config projecto : backend = rid idmap config projecto : range = 10000-39999 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes winbind normalize names = yes template homedir = /mnt/ServidorNAS/Pessoais/%U template shell = /bin/sh [Pasta Pública] comment = Pasta publica do projecto no Servidor NAS path = /mnt/ServidorNAS/Public/ writeable = yes printable = no veto files = /.snap/ hide dot files = yes vfs objects = recycle recycle:repository = .recycle/%U recycle:keeptree = yes recycle:versions = yes recycle:touch = yes recycle:directory_mode = 0777 recycle:subdir_mode = 0700 [Pastas Pessoais] comment = Pastas Pessoais, com acesso apenas para o proprietário da pasta path = /mnt/ServidorNAS/Pessoais/ writeable = yes printable = no 77 Projecto Informático em Contexto Empresarial – Relatório – Miguel Costa veto files = /.snap/ hide dot files = yes [ltorres] comment = Pasta Privada Luis Torres path = /mnt/ServidorNAS/Pessoais/ltorres/ writeable = yes printable = no veto files = /.snap/ hide dot files = yes inherit permissions = yes vfs objects = recycle recycle:repository = .recycle/%U recycle:keeptree = yes recycle:versions = yes recycle:touch = yes recycle:directory_mode = 0777 recycle:subdir_mode = 0700 %U ltorres [mcosta] comment = Pasta pessoal de Miguel Costa path = /mnt/ServidorNAS/Pessoais/mcosta/ writeable = yes printable = no veto files = /.snap/ hide dot files = yes inherit permissions = yes