5

1. INTRODUO

Gerenciar uma rede de computadores significa proporcionar aos usurios uma estrutura com confiabilidade e segurana, necessrios para que o intercmbio de informaes ocorra satisfatoriamente e que atenda as necessidades de comunicao de todos. Neste projeto falaremos a respeito da criao e gerenciamento de uma rede WAN. A disponibilizao dos servios oferecidos desde a matriz at a entrega em cada uma das filiais. Demonstraremos a topologia utilizada, os servidores que se encarregaro em estender as funcionalidades exigidas no escopo e a infra-estrutura de comunicao adotada. Como em um projeto desta envergadura, demos uma ateno especial segurana, implementando polticas que garantem uma utilizao segura dos recursos. Atendendo aos requisitos necessrios entregamos um ambiente onde todos os servidores possuem contingncia, garantindo sua disponibilidade em tempo integral para os usurios. Desta forma, acreditamos que demonstraremos os conhecimentos adquiridos ao longo deste semestre.

2. SERVIDORES Em nosso projeto utilizaremos um total de doze servidores, sendo seis servidores de terminal alocados na matriz um para cada filial, um como controlador de domnio virtualizado com Exchange e cluster , um de arquivo virtualizado com servidor de impresso e cluster , e um de firewall com cluster. Optamos por utilizar servidores IBM Dual processado trabalhando com Raid 5 e fonte redundante. Nossa preferncia pela empresa IBM se tem pela confiana em uma empresa lder na fabricao de servidores. 2.1 Servidores de controlador de domnio/exchange e arquivo/impresso IBM system X 3650 M2: o IBM System x3650 M2 possui funcionalidades integradas para garantir alta disponibilidade e reduo do tempo de downtime, como memria espelhada e online spare memory (memria de backup que pode substituir uma placa de memria com defeito). Esse servidor atende empresas que necessitam de servidores de alta capacidade montados em rack e possibilita a criao de ambientes virtuais para maximizar a utilizao dos equipamentos e reduzir os custos de TI. Processador: Possui dois processadores Intel Xeon E5530 Quad Core 2.40GHz (8MB L3 Cache); Memoria: 16GB Classificao Dupla PC3-10600 CL9 ECC DDR3-1333 LP RDIMM (44T1483); Armazenamento: 11 discos Rgido IBM de 1 TB 7200 NL SATA 2.5" SFF SlimHS totalizando10 Terabytes de capacidade de armazenamento e um disco para paridade da Raid; Rede : Adaptador para Servidor com Porta Dupla PRO/1000 PT da Intel para vitualizao; Raid: Controlador SAS/SATA ServeRAID-MR10M com Kit de Bateria Remota Utilizamos essa configurao de servidor pela alta capacidade de armazenamento principal caracterstica de servidores de e-mail e arquivo e uma configurao ideal para criao de ambientes virtuais apresentados o melhor custo beneficio.

Figura 1: IBM system X 3650 M2

2.2. Servidores de Terminal Service

IBM system X 3650 M2 para servidor de Terminal Server utilizaremos o mesmo servidor citado acima s que com algumas caractersticas diferentes entre elas esta: Memria: 32GB Classificao Dupla PC3-10600 CL9 ECC DDR3-1333 LP RDIMM (44T1483) Armazenamento: 3 discos Rgido IBM de 500 GB 7200 NL SATA 2.5" SFF Slim-HS totalizando 1 Terabyte de capacidade de armazenamento e um disco para paridade da Raid. Optamos por utilizar a mesma configurao apenas alterando a memria para 32GB e diminuindo o HD para 1 Terabyte . Por serem servidores de terminal Server no ser necessrio muito espao em disco e sim maior capacidade de memria RAM , no caso de haver a necessidade de aumentar a memria este equipamento expansvel ate 128 GB/RAM .
2.3

Servidores de Firewall.

IBM system X 3650 M2 para servidor de Firewall utilizaremos a mesma configurao utilizada no item um, s que com menos capacidade de armazenamento pois no necessrio capacidade de armazenamento em servidores de firewall e Proxy. Armazenamento: 3 discos Rgido IBM de 500 GB 7200 NL SATA 2.5" SFF Slim-HS totalizando 1 Terabyte de capacidade de armazenamento e um disco para paridade da Raid.
2.4

Clusters de servidor

Um cluster de servidor um grupo de sistemas de computadores independentes, conhecidos como ns, executando Microsoft Windows Server 2008, Enterprise Edition ou Microsoft Windows Server 2008, Datacenter Edition e trabalhando juntos como um nico sistema para assegurar que os recursos e aplicativos de misso crtica continue m disponveis para clientes. Os ns de um cluster permanecem em constante comunicao por meio da troca de mensagens peridicas chamadas de pulsaes. Se um dos ns no estiver mais disponvel devido falha ou manuteno, outro n comear imediatamente a fornecer o servio (um processo conhecido como failover). Em nosso projeto utilizaremos uma soluo de cluster da IBM (Cluster 1350) para garantir que os principais servidores no parem nunca.

2.5 IBM Cluster 1350

Em destaque

Tecnologia de ponta com flexibilidade de escolha Alto desempenho Energia e eficiente do espao Facilmente implantado, operado e mantido

Esta soluo da IBM constitui um rack para armazenamento de um ou mais servidor IBM onde o cluster feito de forma fsica e lgica atravs de um software conforme especificaes abaixo:

Figura 2: IBM Cluster 1350

Sistemas

servidores Blade: HX5, HS22, HS22V, LS22, LS42, JS23, JS43 servidores da empresa: x3850 X5 servidores iDataPlex: dx360 M3, M2 dx360 servidores Rack: x3550 M3, M3 x3650 IBM Data Center Networking, Blade Network Technologies, Cisco, Force10Networks, SMC, Voltaire Chelsio, Mellanox Mellanox, QLogic, Voltaire Brocade QLogic Emulex

Interligae Switches s Ethernet Adaptadores Ethernet InfiniBand Fibre Channel

armazenamento externo servidores de armazenamento expanso de armazenamento Storage System DS5020, DS5100, DS5300, DS4800, DS4700, DS4200, DS3950, DS3500, DS3400, DS3200 EXP5000 Unidade de Expanso de Storage DS4000 EXP810 Storage Expansion Unit DS4000 EXP420 Storage Expansion Unit SAS EXP3000 ESM, JBOD Individual IBM System Storage SAN24B-4 Express IBM System Storage SAN40B-4

SAN switches Software O sistema operacional

Red Hat Enterprise Linux (RHEL) 5 SUSE Linux Enterprise Server (SLES) 11 Microsoft Windows HPC Server 2008 xCAT (Extreme Cluster Administration Toolkit) Moabe Suite Adaptive HPC Moab Suite Computao Adaptativa IBM System Arquivo Geral (Parallel GPFS) para Linux

software de gerenciamento de cluster

Armrios Rack 5000 Gabinete Rack 42U 5000 Gabinete Rack 25U 79,5 H "W x 25,2" x 43,3 "D (2020 milmetros x 640 mm x 1100 mm); 574,2 (261 kg)2 49,0 H "W x 23,8" x 39,4 "D (1344 mm x 605 mm x 1001 mm); 221 (100,2 kg)2

100U iDataPlex 82,4 H "W x 48,6" x 33,2 "D (2093 mm x 1.235 milmetros x Gabinete Rack 844 milmetros); 385 (174,6 kg) Energia refrigerao e Calibrated Vectored Cooling , fontes de alimentao de energia eficiente, processadores de baixa voltagem, IBM Systems Director Active Energy Manager , IBM Power Configurator, Thermal Diagnostics Um n de gesto necessria e um n de gerenciamento redundantes para failover opcional. Um mnimo de dois e um mximo de 1024 ns gerenciados so suportados (software opcional pode limitar apoiado ns). Este total pode incluir at 64 ns de armazenamento. A configurao mxima de 1026, incluindo os ns de computao, armazenamento e gerenciamento de ns. Aumentar as configuraes esto disponveis atravs de um processo de licitao especial.

Escalabilidade

10

Armrios Rack Servios Garantia

3. RAID 5 O RAID 5 um modo muito utilizado em servidores com um grande nmero de HDs. Ele utiliza um mtodo bastante engenhoso para criar uma camada de redundncia, sacrificando apenas uma frao do espao total, ao invs de simplesmente usar metade dos HDs para armazenar cpias completas, como no caso do RAID 1. O RAID 5 usa um sistema de paridade para manter a integridade dos dados. Os arquivos so divididos em fragmentos de tamanho configurvel e, para cada grupo de fragmentos, gerado um fragmento adicional, contendo cdigos de paridade. No nosso projeto utilizamos RAID 5 para obter uma maior confiabilidade dos discos assim se qualquer disco apresentar falha podemos fazer a troca sem derrubar o servidor e sem perda de dados. 4. LINK DEDICADO DE INTERNET No nosso projeto utilizaremos dois links dedicado de internet com garantia de 100% de banda com meios fsicos diferente , um da telefnica chegando atravs de fibra ptica e outro da neo via com tecnologia Wimax. 4.1 Como funciona a tecnologia do WiMAX? Em uma linguagem menos tcnica, o WiMAX a evoluo do Wi-Fi, que por sua vez o atual padro de tecnologia para acesso sem o uso de fios. A sigla vem de Wireless Fidelity e usada genericamente. Os pontos de acesso em Wi-Fi, tambm chamados de hotspots, so uma febre no exterior, mas aqui no Brasil ainda d para contar nos dedos os lugares com disponibilidade de Wi-Fi. As Empresas de telefonia tambm oferecem conexes sem fio. Ento, se a gente por aqui nem conhece direito - ou nunca usou - o Wi-Fi, como que vamos querer usar WiMAX de uma hora para outra? Simples. Porque esse novo padro corrige e aprimora, justamente, os principais pontos-fracos do WiFi: preo, acessibilidade, raio de atuao e disponibilidade. 5. MPLS O servio escolhido foi MPLS, atravs da concessionria Embratel aonde a mesma recebe os dados da matriz e faz a distribuio para as filiais.

11

O porque da escolha: a MPSL ideal para as empresas de todos os portes que necessitam interligar matriz, filiais e parceiros em tempo real, contando com os benefcios de reduo de custos e simplicidade do protocolo IP. A soluo estende o conceito tradicional de VPN para o mundo IP/MPLS e possibilita a transmisso otimizada de dados, voz e vdeo entre os pontos de uma rede corporativa com qualidade e segurana. Isso tudo com abrangncia nacional e sem a necessidade de investimentos em equipamentos. 5.1 Benefcios

Segurana: Todo o isolamento do trfego implementado e realizado no backbone IP da Embratel. Reduo de custos: O uso da estrutura IP/MPLS garante uma formao de rede segura com baixos custos, distancia entre os pontos da VPN ou sua configurao (topologia), no interfere no custo total. O uso de Qos, alem de permitir o uso de trafego sobre IP e vdeo otimiza os recursos atendendo as expectativas da rede realizando o tratamento do trafego por aplicao(ERP,CRM, e-mail, HTTP). 5.2 Tratamento de trafego A funo do QoS (Qualidade de Servio) otimizar os recursos da rede. Com at 12 marcaes diferentes (6 classes alm de 6 sub-classes), a empresa pode escolher quais as aplicaes devem ser tratadas ou no e com isso garantir: Gerencia: A Rede nica Dados MPSL permite uma gerencia simplificada, reduzindo o grau de complexidade da rede e ainda oferece solues de gerenciamento. Escalabilidade: O Servio de Rede nica Dados MPSL, foi criado para suportar o crescimento das empresas, sem causar impacto na implementao. Qualidade: O SLA (Service Level Agreement) assegura a qualidade do backbone IP da Embratel. Sua empresa tem a garantia de que a rede funcionar de forma apropriada para suportar suas aplicaes. Opes de topologia: Adequao da sua VPN ao interesse de trfego em cada ponto da rede. Isto economia de banda e possibilidade de maior controle interno de acessos e segurana. Servios personalizados: As empresas podem desenvolver interfaces e aplicaes corporativas IP para otimizar os processos.

12

Aplicaes: O ambiente empresarial est constantemente expandindo suas fronteiras, exigindo solues de comunicaes cada vez naus eficientes e seguras. A Rede nica Dados MPLS cria a estrutura perfeita para suportar esse ambiente, permitindo a formao de redes corporativas (Intranet) e comunidades de negcios(Extranet). Algumas aplicaes utilizadas com Rede nica Dados MPLS:

Voz sobre IP; E-mail; SAP, CRM, ERP e Supply Chain E-learning Comunicao interativa entre as unidades da sua empresa Compartilhamento de informaes e documentos Trabalho cooperativo Sistemas de gerenciamento Transaes eletrnicas Lan to Lan

So solues de interligao ponto-a-ponto (circuitos dedicados digitais de extremo a extremo) com garantia de banda full e transparncia a protocolos. Ideais para transmisso segura de dados, entre matriz, filiais, clientes, parceiros ou fornecedores atravs de uma infra-estrutura de comunicao integrada, que permite trfego constante. O porqu da escolha: Agilidade na comunicao de dados, e o principal segurana dos dados. Benefcios Rapidez, alta performance e segurana Flexibilidade Menor prazo de instalao Link dedicado (ponto a ponto) com Banda full Protocolo aberto (FR, ATM, IP) Alta Capilaridade Caractersticas Velocidades de Acesso: 10Mbps, 100Mbps; Servio no gestionado;Banda Full (100% de banda garantida); Circuito transparente a protocolos; Facilidade opcional de circuitos de reserva (back-up); Assistncia tcnica 24 horas por dia, 365 dias por ano Aplicaes

13

Interligao de Redes Locais (LAN), de computadores "stand-alone" ou de Main frames dispersos geograficamente; Construo e atualizao remota de bases de dados (Ex: atualizao de estoques, informaes financeiras, etc); Transmisso de dados, voz e vdeo; Criao de Intranet; Espelhamento de CPD.
5.3

Estrutura Lgica da Rede Servidor Zeus Funo Controlador de domnio/DNS Windows Server Primrio/DHCP 2008 R2 (64 Bits) Firewall Ip Tables e Proxy Red Hat Squid 5.6 Stable

IP 10.130.10.2

10.130.10.3

Hades

10.130.10.5

Hermes

Servidor de E-mails Pop3 Windows Server (Exchange) 2008 R2 (64 Bits) Servidor de Arquivos Windows Server (Storage DELL Raid 5,6) 2008 R2 (64 Bits) Servidor de Impresso Windows Server 2008 R2 (64 Bits)

10.130.10.6

Marte

10.130.10.7

Artemis

Fig.3: Tabela de Servidores e seus respectivos servios.

6. VPN

14

A VPN ser utilizada apenas para acesso remoto de diretores e colaboradores que necessitem acesso remoto aos servidores e servios de rede. Os link sero implementados atravs de MPLS. A VPN utiliza a aplicao CheckPoint VPN e possui 2 instancias que se complementam: CheckPoint Server instalada no firewall e gerencia o servio propriamente dito, agindo de forma instalada com o firewall. Check Point Client aplicao instalada nas mquinas dos colaboradores para acesso via VPN. Esta aplicao utiliza um certificado digital de 1024 bits RSA para autenticao do usurio. Ela faz checagem do certificado tanto atravs do repositrio do SO quanto tambm atravs da exportao do certificado em formato pfx (chave publica e privada). Compara ento o hash do certificado e analisa as LCR e verifique no Commom Name do mesmo e os compara com os objetos existentes no AD e a partir da realiza a autenticao. No client se configura diretamente o IP do firewall onde ele realiza uma discagem e aps o handshake realiza sua autenticao sendo que a configurao do lado do checkpoint a seguinte: Protocolo de Tnel VPN Paramentos IKE (fase 1) Criptografia 3DES Autenticao: HMAC-MD5 Diffie-Helman: Grupo 2 LifeTime: 1440 minutos Pre-Shared Secret: (A ser informada) Parmetros do Tnel IPSEC (fase 2) Modo: Tnel Criptografia: ESP-HMAC-MD5 Diffie-Helman: Grupo 2 LifeTime: 3600 segundos Use perfect Forward Secrecy: Sim Parmetros do Gateway VPN Endereo do Peer: 200.xxx.xxx.xx Endereo do Host: 200.xxx.xxx.xx

Os seguintes servios e protocolos so necessrios para estabelecimento do tnel, onde dever ser liberado o acesso dos seguintes servios e portas, caso exista algum filtro no caminho at o gateway: IKE IPsec e IKE (UDP na porta 500) IPsec ESP (IP type 50) IPsec AH (IP type 51) TCP/500 (se utulizar IKE over TCP)

15

7. DIAGRAMA DE REDE

16

8. DIRETIVAS DE SENHA

Fig 4. Diretivas de segurana de senha definidas.

Fig.5. Diretiva de Bloqueio de Conta

Fig.6. Diretiva de Auditoria de senha

9. DHCP

17

Em nosso projeto utilizaremos o DHCP. O mesmo ser instalado como servio no mesmo servidor que nosso Controlador de Domnio. O escopo utilizado ser o 10.130.10.2 e mascara 255.255.255.0 gateway 10.130.10.1 10.130.10.2 10.130.10.80 - reservas que no entraro no pool 10.130.10.81 10.130.10.140 pool com endereos atribudos dinamicamente a partir do servidor Zeus. Como forma de contingencia, utilizaremos o mesmo range IP, contudo, um novo escopo subseqente em outro servidor. Ser utilizado IP Dinmico para todos os hots. A nica exceo ser para os servidores, evidentemente e para os colaboradores que necessitem acesso especifico em servidores ou servios dedicados. Estes tero Reserva. Como os roteadores no encaminham broadcast entre as redes e para no gerar uma sobrecarga desnecessria nos links, em cada filial ser implementado juntamente com o servidor membro, o servio de DHCP, tendo cada um destes um escopo e pool diferenciados.

Fig. 7. Reserva de IP.

Em nosso projeto as reservas sero aplicadas para usurios que necessitem de acesso especifico a servidores.

10. ACTIVE DIRECTORY

18

O Active Directory o servio de diretrio utilizado em uma rede Windows. O AD, sendo um servio de diretrio, serve nossa rede como um depsito central para armazenamento de informaes. Todas as informaes que podem ser armazenadas no AD so chamas de objetos. Um objeto pode ser uma conta de usurio, um grupo, uma impressora, entre outros. Todos os objetos ficam armazenados na base de dados do AD, e uma nica base de dados pode conter milhes de objetos. Neste projeto criaremos uma OU para cada representao da empresa (filial). Dentro desta OU esto todos os objetos referentes aquela localidade: impressoras, usurios e computadores.

19

20

Os grupos destacados acima so representaes locais de seus respectivos grupos. Assim, o Grupo Comercial_BS que abriga os usurios localizados na filial de Braslia membro do grupo Comercial_G que abriga todos os demais grupos membros deste departamento: Comercial_BS, Comerical_RJ etc.

11. DNS Em nosso trabalho, o DNS ser um servio rodando a partir do Zeus (IP 10.130.10.2) O servio DHCP pode automatizar essa tarefa tambm, fornecendo, juntamente com o endereo IP, a Configurao DNS predefinida no servidor. Toda vez que um usurio digitar um determinado endereo na internet (ou de servidores locais) o servio DNS entrar em ao tentando resolver o endereo do servidor web onde est armazenada a pgina requerida com seu respectivo endereo IP. Como nosso servidor DNS apenas tem autoridade para resolver consultas suportadas por ele em nossa rede eles as enviar para encaminhadores na internet que por sua vez replicaro uns aos outros de forma hierrquica para conseguir devolver a consulta ao cliente que iniciou essa requisio em nossa rede, por exemplo.

12. FERRAMENTAS DE GERENCIAMENTO Em nosso projeto, englobaremos a disciplina de Ferramentas de Gerenciamento atravs da adoo do SAR. Ele serve para extrair relatrios do uso da internet e tambm de todos os ativos de rede aos quais desejarmos incluir em sua contabilizao. Isso pode ser facilmente conseguido com algumas ferramentas. 12.1 Sarg O Sarg um interpretador de logs para o Squid, assim como o Webalizer e o Apache. Sempre que executado ele cria um conjunto de pginas, divididas por dia, com uma lista de todas as mquinas que foram acessadas e a partir de cada mquina da rede veio cada acesso. Ele tambm mostra os usurios, caso o Squid esteja configurado para exigir autenticao. A partir da voc pode acompanhar as pginas que esto sendo acessadas, mesmo que no exista nenhum filtro de contedo e tomar as medidas cabveis em casos de abuso. Os filtros de contedo nunca so completamente eficazes, eles sempre bloqueiam algumas pginas teis e deixam passar muitas pginas imprprias. A inspeo manual sempre o mtodo mais eficiente.

21

No Debian e derivados ele pode ser instalado com um: "apt-get install sarg". NoMandrake um "urpmi sarg" j resolve. O Sarg no um daemon que fica residente, voc precisa apenas cham-lo quando quiser atualizar os relatrios, se voc quiser automatizar esta tarefa, pode usar o cron para que ele seja executado automaticamente todos os dias ou uma vez por hora por exemplo: Por padro os relatrios vo para a pasta /var/www/squid-reports/ (no Debian) ou /var/www/html/squid/ (no Mandrake). Este padro, junto com outras configuraes podem ser alteradas no arquivo de configurao do Sarg, que o /etc/sarg/sarg.conf (no Mandrake) ou /etc/squid/sarg.conf (no Debian). O arquivo auto explicativo, nele voc pode alterar os diretrios padro, alterar o layout da pgina de relatrios e ativar recursos como o envio de uma cpia do relatrio por email sempre que o sarg for executado. O porqu da escolha: O Sarg uma ferramenta que permite ver "onde" o usurio esta indo na Internet,o tempo em que ele ficou em cada pgina e prov muitas informaes sobre as atividades dos usurios Squid, tais como: tempo, bytes trafegados, sites acessados, etc. O que permite total e completa administrao de seus recursos. O Squid emite um log de acessos a internet que pode ser transformado em relatrios com o uso da ferramenta SARG, depois de instalado, basta chamar o comando "sarg" (como root) para que os relatrios sejam gerados automaticamente a partir do log do squid. Ele transforma o log do squid em um relatrio html legvel e completo. 12.1.1 Instalao do Sarg # wget http://web.onda.com.br/orso/sarg1.4.tar.gz # tar zxvf sarg1.4.tar.gz # cd sarg1.4/ # ./configure # make # make install 12.1.2 Configurao do Sarg Por padro o sarg instalado em /usr/local/sarg. Nesse diretrio encontramos o arquivo sarg.conf entre as muitas opes, recomendo as seguintes: l anguage Portuguese access_log /var/log/squid/access.log title "Relatrio de uso da internet" temporary_dir /tmp output_dir /var/www/squidreports resolve_ip no user_ip yes topuser_sort_field BYTES reverse topsites_num 100

22

max_elapsed 28800000 12.1.3 Comandos Descrio access_log Indica o arquivo de log do squid output_dir Indica onde ser gerado o html. recomendvel que seja em um local acessvel pelo seu http server resolve_ip Evita que o sarg tente fazer resoluo de DNS user_ip Se voc no estiver utilizando autenticao por usurio, coloque "no. Se estiver, coloque "yes" topsites_num Quantidade de sites que voc quer ver como os TOP de acessos. Depois de configurar o sarg.conf, basta gerar os relatrios com o comando # sarg 10.2 Relatrios Relatrios do SARG so como pginas web, requerem o servidor Apache para exibir as pginas. Abaixo temos um exemplo de relatrio de acesso a Internet de um determinado usurio em uma determinada data:

Figura 8: Relatrio emitido pelo SARG

23

Fig. 9. Exemplo de relatrio do SARG

Os relatrios do Sarg ocupam um imenso espao em disco, principalmente pelo falto de no ter um rotate nem comprimir os HTMLS. Podemos contornar isso colocando em nossa crontable: find /var/www/squidreports/ name "*.html" type f mtime +30 exec bzip2 {} \; find /var/www/squidreports/ name "*.bzip2" type f mtime +180 exec rm rf {} \; 12.2.1 Calamaris O Calamaris um tradicional programa de anlise de log e gerao de reports para o squid. Seu funcionamento simples e no exige instalao. Apenas necessrio ter o perl instalado na mquina. # wget http://cord.de/tools/squid/calamaris/calamaris2.57.tar.gz # tar zxvf calamaris2.57.tar.gz # cp calamaris /usr/bin # cat /var/log/squid/access.log | calamaris F HTML

24

Figura 10: Exemplo de relatrio do Calamaris

12.3 Squid Graph Ao estilo MRTG, esse analisador ideal para uso em grandes caches, onde o importante no saber quais usurios acessaram que site, quem teve acesso negado e etc. O objetivo aqui analisar volume de trfego e eficincia em grande escala. 12.3.1 Instalao do Squid Graph Esse programa exige a presena do mdulo perl GD (http://stein.cshl.org/WWW/software/GD/). Instaleo antes de comear os passos abaixo. Satisfeitas as dependncias, baixe o Squid Graph de http://squidgraph.securlogic.com/files/stable/squidgraph3.1.tar.gz e faa a "operao padro": # wget http://squidgraph.securlogic.com/files/stable/squidgraph3.1.tar.gz # tar zxvf squidgraph3.1.tar.gz e depois: # mv squidgraph3.1 /usr/local/squidgraph # chmod +x /usr/local/squidgraph/bin/* Como um sistema feito em perl, no necessrio compilar.

12.3.2 Criando os grficos

25

Para gerar um grfico padro: # /usr/local/squidgraph/bin/squidgraph outputdir=/destino < /var/log/squid/access.log Para gerar um grfico acumulativo: # /usr/local/squidgraph/bin/squidgraph cumulative \ outputdir=/destino/ < /var/log/squid/access.log Para gerar um grfico somente de TCP: # /usr/local/squidgraph/bin/squidgraph tcponly \ outputdir=/destino/ < /var/log/squid/access.log Para gerar um grfico somente de UDP: # /usr/local/squidgraph/bin/squidgraph udponly \ outputdir=/destino/ /var/log/squid/access.log

Fig. 10. Exemplo de relatrio do Squid Graph

12.4 Implementao do IP Filter Firewall o nome dado ao dispositivo de rede, que tem por funo, regular o trfego de rede entre redes distintas e impedir a transmisso de dados nocivos ou no autorizados de uma rede a outra. Um filtro de pacotes um programa que analisa o cabealho (Header) dos pacotes, enquanto eles passam, e decide o que fazer com eles. O Netfilter um framework que foi inserido nos kernels 2.4 e 2.6 para realizar filtragem de pacotes. O programa associado ao netfilter o iptables. Principais caractersticas do Netfiler/Iptables

26

Filtro de pacotes STATELESS Filtro de pacotes STATEFULL

NAT/NAPT Arquitetura Flexvel e expansvel Firewall OPEN SOURCE (Eu posso mexer no Cdigo) O que eu posso fazer com o Netfilter/Iptables?
Implementar Firewalls de Internet baseados em filtragem STATELESS E

STATEFULL; Usar NAT para compartilhar o acesso a Internet; Implementar servio de Proxy transparente em conjunto com o Proxy SQUID; Pode ser utilizado com o pacote iproute2 para implementao de regras de roteamento avanado e controle de banda. 12.5 Regras em Nvel de Transporte Bloqueando acesso do ip 192.168.0.30 ao servidor DNS 201.6.0.108 # iptables -A FORWARD -p udp -s 192.168.0.30 d 201.6.0.108 dport 53 -j DROP Bloqueando acesso da Rede 192.168.0.0/24 ao servidor Web 200.221.2.45 # iptables -A FORWARD -p tcp -s 192.168.0.0/24 d 200.221.2.45 dport 80 -j DROP Bloqueando a entrada de pacotes de inicio de conexo no Host # iptables -A INPUT -p tcp ! --syn -j ACCEPT ou # iptables -A INPUT -p tcp --syn -j DROP 12.6 Regras em Nvel de Rede Bloqueando a Rede 192.168.0.0/24 de enviar pacotes ICMP Echo Request # iptables -A FORWARD -p icmp icmp-type 8 -s 192.168.0.0/24 -j DROP Bloqueando o endereo IP 192.168.0.35 de acessar o IP 200.221.2.45 # iptables -A FORWARD -s 192.168.0.35 d 200.221.2.45 -j DROP Priorizando o processamento do trfego de sada FTP data # iptables -t mangle -A POSTROUTING -p tcp sport 20 -j TOS set-tos 8 12.7 Conexo TCP & Conntrak Cliente envia pacote SYN Firewall com Netfilter classifica o pacote como NEW servidor responde com um SYN/ACK Firewall com Netfilter classifica o pacote como ESTABLISHED

12.8 Squid

27

Porque a escolha do Squid e no ISA Server? So conceitos especficos e que se adaptam a cada caso. Grandes instalaes, ISPs e empresas no preocupadas com que seus usurios vem ou fazem na internet devem preferir a transparncia, onde o usurio desconhece ou no se sente afetado (exceto pelo ganho de velocidade) pela presena de um cache. Por outro lado, empresas com uma poltica de segurana mais rgida ou rgos com informaes criticas,vo preferir a ostensividade. Capacidade de trabalhar com redes heterogneas: uma aplicao completa e capaz de fazer com que haja suporte para que todos os usurios de todas as plataformas que venham trabalhar com HTTP sejam bem atendidos. Simplicidade: Deixando um pouco de lado o usurio e focando no administrador, preciso ter conscincia de que um sistema bom um sistema fcil de administrar. O mais rpido, mais disponvel e mais abrangente sistema de caching totalmente intil se somente uma pessoa no mundo souber lidar com ele. Controle de Banda. Autenticao de Usurio. 12.9 Protocolos utilizados Rede e Aplicao. Em nossas pesquisas descobrimos que o Squid busca por comunicao TCP (Transmission Control Protocol) e ICP (Internet Cache Protocol) em portas especficas. O TCP usado para comunicao entre webservers e clientes, e o ICP para conversa entre servidores de cache. Para cada servidor (ou cliente), a configurao do Squid precisa fornecer uma nica porta sobre a qual o Squid ir enviar as requisies (TCP ou ICP) e ouvir as respostas. Como j dissemos anteriormente, o Squid trabalha apenas com FTP, gopher e HTTP. 12.10 MRTG (Multi Router Traffic Grapher) Criado em C e Perl, largamente utilizado, embora mais comumente utilizado para monitorar trfego em interfaces de rede, pode monitorar muitas outras variveis, tais como utilizao de HD, temperatura de hardware, uso de processador, etc,utiliza o SNMP para acessar as variveis de trfego nos dispositivos gerenciados e constri grficos que representam as variveis de trfego do dispositivo gerenciado, que so inseridos em pginas na internet. Os grficos podem ser de quatro tipos: dirio, semanal, mensal e anual.

Alm de "free", relativamente fcil de instalar e configurar, tanto em ambiente Linux como em ambiente Windows.

28

O MRTG uma excelente ferramenta de monitoramento, mas no se restringe apenas a ativos de rede, pode ser usado para monitorar qualquer equipamento com suporte a SNMP, alm de receber variveis de scripts e em conjunto com outras ferramentas, o limite a criatividade de quem o usa, podendo tambm ser combinado com outras ferramentas e para outros fins. 12.10.1 Instalao e Configurao do MRTG A instalao requer trs programas:

Descompactador de arquivos; Interpretador Perl (active Perl); O prprio MRTG.

A instalao do MRTG no requer a criao de uma pasta, pois a pasta ser criada por ele mesmo. Apenas ser necessria a criao de uma pasta para a publicao das pginas com os grficos criados pelo MRTG. Para compor um arquivo de configurao do MRTG existe uma ferramenta chamada cfgmaker que constri um arquivo cfg e os arquivos html dos itens monitorados. Um exemplo de linha de comando do cfgmaker : c:\mrtg\bin> perl cfgmaker public@ipaddress global WorkDir: d:\mrtghtml exchange.cfg, onde public a comunidade; ipaddress o endereo ip do dispositivo a ser gerenciado; global uma opo para gerar um arquivo de configurao padro; WorkDir o diretrio onde devero ser publicados os arquivos html gerados pelo MRTG; exchange.cfg o nome do arquivo de configurao que ser gerado por este comando. Criado o arquivo se faz necessrio execut-lo com a finalidade de atualizar os dados sobre o dispositivo, isto ser feito colocando-o na agenda de tarefas. Para isto necessrio criar um arquivo bat com o seguinte contedo: c:cd\mrtg\bin perl c:\mrtg\bin\mrtg c:\mrtg\bin\exchange.cfg Este arquivo deve ser colocado na agenda de tarefas para ser executado a intervalos fixos. Para a configurao necessria a anlise das opes oferecidas pelo MRTG e, principalmente, a determinao das variveis a serem monitoradas nos dispositivos gerenciados Algumas opes so: Bits: todos os nmeros sero expressos em bits ao invs de bytes. Supress: o padro do MRTG so quatro grficos, atravs desta opo podemos suprimir alguns destes grficos.

29

Unscaled: por padro, cada grfico possui a escala do eixo Y varivel, com a finalidade de melhorar a visualizao do valor atual, atravs desta opo isto no ocorrer mais. Algumas das variveis que podem ser monitoradas:

Quantidade de bits que entram e saem de uma interface; Quantidade de pacotes que entram e saem de uma interface; Utilizao de uma CPU; Estado do enlace fsico de uma interface; Utilizao da memria; Exemplos dos grficos: Daily graph

Weekly graph

30

Monthly graph

Yearly graph

31

13. SAMBA O samba ser utilizado em nosso trabalho para realizar um perfeito sincronismo e comunicao entre as regras estabelecidas no Proxy com nosso servio de diretrio, j que estes rodam sob plataformas diferentes. O Squid sobre Red Hat e o AD, evidentemente sobre Windows Server 2008. A seguir listaremos a forma como foi realizada esta configurao. smb_auth

O smb_auth uma tima opo para quem tem uma rede um pouco maior ou trabalha com ambientes Windows Client/Server. Devido a sua integrao com o PDC, facilita muito a vida do administrador. Ressaltando que necessrio que o samba esteja instalado na mquina do Squid para utilizar essa opo. Como nosso projeto foca numa necessidade de que a infraestutura tenha suporte para abrigar um aumento considervel de colaboradores em um curto espao de tempo, esta a melhor opo a ser apresentada. 13.1 Instalao do smb_auth Baixe o smb_auth em http://www.hacom.nl/~richard/software/smb_auth0.05.tar.gz # tar zxvf smb_auth0.05.tar.gz # cd smb_auth0.05 Edite o arquivo Makefile e tenha certeza de que os parmetros SAMBAPREFIX e INSTALLBIN esto corretos. # make # make install Edite o arquivo Makefile e tenha certeza de que os parmetros SAMBAPREFIX e INSTALLBIN esto corretos. # make # make install 13.2 Configurando o PDC Para controlar o acesso por usurios e grupos, o smb_auth l o arquivo \netlogon\proxyauth em um dos controladores de domnio previamente informado. Se a leitura desse arquivo retorna um "allow", ento o acesso liberado. Caso contrrio, negado. Criamos um arquivo chamado proxyauth no compartilhamento NETLOGON de seu PDC (d preferncia ao primrio). Esse arquivo deve conter unicamente a palavra "allow" (sem as aspas) e d permisso de leitura para os grupos e usurios que deseja permitir acesso.

13.3 Configurando squid.conf

32

Adicione as seguintes linhas: auth_param basic program /usr/local/bin/smb_auth W DOMINIO U 192.168.5.24 auth_param basic children 5 auth_param basic realm Digite seu Login Onde: DOMINIO o domnio do PDC e 192.168.5.24 o IP do mesmo. 14. SLA Um acordo de nvel de servio (service level agreement -- SLA) um contrato entre um fornecedor de servios de TI e um cliente especificando, em geral em termos mensurveis, quais servios o fornecedor vai prestar. Nveis de servios so definidos no inicio de qualquer elao de outsourcing e usados para mensurar e monitorar o desempenho de um fornecedor. Muitas vezes, um cliente pode cobrar multa de um outsourcer se determinados SLAs no forem atingidos. Empregado criteriosamente, SLA eficaz para que o fornecedor trabalho de maneira correta e apropriada. Mas nenhum CIO quer se encarregar de aplicar e recolher multas. Servio ruim de um fornecedor de outsourcing, mesmo com grande desconto, continua sendo servio ruim e pode acarretar problemas maiores. melhor despender a energia para descobrir quais SLAs esto sendo descumpridos e se empenhar em resolver a situao.

Disponibilidade. Ex.: durante um ano, o sistema poder ficar indisponvel no mximo 8,7 horas (99,9% de disponibilidade). Este item poder ser dividido entre paradas planejadas (para manutenes peridicas) e paradas no planejadas (erros, problemas, etc.). Incidncia de erros. Ex.: durante um ano, o sistema no dever registrar mais de 1 erro a cada 1.000.000 de operaes processadas. Performance. Ex.: o sistema dever processar a folha de pagamento em no mximo 2 segundos a cada 10 servidores processados. Prioridades. Ex.: solicitaes classificadas como "urgentes" devero ser resolvidas em at 8 horas, solicitaes "importantes" sero resolvidas em at 24 horas, solicitaes "rotineiras" sero resolvidas em at 72 horas. SLA e indicadores

O cumprimento de um SLA est atrelado a indicadores automatizados para coleta e monitoramento dos itens do contrato. Estes indicadores devem incluir meios de segurana e auditoria que agreguem confiabilidade ao indicador. Estes indicadores devem ser disponibilizados tanto para o cliente quanto para o fornecedor do contrato, ainda, os mecanismos de monitoramento dos indicadores podem estar implantados tanto no cliente quanto no fornecedor

33

Os casos de aplicao do SLA Service Desk:o custo, o incidente e a medida da qualidade. Rede:o debito a disponibilidade Aplicaes:os tempos de resposta e integridade, a disponibilidade e a segurana. Desdobrar o SLA para fornecedores e equipes internas Negociar o compromisso com os fornecedores Aderir as equipes de suporte

15. CONCLUSO

34

Ao fim de tudo que j foi dito, explanado e discutido o que verdadeiramente fica evidente que sem uma topologia definida, sem um escopo claro, um projeto por mais bem intencionado que seja, no ser concludo da forma como da maneira desejada. Acreditamos que com o presente projeto as necessidades estabelecidas sero satisfatoriamente atendidas. Com medidas simples, porm eficazes demonstramos que possvel se gerenciar uma rede heterognea com todas suas peculiaridades e ainda prepar-la para uma verticalizao em seu crescimento a qual possa atingir um aumento de at 50% nos prximos 5 anos. Conforme o SLA arregimentado entre as partes a disponibilizao de recursos e o suporte para eventualidades que vierem a ocorrer esto respaldadas. Desta forma os conhecimentos adquiridos durante o decorrer deste semestre e as novas habilidades adquiridas durante o desenvolvimento deste projeto foram aplicadas de forma satisfatria para a realizao deste trabalho.

16. REFERNCIAS BIBLIOGRFICAS

35

Redes, Guia Prtico. Autor: Carlos E. Morimoto Pginas: 560 Editora: GDH Press e Sul Editores ISBN: 978-85-99593-09-7 http://msdn.microsoft.com http://pt.wikipedia.org/wiki http://idgnow.com.br http://verysign.com www.netfilter.org Redes de Computadores e a Internet, uma nova abordagem James F Kurose Keith W Ross www.frozentux.net www.ietf.org www.google.com.br