Escolar Documentos
Profissional Documentos
Cultura Documentos
Formacao de Suporte Tecnico Proinfo Esr
Formacao de Suporte Tecnico Proinfo Esr
suporte tcnico
PROINFO
Segurana de redes, com cursos de anlise forense e engenharia reversa de malware. Arquitetura e protocolos de rede TCP-IP. Governana de TI com cursos de
ITIL e COBIT.
esr.rnp.br
Formao de
suporte tcnico
PROINFO
A marca FSC a garantia de que a madeira utilizada na fabricao do papel deste livro provm de florestas que foram gerenciadas de maneira ambientalmente correta, socialmente justa e economicamente vivel, alm de outras fontes de origem controlada.
Formao de
suporte tcnico
PROINFO
Luiz Carlos Lobato Lobo de Medeiros Wendel Soares Rio de Janeiro Escola Superior de Redes 2010
Copyright 2010, Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simes Diretor de Servios e Solues Jos Luiz Ribeiro Filho Escola Superior de Redes Coordenao Luiz Coelho Coordenao Acadmica Derlina Peanha Moreira Miranda Coordenao Acadmica de Redes Luiz Carlos Lobato Lobo de Medeiros Coordenao Acadmica de Sistemas Sergio Ricardo Alves de Souza Equipe ESR (em ordem alfabtica) Clia Maciel, Cristiane Oliveira, Elimria Barbosa, Jacomo Piccolini, Lourdes Soncin, Luciana Batista, Magno Paiva, Renato Duarte e Sidney Lucena Reviso Pedro Sangirardi Capa, projeto visual e diagramao Tecnodesign Verso 1.0.1 Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuio Escola Superior de Redes Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) M488a Medeiros, Luiz Carlos Lobato Lobo de.
Formao de suporte tcnico Proinfo / Luiz Carlos Lobato Lobo de Medeiros, Wendel Soares; colaborao de Sergio Ricardo A. de Souza. Rio de Janeiro: Escola Superior de Redes, 2010. 248 p.: il. ; 28cm. (Projetos Especiais) Inclui referncias. ISBN 978-85-63630-00-1
1. Software livre. 2. Redes de computadores. 3. Linux Educacional (sistema operacional de computador). 4. Suporte tcnico de computadores. 5. Programa Nacional de Tecnologia Educacional (Brasil). I. Soares, Wendel. II. Ttulo. CDD: 005.8
Sumrio
Prefcio. . . . . . . . . . . . . . . . . . . . . . . . . . . vii Captulo 1 O Proinfo integrado. . . . . . . . . . . . . . . . . . . . . . . 1 Histrico . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Programa banda larga. . . . . . . . . . . . . . . . . . . . . 3 Tecnologia utilizada . . . . . . . . . . . . . . . . . . . . . . 3 Curso de formao de suporte tcnico . . . . . . . . . . . . . . . 4 Suporte tcnico. . . . . . . . . . . . . . . . . . . . . . . 5 Service Desk Help Desk . . . . . . . . . . . . . . . . . . . 6 Gerenciamento de configurao . . . . . . . . . . . . . . . . . . 6 Topologia de Service Desk. . . . . . . . . . . . . . . . . . . . 7 Cargos de Service Desk. . . . . . . . . . . . . . . . . . . . . 8 Responsabilidades da rea de Service Desk . . . . . . . . . . . . . 8 Suporte local. . . . . . . . . . . . . . . . . . . . . . . . 9 Captulo 2 Linux Educacional. . . . . . . . . . . . . . . . . . . . . . . Introduo. . . . . . . . . . . . . . . . . . . . . . . . . Histrico do Linux . . . . . . . . . . . . . . . . . . . . . . Linux Educacional (LE) . . . . . . . . . . . . . . . . . . . . Arquitetura do Linux . . . . . . . . . . . . . . . . . . . . . Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de memria. . . . . . . . . . . . . . . . . . . Comandos Linux . . . . . . . . . . . . . . . . . . . . . . Captulo 3 Administrao do Linux . . . . Usurios e grupos . . . . . Administrao de usurios . . Sistema de arquivos . . . . Estrutura de diretrios. . . . Atualizaes do Linux (Debian
11 11 12 13 16 16 19 20
. . . . . . . . . . . . . . . . . . . . Package) .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
33 33 34 39 41 43
iii
Comando APT . . . . . . . . . . . . . . . . . . . . . . . Gerenciador Adept. . . . . . . . . . . . . . . . . . . . . . Aptitude . . . . . . . . . . . . . . . . . . . . . . . . . A barra Edubar . . . . . . . . . . . . . . . . . . . . . . . Captulo 4 Redes de computadores. . . . . . . . . . . . . . . . . . . . . Introduo a redes. . . . . . . . . . . . . . . . . . . . . . Protocolo TCP/IP . . . . . . . . . . . . . . . . . . . . . . Camada de aplicao. . . . . . . . . . . . . . . . . . . . . Camada de transporte . . . . . . . . . . . . . . . . . . . . Camada de rede. . . . . . . . . . . . . . . . . . . . . . . Camada de enlace. . . . . . . . . . . . . . . . . . . . . . Encapsulamento . . . . . . . . . . . . . . . . . . . . . . Resumo . . . . . . . . . . . . . . . . . . . . . . . . . Captulo 5 Endereamento IP. . . . . . . . . . . . . . . . . . . . . . . Classes de endereos IP. . . . . . . . . . . . . . . . . . . . Endereos de rede e broadcast . . . . . . . . . . . . . . . . . Interface e endereo de loopback. . . . . . . . . . . . . . . . . Mscaras de rede. . . . . . . . . . . . . . . . . . . . . . Encaminhamento de pacotes IP. . . . . . . . . . . . . . . . . Comando ping . . . . . . . . . . . . . . . . . . . . . . . Entrega indireta. . . . . . . . . . . . . . . . . . . . . . . Comando traceroute . . . . . . . . . . . . . . . . . . . . . Rota default. . . . . . . . . . . . . . . . . . . . . . . . Configurao de interfaces . . . . . . . . . . . . . . . . . . .
44 46 48 50
53 53 55 58 59 60 61 62 65
69 71 72 74 74 75 78 79 84 88 91
Captulo 6 Redes locais . . . . . . . . . . . . . . . . . . . . . . . . . 99 Topologia de redes com fio . . . . . . . . . . . . . . . . . . . 99 Redes sem fio (wireless). . . . . . . . . . . . . . . . . . . 103 WLAN. . . . . . . . . . . . . . . . . . . . . . . . . . 106 Segurana em redes sem fio. . . . . . . . . . . . . . . . . . 108 WEP (Wired Equivalent Privacy). . . . . . . . . . . . . . . . . 109 WPA (Wi-Fi Protected Access). . . . . . . . . . . . . . . . . 111 Filtragem de endereos MAC . . . . . . . . . . . . . . . . . . 111 Captulo 7 Network Address Translation (NAT) . . . . . . . . . . . . . . . . . Endereos privados . . . . . . . . . . . . . . . . . . . . . Network Address Translation (NAT) . . . . . . . . . . . . . . . Roteador NAT . . . . . . . . . . . . . . . . . . . . . . . Vantagens e desvantagens da NAT . . . . . . . . . . . . . . . .
iv
Captulo 8 Roteamento. . . . . . . . . . . . . . . . . . . . . . . . . Roteamento IP . . . . . . . . . . . . . . . . . . . . . . . Protocolos de roteamento . . . . . . . . . . . . . . . . . . . Modelo de roteamento . . . . . . . . . . . . . . . . . . . . Roteamento esttico . . . . . . . . . . . . . . . . . . . . . Roteamento dinmico. . . . . . . . . . . . . . . . . . . . Roteamento hbrido . . . . . . . . . . . . . . . . . . . . . Captulo 9 Segurana. . . . . . . . . . . . . . . . . . . . . . . . . Introduo a segurana de redes. . . . . . . . . . . . . . . . Autenticao de usurios . . . . . . . . . . . . . . . . . . . Senhas seguras. . . . . . . . . . . . . . . . . . . . . . Senha de root . . . . . . . . . . . . . . . . . . . . . . . Vrus. . . . . . . . . . . . . . . . . . . . . . . . . . Worms . . . . . . . . . . . . . . . . . . . . . . . . . Cavalo de troia (Trojan horse) . . . . . . . . . . . . . . . . . Spam. . . . . . . . . . . . . . . . . . . . . . . . . . Segurana dos dados. . . . . . . . . . . . . . . . . . . . Backup com tar. . . . . . . . . . . . . . . . . . . . . . Backup no ambiente grfico . . . . . . . . . . . . . . . . . . Arquivos de registros (logs). . . . . . . . . . . . . . . . . . Ferramentas de segurana. . . . . . . . . . . . . . . . . . . Segurana na internet. . . . . . . . . . . . . . . . . . . . Captulo 10 Firewall . . . . . . . Packet Filter. . . . Stateful firewall . . . Bridge stateful . . . Proxy . . . . . . SSH (Secure Shell). . OpenSSH . . . . . Conexo segura a um
139 139 143 145 145 146 147 147 148 149 149 151 152 153 156
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . host remoto .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
. . . . . . . .
Captulo 11 Laboratrio Proinfo . . . . . . . . . . . . . . . . . . . . . . Geraes Proinfo . . . . . . . . . . . . . . . . . . . . . . Soluo Multiterminal. . . . . . . . . . . . . . . . . . . . Soluo Proinfo Rural 2007/2008 . . . . . . . . . . . . . . . . Soluo Proinfo Urbano 2007/2008 . . . . . . . . . . . . . . . Soluo Proinfo Rural 2008/2009 . . . . . . . . . . . . . . . . Soluo Proinfo Urbano 2008/2009 . . . . . . . . . . . . . . . Rede eltrica. . . . . . . . . . . . . . . . . . . . . . . Aterramento. . . . . . . . . . . . . . . . . . . . . . . . Instalao do laboratrio. . . . . . . . . . . . . . . . . . .
169 169 170 172 173 174 175 178 179 181
v
ProinfoData Monitoramento automtico dos laboratrios Proinfo . . . . . 183 Resolvendo problemas . . . . . . . . . . . . . . . . . . . . 186 Captulo 12 Impressoras. . . . . . . . . Instalao via CUPS . . . . . Compartilhando a impressora . . Instalao via KDE. . . . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
Captulo 13 Roteador sem fio. . . . . . . . . . . . . . . . . . . . . . . Descrio do equipamento . . . . . . . . . . . . . . . . . . Configurao do roteador . . . . . . . . . . . . . . . . . . . Configurando a rede sem fio. . . . . . . . . . . . . . . . . . Conexo com a internet . . . . . . . . . . . . . . . . . . . Configurao das estaes de trabalho via rede sem fio. . . . . . . . Resoluo de problemas. . . . . . . . . . . . . . . . . . .
Caderno de atividades. . . . . . . . . . . . . . . . . . . . . Roteiro 1 Configurao bsica do roteador D-Link . . . . . . . . . . Roteiro 2 Laboratrio Proinfo . . . . . . . . . . . . . . . . . Roteiro 3 Separao entre as redes Administrativa e Aluno . . . . . . Roteiro 4 Exerccios. . . . . . . . . . . . . . . . . . . . Roteiro 5 Configurao de SSH (Secure Shell) . . . . . . . . . . . Roteiro 6 Configurao avanada do roteador D-Link. . . . . . . . . Roteiro 7 Usando Linux . . . . . . . . . . . . . . . . . . . Roteiro 8 iTALC no Linux Educacional 3.0. . . . . . . . . . . .
Bibliografia. . . . . . . . . . . . . . . . . . . . . . . . .
233
vi
Prefcio
Escola Superior de Redes
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). Sua misso fundamental realizar a capacitao tcnica do corpo funcional das organizaes usurias da RNP para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC. A ESR possui experincia em iniciativas de cooperao tcnica e vem colaborando com o planejamento e execuo das aes de capacitao necessrias no contexto doPrograma Nacional de Tecnologia Educacional (Proinfo). Em 2009 foi identificada a necessidade de se oferecer uma complementao ao programa de capacitao dos suportes tcnicos dos laboratrios do Proinfo. Iniciamos imediatamente a elaborao e desenvolvimento deste contedo, destinado capacitao da mo de obra tcnica responsvel pela operao dos laboratrios das escolas beneficiadas pelo projeto. A capacitao desenvolvida inclui este livro, as apresentaes para o instrutor replicar o contedo e os arquivos necessrios para a realizao das atividades. Todo este contedo est disponvel na Sala de Leitura em esr.rnp.br. De forma a complementar esta ao, est prevista a criao de um ambiente colaborativo (ProinfoTec) para que os profissionais responsveis pela operao dos laboratrios Proinfo possam dispor de um portal, em ambiente web 2.0, para compartilhar informaes de teor tcnico-operacional relacionadas ao funcionamento adequado dos laboratrios, incluindo seus equipamentos e softwares atuais e futuros.
Sobre o livro
O servio de suporte tcnico, na rea de informtica, o calcanhar de Aquiles das empresas usurias de TI. Sem um suporte gil e de qualidade, o uso da informtica, ao invs de facilitar, pode dificultar a vida dos usurios. O material disponibilizado nesta obra tem como objetivo suprir uma demanda surgida a partir da implantao do Proinfo, que est informatizando todas as escolas pblicas da educao bsica,
vii
gerando com isto a necessidade da formao de pessoal local para realizar no somente a manuteno da plataforma computacional, como tambm apoiar professores no uso das ferramentas de TIC. A Escola Superior de Redes tem orgulho da sua participao no programa atravs desta publicao.
A quem se destina
Este livro se destina, primariamente, aos tcnicos dos Ncleos de Tecnologia Educacional para ser utilizado na formao do pessoal que far o suporte local dos laboratrios escolares do Proinfo. Poder ser usado tambm por alunos e professores interessados em participar dessa atividade.
Organizao do livro
O livro est organizado em partes bem definidas para facilitar o acesso ao contedo que o leitor desejar. O captulo 1 apresenta o histrico do Proinfo e um modelo de estruturao do suporte tcnico. Os captulos 2 e 3 apresentam um breve histrico do Linux, os comandos mais utilizados e a administrao bsica do Linux Educacional, com atividades prticas para fixao do contedo. Os captulos 4 a 8 cobrem o conhecimento de redes de computadores, com teoria e atividades prticas sobre protocolo TCP/IP, endereamento IP, redes com e sem fio, roteamento, segurana e uma parte especfica sobre redes de computadores no ambiente Proinfo. Os captulos 9 e 10 tratam da segurana bsica em ambientes computacionais, apresentando assuntos como senhas seguras, ameaas da internet, a importncia e a maneira adequada de fazer backup, o uso de firewall, proxy e SSH acompanhados de atividades prticas. Os captulos 11 a 13 apresentam os equipamentos do laboratrio Proinfo, incluindo o histrico dos equipamentos, a instalao do laboratrio e a configurao dos computadores e impressoras, alm da configurao do roteador sem fio fornecido com o laboratrio. O Caderno de atividades contm oito roteiros de atividades prticas a serem executadas diretamente nas mquinas dos laboratrios do Proinfo. Todas as atividades so acompanhadas das solues.
viii
\\Texto
puro Usado no texto, opes de menu e auxiliares de teclado (Alt e Ctrl). Quando em ttulos e pargrafos de texto, indica estrangeirismos, comandos e suas opes, nomes de arquivos e referncias a outras sees ou bibliografias. Quando em largura constante, denota os parmetros que sero indicados pelo usurio.
\\Itlico
\\Texto
em azul Indica URLs acessveis na internet ou no ambiente do laboratrio. Podem ser endereos de pginas, locais de rede ou endereos eletrnicos. em laranja Sempre que constar nos pargrafos de texto indica uma entrada de glossrio, cuja definio deve ser vista na lateral do texto, prxima ao termo. Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada de comandos. Quando utilizados para indicar comandos que sero digitados pelo usurio so grifados em negrito e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
\\Texto
\\Largura constante
A separao entre o que o usurio digita e o retorno do computador indicada pelo caractere , em aluso tecla Enter. Quando houver parmetros opcionais em exemplos, estes podem entrar entre colchetes [ ]. Pargrafo de texto com fundo laranja e cone.
\\
Representa notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
\\Pargrafo
Permisso de uso
permitida a reproduo desta obra, mesmo parcial, por qualquer pessoa ligada escola pblica ou ao MEC, sem a autorizao prvia do autor ou da Editora. Os demais usos so proibidos. O contedo do livro pode ser encontrado na ntegra em esr.rnp.br/leitura/proinfo. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: MEDEIROS, L. C. Formao de suporte tcnico Proinfo. Rio de Janeiro: Escola Superior de Redes, 2010.
Prefcio ix
Convenes utilizadas
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br
Reconhecimentos
Esta publicao no teria sido possvel sem a colaborao e apoio da Secretaria de Ensino a Distncia (SEED) do Ministrio da Educao (MEC). Agradecemos a equipe do projeto: Graciela Martins, Gorgnio Arajo e John Madeira. Agradecemos ao Centro em Experimentao de Tecnologias Educacionais (CETE) do MEC, pelo suporte na concepo do curso, no levantamento do histrico do Linux Educacional e dos laboratrios, alm de acesso aos equipamentos para a elaborao das atividades. Agradecemos a ajuda de Sonia Regina Burnier de Souza nas dicas para a edio desta obra e na elaborao da ficha catalogrfica.
Sobre os autores
Luiz Carlos Lobato Lobo de Medeiros formado em Engenharia Eletrnica pelo ITA, com ps-graduao em Negcios e Servios de Telecomunicaes pelo CEFET-RJ; Coordenador do Curso de Tecnologia em Redes de Computadores da Faculdade Rogacionista (DF). Colaborador da Escola Superior de Redes desde 2008, tendo elaborado material de treinamento e lecionado diversos cursos na rea de Redes. Atualmente Coordenador Acadmico de Redes da ESR. Wendel Soares formado em Segurana da Informao pela Faculdade Rogacionista, cursa ps-graduao em Redes de Computadores pela Unio Educacional de Braslia (UNEB). Administrador de redes do Ministrio da Defesa do Exrcito Brasileiro e Consultor em Segurana de TI. Colaborador da Escola Superior de Redes desde 2008, tendo lecionado cursos de Linux e Segurana de Redes e atuado como monitor em outros cursos. Sergio Ricardo Alves de Souza, com a experincia acumulada em mais de 30 anos trabalhando como Suporte de Sistemas e atualmente Coordenador Acadmico de Sistemas da ESR, participou da elaborao desta publicao coordenando e adaptando o desenvolvimento do contedo.
1
O Proinfo integrado
Neste primeiro captulo seremos apresentados ao Programa Nacional de Tecnologia Educacional Proinfo. Conheceremos o suporte tcnico e as estruturas de suporte disponveis para o Proinfo.
Histrico
O computador foi introduzido na educao brasileira nos anos 50, especialmente por meio de universidades pblicas. Em primeiro lugar, como ferramenta auxiliar da pesquisa tcnico-cientfica e, a partir da dcada de 60, na organizao administrativa do ensino superior. Nesse perodo, diversos projetos desenvolvidos no chegaram ao sistema pblico de ensino fundamental e mdio, permanecendo no campo experimental em universidades, secretarias de educao e escolas tcnicas. De fato, com nmeros significativos, o computador s chegou escola pblica com o Programa Nacional de Tecnologia Educacional (Proinfo). O Proinfo um programa educacional criado pela Portaria n 522/MEC, de 9 de abril de 1997, e posteriormente regulamentado pelo Decreto n 6300 de 12 de dezembro de 2007, para promover o uso pedaggico de Tecnologias da Informao e Comunicao (TIC) na rede pblica de ensino fundamental e mdio. O Proinfo desenvolvido pela Secretaria de Educao a Distncia (SEED) do Ministrio da Educao (MEC), em parceria com os governos estaduais e alguns municipais. Seu principal objetivo a introduo das Novas Tecnologias de Informao e Comunicao (NTIC) na escola pblica, como ferramenta de apoio ao processo de ensino-aprendizagem, caracterizando-se como um programa de educao. Trs documentos bsicos orientam o Proinfo:
\\Diretrizes
do Proinfo, estabelecidas pelo MEC e pelo Conselho Nacional de Secretrios Estaduais de Educao (CONSED), em julho de 1997; Plano Estadual de Informtica na Educao estabelece objetivos para a introduo das NTIC na rede pblica de ensino, sendo subordinado ao
1
\\O
planejamento pedaggico geral da educao na unidade federada. Estabelece ainda critrios para a participao de escolas no programa, incluindo diretrizes para elaborao de projetos pedaggicos com uso de NTIC;
\\O
Projeto Estadual de Seleo e Capacitao de Recursos Humanos para o Proinfo, que apresenta normas para seleo e capacitao de recursos humanos para o programa (professores e tcnicos).
O MEC compra, distribui e instala laboratrios de informtica nas escolas pblicas de educao bsica. Em contrapartida, os governos locais (prefeituras e governos estaduais) devem providenciar a infraestrutura das escolas, indispensvel para que elas recebam os computadores. As diretrizes do programa preveem que s recebero computadores e respectivos perifricos as escolas que tenham um projeto de uso pedaggico das NTIC, aprovado pela Comisso Estadual de Informtica na Educao. Alm disso precisam dispor de:
\\Recursos \\Ambiente
adequado para a instalao de equipamentos, que tenha segurana, alimentao eltrica de qualidade e um mnimo de conforto para alunos e professores.
O Proinfo tem a preparao de recursos humanos (professores, especialmente) como a principal condio de sucesso. Professores so preparados em dois nveis: professoresmultiplicadores e professores de escolas. Tambm est sendo desenvolvido o programa de treinamento de tcnicos de suporte. Um professor-multiplicador um especialista em capacitao de professores de escolas para o uso da telemtica em sala de aula: adota-se no programa, portanto, o princpio de professores trabalhando na capacitao das universidades brasileiras, pblicas ou privadas, escolhidas em funo da excelncia na utilizao de tecnologia na educao. Os multiplicadores capacitam os professores de escolas em centros de excelncia ditos Ncleos de Tecnologia Educacional (NTE). Um NTE tem uma estrutura-padro para o Brasil e uma estratgia para descentralizar o Proinfo. Suas principais funes so:
\\Capacitao \\Suporte
pedaggico e tcnico a escolas, com a elaborao de projetos de uso pedaggico da telemtica, com acompanhamento, suporte a professores e tcnicos, entre outros;
\\Pesquisa.
O Proinfo Integrado um programa de formao voltado para o uso didticopedaggico das Tecnologias da Informao e Comunicao (TIC) no cotidiano escolar, articulado distribuio dos equipamentos nas escolas e aos contedos e recursos multimdia e digitais oferecidos pelo Portal do Professor, pela TV Escola e DVD Escola, pelo Domnio Pblico e pelo Banco Internacional de Objetos Educacionais. So ofertados os seguintes cursos:
\\Introduo
Educao Digital (40h) Curso bsico para professores que no tm o domnio mnimo no manejo de computadores e da internet;
\\Elaborao
\\Especializao:
Como parte importante da estratgia de consolidao do Proinfo, o Centro de Experimentao em Tecnologia Educacional (CETE) foi concebido para apoiar o processo de incorporao de tecnologia educacional pelas escolas e para ser um centro de difuso e discusso, em rede, de experincias e conhecimento sobre novas tecnologias aplicveis educao. O CETE tambm o elemento de contato brasileiro com iniciativas internacionais vinculadas tecnologia educacional e educao a distncia.
Tecnologia utilizada
A tecnologia no est determinada no Termo Aditivo assinado pelas operadoras. Definiu-se que inicialmente seja utilizado o servio ADSL (Asymmetric Digital Subscriber Line). Em situaes com inviabilidade tcnica para a utilizao de rede ADSL, as operadoras podero utilizar qualquer outra tecnologia, desde que sejam mantidos os ndices acordados no Termo Aditivo, salvo na utilizao de satlite, quando os ndices correspondero, no mnimo, a um quarto das velocidades de 1 Mbps de download e 256 Mbps de upload. As conexes tero velocidade igual ou superior a 1 (um) Megabit por segundo (Mbps) no sentido Rede-Escola (download) e pelo menos um quarto dessa velocidade ofertada no sentido Escola-Rede (upload). A partir de 2011, a velocidade de conexo para download ser obrigatoriamente ampliada para o mnimo de 2 Mbps, ou a maior velocidade comercial disseminada e disponvel oferecida pela operadora na regio da escola. Pelo acordo, as operadoras precisam disponibilizar as conexes com servio de IP fixo, que permite s escolas a criao e manuteno de servidores fixos na internet, ou seja,
3
\\Tecnologias
os computadores das escolas podero hospedar sites e domnios, disponibilizando informaes e servios na rede, como servidor de e-mail, download de arquivos etc. Como no est descrito no Termo Aditivo o nmero de endereos IP fixos que sero disponibilizados, razovel supor que sero em nmero suficiente apenas para o(s) servidor(es) que oferecer(o) servios internet, considerando a escassez de endereos IP de 4 octetos. Assim, as estaes dos alunos provavelmente utilizaro outra forma de endereamento, que descreveremos no Captulo 7.
\\Identificar \\Auxiliar
Pblico-alvo:
\\Aluno
monitor;
\\Professores; \\Tcnicos
MEC SEED DPCEAD Formao RNP/ESR Avaliao Capacitao para suporte rea tcnica Infraestrutura Rede Sistemas Segurana Hardware Certificao Multiplicadores
Suporte tcnico
Quando um cliente ou usurio tem algum problema tcnico, reclamao ou incidente a relatar, busca respostas e solues rapidamente, pois o mais importante que o seu problema seja resolvido. Recorrer a uma organizao ou departamento, passando por vrias pessoas at encontrar a certa para relatar o ocorrido um processo frustrante, que gera desgaste. Para atender ao cliente e aos objetivos comerciais da corporao, muitas organizaes tm implementado um ponto central de contato para uso do cliente ou usurio. Esta funo conhecida como Service Desk. A partir de sculo XX, ocorreu a modificao do conceito de Help Desk para Service Desk. O Service Desk o nico ponto de contato entre os prestadores de servios e usurios no dia a dia. tambm um ponto focal para fazer pedidos de servios e comunicar incidentes. O Service Desk tem a obrigao de manter os usurios informados dos servios, eventos, aes e oportunidades passveis de impactar a capacidade de execuo de suas atividades dirias. O Service Desk a interface amigvel do usurio com os benefcios que a Tecnologia da Informao traz aos negcios. Ele responsvel pela primeira impresso que a rea de TI dar aos seus usurios quando houver necessidade de interao. O Service Desk atua estrategicamente, como uma funo para identificar e diminuir o custo de infraestrutura; apoia a integrao e a gesto de mudanas em toda a empresa; reduz os custos pela utilizao eficiente dos recursos e tecnologias; auxilia a obter a satisfao do cliente e a ampliao das oportunidades de negcio. Para muitos clientes, o Service Desk provavelmente a funo mais importante em uma organizao, com um escopo de servio mais abrangente que o do Help Desk tradicional. Considerado um novo conceito de prestao de servio de suporte, o Service Desk segue as tendncias inovadoras e as melhores prticas do mercado. Os processos e servios so reprojetados de forma a assegurar qualidade e a satisfao do cliente, atendendo s necessidades de cada empresa e acompanhando metodologias de gesto de servios de TI, como ITIL (Information Tecnology Infrastructure Library) e HDI (Help Desk Institute).
5
Gerenciamento de configurao
O Service Desk precisar de informaes sobre a infraestrutura de TI (aplicaes, servidores etc) para realizar adequadamente o seu trabalho, de acordo com as orientaes acima. Essas informaes constituem a atividade normalmente denominada de Gerenciamento de Configurao, que abrange identificao, registro e notificao dos componentes de TI, incluindo as suas verses, os elementos constitutivos e relacionamentos. Dentre os itens que esto sob o controle do Gerenciamento de Configurao esto o hardware, o software e a documentao associada. Este processo uma espcie de inventrio de todos os componentes do ambiente, sendo responsvel por documentar detalhadamente todos os componentes da infraestrutura, incluindo hardwares e softwares com suas respectivas caractersticas. Assim, ao realizar qualquer processo de mudana, sua anlise de impacto e risco ser muito mais fcil, gil e transparente. Serve como base de apoio para os processos de Gerenciamento de Incidentes executados pelo Service Desk, fornecendo dados e informaes. Para isto necessrio que se tenha algum banco de dados para Gerenciamento de Configurao (CMDB - Configuration Management Database), onde so armazenadas todas as informaes relacionadas configurao dos componentes da infraestrutura. A figura a seguir exemplifica a estrutura do Gerenciamento de Configurao.
Infraestrutura
Hardware
Software
Rede
Documentao
Sistema 1
Sistema 2
Aplicao 1
Aplicao 2
Mdulo 1
Mdulo 2
Base de conhecimento
Analista
Ao detectar o incidente, o usurio (cliente) entra em contato com o Service Desk de 1 Nvel e reporta o problema ao analista. No primeiro contato, o analista registra a chamada e comea a dar o devido tratamento, auxiliando o cliente via acesso remoto. Se o problema precisar ser resolvido localmente, o analista de suporte remoto encaminhar o chamado para o analista de suporte local, que dever se dirigir at o local em que o usurio se encontra. Se o analista de suporte remoto ou o analista de suporte local detectar que o problema que est ocorrendo no est ao seu alcance para soluo, o chamado deve ser transferido para o analista de 2 Nvel.
7
Depois de detectado o problema e encontrada a sua soluo, necessrio verificar se o problema e a soluo encontrada esto documentados na Base de Conhecimento. Caso no estejam, o analista responsvel pela soluo do problema dever fazer a documentao e a sua insero na Base de Conhecimento. Este processo de documentao e insero deve ser feito tanto se o problema for resolvido pelo analista do suporte remoto, quanto pelo suporte local ou de 2 Nvel.
estudantes que esto iniciando a vida profissional, com uma espcie de aprendizado inicial; de 1 Nvel responsvel por atender as chamadas, resolv-las ou direcion-las para o setor responsvel; Pleno trata incidentes mais especficos de acordo com a sua rea de atuao, uma espcie de segundo nvel; Snior responsvel por resolver incidentes de maior complexidade, cargo acima do Analista Pleno; responsvel por gerenciar plataformas e detectar a indisponibilidade antes que ela acontea; dependendo da corporao, o Service Desk necessitar de supervisores, gerentes, coordenadores, prestadores de servios etc.
\\Analista
\\Analista
\\Analista
\\Especialista
\\Outros
O nvel 1 responde a todas as chamadas relatadas para o suporte de TI e Telecom. A ligao dever ser respondida por um tcnico que tentar monitorar o incidente com o usurio, e se o cliente permitir, tentar a soluo do incidente atravs do acesso remoto ao computador do usurio. Se o incidente no for resolvido durante a ligao, o tcnico dever encaminhar o incidente para o nvel 2 de suporte. O nvel 1 tambm monitora a infraestrutura e equipamentos de TI, tais como: fornecimento de gua, energia, ar-condicionado e luz, alm dos sistemas de TI, que devero ser baseados em procedimentos para responder aos eventos do nvel 1, podendo ento a Central de Servios chamar o responsvel pelo sistema alarmante. A soluo pode ser encontrada internamente, por parte da equipe de TI do cliente que contrata os servios, ou at mesmo por um fornecedor contratado pela empresa ou pelo cliente.
O nvel 2 solicitado pelo nvel 1 para soluo de incidentes no local de trabalho do cliente. O tcnico dever verificar o computador do usurio e tentar resolver seu incidente; se o incidente for causado por defeito de hardware, o computador dever ser substitudo e a operao normal de todos os sistemas dever ser restaurada.
\\Nvel
O nvel 3 composto por tcnicos especializados nas reas de servidores, telecomunicaes, infraestrutura, cabeamento, manuteno de aplicaes, banco de dados, rede e controle de acesso.
Suporte local
Procure se informar sobre a estrutura de suporte tcnico, estadual ou municipal, que atende a sua localidade.
\\Nvel
10
2
Linux Educacional
Introduo
Uma caracterstica marcante do ser humano a sua capacidade de organizao com o objetivo de tirar o melhor proveito de seu trabalho e garantir o funcionamento otimizado de suas atividades, o que pode ser observado tanto nas empresas quanto nos lares. A informatizao crescente das instituies governamentais e privadas, a ampla disseminao da tecnologia e o uso cada vez maior de sistemas integrados fazem da administrao de sistemas uma atividade complexa e de importncia estratgica para as organizaes. Para atuar nessa rea, o administrador precisa possuir o conhecimento e a experincia necessrios para assegurar que os sistemas estejam sempre disponveis e preparados para realizar adequadamente as operaes de que a organizao necessita para atingir seus objetivos. Um administrador deve ser capaz de:
\\Instalar \\Instalar,
configurar e manter atualizado o software necessrio para o funcionamento correto dos sistemas; os recursos computacionais que funcionam em rede, configurando a rede de maneira correta; cpias de segurana de dados (backups) e dos programas armazenados nossistemas; regras de operao e uso dos recursos, levando em conta as condies tcnicas, institucionais e ambientais; e controlar as operaes de incluso, modificao e excluso de contas de usurios dos sistemas, bem como as suas permisses de acesso a recursos dossistemas; e supervisionar o uso dos recursos computacionais para assegurar que sejam usados de forma segura e adequada.
\\Interligar
\\Fazer
\\Elaborar
\\Executar
\\Controlar
11
De um modo geral, para que um administrador de sistemas execute adequadamente as suas atribuies, preciso que possua conhecimento tcnico aprofundado e abrangente da rea, o que requer constante atualizao; entendimento dos objetivos e metas da organizao e conhecimento das necessidades dos usurios.
Histrico do Linux
O Linux um sistema operacional completo, baseado no rpido e eficiente Unix. Aorigem do Linux remonta ao incio dos anos 70, quando um dos pesquisadores do Bell Labs, Ken Thompson, reprogramou, em linguagem de montagem (assembly), umsistema operacional que fazia parte de um projeto paralisado pela empresa. Em 1974, com a ajuda de Denis Ritchie, outro pesquisador do Bell Labs, Thompson reescreveu o Linux em uma linguagem de alto nvel (chamada C) e projetada pelo prprio Ritchie. Na poca, o Bell Labs era controlado pela AT&T, empresa que no atuava comercialmente na rea de computao. Por isso, o Bell Labs fornecia a licena de uso do Linux para as universidades interessadas, juntamente com o cdigo-fonte. Foram geradas diferentes verses do sistema medida que as modificaes no cdigo eram feitas nas universidades e no prprio Bell Labs. Esta falta de padronizao foi to acentuada que, no final dos anos 80, vrias verses do Linux eram totalmente incompatveis, baseadas em duas fontes principais: o System V (da AT&T) e o BSD, da universidade da Califrnia em Berkeley, desenvolvido com o apoio das empresas Sun Microsystems e Digital Equipment Corporation. Embora a necessidade de padronizao fosse muito grande, as tentativas feitas nesse sentido falharam. Com a ajuda do Institute of Electrical and Electronics Engineers (IEEE), foi elaborada a proposta do Portable Operating System Interface (POSIX), que permitiu uma padronizao bsica das muitas verses existentes. No entanto, diferenas continuaram existindo, devido aos interesses comerciais dos grandes fabricantes de computadores, tais como IBM, Sun e HP. Essa disputa comercial explica a existncia das verses atuais do Unix, como o caso dos sistemas AIX, SunOS, Solaris, HP-UX, IRIX, SCO e Xenix. Nesse contexto, o Linux surge como uma alternativa a esses sistemas comerciais; alm de ser um sistema completo e gratuito, segue o padro POSIX e permite que o cdigo-fonte seja modificado para atender s necessidades especficas do usurio. Hoje, o Linux distribudo comercialmente por vrias empresas, com pequenas diferenas. Esses diferentes sabores de Linux so conhecidos como distribuies.
12
Antes do crescimento do Red Hat Linux, o Linux da Slackware era o mais popular, representado pela empresa Walnut Creek. Essa distribuio bastante completa e oferece muitos aplicativos agregados ao pacote. www.slackware.com
Debian
Ao contrrio das duas distribuies citadas anteriormente, o Debian desenvolvido por uma equipe de colaboradores voluntrios, e no por uma empresa patrocinadora. Oferece mais de mil pacotes de software e projetado para proporcionar funcionalidades semelhantes s do Red Hat. Pode ser baixado em www.debian.org
Ubuntu
Baseado na distribuio Debian GNU/Linux, a base para o Linux Educacional 3.0 (Kubuntu) utilizado nas mquinas do Proinfo. Mantido pela Canonical Ltd. e Ubuntu Foundation, o Ubuntu tem como foco principal a usabilidade, alm da facilidade de instalao. A verso em portugus pode ser baixada em www.ubuntu-br.org
Slackware
14
Arquitetura do Linux
O desenvolvimento do sistema Unix, no qual o Linux baseado, teve os usurios de computadores da poca como pblico-alvo, basicamente programadores e encarregados de desenvolver aplicaes industriais e cientficas. O sistema possui uma arquitetura modular, flexvel e aberta.
USURIOS APLICAES SHELL
O Linux pode ser visualizado como uma pirmide dividida em camadas. O papel dessas camadas no funcionamento do sistema ser:
\\Modular
diferente de um sistema monoltico, a arquitetura do Linux composta por diferentes mdulos, o que facilita o seu desenvolvimento. pode ser modificado e incorporar novas facilidades com o mnimo de custo.
\\Flexvel
\\Arquitetura
aberta permite ao programador fazer alteraes no sistema, incorporando caractersticas de acordo com as suas necessidades.
Kernel
O kernel o ncleo do sistema operacional. o componente que se encarrega de executar todas as funes bsicas necessrias ao funcionamento correto do sistema. O kernel do Linux foi projetado por Linus Torvalds, na poca um estudante que considerava o MS-DOS e o Minix muito limitados. Hoje, todas as distribuies Linux comercialmente disponveis usam basicamente o mesmo kernel, com pequenas alteraes. As aplicaes incorporadas a essas verses as diferenciam. Uma das grandes vantagens que o Linux oferece a possibilidade de recompilar o kernel. Com isso, possvel ganhar em performance, pois o kernel pode ser moldado para atender s necessidades especficas dos usurios do sistema. Principais funes do kernel:
\\Deteco
\\Gerenciamento \\Manuteno
do sistema de arquivos;
16
\\Controle
da fila de processos.
disk Aplicativos
Hardware
Para funcionar, todo sistema operacional depende de um determinado hardware, composto de processadores, discos, memria, impressoras, controladores de vdeo etc. Devido existncia de diversos fabricantes de hardware no mercado, as caractersticas dos componentes variam muito entre si. Quando um novo dispositivo (uma placa de rede, por exemplo) instalado no sistema, o kernel responsvel pela deteco e interao bsica com essa placa. Embora o kernel possa reconhecer e controlar uma grande quantidade de dispositivos oferecidos no mercado, alguns no so reconhecidos, em geral os de lanamento recente. Nesses casos, preciso obter um driver para o novo dispositivo e recompilar o kernel, para incluir esse dispositivo antes de us-lo. Vale ressaltar que drivers desenvolvidos como mdulos podem ser instalados no sistema sem a necessidade de recompilao do kernel.
\\Gerenciamento
de memria e swapping;
Aplicaes do usurio
Espao do Usurio
GNU/Linux
Espao do Kernel
Plataforma de Hardware
Gerenciamento de I/O
Todos os computadores, inclusive aqueles que executam Linux, possuem dispositivos de entrada e sada conectados, como teclado, monitor, impressoras, placas de rede, discos, terminais etc. Esses dispositivos so controlados pelo kernel, que envia requisies para a execuo de operaes especficas ou recebe sinais para indicar que os dispositivos esto demandando determinadas operaes. A comunicao entre o kernel e os dispositivos realizada por meio de sinais de interrupo. Nesse contexto, o kernel funciona como um controlador de sinais de interrupo, atendendo a todas essas requisies.
Filesystem
O sistema de arquivos tem por objetivo organizar os arquivos do sistema e dos usurios, assegurando que eles possam ser manipulados adequadamente por seus proprietrios. No Linux, o sistema de arquivos visualizado como uma rvore invertida: a raiz est no topo e os ramos, embaixo. Para ser lido ou escrito, o arquivo precisa ser aberto. Ao abri-lo, uma srie de cuidados deve ser tomada, principalmente se esse arquivo estiver sendo usado por mais de um processo. Todos os cuidados com o sistema de arquivos, bem como a forma como o sistema de arquivos implementado, so definidos e gerenciados pelo kernel.
18
Swapping Processo em queosistema operacional transfere dados que esto na memria do computador (programa em execuo e seus dados associados), para uma rea em disco e vice-versa, dando a impresso de que o sistema possui uma rea de memria maior quea real. Paginao Tcnica utilizada por sistemas operacionais, que fazem uso do conceito de memria virtual, que divide a rea de memria em pginas de forma a permitir o swap. Swap Arquivo de troca de dados, memria virtual.
Ao longo do tempo, foram criadas vrias tcnicas para otimizar o uso da memria pelos programas em execuo, como swapping e paginao. O kernel responsvel pela alocao de memria nos processos em execuo. O kernel suporta o conceito de memria virtual, permitindo que processos ocupem mais espao de memria que aquela disponvel na mquina. A memria virtual pode ser muito maior que a memria fsica. Cada processo tem seu prprio espao de endereamento virtual. Esses espaos de endereamento so completamente separados, de modo que um processo no pode interferir no cdigo e nos dados de outro processo. Alm disso, okernel permite que processos compartilhem reas de memria, reduzindo assimoconsumo desses recursos ou viabilizando um mecanismo de comunicaoentre processos.
Processo A
Memria Fsica
Gerenciamento de memria
Comandos Linux
Para uma utilizao adequada do Linux Educacional, o usurio necessita estar familiarizado com o ambiente de linha de comando. Para tal, conheceremos as partes envolvidas:
Comandos
Os comandos, em geral, aceitam parmetros e podem ser utilizados de trs maneirasdiferentes:
# comando parmetro # comando --parmetro # comando parmetro
Shell
Dentro do Linux Educacional existe o que chamamos de shell: o interpretador de comandos do Linux responsvel pela interface usurio/sistema operacional, possuindo diversos comando internos que permitem ao usurio solicitar servios do sistema operacional. O shell implementa tambm uma linguagem simples de programao que permite o desenvolvimento de pequenos programas. O bash apenas um dentre os diversos interpretadores de comandos (shells) disponveis no Linux, tais como csh, zsh, sh, tcsh etc. Para acessar o shell devemos clicar no menu Iniciar > Sistema > Terminal (Konsole). Figura 2.11 Terminal do Linux Educacional 3.0
20
Para utilizar alguns comandos do Linux no terminal, o usurio por vezes necessita de permisses especiais de superusurio. O Linux Educacional possui um comando denominado su (substitute user), que permite ao usurio comum acessar o terminal com privilgios de administrador (root), ou seja, o usurio passa a ter acesso total ao sistema. Linux Is Descrio Lista os arquivos do diretrio atual; podem ser utilizados argumentos como la para listar arquivos ocultos e suas permisses. Muda o diretrio corrente. Remove arquivos e diretrios, e usado em conjunto com o parmetro para forar a remoo; com o parmetro i pedida uma confirmao antes da remoo. Cria diretrios; no Linux vrios diretrios podem ser criados com um nico comando. Copia arquivos e diretrios; no Linux o parmetro p pode ser utilizado para manter as permisses do arquivo. Move e renomeia arquivos. Exemplo
# ls -la
cd rm
mkdir
cp
# cp /etc/teste.txt /var/log
mv
cat man
Lista o contedo de arquivos. Manual de comandos que informa todos os parmetros ea sintaxe do comando desejado.
Pginas de manual
As pginas de manual acompanham quase todos os programas GNU/Linux. Elas trazem uma descrio bsica do comando/programa e detalhes sobre o funcionamento de opo. Para obter uma melhor viso do comando acima, o aluno dever consultar o manual do sistema digitando:
# man comando
21
Comandos bsicos
Comandos Linux
ps
Lista os processos que esto em execuo, neste instante, no computador.
Opes
a x u
Mostra os processos criados por voc e outros usurios do sistema. Mostra processos que no so controlados pelo terminal. Mostra o nome de usurio que iniciou o processo e a hora em que o processo foi iniciado. Mostra a memria ocupada por cada processo em execuo.
que usa o hfen; que no usa o hfen; que usa dois hfens.
Exemplo
# ps aux
USER root root root root root root root root root root root root root root aluno1 aluno1 root aluno1 aluno1 PID %CPU %MEM 1 0.0 0.1 2 0.0 0.0 3 0.0 0.0 4 0.0 0.0 5 0.0 0.0 6 0.0 0.0 7 0.0 0.0 41 0.0 0.0 44 0.0 0.0 45 0.0 0.0 176 0.0 0.0 216 0.0 0.0 257 0.0 0.0 635 0.0 0.1 679 0.0 0.0 766 0.0 0.0 816 0.0 0.0 VSZ 0 0 0 0 0 0 0 0 0 0 0 0 1772 4480 1564 RSS TTY 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 528 ? 536 ? 160 ? STAT START Ss S< S< S< S< S< S< S< S< S< S< S< S< S Ss Ss S Ss S Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 13:12 13:12 13:12 13:12 13:12 13:12 TIME COMMAND 0:01 /sbin/i 0:00 [kthre] 0:00 [migra] 0:00 [ksoft] 0:00 [watch] 0:00 [event] 0:00 [khelp] 0:00 [kbloc] 0:00 [kacpi] 0:00 [kacpi] 0:00 [kseri] 0:00 [kswap] 0:00 [aio/0] 0:00 -:0 0:00 /bin/sh 0:00 /usr/bi 0:00 start_k 0:00 kdeinit 0:00 dcopser
2844 1692 ?
4056 1816 ?
817 0.0 0.3 24356 3952 ? 820 0.0 0.2 24452 2844 ?
22
Mostra as linhas finais de um arquivo texto; se for usado sem nenhum parmetro, mostra as ltimas 10 linhas do arquivo.
Opes
-c nmero -n nmero
Mostra o nmero de bytes do final do arquivo. Mostra a quantidade especificada de linhas do arquivo.
Exemplo
# tail /etc/group avahi-autoipd:x:113: admin:x:114:aluno1 messagebus:x:115: avahi:x:116: netdev:x:117: polkituser:x:118: haldaemon:x:119: sambashare:x:120:aluno1,aluno2 winbindd_priv:x:121: aluno1:x:1000:
cut
Delimita um arquivo em colunas, em determinado nmero de caracteres ou por posio de campo.
Opes
-d Especifica o caractere delimitador. -f Informa a posio do campo.
tail
tar
Empacota arquivos e diretrios em um nico arquivo.
Opes
-c Cria um arquivo. -v Mostra cada arquivo includo. -f Especifica o caminho para o arquivo a ser criado. -x Extrai um arquivo compactado. -z Utiliza a compactao no arquivo gerado.
df
Mostra o espao livre e/ou ocupado por cada partio.
Opes
-a Inclui sistema de arquivos com 0 blocos. -h Notao humana que mostra os arquivos em MB, KB e GB, ao invs de em
blocos.
Exemplo
# df Th Sist. Arq. Tipo /dev/sda2 ext3 varrun tmpfs varlock tmpfs udev tmpfs devshm tmpfs lrm tmpfs 22-generic/volatile Tam 4,5G 252M 252M 252M 252M 252M Usad Disp Uso% Montado em 2,5G 1,9G 57% / 292K 252M 1% /var/run 0 252M 0% /var/lock 40K 252M 1% /dev 0 252M 0% /dev/shm 39M 213M 16% /lib/modules/2.6.24-
24
Servio que permite o agendamento da execuo de um comando/programa para um determinado horrio. As tarefas so definidas no arquivo /etc/crontab. Para criar uma nova tarefa o usurio deve inclui-la no arquivo atravs do comando:
# crontab e
Opes
-l Lista as entradas atuais. -r Remove a entrada da contrab. -e Edita a contrab.
Um asterisco ( * ) pode ser usado nos campos de data e hora para especificar todo o intervalo disponvel.
Exemplo: envia um e-mail para John s 0:15hs todo dia 25/12, desejando feliz natal.
15 0 25 12 * root echo "Feliz Natal"|mail john
crontab
find
Busca por arquivos e diretrios no disco. Pode procurar arquivos por data, tamanho e nome, atravs de suas opes. Ao contrrio de outros programas, o find utiliza a notao longa e necessita que seja informado o diretrio para pesquisa.
Opes
-name nome -depth -perm permisso -size tamanho
Procura o arquivo pelo seu nome. Procura o arquivo primeiro dentro dos subdiretrios e s depois no diretrio principal. Procura arquivo que possua permisses especficas. Procura arquivo por um tamanho especfico.
du
Mostra o espao ocupado por arquivos e subdiretrios do diretrio atual.
Opes
-a Mostra o espao ocupado por todos os arquivos. -b Mostra os espaos ocupados em bytes. -h Mostra o espao ocupado em notao humana, MB, KB etc. -s Sumariza o resultado e informa o valor total do tamanho dos arquivos.
26
/var/log:
# du -h /var/log/ 20K 4,0K 4,0K 4,0K 12K /var/log/apache2 /var/log/apparmor /var/log/samba/cores/smbd /var/log/samba/cores/nmbd /var/log/samba/cores
grep
Procura por um texto especfico dentro de um arquivo, ou no dispositivo de entrada padro.
Opes
-a Mostra o nmero de linhas aps a linha encontrada pelo grep. -n Mostra o nmero de cada linha encontrada pelo grep. -f Especifica que o texto que ser localizado est no arquivo [arquivo].
O grep pode ainda ser concatenado com outro programa utilizando o sinal | (pipe):
Exemplo: pesquisar pelo processo de nome ssh dentro da sada do comando ps ax.
# ps ax | grep ssh 5508 ? 22696 ? 22707 ? Ss Ss Ss 0:00 /usr/bin/ssh-agent x-session-manager 0:00 /usr/sbin/sshd 0:00 sshd: root@pts/2
su
Permite ao usurio mudar sua identidade sem fazer logout. til para executar um programa ou comando como root sem abandonar a sesso atual.
Opes:
-c Especifica um comando a ser executado como root. -l ou apenas - Semelhante a fazer login, a forma de trocar de usurio sem
dar logout.
sudo
Variao do comando su que permite que comandos sejam executados diretamente como superusurio, sem precisar fazer login como root, apenas utilizando suas credenciais temporariamente.
Sintaxe
# sudo comando
top
Mostra os programas em execuo ativos, parados, o tempo usado na CPU, detalhes sobre o uso da memria RAM, swap, disponibilidade para execuo de programas no sistema, entre outras informaes. um programa que continua em execuo mostrando continuamente os processos que esto rodando em seu computador e os recursos utilizados por eles. Para sair do top, pressione a tecla q.
top - 13:48:15 up 1 day, 3:39, 3 users, load average: 0.06, 0.01, Tasks: 112 total, 2 running, 110 sleeping, 0 stopped, 0 zombie Cpu(s): 0.7%us, 1.0%sy, 0.0%ni, 97.7%id, 0.0%wa, 0.7%hi, 0.0%s Mem: 515584k total, 488556k used, 27028k free, 73540k buf Swap: 497972k total, 41228k used, 456744k free, 259200k cac PID 10105 4771 44 1 2 USER aluno1 root root root root PR 20 20 15 20 15 NI VIRT RES SHR S %CPU %MEM 0 41336 19m 14m S 2.7 3.9 0 29816 20m 3700 S 1.3 4.0 -5 0 0 0 S 0.7 0.0 0 2844 1688 544 S 0.0 0.3 -5 0 0 0 S 0.0 0.0 TIME+ 34:24.02 22:34.96 0:07.60 0:01.06 0:00.00 COMMAND kicker Xorg kacpid init kthread
28
Programa similar ao top, embora mais interativo, possibilitando a navegao pelos processos, alm de uma pesquisa e um filtro de processos. Figura 2.12 Tela do htop
kill
Permite enviar um sinal a um programa ou comando. Se for utilizado sem parmetros, envia um sinal de trmino ao processo que est em execuo.
Opes
-sinal
-9
Nome ou nmero do sinal informado ao sistema; se nenhum for utilizado, por default ser utilizado -15. Envia um sinal de destruio ao processo ou programa. terminado imediatamente, sem chances de salvar os ou apagar os arquivos temporrios criados por ele. Voc precisa ser o dono do processo ou o usurio root para termin-lo ou destru-lo. Nmero do processo a ser encerrado, pode ser obtido com o comando ps.
PID
htop
chmod
Muda a permisso de acesso a um arquivo ou diretrio. Com este comando voc pode escolher se um usurio ou grupo ter permisses para ler, gravar e executar um arquivo ou arquivos. Sempre que um arquivo criado, seu dono o usurio que o criou e seu grupo o grupo do usurio.
Opes
-v -R
Verbose, mostra todos os arquivos que esto sendo processados. recursivo Muda permisses de acesso do diretrio/arquivo no diretrio atual e subdiretrios.
Permisses
Escritas no formato: [ugoa][+-=][rwxXst] onde:
ugoa
+ - =
Controla o nvel de acesso que ser mudado. Especifica, em ordem, usurio (u), grupo (g), outros (o), todos (a). O sinal de mais (+) coloca a permisso, o sinal de menos (-) retira a permisso do arquivo e o sinal de igual (=) define a permisso exatamente como est especificada. Onde, r = permisso de leitura do arquivo, w = permisso de gravao e x = permisso de execuo (ou de acesso a diretrios).
rwx
30
$ chmod g+r *
Permite que todos os usurios que pertenam ao grupo dos arquivos (g) tenham (+) permisses de leitura (r) em todos os arquivos do diretrio atual.
$ chmod o-r teste.txt
Retira (-) a permisso de leitura (r) do arquivo teste.txt para os outros usurios (usurios que no so donos e no pertencem ao grupo do arquivo teste.txt).
$ chmod uo+x teste.txt
Inclui (+) a permisso de execuo do arquivo teste.txt para o dono e outros usurios do arquivo.
$ chmod a+x teste.txt
Inclui (+) a permisso de execuo do arquivo teste.txt para o dono, grupo e outrosusurios.
$ chmod a=rw teste.txt
Define a permisso de todos os usurios exatamente (=) para leitura e gravao doarquivo teste.txt.
chown
Muda o dono de um arquivo/diretrio, e opcionalmente pode ser usado para mudar ogrupo.
Opes
-v Verbose, mostra os arquivos enquanto esto sendo alterados. -R Recursive, altera o dono e o grupo dos arquivos e diretrios a partir do
Ex: Mudar o dono do arquivo teste.txt para aluno2 e seu grupo para turma1:
# chown aluno2.turma1 teste.txt
Exemplos
32
3
Administrao do Linux
Usurios e grupos
No Linux, apenas os usurios cadastrados podem acessar o sistema. Eles so identificados por um nome de usurio (login name) e uma senha. Cada um possui um diretrio de trabalho (home directory) e um interpretador de comandos (shell) associado. Internamente, o sistema reconhece um usurio utilizando um nmero inteiro, de forma nica. Esse nmero o User ID (UID). Todo usurio pertence pelo menos a um grupo, denominado como grupo primrio. Os grupos tambm possuem um nome de grupo e um identificador nico Group ID (GID). As informaes sobre usurios cadastrados esto armazenadas no arquivo /etc/passwd. Cada linha desse arquivo descreve um nico usurio. A tabela abaixo mostra os tipos e o poder das permisses, por usurio. Tipos Principal Padro Sistema Permisses Total Parcial Especfica Usurios root aluno sys, bin, ftp
Principal Acesso total ao sistema operacional, usurio Administrador. Padro Usurio com permisses parciais, no pode modificar arquivos de configurao nem instalar/ remover programas. Sistema Usurio criado pelo sistema operacional ou programa especfico, dotado de permisses para manipulao de programas ou servios dentro do sistema operacional.
Diretrio de trabalho
Conhecido como homedir. o espao em disco reservado ao usurio na hora de sua incluso. Por questes de segurana, alguns administradores definem contas de usurios, mas no atribuem a elas um diretrio de trabalho ou um shell vlido. Desta forma, estes usurios no conseguem se logar no sistema, apenas utilizam algum servio, como o correio eletrnico.
33
Usurio proprietrio
Usurio responsvel por iniciar a execuo de um determinado programa, que pode ser de sua propriedade ou no, mas para o qual tem a permisso de execuo. As permisses desse usurio determinaro os recursos que o processo criado por ele poder acessar. Permisses r w x Read Write Exec Permisso para leitura Permisso para edio Permisso para execuo 4 2 1 Tabela 3.2 Tipos de permisso
r w x r w x r w x
usurio grupo outros
Em determinadas situaes, vlida a criao de grupos de usurios para controlar o acesso a arquivos ou servios. Por exemplo, suponhamos que o setor financeiro de uma empresa, que controla o salrio dos funcionrios, deseja disponibilizar as estatsticas consolidadas desses salrios no sistema de informaes da empresa, para que os colaboradores do setor financeiro possam utiliz-las para clculos. Porm, essas informaes no podero ser vistas por todos os funcionrios da empresa, pois isso geraria um conflito de interesses. Assim, a criao do grupo financeiro e a disponibilizao desses arquivos somente para os usurios do grupo financeiro resolveriam o problema. Cada arquivo possui, em seu inode, informaes sobre permisses indicadas por meio de cdigos r, w e x; essas informaes so organizadas em trs conjuntos de permisses: o primeiro representa a permisso para o usurio proprietrio do arquivo; o segundo, a permisso para o grupo proprietrio do arquivo; e o ltimo, a permisso para os demais usurios do sistema, ou seja, todos os usurios que no fazem parte do grupo ao qual o arquivo pertence nem so proprietrios dele.
Figura 3.1
Inode Estrutura de dados contendo informaes sobre arquivos em um sistema de arquivo Linux. H um inode para cada arquivo, e cada arquivo identificado unicamente pelo sistema de arquivo no qual reside e por seu nmero de inode neste sistema.
Administrao de usurios
Manipulando contas
A manipulao de contas no Linux pode ser bastante facilitada por alguns comandos. Os comandos adduser e useradd permitem criar contas sem a necessidade de editar diretamente as linhas dos arquivos que contm informaes bsicas dos usurios, operao que requer muita ateno e apresenta o risco de provocar alguma modificao no desejada.
34
# adduser usurio
No momento que o usurio criado, so copiados para o seu diretrio de trabalho alguns arquivos default, obtidos a partir do diretrio /etc/skel. Um exemplo simples de arquivo que pode ser copiado no momento da criao aquele contendo a configurao da rea de trabalho ou desktop. Da mesma forma, um novo grupo pode ser criado, usando parmetros passados na linha de comando. Adicionando um grupo:
# groupadd grupo
Removendo um grupo:
# groupdel grupo
O comando utilizado para mudar a senha de qualquer usurio o passwd. Quando o usurio root deseja mudar a senha de algum usurio, deve passar como parmetro o nome do usurio no sistema para o comando passwd. Nesse caso, o passwd pedir que seja informada a nova senha e que esta seja repetida. Voc deve criar uma senha de fcil memorizao pelo usurio, de forma que ele no ceda tentao de anot-la. No entanto, bom incentivar a troca por uma senha prpria, to logo tenha acesso ao sistema. Uma forma inteligente de fazer isso criando uma senha que no agrade ao usurio, assim ele no conseguir tirar essa senha da cabea.
Adicionando um usurio:
Ser necessrio informar a senha de administrador para acessar a tela de cadastro deusurios. Figura 3.3 Senha para acesso de superusurio
36
Obs: O pedido para o nome do usurio e no de arquivo. Atravs desta interface, o usurio tem a possibilidade de criar contas de usurio de maneira mais simples; para isso, basta clicar no boto +add, informar o nome do usurio, e ento sero solicitadas mais algumas informaes como nome completo, diretrio padro, senha de usurio, grupo a que pertence etc.
Soluo
Antes de iniciar as atividades, os usurios devero acessar o terminal em modo root.
$ sudo su [sudo] password for aluno1:
38
Digite a nova senha: usuario3 Redigite a senha: usuario3 # adduser mariamota Digite a nova senha: usuario4 Redigite a senha: usuario4
Para conferir as alteraes, verifique novamente o arquivo /etc/group com o comando cat.
# cat /etc/group
Sistema de arquivos
Assim como no Windows, a estrutura de arquivos e diretrios no Linux pode ser representada por uma rvore hierrquica. Porm, enquanto as parties de disco do Windows so visualizadas como unidades de disco independentes, com rvores de diretrios distintas, as parties de disco no Linux so logicamente integradas para compor uma rvore de diretrios nica. Nessa rvore, cada partio compe uma subrvore, cuja raiz define o ponto de montagem, que escolhido pelo administrador. Assim, o conjunto de subrvores armazenadas nas parties compe a rvore de diretrios.
# adduser neisouza
Filesystems e diretrios
Filesystem a organizao lgica de uma partio que define como os arquivos so armazenados nos blocos de disco. Assim, para manipular os arquivos de um determinado tipo de filesystem, o sistema operacional deve suportar a organizao lgica desse filesystem. Todos os diretrios Linux aparecem abaixo do diretrio raiz (/), que o nvel mais alto da rvore de diretrios. O diretrio raiz possui arquivos e subdiretrios, que, por sua vez, possuem seus arquivos e subdiretrios, e assim sucessivamente. Por exemplo, o caminho /usr/bin/man indica que o arquivo man est localizado dentro do diretrio bin, que est localizado dentro do diretrio usr, que por sua vez est localizado no diretrio /. O mount point de uma partio de disco, ou at mesmo de um disco removvel, indica a posio da subrvore de diretrios, armazenada na partio, na estrutura de diretrios do Linux. necessrio ter, no mnimo, uma partio montada como /.
Disco 1 Partio 1
Filesystem Mtodo de armazenamento e organizao dos dados, de maneira a facilitar o acesso pelo sistema operacional.
usr
dev
lib
home
etc
local
Disco 1 Partio 2
Disco 2 Partio 1
joo
joel
bin
src
dados
Pode ser na mesma mquina, ou no
Soluo
Criao de diretrios (podem ser criados dentro da pasta /home/usuario).
\\usuario1
40
Acesse o Linux Educacional com um dos usurios cadastrados e tente adicionar arquivos dentro dos diretrios criados.
Estrutura de diretrios
A estrutura de diretrios definida na instalao do sistema. Entretanto, o administrador tambm pode montar qualquer partio diretamente sob o diretrio raiz, atribuindo o nome que melhor represente o contedo daquela partio, como por exemplo /dados ou /cadastros. O particionamento de disco extremamente vantajoso. Em caso de falha em uma determinada partio, as demais parties no so afetadas. Assim, caso acontea um problema fsico na partio que armazena os arquivos dos usurios (/home), basta o administrador recuperar aquela partio especfica e, em seguida, recuperar os arquivos do backup para a partio. Se o sistema possui uma nica partio, provavelmente o administrador ter de reinstalar o sistema e recuperar todos os arquivos do backup. No Linux, o comando utilizado para promover o particionamento de um disco fdisk. Tabela 3.3 Principais diretrios-padro Diretrio /boot /bin /sbin /usr /etc /dev /lib /home /var /tmp Funo Arquivos de inicializao do sistema e imagem do kernel Utilitrios do sistema Ferramentas de administrao Utilitrios e ferramentas de administrao adicionais Arquivos de configurao de servios Arquivos de dispositivos do sistema Bibliotecas de funes compartilhadas Diretrio de trabalho dos usurios Logs do sistema e diretrios para e-mails Arquivos temporrios
Estrutura do filesystem
Uma das principais caractersticas das verses mais recentes do Unix (como Linux) o suporte a diferentes tipos de sistemas de arquivos (filesystems). Um filesystem a organizao lgica de uma partio que define como os arquivos so armazenados e recuperados dos blocos de disco. Diferentes sistemas operacionais possuem diferentes tipos de filesystems. Sendo um filesystem apenas a organizao lgica de uma partio, do ponto de vista dos comandos de configurao, bastante comum a utilizao do termo partio para filesystem e vice-versa. A flexibilidade provida pelo
41
\\usuario2
suporte a diferentes tipos de filesystems permite ao administrador de um sistema Unix configur-lo para acessar filesystems que armazenam arquivos de outros sistemas operacionais. Complementado pelo servio Network File System (NFS), o Unix suporta a montagem de diretrios disponveis remotamente. Para suportar os vrios tipos de filesystems, o Linux agrega a cada tipo um mdulo de software responsvel por traduzir os formatos daquele tipo especfico de filesystem para o formato nico denominado Virtual File System (VFS). Assim, o administrador pode utilizar o comando mount para montar diversos tipos de filesystem simultaneamente, criando a rvore de diretrios nica do Linux. As informaes que descrevem as parties, seus filesystems e seus mount points so armazenadas no arquivo /etc/fstab. Nesse arquivo, cada partio descrita em uma linha com os campos resumidos a seguir:
\\Filesystem
sistema de arquivos a ser montado. Em alguns sistemas, tambm chamado de device, porque diz respeito a alguns dispositivos referenciados por meio de um arquivo presente no diretrio /dev. point ponto de montagem dos dados disponibilizados para leitura.
\\Mount \\Type
tipo do sistema de arquivos a ser montado (por exemplo, o tipo nativo do sistema: swap, nfs ou iso9660). lista de atributos funcionais (por exemplo, rw, significando que o sistema de arquivos deve ser montado para leitura e escrita).
\\Options
Na inicializao do sistema, cada linha desse arquivo processada para montar as parties, compondo assim a estrutura de diretrios do sistema. Cada dispositivo do sistema reconhecido por um nome de dispositivo. Discos IDE so nomeados da seguinte maneira:
\\/dev/hda \\/dev/hdb \\/dev/hdc \\/dev/hdd
unidade de disco mestre da primeira controladora IDE. unidade de disco escravo da primeira controladora IDE. unidade de disco mestre da segunda controladora IDE. unidade de disco escravo da segunda controladora IDE.
No caso de controladoras Small Computer System Interface (SCSI), os discos so denominados sda, sdb, sdc e assim por diante. As unidades de disco flexvel e CD-ROM so denominadas /dev/fd0 e /dev/cdrom (no Linux, um link para /dev/ hdc), respectivamente. As parties dos discos so nomeadas por um nome de partio, formado pelo nome do disco seguido de um nmero inteiro. Por exemplo, as parties de um disco IDE conectado na primeira controladora so denominadas /dev/ hda1, /dev/hda2 e assim sucessivamente.
42
O dpkg (Debian Package) o programa responsvel pelo gerenciamento de pacotes em sistemas Debian. Sua operao feita em modo texto e funciona atravs de comandos. Assim, caso deseje uma ferramenta mais amigvel para a seleo e instalao de pacotes, prefira o dselect (que um front-end para o dpkg) ou o apt. Pacotes Debian so programas colocados dentro de um arquivo, identificados pela extenso .deb, incluindo arquivos necessrios para a instalao do programa, um sistema de listagem/checagem de dependncias, scripts de automatizao para remoo total ou parcial do pacote, listagem de arquivos etc. Um nome de pacote tem a forma nome-verso_reviso.deb.
Dependncias
Dependncias so pacotes requeridos para a instalao de outro pacote. No Debian cada pacote contm um programa com determinada funo. Por exemplo, se voc tentar instalar o pacote de edio de textos supertext que usa o programa sed, voc precisar verificar se o pacote sed est instalado em seu sistema antes de tentar instalar o pacote supertext; caso contrrio, o pacote supertext pedir o sed e no funcionar corretamente. Note que o pacote supertext apenas um exemplo e no existe, pelo menos at agora. O programa dselect faz o trabalho de checagem de dependncias automaticamente durante a instalao dos pacotes. A colocao de cada programa em seu prprio pacote parece ser uma dificuldade extra para a instalao manual de um determinado programa. Mas um ponto fundamental para os desenvolvedores que mantm os mais de 8710 pacotes existentes na distribuio Debian, porque no preciso esperar ser lanada uma nova verso do supertext para instalar a verso mais nova do pacote sed. Por este motivo tambm uma vantagem para o usurio.
$ dpkg -l Desired=Unknown/Install/Remove/Purge/Hold | Status=Not/Installed/Config-f/Unpacked/Failed-cfg/Half-inst/t-aWait/T-pend |/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad) ||/ Nome Verso Descrio +++-==============-==============-============================================ ii 915resolution 0.5.3-1ubuntu1 resolution modification tool for Intel graph ii acidrip ii acl ii acpi ii acpi-support ii acpid ii adduser ii adept 0.14-0.2ubuntu ripping and encoding DVD tool using mplayer 2.2.45-1 Access control list utilities 0.09-3ubuntu1 displays information on ACPI devices 0.109-0hardy2 a collection of useful events for acpi 1.0.4-5ubuntu9 Utilities for using ACPI power management 3.105ubuntu1 add and remove users and groups 2.1.3ubuntu25. package management suite for KDE
Lista os pacotes existentes no sistema; se for utilizado com o nome do pacote, faz uma listagem das suas informaes. Remove o pacote informado do sistema, mas no remove os arquivos de configurao criados pelo programa. Remove totalmente o programa, inclusive com os arquivos de configurao. Fornece informaes sobre o pacote, dentro da descrio; tambm so informadas as suas dependncias, pacotes sugeridos, descrio do pacote, tamanho e nmero. Verifica o status do pacote. Checa pacotes com problemas. Checa pacotes com problemas.
# dpkg r pacote
# dpkg p pacote
# dpkg I pacote
Comando APT
O APT um sistema de gerenciamento de pacotes de programas que possui resoluo automtica de dependncias entre pacotes, e facilidade de instalao, operao e atualizao da sua distribuio. Funciona atravs de linha de comando e fcil de usar. Mesmo assim, existem interfaces grficas para o APT como o synaptic (modo grfico) e o aptitude (modo texto), que permitem poderosas manipulaes de pacotes sugeridos, entre outros recursos. O APT pode ser utilizado tanto com arquivos locais quanto remotos, na instalao ou atualizao. Desta maneira possvel atualizar toda a sua distribuio Debian via FTP ou HTTP, com apenas dois comandos simples. O APT exclusivo da distribuio Debian e distribuies baseadas nela, e tem por objetivo tornar a manipulao de pacotes poderosa por qualquer pessoa, alm de possuir dezenas de opes que podem ser usadas em sua execuo ou configuradas no arquivo /etc/apt/apt.conf. Comandos bsicos APT
# apt-get install pacote
Instala o pacote informado e suas dependncias em seu sistema; podem ser instalados diversos pacotes ao mesmo tempo, separando os nomes por espaos. disponveis.
44
# apt-get update
Atualiza a lista de pacotes disponveis em sua lista de distribuio. Remove completamente um pacote do sistema. Podem ser removidos mais de um pacote ao mesmo tempo, separando os nomes dos pacotes com espaos. Verifica e corrige automaticamente problemas de dependncias entre pacotes. Verifica pacotes corrompidos.
# apt-get remove
Arquivo /etc/apt/apt.conf
Neste arquivo possvel especificar opes que modificaro o comportamento do programa APT durante a manipulao de pacotes (ao invs de especificar na linha de comando). Uma das configuraes mais utilizadas no arquivo apt.conf a configurao de proxy. Figura 3.9 Arquivo /etc/apt /sources.list
Este arquivo contm os locais onde o APT encontrar os pacotes, a distribuio que ser verificada (hardy, jaunty) e a seo que ser copiada (main, non-free, contrib, non-us).
\\deb
\\http://br.archive.ubuntu.com/ubuntu
mtodo de acesso aos arquivos da distribuio, site e diretrio principal. O caminho pode ser http://, ftp://, file://... contrib non-us sees que sero verificadas no site remoto.
45
\\main
Repositrios
No incio havia o .tar.gz. Os usurios tinham dificuldade para compilar cada programa usado no sistema GNU/Linux ou outro qualquer. Quando o Debian foi criado, sentiu-se a necessidade de um sistema de gerenciamento dos pacotes instalados no sistema. Deu-se a esse sistema o nome de dpkg. Assim surgiu o famoso pacote. Em seguida a Red Hat criou seu conhecido sistema RPM. Rapidamente outro dilema intrigou os produtores de GNU/Linux. Uma maneira rpida, prtica e eciente de se instalar pacotes, gerenciando suas dependncias automaticamente e protegendo seus arquivos de congurao ao fazer a atualizao. Assim, o Debian, novamente pioneiro, criou o Advanced Packaging Tool (APT), hoje portado pela Conectiva e incorporado por outras distribuies. Para seu funcionamento, o APT utiliza-se de um arquivo que lista as fontes de onde obter os pacotes. Esse sistema pode funcionar tanto com o APT em linha de comando quanto com o gerenciador de pacotes Adept.
Repositrio Local de armazenamento onde os pacotes de software podem ser recuperados e instalados em um computador.
Gerenciador Adept
Gerenciador grfico de pacotes que usa a API do libapt-frontend, utilizando as bibliotecas QT do KDE. Para instalar pacotes atravs do Adept, informe o nome do pacote no campo de busca, e o Adept listar todos os programas relacionados. Clique no programa desejado, e uma janela perguntar se deseja instalar o programa ou solicitar informaes bsicas do pacote, como nome, tamanho, mantendedor e verso. Figura 3.10 Tela do Adept
46
Para instalar os programas ksysguard e Wireshark usando o Adept: 1. Clique em Iniciar > Adicionar e Remover Programas (Adept); 2. Na janela aberta pelo sistema digite a senha de login e clique em OK; 3. Na janela Busca (parte superior da tela) digite o nome do programa: ksysguard; 4. Na janela abaixo da anterior, selecione a linha onde aparece o nome do programa ksysguard que se quer instalar; 5. Clique em Solicitar instalao; 6. Clique em Aplicar Mudanas na barra de ferramentas, na parte superior; 7. Aguarde at que a instalao esteja terminada (demora alguns minutos); 8. A mesma janela mencionada no item 4 deve aparecer, mas desta vez o programa aparece como instalado; 9. Para instalar o programa Wireshark, repita os mesmos procedimentos a partir do item 3, mudando apenas o nome do programa; 10. Para encerrar, clique em Adept (menu superior) e selecione Sair; 11. Para verificar se o ksysguard est instalado: 11.1. Clique em Iniciar > Sistema; 11.2. Veja se aparece uma linha escrito: Monitor de Performance (KSysGuard); 11.3. Se no aparecer, chame o monitor para ajud-lo a descobrir o que aconteceu de errado. 12. Para verificar se o Wireshark est instalado: 12.1. Clique em Iniciar > Internet; 12.2. Veja se aparece a linha: Analisador de rede (Wireshark); 12.3. Se no aparecer, chame o monitor para ajud-lo a descobrir o que aconteceu de errado.
Aptitude
O programa aptitude consiste em uma interface em modo Shell para o sistema de pacotes do Debian GNU/Linux. Ele permite que o usurio baixe as listas de pacotes de espelhos de rede espalhados pela internet e realize operaes como instalao, atualizao e remoo de pacotes. O aptitude possui as funcionalidades dos programas dselect e apt-get, mas com algumas funcionalidades a mais. Figura 3.11 Tela inicial do Aptitude
A tela dividida em menu, na parte de cima, lista de pacotes na parte do meio e um espao para a descrio dos pacotes na parte de baixo. Para acessar o menu digite Ctrl+t. No menu Aes, podemos encontrar os seguintes comandos:
\\Instalar/ \\Atualizar \\Marcar
\\Tornar-se \\Sair.
48
O aptitude informa os dados e dependncias do pacote. Para marcar o pacote para instalao pode-se usar a opo do menu Pacote > instalar ou apertar a tecla + em cima do pacote escolhido, ao que marcar o pacote (deixando-o verde) e suas dependncias automaticamente. Aps a marcao do pacote, o usurio dever entrar no menu Aes > Instalar/ Remover pacotes ou utilizar a tecla de atalho g. Para remover um pacote, utilize a / para encontr-lo, marque o pacote e v ao menu Aes > Instalar/Remover para remover o programa.
Repositrios MEC
O Ministrio da Educao disponibiliza um repositrio para baixar contedos para o Linux Educacional. Esses contedos podem ser acessados a partir do repositrio http://repositorio.mec.gov.br MEC 3.0, informado no arquivo /etc/apt/sources.list.
No menu Desfazer possvel desfazer marcaes de pacotes previamente selecionados. Em Pacotes temos as opes para marcar os pacotes na lista para atualizar, instalar, remover, fazer purge (remover tudo, inclusive arquivos de configurao). Para instalar um pacote, digite / para abrir a tela de pesquisa ou v ao menu Procurar > encontrar e digite o nome do pacote.
Soluo
Inclua o repositrio do MEC no arquivo /etc/apt/sources.list. Acesse o terminal e logue-se como super usurio.
$ sudo su
Atualize o repositrio:
# apt-get update
campo Busca digite MEC, localize os contedos de seu interesse, clique no pacote e depois em Solicitar instalao. essa ao clique em Aplicar mudanas.
\\Aps
A barra Edubar
A partir da verso 3.0 do Linux Educacional foi desenvolvida uma aplicao Java de nome Edubar, cujo objetivo facilitar o acesso aos contedos educacionais. A aplicao abre uma barra localizada na parte superior da rea de trabalho, composta por cinco botes, dentre eles os botes Domnio Pblico e TV Escola. Figura 3.13 Barra de acesso Edubar
Alm dos atalhos citados, a barra Edubar ainda possui um boto para acesso aos programas educacionais, um boto para acesso rpido aos utilitrios (como editor de texto e visualizador de arquivos) e por ltimo um boto para acesso a ferramentas de digitalizao de imagens e calculadora.
50
Para facilitar o acesso aos contedos educacionais, foi desenvolvida uma ferramenta de busca dos contedos. Ao clicar no boto Domnio Pblico ou no boto TV Escola da Edubar, a ferramenta de busca (FBEdu) ser aberta, possibilitando pesquisar os contedos por Autor, Ttulo, Tipo de mdia (texto, som, imagem e vdeo) e por Categoria Ensino Mdio, Salto para o Futuro, Histria, Lngua Portuguesa, Educao Especial, Escola/Educao, Cincias, tica, Matemtica, Literatura, Literatura Infantil, Literatura de Cordel, Geografia, Pluralidade Cultural, Sade, Educao Fsica, Recortes, Artes, Filosofia, Biologia, Psicologia, Hinos e Teologia. Figura 3.14 Ferramenta de busca FBEdu
Soluo
A barra Edubar j vem pr-instalada no Linux Educacional, mas se apresentar algum problema pode ser removida atravs do Adept. Acesse o programa Adept:
\\Iniciar \\No
campo de busca digite edubar, e o pacote aparecer como instalado; clique nele e depois em Solicitar remoo. essa ao, clique em Aplicar mudanas.
\\Aps
Para reinstalao, digite edubar no campo de busca, e quando o pacote aparecer no campo de busca clique nele, depois clique em Solicitar instalao e em seguida em Aplicar mudanas.
Ferramenta de busca
52
4
Redes de computadores
Redes de computadores Conjunto de mdulos de processamento interconectados atravs de um sistema de comunicao, cujo objetivo compartilhar recursos e trocar informaes. Ethernet Tecnologia de rede local amplamente adotada, inicialmente proposta pela Xerox e posteriormente padronizada pelo IEEE no padro IEEE 802.3. Redes Ethernet utilizam o protocolo de acesso ao meio CSMA/CD, suportam diferentes meios fsicos de transmisso (cabo coaxial, par tranado e fibra ptica) e operam com diferentes opes de taxa de transmisso (10 Mbps, 100 Mbps e 1 Gbps). Interoperabilidade Pode ser entendida como o esforo exigido para se acoplar um sistema a outro. Inter-rede Coleo de vrias redes fsicas, interconectadas por meio de roteadores, que do ponto de vista lgico funcionam como uma rede virtual nica.
Este captulo apresenta o conceito de redes de computadores e sua importncia no ambiente educacional. Sero descritas as funcionalidades e aplicaes do protocolo TCP/IP, com a apresentao das camadas que compem o protocolo. Nos prximos captulos, vamos explicar e exemplificar o endereamento IP, mostrando as diversas classes de endereos, e tambm o conceito e o uso das mscaras de rede. No captulo 5 trabalharemos o conceito de rota, tipos de rotas e tabela de rotas, com exemplos da configurao de interfaces e principais comandos. No captulo 6 descreveremos as redes com fio e seus componentes, as redes sem fio e seus recursos de segurana. No captulo 7 estudaremos as solues de redes utilizadas pelo Proinfo, e no captulo 8 o conceito de roteamento na internet, com base em exemplos.
Introduo a redes
A evoluo das tecnologias de comunicao e a reduo dos custos constituem os principais fatores para a ampla adoo das redes de computadores nas diversas organizaes. Tais redes so projetadas, essencialmente, para compartilhar recursos de hardware e software e viabilizar a troca de informaes entre usurios. No entanto, as atuais tecnologias de redes restringem o nmero de dispositivos conectados, e so geralmente incompatveis entre si. Dispositivos conectados a uma rede local que adota a tecnologia Ethernet, por exemplo, no interagem diretamente com outros que utilizam outras tecnologias. Isso dificulta a comunicao de grandes grupos de usurios e impede que usurios de redes distintas se comuniquem entre si. Para viabilizar essa comunicao, a nica alternativa adotar mecanismos que permitam a interoperabilidade, interconectando e compatibilizando as mltiplas redes heterogneas. A interconexo destas vrias redes denominada inter-rede. A motivao para a interconexo de redes permitir que servios e aplicaes de rede disponveis sejam acessados remotamente com a garantia de que os usurios tero a disponibilidade necessria nas suas respectivas conexes no ambiente de rede. A responsabilidade dos gerentes e projetistas de rede prover a infraestrutura com conectividade total, sobre a qual os servios e aplicaes de rede sero
53
disponibilizados em prol do cumprimento da misso das organizaes. Essa infraestrutura deve permitir a implementao de novas tecnologias de rede no mbito de uma corporao ou empresa. Exemplos dessas tecnologias: comrcio eletrnico, aplicaes de videoconferncia, educao a distncia, IPTV, telefonia IP (VoIP), VoD (Video on Demand vdeo por demanda), emprego de wireless (sem fio), entre outras. Cada vez mais as redes de computadores transformam a sociedade. Graas a elas o telefone celular pode ser usado para acesso internet, enviar e receber e-mails, assistir TV e outras aplicaes que seriam impensveis se no existisse uma infraestrutura de rede adequada. Isso significa que a influncia das tecnologias na sociedade indiscutvel. Prticas sociais, relaes comerciais e a educao so cada vez mais orientadas por e para as Tecnologias da Informao e Comunicao (TIC). Neste contexto, as pessoas devem estar adaptadas aos padres dos recursos tecnolgicos, principalmente no tocante ao exerccio profissional. Para tal, essencial adquirir habilidades e consolidar competncias necessrias para a utilizao de computadores, redes e outros dispositivos em diferentes situaes. Tais habilidades esto associadas aplicao dos recursos tecnolgicos, ao uso das diversas mdias de comunicao, busca de informao e soluo de problemas com o auxlio da tecnologia. Desta forma, podemos considerar como certa a necessidade de uma nova alfabetizao advinda dos avanos tecnolgicos. Ela inclui habilidades, estratgias e disposio necessrias para explorar com sucesso as rpidas mudanas proporcionadas pelas tecnologias de informao e comunicao, de forma a potencializar oportunidades de crescimento das pessoas no trabalho e na vida privada, baseadas nas habilidades bsicas de leitura, escrita e lgica matemtica (alfabetizao) utilizadas nas escolas, que preparam os estudantes para o uso de livros, papel e caneta, ampliando-as para o uso fluente da tecnologia. Esta nova forma de alfabetizao prope um estado de conhecimento especializado, que inclui habilidades relacionadas s novas formas de ler e escrever adaptadas ao hipertexto e hipermdia, busca e organizao de informaes atravs de aparato informtico, alm de habilidades em comunicao e interao atravs das redes de computadores. A rea de pesquisa em informtica na educao tem evoludo de um contexto de introduo do computador no ensino laboratrios de informtica e desenvolvimento de softwares educacionais , para ambientes de ensino na internet, sistemas inteligentes de ensino e cursos virtuais (Universidade Virtual). Ambientes de ensino na internet tm sido a preocupao e a meta de uma vanguarda de professores que perceberam a vantagem da utilizao do ambiente de rede como ferramenta de apoio ao ensino de suas disciplinas. A experincia destes professores logo passou a ser estudada, sistematizada e, por fim, tornou-se importante rea de pesquisa, atravs da modelagem de arquiteturas, ambientes e procedimentos de ensino. Foram definidos os componentes alternativos para estes ambientes, tais como: livros eletrnicos, bases de exerccios, murais de discusso, fruns de conversao, simuladores de experincias, vdeos e outros elementos.
54
Protocolo TCP/IP
Nas ltimas dcadas, a tecnologia de inter-redes foi desenvolvida para possibilitar a interconexo de diferentes tipos de tecnologias de redes, acomodando mltiplas plataformas de hardware e software, com base em um conjunto de protocolos que definem as regras de comunicao. Essa tecnologia esconde detalhes do hardware de rede e permite que os dispositivos se comuniquem, independentemente do tipo de rede fsica adotada. Arquiteturas de protocolos so colees de protocolos que habilitam comunicao em rede de uma mquina at outra. Essas arquiteturas so estruturadas em camadas, de forma a dividir e organizar melhor as funes. Sem os protocolos, o computador no pode reconstruir no formato original a sequncia de bits recebida de outro computador. Para dois computadores se comunicarem, precisam utilizar o mesmo protocolo, isto , falar a mesma lngua. Para entender o funcionamento da famlia de protocolos TCP/IP, vamos apresentar o modelo de interconexo desse tipo de rede, enfatizando os mecanismos que viabilizam a interao dos diversos protocolos. As diversas tecnologias de redes definem como os dispositivos devem se conectar s respectivas redes. J uma tecnologia de inter-rede define como as redes so interconectadas entre si, permitindo que cada equipamento possa se comunicar com os demais das vrias redes. Em uma inter-rede TCP/IP, duas ou mais redes fsicas somente podem ser interconectadas por um equipamento especial, chamado roteador, cuja funo encaminhar pacotes de uma rede para outra. Para rotear corretamente os pacotes, os roteadores precisam conhecer a topologia de toda a inter-rede, no apenas das redes fsicas s quais esto diretamente conectados. Assim, precisam manter informaes de roteamento de todas as redes que fazem parte da inter-rede. Os usurios veem a inter-rede como uma rede virtual nica, qual todos os dispositivos esto conectados, independente da forma das conexes fsicas. Para tal, uma inter-rede TCP/IP adota um mecanismo de endereamento universal, baseado em endereos IP, que permite a identificao nica de cada dispositivo. A figura a seguir ilustra o modelo de interconexo de uma inter-rede TCP/IP.
Protocolo Conjunto de regras e convenes que definem a comunicao dos dispositivos em uma rede.
Roteador Dispositivo que interconecta duas ou mais redes fsicas e encaminha pacotes entre elas.
Cada vez mais so empregados recursos computacionais no lugar de recursos pedaggicos que no utilizavam computadores. Na sociedade informatizada em que vivemos, necessrio preparar os jovens para este ambiente de redes de computadores para que eles possam ser includos digitalmente na sociedade da informao. Podemos fazer uma analogia com a preocupao de nossas avs quanto alfabetizao. O indivduo que no soubesse ler no teria acesso informao escrita e ficaria excludo da sociedade. Da mesma forma, o indivduo que no souber usar o computador, ficar excludo da sociedade da informao.
Host 9
Host 1 5
Host 8
1 Host 2 R1
R3
R4
4 Host 7
R2 2 3
Host 3
Host 6
Host 4
Host 5
Neste exemplo, quando a estao Host 1 deseja enviar pacotes para a estao Host 3, Host 1 encaminha os pacotes atravs da Rede 1 para o roteador R1 que, por sua vez, entrega-os para a estao Host 3 atravs da Rede 2. importante notar que os roteadores no estabelecem conexo direta entre todas as redes fsicas. Para alcanar um determinado destino, pode ser necessrio encaminhar os pacotes atravs de diversos roteadores e redes intermedirias. Observe que podem existir diferentes alternativas de encaminhamento dos pacotes entre determinados pares de estaes. No exemplo da figura anterior, quando a estao Host 1 quer transmitir pacotes para a estao Host 5, pode encaminh-los atravs da Rede 1 para os roteadores R1 ou R3, que se apresentam como possveis alternativas at o destino. Se Host 1 adotar o caminho via roteador R1, este, por sua vez, rotear os pacotes para o roteador R2 atravs da Rede 2. Por fim, R2 entrega os pacotes para a estao Host 5 atravs da Rede 3. Por ser a internet um exemplo concreto de inter-rede TCP/IP, possvel concluir que ela composta por uma coleo de diferentes redes fsicas independentes, interconectadas por meio de diversos roteadores. Entretanto, esta estrutura de interconexo de redes no percebida pelos usurios da internet, que a veem apenas como uma rede global nica, que permite a comunicao das estaes a ela conectadas. Na concepo original da internet, as estaes de trabalho dos usurios, denominadas hosts, so conectadas rede atravs de equipamentos especficos para essa finalidade, chamados gateways.
Host Equipamento utilizado pelos usurios finais para processamento das aplicaes e conexo rede. Gateway Sinnimo de roteador na arquitetura TCP/IP, o equipamento que conecta os hosts rede. Em outras arquiteturas de redes, um gateway um dispositivo (hardware ou software) que converte mensagens de um protocolo em mensagens de outro protocolo.
56
TCP (Transmission Control Protocol) Protocolo padro que define o servio de circuito virtual da camada de transporte da arquitetura TCP/IP. IP (Internet Protocol) Protocolo padro que define o servio de entrega no confivel e no orientado conexo da camada de rede da arquitetura TCP/IP.
Host A
Host B
IP - Internet
Gateway
Gateway
As principais funes do protocolo IP so endereamento e roteamento, ou seja, fornecer uma maneira para identificar unicamente cada mquina da rede (endereo IP) e uma maneira de encontrar um caminho entre a origem e o destino (roteamento). Algumas caractersticas do TCP:
\\Garante \\Executa
a segmentao e o reagrupamento de grandes blocos de dados enviados pelos programas, garantindo o sequenciamento adequado e a entrega ordenada de dados segmentados; a integridade dos dados transmitidos usando clculos de soma de verificao; mensagens positivas dependendo do recebimento bem-sucedido dos dados;
\\Verifica
\\Envia
\\Oferece
um mtodo preferencial de transporte de programas que devem usar transmisso confivel de dados baseada em sesses, como bancos de dados cliente/servidor e programas de correio eletrnico.
Os padres da arquitetura TCP/IP foram estabelecidos pela comunidade acadmica americana atravs de documentos chamados RFCs (Request For Comments Pedido de Comentrios) que se encontram armazenados sob a URL: www.ietf.org/rfc/rfcnnnn.txt, onde nnnn = nmero do documento desejado. Por exemplo: o RFC791.txt define o
57
Os dois protocolos que formam a base da internet so o TCP (Transmission Control Protocol) e o IP (Internet Protocol), cujas funes bsicas esto mostradas na figura a seguir. O TCP foi concebido para possibilitar s aplicaes que rodam nos hosts a troca de informaes atravs da rede, e o IP se encarrega de transportar essas informaes, de forma semelhante do correio postal. O TCP chamado de Host-to Host Protocol, indicando que sua funo bsica prover a comunicao entre os hosts de origem e destino, ou seja, fim-a-fim. J o IP faz o roteamento das informaes atravs da rede. Um roteador um gateway especializado na funo de roteamento.
protocolo IP. Para conhecer todos os documentos existentes at o momento, baixe a verso atualizada do documento: www.rfc-editor.org/rfc-index2.html. Para melhor estruturao do hardware e do software de um determinado projeto de rede, os problemas de comunicao so divididos e organizados em camadas hierrquicas. Cada camada responsvel por uma funo especfica e construda utilizando as funes e servios oferecidos pelas camadas inferiores. Uma arquitetura de rede, tal como a definida pela famlia de protocolos TCP/IP, uma combinao de diferentes protocolos nas vrias camadas. A arquitetura de rede definida pela famlia de protocolos TCP/IP denominada arquitetura TCP/IP, organizada em quatro camadas, conforme ilustra a prxima figura.
Unidade de dados do protocolo
Mensagem Segmento TCP/ Datagrama UDP Datagrama IP Quadro
Protocolos
FTP, SMTP, HTTP ... TCP, UDP IP, ICMP CSMA/CD, PPP, HDLC ...
Camada de aplicao
A funo bsica desta camada fornecer uma janela para que os dados da aplicao possam ser transmitidos atravs da rede. A camada de aplicao trata os detalhes especficos da cada tipo de aplicao. Na famlia de protocolos TCP/IP, existem diversos protocolos de aplicao que so suportados por quase todos os sistemas. Cada protocolo de aplicao define a sintaxe e semntica das mensagens trocadas entre os programas de aplicao. As aplicaes de rede, como Telnet, residem nessa camada. As aplicaes que utilizam os servios da rede no residem nessa camada, mas fazem parte dos processos do usurio e apenas entregam os dados para que a camada de aplicao os transfira atravs da rede at o destino. A unidade de dados do protocolo (PDU Protocol Data Unit) de aplicao chama-se Mensagem. Exemplos de protocolos de aplicao:
\\Telnet \\FTP
(File Transfer Protocol) servio de transferncia de arquivos; (Simple Mail Transfer Protocol) servio de correio eletrnico; (Simple Network Management Protocol) servio de gerenciamento de redes;
\\SMTP \\SNMP
Unidade de dados do protocolo Unidade bsica de dados manipulada por um protocolo. composta por um campo de cabealho, que transporta as informaes de controle, e por um campo de dados, que transporta a unidade de dados do protocolo da camada superior.
58
\\HTTP
Protocolo orientado conexo Protocolo padro que define o servio de datagramas da camada de transporte da arquitetura TCP/IP. Protocolo no orientado conexo Protocolo que trata cada unidade de dados como uma entidade individual que contm os endereos de origem e destino. As unidades de dados so enviadas da origem ao destino sem a necessidade de estabelecer uma conexo entre as entidades comunicantes.
Camada de transporte
A camada de transporte prov a comunicao fim-a-fim entre aplicaes. A arquitetura TCP/IP define dois diferentes protocolos de transporte:
\\TCP
(Transmission Control Protocol) um protocolo orientado conexo que prov um fluxo confivel de dados, oferecendo servios de controle de erro, controle de fluxo e sequenciao. O TCP divide o fluxo de dados em pedaos chamados segmentos TCP, que so enviados de uma estao para outra de forma confivel, garantindo que sejam entregues aplicao destino na sequncia correta e sem erros. (User Datagram Protocol) um protocolo no orientado conexo, bem mais simples que o TCP, que oferece um servio de datagrama no confivel, sem controle de erro, sem controle de fluxo, e sem sequenciao. O UDP apenas envia os dados, denominados datagramas UDP, de uma estao para outra, mas no garante que sejam entregues aplicao destino.
\\UDP
A tabela a seguir mostra uma comparao entre os protocolos de transporte TCP e UDP: UDP Servio sem conexo; nenhuma sesso estabelecida entre os hosts. UDP no garante ou confirma a entrega ou sequencia os dados. Os programas que usam UDP so responsveis por oferecer a confiabilidade necessria ao transporte de dados. UDP rpido, exige baixa sobrecarga e pode oferecer suporte comunicao ponto a ponto e ponto a vrios pontos. TCP
Servio orientado por conexo; uma sesso
estabelecida entre os hosts. TCP garante a entrega atravs do uso de confirmaes e entrega sequenciada dos dados. Os programas que usam TCP tm garantia de transporte confivel de dados.
TCP mais lento, exige maior sobrecarga e pode oferecer suporte apenas comunicao ponto a ponto.
\\DNS
Camada de rede
A camada de rede, tambm conhecida como camada de inter-rede, responsvel pela transferncia de dados entre dispositivos da inter-rede. A unidade de dados desta camada o datagrama IP. Os principais componentes desta camada so os seguintes protocolos:
\\IP
Endereamento Identificao das redes e dos hosts dentro da rede. Cada host deve ser identificado de forma unvoca. Roteamento Transferncia da informao desde a origem at o destino atravs de uma rede. O caminho que a informao percorre a rota. Servio de Datagrama Servio de encaminhamento de pacotes no qual a rota definida dinamicamente pelos roteadores e no estabelecida uma conexo entre origem e destino Protocolos de roteamento Roteadores trocam informaes entre si sobre as rotas da rede para escolher os melhores caminhos, construindo suas tabelas de roteamento. Esta troca, que pode ser realizada de vrias formas, com diferentes algoritmos, caracteriza os protocolos de roteamento. Octetos Conjunto de 8 bits cujo valor est compreendido no intervalo entre 0 (todos os bits 0) e 255 (todos os bits 1).
(Internet Protocol) oferece um servio de datagrama no confivel entre dispositivos da inter-rede. O protocolo IP envia, recebe e roteia pacotes, denominados datagramas IP, entre as vrias estaes da inter-rede, mas no garante que os mesmos sejam entregues estao destino. Com isso, datagramas podem ser perdidos, duplicados ou chegar em sequncia diferente daquela em que foram enviados. (Internet Control Message Protocol) complementa o protocolo IP, sendo usado pelas camadas de rede das estaes para troca de mensagens de erro e outras informaes de controle essenciais. Para o envio dessas mensagens e das informaes de controle o ICMP utiliza os datagramas IP.
\\ICMP
As principais funes da camada de rede so endereamento e roteamento. O endereamento da camada de rede o endereamento lgico (por exemplo: endereos IP), enquanto que o endereamento da camada de interface de rede o endereamento fsico (por exemplo: endereo da placa de rede). A diferena bsica entre eles que o endereo lgico identifica a rede e o host dentro da rede e o endereo fsico identifica apenas o host, portanto, s pode ser usado em mbito local (por exemplo: rede local Ethernet). O roteamento consiste basicamente em escolher o melhor caminho para os pacotes da origem at o destino. Tambm deve tratar os problemas de trfego na rede que porventura ocorram, como congestionamento e perda de pacotes. As redes TCP/IP utilizam nesta camada o Servio de Datagrama. Os roteadores so os dispositivos mais tradicionais da camada de rede. Eles nada mais so do que gateways especializados na funo de roteamento. As decises de roteamento so tomadas com base em tabelas de roteamento que so construdas manualmente pelo administrador da rede (rotas estticas) ou construdas dinamicamente atravs de protocolos de roteamento, tais como RIP, OSPF e BGP, entre outros. A primeira opo se aplica a pequenas redes, enquanto a segunda mais usada em redes mdias e grandes. O endereo de rede na arquitetura TCP/IP composto de 4 octetos, onde cada octeto pode assumir valores inteiros e positivos no intervalo entre 0 e 255. Os endereos so escritos em decimal, separando os octetos por pontos (notao decimal pontuada). Por exemplo: 192.168.1.10.
60
A camada de interface de rede, tambm conhecida como camada de enlace de dados, responsvel por aceitar datagramas IP da camada de rede e transmiti-los, na rede fsica especfica, na forma de quadros (unidade de dados do protocolo desta camada). Ela compatibiliza a tecnologia da rede fsica com o protocolo IP.
Driver Mdulo de software que permite ao Figura 4 sistema operacional Pgina inicial comunicar-se com o respectivo dispositivo de hardware.
Geralmente, esta camada inclui o driver de dispositivo no sistema operacional e a respectiva placa de rede, tratando os detalhes de hardware para conexo fsica com a rede e transmisso de dados no meio fsico. Assim, podemos dizer que a camada de interface de rede basicamente suportada pela prpria tecnologia da rede fsica. Essa camada tambm usa endereamento para identificar as interfaces de rede (placa de rede, por exemplo). Esse endereo fsico, ao contrrio do endereo de rede lgico, somente tem validade local, dentro da rede fsica onde est a interface de rede, porque esse endereo identifica apenas a estao, no a rede. A funo da camada de interface de rede agrupar os bits desestruturados que chegam atravs do meio fsico em estruturas de dados chamadas quadros (frames), para efetuar a verificao de erros de transmisso eventualmente ocorridos no meio fsico. Em caso de erro, o quadro ser descartado. A correo dos erros ser feita pelas camadas superiores de protocolos. O objetivo principal tornar o meio fsico de comunicao livre de erros de transmisso. Esta camada tambm responsvel pelo controle do acesso ao meio (Media Access Control). Como o meio compartilhado, necessria a definio de algoritmos que garantam que os dispositivos sejam organizados para acessar o meio de forma no conflitante. Exemplos de protocolos de camada de enlace:
\\Redes
locais CSMA/CD (Carrier Sense Multiple Access/Collision Detection), descrito pela norma IEEE 802.3; de longa distncia PPP (Point-to-Point Protocol), descrito pelo RFC 1661.
\\Redes
Do ponto de vista da arquitetura TCP/IP, a camada de interface de rede abrange tambm a interface com o meio fsico (tambm conhecida como camada fsica), onde ocorre a especificao do meio fsico por onde o sinal ir trafegar, que pode ser:
\\Par
tranado UTP (Unshielded Twisted Pair) CAT5, CAT5E, CAT6, CAT6E; ptica monomodo, multimodo; coaxial 10Base2, 10Base5; fio (wireless) IEEE 802.11 a/b/g/n; serial sinalizao DTE/DCE.
\\Enlace
Camada de enlace
Encapsulamento
O processo de encapsulamento essencial para a compreenso do funcionamento da arquitetura em camadas TCP/IP. Em qualquer arquitetura em camadas, inclusive na arquitetura TCP/IP, os dados so gerados pelas aplicaes e, em seguida, descem na pilha de protocolos at serem efetivamente enviados atravs da rede fsica sob a forma de bits no-estruturados. Durante a descida na pilha de protocolos, esses dados passam por um processo denominado encapsulamento. A figura a seguir mostra o processo de encapsulamento que ocorre quando uma aplicao envia os seus dados na arquitetura TCP/IP. Conforme se pode constatar, cada camada adiciona informaes de controle aos dados recebidos da camada imediatamente superior e, em seguida, entrega os dados e o controle adicionados camada inferior. Os dados recebidos e as informaes de controle de uma camada so conjuntamente denominados unidade de dados do protocolo da camada. importante notar que a unidade de dados do protocolo de uma determinada camada encapsulada diretamente no campo de dados da camada imediatamente inferior.
Dados da aplicao Dados
Encapsulamento Tcnica utilizada pelos protocolos em camadas na qual uma camada adiciona informaes de cabealho unidade de dados de protocolo (PDU) da camada superior.
Mensagem
Cabealho
Dados
Aplicao
Cabealho
Dados
Transporte
Datagrama IP
Cabealho
Dados
Rede
Quadro Bits
Cabealho
Dados
Interface de rede
010011010101...
Meio de comunicao
62
\\Se
a aplicao adota o protocolo TCP, as mensagens so encapsuladas em segmentos; o protocolo TCP divide o fluxo de dados em segmentos TCP que so enviados de uma estao para outra de forma confivel, garantindo que sejam entregues aplicao destino na sequncia correta e sem erros; a aplicao adota o protocolo UDP, as mensagens so encapsuladas em datagramas UDP; o protocolo UDP apenas envia os dados, denominados datagramas UDP, de uma estao para outra, mas no garante que sejam entregues aplicao destino.
\\Se
Segmento Unidade de dados do protocolo TCP. Datagrama Unidade de dados dos protocolos UDP e IP. Porta Representao interna do sistema operacional de um ponto de comunicao para envio e recepo de dados entre a camada de aplicao e a camada de transporte. Identifica a aplicao que est usando o servio da camada de transporte. Desencapsulamento Tcnica utilizada pelos protocolos quando uma camada remove informaes de cabealho da unidade de dados de protocolo (PDU) da camada inferior.
Os dois protocolos de transporte, TCP e UDP, transportam suas unidades de dados (segmentos e datagramas) usando o protocolo IP. Dessa forma, segmentos TCP e datagramas UDP so igualmente encapsulados no campo de dados de datagramas IP. Por fim, datagramas IP so encapsulados em quadros da rede fsica, para serem efetivamente transmitidos sob a forma de um fluxo de bits no-estruturados. Na prtica, o protocolo IP utilizado pelos protocolos ICMP, TCP e UDP. Assim, cada datagrama IP deve utilizar algum identificador no cabealho para indicar o protocolo que est sendo encapsulado no campo de dados. Essa identificao realizada usando um campo do cabealho do datagrama IP, denominado protocol (protocolo), que contm os valores 1, 6 e 17 para sinalizar que os dados transportados pertencem aos protocolos ICMP, TCP e UDP, respectivamente. Da mesma forma, diferentes aplicaes podem utilizar os protocolos TCP e UDP como mecanismos de transporte. Para isso, cada segmento TCP e cada datagrama UDP devem utilizar algum identificador no cabealho para indicar a aplicao que est sendo encapsulada no campo de dados. Essa identificao realizada usando o conceito de porta, um nmero inteiro associado a cada programa de aplicao especfico. Os cabealhos de segmentos TCP e datagramas UDP possuem campos que identificam as portas das aplicaes que esto transferindo dados. Na recepo, ocorre o processo inverso ao encapsulamento, tambm chamado de desencapsulamento. Alguns autores denominam esse processo inverso de demultiplexao. Conforme a figura seguinte, cada unidade de dados sobe na pilha de protocolos at que os dados sejam efetivamente entregues ao programa de aplicao. Cada camada trata as suas informaes de controle, realizando funes especficas de acordo com a informao contida no cabealho. Em seguida, o cabealho da unidade de dados removido e apenas o campo de dados entregue camada imediatamente superior. Consequentemente, o campo de dados de uma determinada camada representa a unidade de dados (cabealho + dados propriamente ditos) da camada imediatamente superior.
63
Na arquitetura TCP/IP, o processo de encapsulamento comea com a entrega dos dados a serem transmitidos para a entidade da camada de aplicao, que, por sua vez, monta mensagens do protocolo especfico da aplicao. Tais mensagens so entregues camada de transporte. Cada aplicao decide qual mecanismo de transporte deve utilizar:
Dados
Mensagem Mensagem
Aplicao
Transporte
Datagrama IP
Rede
Quadro
Interface de rede
O processo de desencapsulamento comea com a recepo dos bits do meio de comunicao atravs da interface fsica de rede. O fluxo de bits que chega noestruturado e deve ser agrupado sob a forma de um quadro da camada de enlace. A camada de interface de rede realiza o tratamento adequado do quadro, efetuando, por exemplo, a deteco de erros de transmisso. Assim, aps realizar suas funes, a camada de interface de rede entrega diretamente ao protocolo IP o respectivo datagrama. Caso a estao em questo seja o destino final do datagrama, o protocolo IP entrega o contedo do campo de dados do datagrama camada de transporte ou ao protocolo ICMP. Para tal, o campo protocol (protocolo) do datagrama avaliado para identificar se o contedo uma mensagem ICMP, um segmento TCP ou um datagrama UDP, para ento realizar a entrega ao protocolo correspondente (ICMP, TCP ou UDP, respectivamente). Por fim, baseados nos campos do cabealho que identificam as portas das aplicaes que esto transferindo os dados pela rede, os protocolos TCP e UDP extraem a mensagem encapsulada e entregam diretamente ao programa de aplicao destino. J no caso de uma mensagem ICMP, a unidade de dados j atingiu o destino final e, assim, no sobe mais na pilha de protocolos. O processo de desencapsulamento ocorre tanto na estao destino quanto nos vrios roteadores intermedirios. No entanto, como os datagramas IP devem ser encaminhados adiante nos roteadores intermedirios, a unidade de dados encapsulada no datagrama IP no sobe na pilha de protocolos. Em vez disso, o datagrama IP passa por um novo processo de encapsulamento. Em conjunto, os processos de encapsulamento e desencapsulamento asseguram a correta comunicao entre entidades pares de uma dada camada, ou seja, a entidade destino sempre recebe uma cpia idntica da unidade de dados enviada pela entidade origem.
64
Resumo
\\Os
protocolos das vrias camadas so responsveis pela montagem, envio, recepo e processamento de unidades de dados de suas respectivas camadas. Por exemplo, o protocolo IP monta datagramas e solicita que sejam enviados camada de interface de rede. Alm disso, recebe e processa os datagramas IP extrados pela camada de interface de rede. o envio de datagramas IP, cada datagrama pode ser roteado diretamente para a estao destino ou para algum roteador intermedirio. Por outro lado, na recepo de datagramas IP, se a estao for o destino, o datagrama recebido localmente repassado camada de transporte. Caso contrrio, o datagrama recebido roteado para a estao destino ou para outro roteador intermedirio. camadas de aplicao e transporte sempre usam protocolos fim-a-fim. Ou seja, tais protocolos transportam unidades de dados diretamente entre as estaes origem e destino. Portanto, apenas os Hosts A e B apresentam as camadas de aplicao e transporte. camadas inter-rede e interface de rede adotam protocolos que permitem a troca de unidades de dados apenas entre equipamentos conectados a uma mesma rede fsica. Dessa forma, as camadas inter-rede e interface de rede esto presentes nas estaes de origem e destino e nos vrios roteadores intermedirios. fato de conectar diversas redes fsicas, cada roteador pode possuir vrias implementaes da camada de interface de rede, cada uma delas especfica para um determinado tipo de rede fsica; por exemplo, uma conexo a uma rede local atravs de uma interface Fast Ethernet, e uma conexo de longa distncia atravs de uma interface serial. Entretanto, roteadores possuem apenas uma nica implementao da camada de rede, porque o protocolo IP adotado em toda a inter-rede para garantir a interoperabilidade dos vrios dispositivos.
\\Durante
\\As
\\As
\\Pelo
o tamanho do cabealho do protocolo TCP e o tamanho dos dados da aplicao; faa uma verificao do tamanho total do quadro, somando todos os campos. O Wireshark pode ser obtido em www.wireshark.org
\\Finalmente,
Soluo
A figura a seguir mostra a tela principal do Wireshark. Na parte superior esto os menus suspensos e logo abaixo a barra de ferramentas. Para abrir o arquivo de captura chamado Atividade1.cap utilizamos o cone da barra de ferramentas que representa uma pasta (sexto da esquerda para a direita). Para esta anlise selecionamos o pacote no 258, que foi enviado do servidor web para o host do usurio. Figura 4.7 Quadro capturado em rede local Ethernet (parte 1)
Na janela inferior temos o contedo total do pacote (132 bytes) representado na forma hexadecimal (do endereo x0000 at o endereo x0083). Cada linha representa 16 bytes e a ltima linha tem 4 bytes (8 linhas x 16 = 128 + 4 = 132 bytes). Na janela imediatamente acima esto representadas as diversas camadas de protocolos, a saber:
\\Camada
fsica Frame 258 (132 bytes on wire, 132 bytes captured); identifica o quadro no arquivo e informa a quantidade de bytes total; de enlace de dados Ethernet II, Src: 00:17:9a:f8:4c:6b (00:17:9a:f8:4c:6b), Dst: AcerNetx_01:d3:06 (00:60:67:01:03:06); identifica os endereos fsicos de origem e destino do quadro (neste ltimo identifica o fabricante da placa de rede pelos 3 primeiros octetos); de rede Internet Protocol, Src: 192.168.0.1 (192.168.0.1), Dst: 192.168.0.199 (192.168.0.199); identifica os endereos de rede IP de origem e destino; de transporte Transmission Control Protocol, Src Port: http (80), Dst Port: 2223 (2223), Seq: 1, Ack: 305, Len: 78; identifica o protocolo TCP e as respectivas portas TCP que identificam as aplicaes de cada lado.
\\Camada
\\Camada
\\Camada
Cada camada, quando selecionada, faz com que os bytes correspondentes fiquem destacados na janela inferior. A figura a seguir mostra o cabealho da camada de enlace de dados com o tamanho de 14 bytes. Se tivssemos selecionado a camada fsica, todo o quadro estaria em destaque (132 bytes). As prximas figuras mostram em destaque os dados das camadas de rede, transporte e aplicao, respectivamente.
66
Na figura a seguir esto destacados os bytes do cabealho do protocolo TCP (20 bytes). Figura 4.9 Quadro capturado em rede local Ethernet (parte 3)
Finalmente, na prxima figura aparecem em destaque os bytes dos dados da aplicao. Note que esses dados tm o tamanho de 78 bytes, conforme informado pelo programa Wireshark, linha da camada de transporte, ltimo campo informado (Len: 78). Observe que, como o protocolo TCP o nico que faz a interface com a aplicao, somente ele poderia saber o tamanho do campo de dados da aplicao. Figura 4.10 Quadro capturado em rede local Ethernet (parte 4)
bytes (cabealho Ethernet) + 20 bytes (cabealho IP) + 20 bytes (cabealho TCP) + 78 bytes (dados da aplicao) = 132 bytes.
Para executar uma captura on-line necessrio iniciar o Wireshark em modo root, seguindo o procedimento descrito a seguir:
\\Aperte
as teclas Alt+F2 e na tela aberta pelo Linux Educacional digite Wireshark. Clique em Opes, e em seguida em Executar como um usurio diferente; escolha o Nome de usurio como root (se j no estiver selecionado) e a senha correspondente, conforme mostra a figura a seguir: Figura 4.11 Execuo do Wireshark em modo root
Clique em Executar. O Wireshark ser iniciado em modo root. Para escolher uma interface de captura, clique no primeiro cone esquerda na barra de tarefas do Wireshark. Dever ser mostrada uma tela semelhante da figura a seguir, onde deve ser selecionada a interface desejada. Figura 4.12 Interfaces de captura do Wireshark
Clique em Start para que a captura seja iniciada automaticamente. Basta fazer um acesso qualquer internet e depois clicar no quarto cone (da esquerda para a direita) da barra de ferramentas, conforme a figura 4.7, para encerrar a captura e examinar os pacotes capturados.
68
5
Endereamento IP
Endereo IP Nmero inteiro de 32 bits utilizado para identificar individualmente cada dispositivo de uma inter-rede TCP/IP. Notao decimal pontuada Representao de um endereo IP na forma de quatro nmeros decimais separados por pontos.
Os usurios veem a internet como uma rede virtual nica qual todos os dispositivos esto conectados. Para possibilitar essa conexo, um mecanismo de endereamento universal deve ser adotado, permitindo a identificao individual e nica de cada dispositivo. Em redes TCP/IP, essa identificao realizada por meio de endereos IP, tambm denominados endereos internet. Endereos IP so nmeros inteiros positivos de 32 bits. Portanto, existe um total de 232 endereos possveis. Para facilitar a manipulao, os endereos IP so normalmente escritos com uma notao decimal pontuada (dotted-decimal notation). Cada nmero decimal est associado a um determinado byte do endereo e, portanto, varia entre 0 e 255. A figura a seguir apresenta as notaes binria e decimal do endereo IP: 192.168.10.1.
0 31 11000000 192 10101000 168 00001010 10 00000001 1
Endereos IP no so atribudos diretamente s estaes e roteadores, mas s interfaces de rede desses dispositivos. Dessa forma, cada interface de estaes e roteadores deve possuir um endereo IP nico. fcil, portanto, concluir que estaes multihomed e roteadores possuem mltiplos endereos IP. Em vez de utilizar uma numerao puramente sequencial, os endereos IP adotam uma estrutura hierrquica que identifica as redes fsicas e as estaes (interfaces) nessas redes. A razo dessa estruturao hierrquica realizar o roteamento baseado em redes, em vez de estaes. Essa abordagem reduz sensivelmente a quantidade de informaes do roteamento e o torna mais eficiente. Para representar essa hierarquia, todo endereo IP dividido em duas partes:
Roteamento baseado em redes As informaes de roteamento apontam para as redes, e no para as estaes individuais.
69
\\Identificador
de rede poro do endereo IP que identifica a rede de forma nica e individual, sendo comumente denominado prefixo de rede. de estao identifica a estao (interface) dentro da rede, de forma nica e individual. Figura 5.2 Estrutura hierrquica de endereos IP
\\Identificador
Na atribuio de endereos s interfaces de estaes e roteadores, as seguintes regras devem ser seguidas:
\\Diferentes \\Um
nico prefixo de rede deve ser compartilhado pelas interfaces conectadas a uma mesma rede fsica; nico identificador de estao deve ser atribudo a cada interface conectada a uma determinada rede fsica.
\\Um
Por exemplo, observe na figura a seguir que todas as interfaces conectadas s redes Rede1 e Rede2 compartilham prefixos de redes que identificam suas respectivas redes fsicas. Isso significa que as estaes (E1 e E2) e o roteador (R1) compartilham o prefixo 192.168.1 da Rede1, enquanto as estaes (E3 e E4) e o roteador (R1) compartilham o prefixo 200.10.1 da Rede2. Figura 5.3 Endereos de interfaces
E1
E3
192.168.10.1
200.10.1.1
1
E2
192.168.10.3
200.10.1.3
R1
192.168.10.2 200.10.1.2
E4
Interfaces conectadas a diferentes redes fsicas podem possuir os mesmos identificadores de estao, pois seus prefixos de rede so diferentes e asseguram a unicidade de endereos. Por exemplo, na Rede1, as estaes (E1 e E2) e o roteador (R1) possuem os identificadores de estao 1, 2 e 3, respectivamente. J na Rede2, as estaes (E3 e E4) e o roteador (R1) possuem, tambm, os identificadores de estao 1, 2 e 3, respectivamente, mas os prefixos de rede so diferentes.
70
Classes de endereos IP
Classe de endereo a categoria de um endereo IP. Define onde termina o prefixo de rede e comea o identificador de estao.
Para acomodar redes fsicas de diferentes tamanhos, o espao de endereos IP dividido em cinco classes de endereos, denominadas classes A, B, C, D e E. Cada classe adota uma posio diferente para delimitar o prefixo de rede e o identificador de estao. A prxima figura ilustra as classes de endereos IP, cuja distino realizada por um cdigo fixo associado a cada classe nos primeiros bits do byte mais significativo (chamada regra do primeiro octeto). No lado direito da figura, o espao de endereos de cada classe apresentado. As redes que usam esse esquema padro de endereamento possuem uma arquitetura de endereamento classful, enquanto as que usam esquemas diferentes tm arquitetura de endereamento classless.
0 1 Classe A Classe B 0 01 10 012 Classe C Classe D Classe E 110 0123 1110 0123 1111 4 31 4 31 3 23 24 31 2 15 16 31 7 8 31 0.0.0.0 127.255.255.255 128.0.0.0 191.255.255.255 192.0.0.0 223.255.255.255 224.0.0.0 239.255.255.255 240.0.0.0 255.255.255.255
Arquitetura de endereamento classful Esquema de endereamento que utiliza o conceito de classes de endereos A, B e C. Permite a adoo do esquema de endereamento de sub-redes, porm no permite o esquema de endereamento de super-redes.
\\Endereos
classe A os 8 primeiros bits identificam a rede e os outros 24 bits identificam a estao. Assim, podemos concluir que o total de redes classe A 27 (primeiro bit do prefixo de rede sempre igual a 0), com at 224 estaes em cada rede; classe B os 16 primeiros bits representam o prefixo de rede e os outros 16 bits representam o identificador da estao. Nesse caso, o total de redes classe B 214 (dois primeiros bits do prefixo de rede fixados em 10), com at 216 estaes em cada rede; classe C possuem 24 bits que identificam a rede e apenas 8 bits que identificam a estao. Assim, a quantidade de redes classe C , no mximo, de 221 (trs primeiros bits do prefixo de rede fixados em 110), com at 28 estaes em cada rede; classe D usados para suportar endereamento multicast, em que cada endereo associado a um grupo de estaes. Neste caso, pacotes destinados a um determinado endereo multicast so entregues s estaes que pertencem ao respectivo grupo. O conjunto composto pelos 28 bits de um endereo classe D denominado identificador de grupo multicast. Ao contrrio das classes A, B e C, que so ditas unicast, endereos multicast no possuem qualquer estruturao. Na prtica, endereamento multicast pode ser explorado
\\Endereos
Arquitetura de endereamento classless Esquema de endereamento que no utiliza o conceito de classes de endereos. Permite a adoo do endereamento de super-redes, como tambm o endereamento de sub-redes.
\\Endereos
\\Endereos
Captulo 5 Endereamento IP 71
por aplicaes interativas de grupo, como por exemplo videoconferncia, ou como mecanismo para identificar servios em uma rede;
\\Endereos
Observe que as classes A, B e C permitem a configurao de um variado nmero de redes com diferentes tamanhos:
\\Endereos
classe A suportam poucas redes, mas cada uma delas pode ser gigantesca; classe B suportam um nmero mediano de redes, com tamanho tambm mediano; classe C suportam um grande nmero de pequenas redes.
\\Endereos
\\Endereos
Considerando um endereo classe A, B ou C, para cada prefixo de rede, o espao de endereamento abrange os endereos possveis que podem ser expressos por meio da variao do identificador da estao, conforme exemplificado na tabela abaixo: Prefixo de rede 10 172.16 192.168.10 Classe A B C Endereos possveis de 10.0.0.0 at 10.255.255.255 de 172.16.0.0 at 172.16.255.255 de 192.168.10.0 at 192.168.10.255 Tabela 5.1 Exemplos de endereos por classe
Endereos especiais
Considerando o espao de endereamento das classes A, B e C, vrios desses endereos so reservados para determinadas finalidades: identificao de rede, broadcast, endereos privados, identificao de rota default, loopback.
72
Broadcast Tcnica que permite a entrega de cpias de um mesmo pacote a todas as estaes de uma determinada rede. Broadcast direto Mecanismo que permite o envio de datagramas IP para todas as estaes (interfaces de estaes e roteadores) de uma determinada rede a partir de qualquer estao da interrede TCP/IP. Endereo de broadcast direto Endereo IP especial cujo identificador de estao possui todos os bits iguais a 1.
Uma vez que cada rede fsica possui um endereo de rede particular, o endereamento IP adota o conceito de broadcast direto. Para suportar o conceito de broadcast direto, o endereamento IP reserva um endereo especial em cada rede. Por conveno, qualquer endereo classe A, B, ou C, cujo identificador de estao possua todos os bits iguais a 1, reservado para representar o endereo de broadcast direto. Assim, o identificador de estao com todos os bits iguais a 1 nunca deve ser atribudo a uma interface, conforme exemplificado na prxima tabela. Classe A B C Endereo de rede 10.0.0.0 172.16.0.0 192.168.10.0 Endereo de broadcast direto 10.255.255.255 172.16.255.255 192.168.10.255
Desta forma, um endereo IP que contenha todos os bits do identificador de estao com valor 0 ou valor 1 no pode ser usado para identificar uma interface de rede. Essa regra chamada all bits 0 and 1 (todos os bits zeros e uns). Ao contrrio de endereos de rede, que nunca so usados diretamente nos datagramas IP, endereos de broadcast direto podem ser usados em datagramas, permitindo ao roteador de entrada da rede destino realizar o broadcast do datagrama naquela rede. Considerando as faixas de endereos das classes A, B e C, os endereos usveis so todos aqueles que podem ser atribudos s interfaces de estaes e roteadores. Portanto, todos os endereos so usveis, exceto o primeiro (endereo de rede) e o ltimo (endereo de broadcast direto). A tabela seguinte ilustra exemplos de endereos usveis para as classes A, B e C. Classe A B C Prefixo de rede 10 172.16 192.168.10 Endereo de rede 10.0.0.0 176.16.0.0 192.168.10.0 Broadcast direto 10.255.255.255 172.16.255.255 192.168.10.255 Endereo de estaes 10.0.0.1 a 10.255.255.254 172.16.0.1 a 172.16.255.254 192.168.10.1 a 192.168.10.254
Captulo 5 Endereamento IP 73
Endereos de rede nunca so usados diretamente nos datagramas IP. Entretanto, como o roteamento na arquitetura TCP/IP baseado em redes, em vez de estaes, os endereos de rede so largamente adotados para manter as informaes de roteamento que apontam para as respectivas redes.
Interface de loopback Interface virtual que referencia a prpria estao. Endereo de loopback Endereo IP reservado (127.0.0.0) utilizado para referenciar a interface de loopback.
Mscaras de rede
As classes de endereos adotam diferentes posies para delimitar o prefixo de rede e o identificador de estao. Alm dos primeiros bits do prefixo de rede, o endereamento IP adota o conceito de mscara de rede para permitir que cada estao conhea o nmero de bits que identifica a rede fsica e a estao. A prxima figura ilustra a estrutura de uma mscara de rede:
0 1111 . . . 1111 0000 . . . 0000 31
Mscara de rede Padro de 32 bits que contm bits 1 na posio do prefixo de rede e bits 0 na posio do identificador de estao.
Para facilitar a manipulao, mscaras de rede podem ser escritas por meio do uso da notao decimal (dotted-decimal notation) ou contagem de bits (bit count):
\\Na
notao decimal, de forma similar ao endereo IP, a mscara representada por quatro nmeros decimais, separados por pontos. Cada nmero decimal est associado a um determinado byte da mscara e, portanto, varia entre 0 e 255; notao de contagem de bits, a mscara simplesmente representada por um nmero inteiro, precedido por uma barra (/) que indica a quantidade de bits 1 que compem a mscara.
\\Na
Assim, o endereo IP 192.168.10.1 com mscara de rede 255.255.255.0 pode ser representado por 192.168.10.1/24. Considerando que os endereos de rede classe A, B e C possuem 8, 16 e 24 bits no prefixo de rede, as mscaras 255.0.0.0 (/8), 255.255.0.0 (/16) e 255.255.255.0 (/24) so denominadas mscaras default para essas classes de endereos, respectivamente. A figura a seguir exemplifica um endereo IP classe B (172.16.122.204) e sua mscara de rede (255.255.0.0 ou /16). Note a diviso entre os octetos de rede (os 2 primeiros) e os octetos de host (os 2 ltimos).
74
Endereo 172.16.122.204
172 16 122 204
Endereo Binrio
10101100
00010000
01111010
11001100
255
255
Mscara Binrio
11111111
Rede
11111111
00000000
Host
00000000
255.255.0.0 Mscara
A tabela seguinte mostra exemplos de endereos IP das classes A, B e C e suas respectivas mscaras de rede. Tabela 5.5 Exemplos de endereos IP Endereo de rede 10.2.1.1 128.63.2.10 201.222.5.64 192.6.141.2 130.13.64.16 201.10.256.21 Mscara de rede 255.0.0.0 255.255.0.0 255.255.255.0 255.255.255.0 255.255.0.0 Classe A B C C B Endereo de rede 10.0.0.0 128.63.0.0 201.222.5.0 192.6.141.0 130.13.0.0 Endereo de estaes 0.2.1.1 0.0.2.10 0.0.0.64 0.0.0.2 0.0.64.16
invlido no existente
Encaminhamento de pacotes IP
Estaes conectadas mesma rede fsica podem se comunicar diretamente. No entanto, estaes conectadas a redes fsicas diferentes devem enviar os datagramas IP por meio de roteadores intermedirios. Dessa forma, a arquitetura TCP/IP suporta dois tipos de entrega de datagramas: entrega direta e entrega indireta.
Entrega direta
Ocorre quando as estaes de origem e destino esto conectadas na mesma rede fsica. Para exemplificar a entrega direta, considere duas estaes conectadas ao mesmo segmento de rede fsica Ethernet, conforme mostrado na prxima figura. A estao Host A tem endereo IP: 192.168.1.103 e a estao Host B tem endereo IP: 192.168.1.1, sendo que a mscara de rede de ambas 255.255.255.0 (/24); portanto, elas esto na mesma rede IP.
Captulo 5 Endereamento IP 75
192.168.1.103 00:1d:7e:9b:c3:11
192.168.1.1 00:1d:7e:c9:29:e6
Suponha que a estao Host A deseja enviar um datagrama IP para a estao Host B. Nesse caso, o datagrama ir transportar os endereos IP das estaes de origem (192.168.1.103) e destino (192.168.1.1). Mas surge um problema: a estao Host A no sabe o endereo fsico da estao Host B. Ela precisa desse endereo fsico para entregar o quadro diretamente. Para obter o endereo fsico do Host B, ela precisa usar o protocolo ARP (Address Resolution Protocol) que permite a qualquer estao da rede fazer uma consulta como a mostrada na figura anterior. Essa consulta chamada de ARP Broadcast ou ARP Request e usa um quadro da rede fsica. Somente a estao com o endereo IP: 192.168.1.1 responder; as demais estaes iro ignorar esse broadcast. Nesta resposta chamada ARP Reply, que no broadcast, o Host B informa seu endereo fsico para que o Host A possa encapsular o datagrama IP no quadro da rede fsica e, ento, efetivamente transmiti-lo.
Protocolo ARP Protocolo de camada de enlace utilizado na arquitetura TCP/IP para resolver o mapeamento de endereos de rede IP em endereos fsicos da camada de interface de rede.
O endereo fsico de origem e o endereo fsico de destino; Os dados enviados pelo protocolo ARP.
O endereo fsico de origem e o endereo fsico de destino; Os dados enviados pelo protocolo ARP.
76
Soluo
Podemos ver o primeiro pacote ARP enviado pelo Host A (endereo IP: 192.168.1.103, endereo fsico: 00:13:f7:7f:2e:ef) para o Host B, no qual ele pergunta para toda a rede (ARP broadcast) quem tem o endereo IP: 192.168.1.1. Quem tiver esse endereo IP, por favor informe seu endereo fsico. Esse quadro est mostrado em detalhes na prxima figura, onde foi selecionado o quadro 1 e a camada de enlace de dados. Figura 5.8 Quadro ARP Request
endereo fsico de origem (00:13:f7:7f:2e:ef) o do Host A e o endereo fsico de destino o endereo de broadcast da rede fsica (no caso, a rede Ethernet), que padronizado: ff:ff:ff:ff:ff:ff;
\\Os
dados enviados pelo protocolo ARP so os dados necessrios para identificar o destinatrio (o Host B que tem o endereo IP: 192.168.1.1), indicando tambm o tamanho do endereo IP (Protocol size = 4 octetos), o tamanho do endereo fsico (Hardware size = 6 octetos), o cdigo da operao (ARP Request) e se identificando como remetente desta mensagem.
A figura a seguir mostra a resposta do Host B (endereo IP: 192.168.1.1, endereo fsico: 00:1d:7e:c9:29:e6), usando um quadro ARP Reply. Algumas observaes importantes:
\\O
endereo fsico de origem (00:1d:7e:c9:29:e6) o do Host B e o endereo fsico de destino o endereo do Host A (00:13:f7:7f:2e:ef), portanto, uma resposta unicast;
77
Captulo 5 Endereamento IP
Note tambm que o Wireshark s mostra a camada fsica, a camada de enlace e o protocolo ARP, porque ainda no foi enviado nenhum datagrama IP. Quando o Host A aprender o endereo fsico do Host B atravs do protocolo ARP, o Host A colocar essa informao numa tabela chamada tabela ARP, que nada mais do que o mapeamento dos endereos IP das estaes e seus respectivos endereos fsicos. Mais adiante veremos como examinar essa tabela.
\\Os
dados enviados pelo protocolo ARP so os dados necessrios para identificar o destinatrio e o remetente. Figura 5.9 Quadro ARP Reply
Note tambm que o Wireshark s mostra a camada fsica, a camada de enlace e o protocolo ARP, porque ainda no foi enviado nenhum datagrama IP. Quando o Host A aprender o endereo fsico do Host B atravs do protocolo ARP, o Host A colocar essa informao numa tabela chamada tabela ARP, que nada mais do que o mapeamento dos endereos IP das estaes e seus respectivos endereos fsicos. Mais adiante veremos como examinar essa tabela.
Comando ping
Para testar se um determinado destino est operacional e pode ser alcanado atravs da rede, o comando ping envia mensagens ICMP Echo Request para o destino especificado. Aps receber um Echo Request, o destino retorna uma mensagem ICMP Echo Reply. Se a resposta no for recebida, a estao origem pode concluir que o destino no est operacional ou no pode ser alcanado atravs da rede. Nesse processo, o ping calcula o tempo de resposta (round-trip), dando uma ideia da proximidade daquele destino. Este comando serve para verificar a conectividade entre origem e destino, no importando se ambos esto na mesma rede ou no. usado o protocolo ICMP (Internet Control Message Protocol) RFC 792. Este protocolo utiliza o datagrama IP para enviar suas mensagens, que so basicamente de dois tipos:
\\Solicitao \\Erro
Comando ping Testa se um determinado destino est operacional e pode ser alcanado atravs da rede.
A origem envia um pacote Echo Request (mensagem ICMP tipo 8) e o destino responde com Echo Reply (mensagem ICMP tipo 0). A origem calcula o tempo total de ida e volta (round-trip) e imprime uma linha com os resultados. Se o destino no existir, emitir uma mensagem de erro ICMP. A figura a seguir ilustra esse processo:
78
Origem
Destino
Para examinar o funcionamento desse processo, vamos usar o analisador de protocolo Wireshark, com o arquivo de captura Atividade2.cap, mostrado na figura a seguir: Figura 5.11 Arquivo de captura dos pacotes do comando ping
Os quadros 4 a 10 mostram todo o processo de troca de mensagens ICMP entre origem e destino. No nosso exemplo as estaes envolvidas tm os endereos IP: 192.168.1.103 (origem dos pings) e 192.168.1.1 (destino dos pings). Observe que o Wireshark mostra no segundo quadro (detalhamento das camadas de protocolos), 4 camadas: fsica, enlace de dados (rede local Ethernet), rede (datagrama IP) e ICMP, que est usando os datagramas IP para transporte das suas mensagens. Nesse exemplo, ambas as estaes esto na mesma rede. O que acontece se as estaes de origem e destino no estiverem na mesma rede?
Entrega indireta
Ocorre quando as estaes de origem e destino esto conectadas a redes fsicas distintas. Ela pode ser representada como uma sequncia de entregas diretas. Inicialmente, a estao de origem entrega o datagrama a um roteador intermedirio que, por sua vez, entrega a outro roteador intermedirio e assim por diante, at que o ltimo roteador do caminho entrega o datagrama estao destino. Para exemplificar a entrega indireta, considere duas estaes E1 e E4, conectadas a redes fsicas distintas por meio de um roteador R1, conforme mostrado na figura a seguir. Suponha que a estao E1 deseja enviar um datagrama IP para a estao E4.
Captulo 5 Endereamento IP 79
200.10.16.1
200.10.16.2
150.10.1.1
150.10.1.2
E1
E2
R1
200.10.16.3 150.10.1.3
E3
E4
Nesse caso, o datagrama sempre transporta os endereos IP das estaes de origem (200.10.16.1) e destino (150.10.1.2). A estao E1 deve encaminhar o datagrama para o roteador R1, cujo endereo IP 200.10.16.3. Se o endereo fsico do roteador R1 no estiver na tabela ARP de E1, ela ativa o protocolo ARP para obter esse endereo, como no exemplo anterior de entrega direta. Em seguida, o datagrama IP encapsulado no quadro da rede fsica (onde est E1) e efetivamente transmitido. O quadro transporta os endereos fsicos da estao de origem (E1) e do roteador R1. Aps receber o datagrama, o roteador pode entreg-lo estao de destino. Assim, R1 ativa, se necessrio, o protocolo ARP para mapear o endereo IP (150.10.1.2) da estao de destino para o seu respectivo endereo fsico. Por fim, o datagrama IP encapsulado no quadro da rede fsica onde est E4 e efetivamente transmitido. Nesse caso, o quadro transporta os endereos fsicos do roteador R1 e da estao de destino (E4).
Para fazer o download do software NetSimk, siga os seguintes passos: 1. Abra o navegador do Linux Educacional; 2. Acesse o site: www.netsimk.com; 3. Clique em Download Netsimk; 4. Selecione o Desktop como destino do download; 5. Aps o download, feche o navegador, aponte para o cone do NetSimk e clique com o boto direito do mouse; 6. Selecione a linha do Netsimk.exe e mande extrair para o Desktop; 7. Aps a extrao, clique duas vezes no cone do NetSimk para executar. Note que, apesar de ser um software desenvolvido para Windows, ele funciona perfeitamente sob o Linux Educacional, graas ao software wine j instalado.
80
Rede 2 150.10.1.0/24
3 1 2 1
E0 R1
E1
3 1 2
E1
E2
E3
E4
200.10.16.1
200.10.16.2
150.10.1.1
150.10.1.2
A rede est configurada no arquivo Rede_Atividade3.nsw. A estao E1, ao enviar um pacote para a estao E2, por exemplo, far uma entrega direta, porque ambas esto na mesma rede; portanto, no ter a necessidade de entregar via roteador (gateway padro). Por outro lado, ao enviar um pacote para a estao E4, por exemplo, ter que fazer uma entrega indireta via roteador, e este far a entrega direta do pacote estao E4. Aproveitando este exemplo, mostraremos tambm como a tabela ARP da estao E1 atualizada e as mensagens ARP que sero enviadas por ela. Siga o seguinte roteiro: 1. 2. 3. 4. 5. Verifique se a tabela ARP da estao E1 est vazia, usando o comando arp -a. Na estao E1, execute o comando ping 200.10.16.2, que fora o envio de pacotes IP para a estao E2. Verifique novamente a tabela ARP da estao E1. Nesse caso, a estao E1 fez uma entrega direta. Na estao E1, execute o comando ping 150.10.1.2, que fora o envio de pacotes para a estao E4. Verifique novamente a tabela ARP da estao E1. Nesse caso, a estao E1 fez uma entrega indireta. Por que podemos fazer esta afirmao?
Soluo
A estao E1, ao enviar um pacote para a estao E2, por exemplo, far uma entrega direta porque ambas esto na mesma rede, portanto, no ter necessidade de entregar via roteador (gateway padro). Por outro lado, ao enviar um pacote para a estao E4, por exemplo, ter que fazer uma entrega indireta via roteador e este far a entrega direta do pacote estao E4.
81
Captulo 5 Endereamento IP
Para exemplificar os mecanismos de entrega direta e indireta vamos usar o simulador Netsimk aplicado rede da figura anterior, conforme veremos a seguir. Esse simulador pode ser obtido gratuitamente no endereo www.netsimk.com e executa sob o wine em ambiente Linux. O simulador foi desenvolvido pelo Prof. Steven Kessel para uso em cursos de Certificao Cisco CCNA.
Aproveitando este exemplo vamos mostrar tambm como a tabela ARP da estao E1 atualizada e as mensagens ARP que sero enviadas por ela. Inicialmente, a tabela ARP da estao E1 est vazia, conforme mostrado na listagem a seguir:
C:> arp -a No ARP entries found
Na estao E1, aps a execuo do comando ping 200.10.16.2, que fora o envio de pacotes para a estao E2, a tabela ARP fica atualizada conforme mostrado na listagem abaixo:
C:> ping 200.10.16.2 Pinging 200.10.16.2 with 32 bytes of data: Reply from 200.10.16.2 on Eth, time<10ms TTL=128 C:> arp -a Internet Address 200.10.16.2 Physical Address C9-87-F8-00-10-03 Type Dynamic
Nesse caso, a estao E1 fez uma entrega direta. Para constatar que foi realmente assim, alm da tabela ARP que mostra apenas o endereo MAC da estao E2, podemos verificar a atividade do roteador R1 que interliga as duas redes. Nesse ponto a atividade do roteador R1 nula, porque a estao E1 fez uma entrega direta para a estao E2, sem passar pelo roteador R1. Porm, aps a execuo do comando ping 150.10.1.2, que fora o envio de pacotes para a estao E4, a tabela ARP fica atualizada conforme mostrado na listagem abaixo:
C:> ping 150.10.1.2 Pinging 150.10.1.2 with 32 bytes of data: Ping request timed out. Reply from 150.10.1.2 on Eth, time<10ms TTL=127 Reply from 150.10.1.2 on Eth, time<10ms TTL=127 Reply from 150.10.1.2 on Eth, time<10ms TTL=127 C:> arp -a Internet Address 200.10.16.2 200.10.16.3 Physical Address C9-87-F8-00-10-03 29-13-C0-00-10-04 Type Dynamic Dynamic
Note que agora aparece tambm o endereo IP e o endereo fsico da interface E0 do roteador R1, portanto, o roteador R1 participou do processo de entrega para a estao E4, conforme mostrado a seguir.
82
(20) O primeiro quadro enviado pela estao E1 chega interface E0 do roteador R1 e um ARP broadcasting da estao com endereo IP: 200.10.16.1 (E1), procurando saber o endereo fsico da interface E0 do roteador R1 (endereo IP: 200.10.16.3). (21) A resposta enviada pelo roteador R1 informa o endereo fsico da interface E0 do roteador R1 (29-13-C0-00-10-04).
(19) in E0: PINGReq: 200.10.16.1 to 150.10.1.2 TTL=128
(19) o primeiro pacote IP enviado para a estao E4, agora que a estao E1 sabe o endereo fsico da interface E0 do roteador R1. Ela encaminha o pacote IP para o roteador R1, para que ele faa a entrega indireta. Note que o endereo IP o endereo da estao E4, no o endereo IP da interface E0 do roteador R1, mas o endereo fsico o da interface E0 do roteador R1. Nesse ponto, o roteador R1 precisa fazer uma entrega direta para a estao E4; portanto, ele precisa do endereo fsico da estao E4. Para isso so enviados os quadros listados a seguir:
(22) out E1: ARPReq: 150.10.1.3 looking for 150.10.1.2 (23) in E1: ARPAck: FromIP:150.10.1.2 MAC:B4-81-81-00-10-03 ToIP:150.10.1.3
(22) um ARP broadcasting da interface E1 do roteador R1 procurando saber o endereo fsico da estao E4 (IP:150.10.1.2). (23) a resposta da estao E4 informando seu endereo fsico: B4-81-81-00-10-03.
Captulo 5 Endereamento IP 83
Agora que o roteador R1 sabe o endereo fsico da estao E4, os pacotes IP seguintes podem ser entregues, conforme listado a seguir. O pacote (24) entra pela interface E0 e sai pela interface E1. O pacote (25) faz o caminho inverso ( a resposta do ping).
(24) (24) (25) (25) in out in out E0: E1: E1: E0: PINGReq: PINGReq: PINGAck: PINGAck: 200.10.16.1 to 150.10.1.2 200.10.16.1 to 150.10.1.2 150.10.1.2 to 200.10.16.1 150.10.1.2 to 200.10.16.1 TTL=128 TTL=127 TTL=128 TTL=127
E assim por diante para os demais pacotes. Ainda uma ltima confirmao da entrega indireta. No lugar do comando ping 150.10.1.2 vamos executar o comando tracert 150.10.1.2 (traceroute) que mostra a rota que o pacote est percorrendo na rede. O resultado est listado a seguir. Note que o pacote passa pela interface E0 do roteador (IP: 200.10.16.3).
C:> tracert 150.10.1.2 Tracing route to 150.10.1.2 1 4ms 5ms 5ms 200.10.16.3 2 12ms 9ms 11ms 150.10.1.2 Destination trace successful.
O comando ping muito usado para diagnstico de problemas de configurao, pois testa a conectividade no nvel de camada de rede (protocolo IP). Outro comando muito til para diagnsticos de problemas de roteamento o comando traceroute, explicado a seguir.
Comando traceroute
Este comando se baseia no fato de que, quando o campo TTL (Time To Live Tempo de Vida) do cabealho do datagrama IP atinge zero, o roteador no pode rotear o datagrama, mas precisa obrigatoriamente descart-lo e enviar uma mensagem ICMP de erro tipo 11, informando seu endereo IP. Esta mensagem de tempo expirado em trnsito (TTL=0). assim que a origem fica sabendo o caminho que o datagrama est percorrendo. O datagrama UDP carrega um nmero de porta improvvel para o destino, de modo que, quando ele finalmente chega l, o destino responde com uma mensagem de erro de porta inatingvel (ICMP tipo 3), no de tempo expirado em trnsito (TTL=0). assim que a origem fica sabendo que o destino foi atingido. O programa traceroute utiliza uma combinao de mensagens time exceeded e destination unreachable para descobrir a rota entre duas estaes ou roteadores. Para tal, o programa envia diversos datagramas UDP para portas inexistentes do destino desejado:
84
\\A
primeira mensagem enviada em um datagrama IP que possui TTL igual a 1, fazendo com que o primeiro roteador do caminho descarte o datagrama e retorne uma mensagem time exceeded; segunda mensagem possui um TTL igual a 2, cabendo ao segundo roteador do caminho descartar o datagrama e gerar outra mensagem time exceeded; processo termina quando o destino desejado recebe o datagrama UDP e envia para a origem uma mensagem destination unreachable, pois a porta UDP especificada no existe;
\\A
\\O
\\A
cada mensagem time exceeded, o traceroute descobre um novo roteador intermedirio no caminho at o destino. Como datagramas so independentes e podem seguir por rotas diferentes, os diversos datagramas UDP, encapsulados em datagramas IP, podem seguir por diferentes rotas. Assim, o traceroute no assegura que todos os roteadores intermedirios identificados pertenam a uma nica rota.
Para cada valor de TTL, por default, so enviados 3 datagramas. Aps receber a mensagem time exceeded ou destination unreachable, o traceroute calcula e apresenta o tempo de resposta. Se uma destas mensagens no recebida, ao invs do tempo de resposta o comando mostra um asterisco. A figura adiante mostra o mecanismo do comando traceroute. Na figura est representado apenas um datagrama para cada hop, mas a aplicao envia 3 datagramas idnticos para cada hop. Os 3 primeiros datagramas tm TTL=1 e so descartados pelo primeiro hop (router0), porque este subtrai 1 do TTL (1-1=0), com uma mensagem de erro ICMP tipo 11, tempo expirado em trnsito (TTL=0). Figura 5.15 Comando traceroute
PC1 router0 router1 router2 PC5
hop1 UDP TTL=1 ICMP tipo 11 UDP TTL=2 ICMP tipo 11 UDP TTL=3 ICMP tipo 11
hop2
hop3
Os 3 seguintes tm TTL=2 e passam pelo primeiro hop (subtrai 1 do TTL: 2-1=1) e so descartados pelo segundo hop (router1), tambm com a mesma mensagem de erro. Os 3 seguintes tm TTL=3 e passam pelo primeiro hop (subtrai 1 do TTL:
85
Captulo 5 Endereamento IP
3-1=2), passam pelo segundo hop (subtrai 1 do TTL: 2-1=1) e so descartados pelo terceiro hop (router2), tambm com a mesma mensagem de erro. Finalmente, os 3 ltimos passam por todos os hops porque tm TTL=4 e chegam no destino ainda com TTL=1. Porm, a porta UDP de destino no existe no host de destino, da o host de destino gera uma mensagem de erro ICMP tipo 3. A listagem a seguir mostra a execuo da aplicao traceroute de uma estao numa rede privativa (192.168.1.0/24) para um endereo pblico na rede da RNP (endereo IP: 200.130.26.254).
# traceroute 200.130.26.254
traceroute to 200.130.26.254 (200.130.26.254), 30 hops max, 40 byte packets 1 2 ms 3 ms 4 ms 5 6 7 8 ms embratel-G2-0-1-ngacc01.bsa.embratel.net.br (189.52.36.21) 21.477 ms 21.823 ms 22.412 ms ebt-G6-0-gacc01.bsa.embratel.net.br (200.244.165.129) 19.637 bd06000a.virtua.com.br (189.6.0.10) 18.240 ms 18.961 ms 19.299 192.168.1.1 (192.168.1.1) 2.010 ms 5.931 ms 6.370 ms 17.446 ms 17.777
bd3d3001.virtua.com.br (189.61.48.1)
13.088 ms
22.755 ms 23.097 ms rnp-br-A4-0-47-gacc01.bsa.embratel.net.br (200.252.247.138) 15.515 ms 13.770 ms 18.220 ms 19.190 ms 24.806 fe-4-7-r3-rj.bkb.rnp.br (200.143.252.177) esr.pop-df.rnp.br (200.130.26.254) 24.328 ms 20.035 ms 17.243 ms 18.460 ms
Observe que o primeiro roteador que aparece sempre o gateway padro da rede 192.168.1.0/24 (passo 1). O passo 8 o destino final. Os nomes dos roteadores intermedirios so obtidos atravs de consultas ao servidor DNS reverso, que fornece um nome quando um endereo IP informado. Capturando os pacotes gerados por essa aplicao, podemos analisar como a aplicao funciona, usando o Wireshark. O arquivo de captura chama-se: captura_trace_Linux.cap. A figura seguinte mostra um pacote enviado pela origem, onde o TTL=1.
86
Observe que os datagramas UDP so sempre enviados da estao origem 192.168.1.101 para a estao destino 1200.130.26.254. A estao origem usa a porta UDP 51387. No entanto, o traceroute usa uma porta possivelmente inexistente no destino, que a porta padro 33434. Nos 3 primeiros datagramas UDP, o TTL 1. Assim, o primeiro roteador do caminho (192.168.1.1) descarta esses datagramas, enviando uma mensagem time exceeded para cada um deles. Nos ltimos 3 datagramas UDP, a estao destino j foi alcanada. Nesse caso, como a porta UDP 33434 no existe, a estao destino descarta esses datagramas, enviando a mensagem port unreachable, um subtipo da mensagem destination unreachable, para cada um deles. dessa forma criativa que o comando traceroute consegue mostrar o caminho pelo qual um datagrama passa da origem at o seu destino. A figura a seguir mostra a resposta do primeiro roteador ao pacote descrito na figura anterior. Note que as portas UDP so as mesmas usadas na figura anterior e a mensagem de erro ICMP do tipo 11, cdigo 0 (time to live exceeded in transit). E assim por diante at chegar ao destino final. Figura 5.17 Pacote de resposta do primeiro roteador
Captulo 5 Endereamento IP 87
A figura a seguir mostra a resposta do destino final, que a estao com endereo IP: 200.130.26.254. Figura 5.18 Pacote de resposta do destino final
Observe que o comportamento do destino final no foi o previsto. Em lugar de emitir uma mensagem de erro ICMP tipo 3 de porta UDP inalcanvel, a estao emite uma mensagem ICMP de TTL excedido em trnsito, o que faz com que a estao de origem no perceba que o destino final foi atingido e continue a enviar mensagens indefinidamente. Nota: no sistema operacional Windows essa mesma aplicao somente utiliza mensagens ICMP e no usa o protocolo UDP. Verifique no arquivo de captura chamado: captura_trace_Windows.pcap.
Rota default
O conceito de rota default fundamental para minimizar a quantidade de informaes de roteamento e tornar mais eficiente o roteamento em roteadores e estaes. Para suportar o conceito de rota default, o endereamento IP reserva um endereo especial que, por conveno, composto por 32 bits iguais a 0. Logo, o endereo 0.0.0.0 reservado para representar uma rota default e, portanto, no pode ser usado para uma rede.
Rota default Rota adotada quando nenhuma outra rota da tabela de roteamento est associada ao endereo de rede do destino do datagrama.
Tabela de roteamento
Um exemplo de tabelas de roteamento est mostrado na figura a seguir, em que duas redes locais (1.0.0.0 e 4.0.0.0) esto interligadas por uma rede de longa distncia (2.0.0.0). A mscara de rede 255.0.0.0 (/8), onde o primeiro octeto identifica a rede e os demais octetos identificam o host na rede. O roteador R1 o gateway da rede 1.0.0.0 e o R2 o gateway da rede 2.0.0.0.
88
Rede 2.0.0.0
R1
R2
1.0.0.2
1.0.0.3
E0
2.0.0.1
S0
2.0.0.2
S0
4.0.0.3
E0
4.0.0.2
Note que a rede 4.0.0.0 no est conectada ao roteador R1 (idem para a rede 1.0.0.0 em relao ao roteador R2), portanto, ele s poder conhecer a rota para a rede 4.0.0.0 se o roteador R2 informar ao R1 que conhece a rota para a rede 4.0.0.0. O mesmo ocorre quanto rede 1.0.0.0 para o roteador R2. Essa troca de informaes entre os roteadores, na qual cada um ensina aos demais as rotas que conhece, a funo bsica dos protocolos de roteamento.
Captulo 5 Endereamento IP 89
As tabelas de roteamento mostram as rotas para as redes 1.0.0.0, 2.0.0.0 e 4.0.0.0, indicando as interfaces pelas quais o pacote deve ser encaminhado e a distncia de cada rede, isto , por quantos roteadores o pacote vai passar. A interface E0 uma interface Ethernet e a S0 uma serial para redes de longa distncia. Para redes diretamente conectadas ao roteador (exemplo: redes 1.0.0.0 e 2.0.0.0 para R1) a distncia 0. Para redes conectadas ao outro roteador (exemplo: rede 4.0.0.0 para R1) a distncia 1 e assim tambm ocorre com o roteador R2, em relao rede 1.0.0.0.
1.0.0.1 C 1.0.0.0/8 E0 0 C 2.0.0.0/8 S0 0 R 4.0.0.0/8 S0 1 2 1 1.0.0.2 3 Rede 1.0.0.0 E0 R1 Rede 2.0.0.0 S0 DCE S0 R2 Rede 4.0.0.0 E0 1 3 R 1.0.0.0/8 S0 1 C 2.0.0.0/8 S0 0 C 4.0.0.0/8 E0 0 2
4.0.0.1
4.0.0.2
Soluo
Nesta figura temos as tabelas de roteamento de cada roteador (fundo azul) com as seguintes informaes (roteador R1):
\\C
1.0.0.0/8 E0 0 C indica que rede diretamente conectada a uma interface do roteador, 1.0.0.0/8 a identificao da rede com a respectiva mscara de rede, E0 a interface pela qual o roteador acessa a rede, 0 a quantidade de roteadores no caminho; 2.0.0.0/8 S0 0 C indica que rede diretamente conectada a uma interface do roteador, 2.0.0.0/8 a identificao da rede com a respectiva mscara de rede, S0 a interface pela qual o roteador acessa a rede, 0 a quantidade de roteadores no caminho; 0.0.0.0/0 S0 0 S* indica que uma rota padro, 0.0.0.0/0 a identificao da rede com a respectiva mscara de rede, S0 a interface pela qual os pacotes IP devem ser encaminhados, 0 a quantidade de roteadores no caminho.
\\C
\\S*
Note que a interface S0 do roteador R1 prov o clock (relgio) no enlace serial R1-R2 (em vermelho), que a velocidade do enlace em bps, por isso est escrito DCE ao lado da interface S0 de R1. A tabela de rotas de R2 idntica, preservando a simetria da rede. Suponhamos que da estao com endereo 1.0.0.1 executemos o comando ping para a estao com endereo 4.0.0.1. O resultado est mostrado na listagem a seguir: a confirmao do funcionamento correto dos roteadores, de acordo com as tabelas de rotas.
C:> ping 4.0.0.1 Pinging 4.0.0.1 with 32 bytes of data: Ping request timed out. Reply from 4.0.0.1 on Eth, time<10ms TTL=126 Reply from 4.0.0.1 on Eth, time<10ms TTL=126 Reply from 4.0.0.1 on Eth, time<10ms TTL=126
90
grfica de configurao;
de comando.
importante conhecer as duas maneiras, pois nem sempre a interface grfica est disponvel ou permite fazer a configurao desejada.
Para informar a senha aberta uma nova janela, conforme mostrado na prxima figura. Aps digitar a senha, clique em OK. Figura 5.22 Ferramentas de rede (parte 2)
Captulo 5 Endereamento IP 91
Configurao de interfaces
Aps isso, o sistema libera a tela para efetuar as modificaes, se necessrio, conforme mostrado na figura a seguir: Figura 5.23 Ferramentas de rede (parte 3)
Observe que o sistema informa que existem duas interfaces de rede (eth0 e eth1), ambas habilitadas. A eth0 uma placa de rede Ethernet que permite a conexo via par tranado e a eth1 uma placa de rede sem fio. Nesse momento, somente a eth1 est configurada com endereo IP: 192.168.1.103. Qualquer uma das duas pode ser configurada a partir dessa tela. Note que na parte superior do quadro com moldura na cor vermelha aparecem 4 abas: Interfaces de rede (selecionada nesse momento), Rotas, Domnios (DNS) e Perfis de rede. Selecionando a aba Rotas, obtemos a tela mostrada na figura a seguir: Figura 5.24 Ferramentas de rede (parte 4)
Nesta tela o sistema informa a rota padro desta estao, que no caso o gateway padro com endereo IP: 192.168.1.1. Esta a rota usada por esta estao para alcanar outras redes via interface de rede eth1. Note que o gateway padro est na mesma rede que a interface eth1: 192.168.1.0 (mscara de rede: 255.255.255.0 ou /24). Finalmente na aba Domnios DNS, podemos ver os endereos IP dos servidores DNS que traduzem os nomes de domnio em endereos IP, como mostra a figura a seguir: Figura 5.25 Ferramentas de rede (parte 5)
92
Linha de comando
Essa interface, tambm chamada CLI (Command Line Interface Interface de Linha de Comando), pode ser acessada atravs do Menu Iniciar > Sistema > Terminal (Konsole). Na janela de terminal, podemos digitar os comandos de configurao do sistema. Para isso tambm necessrio ter privilgio de administrador. Exemplo do uso da linha de comando:
$ ifconfig
eth0 Link encap:Ethernet Endereo de HW 00:1d:7d:8f:f0:00 UP BROADCAST MULTICAST MTU:1500 Mtrica:1 pacotes RX:0 erros:0 descartados:3455885789 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) IRQ:221 Endereo de E/S:0x6000 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST MULTICAST MTU:1500 Mtrica:1 pacotes RX:14 erros:99 descartados:4 excesso:0 quadro:99 Pacotes TX:323 erros:21 descartados:4 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:2458 (2.4 KB) TX bytes:21605 (21.0 KB) Link encap:Loopback Local inet end.: 127.0.0.1 Masc:255.0.0.0 endereo inet6: ::1/128 Escopo:Mquina UP LOOPBACK RUNNING MTU:16436 Mtrica:1 pacotes RX:0 erros:0 descartados:0 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
eth1
lo
O principal comando de configurao o ifconfig. Quando digitado sem nenhum parmetro, o sistema mostra as informaes disponveis sobre as interfaces de rede existentes na estao. Note que a interface eth0 no est configurada e no teve nenhum trfego de pacotes. A interface eth1, por outro lado, foi usada, conforme mostram as estatsticas RX bytes (bytes recebidos) e TX bytes (bytes transmitidos). O endereo de HW informado o endereo fsico (MAC) da placa de rede. Note que no so informados os endereos IP das interfaces eth0 e eth1 (no temos permisso de administrador). A interface loopback uma interface virtual (no existe fisicamente) usada apenas para teste de protocolo local na estao.
93
Captulo 5 Endereamento IP
Essa tela tambm permite Adicionar/Editar/Remover os endereos dos servidores DNS. Note que os servidores DNS no pertencem mesma rede da estao e, provavelmente, so servidores disponibilizados pelo provedor de acesso internet deste usurio. A ltima aba no tem nenhuma informao relevante para ns nesse momento. Veremos agora como fazer as configuraes via linha de comando.
Se tentarmos configurar a interface eth0, por exemplo, com o endereo IP: 192.168.1.10 e mscara de rede: 255.255.255.0, obteremos uma mensagem de erro, conforme mostrado na listagem:
$ ifconfig eth0 192.168.1.10 netmask 255.255.255.0 SIOCSIFADDR: Permisso negada SIOCSIFFLAGS: Permisso negada SIOCSIFNETMASK: Permisso negada
Precisamos ento obter permisso de administrador. Para isso, digitamos o comando sudo mostrado na listagem e informamos a senha de usurio:
$ sudo ifconfig eth0 192.168.1.10 netmask 255.255.255.0 [sudo] password for aluno1: senha
Podemos verificar o resultado desse comando, repetindo o comando ifconfig conforme mostrado na listagem:
$ ifconfig
eth0 Link encap:Ethernet Endereo de HW 00:1d:7d:8f:f0:00 inet end.: 192.168.1.10 Bcast:192.168.1.255 Masc:255.255.255.0 UP BROADCAST MULTICAST MTU:1500 Mtrica:1 pacotes RX:0 erros:0 descartados:1612351964 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) IRQ:221 Endereo de E/S:0x8000 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef inet end.: 192.168.1.103 Bcast:192.168.1.255 Masc:255.255.255.0 endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Mtrica:1 pacotes RX:557 erros:84 descartados:25 excesso:0 quadro:83 Pacotes TX:1002 erros:7 descartados:1 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:100881 (98.5 KB) TX bytes:77839 (76.0 KB) Link encap:Loopback Local inet end.: 127.0.0.1 Masc:255.0.0.0 endereo inet6: ::1/128 Escopo:Mquina UP LOOPBACK RUNNING MTU:16436 Mtrica:1 pacotes RX:0 erros:0 descartados:0 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
eth1
lo
Note que agora so informados os endereos IP das interfaces eth0 e eth1. Essa configurao vale at o prximo boot do sistema, pois as configuraes em tempo de boot so lidas a partir dos arquivos de configurao do sistema que ficam no diretrio /etc. Os principais arquivos de configurao so:
94
\\/etc/hosts
nome e endereo IP da sua estao; podem ser informados aqui nomes e endereos de outras estaes da rede, de forma a permitir o acesso a elas via navegador; armazena a configurao das suas interfaces de rede.
\\/etc/network/interfaces
Note que so os mesmos servidores DNS informados na figura anterior. Contedo atual do arquivo /etc/hosts:
127.0.0.1 localhost 127.0.1.1 pc-proinfo # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts
Nenhuma outra mquina da rede est configurada para acesso via navegador. Se quisermos que a configurao da interface eth0 anteriormente feita (atravs do comando ifconfig) seja permanente, basta editar o arquivo /etc/network/interfaces, conforme mostrado na listagem a seguir.
auto lo iface lo inet loopback address 127.0.0.1 netmask 255.0.0.0 iface eth0 inet static address 192.168.1.10 net 192.168.1.0 netmask 255.255.255.0 gateway 192.168.1.1
O comando ifconfig tambm pode ser usado para derrubar (down) uma interface:
95
Captulo 5 Endereamento IP
\\/etc/resolv.conf
O comando ifconfig tambm pode ser usado para levantar (up) uma interface:
$ sudo ifconfig eth0 up
Para derrubar (down) todas as interfaces ou levantar (up) todas as interfaces, usamos os seguintes comandos:
$ sudo ifdown -a $ sudo ifup -a
Nela aparece o gateway padro com endereo IP: 192.168.1.1. Para adicionar uma nova rota na tabela, verificar o resultado e remover uma rota da tabela, usamos a sequncia de comandos listada a seguir:
$ sudo route add default gw 192.168.1.254 $ netstat -r Tabela de Roteamento IP do Kernel
Destino 192.168.1.0 192.168.1.0 link-local default default Roteador * * * 192.168.1.1 MscaraGen. 255.255.255.0 255.255.255.0 255.255.0.0 0.0.0.0 Opes U U U UG UG MSS Janela 0 0 0 0 0 0 0 0 0 0 irtt Iface 0 eth1 0 eth0 0 eth1 0 eth1 0 eth1
192.168.1.254 0.0.0.0
Adicionamos a rota padro para o endereo IP: 192.168.1.254 e a removemos posteriormente. Note que ela foi adicionada na tabela, conforme mostra o comando netstat -r.
96
2. 3. 4. 5. 6. 7. 8.
Soluo
1. Comandos ifconfig e route -n:
$ ifconfig eth0
eth0 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef inet end.: 192.168.1.100 Bcast:192.168.1.255 Masc:255.255.255.0 endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Mtrica:1 pacotes RX:710 erros:325 descartados:61 excesso:0 quadro:324 Pacotes TX:902 erros:432 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:473352 (462.2 KB) TX bytes:151129 (147.5 KB)
$ route -n
Tabela de Roteamento IP do Kernel Destino 192.168.1.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 MscaraGen. 255.255.255.0 255.255.0.0 Opes Mtrica Ref U U UG 0 1000 0 0 0 0 Uso Iface 0 eth0 0 eth0 0 eth0
192.168.1.1 0.0.0.0
Captulo 5 Endereamento IP
2. Mude seu endereo IP para um endereo na mesma rede, mas com o endereo de estao aumentado de 50 (somar 50 no quarto octeto):
$ sudo ifconfig eth0 192.168.1.150 netmask 255.255.255.0 [sudo] password for aluno1: senha $ ifconfig eth0
eth0 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef inet end.: 192.168.1.150 Bcast:192.168.1.255 Masc:255.255.255.0 endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Mtrica:1 pacotes RX:784 erros:534 descartados:69 excesso:0 quadro:533 Pacotes TX:1005 erros:436 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:492879 (481.3 KB) TX bytes:159032 (155.3 KB)
6. Verifique se a sua estao est acessando a internet. Se necessrio, configure uma rota padro, de acordo com os dados da listagem do comando route -n:
$ sudo route add default gw 192.168.1.1
7. Verifique a conectividade com alguns de seus vizinhos. Pea o endereo IP do seu colega e tente um ping para o endereo fornecido.
98
6
Redes locais
Topologia de redes com fio
A topologia da rede a forma pela qual os computadores so interligados. A topologia dividida entre topologia fsica e topologia lgica. A topologia fsica a maneira como os cabos conectam fisicamente os computadores. A topologia lgica a maneira como os sinais trafegam atravs dos cabos e placas de rede. A topologia lgica depende do protocolo e do mtodo de acesso utilizado, como veremos adiante. Todas as topologias de redes locais so baseadas em trs tipos bsicos: barramento, estrela e anel. Examinaremos apenas as duas primeiras, uma vez que a terceira (anel) caiu em desuso.
Barramento
Backbone Infraestrutura de rede que compe a parte central de uma rede.
a topologia mais simples das trs, pois necessita apenas de cabos interligando os equipamentos, conforme mostra a seguir. Todos os equipamentos so ligados diretamente a um cabo principal que faz o papel de backbone da rede e denominado barramento. Nessa topologia todas as estaes podem se comunicar diretamente, bastando enviar os sinais para o barramento que os propagar para todas as estaes da rede. O protocolo desenvolvido para esta topologia foi o CSMA/ CD (Carrier Sense Multiple Access/Collision Detection).
......
Barramento
Foi a primeira topologia implementada para a rede Ethernet, j que na dcada de 70 o cabeamento coaxial utilizado para redes CATV (TV a cabo) era a nica alternativa de cabeamento capaz de suportar velocidades da ordem de 10 Mbps. Nessa topologia todas as estaes so conectadas ao barramento, caracterizando uma ligao multiponto.
99
Caractersticas principais:
\\Ligao
multiponto; passivo;
\\Barramento \\As
\\Suporta
do barramento limitada a 10 Mbps; de remanejamento devido utilizao de conectores BNC; de localizao de problemas devidos a mau contato nas conexes;
gerenciamento.
A topologia lgica tambm era barramento, onde apenas uma estao transmitia de cada vez e, dependendo do volume de trfego, ocorriam colises, isto , transmisses simultneas de duas ou mais estaes.
Estrela
Evoluo natural da topologia barramento, onde o barramento passou a ser um concentrador de fiao ou hub. Cada estao tinha seu prprio meio de transmisso conectando a sua placa de rede ao hub, caracterizando uma ligao ponto-a-ponto. O protocolo continua sendo o CSMA/CD. Embora a topologia fsica seja estrela, a topologia lgica continua sendo barramento. Assim, as placas de rede no sabem que existe um concentrador de fiao e continuam operando da mesma forma que faziam com o cabo coaxial. O hub funcionalmente idntico ao barramento coaxial, com as mesmas caractersticas operacionais. A limitao de distncia passou a ser 100m entre cada estao e o concentrador. A figura seguinte exemplifica essa topologia.
Concentrador
Ponto-a-ponto Forma de ligao na qual as estaes utilizam apenas dois pontos de comunicao, um em cada extremidade do meio fsico.
......
Estrela
100
\\Velocidade \\Facilidade
de remanejamento, uma vez que cada estao tem seu prprio meio de comunicao; de gerenciamento no concentrador (hub ou switch).
\\Facilidade
Pelas razes acima descritas, essa topologia a mais usada em redes locais Ethernet. Em lugar do cabo coaxial utilizado o par tranado no-blindado (UTP Unshielded Twisted Pair), que o mais utilizado atualmente, principalmente para conexo das estaes dos usurios, em maior nmero na rede. Ele construdo com 4 pares de fios torcidos de forma a compensar a interferncia eletromagntica, uma vez que no possui blindagem como o cabo coaxial. O conector usado o RJ-45, semelhante ao RJ-11 de telefonia. Os pares de fios so identificados por cores padronizadas pelas normas EIA-TIA-568A/B. A sequncia correta dos fios est ilustrada na prxima figura. Figura 6.3 Padro de montagem do conector RJ-45
568A
1. Branco/verde 2. Verde 3. Branco/laranja 4. Azul 5. Branco/azul 6. Laranja 7. Branco/marrom 8. Marrom
12345678 12345678
568B
1. Branco/laranja 2. Laranja 3. Branco/verde 4. Azul 5. Branco/azul 6. Verde 7. Branco/marrom 8. Marrom
a pino (Straight-through), no qual as duas pontas tm a mesma sequncia de cores (tanto faz ser 568A ou 568B); serve para conectar dispositivos diferentes, ou seja: host-switch, host-hub, roteador-switch e roteador-hub; no qual as duas pontas tm sequncias diferentes; uma ponta usa a 568A e a outra a 568B; serve para conectar dispositivos semelhantes, ou seja: host-host, switch-switch, hub-hub e switch-hub. A exceo a conexo de um host diretamente a um roteador, o que raramente usado; (rollover) um cabo serial que utiliza o conector RJ-45 na ponta que vai conectada ao roteador/switch, e serve para conectar um host porta de console de um roteador (ou switch); usado para configurao desses dispositivos atravs do programa Hyper Terminal, disponvel no sistema operacional do host. Os fios so conectados em ordem inversa: 1-8, 2-7, 3-6 ... 8-1.
\\Crossover,
\\Console
O cabo de par tranado (UTP) o mais usado atualmente pelas seguintes razes:
\\Menor
custo total de infraestrutura do que a fibra ptica; de 100 Mbps a uma distncia de at 100m;
\\Velocidade
101
\\Manuteno \\A
simples, uma vez que cada estao tem seu prprio cabo;
utilizao de switches permite segmentar a rede, reduzindo ou at eliminando as colises; simplificado, pois basta gerenciar os hubs/switches.
\\Gerenciamento
Console
Router/Switch 1 2 3 4 5 6 7 8
A rede Ethernet que opera a uma velocidade de 100 Mbps denominada Fast Ethernet. Para velocidades maiores pode-se usar o par tranado, desde que de acordo com a especificao IEEE 1000Base-T, na qual o nmero de pares de cabos usados difere dos demais utilizados em padres anteriores, pois utiliza os 4 pares disponveis no par tranado, conseguindo transmitir a 1000 Mbps, diferente das demais, que utilizam somente 2 pares desse cabo. O mais usado a fibra ptica para velocidades de 1000 Mbps e acima. A norma IEEE 802.3ab especifica a utilizao de fibra ptica na velocidade de 1000 Mbps (Gigabit Ethernet). A norma IEEE 802.3ae especifica a utilizao de fibra ptica na velocidade de 10 Gbps, sem utilizao do protocolo de camada de enlace, pois opera apenas ponto-a-ponto. Essa opo est sendo usada em redes metropolitanas (metro-Ethernet). Podemos citar o switch Ethernet como exemplo de dispositivo de camada de enlace de dados em redes locais Ethernet capaz de reconhecer os endereos fsicos das estaes a ele conectadas. Assim, o switch Ethernet separa o trfego por porta, no misturando trfego entre as estaes. O conceito de switch uma extenso do conceito de bridge, que foi desenvolvido para segmentar redes Ethernet com alto trfego. A comutao na camada de enlace de dados utiliza o endereo MAC (Media Access Control) da placa de rede (endereo fsico), sendo baseada na tabela MAC residente em memria, no caso dos switches. As estaes usam o protocolo ARP para descobrir os endereos MAC de destino (armazenam na tabela ARP) e o switch usa o algoritmo self-learning para aprender a localizao das estaes, armazenando essas informaes na tabela MAC. A
Bridge Ponte de ligao entre duas ou mais redes. Segmentao a diviso da rede Ethernet em segmentos menores, de forma a reduzir a probabilidade de ocorrncia de colises e aumentar o desempenho da rede. Tabela MAC Tabela de endereos MAC na qual esto indicadas as portas do switch correspondentes a cada endereo.
102
A prxima figura ilustra o funcionamento do switch Ethernet. Quando a estao com endereo fsico A1, conectada porta 1 do switch, envia um quadro para a estao com endereo fsico A2, conectada porta 2 do switch, apenas a estao A2 recebe o quadro (representado pela seta na figura). As demais estaes conectadas s portas 3 e 4 do switch no recebem esse trfego. Figura 6.5 Dispositivo da camada de enlace de dados para redes locais Ethernet
A3 B3
A1
A2
A4
B4
1 2 3 4
103
quantidade de endereos MAC na tabela varia em funo do tamanho do cache, mas 1.024 endereos um valor tpico. Switches de grande porte tero uma tabela maior.
Frequncias de operao 2400-2483,5 MHz 5150-5350 MHz 5470-5725 MHz 5725-5850 MHz 2400-2483,5 MHz 5150-5350 MHz 5470-5725 MHz 5725-5850 MHz
802.11n
MIMO-OFDM
300 Mbps
O padro 802.11b foi o primeiro a ser lanado comercialmente e o mais bem aceito pelo mercado, sendo o de custo mais baixo. O padro 802.11a foi lanado depois, se destina a redes corporativas e tem maior capacidade de conexes simultneas e maior velocidade do que o padro anterior; porm, incompatvel com o 802.11b, pois opera em uma frequncia diferente. Depois surgiu o padro 802.11g, que oferece a mesma velocidade que o 802.11a, com a vantagem de operar na mesma frequncia do 802.11b e ser compatvel com este ltimo. Os equipamentos portteis suportam os dois padres: 802.11b/g. Finalmente chegou ao mercado o padro 802.11n, cuja meta superar o desempenho de uma rede cabeada de 100 Mbps, e que dever ser o sucessor do atual 802.11g. O 802.11n tem como principal caracterstica o uso de um esquema chamado Multiple-Input Multiple-Output (MIMO), capaz de aumentar consideravelmente as taxas de transferncia de dados atravs da combinao de vrias vias de transmisso. Assim sendo, possvel, por exemplo, usar dois, trs ou quatro emissores e receptores para o funcionamento da rede. Somando essa caracterstica de combinao com o aprimoramento de suas especificaes, o padro 802.11n capaz de fazer transmisses na faixa de 300 Mbps. Em relao sua frequncia, o padro 802.11n pode trabalhar com as faixas de 2,4 GHz e 5 GHz, o que o torna compatvel com os padres anteriores, inclusive com o 802.11a (pelo menos, teoricamente). Sua tcnica de transmisso padro o OFDM, mas com determinadas alteraes, devido ao uso do esquema MIMO, sendo, por isso, muitas vezes chamado de MIMO-OFDM. A tcnica de modulao mais utilizada a DSSS, que consiste em usar vrias portadoras de frequncias prximas, de modo que o sinal possa ser recuperado nas diversas frequncias, mesmo que algumas delas sofram interferncia. DSSS utiliza grande largura de banda (22 MHz) para cada canal e transmite em baixa potncia (at 400 mW), embora seu alcance seja de at 60m em ambientes internos (indoor) e at 300m em ambientes externos (outdoor).
104
10
11
Frequncia (GHz)
2,412
2,437
2,462
O IEEE 802 dispe ainda de outros padres para redes wireless como os de Wireless Personal Area Network (WPAN), onde se inclui o 802.15.1 (Bluetooth) e os 802.16 Broadband Wireless Access (BBWA) ou WiMax. A rede sem fio pode ser de dois tipos:
ADHOC
\\No
existem Pontos de Acesso (AP Access Point); direta entre clientes; depende do nmero de clientes;
Infraestrutura
\\Necessidade
a comunicao feita com o AP, por onde passa todo o trfego da rede;
dois modos de operao: BSS (Basic Service Set) e ESS (Extended Service Set).
\\BSS
consiste de um Ponto de Acesso ligado rede cabeada e um ou mais clientes sem fio. Quando um cliente quer se comunicar com outro ou com algum dispositivo na rede cabeada deve usar o Ponto de Acesso para isso. O BSS compreende uma simples clula ou rea de RF e tem somente um identificador (SSID). Para que um cliente possa fazer parte da clula ele deve estar configurado para usar o SSID do Ponto de Acesso. A figura a seguir ilustra o funcionamento do BSS.
105
As frequncias das portadoras variam de 2,401 GHz a 2,473 GHz, divididas em trs grupos que constituem os canais 1, 6 e 11, cada um com largura de banda de 22 MHz e banda de guarda (espao entre os canais) de 3 MHz. A figura seguinte mostra essa distribuio de frequncias pelos diversos canais. No caso de haver mais de um equipamento operando no mesmo local, recomendvel que cada equipamento utilize um canal diferente dos demais, tanto quanto possvel. Desta forma a interferncia entre eles ser mnima.
\\ESS
so dois ou mais sistemas BSS conectados por uma rede LAN, WAN, sem fio ou qualquer outro sistema de interligao. Necessita, portanto, de pelo menos dois Pontos de Acesso, cada um definindo uma clula com seu respectivo SSID, sendo permitido roaming entre as clulas. A prxima figura ilustra o funcionamento do ESS.
Rede cabeada Ponto de Acesso
Rede cabeada
WLAN
O meio de comunicao de uma WLAN (Wireless LAN) a onda eletromagntica que se propaga pelo ar, ao invs de por fios. Uma WLAN dispensa cabeamento, tomadas, conectores, dutos, calhas etc. tambm chamada de Wi-Fi (Wireless Fidelity). A motivao para o uso de WLAN pode ser:
\\Mobilidade
WLANs permitem aos usurios o acesso informao de qualquer lugar da organizao, sem a necessidade de procurar um ponto de rede para se conectar, aumentando a flexibilidade e a produtividade; menos fios e conectores significam menos pontos de falha e, portanto, menos problemas para usurios e gerentes de rede; de instalao WLANs no precisam de caras e demoradas instalaes de cabeamento, especialmente em reas que no tenham sido construdas com a previso de cabeamento estruturado; nada de fios pendurados no forro ou passando pelas paredes ou, pior ainda, espalhados pelo cho;
\\Confiabilidade
\\Facilidade
106
\\Escalabilidade
sistemas WLAN so facilmente configurados e remanejados para suportar uma variedade de ambientes de rede, desde os de pequenas at os de grandes empresas.
Computador na rede sem fio Notebook na rede sem fio
Internet
Em instalaes pequenas podemos encontrar backbones WLAN, sem rede cabeada, conforme a figura anterior. Esse tipo de instalao no usual, principalmente no ambiente corporativo. Os usurios se conectam via um ponto de acesso (Access Point AP), que atua como um concentrador, tipo hub/switch ou roteador. Cada ponto de acesso pode conectar vrios usurios, sem limite terico de conexes. O que acontece, na prtica, que o limite a largura de banda disponvel para os usurios. A placa de rede sem fio tratada pelo sistema operacional (Windows, Linux ou outro), como se fosse uma placa de rede Ethernet comum, simplificando assim a instalao e configurao. Nesse exemplo a rede WLAN est conectada internet via modem DSL. mais comum a ocorrncia de um misto de rede cabeada e WLAN, conforme mostrado na figura a seguir. O backbone da rede, que no exige mobilidade, pode ser cabeado, mesmo porque as exigncias de velocidade e capacidade podem exceder as especificaes de uma WLAN. Os usurios, que exigem mobilidade, podem ser conectados via WLAN, integrando assim o melhor dos dois mundos. O ponto de acesso permite conexo rede cabeada, como se fosse um concentrador comum (hub/switch).
107
\\Custo
o custo da instalao de uma WLAN pode ser menor do que o de uma soluo cabeada, principalmente em ambientes que sofrem frequentes mudanas de layout, podendo o tempo de vida dos equipamentos ser at maior;
Os padres IEEE 802.11 definem as caractersticas de operao das redes locais sem fio e os fabricantes de equipamentos de rede as seguiram na confeco dos equipamentos disponveis no mercado. A tecnologia de WLAN se baseia na tcnica de transmisso Direct Sequence Spread Spectrum DSSS (Espalhamento Espectral por Sequncia Direta), desenvolvida para fins militares, com o objetivo de confundir a deteco de sinal por terceiros e dificultar a sua interceptao. O sinal resultante se assemelha a um rudo radioeltrico.
Computador na rede sem fio Roteador Internet Modem ADSL
As frequncias de operao adotadas so as reservadas para a faixa ISM (Industrial, Cientfica, Mdica): 2.4 GHz e 5 GHz. Essas faixas no necessitam de licena especial para operao. A faixa de 2.4 GHz, embora tenha maior alcance do que a de 5 GHz, est mais sujeita a interferncia de outros dispositivos, tais como telefones sem fio, fornos de microondas, controles remotos diversos, entre outros. A Escola Superior de Redes recomenda a leitura das cartilhas de rede sem fio do Projeto UCA Um Computador por Aluno. Disponveis em esr.rnp.br/leitura/cartilhas-uca
forma automtica, desde que o ponto de acesso divulgue o SSID e o cliente esteja operando no mesmo canal; caso do ponto de acesso no divulgar o SSID, o cliente deve conhecer o SSID para se conectar rede, caracterizando uma medida de segurana.
\\No
108
109
Esse tipo de autenticao do cliente chamado de autenticao de sistema aberto. o mtodo padro utilizado nos equipamentos wireless. Esse mtodo baseado no SSID, desde que o ponto de acesso e o cliente estejam usando o mesmo SSID. No exigida criptografia, mas ela pode ser usada para cifrar os dados que sero transmitidos aps a autenticao do cliente. Outro mtodo de autenticao a autenticao de chave compartilhada, em que o uso de criptografia obrigatrio.
A prxima figura mostra um exemplo de configurao de chave WEP em hexadecimal de 64 bits, no roteador D-Link. Note que a chave informada (Frase-passe) em ASCII (PINFO). Figura 6.12 Configurao de chave WEP no ponto de acesso
Quando um cliente tenta se autenticar junto a um ponto de acesso, sua chave WEP verificada pelo ponto de acesso. Se estiver correta, ento ele ser autenticado e a partir da todos os dados sero cifrados. A codificao no cliente depende do adaptador que ele esteja usando. Um exemplo de configurao no cliente est mostrado na figura a seguir, onde o Linux Educacional 3.0 reconheceu o adaptador e o ponto de acesso e percebeu que a criptografia WEP estava sendo empregada. Neste exemplo est sendo usada a autenticao de sistema aberto, onde SSID = ESCOLA, e a chave escolhida est sendo informada em ASCII (PINFO). Como dissemos, na autenticao de sistema aberto a criptografia WEP pode ser usada, mas sem obrigatoriedade. Figura 6.13 Configurao de chave WEP no cliente
110
111
112
7
Network Address Translation (NAT)
Endereos privados
Endereo privado Endereo IP reservado que possui unicidade local e pode ser usado de forma aberta por qualquer organizao, sem autorizao prvia.
O crescimento exponencial da internet requer mecanismos que permitam um melhor aproveitamento do espao de endereamento global, para evitar, assim, a indisponibilidade de endereos em um futuro prximo. Nesse sentido, o conceito de endereo privado foi introduzido, provendo um conjunto de endereos reservados que podem ser usados de forma aberta por qualquer organizao, sem autorizao prvia. A tabela abaixo mostra o espao reservado de endereos privados. Observe que um nico endereo de rede classe A reservado. No entanto, para as classes B e C, o nmero bem maior: 16 endereos de rede classe B e 256 endereos de rede classe C so reservados. Esses endereos foram definidos no RFC 1918. Classe A B C Endereo de rede 10.0.0.0 172.16.0.0 - 172.31.0.0 192.168.0.0 - 192.168.255.0
Endereo pblico Endereo IP que possui unicidade global e somente pode ser atribudo para uma organizao atravs de uma instituio autorizada da internet.
pblicos possuem unicidade global e somente podem ser atribudos para uma organizao por uma instituio autorizada da internet. Assim, qualquer organizao que necessite acessar a internet deve obter endereos pblicos de uma instituio autorizada. Normalmente so os endereos IP fixos fornecidos pelo provedor de acesso internet; privados podem ser usados livremente por qualquer organizao porque no so oficialmente atribudos por instituies autorizadas da internet. Possuem apenas unicidade local, ou seja, so nicos apenas na inter-rede privada, mas no identificam de forma nica as estaes na internet.
\\Endereos
113
Como endereos privados no possuem unicidade global, as diversas estaes e redes privadas no devem ser visveis externamente na internet. Logo, informaes de roteamento sobre redes privadas no podem ser propagadas na internet. Alm disso, datagramas IP com endereos privados trafegam apenas internamente e no devem, portanto, ser roteados para fora da inter-rede privada. Estaes privadas podem se comunicar com outras estaes (pblicas ou privadas) dentro da inter-rede privada, mas no possuem conectividade IP com qualquer estao fora da inter-rede privada. Embora no possuam conectividade direta, estaes privadas podem acessar servios externos por meio de tradutores de endereos, comumente implementados por servidores NAT (Network Address Translator). Alguns autores denominam erroneamente os endereos privados de endereos invlidos, pois eles no so vlidos na internet. Esta denominao no correta, uma vez que os RFCs que tratam desse assunto no utilizam tal nomenclatura. Alm disso, por definio, qualquer endereo IP de 4 octetos com valores inteiros positivos entre 0 e 255 em cada octeto um endereo IP vlido. A vantagem da adoo de endereos privativos para a internet conservar o espao de endereamento global, no atribuindo endereos pblicos onde a unicidade global no requerida, ou atribuindo blocos relativamente pequenos de endereos pblicos onde a unicidade global pode ser contornada com o uso de servidores NAT. Alm disso, como estaes e redes privadas no so visveis externamente na internet, endereos privativos tambm so adotados como mecanismo de segurana.
Servidor NAT Servidor responsvel pela traduo de endereos privativos para endereos pblicos atribudos a uma determinada instituio. Geralmente executado em um sistema situado entre a inter-rede privada da organizao e a internet.
114
Interno RTA
10.0.0.2
Externo
128.23.2.2
SA 179.9.8.80
Internet
SA 10.0.0.3
10.0.0.3 SA
128.23.2.2 ... DA
Dados
179.9.8.80 SA
128.23.2.2 ... DA
Dados
Na volta, o processo inverso realizado no mesmo ponto, conforme mostra a prxima figura. O processo NAT realiza a traduo de um endereo IP de destino pblico (179.9.8.80) para um endereo IP de destino privativo (10.0.0.3). Figura 7.2 Exemplo de NAT (parte 2)
10.0.0.2
Interno
Externo
128.23.2.2
RTA
RTA DA 10.0.0.3 DA 179.9.8.80
Internet
10.0.0.3 NAT Table Endereo local de IP interno Endereo global de IP interno Endereo global de IP externo 10.0.0.2 10.0.0.3 179.9.8.80 179.9.8.80 128.23.2.2 128.23.2.2
128.23.2.2 SA
10.0.0.3 ... DA
Dados
128.23.2.2 SA
179.9.8.80 ... DA
Dados
NAT permite que voc tenha mais endereos IP do que os que voc tem atribudos, usando o espao de endereamento do RFC 1918. Entretanto, pela necessidade de usar os endereos IP pblicos para a internet, NAT limita o nmero de hosts acessando a internet simultaneamente, dependendo da quantidade de endereos IP pblicos disponveis.
115
GW
e0 10.1.1.1 10.1.1.2 SA 10.1.1.2 SA 192.168.1.2 s0 192.168.1.1
Internet
hostname GW ! IP nat inside source static 10.1.1.2 192.168.1.2 ! interface ethernet 0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface serial 0 ip address 192.168.1.1 255.255.255.0 ip nat outside !
Soluo
Vamos implementar essa rede no simulador Netsimk, de acordo com a prxima figura. O arquivo que contm a configurao da rede chama-se: Rede_Atividade6.nsw.
10.1.1.1 3 1 2 1 E0 GW 192.168.1.1 S0 DCE 192.168.1.10 S0 Internet 1
10.1.1.2
10.1.1.3
Os endereos IP mostrados na figura j esto configurados, mas a traduo NAT ainda no foi configurada. Nessa situao o computador com endereo IP: 10.1.1.2 da rede interna no consegue alcanar a interface s0 do roteador da internet com endereo IP: 192.168.1.10.
116
Para testar a conectividade do computador com endereo 10.1.1.2, ser necessrio utilizar o comando ping a partir do terminal do computador. Para abrir o terminal do computador, d um duplo clique no computador e selecione a aplicao Command Prompt (duplo clique) na janela aberta pelo simulador. Rede interna no acessa a internet:
C:> ping 192.168.1.1 Pinging 192.168.1.1 Reply from 10.1.1.1 Reply from 10.1.1.1 Reply from 10.1.1.1 Reply from 10.1.1.1 with 32 on Eth, on Eth, on Eth, on Eth, bytes of data: time<10ms TTL=80 time<10ms TTL=80 time<10ms TTL=80 time<10ms TTL=80
C:> ping 192.168.1.10 Pinging 192.168.1.10 with 32 bytes of data: Ping request timed out. Ping request timed out. Ping request timed out. Ping request timed out.
Para configurar a traduo NAT no roteador GW, vamos usar o computador com endereo IP: 10.1.1.3 como console do roteador (note o cabo azul tracejado de console). D um duplo clique nesse computador e selecione a aplicao HyperTerm (Hyper Terminal). Na janela aberta pelo simulador aperte a tecla Enter. Dever aparecer o terminal do roteador. Digite os comandos listados a seguir na mesma ordem em que aparecem. Em caso de dvida, chame o instrutor.
GW> GW> en GW# GW# conf t esse prompt chama-se modo usurio abreviatura do comando enable esse prompt chama-se modo privilegiado abreviatura do comando configure terminal End with CNTL/Z.
GW(config)# ip nat inside source static 10.1.1.2 192.168.1.2 GW(config)# ip nat inside source static 10.1.1.3 192.168.1.3 GW(config)# int e0 GW(config-if)# ip nat inside GW(config-if)# int s0 GW(config-if)# ip nat outside GW(config-if)# ^Z
117
Aps a configurao de NAT, de acordo com a orientao do instrutor, verifique se as tradues esto corretas. Em seguida tente acessar novamente o endereo IP: 192.168.1.10 a partir do computador com endereo IP: 10.1.1.2 da rede interna.
10.1.1.2 e 10.1.1.3 para 192.168.1.2 e 192.168.1.3, respectivamente. O arquivo Rede_Atividade6_NAT.nsw contm a rede j com esta configurao de NAT realizada. Para fazer esta verificao, basta digitar o comando a seguir:
GW# sh ip nat translations Pro ----Inside global 192.168.1.2 192.168.1.3 Inside local 10.1.1.2 10.1.1.3 Outside local ----Outside global -----
Rede interna acessando a internet: Agora podemos acessar a internet, atravs do procedimento mostrado a seguir. Como a traduo para o endereo global foi feita, a rede interna pode acessar a internet.
C:> ping 192.168.1.10 Pinging 192.168.1.10 with 32 bytes of data: Reply from 192.168.1.10 on Eth, time<10ms TTL=79 Reply from 192.168.1.10 on Eth, time<10ms TTL=79 Reply from 192.168.1.10 on Eth, time<10ms TTL=79 Reply from 192.168.1.10 on Eth, time<10ms TTL=79
Para verificar o que exatamente o roteador GW est fazendo, vamos ativar a janela de atividade do roteador. Basta dar um duplo clique no roteador, selecionar a aba Activity (na parte superior da janela) e depois a opo Enable. Repita o comando mostrado acima. A atividade do roteador deve ser algo parecido com a listagem a seguir. Leia com ateno os comentrios.
(48) in E0: ARPReq: 10.1.1.2 looking for 10.1.1.1 (49) out E0: ARPAck: FromIP:10.1.1.1 MAC:86-25-A2-00-10-04 ToIP:10.1.1.2
(48) e (49) so os quadros ARP usados para obter o endereo fsico da interface E0 do roteador GW.
(47) in E0: PINGReq: 10.1.1.2 to 192.168.1.10 TTL=128
(47) o pacote enviado pelo computador da rede interna para a internet. Observe os endereos IP de origem e destino.
(47) out S0: PINGReq: 192.168.1.2 to 192.168.1.10 TTL=127
O mesmo pacote enviado pelo computador da rede interna para a internet, mas com o endereo de origem traduzido para 192.168.1.2.
(50) in S0: PINGAck: 192.168.1.10 to 192.168.1.2 TTL=80
(50) o pacote de resposta da internet para a rede interna. Observe os endereos IP de origem e destino.
118
Mesmo pacote de resposta da internet para a rede interna, mas com o endereo de destino traduzido para 10.1.1.2. Os demais pacotes so semelhantes a estes ltimos.
Roteador NAT
No exemplo anterior vimos uma situao de traduo esttica de um endereo privado para um endereo pblico (1:1). Essa situao no reflete a realidade, uma vez que os endereos privados estaro certamente em maior nmero do que os endereos pblicos. Assim, ser preciso, na prtica, traduzir muitos endereos privados em poucos (ou somente um) endereos pblicos. No prximo exemplo mostraremos como isso pode ser feito atravs de um roteador NAT. Observe que os roteadores domsticos usados em conexes ADSL normalmente implementam essa facilidade, sem necessidade de configurao. Mas importante entender o mecanismo utilizado para correo de eventuais problemas. As figuras a seguir (parte 1 a parte 4) mostram a simulao do trfego entre 10.1.1.6 (endereo privativo) e o servidor 198.133.219.25 (endereo pblico):
\\Nessa
rede, os usurios da rede local 10.1.1.0/24 pretendem acessar o servidor no IP 198.133.219.25. O administrador dessa rede seguiu o RFC 1918, mas agora encontra um problema: como sua rede 10.1.1.0/24, que no rotevel na internet, vai acessar o servidor externo? A resposta bvia: fazendo uma NAT no roteador (no caso do exemplo).
198.133.219.25
10.1.1.5
SA 10.1.1.6:1031 DA 198.133.219.25:80
10.1.1.1
E0
S0
171.70.2.1
Internet
10.1.1.6
NAT Router
10.1.1.7
\\Com
a NAT habilitada, o usurio, ao chamar a pgina web em questo no seu navegador (browser), far com que a sua mquina envie um pacote endereado a 198.133.219.25. O endereo IP da origem (por exemplo 10.1.1.6) e a porta de origem esto no pacote, assim como o endereo de destino (198.133.219.25) e a porta de destino (80). Esse exemplo est representado na figura anterior. o pacote chega ao roteador, ele o reescreve, substituindo o endereo de origem pelo endereo da interface do roteador onde est conectada a rede pblica (171.70.2.1), ou outro endereo previamente configurado (desde que seja rotevel) como endereo de origem e a porta de origem atribuda de uma lista de portas livres no roteador. Assim, o resto do pacote ser uma cpia do pacote original, conforme mostra a prxima figura.
\\Quando
119
Processo NAT
SA 10.1.1.6:1031 SA 171.70.2.1:40000 SA 198.133.219.25:80
198.133.219.25
10.1.1.5 10.1.1.1
E0
S0
171.70.2.1
Internet
10.1.1.6
NAT Router
10.1.1.7
\\No
retorno do pacote, o roteador substituir o endereo de destino (171.70.2.1) pelo IP interno que originou a sesso (10.1.1.6), conforme a sequncia de figuras 7.7 e 7.8 (partes 3 e 4).
198.133.219.25
SA 198.133.219.25:80 DA 171.70.2.1:40000
10.1.1.5 10.1.1.1 E0 S0
171.70.2.1
Internet
10.1.1.6
NAT Router
10.1.1.7
Processo NAT
DA 171.70.2.1:40000 DA 10.1.1.6:1031 SA 198.133.219.25:80
198.133.219.25
10.1.1.5 10.1.1.1
E0
S0
171.70.2.1
Internet
10.1.1.6
NAT Router
Na resposta vou trocar o endereo de destino pelo endereo interno
10.1.1.7
120
o esquema de endereamento registrado legalmente, medida que permite o uso de endereos privados nas intranets; a flexibilidade de conexo com a rede pblica;
\\Aumenta \\Permite
que o esquema atual permanea, e suporta a adio de novos endereos alm dos privados; links so mais seguros, por revelarem menos informao;
\\Os
\\Hackers
tero dificuldade em determinar a origem de um pacote, ou mesmo impossibilidade em rastrear ou obter o endereo verdadeiro de origem ou destino.
Desvantagens da NAT
\\Desprivatizao
(mudana para endereos pblicos) da rede requer a troca de todos os seus endereos; pode causar perda de funcionalidade para certas aplicaes. Isto particularmente verdadeiro em aplicaes que necessitam enviar informao de endereamento IP fora do cabealho IP; provoca atrasos por causa do processo de traduo;
\\NAT
\\NAT
\\Perda
do rastreamento IP fim-a-fim (end-to-end IP traceability); fica mais difcil rastrear pacotes que percorrem numerosas mudanas de endereos por causa da NAT.
121
122
8
Roteamento
Para realizar o processo de roteamento, as implementaes do protocolo IP devem ser projetadas levando em considerao diversos conceitos associados funo de roteamento, bem como alguns componentes de software. Esses conceitos e componentes sero detalhados a seguir.
Roteamento IP
Roteamento a transferncia de informao da origem at o destino atravs de uma rede. Ao longo do caminho, tipicamente haver pelo menos um n intermedirio. De acordo com esta definio, a funo do roteador parece ser a mesma que a de uma ponte (switch/bridge). A principal diferena entre ambos que a ponte opera na camada de interface de rede da arquitetura TCP/IP, enquanto os roteadores operam na camada de rede. Assim, eles operam de maneiras diferentes, embora ambos executem operaes de comutao. A figura a seguir ilustra o conceito de roteamento. Figura 8.1 Conceito de roteamento
Origem
Destino
switching).
123
Algoritmos de comutao so relativamente simples e basicamente os mesmos para a maioria dos protocolos de roteamento. Tipicamente, um host determina que precisa enviar um pacote para outro host. Para tanto ele precisa, de alguma forma, saber o endereo do roteador (gateway padro) que vai fazer isso; se no souber, no h como enviar o pacote. Ento o host envia o pacote para o roteador, colocando o endereo fsico do roteador normalmente esto na mesma rede local, portanto o endereo fsico ser o endereo MAC e o endereo do protocolo de rede do host de destino. O roteador ento examina o pacote e tenta encaminh-lo para o host de destino, baseado no seu endereo de rede. Se o roteador tiver a rota adequada na sua tabela de rotas, encaminhar para o prximo n, mudando o endereo fsico para o endereo do prximo n e mantendo o endereo de rede do host destino. Se no tiver a rota na tabela, o roteador simplesmente descartar o pacote. E o processo se repetir at chegar ao roteador que est na mesma rede do host destino, que entregar o pacote enviando-o para o endereo fsico do host destino. Assim, medida que o pacote atravessa a rede, seu endereo fsico vai mudando, porm o endereo do protocolo de rede permanece igual (host destino). A figura seguinte mostra o processo de comutao acima descrito, enfatizando a diferena entre endereo fsico (endereo de camada de interface de rede) e endereo lgico (endereo de camada de rede). Lembramos que o endereo fsico s tem validade dentro da rede fsica, no sendo rotevel para outra rede.
Origem Pacote
Para: Destino (Endereo rede) Router1 (Endereo fsico)
Pacote Roteador1
Para: Destino (Endereo rede) Router2 (Endereo fsico)
Roteador2
Roteador3
Pacote
Para: Destino (Endereo rede) Destino (Endereo fsico)
Pacote Destino
124
Servio no confivel Servio que no garante a entrega de datagramas IP ao destino final. Servio sem conexo Servio que no estabelece uma conexo entre origem e destino antes de enviar os dados. Paradigma de melhor esforo O protocolo IP tenta entregar os pacotes da melhor forma possvel usando os recursos disponveis.
Na arquitetura TCP/IP, a camada de rede responsvel por prover e implementar o servio de entrega de datagramas. Tecnicamente, esse servio de entrega definido como um servio no confivel e sem conexo, que opera usando o paradigma de melhor esforo. O servio de entrega de datagramas da arquitetura TCP/IP considerado no confivel porque no garante que os datagramas sejam entregues com sucesso aos respectivos destinos finais. Na verdade, datagramas podem ser perdidos, retardados, duplicados e at mesmo chegar fora de ordem. Alm disso, como o servio de entrega no detecta a maioria desses casos, as estaes de origem e destino tambm no os percebem. Por fim, o servio de entrega no garante nem mesmo que o contedo dos datagramas entregues com sucesso esteja correto, pois nenhum mecanismo de deteco de erros aplicado ao campo de dados dos datagramas. A confiabilidade, se desejada, deve ser provida pelas camadas de transporte ou aplicao. O servio chamado sem conexo pelo fato de que, antes do envio dos datagramas, no existe qualquer comunicao prvia entre as estaes de origem e destino, com o objetivo de definir o caminho a ser seguido pelos pacotes ou reservar recursos ao longo desse caminho. Assim, a estao origem apenas monta o datagrama, acrescenta as informaes de endereamento que permitem o seu encaminhamento at o destino e envia-o ao prximo roteador intermedirio ou, quando possvel, diretamente estao de destino. Cada datagrama tratado de forma individual e completamente independente dos demais. Logo, nenhuma informao mantida sobre a sequncia dos datagramas enviados. Se uma determinada estao envia uma sequncia de datagramas para outra, esses datagramas podem ser encaminhados por diversos caminhos, trafegando por diferentes redes e roteadores intermedirios. Alguns desses datagramas podem ser perdidos, enquanto outros podem ser entregues ao destino, inclusive fora da sequncia original. O paradigma de melhor esforo recebe essa designao porque tenta realizar a entrega dos pacotes com o melhor aproveitamento possvel. Ou seja, pacotes somente so descartados em condies de escassez de recursos ou erros de transmisso que impeam a entrega. Por exemplo, quando um roteador no dispe de buffer de recepo, pacotes so simplesmente descartados. Para realizar a entrega de datagramas, a camada de rede deve executar a funo de roteamento, determinando o caminho ou rota que cada datagrama deve seguir para alcanar a estao destino.
Buffer Espao de memria reservado para armazenar temporariamente pacotes recebidos (buffer de recepo) ou a serem enviados (buffer de transmisso).
125
Captulo 8 Roteamento
J vimos que a estrutura de interconexo de inter-redes TCP/IP composta por um conjunto de redes fsicas interconectadas por roteadores, que permitem que as vrias estaes se comuniquem entre si. Para que isso ocorra, as estaes e roteadores devem suportar um servio de entrega de pacotes que aceite datagramas IP e os encaminhe at o destino final, possivelmente por meio de diversas redes e roteadores intermedirios.
Na arquitetura TCP/IP, a camada de rede adota o modelo de roteamento passo-apasso (hop-by-hop). Nesse modelo, se as estaes origem e destino esto conectadas mesma rede fsica, a estao origem pode enviar o datagrama diretamente estao destino. No entanto, se as estaes origem e destino esto conectadas a redes fsicas distintas, a estao origem envia o datagrama ao prximo roteador (nexthop) do caminho, que assume a responsabilidade de continuar encaminhando o datagrama ao destino. Cada roteador intermedirio entrega o datagrama ao prximo roteador, at que algum deles possa entregar o datagrama diretamente estao destino. Como pode ser observado, a funo de roteamento explora os mecanismos de entrega direta e indireta, vistos anteriormente. A implementao da camada de rede mantm em memria informaes de roteamento, armazenadas em uma tabela de roteamento. Essa tabela consultada para descobrir a melhor rota a ser adotada para encaminhar cada datagrama. Na tabela de roteamento, as linhas representam rotas para cada destino possvel da interrede. Cada rota sinaliza como alcanar uma determinada rede ou estao especfica. Vale ressaltar que, na prtica, as rotas geralmente apontam para redes, reduzindo o tamanho da tabela e tornando o roteamento mais eficiente. Alm de algumas informaes auxiliares, cada rota possui apenas o endereo IP do prximo roteador que deve ser usado para alcanar a rede ou estao indicada na mesma. Geralmente, esse prximo roteador reside em uma rede diretamente conectada, permitindo que o datagrama lhe seja entregue. Observe que as rotas no indicam o caminho completo at o destino, mas apenas o endereo IP do prximo roteador. Assim, no modelo de roteamento da arquitetura TCP/IP, estaes origem e roteadores intermedirios no conhecem a rota completa at o destino.
Roteamento passoa-passo (hop-byhop) Tcnica de roteamento em que a estao origem e cada roteador intermedirio entregam o datagrama ao prximo roteador do caminho, at que algum deles possa entregar o datagrama diretamente estao destino. Tabela de roteamento Estrutura de dados mantida por todas as estaes e roteadores de uma inter-rede, contendo informaes sobre as melhores rotas para alcanar as possveis redes ou estaes de uma inter-rede.
Protocolos de roteamento
Para prover o servio de entrega de datagramas e a funo de roteamento, a camada de rede da arquitetura TCP/IP define dois protocolos:
\\IP
(Internet Protocol) o protocolo IP prov um servio de entrega de datagrama no confivel. um dos mais importantes protocolos da famlia TCP/IP, pois todos os demais protocolos das camadas de rede e transporte dependem dele para entregar partes de suas informaes. Em outras palavras, ICMP, IGMP, UDP e TCP so diretamente encapsulados em datagramas IP.
\\ICMP
(Internet Control Message Protocol) o protocolo ICMP auxilia o protocolo IP, sendo usado para trocar mensagens de erro e de controle, sinalizar situaes anormais de operao e permitir a identificao de informaes operacionais da rede. Para maiores detalhes, sugerimos a consulta ao livro: STEVENS, W. Richard. TCP/IP Illustrated Volume 1: The Protocols. Addison Wesley, 1994.
126
Como as tabelas de roteamento mantm os custos das vrias rotas, essas tabelas devem, consequentemente, ser sempre atualizadas para refletir as mudanas na situao operacional das vrias redes fsicas. Observe que mudanas no contedo das tabelas de roteamento modificam os caminhos que os datagramas devem seguir. Para atualizar as tabelas de roteamento, certo grau de cooperao dinmica necessrio entre os roteadores. Em particular, roteadores devem trocar informaes de roteamento que sinalizam as mudanas operacionais das vrias redes fsicas. Para tal, protocolos especficos devem ser usados para viabilizar a propagao e troca de informaes de roteamento entre roteadores. Tais protocolos so denominados protocolos de roteamento. Em resumo, podemos definir um protocolo de roteamento como um mecanismo que implementa a atualizao automtica das tabelas de roteamento nos diversos roteadores. As atualizaes so realizadas a partir das informaes de roteamento trocadas entre os roteadores, permitindo a definio de tabelas completas e consistentes. Tabelas completas so aquelas que possuem rotas para todos os possveis destinos. J tabelas consistentes so as que possuem rotas vlidas que consideram a situao operacional atual das vrias redes fsicas. Existem diversos protocolos de roteamento padronizados na arquitetura TCP/IP. Dentre eles, os protocolos RIP (Routing Information Protocol), OSPF (Open Shortest Path First) e BGP (Border Gateway Protocol) so os principais, por serem os mais adotados na prtica.
(Routing Information Protocol) protocolo de roteamento tipo vetor distncia que propaga, periodicamente, informaes de roteamento aos roteadores vizinhos, independente de ocorrerem ou no mudanas operacionais nas redes fsicas. (Open Shortest Path First) protocolo de roteamento tipo estado de enlace que propaga as informaes dos enlaces de rede para todos os roteadores, apenas na inicializao ou aps mudanas no estado dos enlaces. (Border Gateway Protocol) protocolo de roteamento tipo exterior usado para propagar informaes de alcanabilidade das redes que compem os diversos sistemas autnomos. Mais informaes sobre os protocolos de roteamento podem ser encontradas no livro: BALLEW, Scott M. Managing IP Networks with Cisco Routers. OReilly & Associates, 1997.
\\OSPF
\\BGP
127
Captulo 8 Roteamento
Modelo de roteamento
Na arquitetura TCP/IP, a camada de rede adota o modelo de roteamento passo-apasso (hop-by-hop). Nesse modelo, se as estaes origem e destino esto conectadas mesma rede fsica, o algoritmo de roteamento da estao origem encaminha o datagrama diretamente estao destino. No entanto, se as estaes origem e destino esto conectadas a redes fsicas distintas, o algoritmo de roteamento da estao origem roteia o datagrama ao prximo roteador (next-hop) do melhor caminho at o destino. Por sua vez, esse roteador intermedirio assume a responsabilidade de continuar encaminhando o datagrama ao destino. Seguindo esse modelo passo-a-passo, o algoritmo de roteamento de cada roteador intermedirio roteia o datagrama para o prximo roteador, at que algum deles possa realizar uma entrega direta estao destino. Assim, os datagramas atravessam a inter-rede e so encaminhados de um roteador para outro, at que possam ser entregues diretamente ao destino final. Para implementar o modelo de roteamento passo-a-passo, tipicamente, a tabela de roteamento contm rotas representadas por pares (N, R), em que N o endereo da rede destino e R o endereo IP do prximo roteador (next-hop) no caminho at a rede N. Geralmente, R est em uma rede diretamente conectada, permitindo a entrega direta do datagrama a ele. Quando a rede N j diretamente conectada, ao invs de indicar o prximo roteador, a rota apenas indica que uma entrega direta pode ser realizada ao destino.
Observe que na prtica a tabela de roteamento possui mais informaes que apenas os pares (N, R). As principais informaes mostradas incluem:
\\Endereo
default;
\\Endereo
do prximo roteador (Roteador), em que 0.0.0.0 ou um asterisco (*) indica um destino diretamente conectado; da rede destino (MscaraGen.), em que 0.0.0.0 a mscara de uma rota default;
\\Mscara
128
\\Mtrica
\\Interface
Tambm possvel listar a tabela de roteamento usando o comando netstat com a opo -nr. Similarmente, a opo -n fora a apresentao dos endereos, ao invs de nomes de redes e roteadores. A listagem a seguir mostra a sada deste comando. Observe que o comando netstat no mostra as mtricas das rotas.
$ netstat -nr
Tabela de Roteamento IP do Kernel Destino 192.168.2.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.0.0 0.0.0.0 Opes U U UG MSS Janela 0 0 0 0 0 0 irtt Iface 0 eth1 0 eth1 0 eth1
Roteamento esttico
Rota esttica Rota configurada manualmente pelo administrador. Roteamento esttico Estratgia de roteamento na qual as tabelas de roteamento de roteadores e estaes so manualmente configuradas pelo administrador.
As tabelas de roteamento podem ser diretamente manipuladas pelos administradores atravs de comandos especficos, que permitem instalar ou remover rotas manualmente. Assim, os administradores podem configurar as tabelas de roteamento de roteadores e estaes, definindo as rotas para todos os possveis destinos. As rotas configuradas manualmente so denominadas rotas estticas. Da mesma forma, a estratgia de roteamento baseada apenas em rotas estticas denominada roteamento esttico. No roteamento esttico, sempre que redes so acrescentadas, removidas ou mudam de estado operacional, os administradores devem atualizar manualmente as tabelas de roteamento de todos ou de parte dos roteadores e estaes. Portanto, o roteamento esttico pode consumir bastante tempo de configurao e estar sujeito a erros, no acomodando de forma satisfatria o crescimento e as mudanas na inter-rede. Consequentemente, o roteamento esttico adequado para inter-redes pequenas, simples e estveis, em que as redes fsicas possuem apenas uma nica conexo com as demais redes que compem a inter-rede. No existem rotas redundantes, alm do que mudanas no estado operacional das redes so bastante incomuns. Essas caractersticas reduzem o tamanho das tabelas de roteamento e evitam a constante configurao manual de rotas. Na prtica, no roteamento esttico, as entradas das tabelas de roteamento so criadas por comandos que realizam a configurao do endereamento das interfaces de rede
129
Captulo 8 Roteamento
\\Estado
da rota (Opes);
e, tambm, por comandos especficos que permitem a configurao de rotas estticas. Geralmente, tais comandos so includos em arquivos de configurao processados durante a inicializao dos sistemas. Por exemplo, no Linux Educacional, o comando ifconfig configura os endereos das interfaces e automaticamente instala rotas para as respectivas redes diretamente conectadas, conforme foi visto. O comando route, por sua vez, permite criar e remover rotas da tabela de roteamento. A listagem a seguir mostra a criao de uma rota esttica para a rede 200.10.1.0/24 nesta estao, para a interface eth0. A opo add indica que uma rota deve ser criada para a rede 200.10.1.0 (-net), cuja mscara 255.255.255.0 (netmask), via interface eth0. Para criar rotas para estaes, deve-se adotar a mesma sintaxe, porm substituindo a opo net por host. Para remover rotas, deve-se utilizar a opo del. Na mesma listagem vemos a remoo da rota esttica para a rede 200.10.1.0/24. Similarmente, deve-se adotar a mesma sintaxe para remover rotas para estaes, porm substituindo a opo net por host.
$ sudo route add -net 200.10.1.0 netmask 255.255.255.0 eth0 [sudo] password for aluno1: senha $ route -n
Tabela de Roteamento IP do Kernel Destino 192.168.2.0 200.10.1.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.255.0 255.255.0.0 0.0.0.0 Opes Mtrica Ref U U U UG 0 0 1000 0 0 0 0 0 Uso Iface 0 eth1 0 eth0 0 eth1 0 eth1
O comando route tambm permite criar e remover a rota default. A listagem a seguir ilustra a criao da rota default nesta estao. A opo add default indica que uma rota default deve ser criada via interface eth0. Para remover a rota default basta substituir a opo add por del.
$ sudo route add default eth0 $ route -n
Tabela de Roteamento IP do Kernel Destino 192.168.2.0 169.254.0.0 0.0.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.0.0 0.0.0.0 0.0.0.0 Opes Mtrica Ref U U U UG 0 1000 0 0 0 0 0 0 Uso Iface 0 eth1 0 eth1 0 eth0 0 eth1
130
Roteamento dinmico
Em inter-redes complexas, grandes e instveis, tal como a internet, os administradores no conseguem atualizar as rotas manualmente, de forma rpida e confivel, em resposta s mudanas na inter-rede. Portanto, protocolos de roteamento devem ser adotados para atualizar automaticamente as tabelas de roteamento, de modo a melhorar a confiabilidade da rede e o tempo de resposta s mudanas operacionais. Vale ressaltar que protocolos de roteamento tambm podem ser interessantes em redes pequenas que possuem rotas redundantes e que apresentam frequentes mudanas na situao operacional das redes fsicas. Nesses casos, a atualizao das rotas pode ser realizada de forma automtica, rpida e confivel. Para realizar a atualizao automtica das rotas, os protocolos de roteamento propagam informaes de roteamento, a partir das quais tabelas de roteamento completas e consistentes podem ser dinamicamente configuradas. Na prtica, os protocolos de roteamento permitem a criao de novas rotas, atualizao de rotas existentes e remoo de rotas invlidas. Por exemplo, quando o protocolo de roteamento detecta uma nova rede fsica, uma nova rota acrescentada nas tabelas de roteamento. Aps perceber alteraes nas mtricas de roteamento, o protocolo de roteamento pode atualizar as mtricas das rotas. Por fim, se o protocolo de roteamento detecta a falha de um determinado enlace, as rotas afetadas podem ser removidas e rotas alternativas que resolvem o problema podem ser criadas. Quando existem rotas redundantes, o protocolo de roteamento encontra mltiplas rotas para determinados destinos. Nesses casos, com base nas mtricas de roteamento, o protocolo de roteamento decide a melhor rota e a instala na tabela de roteamento. Alguns protocolos instalam mltiplas rotas na tabela de roteamento e, dependendo da implementao, o algoritmo de roteamento usa apenas a melhor rota ou realiza o balanceamento de carga entre essas possveis rotas. As rotas manipuladas pelos protocolos de roteamento so denominadas rotas dinmicas e, por consequncia, a estratgia de roteamento baseada apenas em rotas dinmicas denominada roteamento dinmico. A adoo do roteamento dinmico no muda a forma como o algoritmo de roteamento encaminha os datagramas. As entradas das tabelas de roteamento que so modificadas para refletir as mudanas na inter-rede.
Rota dinmica Rota configurada automaticamente por protocolos de roteamento. Roteamento dinmico Estratgia de roteamento na qual todas as tabelas de roteamento de roteadores e estaes so automaticamente configuradas pelos protocolos de roteamento.
Roteamento hbrido
As estratgias de roteamento esttico e dinmico tm suas vantagens e desvantagens. O roteamento dinmico pode resolver situaes complexas de roteamento de forma mais rpida e confivel. Porm consome recursos de processamento e comunicao para propagar e processar as informaes de roteamento. O roteamento esttico evita o consumo de recursos de processamento e comunicao, pois no existe
131
Captulo 8 Roteamento
propagao de informaes de roteamento. Entretanto, no acomoda de forma satisfatria o crescimento e as mudanas operacionais, pois a interveno manual lenta e sujeita a erros. Consequentemente, na prtica, bastante comum encontrarmos uma estratgia de roteamento hbrido. Nesse caso, a configurao inicial da tabela de roteamento composta por rotas diretas para as redes diretamente conectadas e por rotas estticas para as redes que proveem servios essenciais de conectividade. Em seguida, os protocolos de roteamento acrescentam rotas dinmicas para as demais redes fsicas que compem a inter-rede. No roteamento hbrido, geralmente, as estaes so configuradas com rotas estticas.
Roteamento hbrido Estratgia de roteamento na qual as tabelas de roteamento de roteadores e estaes so inicialmente configuradas com algumas rotas estticas e, posteriormente, complementadas com rotas dinmicas.
RJ 01
172.16.10.10
RJ 02
172.16.10.11
RJ 03
172.16.10.12
SP 01
172.16.20.20
SP 02
172.16.20.21
Roteador - RJ
172.16.10.1
Roteador - SP
172.16.20.1
172.16.30.1
172.16.30.2
Modem - RJ
Modem - SP
Para se comunicarem entre si, os roteadores usam uma linha dedicada conectada a uma interface serial (S0). Os endereos dessas interfaces tm que ser diferentes dos endereos das interfaces Ethernet, ou em outras palavras, pertencerem a outra rede fsica. Assim, os roteadores se comunicam atravs da rede 172.16.30.0/24, sendo que a interface serial do roteador RJ tem o endereo 172.16.30.1 e a de SP o endereo 172.16.30.2. Dessa forma, a rede 172.16.30.0/24 uma ponte entre as duas redes locais.
132
Suponha que o host RJ 01 tem que enviar um pacote para o host SP 03. Os respectivos endereos de origem e destino so: 172.16.10.10 e 172.16.20.22. O host RJ 01 conclui que o endereo de destino no da rede dele e, nesse caso, envia para o gateway padro, porque o host no foi configurado como roteador. Ao chegar ao roteador RJ (via interface 172.16.10.1), o roteador RJ consulta sua tabela de rotas para saber como despachar o pacote. A sua tabela de rotas informa que, para chegar rede de destino (172.16.20.0/24), ele precisa enviar o pacote para o roteador SP no endereo 172.16.30.2 (next hop) via interface serial, que tem o endereo 172.16.30.1. O roteador SP consulta sua tabela de rotas e verifica que est diretamente conectado rede de destino; logo, ele entrega o pacote ao host 172.16.20.22 via interface 172.16.20.1. Vamos usar o simulador Netsimk para desenhar essa rede, conforme mostra a figura a seguir. O arquivo chama-se: Rede_Atividade7.nsw. Figura 8.4 Exemplo de roteamento IP
Rede Local - RJ RJ 01
172.16.10.10
Rede Local - SP RJ 03
172.16.10.12
RJ 02
172.16.10.11
SP 01
172.16.20.20
SP 02
172.16.20.21
SP 03
172.16.20.22
RJ 01
RJ 02 3
RJ 03
SP 01
SP 02 3
SP 03
1
C 172.16.10.0/24 EO 0 C 172.16.30.0/24 S0 0
1 1 2
C 172.16.20.0/24 EO 0 C 172.16.30.0/24 S0 0
172.16.10.1 RJ
S0 DCE 172.16.30.1
S0 172.16.30.2 SP
172.16.20.1
O simulador destaca as tabelas de rotas de cada roteador. O simulador tambm permite visualizar um resumo de todos os endereos IP configurados (funo Summaries IP), conforme mostra a prxima figura. O computador que est no meio da figura (sem nome e sem endereo IP) s est sendo usado como console de configurao dos dois roteadores.
133
Captulo 8 Roteamento
1. Vamos tentar enviar uma mensagem do host RJ 01 para o host SP 03. Use o comando ping para isso. 2. Foi bem-sucedido? Se no funcionou, o que significa a mensagem de erro? (mensagem ICMP). 3. Usando o comando ping, descubra at onde possvel ter conectividade na rede, a partir do host RJ 01, ao longo do caminho para o host SP 03. 4. Explique por que a conectividade terminou na interface s0 do roteador SP. Tente o mesmo procedimento a partir do roteador RJ. Houve alguma diferena? Explique. 5. Proponha uma soluo para o problema de conectividade usando rotas estticas. 6. Implemente a soluo (pea auxlio ao instrutor, se necessrio). 7. Finalmente, tente mandar uma mensagem do host RJ 01 para o host SP 03. Se as rotas estticas estiverem configuradas corretamente, o comando ping deve funcionar.
Soluo
1. Para enviar uma mensagem do host RJ 01 para o host SP 03 usaremos o comando ping, conforme mostrado na listagem a seguir:
C:> ping 172.16.20.22 Pinging 172.16.20.22 with 32 bytes of data: Destination unreachable at 172.16.10.1 Destination unreachable at 172.16.10.1 Destination unreachable at 172.16.10.1 Destination unreachable at 172.16.10.1
134
3. Antes de resolver esse problema, vamos apresentar outro problema interessante, diretamente relacionado ao problema de falta de rota. Normalmente quando o administrador de rede enfrenta um problema desse tipo, ele vai seguindo o roteamento do pacote passo-a-passo (hop-by-hop), conforme foi explicado no item Modelo de roteamento. O procedimento o seguinte: aplicar o comando ping para cada interface de rede no caminho entre a origem e o destino, at encontrar o ponto em que no vai mais em frente. A listagem a seguir mostra esse procedimento:
C:> ping 172.16.10.1
gateway padro do RJ 01
Pinging 172.16.10.1 with 32 bytes of data: Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 C:> ping 172.16.30.1
interface s0 do roteador RJ
Pinging 172.16.30.1 with 32 bytes of data: Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 C:> ping 172.16.30.2
interface s0 do roteador SP
Pinging 172.16.30.2 with 32 bytes of data: Ping request timed out. Ping request timed out. Ping request timed out. Ping request timed out.
O mais interessante que passou pela interface do roteador RJ sem problemas, mas parou na interface s0 do roteador SP na outra ponta do mesmo enlace. Por qu? 4. Para melhor entendermos o problema, vamos emitir o comando ping a partir do roteador RJ e no da estao RJ 01, como fizemos antes. A listagem a seguir mostra o resultado:
135
Captulo 8 Roteamento
2. Observe que no funcionou e a mensagem de erro (mensagem ICMP) de destino inalcanvel. Essa mensagem sinaliza que no existe rota para a rede destino, no caso a rede 172.16.20.0/24. Realmente, o roteador RJ s conhece as rotas para as redes 172.16.10.0/24 e 172.16.30.0/24. De alguma forma precisamos informar ao roteador RJ a rota para esta rede, ou seja, o que fazer com um pacote IP que deve ser entregue para a rede 172.16.20.0/24, ou dizendo de outra forma: qual a rota para a rede 172.16.20.0/24?
interface s0 do roteador SP
Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 172.16.30.2. Timeout is 2 seconds: !!!!! Success rate is 100% (5/5), round trip min/avg/max = 9/10/10 ms (OK) RJ# ping 172.16.20.1
interface e0 do roteador SP
Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 172.16.20.1. Timeout is 2 seconds: ..... Success rate is 0% (0/5), round trip min/avg/max = 0/0/0 ms no est OK
Observe que o roteador RJ tem conectividade com o roteador SP (ambos esto na mesma rede: 172.16.30.0/24), mas no tem conectividade com a rede 172.16.20.0/24. exatamente por causa disso que o comando ping da estao RJ 01 no passou do roteador SP: ele no sabe a rota para a rede 172.16.10.0/24, onde est a estao RJ 01. Logo, ele recebe o Echo Request, mas no pode responder ao Echo Reply, porque no h rota para a rede na qual est a estao RJ 01. 5. Para resolver isso, precisamos fazer duas coisas:
\\Roteador \\Roteador
RJ ensinar a rota para a rede 172.16.20.0/24; SP ensinar a rota para a rede 172.16.10.0/24.
6. Vamos usar rotas estticas, que so aquelas criadas pelo administrador da rede e as mais usadas em pequenas redes. No roteador RJ temos que emitir os seguintes comandos:
RJ# conf t Enter configuration commands, one per line. End with CNTL/Z.
RJ(config)# ip route 172.16.20.0 255.255.255.0 172.16.30.2 RJ(config)# exit RJ# sh ip route Network 172.16.0.0 is subnetted, 3 subnets C 172.16.10.0/24 is directly connected to Ethernet 0 S 172.16.20.0/24 [1/0] via 172.16.30.2 00:00:18 S0 C 172.16.30.0/24 is directly connected to Serial 0
Note que o comando ip route informa ao roteador RJ os datagramas IP para a rede 172.16.20.0/24 que devem ser entregues interface s0 do roteador SP (next hop). Verificamos atravs do comando sh ip route que esta rota esttica foi
136
SP# conf t Enter configuration commands, one per line. End with CNTL/Z.
SP(config)# ip route 172.16.10.0 255.255.255.0 172.16.30.1 SP(config)# exit SP# sh ip route Network 172.16.0.0 is subnetted, 3 subnets S 172.16.10.0/24 [1/0] via 172.16.30.1 00:00:11 S0 C 172.16.20.0/24 is directly connected to Ethernet 0 C 172.16.30.0/24 is directly connected to Serial 0
Agora ambos os roteadores conhecem as rotas para todas as redes. O arquivo que contm a rede configurada com as rotas estticas chama-se Rede_Atividade7_OK.nsw. 7. Finalmente, podemos executar o comando ping do host RJ 01 para o host SP 03, conforme mostrado a seguir.
C:> ping 172.16.20.22 Pinging 172.16.20.22 with 32 bytes of data: Ping request timed out. Reply from 172.16.20.22 on Eth, time<10ms TTL=126 Reply from 172.16.20.22 on Eth, time<10ms TTL=126 Reply from 172.16.20.22 on Eth, time<10ms TTL=126
O primeiro comando ping deu timeout por causa do tempo gasto pelo protocolo ARP, que foi usado para que o host RJ 01 obtivesse o endereo fsico da interface e0 do roteador RJ (defaul gateway da rede 172.16.10.0/24). Os outros funcionaram corretamente.
137
Captulo 8 Roteamento
adicionada tabela de roteamento do roteador RJ. De maneira anloga, configuramos uma rota esttica para o roteador SP.
138
9
Segurana
ISO International Organization for Standardization. NBR Denominao de norma da Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002:2005 Cdigo de prticas para a gesto de segurana da informao. Norma que estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto da segurana da informao em uma organizao. Os objetivos definidos nesta norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.
Nesse captulo vamos conhecer os conceitos fundamentais de segurana em ambientes computacionais, as ameaas atuais, alm dos procedimentos bsicos para manuteno do ambiente seguro. Conheceremos a importncia das senhas, aprenderemos os conceitos de vrus e spam e como combat-los. Tambm sero apresentadas as polticas de backup, os logs do sistema, as ferramentas de segurana e as boas prticas. Todo o material terico apoiado por atividades prticas em laboratrio.
garantia de que a informao seja acessada somente por pessoas autorizadas; salvaguarda da exatido e da integridade da informao e dos mtodos de processamento; garantia de que apenas os usurios autorizados podem obter acesso informao e aos ativos correspondentes, sempre que necessrio.
\\Integridade
\\Disponibilidade
Os conceitos iniciais de confidencialidade, integridade e disponibilidade devem ser expandidos de maneira a incluir mais dois termos:
139
\\Autenticidade
h garantia da identidade dos participantes da comunicao? Quem gerou a informao mesmo quem pensamos que ?
\\Legalidade
a informao ou sua posse est em conformidade com as legislaes institucionais, nacionais e internacionais vigentes? Copiar mdia que contenha informao legal? A posse da informao legal?
50 e 60 o DoD (Departamento de Defesa) o orgo do governo americano que mais contribuiu para o desenvolvimento de projetos no s na rea de segurana, mas tambm em outras reas, como por exemplo o prprio projeto que deu origem internet, inicialmente desse rgo, conhecido como Arpanet. Na dcada de 60 surge tambm a primeira verso do Unix, desenvolvida por Ken Thompson, dos laboratrios Bell. Derivado do Multics, foi chamado primeiramente de Unics; Brian Kernighan, parodiando, finalmente chamou-o de Unix. 70 sub-produto da guerra fria, o Data Encryption Standard (DES) foi adotado pelo governo dos EUA como mtodo oficial de proteo de dados no confidenciais em computadores das agncias do governo. Foi muito utilizado nas implementaes dos sistemas de autenticao Unix, como Linux, FreeBSD, Solaris etc. Hoje o DES no mais usado, pois se tornou extremamente inseguro devido ao grande avano computacional, tendo sido substitudo atualmente por algoritmos como o MD5 e SHA. 80 O Computer Fraud and Abuse Act, criado em 1986, proibia o acesso no autorizado a computadores do governo, prevendo uma pena de cinco mil dlares ou o dobro do valor obtido pelo acesso, alm de cinco anos de priso. Uma medida importante, porque introduziu a punio judicial. O Computer Security Act, criado em 1988, obrigava qualquer computador do governo que processasse dados confidenciais a ter um plano de segurana para a administrao e uso do sistema. Alm disso, exigia que todo o pessoal envolvido recebesse treinamento peridico de segurana. Sua importncia est na instituio da obrigatoriedade dos rgos governamentais possurem uma poltica de segurana. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestao de vrus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr. disseminou-se por todos os sistemas da ento existente internet, formada exclusivamente por redes de ensino e governamentais, provocando um verdadeiro apago na rede. Robert Morris foi condenado, por violao do Computer Fraud and Abuse Act, a trs anos de priso, 400 horas de servios comunitrios e multa de dez mil dlares. Uma das consequncias mais importantes deste incidente foi a criao do Computer Emergency Response Team (CERT), pela Defense Advanced Research
\\Anos
\\Anos
140
\\Ano
de 2001 vulnerabilidade explorada no Internet Information Server (IIS), servidor web da Microsoft. Estima-se que tenha infectado cerca de 500 mil Figura 1: IP Addresses compromised by the CodeRed worm computadores em um dia.
(data for july 19, 2001 as reported to the CERT/CC)
300000
250000
200000
150000
100000
50000
Jul 19 - 06:00 am
Jul 19 - 12:00 pm
Times given are EDT (GMT- 4:00)
Jul 19 - 06:00 pm
http://www.cert.org.advisories/CA-2001-23.html
Segurana no Brasil
CGI.br
O Comit Gestor da Internet no Brasil (CGI.br) foi criado pela Portaria Interministerial n 147, de 31 de maio de 1995 e alterada pelo Decreto Presidencial n 4.829, de 3 de setembro de 2003, para coordenar e integrar todas as iniciativas de servios de internet no pas, promovendo a qualidade tcnica, a inovao e a disseminao dos servios ofertados. O CGI.br mantm grupos de trabalho e coordena diversos projetos em reas de importncia fundamental para o funcionamento e o desenvolvimento da internet no pas. Para executar suas atividades, o CGI.br criou uma entidade civil, sem fins lucrativos, denominada Ncleo de Informao e Coordenao do Ponto BR (NIC.br).
141
Captulo 9 Segurana
Projects Agency (DARPA). O CERT at hoje uma das entidades mais importantes na coordenao e informao sobre problemas de segurana.
O Ncleo de Informao e Coordenao do Ponto BR uma entidade civil, sem fins lucrativos, que desde dezembro de 2005 implementa as decises e projetos do Comit Gestor da Internet no Brasil (CGI.br), conforme explicitado no comunicado ao pblico e no estatuto do NIC.br. O NIC.BR Security Office (CERT.br) responsvel por receber, revisar e responder a relatos de incidentes de segurana envolvendo a internet brasileira. O CERT.br o grupo de resposta a incidentes de segurana para a internet brasileira, mantido pelo NIC.br, do Comit Gestor da Internet no Brasil. O CERT.br responsvel por receber, analisar e responder a incidentes de segurana envolvendo redes conectadas internet no Brasil. Alm do processo de resposta a incidentes em si, o CERT.br tambm atua atravs do trabalho de conscientizao dos problemas de segurana, da correlao entre eventos na internet brasileira e do auxlio ao estabelecimento de novos CSIRTs no Brasil. Os servios prestados pelo CERT.br incluem:
\\Ser
um ponto nico para notificao de incidentes de segurana, de modo a prover a coordenao e o apoio necessrio ao processo de resposta a incidentes, colocando as partes envolvidas em contato, quando necessrio; um trabalho colaborativo com outras entidades, como as polcias, provedores de acesso, servios de internet e backbones; suporte ao processo de recuperao e anlise de sistemas comprometidos;
\\Estabelecer
\\Dar
\\Oferecer
treinamento na rea de resposta a incidentes de segurana, especialmente para membros de CSIRTs e instituies que estejam criando seu prprio grupo.
142
Hoje em dia o computador domstico deixou de ser apenas um objeto de entretenimento para se tornar um instrumento capaz de realizar tarefas como transaes financeiras e armazenamento de dados sensveis, entre outros. importante que o usurio esteja preocupado com a segurana de seu computador, pois corre o risco de ter suas senhas e nmeros de carto de crdito roubados, seu acesso internet utilizado por pessoas no autorizadas, seus dados pessoais alterados ou utilizados por terceiros, seu computador comprometido, seus arquivos apagados, entre outros riscos. A motivao para tais atos pode variar de acordo com o atacante. So as motivaes mais comuns:
\\Destruir
\\Disseminar \\Ler
\\Propagar \\Furtar
nmeros de cartes de crdito e senhas bancrias; seu computador para atacar outros computadores.
\\Utilizar
Autenticao de usurios
Os fatores de autenticao para humanos so normalmente classificados em trs casos:
\\Aquilo
que o usurio impresso digital, padro retinal, sequncia de DNA, padro de voz, reconhecimento de assinatura, sinais eltricos unicamente identificveis produzidos por um corpo vivo, ou qualquer outro meio biomtrico. que o usurio tem carto de identificao, security token, software token ou telefone celular. que o usurio conhece senha, frase de segurana, PIN.
\\Aquilo
\\Aquilo
Frequentemente utilizada uma combinao de dois ou mais mtodos. Um banco, por exemplo, pode requisitar uma frase de segurana alm da senha; nestes casos utilizado o termo autenticao de dois fatores.
Senhas
Em qualquer sistema computacional, uma senha serve para autenticar o usurio, ou seja, utilizada no processo de identificao de um usurio para confirmar se ele realmente quem diz ser. Se outra pessoa tem acesso sua senha, ela poder utiliz-la para se passar por voc dentro de uma rede ou mesmo na internet. As motivaes so as mesmas citadas acima. Portanto, a senha merece uma ateno especial, afinal ela de inteira responsabilidade do usurio.
143
Captulo 9 Segurana
Segurana pessoal
BIOS
BIOS significa Basic Input/Output System (Sistema Bsico de Entrada/Sada). um programa de computador gravado em uma memria (firmware), responsvel pela inicializao do computador. Oferece suporte bsico de acesso ao hardware e responsvel por inicializar o sistema operacional. Quando o computador ligado, o processador tenta executar suas primeiras instrues, mas no consegue se comunicar com o disco rgido para inicializar o sistema operacional sem que o BIOS informe como essa comunicao deve ser feita.
Senha de BIOS
De acordo com um estudo lanado em 2000 pelo FBI e o Computer Security Institute (CSI), mais de 70% de todos os ataques a dados e recursos reportados por empresas ocorreram dentro da prpria empresa. Logo, a implementao de normas de segurana interna to importante quanto uma estratgia de defesa externa. Estaes de trabalho de funcionrios na maioria dos casos no so alvos potenciais de ataques remotos, especialmente aquelas por trs de um firewall configurado apropriadamente. Mesmo assim, h medidas de proteo que podem ser implementadas para evitar um ataque fsico ou interno aos recursos de estaes de trabalho. Estaes de trabalho e computadores caseiros modernos usam um BIOS que controla os recursos do sistema no nvel do hardware. Usurios de estaes de trabalho podem determinar senhas administrativas no BIOS para impedir que atacantes acessem ou inicializem o sistema. Essa senha pode ter dois nveis de acesso:
\\Senha
de usurio bloqueia a partida do sistema operacional solicitando uma senha para tal funo. de supervisor bloqueia o acesso ao BIOS para alterao no autorizada das configuraes.
\\Senha
Para maior segurana sugerimos que as duas senhas estejam habilitadas. A nomenclatura dos tipos de senhas no BIOS pode variar de acordo com o equipamento utilizado. Os computadores distribudos pelo Proinfo j vm com senha do BIOS, colocada pelo fabricante para impedir alteraes.
144
Senhas seguras
Existem inmeras maneiras de se criar uma senha. Pode-se utilizar, por exemplo, seu nome, sobrenome, nmero de documento, placa de carro etc. Porm, essa no a maneira mais adequada, devido facilidade de descoberta atravs de uma simples pesquisa sobre o alvo atacado, e de posse dessa credencial, um atacante pode facilmente:
\\Ler
e-mails confidenciais em seu nome; informaes sobre dados sensveis armazenados em seu computador; ataques a outros sistemas computacionais utilizando-se da sua mquina.
\\Obter
\\Desferir
Existem muitas regras para a criao de senhas, sendo que a principal jamais utilizar palavras que faam parte de dicionrios. Existem programas de computador que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem uma base de dados de nomes (nomes prprios, msicas, filmes etc.).
boa senha deve ter no mnimo 8 caracteres, alternando-se entre letras, nmeros e caracteres especiais; ser simples para digitar e principalmente, fcil de lembrar;
\\Deve \\Altere
as letras de uma palavra como Falcao para F@lc@0 ou Brasil para Br@ s1l; senhas geradas desta maneira so fceis de lembrar e difceis de descobrir.
Procure identicar o nmero de locais nos quais h necessidade de utilizar uma senha. Este nmero deve ser equivalente quantidade de senhas distintas a serem mantidas por voc. Utilizar senhas diferentes, uma para cada local, extremamente importante, pois pode atenuar os prejuzos causados, caso algum descubra uma de suas senhas. Para ressaltar a importncia do uso de senhas diferentes, imagine que voc responsvel por realizar movimentaes financeiras em um conjunto de contas bancrias e todas estas contas possuem a mesma senha. Ento, procure responder s seguintes perguntas:
\\Quais \\E
se fossem usadas senhas diferentes para cada conta, caso algum descobrisse uma das senhas, um possvel prejuzo teria a mesma proporo?
Senha de root
Definio de senha de Root
Definir uma conta e senha root um dos passos mais importantes durante a instalao de um sistema Linux. Sua conta root similar conta de administrador usada em mquinas com Windows NT. A conta root usada para instalar pacotes, atualizar programas e executar a maior parte da manuteno do sistema. Ao se autenticar como root, voc ter total controle sobre seu sistema.
145
Captulo 9 Segurana
O usurio root (tambm conhecido como superusurio) tem acesso completo a todo o sistema. Por esta razo, melhor se autenticar como root somente para executar manuteno ou administrao do sistema. O usurio pode criar uma conta alm da root para seu uso geral e invocar o comando su - para root quando precisar utilizar as credenciais de superusurio para corrigir algo rapidamente. Esta regra bsica minimiza as chances de seu sistema ser afetado por erros de digitao ou comandos incorretos.
Ameaas recentes
Desde a dcada de 70, a segurana tornou-se uma questo estratgica para as organizaes. Usar a internet sem programas que garantam pelo menos um mnimo de segurana para um computador quase um pedido para ser infectado ou invadido. Instalar um sistema operacional em uma mquina conectada diretamente internet pode levar a um comprometimento em poucos minutos. Este o panorama atual da rede, um lugar pblico onde o utilizador est exposto a muitas ameaas, tais como hackers, crackers, vrus e worms.
Vrus
Apesar de existirem vrus para outros sistemas operacionais (Linux, MacOS, PalmOS), a quantidade significativamente menor se comparada com a quantidade de vrus do sistema Windows. Um vrus um micro-programa alojado em um arquivo hospedeiro, que precisa da interveno humana para se propagar; auto-executvel e duplica a si prprio. Diversos fabricantes de produtos de segurana disponibilizam programas chamados antivrus. Um antivrus um programa capaz de detectar e remover os vrus de uma estao. Muitos deles possuem recursos avanados, como verificao de vrus em correio eletrnico e verificao em tempo real dos arquivos que esto sendo executados pelo sistema operacional. Um antivrus detecta os vrus e arquivos atravs de assinaturas de vrus, que so conjuntos de informaes que identificam unicamente um determinado vrus. Essas assinaturas devem ser frequentemente atualizadas, de modo que o antivrus seja capaz de detectar os vrus mais recentes. Um vrus pode provocar, entre outros problemas:
\\Perda
de desempenho do micro; excluso de arquivos e alterao de dados; a informaes confidenciais por pessoas no autorizadas;
\\Acesso \\Perda
\\Desconfigurao
146
A conteno da propagao de worms (vermes auto-suficientes) depende muito das atualizaes feitas no sistema operacional. Como essas atualizaes no so realizadas pelos administradores e usurios na maioria dos casos, contaminaes so frequentes sempre que um novo worm lanado na internet. Entretanto, na grande maioria dos casos, o worm explora vulnerabilidades j conhecidas pelos fabricantes, que disponibilizam em seus sites atualizaes que corrigem tais brechas de segurana. Diferentemente dos vrus, os worms no necessitam de arquivos hospedeiros para se propagar. Porm, sua preveno a mesma: antivrus. O Conficker, tambm conhecido como Downup, Downadup e Kido, considerado um dos worms que mais infectou computadores com sistemas Microsoft Windows em todos os tempos; foi detectado pela primeira vez em outubro de 2008. A rpida disseminao inicial do vrus tem sido atribuda ao grande nmero de computadores que utilizam o sistema operacional Microsoft Windows e ainda necessitam aplicar as atualizaes da Microsoft (patches) para a vulnerabilidade MS08-067. Em janeiro de 2009, o nmero estimado de computadores infectados variou entre 9 e 15 milhes. A Panda Security, fornecedora de softwares antivrus, informou que dos dois milhes de computadores analisados pela ferramenta ActiveScan, apenas 115.000 (6%) estavam infectados pelo Conficker.
vtima executa arquivo hospedeiro, o servidor instalado e ocultado no computador; cliente acessa o servidor e executa operaes no computador da vtima; aberta uma porta de comunicao (backdoor) no monitorada.
Um trojan pode:
\\Expor
o usurio a esquemas fraudulentos atravs da pgina de um site; arquivos, visualiz-los, copi-los, alter-los e apag-los;
o que se escreve e enviar essa informao para outro computador; ou encerrar um programa, processo ou conexo no computador;
janelas pop-up para aborrecer ou para conduzir a websites maliciosos; outros computadores.
147
\\Atacar
Captulo 9 Segurana
Worms
A preveno para esse tipo de programa ter sempre um bom software de antivrus, aliado a um firewall, trocar frequentemente suas senhas, no usar ou desabilitar a opo salvar senha onde for possvel.
Spam
Com a popularizao da internet, ocorreu o crescimento de um fenmeno que desde seu surgimento tornou-se rapidamente um grande problema para a comunicao eletrnica: o envio em massa de mensagens no solicitadas, chamadas de spam. O termo spam vem do ingls Spiced Ham ou presunto apimentado, e um termo que faz referncia a um quadro ingls muito famoso que se chamava Spam, que retrata a comida enlatada no perodo ps segunda guerra. Com o surgimento e a popularizao da internet e, consequentemente, do uso do e-mail, um simples remetente das cartas de corrente ou propagandas obteve a oportunidade e a facilidade de atingir um nmero muito maior de destinatrios. Tudo isso com a vantagem de investir muito pouco ou nada para alcanar os mesmos objetivos em uma escala muito maior. Por essa razo, esse um dos maiores motivadores para o envio de spam. Desde o primeiro spam registrado na dcada de 90, essa prtica tem evoludo, acompanhando o desenvolvimento da internet e de novas aplicaes e tecnologias. Atualmente, o spam est largamente associado a ataques segurana de redes e do usurio, propagao de vrus e golpes. A preveno para esse tipo de ataque a navegao consciente na internet. Deve-se evitar ser um clicador compulsivo. Procure controlar a curiosidade de visitar um site ou abrir um e-mail suspeito, pois voc pode ser vtima de um golpe. Muitos programas recentes de antivrus e sites de webmail trazem embutidos em seus servios filtros anti-spam que classificam a correspondncia e facilitam seu descarte. Alm disso, os provedores dispem de listas globais de spamers, informadas por grupos de resposta a incidentes ou mesmo fabricantes de antivrus.
Tipos de spam
Os spams podem ter vrias origens e tipos, mas geralmente seguem um padro:
\\Correntes
mensagens que prometem sorte, riqueza ou algum benefcio se o usurio repass-la para um determinado nmero de pessoas, avisando que aqueles que quebrarem a corrente sofrero infortnios. divulgao de produtos, servios e at de propaganda poltica. o tipo mais comum de spam registrado. Normalmente os produtos ofertados por essas mensagens so de natureza ilegal, como venda de medicamentos, produtos piratas, oportunidades de enriquecimento rpido, produtos erticos e sites
\\Propagandas
148
\\Boatos
mensagens falsas, escritas com a finalidade de alarmar ou iludir seus leitores, instigando sua divulgao para o maior nmero possvel de pessoas. Essas mensagens geralmente tratam de pedidos urgentes de ajuda, alertas sobre perigos ou ameaas ou difamao de marcas e produtos. Conhea mais sobre as ameaas virtuais, visitando antispam.br e assistindo aos vdeos sobre segurana.
Empacotar: tar Armazena uma cpia de todos os arquivos e pastas em um nico arquivo sem compactao. O tamanho total a soma dos arquivos e pastas utilizados. Compactar: GZIP, ZIP, BZ2 Similar a empacotar, porm o tamanho do arquivo diminudo pelo processo de compresso de dados do aplicativo.
149
Captulo 9 Segurana
pornogrficos. Vale lembrar que existem mensagens legtimas dessa natureza, enviadas por empresas conhecidas.
# sudo su
Aps esse procedimento ser necessrio entrar com a senha e ir diretamente para a raiz do sistema:
# cd /
Finalmente pode-se entrar com o comando para criar um arquivo compactado de todos os documentos do sistema.
# tar -cvpzf /backup.tgz --exclude=/proc --exclude=/lost+found \ --exclude=/backup.tgz --exclude=/mnt --exclude=/sys /
Explicando:
\\tar \\c \\v \\p \\z \\f
cria um novo arquivo; modo verbose, o tar mostra na tela tudo o que est fazendo; preserva todas as permisses dos arquivos do sistema operacional; utiliza a compresso gzip para diminuir o tamanho do arquivo; filename, especifica onde o backup ser armazenado;
\\As
opes --exclude informam ao tar as pastas que sero excludas da cpia de segurana, pois algumas pastas no necessitam ser copiadas, uma vez que no armazenam dados vitais para o sistema. fim, o local de origem dos dados, que no exemplo informa a /, ou seja, todos os arquivos do disco rgido.
\\Por
Restaurando o backup
Se o usurio sentir necessidade de reinstalao do sistema, pode instalar novamente o Linux Educacional atravs do CD de instalao e recuperar os dados salvos anteriormente com o backup de segurana. Os dados salvos em backup.tgz podem ser restaurados posteriomente com o comando:
# tar -xvpfz backup.tgz -C /
Esse procedimento gravar todas as pastas salvas no backup sobre as pastas instaladas originalmente pelo sistema operacional. Aps o reincio do Linux Educacional, os dados estaro de volta aos seus lugares originais, bem como as suas preferncias e configuraes.
150
Soluo
Para realizar essa tarefa, o usurio necessita das credenciais de root para ter acesso a todos os dados do sistema e pode proceder atravs do seguinte comando:
# sudo su
Aps esse procedimento ser necessrio entrar com a senha e ir diretamente para a raiz do sistema:
# cd /
Finalmente pode-se entrar com o comando para criar um arquivo compactado de todos os documentos do sistema:
# tar -cvpzf /backup.tgz --exclude=/proc --exclude=/lost+found --exclude=/backup.tgz --exclude=/mnt --exclude=/sys /
Explicando:
\\tar \\c \\v \\p
cria um novo arquivo. modo verbose; o tar mostra na tela tudo o que est fazendo. preserva todas as permisses dos arquivos do sistema operacional.
151
Captulo 9 Segurana
\\z \\f
utiliza a compresso gzip para diminuir o tamanho do arquivo. filename, que especifica onde o backup ser armazenado.
SSL Secure Sockets Layer. Protocolo utilizado para criar pginas seguras.
que os programadores gerem seus prprios arquivos de log; que o administrador do sistema controle os logs.
Geralmente os arquivos de logs de um sistema Linux esto armazenados em /var/log e so divididos para facilitar a busca e a resoluo de problemas:
\\messages
mm dos principais arquivos do sistema, mostra informaes do kernel e do sistema; principal arquivo de log, armazena informaes do kernel; uso do su, sudo, mudana de senhas pelo root, entre outras funes; arquivo de log do servidor de e-mail;
log do cron (agendador de tarefas do Linux); log de aplicaes que utilizam autenticao; log gerado por registros originados por aplicaes de usurio.
152
vai para o diretrio dos logs este comando faz com que o arquivo syslog seja aberto e tudo o que for sendo gravado aparea na tela
Ferramentas de segurana
Nos dias de hoje, os administradores de sistemas e de redes devem estar a par dos principais recursos disponveis para a implementao de um ambiente seguro, com algum grau de proteo contra os perigos mais comuns existentes em redes de computadores. Sniffers, crackers, spoofing, syn_flooder, dnskiller, ping odeath, winnuke... nomes assustadores que parecem sados de filmes como Mad Max ou Robocop, na verdade so companheiros inseparveis de um certo tipo indesejvel de usurio de rede: os hackers ou invasores.
Simplifique
Antes de comear a utilizar as ferramentas de segurana, importante estabelecer objetivos e definir algumas premissas:
\\A
primeira meta tentar simplificar o ambiente. Oferea somente os servios necessrios; retire tudo que no est sendo usado; tente limitar o nmero de opes e facilidades disponveis. principal premissa na utilizao de ferramentas de segurana decorre da meta anterior. Esse recurso deve ser empregado somente em sistemas no comprometidos. Instalar tais ferramentas em uma mquina que acabou de ser invadida, sem que se tenha uma ideia precisa do estado do sistema, pode atrapalhar mais que ajudar. importante tambm que os componentes do sistema estejam funcionando de forma razoavelmente correta, j que praticamente todas as ferramentas dependem dessa condio. Portanto, o sistema deve estar sempre atualizado. se deve perder de vista que a utilizao dessas ferramentas deve ser parte de algo maior, isto , da definio e adoo de uma poltica de segurana para a organizao.
\\A
\\
\\Nunca
NMAP
O NMAP (Network Mapper) um software livre que realiza uma varredura de portas em um sistema. utilizado para avaliar a segurana de computadores e descobrir servios ou servidores em uma rede computacional.
153
Captulo 9 Segurana
Acesse a pasta /var/log e verifique as tentativas de acesso sua mquina atravs dos logs do sistema.
Soluo
Para escanear computadores, digite:
# nmap ip_do_computador
Onde:
\\lsof \\-i
\\-P
154
O Etherape um monitor de rede que exibe a atividade na rede em modo grfico. Possui suporte a Ethernet, FDDI, Token Ring, ISDN, PPP e PLIP, alm de exibio e filtros de protocolo por cor. Figura 9.5 Etherape (fonte: SourceForge)
Atravs desta ferramenta grfica fcil saber as conexes que o computador mantm em background, com outros computadores da rede local ou da internet.
Soluo
Para instalar o pacote Etherape acesse:
\\Iniciar
\\Informe \\No
campo de busca, digite etherape, clique no pacote e depois em Solicitar instalao. Aps essa ao, clique em Aplicar mudanas; programa estar disponvel em Iniciar > Sistema > Etherape;
\\O
\\Aps
iniciar o programa, faa alguns testes de ping e acesso a www para gerar trfego para o Etherape.
155
Captulo 9 Segurana
Etherape
Segurana na internet
Acessar a internet, nos dias de hoje, pode ser um problema, se levarmos em conta a quantidade de ameaas existentes. importante que o internauta conhea as formas de preveno e uso de programas especficos de proteo. Os recursos do navegador, programas antivrus, programas de deteco e remoo de spyware e certificados digitais so algumas das formas de proteo contra ameaas da internet.
Navegadores
A internet est cada vez mais presente em nossas vidas. Transaes bancrias, compras em lojas virtuais, busca de informaes em mecanismos de busca, telefonia e conversas atravs de mensagens instantneas so apenas alguns exemplos de utilizao da rede. As formas de acesso tambm evoluram. Hoje, comum o acesso domstico a 1 Megabit por segundo, velocidade que h alguns anos era exclusividade de provedores de acesso. Com toda essa evoluo, os perigos tambm aumentaram. O internauta deve tomar alguns cuidados ao acessar a internet. Problemas como fraudes, pginas falsas, vrus, worms, spams e escutas clandestinas esto presentes em todo momento. O ISC (Internet Storm Center) do SANS afirma que so necessrios apenas 12 minutos para que uma mquina desprotegida na internet sofra algum problema de segurana. Estatsticas de navegadores na internet http://secunia.com Navegador Internet Explorer Firefox Opera Safari Google Chrome Plataformas Famlia Windows Windows, MacOS X, Linux Windows, MacOS X, Linux, FreeBSD, Solaris, OS/2, QNX MacOS X, Windows Windows, MacOS X, Linux URL www.microsoft.com/ie www.mozilla.com/firefox www.opera.com apple.com/safari google.com/chrome Tabela 9.1 Navegadores populares
Recursos de um navegador:
\\Uso
preferencial de criptografia (SSL/TLS), site iniciando com https; do cadeado fechado indicando acesso seguro;
\\Verificao \\Clicando
contra vazamento de informaes, atravs da limpeza peridica do cache do navegador e do histrico de navegao; do nvel de segurana da zona internet para alto; dos controles e plugins Active-x, se possvel.
\\Aumento
\\Desativao
156
Cookies
Que CD voc comprou? Qual seu tipo musical favorito? Pequenas quantidades de informaes armazenadas pelo navegador podem ser utilizadas por sites que dispem do recurso de cookies. Um servidor web grava suas preferncias no disco local em um arquivo de texto cookie file. A limpeza peridica de cookies no navegador uma forma de preveno contra o vazamento no autorizado de informaes pessoais. Figura 9.7 Configurando cookies
Captulo 9 Segurana
158
10
Firewall
Firewall Nome dado ao conjunto de dispositivos de uma rede de computadores que tem por finalidade aplicar polticas de segurana a um determinado ponto de controle da rede.
A funo do firewall regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de acessos no autorizados entre redes. Esse conceito inclui os equipamentos de filtro de pacotes e proxy de aplicao. O firewall pode existir na forma de software e hardware, ou na combinao de ambos (neste caso, normalmente chamado de appliance). A complexidade de instalao depende do tamanho da rede, da poltica de segurana, da quantidade de regras que autorizam o fluxo de entrada e sada de informaes e do grau de segurana desejado. O modelo OSI um modelo de referncia para compreender a organizao hierrquica de servios e dispositivos de rede. Pode-se compreender melhor os tipos de firewalls a partir do ponto de vista do modelo OSI, tanto quanto ao nvel de atuao, quanto em relao categoria, que pode ser Ativo ou Bridge. Dentre as aplicaes de firewall existentes, a que mais se destaca no ambiente Linux o Iptables. Basicamente sua evoluo perceptvel atravs do uso do modelo OSI. Os primeiros sistemas de firewalls utilizavam apenas um filtro esttico de pacotes e s conseguiam filtrar at a camada 3; com sua evoluo, principalmente com a utilizao de estados de conexo, os firewalls comearam a inspecionar pacotes em camadas mais altas.
Packet Filter
O filtro de pacotes tem por finalidade o controle seletivo do fluxo de dados de uma rede, possibilitando o bloqueio ou no de pacotes, atravs de regras normalmente baseadas em endereos de origem/destino e portas. Possibilita o tratamento do incio da conexo (TCP SYN), nesse caso deixando de ser um mero Packet Filter para ser um StateLess. Embora um filtro de pacotes seja um firewall camada 3, importante lembrar que informaes de nmero de porta vm do cabealho UDP ou TCP, mas mesmo assim definimos que um filtro de pacotes de camada 3. Todavia, deve-se considerar porta de origem e porta de destino, embora o endereamento ainda seja um tratamento simples para a comunicao de dados.
159
Camada
7 6 5 4 3 2 1 Aplicao Apresentao Sesso Transporte FILTRO DE PACOTES Rede Enlace Fsica IP/ICMP/IGMP Rede Enlace Fsica Aplicao Apresentao Sesso Transporte
Stateful firewall
Stateful (estado de conexo) uma tecnologia implementada em filtros de pacotes que guarda o estado da conexo (comunicao TCP e UDP). Pode distinguir pacotes legtimos para diferentes tipos de conexes. Apenas pacotes marcados como conhecidos podem trafegar pelo filtro. Alguns filtros ainda so capazes de atuar como proxy de conexes de servios especficos ou simplesmente analisarem o contedo de um pacote buscando perfis de ataque, embora muitos administradores optem por ter essa anlise de ataque em sistemas de deteco de intrusos (IDS).
e bloqueio de Stealth Scan; do controle seletivo do fluxo de dados e tratamento do cabealho TCP;
\\Realizao \\Ser
capaz de lidar com protocolos mais especficos, como FTP (ativo e passivo); informaes de estado de conexo; de campos de um datagrama;
\\Manter
\\Manipulao \\Capacidade
de manipular o payload do pacote, inclusive com a possibilidade de atuar procurando strings de ataque.
160
7 6 5 4 3 2 1
Pacote de Estado
TCP/UDP
TCP/UDP
IP/ICMP/IGMP
Bridge stateful
Ativos que podem ser implantados tanto em fronteira de redes com gateway, como em ambiente departamental, so identificveis como hosts, pois possuiro endereamento IP e sero acessveis atravs do mesmo. Todavia, um firewall que atua como um proxy arp (bridge como uma ponte na camada de enlace) na fronteira da rede extremamente estratgico, pois no possui IP, isto , s acessvel localmente ou por outra mquina que tenha uma comunicao serial com o firewall. Figura 10.3 Bridge stateful
Camada
7 6 5 4 3 2 1 Aplicao Apresentao Sesso Transporte Rede Enlace Fsica TCP/UDP TCP/UDP FILTRO DE PACOTES
Camada
Aplicao Apresentao Sesso Transporte Rede Enlace Fsica
Netfilter Iptables
O Iptables um filtro de pacotes que permite a criao de regras de firewall NAT (Network Address Translation) e log dos dados que trafegam na rede. Caractersticas:
\\Especificao \\Suporte
Captulo 10 Firewall
Camada
\\Suporte
\\Manipulao \\Tratamento
de trfego dividido em chains, para melhor controle do trfego que entra e sai da mquina e trfego redirecionado; de nmero ilimitado de regras por chain;
\\Permisso \\Rpido,
estvel e seguro.
Patch-o-matic
Implementao feita pela Netfilter para adicionar mais funes ao Iptables. Essa atualizao permite a construo de regras de bloqueio baseadas em strings, onde atravs de scritps pode-se guiar o Iptables na escolha e seleo de pacotes, e automaticamente implementar sua filtragem no kernel. Mais informaes: www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html
Exemplo de regras
Bloqueando trfego SSH para a prpria mquina com envio de resposta:
# iptables A INPUT p tcp -dport 22 j REJECT
Onde:
\\iptables \\ -A
append, inclui uma regra na lista de regras do Iptables; especifica a direo do pacote (INPUT, FORWARD, OUTPUT);
\\ INPUT \\ -p
\\ --dport \\ -j
Bloqueio de trfego ICMP para dentro da rede (ping), sem envio de resposta:
# iptables A FORWARD p ICMP j DROP
162
O servio de proxy tem por funo limitar o tipo de trfego que passa por ele. Instalado na borda de uma rede, efetua o monitoramento dos pacotes, e se for o caso barra o trnsito. De modo anlogo ao filtro de pacotes que, baseado na faixa de endereos IP (camada 3) ou porta (camada 4) impede o trfego de determinadas informaes, o proxy atua em camadas mais altas, podendo limitar determinados tipos de protocolos, por exemplo o ICMP (ping). Por funcionar analisando o trfego, pode analisar o contedo do pacote na camada 7 (aplicao). Um exemplo clssico procurar nos pacotes por palavras que constem em uma lista proibitiva, tal como sexo. Todo pacote que contiver esta palavra ser descartado, desse modo impedindo o acesso a pginas que contenham contedo imprprio ou estranho s necessidades da rede, seja ela residencial, de empresa ou de escola. Outra finalidade de um proxy atuar como cache. Neste caso, o servidor reserva uma rea em memria para armazenar os contedos estticos acessados com maior frequncia pelos usurios da rede interna. Quando o usurio busca por determinada informao, o servidor proxy cache o entrega diretamente sem acess-lo na internet. Considere, por exemplo, um grande portal de notcias da internet. A primeira pessoa a acess-lo far com que o contedo dessa pgina fique armazenado no cache do servidor. As prximas pessoas que acessarem esta mesma pgina, dentro do tempo de expirao programado, obtero o contedo do servidor, ao invs do contedo da internet. Portanto, estas duas solues apresentam, por motivos diferentes, uma melhora no trfego da rede. O proxy bloqueia o trfego considerado inadequado pela poltica de utilizao da rede da empresa, enquanto o cache contribui para reduzir o montante de trfego no link externo da rede. Estudos prvios realizados pela Rede Nacional de Ensino e Pesquisa (RNP) indicam uma economia de at 35% no trfego no link externo; 17% do trfego da internet j acessado a partir de web proxy cache.
Internet
Web Browser
Proxy
Web Server
Um proxy bastante conhecido o squid-cache, disponvel em www.squid-cache.org. Considerado simples e confivel, um recurso praticamente obrigatrio em qualquer tipo de organizao que utilize servios de internet, desde pequenas empresas at os grandes provedores de acesso. Foi originado de um projeto da ARPA cujo mentor foi Duane Wessels, do National Laboratory for Applied Network Research, tendo posteriormente obtido a
163
Captulo 10 Firewall
Proxy
denominao de Squid. tanto um servidor proxy quanto um web cache. Como proxy possui caractersticas especiais para filtragem de pacotes, suportando vrios protocolos, como HTTP e FTP. Pode ainda atuar como um proxy reverso, funcionando neste caso como um acelerador de um servio web. A grande vantagem de um proxy (como o Squid) a capacidade de armazenar documentos da internet. Possui tambm o recurso de criao de regras de acesso, que permitem ou bloqueiam o acesso a determinadas pginas. Com isso, pode-se vetar a navegao em sites pornogrficos, salas de bate-papo, servios de mensagens instantneas ou de compartilhamento de arquivos. Frequentemente associado a um firewall, estando inclusive instalado na mesma mquina.
Link Criptografado
OpenSSH
Implementao open source do SSH. Desde a verso 2.9 utiliza chaves RSA, um dos algoritmos mais seguros utilizados atualmente. O pacote OpenSSH possui os seguintes componentes:
\\ssh \\sshd
164
Li
nk
Cr
ip
to
gr
af ad
nk Cr ip to gr af ad
Link Criptografado
Link Criptografado
Internet
\\ssh-keygen \\sftp
\\ssh-add
adiciona chaves de autenticao DSA ou RSA ao programa de autenticao; agente de autenticao, sua funo armazenar a chave privada para autenticao via chave pblica; escaneia por chaves pblicas de autenticao de hosts especificados. O principal objetivo ajudar na construo do arquivo local know_hosts. A configurao do servidor OpenSSH requer o pacote openssh-server. Edite o arquivo /etc/ssh/sshd_config e ative o servio sshd. A configurao do cliente OpenSSH requer os pacotes openssh-clients e openssh.
\\ssh-agent
\\ssh-keyscan
Para utilizao do servio OpenSSH necessrio que a mquina remota, denominada servidor, tenha o pacote openssh-server instalado e configurado, e que o binrio sshd esteja configurado para iniciar juntamente com o sistema. Ao conectar-se pela primeira vez a determinado servidor, uma mensagem apresenta uma chave e solicita a confirmao de que se trata da mquina que se quer acessar. Respondendo yes, a mquina remota adicionada a uma lista de mquinas conhecidas (known_hosts). Nas prximas vezes que for feito login neste mesmo host, apenas a senha ser solicitada. Aps o estabelecimento da conexo, solicitada a senha do usurio remoto (root ou outro usurio qualquer). Em acessos subsequentes, caso seja apresentada uma mensagem de aviso do tipo Warning: remote host identification has changed. Someone could be eavesdropping on you right now, pode estar ocorrendo uma das seguintes situaes:
\\A
mquina remota no a desejada, sendo no caso uma impostora. Neste caso no digite nenhuma senha. Convm informar ao administrador da mquina remota. situao aquela em que a mquina remota teve seu sistema ou o OpenSSH reinstalado. Neste caso a chave pblica localizada no arquivo known_hosts deve ser removida conforme instrues na mensagem.
\\Outra
Comando ssh
Permite efetuar login e executar comandos em uma mquina remota.
# ssh usurio@host-remoto
Efetua conexo mquina hostname autenticando-se como usurio. Ser solicitada a senha, e em seguida ser concedido acesso mquina remota.
165
Captulo 10 Firewall
\\scp
Secure Copy
O Secure Copy (scp) uma alternativa ao FTP na transferncia de arquivos e faz parte do pacote OpenSSH. Ao contrrio do FTP, que no um mtodo seguro e cujos dados trafegam em texto plano, no SCP a conexo autenticada e os dados criptografados. Outra vantagem o fato dos comandos serem similares ao comando cp. Deste modo, a transferncia de um ou mais arquivos entre duas mquinas pode ser feita com um comando do tipo:
# scp usurio@host-remoto:/tmp/teste.txt .
Introduo
Devido s vulnerabilidades encontradas no servio Telnet, foi criado o protocolo SSH, que cifra todo o trfego de rede gerado entre o administrador e a estao remota. Um administrador de rede necessita acessar um computador remoto para cadastrar um usurio novo. Qual seria o procedimento?
\\Instalar
o servio SSH:
# ssh ip_do_servidor_remoto
\\Confirmar
um comando hostname no host remoto, para se certificar que voc est no computador desejado:
# hostname servidor.empresa
\\Incluso
de um novo usurio:
# adduser nome_do_usurio
\\Fechar
a conexo:
# exit
166
Soluo
O aluno dever instalar via Adept o pacote SSH e suas dependncias, e fazer uma conexo via SSH no computador do aluno ao lado. Aps concluir essa etapa o aluno dever trabalhar com o Iptables para bloquear o acesso SSH e o ping. Para instalar o pacote SSH acesse:
\\Iniciar
\\Informe \\No
campo de busca digite SSH, clique no pacote e depois em Solicitar instalao. Aps essa ao, clique em Aplicar mudanas.
modelo. Aps esse procedimento, copie sua pasta /home/aluno para a pasta /etc/skel:
# cp p R /home/aluno /etc/skel
\\Copie
# ssh ip_remoto
\\Estando
logado no host remoto liste o contedo da pasta /etc/skel, verificando o contedo de suas subpastas:
# ls /etc/skel/Desktop # ls /etc/skel/Documentos
\\A
partir desse momento, todos os usurios criados estaro com suas pastas personalizadas.
167
Captulo 10 Firewall
168
11
Laboratrio Proinfo
Neste captulo, veremos e manusearemos os equipamentos servidor, terminais e perifricos utilizados nos laboratrios do Proinfo. Conheceremos tambm os problemas que podem ocorrer e o modo de solucion-los.
Geraes Proinfo
\\Proinfo
Urbano so duas as geraes com mquinas do modelo urbano, as geraes 2007/2008 e a 2008/2010, ambas do fabricante Positivo. Rural trs geraes envolvidas: 2007/2008 do fabricante Daruma, 2008/2009 do fabricante Itautec e 2009/2010 do fabricante Daruma.
\\Proinfo
A seguir uma viso das diversas distribuies ao longo dos anos: Figura 11.1 Tipos de equipamentos e anos de distribuio
Rural
5 Terminais
Urbano
Daruma 2007
Itautec 2008
Daruma 2009
Positivo 2007
Positivo 2008
2008
2009
2010
2008
2010
As diferenas entre os equipamentos do Proinfo Rural e Proinfo Urbano se devem principalmente s diferenas entre os ambientes encontrados nas escolas rurais e urbanas. Nas escolas rurais existem os seguintes problemas:
\\Falta
\\Precariedade \\Falta
\\Mudanas
169
Esses fatores desencadearam o desenvolvimento da soluo Multiterminal para o Proinfo Rural, mostrada na figura a seguir.
As principais vantagens dessa soluo so a possibilidade de navegao na internet com apenas uma conexo e a economia de energia eltrica e investimento em hardware, se comparada a uma soluo convencional. Sacrificou-se, em certa medida, o desempenho do conjunto, mas ainda continua dentro de padres aceitveis. J na soluo Proinfo Urbano, como as condies das escolas so melhores, adotou-se uma soluo de maior desempenho (sem ser multiterminal). Nessa soluo so instalados mais equipamentos por aluno, mas as condies das escolas urbanas permitem a utilizao de maior quantidade de equipamentos.
Soluo Multiterminal
Antes das solues multiterminais, foram desenvolvidas algumas solues locais proprietrias, de acordo com a criatividade e a disponibilidade de recursos locais. A figura seguinte mostra uma soluo denominada por seus criadores de multilayout, usando 6 placas de vdeo (1 AGP e 5 PCI) e mouse/teclado (1 PS2 e 5 USB).
170
Esta soluo funciona muito bem com o Linux, gerenciando configuraes de forma nativa, sem a necessidade de adicionar novos recursos de hardware ou software. , portanto, uma soluo com excelente relao preo/performance. A foto abaixo ilustra outra soluo do mesmo tipo, adotada numa escola em Roraima, usando quatro placas de vdeo e o sistema operacional Linux Debian. Figura 11.4 Soluo Multilayout
Essas solues regionais demonstraram claramente que havia um ambiente propcio para a implantao de uma soluo de carter nacional com objetivos semelhantes. Foi assim que amadureceu a soluo multiterminal adotada no Proinfo, descrita a seguir.
171
As fotos a seguir mostram o detalhe das conexes dos hubs placa de vdeo ATI Rage XL Quad na parte traseira do gabinete (quatro sadas) e o detalhe da mesma placa de vdeo com e sem as conexes. Figura 11.6 Conexes da placa de vdeo
172
Figura 11.7
Processador Pentium Dual Core E2140, 1.60 Ghz (200x8) HD Samsung SATA II de 160 GB 7200 Memria DDR2 de 512 MB 667 MHz PC 5300 Placa de vdeo (4x) Gravador de DVD-RW LG Gabinete Torre NK 770 com sensor Placa Me Gigabyte GA-945GCMX-S2 Teclado Mtek USB ABNT2 K2805P preto Mouse Mtek USB ptico B55P preto com prata Placa ATI Rage XL Quad Monitor LCD de 15 LG L1553 Impressora HP Officejet Pro K5400 Descrio do Kit: HUB USB com udio Cabo extensor KVM 3,0 VGA/USB Cabo USB 1,5m Headset com microfone e audio st. clone Filtro de linha com 5 tomadas Estabilizador Isolador Forceline EVO III
As fotos a seguir mostram os perifricos de cada usurio: monitor LCD, teclado e mouse. Figura 11.8 Perifricos do usurio
173
A foto a seguir mostra uma vista frontal do gabinete e a descrio completa da configurao do computador.
Placa me Positivo N1996. 945GCM5 HD SATA de 80GB Maxtor Memria RAM DDR2 de 512MB Gabinete torre de 2 Baias Monitor LCD de 15 Positivo Gravador de DVD/CD/RW preto Teclado ABNT2PS2 preto Mouse PS2 preto Impressora OKI B2200n laser
Figura 11.9
As fotos a seguir mostram uma viso frontal do gabinete e a viso traseira, onde aparecem os conectores da placa de vdeo.
174
A prxima foto destaca o conjunto completo do Proinfo Rural montado na Escola Superior de Redes, na unidade de Braslia. Figura 11.12 Viso do conjunto
175
Figura 11.11
Figura 11.13
As prximas trs fotos mostram o hub e o detalhe dos cabos de conexo de vdeo. Figura 11.14
A foto a seguir mostra um conjunto completo de duas estaes de usurio. Figura 11.15
176
Figura 11.16
Viso de parte do laboratrio Proinfo, montado na Escola Superior de Redes. Figura 11.17 Laboratrio Proinfo montado na Escola Superior de Redes
177
As fotos seguintes, tiradas no laboratrio da ESR, mostram as vises frontal e traseira do gabinete.
Rede eltrica
As recomendaes aqui descritas foram obtidas no endereo: sip.proinfo.mec.gov.br/sisseed_fra.php Opes Menu/Download/Manuais/Cartilha Rural/Cartilha Urbana. Figura 11.18 Site do MEC para download
As recomendaes se referem ao ambiente urbano, o ambiente com maior nvel de exigncias, uma vez que ter uma quantidade de equipamentos bem maior do que o ambiente rural. Para o ambiente rural as exigncias so mnimas. Principais recomendaes:
\\Tomadas
eltricas comuns no podem ser compartilhadas com a rede eltrica dos equipamentos de informtica, por conta das interferncias e oscilaes geradas por aparelhos como liquidificador, enceradeira, geladeira e ar-condicionado, que podem causar danos aos estabilizadores e fontes de alimentao dos equipamentos, podendo at queim-los; piso adequado deve ser de madeira, pedra, cimento liso, vinil, cermica ou equivalente, sem desnveis, relevos ou batentes. A exigncia da utilizao de material que no gere energia esttica com o atrito no piso do laboratrio acontece porque descargas eltricas, mesmo que mnimas, podem atingir os equipamentos e danific-los; mnimas da rede eltrica: fornecimento de energia eltrica de 110V ou 220V, com capacidade de pelo menos 10 KVA, sendo que estes parmetros representam o mnimo de carga na rede eltrica para o funcionamento dos equipamentos a serem instalados. Tais requisitos, se no cumpridos, podero provocar a queima de componentes, estabilizadores e microcomputadores, em funo de possveis quedas e oscilaes inesperadas de energia no laboratrio; de distribuio de energia eltrica exclusivo para os equipamentos de informtica (independente de quaisquer outros aparelhos eltricos), evitando interferncias e oscilaes na rede eltrica, geradas por outros equipamentos;
\\O
\\Exigncias
\\Quadro
178
\\Tomadas
tremulares monofsicas de trs pinos, padro NEMA 5P, instaladas ao longo das paredes, em caixas modulares externas ou embutidas, uma para cada equipamento: microcomputador, impressora, hub e scanner (se houver). A referida tomada tem modelo padro, e sua utilizao exigida em equipamentos de informtica. Portanto, todos os equipamentos viro com seus respectivos conectores de fora para encaixe neste padro de tomada; eltrica embutida ou externa em canaletas (importante: todos os fios devem estar ocultos ou presos). imprescindvel tomar precaues para que toda a fiao eltrica esteja devidamente protegida, evitando assim possveis acidentes envolvendo ocupantes do laboratrio e equipamentos; de disjuntores para cada conjunto de quatro tomadas (mximo 20A). Dotado de etiquetas identificadoras, visando garantir a proteo eltrica dos equipamentos instalados, bem como facilitar a identificao de possveis problemas atravs da identificao existente; do projeto ou diagrama da rede eltrica (no mnimo um diagrama), com a identificao dos circuitos, disjuntores e tomadas, facilitando uma eventual manuteno necessria, bem como futuras alteraes e/ou reformas que por ventura sejam necessrias; assim a segurana da rede eltrica contra eventuais danos proveniente de raios;
\\Fiao
\\Quadro
\\Existncia
\\Todas \\Todas
as tomadas devem conter etiqueta de aviso do tipo: tomada exclusiva para equipamentos de informtica, buscando no s a facilidade de manuteno, como tambm evitar que outros equipamentos sejam inadvertidamente ligados rede eltrica destinada aos equipamentos de informtica, podendo provocar interferncias prejudiciais a estes.
Aterramento
Sugerimos que a questo seja tratada com o auxlio de um eletricista ou empresa especializada em instalaes eltricas. Mesmo assim, apresentamos recomendaes para a construo de um sistema simples de aterramento:
\\Na
canaleta destinada fiao eltrica, passe juntamente com os cabos eltricos um fio de cobre com aproximadamente 0,5 cm (meio centmetro) de dimetro. Este cabo dever ter comprimento suficiente para passar pela canaleta e ainda sobrar para os procedimentos seguintes;
179
\\Aterramento
do quadro e seus circuitos (no usar o neutro da rede), com resistncia menor ou igual a 10 Ohms. Nos locais onde no existe um sistema de aterramento instalado ele dever ser construdo, j que em nenhuma hiptese dever ser substitudo pelo neutro da rede eltrica;
\\No
exterior do ambiente informatizado, utilize trs hastes de cobre com 2 metros de comprimento, enterrando-as em forma de tringulo ou em linha, a uma distncia de 2 metros entre cada uma das hastes, deixando aproximadamente 10 centmetros de cada haste expostos para conexo da fiao; a ligao entre as hastes utilizando fio de, no mnimo, 10mm de espessura, de forma a criar um tringulo fechado ou, caso as hastes estejam em linha, uma linha aberta. Lembramos que os fios devero estar presos a cada uma das hastes atravs de conectores prprios, para garantir que no se desprendam; ainda a criao de caixas de acesso s pontas de cada haste, visando facilitar a manuteno, proteo e acesso a elas; extremidade do cabo de cobre dever ser conectada ao tringulo ou linha;
\\Faa
\\Recomenda-se
\\Uma \\O
fio de cobre (que agora o terra) dever ser ligado ao terceiro pino de todas as tomadas da rede eltrica que desejamos aterrar; entre o neutro e o terra das tomadas. Esta voltagem no poder exceder 3 volts;
\\O
neutro da rede eltrica no deve ser utilizado porque no um terra (embora popularmente seja conhecido pelo nome de terra). O neutro usado apenas como referncia para a fase; por exemplo, uma rede possui uma voltagem de 110V, isto significa que a diferena entre a voltagem do neutro e a voltagem da fase de 110V, no significando que a voltagem do neutro seja zero. Consequentemente, pode haver eletricidade no chamado neutro da rede, e por isso que ele no deve ser usado em hiptese alguma como terra da rede eltrica; prtica muito comum, mas com resultados catastrficos a utilizao de fios amarrados em pregos, canos de ferro, canos de PVC ou torneiras para servir como aterramento. Esses sistemas no so terra e, se usados, podem colocar em risco todos os equipamentos eltricos a eles ligados.
\\Se,
\\Outra
A figura abaixo mostra alguns modelos de estabilizadores isoladores para terminais (os 2 primeiros da esquerda) e para impressora (ltimo direita). Figura 11.19 Estabilizadores para terminais e para impressora
180
O equipamento entregue no local diretamente pelo fabricante na embalagem original. Se existir um tcnico no local que saiba realizar a montagem dos equipamentos, ele tem que pedir autorizao do fabricante para realizar a montagem do laboratrio. Isto porque o equipamento entregue lacrado e a garantia do fabricante, vlida por trs anos, s se aplica se no houver rompimento do lacre. Caso no exista nenhum tcnico habilitado no local, deve ser solicitada a visita do tcnico do fabricante para efetuar a montagem, realizada com o auxlio de um manual de montagem do fabricante. A ttulo de exemplo, reproduzimos na figura a seguir o esquema de montagem do fabricante Daruma para o Proinfo Rural.
estabilizador
rede eltrica
Nota: Posicionar a chave seletora 110/220 conforme tenso local
impressora
Antes de fazer essas conexes preciso configurar a CPU para operar como multiterminal. A figura seguinte mostra um kit de configurao, composto de: 1. 2. 3. CD de instalao; Placa multiterminal Hub para conexo dos perifricos.
Essa configurao s pode ser feita no local pelo tcnico autorizado pelo fabricante.
181
Instalao do laboratrio
Aps a ligao fsica de todos os componentes, ao ligar a CPU, automaticamente a placa multiterminal detecta a presena dos perifricos conectados via hub e precisa identificar fisicamente cada um deles, ou seja, saber a porta fsica na qual cada perifrico est conectado. O software da placa previamente instalado via kit de configurao, como mostra a tela da figura a seguir. Nessa tela solicitado ao usurio que aperte a tecla de funo F5 no teclado, que corresponde a esse terminal de vdeo. assim que o programa associa fisicamente o terminal de vdeo ao teclado. Figura 11.22 Tela de configurao multiterminal teclado
182
Aps a configurao de todos os terminais, cada um pode operar de forma independente, usando o Linux Educacional e navegando na internet atravs do acesso fornecido pelo provedor. Usando as instalaes fsicas do laboratrio fornecidas pelo MEC, os alunos devem praticar os procedimentos aqui descritos, sob orientao do instrutor.
183
184
Opes de monitoramento
\\Disponibilidade
acompanhamento das mquinas das escolas que possuem o agente de coleta instalado. relao de mquinas com o agente de coleta instalado.
\\Inventrio \\Auditoria
185
Resolvendo problemas
Caso ocorram problemas na operao dos equipamentos, necessrio diagnosticar primeiro a causa do problema: hardware ou software. Se for difcil faz-lo, solicite o auxlio do Service Desk. Problemas mais comuns nesse tipo de instalao:
\\O
perifrico deixou de funcionar Se o conjunto de um perifrico parou de funcionar, indcio de problema na conexo placa multiterminal da CPU. Esse problema pode ser no hub ou na prpria placa. Se for no hub, basta desconect-lo e conect-lo novamente, seguindo o procedimento de configurao de perifricos j descrito. Se isso no funcionar, ento o problema na placa ou na configurao da placa e s pode ser resolvido pelo tcnico autorizado pelo fabricante. tela congelou Esse um problema tipicamente de software, embora raro de ocorrer com o Linux Educacional, que um sistema bastante robusto e estvel. Provavelmente a causa um defeito de hardware que pode ser temporrio ou no. Se for um defeito temporrio, basta reiniciar o Linux para tudo se normalizar. Se for um defeito permanente, ento registre uma chamada no Service Desk. consegue navegar na internet Esse problema ser tratado no Captulo 13, quando forem descritos os equipamentos de rede e suas configuraes.
\\A
\\No
\\A
Edubar no funciona Esse problema pode ser facilmente resolvido reinstalando a Edubar. Se necessrio, remova-a primeiro e instale-a novamente. O procedimento bem simples. Basta ir ao menu Iniciar > Adicionar e Remover programas (Adept) e iniciar o Adept. Esse programa uma interface grfica, onde selecionamos na janela de busca, na parte superior da tela, o nome do programa que desejamos (no caso Edubar). O Adept mostra os dados do programa em questo, que j est instalado. Nessa mesma tela temos a opo de remover ou instalar novamente.
186
Os que se sentem mais vontade com interface do terminal podem usar o console e o comando apt-get install. Note que necessrio ter privilgio de root para isso; portanto, preciso usar o comando sudo e digitar a senha do usurio para confirmar a operao. Comando apt-get install:
$ apt-get install edubar E: No foi possvel abrir arquivo de trava /var/lib/dpkg/lock open (13 Permisso negada) E: Unable to lock the administration directory (/var/lib/ dpkg/), are you root? $ sudo apt-get install edubar [sudo] password for aluno1: senha Lendo lista de pacotes... Pronto Construindo rvore de dependncias Lendo estado da informao... Pronto edubar j a verso mais nova.
187
188
12
Impressoras
A impressora j faz parte do pacote de equipamentos e vem pr-instalada no Linux Educacional. Caso se deseje refazer a instalao ou aproveitar uma impressora j existente na escola, necessrio ter o driver da impressora para o Linux Educacional. Esse driver um mdulo do sistema operacional que permite a utilizao da impressora. Normalmente fornecido pelo fabricante da impressora e especfico para o sistema operacional em uso, no caso o Linux Educacional. Se o fabricante no fornecer esse mdulo, no ser possvel instalar a impressora no Linux Educacional. Sempre resta a alternativa de garimpar na internet e ver se algum j teve esse problema e conseguiu resolver. Provavelmente drivers da impressora para o Debian e o Ubuntu devem funcionar adequadamente. O processo de instalao da impressora o mesmo para qualquer tipo de impressora. Mostraremos a seguir uma instalao passo a passo da impressora Okidata, usando dois mtodos de instalao. O procedimento vale para outra impressora, s mudando o driver.
189
Para diminuir as chances da ocorrncia de problemas durante a instalao da impressora, vamos remover as impressoras antigas que possam estar instaladas. Para isso clique em Printers e depois em Delete Printer, conforme a figura a seguir. Figura 12.2 Removendo impressoras instaladas
Neste exemplo instalaremos a impressora Okidata 2200n. Clique em Administration e depois no boto Add Printer; preencha os dados ou preencha da forma que preferir.
190
Em Device for OKID2200n clique no menu Device e escolha a opo OKIDATA CORP 2200n USB #1 (OKI DATA CORP 2200n); depois clique em Continue. Para que o sistema encontre a impressora na porta USB, ela dever estar conectada e ligada. Figura 12.3
O arquivo .ppd contm todos os dados necessrios para a instalao de impressoras no sistema operacional GNU/Linux, por ser escrito especificamente para o tipo de impressora que queremos instalar; o nosso trabalho se resume a baixar o arquivo na internet ou obt-lo com o fabricante da impressora. Em nosso caso, podemos encontrar o arquivo .ppd no diretrio /usr/share/ppd, mas voc pode encontr-lo na internet em www.cups.org, ou no site do fabricante da impressora. Conforme mostra a figura abaixo, na janela Arquivo... assinalada na figura em vermelho, digite o nome do arquivo e sua localizao no sistema de arquivos da sua mquina. Basta achar o diretrio onde voc salvou o arquivo .ppd e dar um clique no boto Open.
191
Captulo 12 Impressoras
Figura 12.4
Sua tela dever ser como a mostrada na figura seguinte. Confira e aperte o boto Add Printer para finalizar a instalao e aguarde por informaes do sistema.
Figura 12.6
Como estamos executando uma tarefa administrativa no sistema, ele solicita a senha para continuar o trabalho; basta que voc digite o usurio e a senha definida durante a instalao do sistema. Na figura seguinte so mostradas as configuraes padro da impressora que voc acabou de instalar. Se for o caso ou necessidade, podemos mudar algumas configuraes nesta pgina. S altere alguma configurao se voc considerar realmente necessrio, pois do contrrio as configuraes originais serviro bem.
192
Chegamos ao final da instalao da impressora OKI2200n usando o CUPS com um arquivo .ppd. Este procedimento pode ser utilizado para qualquer tipo de impressora. Apesar da possibilidade de diferenas em alguns dos passos modificados, de forma geral o procedimento ser o mesmo.
Compartilhando a impressora
Este procedimento no CUPS bem simples: basta marcar a opo Share no destaque em vermelho e apertar o boto Change Settings. Como sempre, ao executar uma tarefa administrativa devemos digitar usurio e senha e clicar no boto OK. Agora a sua impressora est disponvel para ser instalada em outros computadores da sua rede.
193
Captulo 12 Impressoras
194
Clique em Adicionar > Adicionar Impressora/classe... Figura 12.11 Instalando impressora via KDE (parte 3)
Na tela mostrada abaixo, clique em Prximo. Figura 12.12 Instalando impressora via KDE (parte 4)
Na prxima tela, marque Impressora local (paralela, serial, USB) e clique em Prximo.
195
Captulo 12 Impressoras
A sua impressora dever estar conectada na porta USB e ligada. Se tudo correu bem, vai aparecer a impressora na porta USB, conforme a figura abaixo. Basta selecion-la e apertar Prximo. Figura 12.14 Instalando impressora via KDE (parte 6)
Localize o arquivo .ppd e clique no boto OK para abrir o arquivo, conforme a prxima figura. Figura 12.15 Instalando impressora via KDE (parte 7)
196
Nas prximas telas, basta clicar no boto Prximo. Na tela da figura seguinte, basta clicar no boto Finalizar. Pronto, voc acabou de instalar uma impressora usando o gerenciador de impresso do KDE, e j pode instalar outras de acordo com a sua necessidade. Figura 12.17 Instalando impressora via KDE (final)
197
Captulo 12 Impressoras
Como podemos ver na figura seguinte, a impressora foi identificada; s precisamos apertar a tecla Enter.
198
13
Roteador sem fio
Descrio do equipamento
O laboratrio do Proinfo ser conectado internet via um roteador D-Link DI-524, semelhante ao mostrado na figura abaixo. Figura 13.1 Roteador D-Link
Esse roteador possui 4 portas LAN (Switch Ethernet) onde podem ser conectadas, via cabo par tranado, 4 estaes ou qualquer combinao de at 4 hubs/switches/ estaes. A antena serve para conexo dos equipamentos portteis (notebooks) ou de outros equipamentos que tenham placas de rede sem fio, como o caso dos equipamentos do Proinfo. A porta WAN mostrada na figura para a conexo ao modem ADSL do provedor de acesso internet. A figura mostra ainda o ponto de entrada do alimentador de energia e o boto de reset, que deve ser usado para retornar s configuraes originais do fabricante. As orientaes a seguir partem do pressuposto que o equipamento est na situao original. Assim, se estiver em dvida quanto configurao original, use o boto de reset.
199
A conexo internet do laboratrio do Proinfo deve ser semelhante mostrada na figura abaixo. Figura 13.2 Rede de acesso internet
Internet
modem
D-Link DI-524
Preparando o ambiente
Usando um cabo de rede par tranado conecte a Porta WAN do DI-524 Porta LAN do seu Modem ADSL. Usando outro cabo de rede par tranado conecte a Porta LAN 1 do DI-524 interface de rede de seu computador desktop ou notebook. No aconselhvel configurar seu DI-524 via wireless. Conecte a fonte de alimentao na entrada de energia do DI-524 e ligue-o na tomada. A sua rede deve ficar parecida com a rede mostrada na figura seguinte. Nesse ponto no preciso conectar mais de um equipamento para efetuar as configuraes do roteador. O roteador automaticamente obtm o endereo IP fixo fornecido pelo provedor, que deve ser um endereo IP pblico como, por exemplo, 200.100.10.10/24 (a mscara de rede pode ser outra, mas o que importa o endereo IP). Esse endereo ser usado pela porta WAN. Internamente os equipamentos conectados ao roteador, seja por cabo par tranado ou via rede sem fio, usaro endereos privativos da rede 192.168.0.0/24, onde o endereo IP do roteador na rede interna ser, por default, 192.168.0.1. Esse ser o endereo usado como gateway padro na configurao IP das mquinas da rede interna. Para permitir a navegao na internet, o roteador realizar automaticamente a funo NAT Overload, traduzindo todos os endereos privados da rede interna para o endereo IP pblico fornecido pelo provedor de acesso (no nosso exemplo: 200.100.10.10). No retorno dos pacotes da internet, o roteador far o processo inverso: traduzir o endereo IP pblico para o endereo privativo da rede interna.
200
Configurao do roteador
Depois de tudo devidamente conectado, v ao seu desktop (ou notebook) que foi conectado anteriormente na Porta LAN do DI-524 e configure-o para obter endereo IP automaticamente, pois o DI-524 j vem configurado por padro como um servidor de atribuio de endereos IPs automtico (servidor DHCP) para as estaes de trabalho. No Linux Educacional, a deteco da interface de rede ativa ser automtica e tambm a obteno de endereo IP atravs do servidor DHCP do roteador. Em seguida, abra o seu navegador Firefox e aponte-o para o seguinte endereo 192.168.0.1. Aparecer uma janela solicitando um login e uma senha para acessar a interface de gerncia do DI-524, parecida com a da figura abaixo. Figura 13.3 Login no DI-524
Preencha o campo usurio com admin e o campo senha com pro8308 e em seguida aparecer a pgina com a interface de gerncia. Sempre faa as configuraes do roteador DI-524 utilizando a rede com fio, usando o computador do professor.
201
Outra facilidade do roteador a funo DHCP (Dynamic Host Configuration Protocol), que atribui endereos IP da rede 192.168.0.0 automaticamente aos equipamentos da rede interna, medida que eles se conectam ao roteador. Assim, no h necessidade de fazer a configurao manual dos endereos IP nos equipamentos da rede interna. Esse roteador ainda tem outros recursos mais avanados de configurao, tais como: segurana, canal de comunicao, filtragem por endereo MAC, filtragem de aplicativos etc.
O boto Wizard pode ser usado para conectar de forma mais automtica o roteador, mas vamos fazer passo a passo.
202
\\Network
ID (SSID) um nome qualquer que voc dar para a sua rede sem fio. Exemplo: Proinfo; o canal de comunicao; o padro 6 e podem ser usados os seguintes canais: 1, 6 e 11; se houver outro roteador sem fio nas proximidades, verifique o canal que o outro est usando e configure um canal diferente neste, para evitar interferncia; o tipo de segurana a ser utilizado. Utilizaremos nesse exemplo de configurao da rede wireless o padro WEP. No o mais seguro, mas oferece uma segurana mnima para que outros usurios no peguem carona e utilizem a sua conexo wireless e a sua internet ou acessem os outros computadores de sua rede; Encription essa opo aparecer somente caso tenha escolhido o tipo de segurana WEP. Pode-se escolher entre o valor 64 e 128 bits, influenciando diretamente no nvel de segurana e no tamanho da chave a ser utilizada. Selecione o valor 128 bits para ter um pouco mais de segurana; Mode essa opo aparecer somente caso tenha escolhido o tipo de segurana WEP. Pode-se escolher os valores ASCII (texto) e HEX (hexadecimal). A diferena entre os dois modos que em ASCII voc pode definir uma chave mais fcil de ser guardada, pois ser uma palavra no formato texto com 13 letras, enquanto que em HEX voc dever utilizar 26 caracteres somente com os valores de 0-9 e ABCDEF. Nesse exemplo optamos por utilizar chave em HEX. Exemplos de chaves ASCII: linuxeducacio. Exemplos de chaves HEX: 0123456789ABCDEF0123456789, AB54355CDF4324F321ABD12345.
\\Channel
\\Security
\\WEP
\\Key
Depois de preenchidos todos os campos, basta clicar sobre o boto Apply e aguardar o equipamento ser reiniciado.
203
Caso esteja utilizando um modem ADSL configurado como roteador, basta ento selecionar a opo Dynamic IP Address. Dessa forma, o seu DI-524 ser um cliente DHCP e obter um endereo IP pblico automaticamente, que ser utilizado pela porta WAN. No caso da utilizao de um modem ADSL como roteador, no se esquea de verificar se ele est configurado para fornecer endereo IP para a rede internet (servidor DHCP); caso contrrio, ser necessrio utilizar a opo Static IP Address, onde ser preciso informar o endereo IP, mscara de rede e gateway padro. Essas informaes devero ser fornecidas pelo seu provedor de acesso internet. Ligue tambm a opo Auto-reconnect clicando em Enable. Dessa forma, caso a sua conexo caia, o DI-524 tentar restabelecer a conexo automaticamente. Clique no boto Apply para confirmar as alteraes. Caso esteja utilizando um modem ADSL como Bridge, confirme com a sua operadora se o seu padro PPPoE, selecione a opo PPPoE e entre com as seguintes opes:
\\User
Name seu nome de usurio de conexo. Na maioria dos casos (confirme com a sua operadora), deve-se colocar o seu login e tambm o domnio. Exemplo: proinfo@oi.com.br;
204
\\Connect
mode select selecione Always-on. Dessa forma, sua conexo ficar sempre ativa e em caso de quedas, automaticamente ser reconectado.
Clique sobre o boto Apply para confirmar as alteraes. Clique na aba Status localizada no menu horizontal na parte superior de sua tela e veja se o DI-524 conseguiu se conectar internet, verificando as informaes na seo WAN, conforme mostrado na prxima figura. Figura 13.7 Status da conexo WAN
Repare que houve a conexo e o endereo IP pblico da conexo WAN 201.17.48.40, a mscara de rede 255.255.248.0 (no se preocupe com este valor diferente: ele foi definido pelo provedor) e o gateway padro 201.17.48.1. Por se tratar de um roteador, automaticamente o equipamento j realizar o compartilhamento de acesso internet para todas as estaes de trabalho conectadas atravs de cabo de rede ou wireless. Observe que na parte referente LAN (Rede Local), o endereo IP do roteador 192.168.0.1 que deve ser usado como gateway padro pelos computadores da rede interna.
205
\\Password
No exemplo vemos que est sendo usada a rede sem fio chamada linksys_ SES_56032 com criptografia. Observe que todas as redes listadas esto usando criptografia, exceto a rede belkin54g. Nessa situao, qualquer um pode se conectar rede belkin54g e us-la gratuitamente. No aconselhvel deixar uma rede sem fio sem nenhuma proteo. Se, por exemplo, selecionarmos a rede belkin54g, imediatamente seremos conectados, conforme a figura a seguir. Figura 13.9 Conexo rede belkin54g
Se na tela do KnetworkManager selecionarmos a opo Configurao Manual..., obteremos a tela mostrada na figura seguinte, onde possvel configurar manualmente as interfaces de rede disponveis.
206
Selecionando a interface eth1 e clicando no boto Configurar interface, teremos a tela mostrada na figura a seguir, onde podemos efetuar todas as configuraes desejadas. Figura 13.11 Configurao de Interface
Resoluo de problemas
Caso no esteja navegando na internet, podemos testar a conexo com alguns comandos simples.
207
O primeiro passo verificar se voc est conectado ao roteador DI-524. Para isso, basta executar o comando ping para o endereo IP do roteador na rede interna: 192.168.0.1. Se estiver tudo certo, a resposta dever ser igual da listagem a seguir.
$ ping 192.168.0.1 Disparando contra 192.168.0.1 com Resposta de 192.168.0.1: bytes=32 Resposta de 192.168.0.1: bytes=32 Resposta de 192.168.0.1: bytes=32 Resposta de 192.168.0.1: bytes=32 32 bytes de dados: tempo=1ms TTL=64 tempo=1ms TTL=64 tempo=1ms TTL=64 tempo=1ms TTL=64
Se a mensagem for: Esgotado o tempo limite, ento voc no est conectado ao roteador. Verifique suas configuraes de interface de rede. O segundo passo tentar um endereo na internet. Se voc usar o nome do host na internet, ainda pode acontecer de haver um problema no servidor DNS que traduz nomes em endereos IP. Para contornar o servidor DNS, use um endereo IP conhecido. Algumas sugestes: 8.8.8.8 (servio de DNS pblico da Google); 208.67.222.222 (OpenDNS); 200.221.2.45 (www.uol.com.br). Se no funcionar, voc no est conectado internet. Verifique o status da sua conexo WAN. O terceiro passo testar usando um nome e no um endereo IP. Pode ser de qualquer site na internet. Se no funcionar, indcio seguro de que o servidor DNS no est respondendo. Verifique na tela de status da conexo WAN os endereos dos servidores DNS e tente dar um ping neles. Pelo menos um deles dever responder. Caso isso no acontea, contate seu provedor de acesso.
208
Caderno de atividades
Roteiro 1 Configurao bsica do roteador D-Link
Atividade 1.1 Configurao NAT do roteador
O NAT (Network Address Translation) uma tcnica que consiste em reescrever os endereos IP de origem dos pacotes que passam por um roteador, de maneira que um computador de uma rede interna tenha acesso a uma rede externa (internet) e vice-versa. Para configurar o NAT no Modem D-Link 524 necessrio abrir o navegador e digitar o endereo 192.168.0.1. A figura a seguir ilustra a sequncia dos procedimentos que devem ser executados.
209
Certifique-se de que o computador est configurado para receber um endereo IP dinamicamente atravs de um servidor DHCP (o prprio roteador). Clique na guia Advanced e no boto Virtual Server.
\\Para \\No \\Em
campo Name, digite um nome para a regra que voc est criando;
Private IP, digite o IP do computador para o qual o acesso externo dever ser direcionado; em Protocol Type o protocolo a ser aplicado (TCP ou UDP);
\\Informe \\Em
Private Port, informe a porta privada a ser acessada dentro da rede, referente ao servio solicitado (ex: 22 para SSH); o mesmo em Public Port;
\\Faa \\Voc
pode criar um agendamento para que o NAT esteja disponvel apenas em um horrio determinado; em Apply para gravar a nova regra no roteador.
\\Clique
Pode-se criar uma regra para cada servio disponibilizado na rede, de acordo com sua porta de acesso, como por exemplo Telnet, SSH, Servio de Terminal, VNC.
210
\\Clique \\Na
\\Informe
um IP especfico caso esteja acessando sempre de um mesmo ponto remoto, ou deixe em branco para que o acesso possa ser feito de qualquer ponto remoto; a porta para acesso, no caso a porta 80;
\\Informe \\Clique
211
Caderno de atividades
Certifique-se de que o computador est configurado para receber um IP dinamicamente atravs de um servidor DHCP (o prprio roteador). Siga o roteiro abaixo:
Nesta tela voc pode alterar a senha de acesso ao equipamento. Existem duas contas que podem acessar a interface de web para gerenciamento do roteador:
\\admin \\user
acesso somente para leitura; o usurio pode visualizar apenas as definies, mas no pode fazer qualquer alterao.
Administrador: Admin o nome de login do Administrador. Password: Digite uma nova senha de Administrador e confirme essa senha. User: Nome de login do usurio. Password: Digite uma nova senha de usurio e confirme essa senha.
no boto Home; no boto Wireless; os dados da rede. Figura 4 Configurao da rede sem fio
\\Configure
212
Aps a configurao da rede sem fio no roteador, ingresse na rede criada de acordo com o seguinte roteiro:
\\Boto \\Boto \\Insira
Iniciar > Configuraes do sistema > Ferramentas de rede; Modo Administrador; a senha de login (este procedimento habilita a configurao da rede); a interface de rede sem fio e clique no boto Configurar interface; as opes: Automtico (DHCP), Ativar quando o computador iniciar;
no boto OK.
Iniciar > Configuraes do sistema > Impressoras; em Adicionar > adicionar impressoras;
uma pasta com o nome Pblico (ou outro qualquer de sua escolha); com o boto direito do mouse na pasta recm criada e clique em Propriedades;
\\Clique \\Na
aba Compartilhar, clique no boto Configurar o compartilhamento de arquivo (para isso ser necessrio entrar com a senha de super usurio); em Compartilhamento simples > adicionar;
\\Clique
\\Localize
a pasta recm criada e marque a opo Compartilhar com Samba; e clique em OK.
Verifique na mquina ao lado se o compartilhamento funcionou, atravs do cone: Pastas de Rede > Compartilhamentos do Samba.
Caderno de atividades
Atividade 2.2 Ingressando em uma rede sem fio com o Linux Educacional
admin
pro8308
A rede sem fio j vem pr-configurada com criptografia WPA2-PSK (AES) e a senha : ProinfoUrbano832008 A figura abaixo ilustra a posio do boto Reset (deve ser usado um clip). Figura 5 Reset no roteador
Por questes de desempenho, recomenda-se que na rede Aluno a criptografia seja alterada para WEP-64 bits.
A figura a seguir ilustra uma possvel soluo para o problema acima relatado.
D-Link Aluno 192.168.0.1 Internet IP do provedor Modem ADSL 192.168.0.x Rede ADM
192.168.10.y
O roteador D-Link Aluno, com endereo IP LAN: 192.168.0.1 e endereo IP WAN: IP do Provedor, fornece endereos IP da rede 192.168.0.0/24 para os micros da rede Alunos via DHCP, conforme configurao pr-estabelecida na fbrica. O roteador D-Link ADM, com endereo IP LAN: 192.168.10.1 e endereo IP WAN: 192.168.0.x, fornece endereos IP da rede 192.168.10.0/24 para os micros da rede ADM via DHCP. Os micros da rede Aluno se comunicam com o roteador D-Link Aluno via rede sem fio, enquanto que os micros da rede ADM se comunicam com o roteador D-Link ADM via rede cabeada. Isto um pr-requisito para este laboratrio, uma vez que o segundo roteador no deve interferir na rede sem fio do primeiro roteador; portanto, o segundo roteador deve operar sem antena. A rede Aluno acessa a internet normalmente, sendo a traduo NAT do IP interno (192.168.0.n) para o IP do Provedor feita pelo roteador D-Link Aluno. Desta forma, a rede Aluno no tem rota para a rede interna 192.168.10.0/24 da Administrao. A rede ADM vai passar por duas tradues NAT para acessar a internet: a primeira traduo da rede 192.168.10.0/24 para o endereo 192.168.0.x da rede Aluno e a segunda traduo do endereo 192.168.0.x para o endereo IP do Provedor. Desta forma, os micros da rede ADM tm acesso rede Aluno e tambm internet, conforme especificado no enunciado do problema.
215
Caderno de atividades
Soluo
Roteiro 4 Exerccios
Atividade 4.1 Complete a tabela com as informaes que faltam
Rede 192.168.10.0/24 10.11.10.0/8 Endereo Broadcast Endereo Rede Qual a classe?
Atividade 4.3 Um dos computadores da rede no est acessando a internet, mas os demais acessam
\\Qual
\\Como
\\Qual
216
\\Se
a sua tentativa no solucionou o problema e seu diagnstico indica que existe um problema de hardware, que procedimento dever ser executado?
\\Como
\\Qual
\\Sua
tentativa identificou que o problema est com a operadora. Sendo assim, que aodever ser tomada para solucionar o problema?
217
Caderno de atividades
\\Se
a sua tentativa aparentemente funcionou, que comando voc utilizar para se certificar de que est de fatofuncionando?
Soluo do Roteiro 4
Gabarito 4.1
Rede 192.168.10.0/24 10.11.10.0/8 Endereo Broadcast 192.168.10.255 10.255.255.255 Endereo Rede 192.168.10.0/24 10.0.0.0/8 Qual a classe? Classe C Classe A
Gabarito 4.2
Descrio Endereo IP na LAN Mscara na LAN Endereo do Gateway na LAN Endereo de Broadcast na LAN Ponto de acesso 192.168.100.1 255.255.255.0 No tem 192.168.100.255 Micro 1 192.168.100.2 255.255.255.0 192.168.100.1 192.168.100.255 Micro 2 192.168.100.3 255.255.255.0 192.168.100.1 192.168.100.255
Gabarito 4.3
\\Qual
No console do terminal do micro usar o comando: route n e verificar se a rota padro aponta para o gateway da rede.
\\Qual
sua tentativa aparentemente funcionou, que comando voc utilizar para se certificar de que est realmentefuncionando? Usar o comando ping para um stio na internet, por exemplo: ping www.mec.gov.br
\\Sua
tentativa no solucionou o problema e seu diagnstico leva a crer que existe um problema de hardware, qual o procedimento que dever ser tomado? Chamar a assistncia tcnica do fabricante e descrever o problema.
Gabarito 4.4
\\Quais
218
Acessar um micro da rede interna usando outro micro (teste de conectividade). Se conseguir, o roteador est funcionando corretamente na rede interna. Se no, o problema est no roteador. Verifique na tela de status do roteador se o endereo IP WAN o endereo fornecido pelo provedor. Se a tentativa anterior no funcionar, o problema est no modem ADSL.
\\Qual
Reiniciar o roteador e repetir o teste de conectividade. Se o problema persistir, definitivamente o roteador est com problema. Se o endereo IP WAN no estiver correto, reiniciar o roteador para ver se ele obtm o endereo IP correto.
\\Se
sua tentativa identificou que o problema est com a operadora, qual aodever ser tomada para solucionar o problema? Chamar a assistncia tcnica da operadora e descrever o problema.
o servio SSH:
# ssh ip_do_servidor_remoto
\\Confirmar
um comando hostname no host remoto, para se certificar que voc est no computador desejado.
# hostname servidor.empresa
\\Incluir
# adduser nome_do_usurio
\\Encerrar
# exit
219
Caderno de atividades
\\Como
Atividade 5.2 Transferncia de um arquivo de um host remoto para o host local e vice-versa
Um administrador de rede necessita criar pastas com atalhos e arquivos para todos os usurios. Utilize o comando scp para transferir a pasta /etc/skel com os arquivos necessrios para os hosts remotos.
\\Copie os arquivos, atalhos e cones para sua rea de trabalho, de maneira que ela seja o
modelo. Aps esse procedimento, copie sua pasta /home/aluno para a pasta /etc/skel:
# cp p R /home/aluno /etc/skel
\\Copie
# ssh ip_remoto
\\Estando
logado no host remoto liste o contedo da pasta /etc/skel, verificando o contedo de suas subpastas:
# ls /etc/skel/Desktop # ls /etc/skel/Documentos
A partir desse momento, todos os usurios criados estaro com suas pastas personalizadas.
o computador remoto atravs do SSH: o comando tar para fazer um backup da estao remota:
# ssh ip_remoto
\\Utilize
para o terminal local: o arquivo compactado da mquina remota para a mquina local:
# exit
\\Copie
# scp root@ip_remoto:/backup.tar.gz .
o arquivo compactado da mquina remota para a mquina local: o computador remoto com o SSH: o comando tar para descompactar o arquivo copiado:
# ssh ip_remoto
\\Utilize
220
Filtros
Os filtros so utilizados para permitir ou bloquear usurios da rede de acessarem a internet. O DI-524 pode ser configurado para negar acesso internet a computadores internos, por seus endereos IP ou MAC. O DI-524 tambm pode bloquear o acesso a sites restritos.
Filtros por IP
Use os filtros de IP para negar que endereos de IP da LAN tenham acesso internet. Para um endereo de IP especfico, possvel negar um nmero especfico de porta ou todas as portas. A figura abaixo ilustra os passos necessrios para essa configurao. Figura 7 Filtro de IP do roteador
\\Port
digite uma nica porta ou uma srie de portas, que tero o acesso internet negado. Type selecione o tipo de protocolo utilizado. Agenda de ativao dos filtros (IP Filters).
\\Protocol
\\Schedule
221
Caderno de atividades
\\No
campo Filters selecione o filtro que quer usar; neste caso foi escolhido URL Blocking.
\\URL
Blocking selecione Enabled ou Disabled para ativar ou desativar o URL Blocking; a configurao padro Ativado. bloquear URLs que contm palavras-chave listadas. Digite as palavras-chave neste espao.
\\Keywords
222
Utilizando os conhecimentos adquiridos de bloqueio de sites, tente bloquear alguns sites atravs de palavras-chave. Faa um teste para verificar o funcionamento.
Filtros MAC
Use o filtro de MAC (Media Access Control) para permitir ou negar que os computadores da LAN (Local Area Network) deixem de acessar a rede, negando o acesso pelos seus endereos MAC. Voc pode adicionar manualmente um endereo MAC ou selecionar o endereo MAC da lista de clientes que se encontram atualmente ligados ao roteador. A prxima figura ilustra o procedimento que deve ser executado. Figura 9 Filtro por endereo MAC da estao
\\No
campo Filters selecione o filtro que deseja usar; neste caso, MAC Filters foi escolhido. Filters escolha uma das trs opes abaixo:
\\MAC
1 . Disabled MAC filters para desabilitar a funo; 2 . Only allow computers with MAC address listed below to access the network para permitir endereos MAC listados abaixo ou 3 . Only deny computers with MAC address listed below to access the network para negar endereos MAC listados abaixo.
\\Name \\MAC
\\DHCP
Client selecione um cliente DHCP da lista; clique em Clone para copiar esse endereo MAC.
223
Caderno de atividades
Atividade 6.3 Bloqueando mquinas pelo endereo MAC para acesso internet
Utilizando os conhecimentos adquiridos de bloqueio a computadores, bloqueie os computadores de sua respectiva bancada, e faa um teste para verificar o funcionamento.
\\No
campo Filters selecione o filtro que deseja usar; neste caso foi escolhido Domain Blocking. Blocking selecione Disabled para desativar Domain Blocking (se no for us-lo);
\\Domain
\\Allow
permite que os usurios acessem todos os domnios, exceto os domnios bloqueados; bloqueia usurios de acessarem todos os domnios, exceto os domnios permitidos; Domains nesse campo digite os domnios que sero permitidos;
\\Deny
\\Permitted \\Blocked
224
Aps essa tarefa, permita que apenas os sites acima listados sejam liberados para acesso.
Firewall
Regras de firewall um recurso avanado utilizado para bloquear ou permitir o trfego de dados atravs do DI-524. Ele funciona da mesma maneira que as configuraes de filtros de IP. Quando servidores virtuais so criados e permitidos, tambm so exibidos em Firewall Rules, que contm todas as regras relativas rede IP (Internet Protocol). Na parte inferior da tela, em Firewall Rules List, as prioridades das regras so de cima (alta prioridade) para baixo (menor prioridade). Nota: As regras de filtragem por endereos MAC tm preferncia sobre as regras de firewall. A figura abaixo ilustra o procedimento que deve ser executado.
225
Caderno de atividades
digite um nome para a regra de firewall; permite (Allow) ou bloqueia (Deny); digite uma faixa de endereos IP que devem ser filtrados pela regra;
\\Destination
digite uma faixa de endereos IP, o protocolo e a faixa das portas (TCP ou UDP); selecione Always para que a regra sempre fique ativa ou digite o horrio para a aplicao comear a funcionar.
\\Schedule
Aes
\\Utilizao \\Uso
Esta atividade ajudar a fixar os conceitos de criao de arquivos e diretrios e de cpia e alterao de informaes de arquivo.
Soluo
# touch teste1.txt teste2.txt # mkdir exemplo1 # cp teste1.txt exemplo1/ # mv teste2.txt exemplo1/ # cd exemplo1 # mv teste1.txt teste3.txt
226
Entre no diretrio exemplo1, empacote e compacte os arquivos criados anteriormente em um arquivo chamado arquivo1.tar.gz. Utilize apenas um comando para isso. Crie um diretrio chamado exemplo2 e mova o arquivo compactado para esse diretrio. Entre no diretrio exemplo2 e desempacote o arquivo arquivo1.tar.gz. Mova os arquivos descompactados para o diretrio exemplo1.
Aes
\\Utilize \\Use
Esta atividade permitir ao aluno praticar o agrupamento, desagrupamento, compactao e descompactao de arquivos.
Soluo
# cd exemplo1 # tar cvfz arquivo1.tar.gz * # cd .. # mkdir exemplo2 # cp exemplo1/arquivo1.tar.gz exemplo2/ # cd exemplo2 # tar zxvf arquivo1.tar.gz # cd .. # cp exemplo2/* exemplo1/
Aes
\\Utilize \\Use
comandos para determinar o espao em disco disponvel do sistema operacional e o nmero de processo.
Esta atividade permitir a prtica dos comandos para verificao de recursos e de espao em disco disponveis no sistema operacional.
227
Caderno de atividades
Soluo
Verificando memria:
# free
Aes
\\Use
\\Utilize
Esta atividade dar ao aluno a oportunidade de exercitar os conceitos de pesquisa, ocupao de espao dos arquivos, e a automao de tarefas atravs do cron.
Soluo
Logando como root:
$ sudo su
228
O usurio aluno1 esqueceu a sua senha. Que procedimento o administrador deve adotar para recri-la?
Ao
\\Utilize
Soluo
Logando como root:
$ sudo su
Aes
\\Procure \\Utilize
Esta atividade capacitar o aluno a procurar por arquivos em seu computador, atravs de filtragem por tamanho.
Soluo
Logando como root:
$ sudo su
229
Caderno de atividades
Aes
\\Utilize \\Utilize
Soluo
Logando como root:
$ sudo su
Compactando o arquivo:
# tar cvzf backup.tar.gz /etc
o terminal para fazer a instalao da ferramenta. Clique em Iniciar > Sistema > Terminal (Konsole) e faa antes uma atualizao do banco de dados de pacotes:
$ sudo apt-get update $ sudo apt-get install italc-master
\\No
$ ica &
230
que o professor possa usar as chaves geradas na instalao, necessrio que as permisses de acesso chave privada sejam ajustadas:
$ sudo chgrp adm /etc/italc/keys/private/teacher/key
\\Faa
o terminal para fazer a instalao da ferramenta. Clique em Iniciar > Sistema > Terminal (Konsole) e faa antes uma atualizao do banco de dados de pacotes:
$ sudo apt-get update $ sudo apt-get install italc-client
\\Copie
a chave do professor para a pasta correta. Ser necessrio utilizar as permisses de root para esta tarefa:
# sudo cp ~/key /etc/italc/keys/public/teachers/
\\Pronto.
Configurando o servidor
Clique em Iniciar > Sistema > iTALC Master Interface. Na janela do iTALC, faa os seguintes procedimentos: 1. Clique em Classroom-Manager, dentro da janela, clique com o boto direito e selecione Add classroom e preencha a janela de dilogo com o nome da sala. Figura 12
231
Caderno de atividades
\\Para
que o servidor tenha permisso para acessar os terminais, o iTALC trabalha com chaves, que devem ser iguais no terminal e no servidor. Para isso copie a chave do servidor para os terminais. Esta chave fica na pasta /etc/italc/keys/ public/teachers:
2. Clique novamente com o boto direito na janela de listagem das salas de aula e alunos para adicionar cada aluno. Preencha com pelo menos o nome e o endereo IP do aluno (os demais parmetros so opcionais). Figura 13
232
Bibliografia
\\ABNT
2005.
\\ELIAS,
Gledson. Curso de Arquitetura e protocolos de rede TCP-IP. Escola Superior de Redes, RNP 2009. Ruben E. Linux, Guia do Administrador do Sistema. Novatec, 2008.
\\FERREIRA, \\FRASER,
B. RFC 2196 Site Security Handbook. Editor SEI/CMU, 1997. Disponvel em: http://www.faqs.org/rfcs/rfc2196.html, http://penta.ufrgs.br/gereseg/rfc2196/ cap1.htm Eleen. Essential System Administration. O Reilly & Associates Inc., 1995.
\\FRISCH,
\\GRAAS,
Sergio e ABREU, Giany. Manual de instalao da impressora no Linux Educacional via CUPS e KDE. Proinfo, Ministrio da Educao. Roger. Configurando uma rede local bsica com o D-Link DI-524. Disponvel em http://www.detudoumpouco.org/2009/07/17/configurando-uma-redelocal-basica-com-o-d-link-di-524/#more-14. Acessado em 05/10/2009. Gleydson. Guia Foca Linux. Disponvel em http://focalinux.cipsga.org.br/ guia/iniciante/index.html Evi et alii. Unix System Administration Handbook. Prentice Hall, 1995. Richard et alii. Certificao Linux LPI. O Reilly and Associates Inc.,
\\LOVATO,
\\MAZIOLI,
\\NEMETH,
\\PRITCHARD,
2007.
\\SMOLA,
Marcos. Gesto da segurana da informao: uma viso executiva. Ed. Campus, 2002. NETTO, Almezindo. Service Desk e a Metodologia ITIL: um estudo de caso. Disponvel em http://si.uniminas.br/TFC/monografias/Service%20DeskAlmezindo.pdf. Acessado em 28 de setembro de 2009. Moira J.; STIKVOORT, Don et alii. Handbook for Computer Security Incident Response Teams (CSIRTs), 2003. Disponvel em: http://www.cert.org/ archive/pdf/csirt-handbook.pdf
\\SPIRANDELLI
\\WEST-BROWN,
233
MID1
Administrao de videoconferncia
40h
ADS1
Introduo ao Linux
MID2
40h
ADR4
SEG1
ADS2
ADR1
ADS3
ADR6
SEG2
ADS5 ADS4
Virtualizao de servidores
40h
ADR3
Roteamento avanado
40h
SEG6
ADR7 ADR5
IPv6 bsico
40h
GTI10 40 horas
i Bs
co
GTI2
GTI1
GTI8 40 horas
GTI3
Inte
di rme
rio
GTI4
Gerenciamento de servios de TI
24h
40h GTI8
Governana de TI
24h
Gesto de riscos de TI
NBR 27005
Anlise forense
40h
40h
n Ava
GTI5
ad
GTI7
ITIL
COBIT
Control Objectives for Information and Related Technology
16h
SEG8
16h
Legenda
Todos os cursos da ESR requerem ingls para leitura e noes de informtica e Internet. Conhecimento prvio recomendado Curso
Este livro foi produzido em papel offset 90g/m2 e carto supremo 300g/m2, a partir da madeira de florestas certificadas FSC e outras fontes controladas. Impresso pela Grfica Minister em junho de 2010 para a Escola Superior de Redes.
A Escola Superior de Redes (ESR) a unidade de servio da Rede Nacional de Ensino e Pesquisa (RNP) voltada capacitao de recursos humanos em Tecnologias da Informao e Comunicao (TIC). Apoiando o Programa Nacional de Tecnologia Educacional (Proinfo) que promove o uso pedaggico das tecnologias da informao e comunicao na rede pblica brasileira de educao bsica , a ESR elaborou este livro, que integra o plano de capacitao para a formao de suporte tcnico das escolas beneficiadas pelo Proinfo. O enfoque do material est no software Linux Educacional, suas ferramentas e portais do MEC. So apresentadas as caractersticas do Linux e sua administrao, conceitos de protocolo de rede TCP/IP , redes com e sem fio e configurao de interfaces, e ainda boas prticas em segurana no uso de redes e internet. Todos os captulos tericos esto fundamentados com atividades prticas. A disseminao deste contedo ser feita atravs de instrutores que atuaro como multiplicadores do conhecimento.