Escolar Documentos
Profissional Documentos
Cultura Documentos
A
Guilherme Simes Lima, Vandro Borges
Ps Graduao em Redes e Segurana de Sistemas
Pontifcia Universidade Catlica do Paran
Curitiba, maio de 2009
Resumo
Este trabalho tem a finalidade de apresentar os procedimentos e tecnologias
utilizadas para a implantao de uma intranet totalmente funcional na empresa Informtica
S.A. Essa intranet foi o resultado dos estudos realizados durante todo o curso de psgraduao que nos deu a base necessria para implementar todo o ambiente de rede que hoje
utilizado na empresa. Cada servio de rede presente nesta intranet foi utilizado baseado na
necessidade dos funcionrios e clientes da empresa de modo que houvesse uma integrao
mais eficiente entre eles.
1 Introduo.
Uma intranet pode ser definida como um conjunto de servios de rede que atendem a
uma rede privada (rede particular de uma organizao). Assim como a internet, uma intranet
oferece diversos servios tais como: acesso a web sites, e-mails, chat online, download de
arquivos e etc. A diferena est na autorizao de acesso a estes servios. Enquanto na
internet o acesso pblico, na intranet o acesso exclusivo da empresa, onde os nveis de
permisses de cada acesso so definidos com base na hierarquia (organograma) da empresa,
comumente dividida em departamentos.
Alm de fornecer servios, a intranet possui um carter de organizao, padronizando
e criando polticas sobre a correta utilizao dos equipamentos disponibilizados pela empresa.
Outro fator muito importante a segurana. Uma intranet deve ser capaz de implementar
procedimentos de segurana para que a integridade de seus sistemas (e arquivos) no seja
prejudicada devido a um acesso indevido, que pode partir de dentro da prpria intranet ou
mesmo da internet.
Atualmente existem dois servidores na empresa informtica S.A que garantem o
ambiente da intranet em questo. Os Sistemas Operacionais utilizados foram o Microsoft
Windows Server 2003 e o Linux Debian Etch 4.0.
Esses servidores so responsveis por garantir os seguintes servios: servidor de
arquivos/impresso, acesso web, web proxy, DNS (resoluo de nomes), firewall, e-mail,
Banco de Dados (MYSQL), CFTV, FTP, SSH, QoS, acesso remoto (via WTS), XMPP e VPN.
O objetivo deste trabalho mostrar como alguns destes servios foram implantados na
empresa levando em considerao as vrias tecnologias existentes hoje no mercado, bem
como o motivo que nos levou a utilizar uma determinada tecnologia em detrimento de outra.
Este trabalho possui a seguinte organizao. Na seo 2 descrevemos a topologia da
2 Topologia da Rede.
A rede na empresa Informtica S.A foi definida com base na figura 1 abaixo. Essa rede
composta basicamente por um link ADSL de 2MB fornecido pela operadora Brasil Telecom
com o ip fixo (vlido) 187.5.19.192 (domnio informaticasa.com.br).
O servidor Linux Debian Etch 4.0 (codinome Thunder) responsvel pelo
roteamento da rede interna, criando uma segunda faixa de endereamento ip que ser
fornecida para as estaes de trabalho, para o servidor Windows Server 2003 (codinome
Titan) para o servidor de cmeras (CFTV) e para os servidores de impresso. A faixa de ip
atribuda rede interna pelo servidor Thunder distribuda atravs de um Switch Micronet
10/100 de 24 portas (gerencivel).
IP
Mscara
Gateway
DNS
10.1.1.0
10.1.1.3
/8
10.1.1.1
localhost
192.168.254.0
192.168.254.254
/24
10.1.1.1
localhost
Mscara
Gateway
DNS1
DNS2
192.168.254.100
/24
192.168.254.254
localhost
192.168.254.254
Mscara
Gateway
192.168.254.100
/24
192.168.254.254
DNS1
DNS2
192.168.254.100 192.168.254.254
Servidor de Impresso 1
IP
Mscara
Gateway
192.168.254.253
/24
192.168.254.254
DNS1
DNS2
192.168.254.100 192.168.254.254
Servidor de Impresso 2
IP
Mscara
Gateway
192.168.254.252
/24
192.168.254.254
DNS1
DNS2
192.168.254.100 192.168.254.254
Estaes de Trabalho
IP
Mscara
192.168.254.* (1 - 253)
/24
Gateway
DNS1
DNS2
oferecida pelo zoneedit [1]. Essa ferramenta nada mais do que um servidor de nomes com as
mesmas opes do daemon bind sendo configurado pelo browser. Aps efetuar o cadastro, o
usurio pode logar-se em sua conta e configurar o seu servidor de acordo com as suas
necessidades (figura 2 e figura 3 abaixo).
Essa ferramenta foi utilizada aps problemas que encontramos para atribuir os
servidores de nomes aos nossos domnios registrados. Como o registro.br (site do comit
gestor da internet no brasil CGI.br) solicita dois servidores de nomes distintos (ns1 e ns2
para master e slave respectivamente) achamos vivel a utilizao do zoneedit.
O zoneedit oferece gratuitamente dois servidores de nomes (master e slave) que so
necessrios para serem delegados no registro.br, para que assim, o domnio possa ser
publicado com sucesso. At cinco zonas (domnios) podem ser configuradas gratuitamente. A
configurao simples e rpida. Em apenas um minuto as modificaes sero armazenadas e
o zoneedit disponibilizar dois servidores para serem atribudos ao seu domnio no registro.br
(figura 4).
name = mail.informaticasa.com.br.
3.3.2 Relatrios.
Os relatrios possuem uma importncia vital para os administradores de rede da
empresa, pois atravs dele possvel obter vrias informaes tcnicas a respeito do acesso
internet. Utilizamos para esse fim, trs plugins para o webproxy squid. So eles: Sarg,
Calamaris e Squid-Graph.
3.3.3 SARG.
O Squid Analysis Report Generator (SARG - http://sarg.sourceforge.net) uma
ferramenta open-source brasileira bastante conhecida, utilizada para auditar o acesso a
internet de seus usurios Esses relatrios so gerados automaticamente todos os dias e so
disponibilizados para o administrador. Nele esto contidas as seguintes informaes: estao
de trabalho e site acessado, tempo de permanncia no site, quantidade de vezes que o usurio
acessou o site e o tempo total que o usurio permaneceu na internet e a tentativa de acessar
um site bloqueado.
3.3.4 Calamaris.
Assim como o sarg, o calamaris fornece vrias informaes de auditoria, porm as
informaes geradas por ele possuem um carter genrico disponibilizando vrias estatsticas
sobre o comportamento do webproxy. Veja na figura 3 abaixo.
3.3.5 Squid-Graph.
O squid-graph utiliza as informaes contidas nos arquivos de log do webproxy para
montar um relatrio grfico sobre o trfego gerado pelo squid. Bastante til, pois com ele
possvel analisar o consumo de banda da rede, sabendo exatamente o total de transferncias
efetuadas, sendo disponibilizada em intervalos de 5 minutos. Veja na figura 6 abaixo
Figura 6: Squid-Graph
3.4 MSN-Proxy.
O msn-messenger uma excelente ferramenta de comunicao, que pode ser muito
til no ambiente de trabalho. Muito popular, vrias empresas inclusive j o adotam como uma
das formas de contato oficial com seus clientes/distribuidores. O grande problema quando o
seu foco desviado para uma utilizao que no condiz com o escopo de trabalho definido
pela empresa. Conversas particulares com amigos, por exemplo, desviam a ateno do
funcionrio tornando-o improdutivo.
Por esse motivo foi implantada uma ferramenta chamada MSN-Proxy
(http://sourceforge.net/projects/msn-proxy/) que tem a finalidade de monitorar o msn,
gravando as conversas com auxlio do banco de dados Mysql.
Esta ferramenta bastante flexvel, pois permite ao administrador acompanhar em
tempo real quais usurios esto logados no msn-messenger, acompanhar as conversas (chats),
bloquear funcionalidades como: envio de arquivos, imagens, pedidos de ateno, winks e
contatos. Tambm possvel ao administrador avisar aos usurios que o msn dentro da
empresa est sendo monitorado. Alm disso, possvel bloquear as diversas verses
existentes do msn com a finalidade de manter um padro dentro da empresa (figura 7):
Porta 80 (Acesso web sem proxy - Apenas para mquinas de clientes e chefes de
departamento)
3.6 E-mail.
Aps muito tempo utilizando um servio de e-mail pago, decidimos nos aventurar na
instalao, configurao e manuteno de um servidor de e-mail open source. Comeamos a
estudar o QuickMail (qmail http://www.qmail.org). Constatamos a facilidade na
configurao e gerenciamento do Qmail com relao a concorrentes j consagrados como
Postfix e Sendmail, alm de ser seguro e rpido. Por essas razes decidimos utilizar o qmail
como MTA.
A nossa idia foi implantar um sistema de servio de e-mail que atendesse os
seguintes requisitos: servios de correio SMTP (MTA) / POP3 (MDA) / IMAP (MDA), um
painel de controle para a gerncia das contas de usurio via web, um webmail para acesso e a
possibilidade da utilizao do Microsoft Outlook como MUA.
O qmail possui uma soluo completa de MTA e MDA no mesmo pacote o que
facilitou bastante todo o processo de implantao. Para o MDA, utilizamos o vpopmail.
Bastante fcil de configurar ele possui suporte a domnios virtuais (que o nosso caso) e
totalmente compatvel com o MTA qmail. Para facilitar a administrao destes domnios
virtuais utilizamos uma interface web chamada qmailadmin (figura 7 abaixo)
Figura 8: Webmail
5 Concluso.
Este trabalho teve a finalidade de apresentar os servios de rede que so utilizados
hoje na empresa Informtica S.A, que juntos formam a estrutura da intranet da empresa. Os
softwares foram escolhidos com base na facilidade de configurao e manuteno, sendo
implantados nos sistemas operacionais Microsoft Windows 2003 Server e Linux Debian
ETCH 4.0.
Com a implantao desta intranet foi possvel colocar em prtica vrios assuntos que
foram ministrados pelos professores durante o curso de ps-graduao dando nfase
segurana dos servios disponibilizados.
Como uma empresa prestadora de servios de informtica nos foi vital a implantao
destes servios em nosso prprio ambiente de rede como para termos condies de ofereclos aos clientes, garantindo confiabilidade e prezando a segurana.
6 Bibliografia.
[1] Zoneedit. The industry standard in internet domain name management. Acessado em Abril
de 2009. Disponvel em: http://www.zoneedit.com.
[2] Ricci, Bruno. Mendona Nelson. Squid: Soluo Definitiva.2006. Editora Cincia
Moderna, Rio de Janeiro
[3] Neto, Urubatan. Dominando Linux Firewall Iptables. 2004. Editora Cincia Moderna, Rio
de Janeiro, 26p.
[4] Chris Hardie. Qmail Anti-Spam HOWTO. Acessado em Abril de 2009. Disponvel em:
http://www.chrishardie.com/tech/qmail/qmail-antispam.html.
[5] Guia Foca GNU/Linux.
http://focalinux.cipsga.org.br/
Acessado
em
abril
de
2009.
Disponvel
em
[6] Academias Microsoft Tech Net. Acessado em Maio de 2009. Disponvel em:
http://www.microsoft.com/brasil/technet/academia/default.aspx