Você está na página 1de 252

Formao de

suporte tcnico
PROINFO

A Escola Superior de Redes oferece cursos intensivos em TIC.

Cursos prticos voltados para o


mercado de trabalho. Laboratrios conectados Internet por meio do

backbone de alta velocidade da RNP . Atividades prticas que


refletem o dia a dia do profissional.

Material didtico exclusivo.


Unidades em 5 cidades do Brasil.

Formao completa em Linux. Virtualizao de servidores. IPv6


bsico. Mdias de colaborao digital como Videoconferncia e VoIP. Tecnologias de

redes sem fio.

Segurana de redes, com cursos de anlise forense e engenharia reversa de malware. Arquitetura e protocolos de rede TCP-IP. Governana de TI com cursos de
ITIL e COBIT.

esr.rnp.br

Formao de

suporte tcnico
PROINFO

A marca FSC a garantia de que a madeira utilizada na fabricao do papel deste livro provm de florestas que foram gerenciadas de maneira ambientalmente correta, socialmente justa e economicamente vivel, alm de outras fontes de origem controlada.

Formao de

suporte tcnico
PROINFO
Luiz Carlos Lobato Lobo de Medeiros Wendel Soares Rio de Janeiro Escola Superior de Redes 2010

Copyright 2010, Rede Nacional de Ensino e Pesquisa RNP Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simes Diretor de Servios e Solues Jos Luiz Ribeiro Filho Escola Superior de Redes Coordenao Luiz Coelho Coordenao Acadmica Derlina Peanha Moreira Miranda Coordenao Acadmica de Redes Luiz Carlos Lobato Lobo de Medeiros Coordenao Acadmica de Sistemas Sergio Ricardo Alves de Souza Equipe ESR (em ordem alfabtica) Clia Maciel, Cristiane Oliveira, Elimria Barbosa, Jacomo Piccolini, Lourdes Soncin, Luciana Batista, Magno Paiva, Renato Duarte e Sidney Lucena Reviso Pedro Sangirardi Capa, projeto visual e diagramao Tecnodesign Verso 1.0.1 Este material didtico foi elaborado com fins educacionais. Solicitamos que qualquer erro encontrado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuio Escola Superior de Redes Rua Lauro Mller, 116 sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP) M488a Medeiros, Luiz Carlos Lobato Lobo de.

Formao de suporte tcnico Proinfo / Luiz Carlos Lobato Lobo de Medeiros, Wendel Soares; colaborao de Sergio Ricardo A. de Souza. Rio de Janeiro: Escola Superior de Redes, 2010. 248 p.: il. ; 28cm. (Projetos Especiais) Inclui referncias. ISBN 978-85-63630-00-1

1. Software livre. 2. Redes de computadores. 3. Linux Educacional (sistema operacional de computador). 4. Suporte tcnico de computadores. 5. Programa Nacional de Tecnologia Educacional (Brasil). I. Soares, Wendel. II. Ttulo. CDD: 005.8

Sumrio
Prefcio.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii Captulo 1 O Proinfo integrado.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Histrico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Programa banda larga. Tecnologia utilizada . . . . . . . . . . . . . . . . . . . . . . 3 Curso de formao de suporte tcnico .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Suporte tcnico.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Service Desk Help Desk .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Gerenciamento de configurao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Topologia de Service Desk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Cargos de Service Desk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Responsabilidades da rea de Service Desk .. . . . . . . . . . . . . . . . . . . . . . . . . 8 Suporte local.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Captulo 2 Linux Educacional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Introduo. Histrico do Linux .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 Linux Educacional (LE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Arquitetura do Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 Gerenciamento de memria. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19 Comandos Linux . . . . . . . . . . . . . . . . . . . . . . .20 Captulo 3 Administrao do Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33 Usurios e grupos .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33 Administrao de usurios .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34 Sistema de arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39 Estrutura de diretrios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 Atualizaes do Linux (Debian Package) . . . . . . . . . . . . . . . . . . . . . . . . . . . .43
iii

Comando APT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 Gerenciador Adept.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 Aptitude . . . . . . . . . . . . . . . . . . . . . . . . . .48 A barra Edubar .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 Captulo 4 Redes de computadores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Introduo a redes.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Protocolo TCP/IP . . . . . . . . . . . . . . . . . . . . . . .55 Camada de aplicao.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58 Camada de transporte . . . . . . . . . . . . . . . . . . . . .59 Camada de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Camada de enlace.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61 Encapsulamento . . . . . . . . . . . . . . . . . . . . . . .62 Resumo . . . . . . . . . . . . . . . . . . . . . . . . . .65 Captulo 5 Endereamento IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69 Classes de endereos IP.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 Endereos de rede e broadcast . . . . . . . . . . . . . . . . . .72 Interface e endereo de loopback. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74 Mscaras de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74 Encaminhamento de pacotes IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Comando ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78 Entrega indireta.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79 Comando traceroute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84 Rota default. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88 Configurao de interfaces .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91 Captulo 6 Redes locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 Topologia de redes com fio .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 Redes sem fio (wireless).. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 WLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Segurana em redes sem fio. . . . . . . . . . . . . . . . . . 108 WEP (Wired Equivalent Privacy). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 WPA (Wi-Fi Protected Access).. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Filtragem de endereos MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Captulo 7 Network Address Translation (NAT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Endereos privados . . . . . . . . . . . . . . . . . . . . . Network Address Translation (NAT) .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . Roteador NAT . . . . . . . . . . . . . . . . . . . . . . . Vantagens e desvantagens da NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

113 113 114 119 121

iv

Captulo 8 Roteamento. . . . . . . . . . . . . . . . . . . . . . . . . Roteamento IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Protocolos de roteamento . . . . . . . . . . . . . . . . . . . Modelo de roteamento . . . . . . . . . . . . . . . . . . . . Roteamento esttico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Roteamento dinmico.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Roteamento hbrido . . . . . . . . . . . . . . . . . . . . . Captulo 9 Segurana.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Introduo a segurana de redes.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autenticao de usurios . . . . . . . . . . . . . . . . . . . Senhas seguras.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Senha de root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vrus. Worms .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cavalo de troia (Trojan horse) .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spam. . . . . . . . . . . . . . . . . . . . . . . . . . Segurana dos dados.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Backup com tar.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Backup no ambiente grfico . . . . . . . . . . . . . . . . . . Arquivos de registros (logs).. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ferramentas de segurana. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Segurana na internet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Captulo 10 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Packet Filter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stateful firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bridge stateful .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . SSH (Secure Shell). OpenSSH .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conexo segura a um host remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Captulo 11 Laboratrio Proinfo .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Geraes Proinfo . . . . . . . . . . . . . . . . . . . . . . Soluo Multiterminal.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Soluo Proinfo Rural 2007/2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Soluo Proinfo Urbano 2007/2008 . . . . . . . . . . . . . . . Soluo Proinfo Rural 2008/2009 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Soluo Proinfo Urbano 2008/2009 . . . . . . . . . . . . . . . Rede eltrica.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aterramento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalao do laboratrio.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

123 123 126 128 129 131 131

139 139 143 145 145 146 147 147 148 149 149 151 152 153 156

159 159 160 161 163 164 164 165

169 169 170 172 173 174 175 178 179 181
v

ProinfoData Monitoramento automtico dos laboratrios Proinfo . . . . . . . . . 183 Resolvendo problemas . . . . . . . . . . . . . . . . . . . . 186 Captulo 12 Impressoras. . . . . . . . . . . . . . . . . . . . . . . . . Instalao via CUPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Compartilhando a impressora .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalao via KDE.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Captulo 13 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Roteador sem fio. Descrio do equipamento .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurao do roteador . . . . . . . . . . . . . . . . . . . Configurando a rede sem fio. . . . . . . . . . . . . . . . . . Conexo com a internet .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurao das estaes de trabalho via rede sem fio.. . . . . . . . . . . . . . . Resoluo de problemas.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

189 189 193 194

199 199 201 202 204 206 207

Caderno de atividades.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Roteiro 1 Configurao bsica do roteador D-Link . . . . . . . . . . . . . . . . . . . Roteiro 2 Laboratrio Proinfo . . . . . . . . . . . . . . . . . Roteiro 3 Separao entre as redes Administrativa e Aluno .. . . . . . . . . . . Roteiro 4 Exerccios.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Roteiro 5 Configurao de SSH (Secure Shell) . . . . . . . . . . . Roteiro 6 Configurao avanada do roteador D-Link. . . . . . . . . . . . . . . . . Roteiro 7 Usando Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Roteiro 8 iTALC no Linux Educacional 3.0.. . . . . . . . . . . . . . . . . . . . . . .

209 209 212 214 216 219 221 226 230

Bibliografia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Grade curricular da Escola Superior de Redes . . . . . . . . . . . . . 234

vi

Prefcio
Escola Superior de Redes
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunicao (TIC). Sua misso fundamental realizar a capacitao tcnica do corpo funcional das organizaes usurias da RNP para o exerccio de competncias aplicveis ao uso eficaz e eficiente das TIC. A ESR possui experincia em iniciativas de cooperao tcnica e vem colaborando com o planejamento e execuo das aes de capacitao necessrias no contexto doPrograma Nacional de Tecnologia Educacional (Proinfo). Em 2009 foi identificada a necessidade de se oferecer uma complementao ao programa de capacitao dos suportes tcnicos dos laboratrios do Proinfo. Iniciamos imediatamente a elaborao e desenvolvimento deste contedo, destinado capacitao da mo de obra tcnica responsvel pela operao dos laboratrios das escolas beneficiadas pelo projeto. A capacitao desenvolvida inclui este livro, as apresentaes para o instrutor replicar o contedo e os arquivos necessrios para a realizao das atividades. Todo este contedo est disponvel na Sala de Leitura em esr.rnp.br. De forma a complementar esta ao, est prevista a criao de um ambiente colaborativo (ProinfoTec) para que os profissionais responsveis pela operao dos laboratrios Proinfo possam dispor de um portal, em ambiente web 2.0, para compartilhar informaes de teor tcnico-operacional relacionadas ao funcionamento adequado dos laboratrios, incluindo seus equipamentos e softwares atuais e futuros.

Sobre o livro
O servio de suporte tcnico, na rea de informtica, o calcanhar de Aquiles das empresas usurias de TI. Sem um suporte gil e de qualidade, o uso da informtica, ao invs de facilitar, pode dificultar a vida dos usurios. O material disponibilizado nesta obra tem como objetivo suprir uma demanda surgida a partir da implantao do Proinfo, que est informatizando todas as escolas pblicas da educao bsica,
vii

Formao de suporte tcnico Proinfo

gerando com isto a necessidade da formao de pessoal local para realizar no somente a manuteno da plataforma computacional, como tambm apoiar professores no uso das ferramentas de TIC. A Escola Superior de Redes tem orgulho da sua participao no programa atravs desta publicao.

A quem se destina
Este livro se destina, primariamente, aos tcnicos dos Ncleos de Tecnologia Educacional para ser utilizado na formao do pessoal que far o suporte local dos laboratrios escolares do Proinfo. Poder ser usado tambm por alunos e professores interessados em participar dessa atividade.

Organizao do livro
O livro est organizado em partes bem definidas para facilitar o acesso ao contedo que o leitor desejar. O captulo 1 apresenta o histrico do Proinfo e um modelo de estruturao do suporte tcnico. Os captulos 2 e 3 apresentam um breve histrico do Linux, os comandos mais utilizados e a administrao bsica do Linux Educacional, com atividades prticas para fixao do contedo. Os captulos 4 a 8 cobrem o conhecimento de redes de computadores, com teoria e atividades prticas sobre protocolo TCP/IP, endereamento IP, redes com e sem fio, roteamento, segurana e uma parte especfica sobre redes de computadores no ambiente Proinfo. Os captulos 9 e 10 tratam da segurana bsica em ambientes computacionais, apresentando assuntos como senhas seguras, ameaas da internet, a importncia e a maneira adequada de fazer backup, o uso de firewall, proxy e SSH acompanhados de atividades prticas. Os captulos 11 a 13 apresentam os equipamentos do laboratrio Proinfo, incluindo o histrico dos equipamentos, a instalao do laboratrio e a configurao dos computadores e impressoras, alm da configurao do roteador sem fio fornecido com o laboratrio. O Caderno de atividades contm oito roteiros de atividades prticas a serem executadas diretamente nas mquinas dos laboratrios do Proinfo. Todas as atividades so acompanhadas das solues.

viii

\\Texto

puro Usado no texto, opes de menu e auxiliares de teclado (Alt e Ctrl). Quando em ttulos e pargrafos de texto, indica estrangeirismos, comandos e suas opes, nomes de arquivos e referncias a outras sees ou bibliografias. Quando em largura constante, denota os parmetros que sero indicados pelo usurio.

\\Itlico

\\Texto

em azul Indica URLs acessveis na internet ou no ambiente do laboratrio. Podem ser endereos de pginas, locais de rede ou endereos eletrnicos. em laranja Sempre que constar nos pargrafos de texto indica uma entrada de glossrio, cuja definio deve ser vista na lateral do texto, prxima ao termo. Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada de comandos. Quando utilizados para indicar comandos que sero digitados pelo usurio so grifados em negrito e possuem o prefixo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).

\\Texto

\\Largura constante

A separao entre o que o usurio digita e o retorno do computador indicada pelo caractere , em aluso tecla Enter. Quando houver parmetros opcionais em exemplos, estes podem entrar entre colchetes [ ]. Pargrafo de texto com fundo laranja e cone.

\\

Representa notas e informaes complementares como dicas, sugestes de leitura adicional ou mesmo uma observao.
\\Pargrafo

de texto com fundo cinza

Utilizado para destacar os enunciados das atividades ao longo do captulo.

Permisso de uso
permitida a reproduo desta obra, mesmo parcial, por qualquer pessoa ligada escola pblica ou ao MEC, sem a autorizao prvia do autor ou da Editora. Os demais usos so proibidos. O contedo do livro pode ser encontrado na ntegra em esr.rnp.br/leitura/proinfo. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citao: MEDEIROS, L. C. Formao de suporte tcnico Proinfo. Rio de Janeiro: Escola Superior de Redes, 2010.

Prefcio ix

Convenes utilizadas

Formao de suporte tcnico Proinfo

Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao: Escola Superior de Redes RNP Endereo: Av. Lauro Mller 116 sala 1103 Botafogo Rio de Janeiro RJ 22290-906 E-mail: info@esr.rnp.br

Reconhecimentos
Esta publicao no teria sido possvel sem a colaborao e apoio da Secretaria de Ensino a Distncia (SEED) do Ministrio da Educao (MEC). Agradecemos a equipe do projeto: Graciela Martins, Gorgnio Arajo e John Madeira. Agradecemos ao Centro em Experimentao de Tecnologias Educacionais (CETE) do MEC, pelo suporte na concepo do curso, no levantamento do histrico do Linux Educacional e dos laboratrios, alm de acesso aos equipamentos para a elaborao das atividades. Agradecemos a ajuda de Sonia Regina Burnier de Souza nas dicas para a edio desta obra e na elaborao da ficha catalogrfica.

Sobre os autores
Luiz Carlos Lobato Lobo de Medeiros formado em Engenharia Eletrnica pelo ITA, com ps-graduao em Negcios e Servios de Telecomunicaes pelo CEFET-RJ; Coordenador do Curso de Tecnologia em Redes de Computadores da Faculdade Rogacionista (DF). Colaborador da Escola Superior de Redes desde 2008, tendo elaborado material de treinamento e lecionado diversos cursos na rea de Redes. Atualmente Coordenador Acadmico de Redes da ESR. Wendel Soares formado em Segurana da Informao pela Faculdade Rogacionista, cursa ps-graduao em Redes de Computadores pela Unio Educacional de Braslia (UNEB). Administrador de redes do Ministrio da Defesa do Exrcito Brasileiro e Consultor em Segurana de TI. Colaborador da Escola Superior de Redes desde 2008, tendo lecionado cursos de Linux e Segurana de Redes e atuado como monitor em outros cursos. Sergio Ricardo Alves de Souza, com a experincia acumulada em mais de 30 anos trabalhando como Suporte de Sistemas e atualmente Coordenador Acadmico de Sistemas da ESR, participou da elaborao desta publicao coordenando e adaptando o desenvolvimento do contedo.

1
O Proinfo integrado
Neste primeiro captulo seremos apresentados ao Programa Nacional de Tecnologia Educacional Proinfo. Conheceremos o suporte tcnico e as estruturas de suporte disponveis para o Proinfo.

Histrico
O computador foi introduzido na educao brasileira nos anos 50, especialmente por meio de universidades pblicas. Em primeiro lugar, como ferramenta auxiliar da pesquisa tcnico-cientfica e, a partir da dcada de 60, na organizao administrativa do ensino superior. Nesse perodo, diversos projetos desenvolvidos no chegaram ao sistema pblico de ensino fundamental e mdio, permanecendo no campo experimental em universidades, secretarias de educao e escolas tcnicas. De fato, com nmeros significativos, o computador s chegou escola pblica com o Programa Nacional de Tecnologia Educacional (Proinfo). O Proinfo um programa educacional criado pela Portaria n 522/MEC, de 9 de abril de 1997, e posteriormente regulamentado pelo Decreto n 6300 de 12 de dezembro de 2007, para promover o uso pedaggico de Tecnologias da Informao e Comunicao (TIC) na rede pblica de ensino fundamental e mdio. O Proinfo desenvolvido pela Secretaria de Educao a Distncia (SEED) do Ministrio da Educao (MEC), em parceria com os governos estaduais e alguns municipais. Seu principal objetivo a introduo das Novas Tecnologias de Informao e Comunicao (NTIC) na escola pblica, como ferramenta de apoio ao processo de ensino-aprendizagem, caracterizando-se como um programa de educao. Trs documentos bsicos orientam o Proinfo:
\\Diretrizes

do Proinfo, estabelecidas pelo MEC e pelo Conselho Nacional de Secretrios Estaduais de Educao (CONSED), em julho de 1997; Plano Estadual de Informtica na Educao estabelece objetivos para a introduo das NTIC na rede pblica de ensino, sendo subordinado ao
1

\\O

Formao de suporte tcnico Proinfo

planejamento pedaggico geral da educao na unidade federada. Estabelece ainda critrios para a participao de escolas no programa, incluindo diretrizes para elaborao de projetos pedaggicos com uso de NTIC;
\\O

Projeto Estadual de Seleo e Capacitao de Recursos Humanos para o Proinfo, que apresenta normas para seleo e capacitao de recursos humanos para o programa (professores e tcnicos).

O MEC compra, distribui e instala laboratrios de informtica nas escolas pblicas de educao bsica. Em contrapartida, os governos locais (prefeituras e governos estaduais) devem providenciar a infraestrutura das escolas, indispensvel para que elas recebam os computadores. As diretrizes do programa preveem que s recebero computadores e respectivos perifricos as escolas que tenham um projeto de uso pedaggico das NTIC, aprovado pela Comisso Estadual de Informtica na Educao. Alm disso precisam dispor de:
\\Recursos \\Ambiente

humanos capacitados para implementar o projeto;

adequado para a instalao de equipamentos, que tenha segurana, alimentao eltrica de qualidade e um mnimo de conforto para alunos e professores.

O Proinfo tem a preparao de recursos humanos (professores, especialmente) como a principal condio de sucesso. Professores so preparados em dois nveis: professoresmultiplicadores e professores de escolas. Tambm est sendo desenvolvido o programa de treinamento de tcnicos de suporte. Um professor-multiplicador um especialista em capacitao de professores de escolas para o uso da telemtica em sala de aula: adota-se no programa, portanto, o princpio de professores trabalhando na capacitao das universidades brasileiras, pblicas ou privadas, escolhidas em funo da excelncia na utilizao de tecnologia na educao. Os multiplicadores capacitam os professores de escolas em centros de excelncia ditos Ncleos de Tecnologia Educacional (NTE). Um NTE tem uma estrutura-padro para o Brasil e uma estratgia para descentralizar o Proinfo. Suas principais funes so:
\\Capacitao \\Suporte

permanente de professores e tcnicos de suporte;

pedaggico e tcnico a escolas, com a elaborao de projetos de uso pedaggico da telemtica, com acompanhamento, suporte a professores e tcnicos, entre outros;

\\Pesquisa.

O Proinfo Integrado um programa de formao voltado para o uso didticopedaggico das Tecnologias da Informao e Comunicao (TIC) no cotidiano escolar, articulado distribuio dos equipamentos nas escolas e aos contedos e recursos multimdia e digitais oferecidos pelo Portal do Professor, pela TV Escola e DVD Escola, pelo Domnio Pblico e pelo Banco Internacional de Objetos Educacionais. So ofertados os seguintes cursos:
\\Introduo

Educao Digital (40h) Curso bsico para professores que no tm o domnio mnimo no manejo de computadores e da internet;

\\Elaborao

de Projetos (40h); Tecnologias em Educao (400h).

\\Especializao:

Como parte importante da estratgia de consolidao do Proinfo, o Centro de Experimentao em Tecnologia Educacional (CETE) foi concebido para apoiar o processo de incorporao de tecnologia educacional pelas escolas e para ser um centro de difuso e discusso, em rede, de experincias e conhecimento sobre novas tecnologias aplicveis educao. O CETE tambm o elemento de contato brasileiro com iniciativas internacionais vinculadas tecnologia educacional e educao a distncia.

Programa banda larga


As escolas atendidas pelo Proinfo tero o acesso internet fornecido pelo programa Banda Larga nas Escolas, que atender a todas as escolas pblicas que tenham mais de 50 alunos. Com previso de instalao em mais de 50 mil escolas pblicas, o programa viabilizado por uma parceria firmada entre rgos do governo federal, a Anatel e operadoras de telefonia. O programa tem como objetivo conectar todas as escolas pblicas rede mundial de computadores (internet) por meio de tecnologias que propiciem qualidade, velocidade e servios para desenvolver o ensino pblico no pas. O novo projeto tem trs frentes de ao. A primeira a instalao dos laboratrios de informtica no mbito do Proinfo. A segunda a conexo internet em banda larga, que as operadoras levaro gratuitamente s escolas at o ano de 2025, atualizando a velocidade periodicamente. A terceira frente do programa Banda Larga nas Escolas a capacitao dos professores. Para tanto, sero oferecidos cursos a distncia, que sero acompanhados pela Secretaria de Educao a Distncia do MEC.

Tecnologia utilizada
A tecnologia no est determinada no Termo Aditivo assinado pelas operadoras. Definiu-se que inicialmente seja utilizado o servio ADSL (Asymmetric Digital Subscriber Line). Em situaes com inviabilidade tcnica para a utilizao de rede ADSL, as operadoras podero utilizar qualquer outra tecnologia, desde que sejam mantidos os ndices acordados no Termo Aditivo, salvo na utilizao de satlite, quando os ndices correspondero, no mnimo, a um quarto das velocidades de 1 Mbps de download e 256 Mbps de upload. As conexes tero velocidade igual ou superior a 1 (um) Megabit por segundo (Mbps) no sentido Rede-Escola (download) e pelo menos um quarto dessa velocidade ofertada no sentido Escola-Rede (upload). A partir de 2011, a velocidade de conexo para download ser obrigatoriamente ampliada para o mnimo de 2 Mbps, ou a maior velocidade comercial disseminada e disponvel oferecida pela operadora na regio da escola. Pelo acordo, as operadoras precisam disponibilizar as conexes com servio de IP fixo, que permite s escolas a criao e manuteno de servidores fixos na internet, ou seja,
3

Captulo 1 O Proinfo integrado

\\Tecnologias

na Educao: ensinando e aprendendo com as TIC (100h);

Formao de suporte tcnico Proinfo

os computadores das escolas podero hospedar sites e domnios, disponibilizando informaes e servios na rede, como servidor de e-mail, download de arquivos etc. Como no est descrito no Termo Aditivo o nmero de endereos IP fixos que sero disponibilizados, razovel supor que sero em nmero suficiente apenas para o(s) servidor(es) que oferecer(o) servios internet, considerando a escassez de endereos IP de 4 octetos. Assim, as estaes dos alunos provavelmente utilizaro outra forma de endereamento, que descreveremos no Captulo 7.

Curso de formao de suporte tcnico


O curso tem como objetivo formar mo de obra capaz de oferecer suporte tcnico, em primeiro nvel, aos laboratrios das escolas beneficiadas pelo Proinfo, nas reas de Linux, redes e segurana. O enfoque principal do treinamento o Linux Educacional e suas ferramentas, na parte de software, e nos kits disponibilizados peloprograma, na parte de hardware. O curso mostra as caractersticas do Linux e sua administrao, os conceitos de redes com e sem fio, protocolo TCP/IP e configurao de interfaces, oferecendo tambm os conceitos e melhores prticas emsegurana no uso de redes e internet. Todas as sesses tericas so fundamentadas com atividades prticas. O processo de disseminao do contedo ser feito atravs de multiplicadores. Ao final do curso o aluno ter aprendido a:
\\Resolver \\Manter

os problemas relativos ao uso do laboratrio;

e atualizar a plataforma de software; e resolver os problemas dos componentes de hardware do laboratrio;

\\Identificar \\Auxiliar

os professores na disponibilizao de material didtico/pedaggico (TIC).

Pblico-alvo:
\\Aluno

monitor;

\\Professores; \\Tcnicos

dos Ncleos de Tecnologia Educacional, estaduais (NTE) e municipais (NTM).

A figura a seguir apresenta uma viso geral do projeto de capacitao.

MEC SEED DPCEAD Formao RNP/ESR Avaliao Capacitao para suporte rea tcnica Infraestrutura Rede Sistemas Segurana Hardware Certificao Multiplicadores

Professor monitor Tutores alunos IFES Aluno monitor ensino mdio

Suporte tcnico
Quando um cliente ou usurio tem algum problema tcnico, reclamao ou incidente a relatar, busca respostas e solues rapidamente, pois o mais importante que o seu problema seja resolvido. Recorrer a uma organizao ou departamento, passando por vrias pessoas at encontrar a certa para relatar o ocorrido um processo frustrante, que gera desgaste. Para atender ao cliente e aos objetivos comerciais da corporao, muitas organizaes tm implementado um ponto central de contato para uso do cliente ou usurio. Esta funo conhecida como Service Desk. A partir de sculo XX, ocorreu a modificao do conceito de Help Desk para Service Desk. O Service Desk o nico ponto de contato entre os prestadores de servios e usurios no dia a dia. tambm um ponto focal para fazer pedidos de servios e comunicar incidentes. O Service Desk tem a obrigao de manter os usurios informados dos servios, eventos, aes e oportunidades passveis de impactar a capacidade de execuo de suas atividades dirias. O Service Desk a interface amigvel do usurio com os benefcios que a Tecnologia da Informao traz aos negcios. Ele responsvel pela primeira impresso que a rea de TI dar aos seus usurios quando houver necessidade de interao. O Service Desk atua estrategicamente, como uma funo para identificar e diminuir o custo de infraestrutura; apoia a integrao e a gesto de mudanas em toda a empresa; reduz os custos pela utilizao eficiente dos recursos e tecnologias; auxilia a obter a satisfao do cliente e a ampliao das oportunidades de negcio. Para muitos clientes, o Service Desk provavelmente a funo mais importante em uma organizao, com um escopo de servio mais abrangente que o do Help Desk tradicional. Considerado um novo conceito de prestao de servio de suporte, o Service Desk segue as tendncias inovadoras e as melhores prticas do mercado. Os processos e servios so reprojetados de forma a assegurar qualidade e a satisfao do cliente, atendendo s necessidades de cada empresa e acompanhando metodologias de gesto de servios de TI, como ITIL (Information Tecnology Infrastructure Library) e HDI (Help Desk Institute).
5

Captulo 1 O Proinfo integrado

Figura 1.1 Viso geral do projeto de capacitao

Formao de suporte tcnico Proinfo

Service Desk Help Desk


A diferena bsica entre as nomenclaturas Service Desk e Help Desk est na maturidade do setor. Assim, pode-se dizer que uma corporao que tenha profissionais com expertise na infraestrutura de TI provavelmente possui um Help Desk. J o Service Desk possui um escopo de servio mais abrangente, ou uma funo mais estratgica dentro da empresa, estando mais ligado ao negcio do que s funes de TI especificamente. A tabela a seguir mostra as principais diferenas entre os conceitos de Help Desk e Service Desk. Um Help Desk tradicionalmente atende a problemas de hardware e auxilia no uso de softwares bsicos, enquanto a Central de Servios assume todas as solicitaes dos usurios relacionadas a qualquer servio prestado pela rea de TI. Diferenas Atuao Ponto de contato Perfil do atendente Interao com Usurio Vnculo com o negcio Importncia Estratgica Help Desk Reativo Descentralizado Tcnico Distncia Perifrico-Foco TI Pequena Service Desk Pr-ativo Centralizado Relacionamento Envolvimento Conhecimento do Negcio Grande Tabela 1.1 Diferenas entre Help Desk e Service Desk

Gerenciamento de configurao
O Service Desk precisar de informaes sobre a infraestrutura de TI (aplicaes, servidores etc) para realizar adequadamente o seu trabalho, de acordo com as orientaes acima. Essas informaes constituem a atividade normalmente denominada de Gerenciamento de Configurao, que abrange identificao, registro e notificao dos componentes de TI, incluindo as suas verses, os elementos constitutivos e relacionamentos. Dentre os itens que esto sob o controle do Gerenciamento de Configurao esto o hardware, o software e a documentao associada. Este processo uma espcie de inventrio de todos os componentes do ambiente, sendo responsvel por documentar detalhadamente todos os componentes da infraestrutura, incluindo hardwares e softwares com suas respectivas caractersticas. Assim, ao realizar qualquer processo de mudana, sua anlise de impacto e risco ser muito mais fcil, gil e transparente. Serve como base de apoio para os processos de Gerenciamento de Incidentes executados pelo Service Desk, fornecendo dados e informaes. Para isto necessrio que se tenha algum banco de dados para Gerenciamento de Configurao (CMDB - Configuration Management Database), onde so armazenadas todas as informaes relacionadas configurao dos componentes da infraestrutura. A figura a seguir exemplifica a estrutura do Gerenciamento de Configurao.

Infraestrutura

Hardware

Software

Rede

Documentao

Sistema 1

Sistema 2

Aplicao 1

Aplicao 2

Mdulo 1

Mdulo 2

Topologia de Service Desk


Como no existe um padro de topologia, geralmente a topologia criada de acordo com a necessidade do prprio Service Desk ou at mesmo de acordo com a necessidade dos clientes atendidos pelo Service Desk. A figura a seguir ilustra de uma forma geral e abrangente a topologia de Service Desk, descrevendo o processo de abertura de chamado quando o cliente detectaDesk algum incidente. Topologia Service Figura 1.3 Topologia de Service Desk
Usurios Service Desk 1 Nvel

Analista Suporte Remoto

Analista Suporte Local

Service Desk 2 Nvel

Base de conhecimento

Analista

Ao detectar o incidente, o usurio (cliente) entra em contato com o Service Desk de 1 Nvel e reporta o problema ao analista. No primeiro contato, o analista registra a chamada e comea a dar o devido tratamento, auxiliando o cliente via acesso remoto. Se o problema precisar ser resolvido localmente, o analista de suporte remoto encaminhar o chamado para o analista de suporte local, que dever se dirigir at o local em que o usurio se encontra. Se o analista de suporte remoto ou o analista de suporte local detectar que o problema que est ocorrendo no est ao seu alcance para soluo, o chamado deve ser transferido para o analista de 2 Nvel.
7

Captulo 1 O Proinfo integrado

Figura 1.2 Estrutura do Gerenciamento de Configurao

Formao de suporte tcnico Proinfo

Depois de detectado o problema e encontrada a sua soluo, necessrio verificar se o problema e a soluo encontrada esto documentados na Base de Conhecimento. Caso no estejam, o analista responsvel pela soluo do problema dever fazer a documentao e a sua insero na Base de Conhecimento. Este processo de documentao e insero deve ser feito tanto se o problema for resolvido pelo analista do suporte remoto, quanto pelo suporte local ou de 2 Nvel.

Cargos de Service Desk


De uma forma geral, os cargos de um centro de suporte podem variar de acordo com as necessidades da corporao na qual est sendo implementado o Service Desk. Soeles:
\\Estagirios

estudantes que esto iniciando a vida profissional, com uma espcie de aprendizado inicial; de 1 Nvel responsvel por atender as chamadas, resolv-las ou direcion-las para o setor responsvel; Pleno trata incidentes mais especficos de acordo com a sua rea de atuao, uma espcie de segundo nvel; Snior responsvel por resolver incidentes de maior complexidade, cargo acima do Analista Pleno; responsvel por gerenciar plataformas e detectar a indisponibilidade antes que ela acontea; dependendo da corporao, o Service Desk necessitar de supervisores, gerentes, coordenadores, prestadores de servios etc.

\\Analista

\\Analista

\\Analista

\\Especialista

\\Outros

Responsabilidades da rea de Service Desk


A infraestrutura da Central de Servios possui trs camadas diferentes:
\\Nvel

1 Suporte por telefone e monitorao de sistemas

O nvel 1 responde a todas as chamadas relatadas para o suporte de TI e Telecom. A ligao dever ser respondida por um tcnico que tentar monitorar o incidente com o usurio, e se o cliente permitir, tentar a soluo do incidente atravs do acesso remoto ao computador do usurio. Se o incidente no for resolvido durante a ligao, o tcnico dever encaminhar o incidente para o nvel 2 de suporte. O nvel 1 tambm monitora a infraestrutura e equipamentos de TI, tais como: fornecimento de gua, energia, ar-condicionado e luz, alm dos sistemas de TI, que devero ser baseados em procedimentos para responder aos eventos do nvel 1, podendo ento a Central de Servios chamar o responsvel pelo sistema alarmante. A soluo pode ser encontrada internamente, por parte da equipe de TI do cliente que contrata os servios, ou at mesmo por um fornecedor contratado pela empresa ou pelo cliente.

O nvel 2 solicitado pelo nvel 1 para soluo de incidentes no local de trabalho do cliente. O tcnico dever verificar o computador do usurio e tentar resolver seu incidente; se o incidente for causado por defeito de hardware, o computador dever ser substitudo e a operao normal de todos os sistemas dever ser restaurada.
\\Nvel

3 Suporte especializado em soluo de incidente

O nvel 3 composto por tcnicos especializados nas reas de servidores, telecomunicaes, infraestrutura, cabeamento, manuteno de aplicaes, banco de dados, rede e controle de acesso.

Suporte local
Procure se informar sobre a estrutura de suporte tcnico, estadual ou municipal, que atende a sua localidade.

Proinfo tec Ambiente colaborativo para os tcnicos de suporte


Portal web para a troca de contedo e experincias entre os tcnicos de suporte, disponibilizao de contedos tcnicos, imagens, manuais e descries dos diversos modelos de equipamentos disponibilizados, ferramentas e tutoriais de instalao de equipamentos e inscrio em cursos. O objetivo do portal propiciar um espao destinado comunicao entre os diversos usurios tcnicos dos laboratrios Proinfo. O ambiente colaborativo est em http://e-proinfo.mec.gov.br. Figura 1.4 Pgina inicial

Captulo 1 O Proinfo integrado 9

\\Nvel

2 Suporte OnSite (Suporte Local)

Formao de suporte tcnico Proinfo

Figura 1.5 Pgina Meu espao

Figura 1.6 Pgina Inscrio em cursos

10

2
Linux Educacional
Introduo
Uma caracterstica marcante do ser humano a sua capacidade de organizao com o objetivo de tirar o melhor proveito de seu trabalho e garantir o funcionamento otimizado de suas atividades, o que pode ser observado tanto nas empresas quanto nos lares. A informatizao crescente das instituies governamentais e privadas, a ampla disseminao da tecnologia e o uso cada vez maior de sistemas integrados fazem da administrao de sistemas uma atividade complexa e de importncia estratgica para as organizaes. Para atuar nessa rea, o administrador precisa possuir o conhecimento e a experincia necessrios para assegurar que os sistemas estejam sempre disponveis e preparados para realizar adequadamente as operaes de que a organizao necessita para atingir seus objetivos. Um administrador deve ser capaz de:
\\Instalar \\Instalar,

e manter em bom funcionamento o hardware dos sistemas;

configurar e manter atualizado o software necessrio para o funcionamento correto dos sistemas; os recursos computacionais que funcionam em rede, configurando a rede de maneira correta; cpias de segurana de dados (backups) e dos programas armazenados nossistemas; regras de operao e uso dos recursos, levando em conta as condies tcnicas, institucionais e ambientais; e controlar as operaes de incluso, modificao e excluso de contas de usurios dos sistemas, bem como as suas permisses de acesso a recursos dossistemas; e supervisionar o uso dos recursos computacionais para assegurar que sejam usados de forma segura e adequada.

\\Interligar

\\Fazer

\\Elaborar

\\Executar

\\Controlar

11

Formao de suporte tcnico Proinfo

De um modo geral, para que um administrador de sistemas execute adequadamente as suas atribuies, preciso que possua conhecimento tcnico aprofundado e abrangente da rea, o que requer constante atualizao; entendimento dos objetivos e metas da organizao e conhecimento das necessidades dos usurios.

Histrico do Linux
O Linux um sistema operacional completo, baseado no rpido e eficiente Unix. Aorigem do Linux remonta ao incio dos anos 70, quando um dos pesquisadores do Bell Labs, Ken Thompson, reprogramou, em linguagem de montagem (assembly), umsistema operacional que fazia parte de um projeto paralisado pela empresa. Em 1974, com a ajuda de Denis Ritchie, outro pesquisador do Bell Labs, Thompson reescreveu o Linux em uma linguagem de alto nvel (chamada C) e projetada pelo prprio Ritchie. Na poca, o Bell Labs era controlado pela AT&T, empresa que no atuava comercialmente na rea de computao. Por isso, o Bell Labs fornecia a licena de uso do Linux para as universidades interessadas, juntamente com o cdigo-fonte. Foram geradas diferentes verses do sistema medida que as modificaes no cdigo eram feitas nas universidades e no prprio Bell Labs. Esta falta de padronizao foi to acentuada que, no final dos anos 80, vrias verses do Linux eram totalmente incompatveis, baseadas em duas fontes principais: o System V (da AT&T) e o BSD, da universidade da Califrnia em Berkeley, desenvolvido com o apoio das empresas Sun Microsystems e Digital Equipment Corporation. Embora a necessidade de padronizao fosse muito grande, as tentativas feitas nesse sentido falharam. Com a ajuda do Institute of Electrical and Electronics Engineers (IEEE), foi elaborada a proposta do Portable Operating System Interface (POSIX), que permitiu uma padronizao bsica das muitas verses existentes. No entanto, diferenas continuaram existindo, devido aos interesses comerciais dos grandes fabricantes de computadores, tais como IBM, Sun e HP. Essa disputa comercial explica a existncia das verses atuais do Unix, como o caso dos sistemas AIX, SunOS, Solaris, HP-UX, IRIX, SCO e Xenix. Nesse contexto, o Linux surge como uma alternativa a esses sistemas comerciais; alm de ser um sistema completo e gratuito, segue o padro POSIX e permite que o cdigo-fonte seja modificado para atender s necessidades especficas do usurio. Hoje, o Linux distribudo comercialmente por vrias empresas, com pequenas diferenas. Esses diferentes sabores de Linux so conhecidos como distribuies.

Red Hat Enterprise Linux


Desenvolvida pela Red Hat Software, uma distribuio voltada para uso em workstations e servidores de pequeno e grande porte, com verses que suportam de dois a um nmero ilimitado de processadores. A Red Hat vende esta distribuio juntamente com uma assinatura de suporte tcnico, que varia em funo dos dias de atendimento. A Red Hat ainda patrocina o projeto Fedora, uma verso gratuita de sua distribuio Linux comum, mantida por uma comunidade aberta de usurios e desenvolvedores. www.redhat.com

12

Antes do crescimento do Red Hat Linux, o Linux da Slackware era o mais popular, representado pela empresa Walnut Creek. Essa distribuio bastante completa e oferece muitos aplicativos agregados ao pacote. www.slackware.com

Debian
Ao contrrio das duas distribuies citadas anteriormente, o Debian desenvolvido por uma equipe de colaboradores voluntrios, e no por uma empresa patrocinadora. Oferece mais de mil pacotes de software e projetado para proporcionar funcionalidades semelhantes s do Red Hat. Pode ser baixado em www.debian.org

Ubuntu
Baseado na distribuio Debian GNU/Linux, a base para o Linux Educacional 3.0 (Kubuntu) utilizado nas mquinas do Proinfo. Mantido pela Canonical Ltd. e Ubuntu Foundation, o Ubuntu tem como foco principal a usabilidade, alm da facilidade de instalao. A verso em portugus pode ser baixada em www.ubuntu-br.org

Linux Educacional (LE)


Tom foi a primeira distribuio GNU/Linux adotada pelo Proinfo, com sua estreia em 2004/2005, seguida pelo Muriqui, em 2005/2006. Em 2006 iniciou-se o desenvolvimento do Linux Educacional verso 1.0, tendo como base o Debian. Na distribuio 2007/2008, foram lanadas as verses 2.0 e 2.1. Finalmente, na distribuio correspondente a 2009, surge a verso 3.0, baseada no Kubuntu, que uma distribuio Ubuntu com ambiente grfico KDE. O Linux Educacional est disponvel em webeduc.mec.gov.br/linuxeducacional

As verses do Linux Educacional


Figura 2.1 Tom: 2004/2005

Captulo 2 Linux Educacional 13

Slackware

Formao de suporte tcnico Proinfo

Figura 2.2 Muriqui: 2005/2006

Figura 2.3 Linux Educacional 1.0: 2006/2007

14

Figura 2.5 Linux Educacional 3.0: 2009/2010

Captulo 2 Linux Educacional 15

Figura 2.4 Linux Educacional 2.0: 2007/2008

Formao de suporte tcnico Proinfo

Arquitetura do Linux
O desenvolvimento do sistema Unix, no qual o Linux baseado, teve os usurios de computadores da poca como pblico-alvo, basicamente programadores e encarregados de desenvolver aplicaes industriais e cientficas. O sistema possui uma arquitetura modular, flexvel e aberta.
USURIOS APLICAES SHELL

Figura 2.6 Arquitetura do Linux

BIBLIOTECAS DE FUNES PADRO KERNEL HARDWARE

O Linux pode ser visualizado como uma pirmide dividida em camadas. O papel dessas camadas no funcionamento do sistema ser:
\\Modular

diferente de um sistema monoltico, a arquitetura do Linux composta por diferentes mdulos, o que facilita o seu desenvolvimento. pode ser modificado e incorporar novas facilidades com o mnimo de custo.

\\Flexvel

\\Arquitetura

aberta permite ao programador fazer alteraes no sistema, incorporando caractersticas de acordo com as suas necessidades.

Kernel
O kernel o ncleo do sistema operacional. o componente que se encarrega de executar todas as funes bsicas necessrias ao funcionamento correto do sistema. O kernel do Linux foi projetado por Linus Torvalds, na poca um estudante que considerava o MS-DOS e o Minix muito limitados. Hoje, todas as distribuies Linux comercialmente disponveis usam basicamente o mesmo kernel, com pequenas alteraes. As aplicaes incorporadas a essas verses as diferenciam. Uma das grandes vantagens que o Linux oferece a possibilidade de recompilar o kernel. Com isso, possvel ganhar em performance, pois o kernel pode ser moldado para atender s necessidades especficas dos usurios do sistema. Principais funes do kernel:
\\Deteco

de hardware; de entrada e sada;

\\Gerenciamento \\Manuteno

do sistema de arquivos;

16

\\Controle

da fila de processos.

Figura 2.7 Arquitetura do kernel


Dispositivos

memria kernel cpu

disk Aplicativos

Hardware
Para funcionar, todo sistema operacional depende de um determinado hardware, composto de processadores, discos, memria, impressoras, controladores de vdeo etc. Devido existncia de diversos fabricantes de hardware no mercado, as caractersticas dos componentes variam muito entre si. Quando um novo dispositivo (uma placa de rede, por exemplo) instalado no sistema, o kernel responsvel pela deteco e interao bsica com essa placa. Embora o kernel possa reconhecer e controlar uma grande quantidade de dispositivos oferecidos no mercado, alguns no so reconhecidos, em geral os de lanamento recente. Nesses casos, preciso obter um driver para o novo dispositivo e recompilar o kernel, para incluir esse dispositivo antes de us-lo. Vale ressaltar que drivers desenvolvidos como mdulos podem ser instalados no sistema sem a necessidade de recompilao do kernel.

Captulo 2 Linux Educacional 17

\\Gerenciamento

de memria e swapping;

Formao de suporte tcnico Proinfo

Aplicaes do usurio
Espao do Usurio

Figura 2.8 Acesso ao hardware

Biblioteca GNU C (glibc)

GNU/Linux

Interface de chamada ao sistema Kernel


Cdigo do Kernel dependente da arquitetura

Espao do Kernel

Plataforma de Hardware

Gerenciamento de I/O
Todos os computadores, inclusive aqueles que executam Linux, possuem dispositivos de entrada e sada conectados, como teclado, monitor, impressoras, placas de rede, discos, terminais etc. Esses dispositivos so controlados pelo kernel, que envia requisies para a execuo de operaes especficas ou recebe sinais para indicar que os dispositivos esto demandando determinadas operaes. A comunicao entre o kernel e os dispositivos realizada por meio de sinais de interrupo. Nesse contexto, o kernel funciona como um controlador de sinais de interrupo, atendendo a todas essas requisies.

I/O Input Output (entrada e sada de dados).

Filesystem
O sistema de arquivos tem por objetivo organizar os arquivos do sistema e dos usurios, assegurando que eles possam ser manipulados adequadamente por seus proprietrios. No Linux, o sistema de arquivos visualizado como uma rvore invertida: a raiz est no topo e os ramos, embaixo. Para ser lido ou escrito, o arquivo precisa ser aberto. Ao abri-lo, uma srie de cuidados deve ser tomada, principalmente se esse arquivo estiver sendo usado por mais de um processo. Todos os cuidados com o sistema de arquivos, bem como a forma como o sistema de arquivos implementado, so definidos e gerenciados pelo kernel.

/ etc maria usurios joo

Figura 2.9 Sistema de arquivos

18

Swapping Processo em queosistema operacional transfere dados que esto na memria do computador (programa em execuo e seus dados associados), para uma rea em disco e vice-versa, dando a impresso de que o sistema possui uma rea de memria maior quea real. Paginao Tcnica utilizada por sistemas operacionais, que fazem uso do conceito de memria virtual, que divide a rea de memria em pginas de forma a permitir o swap. Swap Arquivo de troca de dados, memria virtual.

Ao longo do tempo, foram criadas vrias tcnicas para otimizar o uso da memria pelos programas em execuo, como swapping e paginao. O kernel responsvel pela alocao de memria nos processos em execuo. O kernel suporta o conceito de memria virtual, permitindo que processos ocupem mais espao de memria que aquela disponvel na mquina. A memria virtual pode ser muito maior que a memria fsica. Cada processo tem seu prprio espao de endereamento virtual. Esses espaos de endereamento so completamente separados, de modo que um processo no pode interferir no cdigo e nos dados de outro processo. Alm disso, okernel permite que processos compartilhem reas de memria, reduzindo assimoconsumo desses recursos ou viabilizando um mecanismo de comunicaoentre processos.

Trocando para fora

Processo A

Processo B Trocando para dentro Espao de troca

Figura 2.10 Paginao

Memria Fsica

Atividade: Instalando o Linux


Realizar a instalao do Sistema Operacional Linux Educacional 3.0. Para realizar essa atividade necessrio o Manual de Instalao do Linux Educacional 3.0. O guia Instalando o Linux Educacional 3.0 pode ser baixado em webeduc.mec.gov.br/linuxeducacional na rea de manuais.

Captulo 2 Linux Educacional 19

Gerenciamento de memria

Formao de suporte tcnico Proinfo

Comandos Linux
Para uma utilizao adequada do Linux Educacional, o usurio necessita estar familiarizado com o ambiente de linha de comando. Para tal, conheceremos as partes envolvidas:

Comandos
Os comandos, em geral, aceitam parmetros e podem ser utilizados de trs maneirasdiferentes:
# comando parmetro # comando --parmetro # comando parmetro

Shell
Dentro do Linux Educacional existe o que chamamos de shell: o interpretador de comandos do Linux responsvel pela interface usurio/sistema operacional, possuindo diversos comando internos que permitem ao usurio solicitar servios do sistema operacional. O shell implementa tambm uma linguagem simples de programao que permite o desenvolvimento de pequenos programas. O bash apenas um dentre os diversos interpretadores de comandos (shells) disponveis no Linux, tais como csh, zsh, sh, tcsh etc. Para acessar o shell devemos clicar no menu Iniciar > Sistema > Terminal (Konsole). Figura 2.11 Terminal do Linux Educacional 3.0

20

Para utilizar alguns comandos do Linux no terminal, o usurio por vezes necessita de permisses especiais de superusurio. O Linux Educacional possui um comando denominado su (substitute user), que permite ao usurio comum acessar o terminal com privilgios de administrador (root), ou seja, o usurio passa a ter acesso total ao sistema. Linux Is Descrio Lista os arquivos do diretrio atual; podem ser utilizados argumentos como la para listar arquivos ocultos e suas permisses. Muda o diretrio corrente. Remove arquivos e diretrios, e usado em conjunto com o parmetro para forar a remoo; com o parmetro i pedida uma confirmao antes da remoo. Cria diretrios; no Linux vrios diretrios podem ser criados com um nico comando. Copia arquivos e diretrios; no Linux o parmetro p pode ser utilizado para manter as permisses do arquivo. Move e renomeia arquivos. Exemplo
# ls -la

cd rm

# cd /etc/network # rm /etc/arquivo.txt # rm f /tmp

mkdir

# mkdir /var/teste /etc/teste2

cp

# cp /etc/teste.txt /var/log

mv

# mv /etc/arquivo1.txt /home # mv /etc/arquivo1 /etc/ arquivo2 # cat /etc/hostname # man ls # man cp

cat man

Lista o contedo de arquivos. Manual de comandos que informa todos os parmetros ea sintaxe do comando desejado.

Pginas de manual
As pginas de manual acompanham quase todos os programas GNU/Linux. Elas trazem uma descrio bsica do comando/programa e detalhes sobre o funcionamento de opo. Para obter uma melhor viso do comando acima, o aluno dever consultar o manual do sistema digitando:

# man comando
21

Captulo 2 Linux Educacional

Comandos bsicos

Formao de suporte tcnico Proinfo

Comandos Linux
ps
Lista os processos que esto em execuo, neste instante, no computador.

Opes
a x u

Mostra os processos criados por voc e outros usurios do sistema. Mostra processos que no so controlados pelo terminal. Mostra o nome de usurio que iniciou o processo e a hora em que o processo foi iniciado. Mostra a memria ocupada por cada processo em execuo.

A verso do comando ps desta distribuio aceita alguns formatos para as opes:


\\Unix \\BSD \\GNU

que usa o hfen; que no usa o hfen; que usa dois hfens.

No caso de dvidas, use o comando man ps.

Exemplo
# ps aux
USER root root root root root root root root root root root root root root aluno1 aluno1 root aluno1 aluno1 PID %CPU %MEM 1 0.0 0.1 2 0.0 0.0 3 0.0 0.0 4 0.0 0.0 5 0.0 0.0 6 0.0 0.0 7 0.0 0.0 41 0.0 0.0 44 0.0 0.0 45 0.0 0.0 176 0.0 0.0 216 0.0 0.0 257 0.0 0.0 635 0.0 0.1 679 0.0 0.0 766 0.0 0.0 816 0.0 0.0 VSZ 0 0 0 0 0 0 0 0 0 0 0 0 1772 4480 1564 RSS TTY 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 0 ? 528 ? 536 ? 160 ? STAT START Ss S< S< S< S< S< S< S< S< S< S< S< S< S Ss Ss S Ss S Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 Jun01 13:12 13:12 13:12 13:12 13:12 13:12 TIME COMMAND 0:01 /sbin/i 0:00 [kthre] 0:00 [migra] 0:00 [ksoft] 0:00 [watch] 0:00 [event] 0:00 [khelp] 0:00 [kbloc] 0:00 [kacpi] 0:00 [kacpi] 0:00 [kseri] 0:00 [kswap] 0:00 [aio/0] 0:00 -:0 0:00 /bin/sh 0:00 /usr/bi 0:00 start_k 0:00 kdeinit 0:00 dcopser

2844 1692 ?

4056 1816 ?

817 0.0 0.3 24356 3952 ? 820 0.0 0.2 24452 2844 ?

22

Mostra as linhas finais de um arquivo texto; se for usado sem nenhum parmetro, mostra as ltimas 10 linhas do arquivo.

Opes
-c nmero -n nmero

Mostra o nmero de bytes do final do arquivo. Mostra a quantidade especificada de linhas do arquivo.

Exemplo
# tail /etc/group avahi-autoipd:x:113: admin:x:114:aluno1 messagebus:x:115: avahi:x:116: netdev:x:117: polkituser:x:118: haldaemon:x:119: sambashare:x:120:aluno1,aluno2 winbindd_priv:x:121: aluno1:x:1000:

cut
Delimita um arquivo em colunas, em determinado nmero de caracteres ou por posio de campo.

Opes
-d Especifica o caractere delimitador. -f Informa a posio do campo.

Exemplo: mostrar os campos da posio 1 e 3 do arquivo /etc/group:


# cut -d ':' -f 1,3 /etc/group root:0 daemon:1 bin:2 sys:3 adm:4 tty:5 disk:6 lp:7 mail:8

Captulo 2 Linux Educacional 23

tail

Formao de suporte tcnico Proinfo

tar
Empacota arquivos e diretrios em um nico arquivo.

Opes
-c Cria um arquivo. -v Mostra cada arquivo includo. -f Especifica o caminho para o arquivo a ser criado. -x Extrai um arquivo compactado. -z Utiliza a compactao no arquivo gerado.

Exemplo: empacotar os arquivos teste1.txt e teste2.txt em um arquivo nico.


# tar cf teste.tar teste1.txt teste2.txt

Exemplo: empacotar os arquivos banco1.txt e banco2.txt de maneira compactada.


# tar zcvf banco.tar.gz banco1.txt banco2.txt

Exemplo: desempacotar o arquivo compactado banco.tar.gz gerado anteriormente.


# tar zxvf banco.tar.gz

df
Mostra o espao livre e/ou ocupado por cada partio.

Opes
-a Inclui sistema de arquivos com 0 blocos. -h Notao humana que mostra os arquivos em MB, KB e GB, ao invs de em

blocos.

-k Lista em Kbytes. -T Lista o tipo de sistema de arquivos de cada partio.

Exemplo
# df Th Sist. Arq. Tipo /dev/sda2 ext3 varrun tmpfs varlock tmpfs udev tmpfs devshm tmpfs lrm tmpfs 22-generic/volatile Tam 4,5G 252M 252M 252M 252M 252M Usad Disp Uso% Montado em 2,5G 1,9G 57% / 292K 252M 1% /var/run 0 252M 0% /var/lock 40K 252M 1% /dev 0 252M 0% /dev/shm 39M 213M 16% /lib/modules/2.6.24-

24

Servio que permite o agendamento da execuo de um comando/programa para um determinado horrio. As tarefas so definidas no arquivo /etc/crontab. Para criar uma nova tarefa o usurio deve inclui-la no arquivo atravs do comando:
# crontab e

Opes
-l Lista as entradas atuais. -r Remove a entrada da contrab. -e Edita a contrab.

O arquivo tem o seguinte formato:


52 18 1 10 7 root run-parts --report /etc/cron.montly

Onde: 52 minuto 18 hora 1 dia do ms (1-31) 10 ms (1-12)


UID Nmero de identificao do usurio.

7 dia da semana (1-7) root UID que executar o comando


run-parts --report /etc/cron.montly

comando que ser executado

Um asterisco ( * ) pode ser usado nos campos de data e hora para especificar todo o intervalo disponvel.

Exemplo: executa o comando updatedb toda segunda-feira s 6:00hs.


00 06 * * 1 root updatedb

Exemplo: envia um e-mail para John s 0:15hs todo dia 25/12, desejando feliz natal.
15 0 25 12 * root echo "Feliz Natal"|mail john

Captulo 2 Linux Educacional 25

crontab

Formao de suporte tcnico Proinfo

find
Busca por arquivos e diretrios no disco. Pode procurar arquivos por data, tamanho e nome, atravs de suas opes. Ao contrrio de outros programas, o find utiliza a notao longa e necessita que seja informado o diretrio para pesquisa.

Opes
-name nome -depth -perm permisso -size tamanho

Procura o arquivo pelo seu nome. Procura o arquivo primeiro dentro dos subdiretrios e s depois no diretrio principal. Procura arquivo que possua permisses especficas. Procura arquivo por um tamanho especfico.

Exemplo: pesquisa o arquivo interfaces em toda a raiz:


# find / -name interfaces /etc/network/interfaces /usr/lib/directfb-1.0-0/interfaces /usr/lib/ppr/interfaces /usr/share/doc/ppp/examples/interfaces /usr/share/dbus-1/interfaces

Exemplo: pesquisa no diretrio corrente por arquivos maiores que 10 Kbytes:


# find . -size +10k ./.gtk_qt_engine_rc ./.kde/share/config/khotkeysrc ./.kde/share/apps/kconf_update/log/update.log ./.mozilla/firefox/s5vpxeyg.default/cert8.db ./.mozilla/firefox/s5vpxeyg.default/compreg.dat

du
Mostra o espao ocupado por arquivos e subdiretrios do diretrio atual.

Opes
-a Mostra o espao ocupado por todos os arquivos. -b Mostra os espaos ocupados em bytes. -h Mostra o espao ocupado em notao humana, MB, KB etc. -s Sumariza o resultado e informa o valor total do tamanho dos arquivos.

26

/var/log:
# du -h /var/log/ 20K 4,0K 4,0K 4,0K 12K /var/log/apache2 /var/log/apparmor /var/log/samba/cores/smbd /var/log/samba/cores/nmbd /var/log/samba/cores

grep
Procura por um texto especfico dentro de um arquivo, ou no dispositivo de entrada padro.

Opes
-a Mostra o nmero de linhas aps a linha encontrada pelo grep. -n Mostra o nmero de cada linha encontrada pelo grep. -f Especifica que o texto que ser localizado est no arquivo [arquivo].

Exemplo: pesquisar a palavra sshd dentro do arquivo /var/log/auth.log.


# grep "sshd" /var/log/auth.log Nov 4 07:02:19 pc-proinfo adduser[22656]: new user: name=sshd, UID=111, GID=65534, home=/var/run/sshd, shell=/usr/sbin/nologin Nov 4 07:02:20 pc-proinfo usermod[22657]: change user 'sshd' password Nov 4 07:02:20 pc-proinfo chage[22658]: changed password expiry for sshd

O grep pode ainda ser concatenado com outro programa utilizando o sinal | (pipe):

Exemplo: pesquisar pelo processo de nome ssh dentro da sada do comando ps ax.
# ps ax | grep ssh 5508 ? 22696 ? 22707 ? Ss Ss Ss 0:00 /usr/bin/ssh-agent x-session-manager 0:00 /usr/sbin/sshd 0:00 sshd: root@pts/2

Captulo 2 Linux Educacional 27

Exemplo: listar em notao humana o espao ocupado pelos arquivos do diretrio

Formao de suporte tcnico Proinfo

su
Permite ao usurio mudar sua identidade sem fazer logout. til para executar um programa ou comando como root sem abandonar a sesso atual.

Opes:
-c Especifica um comando a ser executado como root. -l ou apenas - Semelhante a fazer login, a forma de trocar de usurio sem

dar logout.

Exemplo: tornar-se root dentro de uma sesso de usurio comum.


$ su - Password: senha #

sudo
Variao do comando su que permite que comandos sejam executados diretamente como superusurio, sem precisar fazer login como root, apenas utilizando suas credenciais temporariamente.

Sintaxe
# sudo comando

Exemplo: atualizar a lista de pacotes com credenciais de root:


# sudo apt-get update

top
Mostra os programas em execuo ativos, parados, o tempo usado na CPU, detalhes sobre o uso da memria RAM, swap, disponibilidade para execuo de programas no sistema, entre outras informaes. um programa que continua em execuo mostrando continuamente os processos que esto rodando em seu computador e os recursos utilizados por eles. Para sair do top, pressione a tecla q.
top - 13:48:15 up 1 day, 3:39, 3 users, load average: 0.06, 0.01, Tasks: 112 total, 2 running, 110 sleeping, 0 stopped, 0 zombie Cpu(s): 0.7%us, 1.0%sy, 0.0%ni, 97.7%id, 0.0%wa, 0.7%hi, 0.0%s Mem: 515584k total, 488556k used, 27028k free, 73540k buf Swap: 497972k total, 41228k used, 456744k free, 259200k cac PID 10105 4771 44 1 2 USER aluno1 root root root root PR 20 20 15 20 15 NI VIRT RES SHR S %CPU %MEM 0 41336 19m 14m S 2.7 3.9 0 29816 20m 3700 S 1.3 4.0 -5 0 0 0 S 0.7 0.0 0 2844 1688 544 S 0.0 0.3 -5 0 0 0 S 0.0 0.0 TIME+ 34:24.02 22:34.96 0:07.60 0:01.06 0:00.00 COMMAND kicker Xorg kacpid init kthread

28

Programa similar ao top, embora mais interativo, possibilitando a navegao pelos processos, alm de uma pesquisa e um filtro de processos. Figura 2.12 Tela do htop

kill
Permite enviar um sinal a um programa ou comando. Se for utilizado sem parmetros, envia um sinal de trmino ao processo que est em execuo.

Opes
-sinal


-9

Nome ou nmero do sinal informado ao sistema; se nenhum for utilizado, por default ser utilizado -15. Envia um sinal de destruio ao processo ou programa. terminado imediatamente, sem chances de salvar os ou apagar os arquivos temporrios criados por ele. Voc precisa ser o dono do processo ou o usurio root para termin-lo ou destru-lo. Nmero do processo a ser encerrado, pode ser obtido com o comando ps.


PID

Captulo 2 Linux Educacional 29

htop

Formao de suporte tcnico Proinfo

Exemplo: encontrando o nmero do processo:


# ps PID TTY 6089 ttys000 6098 ttys000 6212 ttys000 97182 ttys000 97195 ttys000 97220 ttys000 98345 ttys000 98611 ttys000 98637 ttys000 TIME CMD 0:00.01 man ps 0:00.01 /usr/bin/less -is 0:00.00 ps 0:00.24 login -pf Luis 0:00.05 su 0:00.04 sh 0:00.00 ping 10.211.5.77 0:00.00 ping 10.211.5.77 0:00.00 ping 10.211.5.77

Exemplo: matando o processo 97220:


# kill -9 97220

chmod
Muda a permisso de acesso a um arquivo ou diretrio. Com este comando voc pode escolher se um usurio ou grupo ter permisses para ler, gravar e executar um arquivo ou arquivos. Sempre que um arquivo criado, seu dono o usurio que o criou e seu grupo o grupo do usurio.

Opes
-v -R

Verbose, mostra todos os arquivos que esto sendo processados. recursivo Muda permisses de acesso do diretrio/arquivo no diretrio atual e subdiretrios.

Permisses
Escritas no formato: [ugoa][+-=][rwxXst] onde:
ugoa


+ - =

Controla o nvel de acesso que ser mudado. Especifica, em ordem, usurio (u), grupo (g), outros (o), todos (a). O sinal de mais (+) coloca a permisso, o sinal de menos (-) retira a permisso do arquivo e o sinal de igual (=) define a permisso exatamente como est especificada. Onde, r = permisso de leitura do arquivo, w = permisso de gravao e x = permisso de execuo (ou de acesso a diretrios).


rwx

30

$ chmod g+r *

Permite que todos os usurios que pertenam ao grupo dos arquivos (g) tenham (+) permisses de leitura (r) em todos os arquivos do diretrio atual.
$ chmod o-r teste.txt

Retira (-) a permisso de leitura (r) do arquivo teste.txt para os outros usurios (usurios que no so donos e no pertencem ao grupo do arquivo teste.txt).
$ chmod uo+x teste.txt

Inclui (+) a permisso de execuo do arquivo teste.txt para o dono e outros usurios do arquivo.
$ chmod a+x teste.txt

Inclui (+) a permisso de execuo do arquivo teste.txt para o dono, grupo e outrosusurios.
$ chmod a=rw teste.txt

Define a permisso de todos os usurios exatamente (=) para leitura e gravao doarquivo teste.txt.

chown
Muda o dono de um arquivo/diretrio, e opcionalmente pode ser usado para mudar ogrupo.

Opes
-v Verbose, mostra os arquivos enquanto esto sendo alterados. -R Recursive, altera o dono e o grupo dos arquivos e diretrios a partir do

diretrio atual, recursivamente.

Ex: Mudar o dono do arquivo teste.txt para aluno1.


# chown aluno1 teste.txt

Ex: Mudar o dono do arquivo teste.txt para aluno2 e seu grupo para turma1:
# chown aluno2.turma1 teste.txt

Captulo 2 Linux Educacional 31

Exemplos

32

3
Administrao do Linux
Usurios e grupos
No Linux, apenas os usurios cadastrados podem acessar o sistema. Eles so identificados por um nome de usurio (login name) e uma senha. Cada um possui um diretrio de trabalho (home directory) e um interpretador de comandos (shell) associado. Internamente, o sistema reconhece um usurio utilizando um nmero inteiro, de forma nica. Esse nmero o User ID (UID). Todo usurio pertence pelo menos a um grupo, denominado como grupo primrio. Os grupos tambm possuem um nome de grupo e um identificador nico Group ID (GID). As informaes sobre usurios cadastrados esto armazenadas no arquivo /etc/passwd. Cada linha desse arquivo descreve um nico usurio. A tabela abaixo mostra os tipos e o poder das permisses, por usurio. Tipos Principal Padro Sistema Permisses Total Parcial Especfica Usurios root aluno sys, bin, ftp

Tabela 3.1 Tipos de usurios e permisses

Principal Acesso total ao sistema operacional, usurio Administrador. Padro Usurio com permisses parciais, no pode modificar arquivos de configurao nem instalar/ remover programas. Sistema Usurio criado pelo sistema operacional ou programa especfico, dotado de permisses para manipulao de programas ou servios dentro do sistema operacional.

Diretrio de trabalho
Conhecido como homedir. o espao em disco reservado ao usurio na hora de sua incluso. Por questes de segurana, alguns administradores definem contas de usurios, mas no atribuem a elas um diretrio de trabalho ou um shell vlido. Desta forma, estes usurios no conseguem se logar no sistema, apenas utilizam algum servio, como o correio eletrnico.

33

Formao de suporte tcnico Proinfo

Usurio proprietrio
Usurio responsvel por iniciar a execuo de um determinado programa, que pode ser de sua propriedade ou no, mas para o qual tem a permisso de execuo. As permisses desse usurio determinaro os recursos que o processo criado por ele poder acessar. Permisses r w x Read Write Exec Permisso para leitura Permisso para edio Permisso para execuo 4 2 1 Tabela 3.2 Tipos de permisso

r w x r w x r w x
usurio grupo outros
Em determinadas situaes, vlida a criao de grupos de usurios para controlar o acesso a arquivos ou servios. Por exemplo, suponhamos que o setor financeiro de uma empresa, que controla o salrio dos funcionrios, deseja disponibilizar as estatsticas consolidadas desses salrios no sistema de informaes da empresa, para que os colaboradores do setor financeiro possam utiliz-las para clculos. Porm, essas informaes no podero ser vistas por todos os funcionrios da empresa, pois isso geraria um conflito de interesses. Assim, a criao do grupo financeiro e a disponibilizao desses arquivos somente para os usurios do grupo financeiro resolveriam o problema. Cada arquivo possui, em seu inode, informaes sobre permisses indicadas por meio de cdigos r, w e x; essas informaes so organizadas em trs conjuntos de permisses: o primeiro representa a permisso para o usurio proprietrio do arquivo; o segundo, a permisso para o grupo proprietrio do arquivo; e o ltimo, a permisso para os demais usurios do sistema, ou seja, todos os usurios que no fazem parte do grupo ao qual o arquivo pertence nem so proprietrios dele.

Figura 3.1

Inode Estrutura de dados contendo informaes sobre arquivos em um sistema de arquivo Linux. H um inode para cada arquivo, e cada arquivo identificado unicamente pelo sistema de arquivo no qual reside e por seu nmero de inode neste sistema.

Administrao de usurios
Manipulando contas
A manipulao de contas no Linux pode ser bastante facilitada por alguns comandos. Os comandos adduser e useradd permitem criar contas sem a necessidade de editar diretamente as linhas dos arquivos que contm informaes bsicas dos usurios, operao que requer muita ateno e apresenta o risco de provocar alguma modificao no desejada.

34

# adduser usurio

Modificando a conta de um usurio:


# usermod usurio

Removendo a conta de um usurio:


# userdel usurio

No momento que o usurio criado, so copiados para o seu diretrio de trabalho alguns arquivos default, obtidos a partir do diretrio /etc/skel. Um exemplo simples de arquivo que pode ser copiado no momento da criao aquele contendo a configurao da rea de trabalho ou desktop. Da mesma forma, um novo grupo pode ser criado, usando parmetros passados na linha de comando. Adicionando um grupo:
# groupadd grupo

Modificando as informaes de um grupo:


# groupmod grupo

Removendo um grupo:
# groupdel grupo

Para listar os grupos existentes:


# cat /etc/group

O comando utilizado para mudar a senha de qualquer usurio o passwd. Quando o usurio root deseja mudar a senha de algum usurio, deve passar como parmetro o nome do usurio no sistema para o comando passwd. Nesse caso, o passwd pedir que seja informada a nova senha e que esta seja repetida. Voc deve criar uma senha de fcil memorizao pelo usurio, de forma que ele no ceda tentao de anot-la. No entanto, bom incentivar a troca por uma senha prpria, to logo tenha acesso ao sistema. Uma forma inteligente de fazer isso criando uma senha que no agrade ao usurio, assim ele no conseguir tirar essa senha da cabea.

Criando usurios em modo grfico


Dentro do Linux Educacional existe a opo de criao de usurios de modo interativo, utilizando o mdulo do Gerenciador de Sistema chamado Gerenciamento do Usurio.

Captulo 3 Administrao do Linux 35

Adicionando um usurio:

Formao de suporte tcnico Proinfo

Figura 3.2 Criando usurios em modo grfico

Ser necessrio informar a senha de administrador para acessar a tela de cadastro deusurios. Figura 3.3 Senha para acesso de superusurio

Figura 3.4 adduser

36

Obs: O pedido para o nome do usurio e no de arquivo. Atravs desta interface, o usurio tem a possibilidade de criar contas de usurio de maneira mais simples; para isso, basta clicar no boto +add, informar o nome do usurio, e ento sero solicitadas mais algumas informaes como nome completo, diretrio padro, senha de usurio, grupo a que pertence etc.

Figura 3.6 adduser

Captulo 3 Administrao do Linux 37

Figura 3.5 Criando usurios em modo grfico

Formao de suporte tcnico Proinfo

Figura 3.7 adduser

Atividade: Criao de contas de usurio


Novos alunos foram matriculados na sua escola e precisam ser cadastrados no sistema. Os nomes dos alunos so: Rui da Silva, Marta de Jesus, Nei de Souza e Maria Mota. O login dever ser o primeiro e ltimo nome (juntos, sem espao). Alm disso, os dois primeiros alunos esto na turma de geografia e os outros dois na turma de literatura. Para cada matria dever ser criado um grupo com seu nome.

Soluo
Antes de iniciar as atividades, os usurios devero acessar o terminal em modo root.
$ sudo su [sudo] password for aluno1:

Vamos criar os quatro usurios:


# adduser ruisilva Digite a nova senha: usuario1 Redigite a senha: usuario1 # adduser martajesus Digite a nova senha: usuario2 Redigite a senha: usuario2

38

Digite a nova senha: usuario3 Redigite a senha: usuario3 # adduser mariamota Digite a nova senha: usuario4 Redigite a senha: usuario4

Para conferir os usurios, verifique o arquivo /etc/passwd com o comando cat.


# cat /etc/passwd

Para criar os dois grupos:


# addgroup geografia # addgroup literatura

Para conferir os grupos, verifique o arquivo /etc/groups com o comando cat.


# cat /etc/groups

Adicionar os usurios aos grupos:


# addgroup ruisilva geografia # addgroup martajesus geografia # addgroup neisouza literatura # addgroup mariamota literatura
Montagem Processo de disponibilizao de um sistema de arquivos para ser utilizado pelo sistema operacional. Ponto de montagem (mount point) Em sistemas baseados em Unix, o ponto de montagem o local, na estrutura de diretrios do sistema operacional, onde um sistema de arquivos disponibilizado para acesso.

Para conferir as alteraes, verifique novamente o arquivo /etc/group com o comando cat.
# cat /etc/group

Sistema de arquivos
Assim como no Windows, a estrutura de arquivos e diretrios no Linux pode ser representada por uma rvore hierrquica. Porm, enquanto as parties de disco do Windows so visualizadas como unidades de disco independentes, com rvores de diretrios distintas, as parties de disco no Linux so logicamente integradas para compor uma rvore de diretrios nica. Nessa rvore, cada partio compe uma subrvore, cuja raiz define o ponto de montagem, que escolhido pelo administrador. Assim, o conjunto de subrvores armazenadas nas parties compe a rvore de diretrios.

Captulo 3 Administrao do Linux 39

# adduser neisouza

Formao de suporte tcnico Proinfo

Filesystems e diretrios
Filesystem a organizao lgica de uma partio que define como os arquivos so armazenados nos blocos de disco. Assim, para manipular os arquivos de um determinado tipo de filesystem, o sistema operacional deve suportar a organizao lgica desse filesystem. Todos os diretrios Linux aparecem abaixo do diretrio raiz (/), que o nvel mais alto da rvore de diretrios. O diretrio raiz possui arquivos e subdiretrios, que, por sua vez, possuem seus arquivos e subdiretrios, e assim sucessivamente. Por exemplo, o caminho /usr/bin/man indica que o arquivo man est localizado dentro do diretrio bin, que est localizado dentro do diretrio usr, que por sua vez est localizado no diretrio /. O mount point de uma partio de disco, ou at mesmo de um disco removvel, indica a posio da subrvore de diretrios, armazenada na partio, na estrutura de diretrios do Linux. necessrio ter, no mnimo, uma partio montada como /.
Disco 1 Partio 1

Filesystem Mtodo de armazenamento e organizao dos dados, de maneira a facilitar o acesso pelo sistema operacional.

Figura 3.8 Filesystem

usr

dev

lib

home

etc

local

Disco 1 Partio 2

Disco 2 Partio 1

joo

joel

bin

src

dados
Pode ser na mesma mquina, ou no

Atividade: Permisses de arquivos


Os alunos devero criar dois diretrios e dar permisses aos grupos criados para cada diretrio, de maneira que um grupo no possa visualizar o contedo das pastas do outro.

Soluo
Criao de diretrios (podem ser criados dentro da pasta /home/usuario).
\\usuario1

$ mkdir diretorio1 $ chmod o-x diretorio1

40

$ mkdir diretorio2 $ chmod o-x diretorio2

Acesse o Linux Educacional com um dos usurios cadastrados e tente adicionar arquivos dentro dos diretrios criados.

Estrutura de diretrios
A estrutura de diretrios definida na instalao do sistema. Entretanto, o administrador tambm pode montar qualquer partio diretamente sob o diretrio raiz, atribuindo o nome que melhor represente o contedo daquela partio, como por exemplo /dados ou /cadastros. O particionamento de disco extremamente vantajoso. Em caso de falha em uma determinada partio, as demais parties no so afetadas. Assim, caso acontea um problema fsico na partio que armazena os arquivos dos usurios (/home), basta o administrador recuperar aquela partio especfica e, em seguida, recuperar os arquivos do backup para a partio. Se o sistema possui uma nica partio, provavelmente o administrador ter de reinstalar o sistema e recuperar todos os arquivos do backup. No Linux, o comando utilizado para promover o particionamento de um disco fdisk. Tabela 3.3 Principais diretrios-padro Diretrio /boot /bin /sbin /usr /etc /dev /lib /home /var /tmp Funo Arquivos de inicializao do sistema e imagem do kernel Utilitrios do sistema Ferramentas de administrao Utilitrios e ferramentas de administrao adicionais Arquivos de configurao de servios Arquivos de dispositivos do sistema Bibliotecas de funes compartilhadas Diretrio de trabalho dos usurios Logs do sistema e diretrios para e-mails Arquivos temporrios

Estrutura do filesystem
Uma das principais caractersticas das verses mais recentes do Unix (como Linux) o suporte a diferentes tipos de sistemas de arquivos (filesystems). Um filesystem a organizao lgica de uma partio que define como os arquivos so armazenados e recuperados dos blocos de disco. Diferentes sistemas operacionais possuem diferentes tipos de filesystems. Sendo um filesystem apenas a organizao lgica de uma partio, do ponto de vista dos comandos de configurao, bastante comum a utilizao do termo partio para filesystem e vice-versa. A flexibilidade provida pelo
41

Captulo 3 Administrao do Linux

\\usuario2

Formao de suporte tcnico Proinfo

suporte a diferentes tipos de filesystems permite ao administrador de um sistema Unix configur-lo para acessar filesystems que armazenam arquivos de outros sistemas operacionais. Complementado pelo servio Network File System (NFS), o Unix suporta a montagem de diretrios disponveis remotamente. Para suportar os vrios tipos de filesystems, o Linux agrega a cada tipo um mdulo de software responsvel por traduzir os formatos daquele tipo especfico de filesystem para o formato nico denominado Virtual File System (VFS). Assim, o administrador pode utilizar o comando mount para montar diversos tipos de filesystem simultaneamente, criando a rvore de diretrios nica do Linux. As informaes que descrevem as parties, seus filesystems e seus mount points so armazenadas no arquivo /etc/fstab. Nesse arquivo, cada partio descrita em uma linha com os campos resumidos a seguir:
\\Filesystem

sistema de arquivos a ser montado. Em alguns sistemas, tambm chamado de device, porque diz respeito a alguns dispositivos referenciados por meio de um arquivo presente no diretrio /dev. point ponto de montagem dos dados disponibilizados para leitura.

\\Mount \\Type

tipo do sistema de arquivos a ser montado (por exemplo, o tipo nativo do sistema: swap, nfs ou iso9660). lista de atributos funcionais (por exemplo, rw, significando que o sistema de arquivos deve ser montado para leitura e escrita).

\\Options

Na inicializao do sistema, cada linha desse arquivo processada para montar as parties, compondo assim a estrutura de diretrios do sistema. Cada dispositivo do sistema reconhecido por um nome de dispositivo. Discos IDE so nomeados da seguinte maneira:
\\/dev/hda \\/dev/hdb \\/dev/hdc \\/dev/hdd

unidade de disco mestre da primeira controladora IDE. unidade de disco escravo da primeira controladora IDE. unidade de disco mestre da segunda controladora IDE. unidade de disco escravo da segunda controladora IDE.

No caso de controladoras Small Computer System Interface (SCSI), os discos so denominados sda, sdb, sdc e assim por diante. As unidades de disco flexvel e CD-ROM so denominadas /dev/fd0 e /dev/cdrom (no Linux, um link para /dev/ hdc), respectivamente. As parties dos discos so nomeadas por um nome de partio, formado pelo nome do disco seguido de um nmero inteiro. Por exemplo, as parties de um disco IDE conectado na primeira controladora so denominadas /dev/ hda1, /dev/hda2 e assim sucessivamente.

42

O dpkg (Debian Package) o programa responsvel pelo gerenciamento de pacotes em sistemas Debian. Sua operao feita em modo texto e funciona atravs de comandos. Assim, caso deseje uma ferramenta mais amigvel para a seleo e instalao de pacotes, prefira o dselect (que um front-end para o dpkg) ou o apt. Pacotes Debian so programas colocados dentro de um arquivo, identificados pela extenso .deb, incluindo arquivos necessrios para a instalao do programa, um sistema de listagem/checagem de dependncias, scripts de automatizao para remoo total ou parcial do pacote, listagem de arquivos etc. Um nome de pacote tem a forma nome-verso_reviso.deb.

Dependncias
Dependncias so pacotes requeridos para a instalao de outro pacote. No Debian cada pacote contm um programa com determinada funo. Por exemplo, se voc tentar instalar o pacote de edio de textos supertext que usa o programa sed, voc precisar verificar se o pacote sed est instalado em seu sistema antes de tentar instalar o pacote supertext; caso contrrio, o pacote supertext pedir o sed e no funcionar corretamente. Note que o pacote supertext apenas um exemplo e no existe, pelo menos at agora. O programa dselect faz o trabalho de checagem de dependncias automaticamente durante a instalao dos pacotes. A colocao de cada programa em seu prprio pacote parece ser uma dificuldade extra para a instalao manual de um determinado programa. Mas um ponto fundamental para os desenvolvedores que mantm os mais de 8710 pacotes existentes na distribuio Debian, porque no preciso esperar ser lanada uma nova verso do supertext para instalar a verso mais nova do pacote sed. Por este motivo tambm uma vantagem para o usurio.
$ dpkg -l Desired=Unknown/Install/Remove/Purge/Hold | Status=Not/Installed/Config-f/Unpacked/Failed-cfg/Half-inst/t-aWait/T-pend |/ Err?=(none)/Hold/Reinst-required/X=both-problems (Status,Err: uppercase=bad) ||/ Nome Verso Descrio +++-==============-==============-============================================ ii 915resolution 0.5.3-1ubuntu1 resolution modification tool for Intel graph ii acidrip ii acl ii acpi ii acpi-support ii acpid ii adduser ii adept 0.14-0.2ubuntu ripping and encoding DVD tool using mplayer 2.2.45-1 Access control list utilities 0.09-3ubuntu1 displays information on ACPI devices 0.109-0hardy2 a collection of useful events for acpi 1.0.4-5ubuntu9 Utilities for using ACPI power management 3.105ubuntu1 add and remove users and groups 2.1.3ubuntu25. package management suite for KDE

Captulo 3 Administrao do Linux 43

Atualizaes do Linux (Debian Package)

Formao de suporte tcnico Proinfo

Comandos bsicos Debian Package


# dpkg l

Lista os pacotes existentes no sistema; se for utilizado com o nome do pacote, faz uma listagem das suas informaes. Remove o pacote informado do sistema, mas no remove os arquivos de configurao criados pelo programa. Remove totalmente o programa, inclusive com os arquivos de configurao. Fornece informaes sobre o pacote, dentro da descrio; tambm so informadas as suas dependncias, pacotes sugeridos, descrio do pacote, tamanho e nmero. Verifica o status do pacote. Checa pacotes com problemas. Checa pacotes com problemas.

Tabela 3.4 Comandos bsicos dpkg

# dpkg r pacote

# dpkg p pacote

# dpkg I pacote

# dpkg s pacote # dpkg c # dpkg configure pacote

Comando APT
O APT um sistema de gerenciamento de pacotes de programas que possui resoluo automtica de dependncias entre pacotes, e facilidade de instalao, operao e atualizao da sua distribuio. Funciona atravs de linha de comando e fcil de usar. Mesmo assim, existem interfaces grficas para o APT como o synaptic (modo grfico) e o aptitude (modo texto), que permitem poderosas manipulaes de pacotes sugeridos, entre outros recursos. O APT pode ser utilizado tanto com arquivos locais quanto remotos, na instalao ou atualizao. Desta maneira possvel atualizar toda a sua distribuio Debian via FTP ou HTTP, com apenas dois comandos simples. O APT exclusivo da distribuio Debian e distribuies baseadas nela, e tem por objetivo tornar a manipulao de pacotes poderosa por qualquer pessoa, alm de possuir dezenas de opes que podem ser usadas em sua execuo ou configuradas no arquivo /etc/apt/apt.conf. Comandos bsicos APT
# apt-get install pacote

Instala o pacote informado e suas dependncias em seu sistema; podem ser instalados diversos pacotes ao mesmo tempo, separando os nomes por espaos. disponveis.

Tabela 3.5 Comandos bsicos apt

# apt-cache search pacote Procura um pacote especfico na lista de pacotes

44

# apt-get update

Atualiza a lista de pacotes disponveis em sua lista de distribuio. Remove completamente um pacote do sistema. Podem ser removidos mais de um pacote ao mesmo tempo, separando os nomes dos pacotes com espaos. Verifica e corrige automaticamente problemas de dependncias entre pacotes. Verifica pacotes corrompidos.

# apt-get remove

# apt-get f install # apt-get check

Arquivo /etc/apt/apt.conf
Neste arquivo possvel especificar opes que modificaro o comportamento do programa APT durante a manipulao de pacotes (ao invs de especificar na linha de comando). Uma das configuraes mais utilizadas no arquivo apt.conf a configurao de proxy. Figura 3.9 Arquivo /etc/apt /sources.list

Este arquivo contm os locais onde o APT encontrar os pacotes, a distribuio que ser verificada (hardy, jaunty) e a seo que ser copiada (main, non-free, contrib, non-us).
\\deb

identifica um pacote do Debian; deb-src identifica o cdigo-fonte.

\\http://br.archive.ubuntu.com/ubuntu

mtodo de acesso aos arquivos da distribuio, site e diretrio principal. O caminho pode ser http://, ftp://, file://... contrib non-us sees que sero verificadas no site remoto.
45

\\main

Captulo 3 Administrao do Linux

Comandos bsicos APT

Formao de suporte tcnico Proinfo

Repositrios
No incio havia o .tar.gz. Os usurios tinham dificuldade para compilar cada programa usado no sistema GNU/Linux ou outro qualquer. Quando o Debian foi criado, sentiu-se a necessidade de um sistema de gerenciamento dos pacotes instalados no sistema. Deu-se a esse sistema o nome de dpkg. Assim surgiu o famoso pacote. Em seguida a Red Hat criou seu conhecido sistema RPM. Rapidamente outro dilema intrigou os produtores de GNU/Linux. Uma maneira rpida, prtica e eciente de se instalar pacotes, gerenciando suas dependncias automaticamente e protegendo seus arquivos de congurao ao fazer a atualizao. Assim, o Debian, novamente pioneiro, criou o Advanced Packaging Tool (APT), hoje portado pela Conectiva e incorporado por outras distribuies. Para seu funcionamento, o APT utiliza-se de um arquivo que lista as fontes de onde obter os pacotes. Esse sistema pode funcionar tanto com o APT em linha de comando quanto com o gerenciador de pacotes Adept.

Repositrio Local de armazenamento onde os pacotes de software podem ser recuperados e instalados em um computador.

Gerenciador Adept
Gerenciador grfico de pacotes que usa a API do libapt-frontend, utilizando as bibliotecas QT do KDE. Para instalar pacotes atravs do Adept, informe o nome do pacote no campo de busca, e o Adept listar todos os programas relacionados. Clique no programa desejado, e uma janela perguntar se deseja instalar o programa ou solicitar informaes bsicas do pacote, como nome, tamanho, mantendedor e verso. Figura 3.10 Tela do Adept

46

Atividade: Instalando pacotes no Linux


O usurio dever instalar os seguintes pacotes com o Adept:
\\ \\

ksysguard monitor grfico de sistema; Wireshark programa de captura e anlise de pacotes.

Para instalar os programas ksysguard e Wireshark usando o Adept: 1. Clique em Iniciar > Adicionar e Remover Programas (Adept); 2. Na janela aberta pelo sistema digite a senha de login e clique em OK; 3. Na janela Busca (parte superior da tela) digite o nome do programa: ksysguard; 4. Na janela abaixo da anterior, selecione a linha onde aparece o nome do programa ksysguard que se quer instalar; 5. Clique em Solicitar instalao; 6. Clique em Aplicar Mudanas na barra de ferramentas, na parte superior; 7. Aguarde at que a instalao esteja terminada (demora alguns minutos); 8. A mesma janela mencionada no item 4 deve aparecer, mas desta vez o programa aparece como instalado; 9. Para instalar o programa Wireshark, repita os mesmos procedimentos a partir do item 3, mudando apenas o nome do programa; 10. Para encerrar, clique em Adept (menu superior) e selecione Sair; 11. Para verificar se o ksysguard est instalado: 11.1. Clique em Iniciar > Sistema; 11.2. Veja se aparece uma linha escrito: Monitor de Performance (KSysGuard); 11.3. Se no aparecer, chame o monitor para ajud-lo a descobrir o que aconteceu de errado. 12. Para verificar se o Wireshark est instalado: 12.1. Clique em Iniciar > Internet; 12.2. Veja se aparece a linha: Analisador de rede (Wireshark); 12.3. Se no aparecer, chame o monitor para ajud-lo a descobrir o que aconteceu de errado.

Captulo 3 Administrao do Linux 47

Formao de suporte tcnico Proinfo

Aptitude
O programa aptitude consiste em uma interface em modo Shell para o sistema de pacotes do Debian GNU/Linux. Ele permite que o usurio baixe as listas de pacotes de espelhos de rede espalhados pela internet e realize operaes como instalao, atualizao e remoo de pacotes. O aptitude possui as funcionalidades dos programas dselect e apt-get, mas com algumas funcionalidades a mais. Figura 3.11 Tela inicial do Aptitude

A tela dividida em menu, na parte de cima, lista de pacotes na parte do meio e um espao para a descrio dos pacotes na parte de baixo. Para acessar o menu digite Ctrl+t. No menu Aes, podemos encontrar os seguintes comandos:
\\Instalar/ \\Atualizar \\Marcar

remover pacotes marcados; a lista de pacotes do sistema;

pacotes para atualizao; a instalao de pacotes;

\\Cancelar \\Limpar \\Limpar

o cache de pacotes; arquivos obsoletos; root se for necessrio;

\\Tornar-se \\Sair.

48

Figura 3.12 Tela de busca de pacotes do Aptitude

O aptitude informa os dados e dependncias do pacote. Para marcar o pacote para instalao pode-se usar a opo do menu Pacote > instalar ou apertar a tecla + em cima do pacote escolhido, ao que marcar o pacote (deixando-o verde) e suas dependncias automaticamente. Aps a marcao do pacote, o usurio dever entrar no menu Aes > Instalar/ Remover pacotes ou utilizar a tecla de atalho g. Para remover um pacote, utilize a / para encontr-lo, marque o pacote e v ao menu Aes > Instalar/Remover para remover o programa.

Repositrios MEC
O Ministrio da Educao disponibiliza um repositrio para baixar contedos para o Linux Educacional. Esses contedos podem ser acessados a partir do repositrio http://repositorio.mec.gov.br MEC 3.0, informado no arquivo /etc/apt/sources.list.

Captulo 3 Administrao do Linux 49

No menu Desfazer possvel desfazer marcaes de pacotes previamente selecionados. Em Pacotes temos as opes para marcar os pacotes na lista para atualizar, instalar, remover, fazer purge (remover tudo, inclusive arquivos de configurao). Para instalar um pacote, digite / para abrir a tela de pesquisa ou v ao menu Procurar > encontrar e digite o nome do pacote.

Formao de suporte tcnico Proinfo

Atividade: Acessando o repositrio do MEC


Essa atividade trata da instalao de contedos do domnio pblico via Adept. O usurio dever configurar o Adept para acessar o repositrio do MEC e instalar alguns de seus pacotes.

Soluo
Inclua o repositrio do MEC no arquivo /etc/apt/sources.list. Acesse o terminal e logue-se como super usurio.
$ sudo su

Edite o arquivo /etc/apt/sources.list.


# nano /etc/apt/sources.list

Insira a seguinte linha:


http://repositorio.mec.gov.br mec 3.0

Atualize o repositrio:
# apt-get update

Para baixar os contedos do MEC, acesse o programa Adept:


\\Iniciar \\No

> Adicionar ou remover programas (Adept); informe a senha de usurio.

campo Busca digite MEC, localize os contedos de seu interesse, clique no pacote e depois em Solicitar instalao. essa ao clique em Aplicar mudanas.

\\Aps

A barra Edubar
A partir da verso 3.0 do Linux Educacional foi desenvolvida uma aplicao Java de nome Edubar, cujo objetivo facilitar o acesso aos contedos educacionais. A aplicao abre uma barra localizada na parte superior da rea de trabalho, composta por cinco botes, dentre eles os botes Domnio Pblico e TV Escola. Figura 3.13 Barra de acesso Edubar

Alm dos atalhos citados, a barra Edubar ainda possui um boto para acesso aos programas educacionais, um boto para acesso rpido aos utilitrios (como editor de texto e visualizador de arquivos) e por ltimo um boto para acesso a ferramentas de digitalizao de imagens e calculadora.

50

Para facilitar o acesso aos contedos educacionais, foi desenvolvida uma ferramenta de busca dos contedos. Ao clicar no boto Domnio Pblico ou no boto TV Escola da Edubar, a ferramenta de busca (FBEdu) ser aberta, possibilitando pesquisar os contedos por Autor, Ttulo, Tipo de mdia (texto, som, imagem e vdeo) e por Categoria Ensino Mdio, Salto para o Futuro, Histria, Lngua Portuguesa, Educao Especial, Escola/Educao, Cincias, tica, Matemtica, Literatura, Literatura Infantil, Literatura de Cordel, Geografia, Pluralidade Cultural, Sade, Educao Fsica, Recortes, Artes, Filosofia, Biologia, Psicologia, Hinos e Teologia. Figura 3.14 Ferramenta de busca FBEdu

Atividade: Instalando a barra Edubar


Os alunos devero remover e instalar a barra de acesso a contedos educacionais Edubar via Adept.

Soluo
A barra Edubar j vem pr-instalada no Linux Educacional, mas se apresentar algum problema pode ser removida atravs do Adept. Acesse o programa Adept:
\\Iniciar \\No

> Adicionar ou remover programas (Adept); informe a senha do usurio.

campo de busca digite edubar, e o pacote aparecer como instalado; clique nele e depois em Solicitar remoo. essa ao, clique em Aplicar mudanas.

\\Aps

Para reinstalao, digite edubar no campo de busca, e quando o pacote aparecer no campo de busca clique nele, depois clique em Solicitar instalao e em seguida em Aplicar mudanas.

Captulo 3 Administrao do Linux 51

Ferramenta de busca

52

4
Redes de computadores
Redes de computadores Conjunto de mdulos de processamento interconectados atravs de um sistema de comunicao, cujo objetivo compartilhar recursos e trocar informaes. Ethernet Tecnologia de rede local amplamente adotada, inicialmente proposta pela Xerox e posteriormente padronizada pelo IEEE no padro IEEE 802.3. Redes Ethernet utilizam o protocolo de acesso ao meio CSMA/CD, suportam diferentes meios fsicos de transmisso (cabo coaxial, par tranado e fibra ptica) e operam com diferentes opes de taxa de transmisso (10 Mbps, 100 Mbps e 1 Gbps). Interoperabilidade Pode ser entendida como o esforo exigido para se acoplar um sistema a outro. Inter-rede Coleo de vrias redes fsicas, interconectadas por meio de roteadores, que do ponto de vista lgico funcionam como uma rede virtual nica.

Este captulo apresenta o conceito de redes de computadores e sua importncia no ambiente educacional. Sero descritas as funcionalidades e aplicaes do protocolo TCP/IP, com a apresentao das camadas que compem o protocolo. Nos prximos captulos, vamos explicar e exemplificar o endereamento IP, mostrando as diversas classes de endereos, e tambm o conceito e o uso das mscaras de rede. No captulo 5 trabalharemos o conceito de rota, tipos de rotas e tabela de rotas, com exemplos da configurao de interfaces e principais comandos. No captulo 6 descreveremos as redes com fio e seus componentes, as redes sem fio e seus recursos de segurana. No captulo 7 estudaremos as solues de redes utilizadas pelo Proinfo, e no captulo 8 o conceito de roteamento na internet, com base em exemplos.

Introduo a redes
A evoluo das tecnologias de comunicao e a reduo dos custos constituem os principais fatores para a ampla adoo das redes de computadores nas diversas organizaes. Tais redes so projetadas, essencialmente, para compartilhar recursos de hardware e software e viabilizar a troca de informaes entre usurios. No entanto, as atuais tecnologias de redes restringem o nmero de dispositivos conectados, e so geralmente incompatveis entre si. Dispositivos conectados a uma rede local que adota a tecnologia Ethernet, por exemplo, no interagem diretamente com outros que utilizam outras tecnologias. Isso dificulta a comunicao de grandes grupos de usurios e impede que usurios de redes distintas se comuniquem entre si. Para viabilizar essa comunicao, a nica alternativa adotar mecanismos que permitam a interoperabilidade, interconectando e compatibilizando as mltiplas redes heterogneas. A interconexo destas vrias redes denominada inter-rede. A motivao para a interconexo de redes permitir que servios e aplicaes de rede disponveis sejam acessados remotamente com a garantia de que os usurios tero a disponibilidade necessria nas suas respectivas conexes no ambiente de rede. A responsabilidade dos gerentes e projetistas de rede prover a infraestrutura com conectividade total, sobre a qual os servios e aplicaes de rede sero
53

Formao de suporte tcnico Proinfo

disponibilizados em prol do cumprimento da misso das organizaes. Essa infraestrutura deve permitir a implementao de novas tecnologias de rede no mbito de uma corporao ou empresa. Exemplos dessas tecnologias: comrcio eletrnico, aplicaes de videoconferncia, educao a distncia, IPTV, telefonia IP (VoIP), VoD (Video on Demand vdeo por demanda), emprego de wireless (sem fio), entre outras. Cada vez mais as redes de computadores transformam a sociedade. Graas a elas o telefone celular pode ser usado para acesso internet, enviar e receber e-mails, assistir TV e outras aplicaes que seriam impensveis se no existisse uma infraestrutura de rede adequada. Isso significa que a influncia das tecnologias na sociedade indiscutvel. Prticas sociais, relaes comerciais e a educao so cada vez mais orientadas por e para as Tecnologias da Informao e Comunicao (TIC). Neste contexto, as pessoas devem estar adaptadas aos padres dos recursos tecnolgicos, principalmente no tocante ao exerccio profissional. Para tal, essencial adquirir habilidades e consolidar competncias necessrias para a utilizao de computadores, redes e outros dispositivos em diferentes situaes. Tais habilidades esto associadas aplicao dos recursos tecnolgicos, ao uso das diversas mdias de comunicao, busca de informao e soluo de problemas com o auxlio da tecnologia. Desta forma, podemos considerar como certa a necessidade de uma nova alfabetizao advinda dos avanos tecnolgicos. Ela inclui habilidades, estratgias e disposio necessrias para explorar com sucesso as rpidas mudanas proporcionadas pelas tecnologias de informao e comunicao, de forma a potencializar oportunidades de crescimento das pessoas no trabalho e na vida privada, baseadas nas habilidades bsicas de leitura, escrita e lgica matemtica (alfabetizao) utilizadas nas escolas, que preparam os estudantes para o uso de livros, papel e caneta, ampliando-as para o uso fluente da tecnologia. Esta nova forma de alfabetizao prope um estado de conhecimento especializado, que inclui habilidades relacionadas s novas formas de ler e escrever adaptadas ao hipertexto e hipermdia, busca e organizao de informaes atravs de aparato informtico, alm de habilidades em comunicao e interao atravs das redes de computadores. A rea de pesquisa em informtica na educao tem evoludo de um contexto de introduo do computador no ensino laboratrios de informtica e desenvolvimento de softwares educacionais , para ambientes de ensino na internet, sistemas inteligentes de ensino e cursos virtuais (Universidade Virtual). Ambientes de ensino na internet tm sido a preocupao e a meta de uma vanguarda de professores que perceberam a vantagem da utilizao do ambiente de rede como ferramenta de apoio ao ensino de suas disciplinas. A experincia destes professores logo passou a ser estudada, sistematizada e, por fim, tornou-se importante rea de pesquisa, atravs da modelagem de arquiteturas, ambientes e procedimentos de ensino. Foram definidos os componentes alternativos para estes ambientes, tais como: livros eletrnicos, bases de exerccios, murais de discusso, fruns de conversao, simuladores de experincias, vdeos e outros elementos.

54

Protocolo TCP/IP
Nas ltimas dcadas, a tecnologia de inter-redes foi desenvolvida para possibilitar a interconexo de diferentes tipos de tecnologias de redes, acomodando mltiplas plataformas de hardware e software, com base em um conjunto de protocolos que definem as regras de comunicao. Essa tecnologia esconde detalhes do hardware de rede e permite que os dispositivos se comuniquem, independentemente do tipo de rede fsica adotada. Arquiteturas de protocolos so colees de protocolos que habilitam comunicao em rede de uma mquina at outra. Essas arquiteturas so estruturadas em camadas, de forma a dividir e organizar melhor as funes. Sem os protocolos, o computador no pode reconstruir no formato original a sequncia de bits recebida de outro computador. Para dois computadores se comunicarem, precisam utilizar o mesmo protocolo, isto , falar a mesma lngua. Para entender o funcionamento da famlia de protocolos TCP/IP, vamos apresentar o modelo de interconexo desse tipo de rede, enfatizando os mecanismos que viabilizam a interao dos diversos protocolos. As diversas tecnologias de redes definem como os dispositivos devem se conectar s respectivas redes. J uma tecnologia de inter-rede define como as redes so interconectadas entre si, permitindo que cada equipamento possa se comunicar com os demais das vrias redes. Em uma inter-rede TCP/IP, duas ou mais redes fsicas somente podem ser interconectadas por um equipamento especial, chamado roteador, cuja funo encaminhar pacotes de uma rede para outra. Para rotear corretamente os pacotes, os roteadores precisam conhecer a topologia de toda a inter-rede, no apenas das redes fsicas s quais esto diretamente conectados. Assim, precisam manter informaes de roteamento de todas as redes que fazem parte da inter-rede. Os usurios veem a inter-rede como uma rede virtual nica, qual todos os dispositivos esto conectados, independente da forma das conexes fsicas. Para tal, uma inter-rede TCP/IP adota um mecanismo de endereamento universal, baseado em endereos IP, que permite a identificao nica de cada dispositivo. A figura a seguir ilustra o modelo de interconexo de uma inter-rede TCP/IP.

Protocolo Conjunto de regras e convenes que definem a comunicao dos dispositivos em uma rede.

Roteador Dispositivo que interconecta duas ou mais redes fsicas e encaminha pacotes entre elas.

Captulo 4 Redes de computadores 55

Cada vez mais so empregados recursos computacionais no lugar de recursos pedaggicos que no utilizavam computadores. Na sociedade informatizada em que vivemos, necessrio preparar os jovens para este ambiente de redes de computadores para que eles possam ser includos digitalmente na sociedade da informao. Podemos fazer uma analogia com a preocupao de nossas avs quanto alfabetizao. O indivduo que no soubesse ler no teria acesso informao escrita e ficaria excludo da sociedade. Da mesma forma, o indivduo que no souber usar o computador, ficar excludo da sociedade da informao.

Formao de suporte tcnico Proinfo

Host 9

Host 1 5

Host 8

Figura 4.1 Modelo de interconexo de inter-redes TCP/IP

1 Host 2 R1

R3

R4

4 Host 7

R2 2 3

Host 3

Host 6

Host 4

Host 5

Neste exemplo, quando a estao Host 1 deseja enviar pacotes para a estao Host 3, Host 1 encaminha os pacotes atravs da Rede 1 para o roteador R1 que, por sua vez, entrega-os para a estao Host 3 atravs da Rede 2. importante notar que os roteadores no estabelecem conexo direta entre todas as redes fsicas. Para alcanar um determinado destino, pode ser necessrio encaminhar os pacotes atravs de diversos roteadores e redes intermedirias. Observe que podem existir diferentes alternativas de encaminhamento dos pacotes entre determinados pares de estaes. No exemplo da figura anterior, quando a estao Host 1 quer transmitir pacotes para a estao Host 5, pode encaminh-los atravs da Rede 1 para os roteadores R1 ou R3, que se apresentam como possveis alternativas at o destino. Se Host 1 adotar o caminho via roteador R1, este, por sua vez, rotear os pacotes para o roteador R2 atravs da Rede 2. Por fim, R2 entrega os pacotes para a estao Host 5 atravs da Rede 3. Por ser a internet um exemplo concreto de inter-rede TCP/IP, possvel concluir que ela composta por uma coleo de diferentes redes fsicas independentes, interconectadas por meio de diversos roteadores. Entretanto, esta estrutura de interconexo de redes no percebida pelos usurios da internet, que a veem apenas como uma rede global nica, que permite a comunicao das estaes a ela conectadas. Na concepo original da internet, as estaes de trabalho dos usurios, denominadas hosts, so conectadas rede atravs de equipamentos especficos para essa finalidade, chamados gateways.

Host Equipamento utilizado pelos usurios finais para processamento das aplicaes e conexo rede. Gateway Sinnimo de roteador na arquitetura TCP/IP, o equipamento que conecta os hosts rede. Em outras arquiteturas de redes, um gateway um dispositivo (hardware ou software) que converte mensagens de um protocolo em mensagens de outro protocolo.

56

TCP (Transmission Control Protocol) Protocolo padro que define o servio de circuito virtual da camada de transporte da arquitetura TCP/IP. IP (Internet Protocol) Protocolo padro que define o servio de entrega no confivel e no orientado conexo da camada de rede da arquitetura TCP/IP.

Host A

Host B

TCP - Host to Host

Figura 4.2 Concepo da arquitetura TCP/IP

IP - Internet

Gateway

Gateway

As principais funes do protocolo IP so endereamento e roteamento, ou seja, fornecer uma maneira para identificar unicamente cada mquina da rede (endereo IP) e uma maneira de encontrar um caminho entre a origem e o destino (roteamento). Algumas caractersticas do TCP:
\\Garante \\Executa

a entrega de datagramas IP;

a segmentao e o reagrupamento de grandes blocos de dados enviados pelos programas, garantindo o sequenciamento adequado e a entrega ordenada de dados segmentados; a integridade dos dados transmitidos usando clculos de soma de verificao; mensagens positivas dependendo do recebimento bem-sucedido dos dados;

\\Verifica

\\Envia

\\Oferece

um mtodo preferencial de transporte de programas que devem usar transmisso confivel de dados baseada em sesses, como bancos de dados cliente/servidor e programas de correio eletrnico.

Os padres da arquitetura TCP/IP foram estabelecidos pela comunidade acadmica americana atravs de documentos chamados RFCs (Request For Comments Pedido de Comentrios) que se encontram armazenados sob a URL: www.ietf.org/rfc/rfcnnnn.txt, onde nnnn = nmero do documento desejado. Por exemplo: o RFC791.txt define o
57

Captulo 4 Redes de computadores

Os dois protocolos que formam a base da internet so o TCP (Transmission Control Protocol) e o IP (Internet Protocol), cujas funes bsicas esto mostradas na figura a seguir. O TCP foi concebido para possibilitar s aplicaes que rodam nos hosts a troca de informaes atravs da rede, e o IP se encarrega de transportar essas informaes, de forma semelhante do correio postal. O TCP chamado de Host-to Host Protocol, indicando que sua funo bsica prover a comunicao entre os hosts de origem e destino, ou seja, fim-a-fim. J o IP faz o roteamento das informaes atravs da rede. Um roteador um gateway especializado na funo de roteamento.

Formao de suporte tcnico Proinfo

protocolo IP. Para conhecer todos os documentos existentes at o momento, baixe a verso atualizada do documento: www.rfc-editor.org/rfc-index2.html. Para melhor estruturao do hardware e do software de um determinado projeto de rede, os problemas de comunicao so divididos e organizados em camadas hierrquicas. Cada camada responsvel por uma funo especfica e construda utilizando as funes e servios oferecidos pelas camadas inferiores. Uma arquitetura de rede, tal como a definida pela famlia de protocolos TCP/IP, uma combinao de diferentes protocolos nas vrias camadas. A arquitetura de rede definida pela famlia de protocolos TCP/IP denominada arquitetura TCP/IP, organizada em quatro camadas, conforme ilustra a prxima figura.
Unidade de dados do protocolo
Mensagem Segmento TCP/ Datagrama UDP Datagrama IP Quadro

Nome das camadas Aplicao Transporte Rede


Interface de rede

Protocolos
FTP, SMTP, HTTP ... TCP, UDP IP, ICMP CSMA/CD, PPP, HDLC ...

Figura 4.3 Arquitetura TCP/IP

Camada de aplicao
A funo bsica desta camada fornecer uma janela para que os dados da aplicao possam ser transmitidos atravs da rede. A camada de aplicao trata os detalhes especficos da cada tipo de aplicao. Na famlia de protocolos TCP/IP, existem diversos protocolos de aplicao que so suportados por quase todos os sistemas. Cada protocolo de aplicao define a sintaxe e semntica das mensagens trocadas entre os programas de aplicao. As aplicaes de rede, como Telnet, residem nessa camada. As aplicaes que utilizam os servios da rede no residem nessa camada, mas fazem parte dos processos do usurio e apenas entregam os dados para que a camada de aplicao os transfira atravs da rede at o destino. A unidade de dados do protocolo (PDU Protocol Data Unit) de aplicao chama-se Mensagem. Exemplos de protocolos de aplicao:
\\Telnet \\FTP

servio de terminal virtual;

(File Transfer Protocol) servio de transferncia de arquivos; (Simple Mail Transfer Protocol) servio de correio eletrnico; (Simple Network Management Protocol) servio de gerenciamento de redes;

\\SMTP \\SNMP

Unidade de dados do protocolo Unidade bsica de dados manipulada por um protocolo. composta por um campo de cabealho, que transporta as informaes de controle, e por um campo de dados, que transporta a unidade de dados do protocolo da camada superior.

58

\\HTTP

(Hypertext Transfer Protocol) servio WWW (World Wide Web).

Protocolo orientado conexo Protocolo padro que define o servio de datagramas da camada de transporte da arquitetura TCP/IP. Protocolo no orientado conexo Protocolo que trata cada unidade de dados como uma entidade individual que contm os endereos de origem e destino. As unidades de dados so enviadas da origem ao destino sem a necessidade de estabelecer uma conexo entre as entidades comunicantes.

Camada de transporte
A camada de transporte prov a comunicao fim-a-fim entre aplicaes. A arquitetura TCP/IP define dois diferentes protocolos de transporte:
\\TCP

(Transmission Control Protocol) um protocolo orientado conexo que prov um fluxo confivel de dados, oferecendo servios de controle de erro, controle de fluxo e sequenciao. O TCP divide o fluxo de dados em pedaos chamados segmentos TCP, que so enviados de uma estao para outra de forma confivel, garantindo que sejam entregues aplicao destino na sequncia correta e sem erros. (User Datagram Protocol) um protocolo no orientado conexo, bem mais simples que o TCP, que oferece um servio de datagrama no confivel, sem controle de erro, sem controle de fluxo, e sem sequenciao. O UDP apenas envia os dados, denominados datagramas UDP, de uma estao para outra, mas no garante que sejam entregues aplicao destino.

\\UDP

A tabela a seguir mostra uma comparao entre os protocolos de transporte TCP e UDP: UDP Servio sem conexo; nenhuma sesso estabelecida entre os hosts. UDP no garante ou confirma a entrega ou sequencia os dados. Os programas que usam UDP so responsveis por oferecer a confiabilidade necessria ao transporte de dados. UDP rpido, exige baixa sobrecarga e pode oferecer suporte comunicao ponto a ponto e ponto a vrios pontos. TCP
Servio orientado por conexo; uma sesso

estabelecida entre os hosts. TCP garante a entrega atravs do uso de confirmaes e entrega sequenciada dos dados. Os programas que usam TCP tm garantia de transporte confivel de dados.

Tabela 4.1 Comparao entre os protocolos de transporte UDP/TCP

TCP mais lento, exige maior sobrecarga e pode oferecer suporte apenas comunicao ponto a ponto.

Captulo 4 Redes de computadores 59

\\DNS

(Domain Name System) servio de mapeamento de nomes em endereos de rede;

Formao de suporte tcnico Proinfo

Camada de rede
A camada de rede, tambm conhecida como camada de inter-rede, responsvel pela transferncia de dados entre dispositivos da inter-rede. A unidade de dados desta camada o datagrama IP. Os principais componentes desta camada so os seguintes protocolos:
\\IP

Endereamento Identificao das redes e dos hosts dentro da rede. Cada host deve ser identificado de forma unvoca. Roteamento Transferncia da informao desde a origem at o destino atravs de uma rede. O caminho que a informao percorre a rota. Servio de Datagrama Servio de encaminhamento de pacotes no qual a rota definida dinamicamente pelos roteadores e no estabelecida uma conexo entre origem e destino Protocolos de roteamento Roteadores trocam informaes entre si sobre as rotas da rede para escolher os melhores caminhos, construindo suas tabelas de roteamento. Esta troca, que pode ser realizada de vrias formas, com diferentes algoritmos, caracteriza os protocolos de roteamento. Octetos Conjunto de 8 bits cujo valor est compreendido no intervalo entre 0 (todos os bits 0) e 255 (todos os bits 1).

(Internet Protocol) oferece um servio de datagrama no confivel entre dispositivos da inter-rede. O protocolo IP envia, recebe e roteia pacotes, denominados datagramas IP, entre as vrias estaes da inter-rede, mas no garante que os mesmos sejam entregues estao destino. Com isso, datagramas podem ser perdidos, duplicados ou chegar em sequncia diferente daquela em que foram enviados. (Internet Control Message Protocol) complementa o protocolo IP, sendo usado pelas camadas de rede das estaes para troca de mensagens de erro e outras informaes de controle essenciais. Para o envio dessas mensagens e das informaes de controle o ICMP utiliza os datagramas IP.

\\ICMP

As principais funes da camada de rede so endereamento e roteamento. O endereamento da camada de rede o endereamento lgico (por exemplo: endereos IP), enquanto que o endereamento da camada de interface de rede o endereamento fsico (por exemplo: endereo da placa de rede). A diferena bsica entre eles que o endereo lgico identifica a rede e o host dentro da rede e o endereo fsico identifica apenas o host, portanto, s pode ser usado em mbito local (por exemplo: rede local Ethernet). O roteamento consiste basicamente em escolher o melhor caminho para os pacotes da origem at o destino. Tambm deve tratar os problemas de trfego na rede que porventura ocorram, como congestionamento e perda de pacotes. As redes TCP/IP utilizam nesta camada o Servio de Datagrama. Os roteadores so os dispositivos mais tradicionais da camada de rede. Eles nada mais so do que gateways especializados na funo de roteamento. As decises de roteamento so tomadas com base em tabelas de roteamento que so construdas manualmente pelo administrador da rede (rotas estticas) ou construdas dinamicamente atravs de protocolos de roteamento, tais como RIP, OSPF e BGP, entre outros. A primeira opo se aplica a pequenas redes, enquanto a segunda mais usada em redes mdias e grandes. O endereo de rede na arquitetura TCP/IP composto de 4 octetos, onde cada octeto pode assumir valores inteiros e positivos no intervalo entre 0 e 255. Os endereos so escritos em decimal, separando os octetos por pontos (notao decimal pontuada). Por exemplo: 192.168.1.10.

60

A camada de interface de rede, tambm conhecida como camada de enlace de dados, responsvel por aceitar datagramas IP da camada de rede e transmiti-los, na rede fsica especfica, na forma de quadros (unidade de dados do protocolo desta camada). Ela compatibiliza a tecnologia da rede fsica com o protocolo IP.
Driver Mdulo de software que permite ao Figura 4 sistema operacional Pgina inicial comunicar-se com o respectivo dispositivo de hardware.

Geralmente, esta camada inclui o driver de dispositivo no sistema operacional e a respectiva placa de rede, tratando os detalhes de hardware para conexo fsica com a rede e transmisso de dados no meio fsico. Assim, podemos dizer que a camada de interface de rede basicamente suportada pela prpria tecnologia da rede fsica. Essa camada tambm usa endereamento para identificar as interfaces de rede (placa de rede, por exemplo). Esse endereo fsico, ao contrrio do endereo de rede lgico, somente tem validade local, dentro da rede fsica onde est a interface de rede, porque esse endereo identifica apenas a estao, no a rede. A funo da camada de interface de rede agrupar os bits desestruturados que chegam atravs do meio fsico em estruturas de dados chamadas quadros (frames), para efetuar a verificao de erros de transmisso eventualmente ocorridos no meio fsico. Em caso de erro, o quadro ser descartado. A correo dos erros ser feita pelas camadas superiores de protocolos. O objetivo principal tornar o meio fsico de comunicao livre de erros de transmisso. Esta camada tambm responsvel pelo controle do acesso ao meio (Media Access Control). Como o meio compartilhado, necessria a definio de algoritmos que garantam que os dispositivos sejam organizados para acessar o meio de forma no conflitante. Exemplos de protocolos de camada de enlace:
\\Redes

locais CSMA/CD (Carrier Sense Multiple Access/Collision Detection), descrito pela norma IEEE 802.3; de longa distncia PPP (Point-to-Point Protocol), descrito pelo RFC 1661.

\\Redes

Do ponto de vista da arquitetura TCP/IP, a camada de interface de rede abrange tambm a interface com o meio fsico (tambm conhecida como camada fsica), onde ocorre a especificao do meio fsico por onde o sinal ir trafegar, que pode ser:
\\Par

tranado UTP (Unshielded Twisted Pair) CAT5, CAT5E, CAT6, CAT6E; ptica monomodo, multimodo; coaxial 10Base2, 10Base5; fio (wireless) IEEE 802.11 a/b/g/n; serial sinalizao DTE/DCE.

\\Fibra \\Cabo \\Sem

\\Enlace

A figura a seguir exemplifica alguns meios de comunicao.

Captulo 4 Redes de computadores 61

Camada de enlace

Formao de suporte tcnico Proinfo

Figura 4.4 Exemplos de meios de comunicao

Encapsulamento
O processo de encapsulamento essencial para a compreenso do funcionamento da arquitetura em camadas TCP/IP. Em qualquer arquitetura em camadas, inclusive na arquitetura TCP/IP, os dados so gerados pelas aplicaes e, em seguida, descem na pilha de protocolos at serem efetivamente enviados atravs da rede fsica sob a forma de bits no-estruturados. Durante a descida na pilha de protocolos, esses dados passam por um processo denominado encapsulamento. A figura a seguir mostra o processo de encapsulamento que ocorre quando uma aplicao envia os seus dados na arquitetura TCP/IP. Conforme se pode constatar, cada camada adiciona informaes de controle aos dados recebidos da camada imediatamente superior e, em seguida, entrega os dados e o controle adicionados camada inferior. Os dados recebidos e as informaes de controle de uma camada so conjuntamente denominados unidade de dados do protocolo da camada. importante notar que a unidade de dados do protocolo de uma determinada camada encapsulada diretamente no campo de dados da camada imediatamente inferior.
Dados da aplicao Dados

Encapsulamento Tcnica utilizada pelos protocolos em camadas na qual uma camada adiciona informaes de cabealho unidade de dados de protocolo (PDU) da camada superior.

Mensagem

Cabealho

Dados

Aplicao

Figura 4.5 Encapsulamento na arquitetura TCP/IP

Segmento TCP/ Datagrama UDP

Cabealho

Dados

Transporte

Datagrama IP

Cabealho

Dados

Rede

Quadro Bits

Cabealho

Dados

Interface de rede

010011010101...

Meio de comunicao

62

\\Se

a aplicao adota o protocolo TCP, as mensagens so encapsuladas em segmentos; o protocolo TCP divide o fluxo de dados em segmentos TCP que so enviados de uma estao para outra de forma confivel, garantindo que sejam entregues aplicao destino na sequncia correta e sem erros; a aplicao adota o protocolo UDP, as mensagens so encapsuladas em datagramas UDP; o protocolo UDP apenas envia os dados, denominados datagramas UDP, de uma estao para outra, mas no garante que sejam entregues aplicao destino.

\\Se

Segmento Unidade de dados do protocolo TCP. Datagrama Unidade de dados dos protocolos UDP e IP. Porta Representao interna do sistema operacional de um ponto de comunicao para envio e recepo de dados entre a camada de aplicao e a camada de transporte. Identifica a aplicao que est usando o servio da camada de transporte. Desencapsulamento Tcnica utilizada pelos protocolos quando uma camada remove informaes de cabealho da unidade de dados de protocolo (PDU) da camada inferior.

Os dois protocolos de transporte, TCP e UDP, transportam suas unidades de dados (segmentos e datagramas) usando o protocolo IP. Dessa forma, segmentos TCP e datagramas UDP so igualmente encapsulados no campo de dados de datagramas IP. Por fim, datagramas IP so encapsulados em quadros da rede fsica, para serem efetivamente transmitidos sob a forma de um fluxo de bits no-estruturados. Na prtica, o protocolo IP utilizado pelos protocolos ICMP, TCP e UDP. Assim, cada datagrama IP deve utilizar algum identificador no cabealho para indicar o protocolo que est sendo encapsulado no campo de dados. Essa identificao realizada usando um campo do cabealho do datagrama IP, denominado protocol (protocolo), que contm os valores 1, 6 e 17 para sinalizar que os dados transportados pertencem aos protocolos ICMP, TCP e UDP, respectivamente. Da mesma forma, diferentes aplicaes podem utilizar os protocolos TCP e UDP como mecanismos de transporte. Para isso, cada segmento TCP e cada datagrama UDP devem utilizar algum identificador no cabealho para indicar a aplicao que est sendo encapsulada no campo de dados. Essa identificao realizada usando o conceito de porta, um nmero inteiro associado a cada programa de aplicao especfico. Os cabealhos de segmentos TCP e datagramas UDP possuem campos que identificam as portas das aplicaes que esto transferindo dados. Na recepo, ocorre o processo inverso ao encapsulamento, tambm chamado de desencapsulamento. Alguns autores denominam esse processo inverso de demultiplexao. Conforme a figura seguinte, cada unidade de dados sobe na pilha de protocolos at que os dados sejam efetivamente entregues ao programa de aplicao. Cada camada trata as suas informaes de controle, realizando funes especficas de acordo com a informao contida no cabealho. Em seguida, o cabealho da unidade de dados removido e apenas o campo de dados entregue camada imediatamente superior. Consequentemente, o campo de dados de uma determinada camada representa a unidade de dados (cabealho + dados propriamente ditos) da camada imediatamente superior.
63

Captulo 4 Redes de computadores

Na arquitetura TCP/IP, o processo de encapsulamento comea com a entrega dos dados a serem transmitidos para a entidade da camada de aplicao, que, por sua vez, monta mensagens do protocolo especfico da aplicao. Tais mensagens so entregues camada de transporte. Cada aplicao decide qual mecanismo de transporte deve utilizar:

Formao de suporte tcnico Proinfo

Dados

Mensagem Mensagem

Aplicao

Figura 4.6 Desencapsulamento na arquitetura TCP/IP

Segmento TCP / Datagrama UDP

Transporte

Datagrama IP

Rede

Quadro

Interface de rede

O processo de desencapsulamento comea com a recepo dos bits do meio de comunicao atravs da interface fsica de rede. O fluxo de bits que chega noestruturado e deve ser agrupado sob a forma de um quadro da camada de enlace. A camada de interface de rede realiza o tratamento adequado do quadro, efetuando, por exemplo, a deteco de erros de transmisso. Assim, aps realizar suas funes, a camada de interface de rede entrega diretamente ao protocolo IP o respectivo datagrama. Caso a estao em questo seja o destino final do datagrama, o protocolo IP entrega o contedo do campo de dados do datagrama camada de transporte ou ao protocolo ICMP. Para tal, o campo protocol (protocolo) do datagrama avaliado para identificar se o contedo uma mensagem ICMP, um segmento TCP ou um datagrama UDP, para ento realizar a entrega ao protocolo correspondente (ICMP, TCP ou UDP, respectivamente). Por fim, baseados nos campos do cabealho que identificam as portas das aplicaes que esto transferindo os dados pela rede, os protocolos TCP e UDP extraem a mensagem encapsulada e entregam diretamente ao programa de aplicao destino. J no caso de uma mensagem ICMP, a unidade de dados j atingiu o destino final e, assim, no sobe mais na pilha de protocolos. O processo de desencapsulamento ocorre tanto na estao destino quanto nos vrios roteadores intermedirios. No entanto, como os datagramas IP devem ser encaminhados adiante nos roteadores intermedirios, a unidade de dados encapsulada no datagrama IP no sobe na pilha de protocolos. Em vez disso, o datagrama IP passa por um novo processo de encapsulamento. Em conjunto, os processos de encapsulamento e desencapsulamento asseguram a correta comunicao entre entidades pares de uma dada camada, ou seja, a entidade destino sempre recebe uma cpia idntica da unidade de dados enviada pela entidade origem.

64

Resumo
\\Os

protocolos das vrias camadas so responsveis pela montagem, envio, recepo e processamento de unidades de dados de suas respectivas camadas. Por exemplo, o protocolo IP monta datagramas e solicita que sejam enviados camada de interface de rede. Alm disso, recebe e processa os datagramas IP extrados pela camada de interface de rede. o envio de datagramas IP, cada datagrama pode ser roteado diretamente para a estao destino ou para algum roteador intermedirio. Por outro lado, na recepo de datagramas IP, se a estao for o destino, o datagrama recebido localmente repassado camada de transporte. Caso contrrio, o datagrama recebido roteado para a estao destino ou para outro roteador intermedirio. camadas de aplicao e transporte sempre usam protocolos fim-a-fim. Ou seja, tais protocolos transportam unidades de dados diretamente entre as estaes origem e destino. Portanto, apenas os Hosts A e B apresentam as camadas de aplicao e transporte. camadas inter-rede e interface de rede adotam protocolos que permitem a troca de unidades de dados apenas entre equipamentos conectados a uma mesma rede fsica. Dessa forma, as camadas inter-rede e interface de rede esto presentes nas estaes de origem e destino e nos vrios roteadores intermedirios. fato de conectar diversas redes fsicas, cada roteador pode possuir vrias implementaes da camada de interface de rede, cada uma delas especfica para um determinado tipo de rede fsica; por exemplo, uma conexo a uma rede local atravs de uma interface Fast Ethernet, e uma conexo de longa distncia atravs de uma interface serial. Entretanto, roteadores possuem apenas uma nica implementao da camada de rede, porque o protocolo IP adotado em toda a inter-rede para garantir a interoperabilidade dos vrios dispositivos.

\\Durante

\\As

\\As

\\Pelo

Atividade: Capturando pacotes na rede


Para exemplificar a interao dos protocolos e o processo de encapsulamento, vamos analisar um quadro capturado numa rede local Ethernet, durante uma sesso de um host com um servidor web que usa o protocolo HTTP de aplicao e o protocolo TCP de transporte. Neste caso, ambos esto na mesma rede local. O programa utilizado para isso o analisador de rede Wireshark. Usando o Wireshark:
\\Determine \\Determine

o tamanho do cabealho do protocolo IP;

o tamanho do cabealho do protocolo TCP e o tamanho dos dados da aplicao; faa uma verificao do tamanho total do quadro, somando todos os campos. O Wireshark pode ser obtido em www.wireshark.org

\\Finalmente,

Captulo 4 Redes de computadores 65

Formao de suporte tcnico Proinfo

Soluo
A figura a seguir mostra a tela principal do Wireshark. Na parte superior esto os menus suspensos e logo abaixo a barra de ferramentas. Para abrir o arquivo de captura chamado Atividade1.cap utilizamos o cone da barra de ferramentas que representa uma pasta (sexto da esquerda para a direita). Para esta anlise selecionamos o pacote no 258, que foi enviado do servidor web para o host do usurio. Figura 4.7 Quadro capturado em rede local Ethernet (parte 1)

Na janela inferior temos o contedo total do pacote (132 bytes) representado na forma hexadecimal (do endereo x0000 at o endereo x0083). Cada linha representa 16 bytes e a ltima linha tem 4 bytes (8 linhas x 16 = 128 + 4 = 132 bytes). Na janela imediatamente acima esto representadas as diversas camadas de protocolos, a saber:
\\Camada

fsica Frame 258 (132 bytes on wire, 132 bytes captured); identifica o quadro no arquivo e informa a quantidade de bytes total; de enlace de dados Ethernet II, Src: 00:17:9a:f8:4c:6b (00:17:9a:f8:4c:6b), Dst: AcerNetx_01:d3:06 (00:60:67:01:03:06); identifica os endereos fsicos de origem e destino do quadro (neste ltimo identifica o fabricante da placa de rede pelos 3 primeiros octetos); de rede Internet Protocol, Src: 192.168.0.1 (192.168.0.1), Dst: 192.168.0.199 (192.168.0.199); identifica os endereos de rede IP de origem e destino; de transporte Transmission Control Protocol, Src Port: http (80), Dst Port: 2223 (2223), Seq: 1, Ack: 305, Len: 78; identifica o protocolo TCP e as respectivas portas TCP que identificam as aplicaes de cada lado.

\\Camada

\\Camada

\\Camada

Cada camada, quando selecionada, faz com que os bytes correspondentes fiquem destacados na janela inferior. A figura a seguir mostra o cabealho da camada de enlace de dados com o tamanho de 14 bytes. Se tivssemos selecionado a camada fsica, todo o quadro estaria em destaque (132 bytes). As prximas figuras mostram em destaque os dados das camadas de rede, transporte e aplicao, respectivamente.

66

Figura 4.8 Quadro capturado em rede local Ethernet (parte 2)

Na figura a seguir esto destacados os bytes do cabealho do protocolo TCP (20 bytes). Figura 4.9 Quadro capturado em rede local Ethernet (parte 3)

Finalmente, na prxima figura aparecem em destaque os bytes dos dados da aplicao. Note que esses dados tm o tamanho de 78 bytes, conforme informado pelo programa Wireshark, linha da camada de transporte, ltimo campo informado (Len: 78). Observe que, como o protocolo TCP o nico que faz a interface com a aplicao, somente ele poderia saber o tamanho do campo de dados da aplicao. Figura 4.10 Quadro capturado em rede local Ethernet (parte 4)

Captulo 4 Redes de computadores 67

Na figura a seguir esto destacados os bytes do cabealho do protocolo IP (20 bytes).

Formao de suporte tcnico Proinfo

Verificao final do tamanho total do quadro:


\\14

bytes (cabealho Ethernet) + 20 bytes (cabealho IP) + 20 bytes (cabealho TCP) + 78 bytes (dados da aplicao) = 132 bytes.

Para executar uma captura on-line necessrio iniciar o Wireshark em modo root, seguindo o procedimento descrito a seguir:
\\Aperte

as teclas Alt+F2 e na tela aberta pelo Linux Educacional digite Wireshark. Clique em Opes, e em seguida em Executar como um usurio diferente; escolha o Nome de usurio como root (se j no estiver selecionado) e a senha correspondente, conforme mostra a figura a seguir: Figura 4.11 Execuo do Wireshark em modo root

Clique em Executar. O Wireshark ser iniciado em modo root. Para escolher uma interface de captura, clique no primeiro cone esquerda na barra de tarefas do Wireshark. Dever ser mostrada uma tela semelhante da figura a seguir, onde deve ser selecionada a interface desejada. Figura 4.12 Interfaces de captura do Wireshark

Clique em Start para que a captura seja iniciada automaticamente. Basta fazer um acesso qualquer internet e depois clicar no quarto cone (da esquerda para a direita) da barra de ferramentas, conforme a figura 4.7, para encerrar a captura e examinar os pacotes capturados.

68

5
Endereamento IP
Endereo IP Nmero inteiro de 32 bits utilizado para identificar individualmente cada dispositivo de uma inter-rede TCP/IP. Notao decimal pontuada Representao de um endereo IP na forma de quatro nmeros decimais separados por pontos.

Os usurios veem a internet como uma rede virtual nica qual todos os dispositivos esto conectados. Para possibilitar essa conexo, um mecanismo de endereamento universal deve ser adotado, permitindo a identificao individual e nica de cada dispositivo. Em redes TCP/IP, essa identificao realizada por meio de endereos IP, tambm denominados endereos internet. Endereos IP so nmeros inteiros positivos de 32 bits. Portanto, existe um total de 232 endereos possveis. Para facilitar a manipulao, os endereos IP so normalmente escritos com uma notao decimal pontuada (dotted-decimal notation). Cada nmero decimal est associado a um determinado byte do endereo e, portanto, varia entre 0 e 255. A figura a seguir apresenta as notaes binria e decimal do endereo IP: 192.168.10.1.
0 31 11000000 192 10101000 168 00001010 10 00000001 1

Figura 5.1 Notao de endereos IP

Endereos IP no so atribudos diretamente s estaes e roteadores, mas s interfaces de rede desses dispositivos. Dessa forma, cada interface de estaes e roteadores deve possuir um endereo IP nico. fcil, portanto, concluir que estaes multihomed e roteadores possuem mltiplos endereos IP. Em vez de utilizar uma numerao puramente sequencial, os endereos IP adotam uma estrutura hierrquica que identifica as redes fsicas e as estaes (interfaces) nessas redes. A razo dessa estruturao hierrquica realizar o roteamento baseado em redes, em vez de estaes. Essa abordagem reduz sensivelmente a quantidade de informaes do roteamento e o torna mais eficiente. Para representar essa hierarquia, todo endereo IP dividido em duas partes:

Roteamento baseado em redes As informaes de roteamento apontam para as redes, e no para as estaes individuais.

69

Formao de suporte tcnico Proinfo

\\Identificador

de rede poro do endereo IP que identifica a rede de forma nica e individual, sendo comumente denominado prefixo de rede. de estao identifica a estao (interface) dentro da rede, de forma nica e individual. Figura 5.2 Estrutura hierrquica de endereos IP

\\Identificador

A figura a seguir ilustra a estrutura hierrquica dos endereos IP:


0 Identificador de rede Identificador de estao 31

Na atribuio de endereos s interfaces de estaes e roteadores, as seguintes regras devem ser seguidas:
\\Diferentes \\Um

prefixos de rede devem ser adotados para diferentes redes fsicas;

nico prefixo de rede deve ser compartilhado pelas interfaces conectadas a uma mesma rede fsica; nico identificador de estao deve ser atribudo a cada interface conectada a uma determinada rede fsica.

\\Um

Por exemplo, observe na figura a seguir que todas as interfaces conectadas s redes Rede1 e Rede2 compartilham prefixos de redes que identificam suas respectivas redes fsicas. Isso significa que as estaes (E1 e E2) e o roteador (R1) compartilham o prefixo 192.168.1 da Rede1, enquanto as estaes (E3 e E4) e o roteador (R1) compartilham o prefixo 200.10.1 da Rede2. Figura 5.3 Endereos de interfaces

E1

E3

192.168.10.1

200.10.1.1

1
E2

192.168.10.3

200.10.1.3

R1
192.168.10.2 200.10.1.2

E4

Interfaces conectadas a diferentes redes fsicas podem possuir os mesmos identificadores de estao, pois seus prefixos de rede so diferentes e asseguram a unicidade de endereos. Por exemplo, na Rede1, as estaes (E1 e E2) e o roteador (R1) possuem os identificadores de estao 1, 2 e 3, respectivamente. J na Rede2, as estaes (E3 e E4) e o roteador (R1) possuem, tambm, os identificadores de estao 1, 2 e 3, respectivamente, mas os prefixos de rede so diferentes.

70

Classes de endereos IP
Classe de endereo a categoria de um endereo IP. Define onde termina o prefixo de rede e comea o identificador de estao.

Para acomodar redes fsicas de diferentes tamanhos, o espao de endereos IP dividido em cinco classes de endereos, denominadas classes A, B, C, D e E. Cada classe adota uma posio diferente para delimitar o prefixo de rede e o identificador de estao. A prxima figura ilustra as classes de endereos IP, cuja distino realizada por um cdigo fixo associado a cada classe nos primeiros bits do byte mais significativo (chamada regra do primeiro octeto). No lado direito da figura, o espao de endereos de cada classe apresentado. As redes que usam esse esquema padro de endereamento possuem uma arquitetura de endereamento classful, enquanto as que usam esquemas diferentes tm arquitetura de endereamento classless.
0 1 Classe A Classe B 0 01 10 012 Classe C Classe D Classe E 110 0123 1110 0123 1111 4 31 4 31 3 23 24 31 2 15 16 31 7 8 31 0.0.0.0 127.255.255.255 128.0.0.0 191.255.255.255 192.0.0.0 223.255.255.255 224.0.0.0 239.255.255.255 240.0.0.0 255.255.255.255

Figura 5.4 Classes de endereos IP

Arquitetura de endereamento classful Esquema de endereamento que utiliza o conceito de classes de endereos A, B e C. Permite a adoo do esquema de endereamento de sub-redes, porm no permite o esquema de endereamento de super-redes.

\\Endereos

classe A os 8 primeiros bits identificam a rede e os outros 24 bits identificam a estao. Assim, podemos concluir que o total de redes classe A 27 (primeiro bit do prefixo de rede sempre igual a 0), com at 224 estaes em cada rede; classe B os 16 primeiros bits representam o prefixo de rede e os outros 16 bits representam o identificador da estao. Nesse caso, o total de redes classe B 214 (dois primeiros bits do prefixo de rede fixados em 10), com at 216 estaes em cada rede; classe C possuem 24 bits que identificam a rede e apenas 8 bits que identificam a estao. Assim, a quantidade de redes classe C , no mximo, de 221 (trs primeiros bits do prefixo de rede fixados em 110), com at 28 estaes em cada rede; classe D usados para suportar endereamento multicast, em que cada endereo associado a um grupo de estaes. Neste caso, pacotes destinados a um determinado endereo multicast so entregues s estaes que pertencem ao respectivo grupo. O conjunto composto pelos 28 bits de um endereo classe D denominado identificador de grupo multicast. Ao contrrio das classes A, B e C, que so ditas unicast, endereos multicast no possuem qualquer estruturao. Na prtica, endereamento multicast pode ser explorado

\\Endereos

Arquitetura de endereamento classless Esquema de endereamento que no utiliza o conceito de classes de endereos. Permite a adoo do endereamento de super-redes, como tambm o endereamento de sub-redes.

\\Endereos

\\Endereos

Captulo 5 Endereamento IP 71

Formao de suporte tcnico Proinfo

por aplicaes interativas de grupo, como por exemplo videoconferncia, ou como mecanismo para identificar servios em uma rede;
\\Endereos

classe E No so utilizados na prtica, sendo reservados para uso experimental.

Observe que as classes A, B e C permitem a configurao de um variado nmero de redes com diferentes tamanhos:
\\Endereos

classe A suportam poucas redes, mas cada uma delas pode ser gigantesca; classe B suportam um nmero mediano de redes, com tamanho tambm mediano; classe C suportam um grande nmero de pequenas redes.

\\Endereos

\\Endereos

Considerando um endereo classe A, B ou C, para cada prefixo de rede, o espao de endereamento abrange os endereos possveis que podem ser expressos por meio da variao do identificador da estao, conforme exemplificado na tabela abaixo: Prefixo de rede 10 172.16 192.168.10 Classe A B C Endereos possveis de 10.0.0.0 at 10.255.255.255 de 172.16.0.0 at 172.16.255.255 de 192.168.10.0 at 192.168.10.255 Tabela 5.1 Exemplos de endereos por classe

Endereos especiais
Considerando o espao de endereamento das classes A, B e C, vrios desses endereos so reservados para determinadas finalidades: identificao de rede, broadcast, endereos privados, identificao de rota default, loopback.

Endereos de rede e broadcast


Alm de serem utilizados para identificar estaes (interfaces de estaes e roteadores) de uma rede, os endereos IP servem para referenciar as prprias redes. Por isso, por conveno, qualquer endereo classe A, B ou C, cujo identificador de estao possua todos os bits iguais a 0, reservado para enderear a prpria rede, denominando-se, ento, endereo de rede. Assim, o identificador de estao com todos os bits iguais a 0 nunca atribudo a uma interface, conforme exemplificado na tabela seguinte: Classe A B C Prefixo de rede 10 172.16 192.168.10 Endereo de rede 10.0.0.0 172.16.0.0 192.168.10.0 Tabela 5.2 Exemplos de endereos de rede
Endereo de rede Endereo IP especial cujo identificador de estao possui todos os bits iguais a 0.

72

Broadcast Tcnica que permite a entrega de cpias de um mesmo pacote a todas as estaes de uma determinada rede. Broadcast direto Mecanismo que permite o envio de datagramas IP para todas as estaes (interfaces de estaes e roteadores) de uma determinada rede a partir de qualquer estao da interrede TCP/IP. Endereo de broadcast direto Endereo IP especial cujo identificador de estao possui todos os bits iguais a 1.

Uma vez que cada rede fsica possui um endereo de rede particular, o endereamento IP adota o conceito de broadcast direto. Para suportar o conceito de broadcast direto, o endereamento IP reserva um endereo especial em cada rede. Por conveno, qualquer endereo classe A, B, ou C, cujo identificador de estao possua todos os bits iguais a 1, reservado para representar o endereo de broadcast direto. Assim, o identificador de estao com todos os bits iguais a 1 nunca deve ser atribudo a uma interface, conforme exemplificado na prxima tabela. Classe A B C Endereo de rede 10.0.0.0 172.16.0.0 192.168.10.0 Endereo de broadcast direto 10.255.255.255 172.16.255.255 192.168.10.255

Desta forma, um endereo IP que contenha todos os bits do identificador de estao com valor 0 ou valor 1 no pode ser usado para identificar uma interface de rede. Essa regra chamada all bits 0 and 1 (todos os bits zeros e uns). Ao contrrio de endereos de rede, que nunca so usados diretamente nos datagramas IP, endereos de broadcast direto podem ser usados em datagramas, permitindo ao roteador de entrada da rede destino realizar o broadcast do datagrama naquela rede. Considerando as faixas de endereos das classes A, B e C, os endereos usveis so todos aqueles que podem ser atribudos s interfaces de estaes e roteadores. Portanto, todos os endereos so usveis, exceto o primeiro (endereo de rede) e o ltimo (endereo de broadcast direto). A tabela seguinte ilustra exemplos de endereos usveis para as classes A, B e C. Classe A B C Prefixo de rede 10 172.16 192.168.10 Endereo de rede 10.0.0.0 176.16.0.0 192.168.10.0 Broadcast direto 10.255.255.255 172.16.255.255 192.168.10.255 Endereo de estaes 10.0.0.1 a 10.255.255.254 172.16.0.1 a 172.16.255.254 192.168.10.1 a 192.168.10.254

Tabela 5.3 Exemplos de endereos de broadcast direto

Tabela 5.4 Exemplos de endereos de rede, broadcast direto e endereos de estaes

Captulo 5 Endereamento IP 73

Endereos de rede nunca so usados diretamente nos datagramas IP. Entretanto, como o roteamento na arquitetura TCP/IP baseado em redes, em vez de estaes, os endereos de rede so largamente adotados para manter as informaes de roteamento que apontam para as respectivas redes.

Formao de suporte tcnico Proinfo

Interface e endereo de loopback


Para viabilizar um mecanismo de teste local de protocolos e servios, o conceito de interface de loopback suportado por diversas implementaes. O endereo de rede classe A 127.0.0.0 reservado para a interface de loopback e, portanto, no pode ser usado para uma rede. Na prtica, geralmente, apenas o endereo 127.0.0.1 usado para identificar essa interface. Assim, qualquer datagrama IP destinado ao endereo 127.0.0.1 no efetivamente enviado na rede fsica, mas retorna para a prpria estao (como se fosse um loop local). Note que a interface de loopback no uma interface fsica, mas uma interface virtual. Consequentemente impossvel enviar um datagrama IP para o endereo de loopback de outra estao.

Interface de loopback Interface virtual que referencia a prpria estao. Endereo de loopback Endereo IP reservado (127.0.0.0) utilizado para referenciar a interface de loopback.

Mscaras de rede
As classes de endereos adotam diferentes posies para delimitar o prefixo de rede e o identificador de estao. Alm dos primeiros bits do prefixo de rede, o endereamento IP adota o conceito de mscara de rede para permitir que cada estao conhea o nmero de bits que identifica a rede fsica e a estao. A prxima figura ilustra a estrutura de uma mscara de rede:
0 1111 . . . 1111 0000 . . . 0000 31

Mscara de rede Padro de 32 bits que contm bits 1 na posio do prefixo de rede e bits 0 na posio do identificador de estao.

Figura 5.5 Mscara de rede

Para facilitar a manipulao, mscaras de rede podem ser escritas por meio do uso da notao decimal (dotted-decimal notation) ou contagem de bits (bit count):
\\Na

notao decimal, de forma similar ao endereo IP, a mscara representada por quatro nmeros decimais, separados por pontos. Cada nmero decimal est associado a um determinado byte da mscara e, portanto, varia entre 0 e 255; notao de contagem de bits, a mscara simplesmente representada por um nmero inteiro, precedido por uma barra (/) que indica a quantidade de bits 1 que compem a mscara.

\\Na

Assim, o endereo IP 192.168.10.1 com mscara de rede 255.255.255.0 pode ser representado por 192.168.10.1/24. Considerando que os endereos de rede classe A, B e C possuem 8, 16 e 24 bits no prefixo de rede, as mscaras 255.0.0.0 (/8), 255.255.0.0 (/16) e 255.255.255.0 (/24) so denominadas mscaras default para essas classes de endereos, respectivamente. A figura a seguir exemplifica um endereo IP classe B (172.16.122.204) e sua mscara de rede (255.255.0.0 ou /16). Note a diviso entre os octetos de rede (os 2 primeiros) e os octetos de host (os 2 ltimos).

74

Figura 5.6 Exemplo de mscara de rede de uma rede classe B

Endereo 172.16.122.204
172 16 122 204

Endereo Binrio

10101100

00010000

01111010

11001100

255

255

Mscara Binrio

11111111
Rede

11111111

00000000
Host

00000000

255.255.0.0 Mscara

A tabela seguinte mostra exemplos de endereos IP das classes A, B e C e suas respectivas mscaras de rede. Tabela 5.5 Exemplos de endereos IP Endereo de rede 10.2.1.1 128.63.2.10 201.222.5.64 192.6.141.2 130.13.64.16 201.10.256.21 Mscara de rede 255.0.0.0 255.255.0.0 255.255.255.0 255.255.255.0 255.255.0.0 Classe A B C C B Endereo de rede 10.0.0.0 128.63.0.0 201.222.5.0 192.6.141.0 130.13.0.0 Endereo de estaes 0.2.1.1 0.0.2.10 0.0.0.64 0.0.0.2 0.0.64.16

invlido no existente

Encaminhamento de pacotes IP
Estaes conectadas mesma rede fsica podem se comunicar diretamente. No entanto, estaes conectadas a redes fsicas diferentes devem enviar os datagramas IP por meio de roteadores intermedirios. Dessa forma, a arquitetura TCP/IP suporta dois tipos de entrega de datagramas: entrega direta e entrega indireta.

Entrega direta
Ocorre quando as estaes de origem e destino esto conectadas na mesma rede fsica. Para exemplificar a entrega direta, considere duas estaes conectadas ao mesmo segmento de rede fsica Ethernet, conforme mostrado na prxima figura. A estao Host A tem endereo IP: 192.168.1.103 e a estao Host B tem endereo IP: 192.168.1.1, sendo que a mscara de rede de ambas 255.255.255.0 (/24); portanto, elas esto na mesma rede IP.

Captulo 5 Endereamento IP 75

Formao de suporte tcnico Proinfo

Preciso do endereo fsico de 192.168.1.1


Host A

Sou eu. Aqui vai meu endereo fsico.


Host B

Figura 5.7 Exemplo de entrega direta

192.168.1.103 00:1d:7e:9b:c3:11

192.168.1.1 00:1d:7e:c9:29:e6

IP: 192.168.1.1 Fsico=??

IP: 192.168.1.103 Fsico=00:1d:7e:c9:29:e6

Suponha que a estao Host A deseja enviar um datagrama IP para a estao Host B. Nesse caso, o datagrama ir transportar os endereos IP das estaes de origem (192.168.1.103) e destino (192.168.1.1). Mas surge um problema: a estao Host A no sabe o endereo fsico da estao Host B. Ela precisa desse endereo fsico para entregar o quadro diretamente. Para obter o endereo fsico do Host B, ela precisa usar o protocolo ARP (Address Resolution Protocol) que permite a qualquer estao da rede fazer uma consulta como a mostrada na figura anterior. Essa consulta chamada de ARP Broadcast ou ARP Request e usa um quadro da rede fsica. Somente a estao com o endereo IP: 192.168.1.1 responder; as demais estaes iro ignorar esse broadcast. Nesta resposta chamada ARP Reply, que no broadcast, o Host B informa seu endereo fsico para que o Host A possa encapsular o datagrama IP no quadro da rede fsica e, ento, efetivamente transmiti-lo.

Protocolo ARP Protocolo de camada de enlace utilizado na arquitetura TCP/IP para resolver o mapeamento de endereos de rede IP em endereos fsicos da camada de interface de rede.

Atividade: Capturando pacotes ARP


Para demonstrar o funcionamento do protocolo ARP, usaremos o arquivo de captura de pacotes Atividade2.cap e o software Wireshark para mostrar os detalhes dos pacotes. Analise o quadro 1, camada de enlace de dados, quanto aos seguintes aspectos:
\\ \\

O endereo fsico de origem e o endereo fsico de destino; Os dados enviados pelo protocolo ARP.

Analise o quadro 3, camada de enlace de dados, quanto aos seguintes aspectos:


\\ \\

O endereo fsico de origem e o endereo fsico de destino; Os dados enviados pelo protocolo ARP.

76

Soluo
Podemos ver o primeiro pacote ARP enviado pelo Host A (endereo IP: 192.168.1.103, endereo fsico: 00:13:f7:7f:2e:ef) para o Host B, no qual ele pergunta para toda a rede (ARP broadcast) quem tem o endereo IP: 192.168.1.1. Quem tiver esse endereo IP, por favor informe seu endereo fsico. Esse quadro est mostrado em detalhes na prxima figura, onde foi selecionado o quadro 1 e a camada de enlace de dados. Figura 5.8 Quadro ARP Request

Algumas observaes importantes:


\\O

endereo fsico de origem (00:13:f7:7f:2e:ef) o do Host A e o endereo fsico de destino o endereo de broadcast da rede fsica (no caso, a rede Ethernet), que padronizado: ff:ff:ff:ff:ff:ff;

\\Os

dados enviados pelo protocolo ARP so os dados necessrios para identificar o destinatrio (o Host B que tem o endereo IP: 192.168.1.1), indicando tambm o tamanho do endereo IP (Protocol size = 4 octetos), o tamanho do endereo fsico (Hardware size = 6 octetos), o cdigo da operao (ARP Request) e se identificando como remetente desta mensagem.

A figura a seguir mostra a resposta do Host B (endereo IP: 192.168.1.1, endereo fsico: 00:1d:7e:c9:29:e6), usando um quadro ARP Reply. Algumas observaes importantes:
\\O

endereo fsico de origem (00:1d:7e:c9:29:e6) o do Host B e o endereo fsico de destino o endereo do Host A (00:13:f7:7f:2e:ef), portanto, uma resposta unicast;
77

Captulo 5 Endereamento IP

Note tambm que o Wireshark s mostra a camada fsica, a camada de enlace e o protocolo ARP, porque ainda no foi enviado nenhum datagrama IP. Quando o Host A aprender o endereo fsico do Host B atravs do protocolo ARP, o Host A colocar essa informao numa tabela chamada tabela ARP, que nada mais do que o mapeamento dos endereos IP das estaes e seus respectivos endereos fsicos. Mais adiante veremos como examinar essa tabela.

Formao de suporte tcnico Proinfo

\\Os

dados enviados pelo protocolo ARP so os dados necessrios para identificar o destinatrio e o remetente. Figura 5.9 Quadro ARP Reply

Note tambm que o Wireshark s mostra a camada fsica, a camada de enlace e o protocolo ARP, porque ainda no foi enviado nenhum datagrama IP. Quando o Host A aprender o endereo fsico do Host B atravs do protocolo ARP, o Host A colocar essa informao numa tabela chamada tabela ARP, que nada mais do que o mapeamento dos endereos IP das estaes e seus respectivos endereos fsicos. Mais adiante veremos como examinar essa tabela.

Comando ping
Para testar se um determinado destino est operacional e pode ser alcanado atravs da rede, o comando ping envia mensagens ICMP Echo Request para o destino especificado. Aps receber um Echo Request, o destino retorna uma mensagem ICMP Echo Reply. Se a resposta no for recebida, a estao origem pode concluir que o destino no est operacional ou no pode ser alcanado atravs da rede. Nesse processo, o ping calcula o tempo de resposta (round-trip), dando uma ideia da proximidade daquele destino. Este comando serve para verificar a conectividade entre origem e destino, no importando se ambos esto na mesma rede ou no. usado o protocolo ICMP (Internet Control Message Protocol) RFC 792. Este protocolo utiliza o datagrama IP para enviar suas mensagens, que so basicamente de dois tipos:
\\Solicitao \\Erro

Comando ping Testa se um determinado destino est operacional e pode ser alcanado atravs da rede.

tempo, mscara, rotas ou eco;

destino inatingvel (port, host ou rede), TTL=0 em trnsito etc.

A origem envia um pacote Echo Request (mensagem ICMP tipo 8) e o destino responde com Echo Reply (mensagem ICMP tipo 0). A origem calcula o tempo total de ida e volta (round-trip) e imprime uma linha com os resultados. Se o destino no existir, emitir uma mensagem de erro ICMP. A figura a seguir ilustra esse processo:

78

Echo Request ICMP Tipo 8 Echo Reply ICMP Tipo 0

Origem

Destino

Para examinar o funcionamento desse processo, vamos usar o analisador de protocolo Wireshark, com o arquivo de captura Atividade2.cap, mostrado na figura a seguir: Figura 5.11 Arquivo de captura dos pacotes do comando ping

Os quadros 4 a 10 mostram todo o processo de troca de mensagens ICMP entre origem e destino. No nosso exemplo as estaes envolvidas tm os endereos IP: 192.168.1.103 (origem dos pings) e 192.168.1.1 (destino dos pings). Observe que o Wireshark mostra no segundo quadro (detalhamento das camadas de protocolos), 4 camadas: fsica, enlace de dados (rede local Ethernet), rede (datagrama IP) e ICMP, que est usando os datagramas IP para transporte das suas mensagens. Nesse exemplo, ambas as estaes esto na mesma rede. O que acontece se as estaes de origem e destino no estiverem na mesma rede?

Entrega indireta
Ocorre quando as estaes de origem e destino esto conectadas a redes fsicas distintas. Ela pode ser representada como uma sequncia de entregas diretas. Inicialmente, a estao de origem entrega o datagrama a um roteador intermedirio que, por sua vez, entrega a outro roteador intermedirio e assim por diante, at que o ltimo roteador do caminho entrega o datagrama estao destino. Para exemplificar a entrega indireta, considere duas estaes E1 e E4, conectadas a redes fsicas distintas por meio de um roteador R1, conforme mostrado na figura a seguir. Suponha que a estao E1 deseja enviar um datagrama IP para a estao E4.

Captulo 5 Endereamento IP 79

Figura 5.10 Comando ping

Formao de suporte tcnico Proinfo

200.10.16.1

200.10.16.2

150.10.1.1

150.10.1.2

E1

E2

R1
200.10.16.3 150.10.1.3

E3

E4

Figura 5.12 Exemplo de entrega indireta

IP: 150.10.1.2 Fsico=R1

IP: 150.10.1.2 Fsico=E4

Nesse caso, o datagrama sempre transporta os endereos IP das estaes de origem (200.10.16.1) e destino (150.10.1.2). A estao E1 deve encaminhar o datagrama para o roteador R1, cujo endereo IP 200.10.16.3. Se o endereo fsico do roteador R1 no estiver na tabela ARP de E1, ela ativa o protocolo ARP para obter esse endereo, como no exemplo anterior de entrega direta. Em seguida, o datagrama IP encapsulado no quadro da rede fsica (onde est E1) e efetivamente transmitido. O quadro transporta os endereos fsicos da estao de origem (E1) e do roteador R1. Aps receber o datagrama, o roteador pode entreg-lo estao de destino. Assim, R1 ativa, se necessrio, o protocolo ARP para mapear o endereo IP (150.10.1.2) da estao de destino para o seu respectivo endereo fsico. Por fim, o datagrama IP encapsulado no quadro da rede fsica onde est E4 e efetivamente transmitido. Nesse caso, o quadro transporta os endereos fsicos do roteador R1 e da estao de destino (E4).

Atividade: Usando simulador de rede


Em preparao para a realizao desta atividade, voc deve instalar o software NetSimk para simulao de redes.

Para fazer o download do software NetSimk, siga os seguintes passos: 1. Abra o navegador do Linux Educacional; 2. Acesse o site: www.netsimk.com; 3. Clique em Download Netsimk; 4. Selecione o Desktop como destino do download; 5. Aps o download, feche o navegador, aponte para o cone do NetSimk e clique com o boto direito do mouse; 6. Selecione a linha do Netsimk.exe e mande extrair para o Desktop; 7. Aps a extrao, clique duas vezes no cone do NetSimk para executar. Note que, apesar de ser um software desenvolvido para Windows, ele funciona perfeitamente sob o Linux Educacional, graas ao software wine j instalado.

80

Figura 5.13 Exemplo de entrega indireta usando uma rede simulada

Rede 1 200.10.16.0/24 200.10.16.3 150.10.1.3

Rede 2 150.10.1.0/24

3 1 2 1

E0 R1

E1

3 1 2

E1

E2

E3

E4

200.10.16.1

200.10.16.2

150.10.1.1

150.10.1.2

A rede est configurada no arquivo Rede_Atividade3.nsw. A estao E1, ao enviar um pacote para a estao E2, por exemplo, far uma entrega direta, porque ambas esto na mesma rede; portanto, no ter a necessidade de entregar via roteador (gateway padro). Por outro lado, ao enviar um pacote para a estao E4, por exemplo, ter que fazer uma entrega indireta via roteador, e este far a entrega direta do pacote estao E4. Aproveitando este exemplo, mostraremos tambm como a tabela ARP da estao E1 atualizada e as mensagens ARP que sero enviadas por ela. Siga o seguinte roteiro: 1. 2. 3. 4. 5. Verifique se a tabela ARP da estao E1 est vazia, usando o comando arp -a. Na estao E1, execute o comando ping 200.10.16.2, que fora o envio de pacotes IP para a estao E2. Verifique novamente a tabela ARP da estao E1. Nesse caso, a estao E1 fez uma entrega direta. Na estao E1, execute o comando ping 150.10.1.2, que fora o envio de pacotes para a estao E4. Verifique novamente a tabela ARP da estao E1. Nesse caso, a estao E1 fez uma entrega indireta. Por que podemos fazer esta afirmao?

Soluo
A estao E1, ao enviar um pacote para a estao E2, por exemplo, far uma entrega direta porque ambas esto na mesma rede, portanto, no ter necessidade de entregar via roteador (gateway padro). Por outro lado, ao enviar um pacote para a estao E4, por exemplo, ter que fazer uma entrega indireta via roteador e este far a entrega direta do pacote estao E4.
81

Captulo 5 Endereamento IP

Para exemplificar os mecanismos de entrega direta e indireta vamos usar o simulador Netsimk aplicado rede da figura anterior, conforme veremos a seguir. Esse simulador pode ser obtido gratuitamente no endereo www.netsimk.com e executa sob o wine em ambiente Linux. O simulador foi desenvolvido pelo Prof. Steven Kessel para uso em cursos de Certificao Cisco CCNA.

Formao de suporte tcnico Proinfo

Aproveitando este exemplo vamos mostrar tambm como a tabela ARP da estao E1 atualizada e as mensagens ARP que sero enviadas por ela. Inicialmente, a tabela ARP da estao E1 est vazia, conforme mostrado na listagem a seguir:
C:> arp -a No ARP entries found

Na estao E1, aps a execuo do comando ping 200.10.16.2, que fora o envio de pacotes para a estao E2, a tabela ARP fica atualizada conforme mostrado na listagem abaixo:
C:> ping 200.10.16.2 Pinging 200.10.16.2 with 32 bytes of data: Reply from 200.10.16.2 on Eth, time<10ms TTL=128 C:> arp -a Internet Address 200.10.16.2 Physical Address C9-87-F8-00-10-03 Type Dynamic

Nesse caso, a estao E1 fez uma entrega direta. Para constatar que foi realmente assim, alm da tabela ARP que mostra apenas o endereo MAC da estao E2, podemos verificar a atividade do roteador R1 que interliga as duas redes. Nesse ponto a atividade do roteador R1 nula, porque a estao E1 fez uma entrega direta para a estao E2, sem passar pelo roteador R1. Porm, aps a execuo do comando ping 150.10.1.2, que fora o envio de pacotes para a estao E4, a tabela ARP fica atualizada conforme mostrado na listagem abaixo:
C:> ping 150.10.1.2 Pinging 150.10.1.2 with 32 bytes of data: Ping request timed out. Reply from 150.10.1.2 on Eth, time<10ms TTL=127 Reply from 150.10.1.2 on Eth, time<10ms TTL=127 Reply from 150.10.1.2 on Eth, time<10ms TTL=127 C:> arp -a Internet Address 200.10.16.2 200.10.16.3 Physical Address C9-87-F8-00-10-03 29-13-C0-00-10-04 Type Dynamic Dynamic

Note que agora aparece tambm o endereo IP e o endereo fsico da interface E0 do roteador R1, portanto, o roteador R1 participou do processo de entrega para a estao E4, conforme mostrado a seguir.

82

Vamos fazer uma anlise passo a passo.


(20) in E0: ARPReq: 200.10.16.1 looking for 200.10.16.3 (21) out E0: ARPAck: FromIP:200.10.16.3 MAC:29-13-C0-00-10-04 ToIP:200.10.16.1

(20) O primeiro quadro enviado pela estao E1 chega interface E0 do roteador R1 e um ARP broadcasting da estao com endereo IP: 200.10.16.1 (E1), procurando saber o endereo fsico da interface E0 do roteador R1 (endereo IP: 200.10.16.3). (21) A resposta enviada pelo roteador R1 informa o endereo fsico da interface E0 do roteador R1 (29-13-C0-00-10-04).
(19) in E0: PINGReq: 200.10.16.1 to 150.10.1.2 TTL=128

(19) o primeiro pacote IP enviado para a estao E4, agora que a estao E1 sabe o endereo fsico da interface E0 do roteador R1. Ela encaminha o pacote IP para o roteador R1, para que ele faa a entrega indireta. Note que o endereo IP o endereo da estao E4, no o endereo IP da interface E0 do roteador R1, mas o endereo fsico o da interface E0 do roteador R1. Nesse ponto, o roteador R1 precisa fazer uma entrega direta para a estao E4; portanto, ele precisa do endereo fsico da estao E4. Para isso so enviados os quadros listados a seguir:
(22) out E1: ARPReq: 150.10.1.3 looking for 150.10.1.2 (23) in E1: ARPAck: FromIP:150.10.1.2 MAC:B4-81-81-00-10-03 ToIP:150.10.1.3

(22) um ARP broadcasting da interface E1 do roteador R1 procurando saber o endereo fsico da estao E4 (IP:150.10.1.2). (23) a resposta da estao E4 informando seu endereo fsico: B4-81-81-00-10-03.

Captulo 5 Endereamento IP 83

Figura 5.14 Atividade do roteador R1 na rede simulada

Formao de suporte tcnico Proinfo

Agora que o roteador R1 sabe o endereo fsico da estao E4, os pacotes IP seguintes podem ser entregues, conforme listado a seguir. O pacote (24) entra pela interface E0 e sai pela interface E1. O pacote (25) faz o caminho inverso ( a resposta do ping).
(24) (24) (25) (25) in out in out E0: E1: E1: E0: PINGReq: PINGReq: PINGAck: PINGAck: 200.10.16.1 to 150.10.1.2 200.10.16.1 to 150.10.1.2 150.10.1.2 to 200.10.16.1 150.10.1.2 to 200.10.16.1 TTL=128 TTL=127 TTL=128 TTL=127

E assim por diante para os demais pacotes. Ainda uma ltima confirmao da entrega indireta. No lugar do comando ping 150.10.1.2 vamos executar o comando tracert 150.10.1.2 (traceroute) que mostra a rota que o pacote est percorrendo na rede. O resultado est listado a seguir. Note que o pacote passa pela interface E0 do roteador (IP: 200.10.16.3).
C:> tracert 150.10.1.2 Tracing route to 150.10.1.2 1 4ms 5ms 5ms 200.10.16.3 2 12ms 9ms 11ms 150.10.1.2 Destination trace successful.

O comando ping muito usado para diagnstico de problemas de configurao, pois testa a conectividade no nvel de camada de rede (protocolo IP). Outro comando muito til para diagnsticos de problemas de roteamento o comando traceroute, explicado a seguir.

Comando traceroute
Este comando se baseia no fato de que, quando o campo TTL (Time To Live Tempo de Vida) do cabealho do datagrama IP atinge zero, o roteador no pode rotear o datagrama, mas precisa obrigatoriamente descart-lo e enviar uma mensagem ICMP de erro tipo 11, informando seu endereo IP. Esta mensagem de tempo expirado em trnsito (TTL=0). assim que a origem fica sabendo o caminho que o datagrama est percorrendo. O datagrama UDP carrega um nmero de porta improvvel para o destino, de modo que, quando ele finalmente chega l, o destino responde com uma mensagem de erro de porta inatingvel (ICMP tipo 3), no de tempo expirado em trnsito (TTL=0). assim que a origem fica sabendo que o destino foi atingido. O programa traceroute utiliza uma combinao de mensagens time exceeded e destination unreachable para descobrir a rota entre duas estaes ou roteadores. Para tal, o programa envia diversos datagramas UDP para portas inexistentes do destino desejado:

84

\\A

primeira mensagem enviada em um datagrama IP que possui TTL igual a 1, fazendo com que o primeiro roteador do caminho descarte o datagrama e retorne uma mensagem time exceeded; segunda mensagem possui um TTL igual a 2, cabendo ao segundo roteador do caminho descartar o datagrama e gerar outra mensagem time exceeded; processo termina quando o destino desejado recebe o datagrama UDP e envia para a origem uma mensagem destination unreachable, pois a porta UDP especificada no existe;

\\A

\\O

\\A

cada mensagem time exceeded, o traceroute descobre um novo roteador intermedirio no caminho at o destino. Como datagramas so independentes e podem seguir por rotas diferentes, os diversos datagramas UDP, encapsulados em datagramas IP, podem seguir por diferentes rotas. Assim, o traceroute no assegura que todos os roteadores intermedirios identificados pertenam a uma nica rota.

Para cada valor de TTL, por default, so enviados 3 datagramas. Aps receber a mensagem time exceeded ou destination unreachable, o traceroute calcula e apresenta o tempo de resposta. Se uma destas mensagens no recebida, ao invs do tempo de resposta o comando mostra um asterisco. A figura adiante mostra o mecanismo do comando traceroute. Na figura est representado apenas um datagrama para cada hop, mas a aplicao envia 3 datagramas idnticos para cada hop. Os 3 primeiros datagramas tm TTL=1 e so descartados pelo primeiro hop (router0), porque este subtrai 1 do TTL (1-1=0), com uma mensagem de erro ICMP tipo 11, tempo expirado em trnsito (TTL=0). Figura 5.15 Comando traceroute
PC1 router0 router1 router2 PC5

hop1 UDP TTL=1 ICMP tipo 11 UDP TTL=2 ICMP tipo 11 UDP TTL=3 ICMP tipo 11

hop2

hop3

UDP TTL=4 ICMP tipo 3

Os 3 seguintes tm TTL=2 e passam pelo primeiro hop (subtrai 1 do TTL: 2-1=1) e so descartados pelo segundo hop (router1), tambm com a mesma mensagem de erro. Os 3 seguintes tm TTL=3 e passam pelo primeiro hop (subtrai 1 do TTL:
85

Captulo 5 Endereamento IP

Formao de suporte tcnico Proinfo

3-1=2), passam pelo segundo hop (subtrai 1 do TTL: 2-1=1) e so descartados pelo terceiro hop (router2), tambm com a mesma mensagem de erro. Finalmente, os 3 ltimos passam por todos os hops porque tm TTL=4 e chegam no destino ainda com TTL=1. Porm, a porta UDP de destino no existe no host de destino, da o host de destino gera uma mensagem de erro ICMP tipo 3. A listagem a seguir mostra a execuo da aplicao traceroute de uma estao numa rede privativa (192.168.1.0/24) para um endereo pblico na rede da RNP (endereo IP: 200.130.26.254).
# traceroute 200.130.26.254
traceroute to 200.130.26.254 (200.130.26.254), 30 hops max, 40 byte packets 1 2 ms 3 ms 4 ms 5 6 7 8 ms embratel-G2-0-1-ngacc01.bsa.embratel.net.br (189.52.36.21) 21.477 ms 21.823 ms 22.412 ms ebt-G6-0-gacc01.bsa.embratel.net.br (200.244.165.129) 19.637 bd06000a.virtua.com.br (189.6.0.10) 18.240 ms 18.961 ms 19.299 192.168.1.1 (192.168.1.1) 2.010 ms 5.931 ms 6.370 ms 17.446 ms 17.777

bd3d3001.virtua.com.br (189.61.48.1)

13.088 ms

22.755 ms 23.097 ms rnp-br-A4-0-47-gacc01.bsa.embratel.net.br (200.252.247.138) 15.515 ms 13.770 ms 18.220 ms 19.190 ms 24.806 fe-4-7-r3-rj.bkb.rnp.br (200.143.252.177) esr.pop-df.rnp.br (200.130.26.254) 24.328 ms 20.035 ms 17.243 ms 18.460 ms

Observe que o primeiro roteador que aparece sempre o gateway padro da rede 192.168.1.0/24 (passo 1). O passo 8 o destino final. Os nomes dos roteadores intermedirios so obtidos atravs de consultas ao servidor DNS reverso, que fornece um nome quando um endereo IP informado. Capturando os pacotes gerados por essa aplicao, podemos analisar como a aplicao funciona, usando o Wireshark. O arquivo de captura chama-se: captura_trace_Linux.cap. A figura seguinte mostra um pacote enviado pela origem, onde o TTL=1.

86

Observe que os datagramas UDP so sempre enviados da estao origem 192.168.1.101 para a estao destino 1200.130.26.254. A estao origem usa a porta UDP 51387. No entanto, o traceroute usa uma porta possivelmente inexistente no destino, que a porta padro 33434. Nos 3 primeiros datagramas UDP, o TTL 1. Assim, o primeiro roteador do caminho (192.168.1.1) descarta esses datagramas, enviando uma mensagem time exceeded para cada um deles. Nos ltimos 3 datagramas UDP, a estao destino j foi alcanada. Nesse caso, como a porta UDP 33434 no existe, a estao destino descarta esses datagramas, enviando a mensagem port unreachable, um subtipo da mensagem destination unreachable, para cada um deles. dessa forma criativa que o comando traceroute consegue mostrar o caminho pelo qual um datagrama passa da origem at o seu destino. A figura a seguir mostra a resposta do primeiro roteador ao pacote descrito na figura anterior. Note que as portas UDP so as mesmas usadas na figura anterior e a mensagem de erro ICMP do tipo 11, cdigo 0 (time to live exceeded in transit). E assim por diante at chegar ao destino final. Figura 5.17 Pacote de resposta do primeiro roteador

Captulo 5 Endereamento IP 87

Figura 5.16 Pacote enviado com TTL=1

Formao de suporte tcnico Proinfo

A figura a seguir mostra a resposta do destino final, que a estao com endereo IP: 200.130.26.254. Figura 5.18 Pacote de resposta do destino final

Observe que o comportamento do destino final no foi o previsto. Em lugar de emitir uma mensagem de erro ICMP tipo 3 de porta UDP inalcanvel, a estao emite uma mensagem ICMP de TTL excedido em trnsito, o que faz com que a estao de origem no perceba que o destino final foi atingido e continue a enviar mensagens indefinidamente. Nota: no sistema operacional Windows essa mesma aplicao somente utiliza mensagens ICMP e no usa o protocolo UDP. Verifique no arquivo de captura chamado: captura_trace_Windows.pcap.

Rota default
O conceito de rota default fundamental para minimizar a quantidade de informaes de roteamento e tornar mais eficiente o roteamento em roteadores e estaes. Para suportar o conceito de rota default, o endereamento IP reserva um endereo especial que, por conveno, composto por 32 bits iguais a 0. Logo, o endereo 0.0.0.0 reservado para representar uma rota default e, portanto, no pode ser usado para uma rede.

Rota default Rota adotada quando nenhuma outra rota da tabela de roteamento est associada ao endereo de rede do destino do datagrama.

Tabela de roteamento
Um exemplo de tabelas de roteamento est mostrado na figura a seguir, em que duas redes locais (1.0.0.0 e 4.0.0.0) esto interligadas por uma rede de longa distncia (2.0.0.0). A mscara de rede 255.0.0.0 (/8), onde o primeiro octeto identifica a rede e os demais octetos identificam o host na rede. O roteador R1 o gateway da rede 1.0.0.0 e o R2 o gateway da rede 2.0.0.0.

88

Figura 5.19 Exemplo de tabelas de roteamento

Rede 1.0.0.0 1.0.0.1

Rede 2.0.0.0

Rede 4.0.0.0 4.0.0.1

R1

R2

1.0.0.2

1.0.0.3
E0

2.0.0.1
S0

2.0.0.2
S0

4.0.0.3
E0

4.0.0.2

Tabela de roteamento Rede Interf Distncia 1.0.0.0 2.0.0.0 4.0.0.0 E0 S0 S0 0 0 1

Tabela de roteamento Rede Interf Distncia 1.0.0.0 2.0.0.0 4.0.0.0 S0 S0 E0 1 0 0

Note que a rede 4.0.0.0 no est conectada ao roteador R1 (idem para a rede 1.0.0.0 em relao ao roteador R2), portanto, ele s poder conhecer a rota para a rede 4.0.0.0 se o roteador R2 informar ao R1 que conhece a rota para a rede 4.0.0.0. O mesmo ocorre quanto rede 1.0.0.0 para o roteador R2. Essa troca de informaes entre os roteadores, na qual cada um ensina aos demais as rotas que conhece, a funo bsica dos protocolos de roteamento.

Atividade: Simulando atividade na rede


Para exemplificar o funcionamento do roteador, vamos usar o mesmo simulador de rede. A figura seguinte mostra a rede configurada no simulador, que serve de exemplo para o funcionamento do roteador. Nesta figura, analise as tabelas de roteamento de cada roteador (fundo azul). A letra C indica que uma rede diretamente conectada a uma interface do roteador e a letra S indica que uma rota esttica (no caso uma rota padro). O arquivo que contm esta rede chama-se: Rede_Atividade4.nsw. De uma estao qualquer da rede 1.0.0.0, tente acessar uma estao da rede 4.0.0.0 usando o comando ping.

Captulo 5 Endereamento IP 89

As tabelas de roteamento mostram as rotas para as redes 1.0.0.0, 2.0.0.0 e 4.0.0.0, indicando as interfaces pelas quais o pacote deve ser encaminhado e a distncia de cada rede, isto , por quantos roteadores o pacote vai passar. A interface E0 uma interface Ethernet e a S0 uma serial para redes de longa distncia. Para redes diretamente conectadas ao roteador (exemplo: redes 1.0.0.0 e 2.0.0.0 para R1) a distncia 0. Para redes conectadas ao outro roteador (exemplo: rede 4.0.0.0 para R1) a distncia 1 e assim tambm ocorre com o roteador R2, em relao rede 1.0.0.0.

Formao de suporte tcnico Proinfo

1.0.0.1 C 1.0.0.0/8 E0 0 C 2.0.0.0/8 S0 0 R 4.0.0.0/8 S0 1 2 1 1.0.0.2 3 Rede 1.0.0.0 E0 R1 Rede 2.0.0.0 S0 DCE S0 R2 Rede 4.0.0.0 E0 1 3 R 1.0.0.0/8 S0 1 C 2.0.0.0/8 S0 0 C 4.0.0.0/8 E0 0 2

4.0.0.1

Figura 5.20 Exemplo de funcionamento do roteador

4.0.0.2

Soluo
Nesta figura temos as tabelas de roteamento de cada roteador (fundo azul) com as seguintes informaes (roteador R1):
\\C

1.0.0.0/8 E0 0 C indica que rede diretamente conectada a uma interface do roteador, 1.0.0.0/8 a identificao da rede com a respectiva mscara de rede, E0 a interface pela qual o roteador acessa a rede, 0 a quantidade de roteadores no caminho; 2.0.0.0/8 S0 0 C indica que rede diretamente conectada a uma interface do roteador, 2.0.0.0/8 a identificao da rede com a respectiva mscara de rede, S0 a interface pela qual o roteador acessa a rede, 0 a quantidade de roteadores no caminho; 0.0.0.0/0 S0 0 S* indica que uma rota padro, 0.0.0.0/0 a identificao da rede com a respectiva mscara de rede, S0 a interface pela qual os pacotes IP devem ser encaminhados, 0 a quantidade de roteadores no caminho.

\\C

\\S*

Note que a interface S0 do roteador R1 prov o clock (relgio) no enlace serial R1-R2 (em vermelho), que a velocidade do enlace em bps, por isso est escrito DCE ao lado da interface S0 de R1. A tabela de rotas de R2 idntica, preservando a simetria da rede. Suponhamos que da estao com endereo 1.0.0.1 executemos o comando ping para a estao com endereo 4.0.0.1. O resultado est mostrado na listagem a seguir: a confirmao do funcionamento correto dos roteadores, de acordo com as tabelas de rotas.
C:> ping 4.0.0.1 Pinging 4.0.0.1 with 32 bytes of data: Ping request timed out. Reply from 4.0.0.1 on Eth, time<10ms TTL=126 Reply from 4.0.0.1 on Eth, time<10ms TTL=126 Reply from 4.0.0.1 on Eth, time<10ms TTL=126

90

As interfaces de rede podem ser configuradas de duas maneiras no Linux Educacional:


\\ Interface \\Linha

grfica de configurao;

de comando.

importante conhecer as duas maneiras, pois nem sempre a interface grfica est disponvel ou permite fazer a configurao desejada.

Interface grfica de configurao


A interface grfica de configurao pode ser acessada atravs do Menu Iniciar > Configuraes do Sistema > Ferramentas de Rede, conforme mostrado na figura a seguir. Para efetuar mudanas nas configuraes de rede preciso ter privilgio de administrador (root no Linux). Por isso solicitado ao usurio que confirme sua inteno clicando no boto Modo Administrador na parte inferior da janela e informando sua senha. Figura 5.21 Ferramentas de rede (parte 1)

Para informar a senha aberta uma nova janela, conforme mostrado na prxima figura. Aps digitar a senha, clique em OK. Figura 5.22 Ferramentas de rede (parte 2)

Captulo 5 Endereamento IP 91

Configurao de interfaces

Formao de suporte tcnico Proinfo

Aps isso, o sistema libera a tela para efetuar as modificaes, se necessrio, conforme mostrado na figura a seguir: Figura 5.23 Ferramentas de rede (parte 3)

Observe que o sistema informa que existem duas interfaces de rede (eth0 e eth1), ambas habilitadas. A eth0 uma placa de rede Ethernet que permite a conexo via par tranado e a eth1 uma placa de rede sem fio. Nesse momento, somente a eth1 est configurada com endereo IP: 192.168.1.103. Qualquer uma das duas pode ser configurada a partir dessa tela. Note que na parte superior do quadro com moldura na cor vermelha aparecem 4 abas: Interfaces de rede (selecionada nesse momento), Rotas, Domnios (DNS) e Perfis de rede. Selecionando a aba Rotas, obtemos a tela mostrada na figura a seguir: Figura 5.24 Ferramentas de rede (parte 4)

Nesta tela o sistema informa a rota padro desta estao, que no caso o gateway padro com endereo IP: 192.168.1.1. Esta a rota usada por esta estao para alcanar outras redes via interface de rede eth1. Note que o gateway padro est na mesma rede que a interface eth1: 192.168.1.0 (mscara de rede: 255.255.255.0 ou /24). Finalmente na aba Domnios DNS, podemos ver os endereos IP dos servidores DNS que traduzem os nomes de domnio em endereos IP, como mostra a figura a seguir: Figura 5.25 Ferramentas de rede (parte 5)

92

Linha de comando
Essa interface, tambm chamada CLI (Command Line Interface Interface de Linha de Comando), pode ser acessada atravs do Menu Iniciar > Sistema > Terminal (Konsole). Na janela de terminal, podemos digitar os comandos de configurao do sistema. Para isso tambm necessrio ter privilgio de administrador. Exemplo do uso da linha de comando:
$ ifconfig
eth0 Link encap:Ethernet Endereo de HW 00:1d:7d:8f:f0:00 UP BROADCAST MULTICAST MTU:1500 Mtrica:1 pacotes RX:0 erros:0 descartados:3455885789 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) IRQ:221 Endereo de E/S:0x6000 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST MULTICAST MTU:1500 Mtrica:1 pacotes RX:14 erros:99 descartados:4 excesso:0 quadro:99 Pacotes TX:323 erros:21 descartados:4 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:2458 (2.4 KB) TX bytes:21605 (21.0 KB) Link encap:Loopback Local inet end.: 127.0.0.1 Masc:255.0.0.0 endereo inet6: ::1/128 Escopo:Mquina UP LOOPBACK RUNNING MTU:16436 Mtrica:1 pacotes RX:0 erros:0 descartados:0 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

eth1

lo

O principal comando de configurao o ifconfig. Quando digitado sem nenhum parmetro, o sistema mostra as informaes disponveis sobre as interfaces de rede existentes na estao. Note que a interface eth0 no est configurada e no teve nenhum trfego de pacotes. A interface eth1, por outro lado, foi usada, conforme mostram as estatsticas RX bytes (bytes recebidos) e TX bytes (bytes transmitidos). O endereo de HW informado o endereo fsico (MAC) da placa de rede. Note que no so informados os endereos IP das interfaces eth0 e eth1 (no temos permisso de administrador). A interface loopback uma interface virtual (no existe fisicamente) usada apenas para teste de protocolo local na estao.
93

Captulo 5 Endereamento IP

Essa tela tambm permite Adicionar/Editar/Remover os endereos dos servidores DNS. Note que os servidores DNS no pertencem mesma rede da estao e, provavelmente, so servidores disponibilizados pelo provedor de acesso internet deste usurio. A ltima aba no tem nenhuma informao relevante para ns nesse momento. Veremos agora como fazer as configuraes via linha de comando.

Formao de suporte tcnico Proinfo

Se tentarmos configurar a interface eth0, por exemplo, com o endereo IP: 192.168.1.10 e mscara de rede: 255.255.255.0, obteremos uma mensagem de erro, conforme mostrado na listagem:
$ ifconfig eth0 192.168.1.10 netmask 255.255.255.0 SIOCSIFADDR: Permisso negada SIOCSIFFLAGS: Permisso negada SIOCSIFNETMASK: Permisso negada

Precisamos ento obter permisso de administrador. Para isso, digitamos o comando sudo mostrado na listagem e informamos a senha de usurio:
$ sudo ifconfig eth0 192.168.1.10 netmask 255.255.255.0 [sudo] password for aluno1: senha

Podemos verificar o resultado desse comando, repetindo o comando ifconfig conforme mostrado na listagem:
$ ifconfig
eth0 Link encap:Ethernet Endereo de HW 00:1d:7d:8f:f0:00 inet end.: 192.168.1.10 Bcast:192.168.1.255 Masc:255.255.255.0 UP BROADCAST MULTICAST MTU:1500 Mtrica:1 pacotes RX:0 erros:0 descartados:1612351964 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) IRQ:221 Endereo de E/S:0x8000 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef inet end.: 192.168.1.103 Bcast:192.168.1.255 Masc:255.255.255.0 endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Mtrica:1 pacotes RX:557 erros:84 descartados:25 excesso:0 quadro:83 Pacotes TX:1002 erros:7 descartados:1 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:100881 (98.5 KB) TX bytes:77839 (76.0 KB) Link encap:Loopback Local inet end.: 127.0.0.1 Masc:255.0.0.0 endereo inet6: ::1/128 Escopo:Mquina UP LOOPBACK RUNNING MTU:16436 Mtrica:1 pacotes RX:0 erros:0 descartados:0 excesso:0 quadro:0 Pacotes TX:0 erros:0 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

eth1

lo

Note que agora so informados os endereos IP das interfaces eth0 e eth1. Essa configurao vale at o prximo boot do sistema, pois as configuraes em tempo de boot so lidas a partir dos arquivos de configurao do sistema que ficam no diretrio /etc. Os principais arquivos de configurao so:
94

\\/etc/hosts

nome e endereo IP da sua estao; podem ser informados aqui nomes e endereos de outras estaes da rede, de forma a permitir o acesso a elas via navegador; armazena a configurao das suas interfaces de rede.

\\/etc/network/interfaces

Contedo atual do arquivo /etc/resolv.conf:


### BEGIN INFO # # Modified_by: NetworkManager # Process: /usr/bin/NetworkManager # Process_id: 4942 # ### END INFO search bsb.virtua.com.br nameserver 200.167.216.14 nameserver 200.167.216.15

Note que so os mesmos servidores DNS informados na figura anterior. Contedo atual do arquivo /etc/hosts:
127.0.0.1 localhost 127.0.1.1 pc-proinfo # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts

Nenhuma outra mquina da rede est configurada para acesso via navegador. Se quisermos que a configurao da interface eth0 anteriormente feita (atravs do comando ifconfig) seja permanente, basta editar o arquivo /etc/network/interfaces, conforme mostrado na listagem a seguir.
auto lo iface lo inet loopback address 127.0.0.1 netmask 255.0.0.0 iface eth0 inet static address 192.168.1.10 net 192.168.1.0 netmask 255.255.255.0 gateway 192.168.1.1

O comando ifconfig tambm pode ser usado para derrubar (down) uma interface:
95

Captulo 5 Endereamento IP

\\/etc/resolv.conf

endereo IP do servidor DNS da sua estao;

Formao de suporte tcnico Proinfo

$ sudo ifconfig eth0 down

O comando ifconfig tambm pode ser usado para levantar (up) uma interface:
$ sudo ifconfig eth0 up

Para derrubar (down) todas as interfaces ou levantar (up) todas as interfaces, usamos os seguintes comandos:
$ sudo ifdown -a $ sudo ifup -a

Para reiniciar a sua configurao de rede use o comando:


$ sudo /etc/init.d/networking restart * Reconfiguring network interfaces... [ OK ]

Para verificar a tabela de roteamento da sua estao use o comando:


$ netstat -r
Tabela de Roteamento IP do Kernel Destino 192.168.1.0 192.168.1.0 link-local default Roteador * * * 192.168.1.1 MscaraGen. 255.255.255.0 255.255.255.0 255.255.0.0 0.0.0.0 Opes U U U UG MSS Janela 0 0 0 0 0 0 0 0 irtt Iface 0 eth1 0 eth0 0 eth1 0 eth1

Nela aparece o gateway padro com endereo IP: 192.168.1.1. Para adicionar uma nova rota na tabela, verificar o resultado e remover uma rota da tabela, usamos a sequncia de comandos listada a seguir:
$ sudo route add default gw 192.168.1.254 $ netstat -r Tabela de Roteamento IP do Kernel
Destino 192.168.1.0 192.168.1.0 link-local default default Roteador * * * 192.168.1.1 MscaraGen. 255.255.255.0 255.255.255.0 255.255.0.0 0.0.0.0 Opes U U U UG UG MSS Janela 0 0 0 0 0 0 0 0 0 0 irtt Iface 0 eth1 0 eth0 0 eth1 0 eth1 0 eth1

192.168.1.254 0.0.0.0

$ sudo route del default gw 192.168.1.254

Adicionamos a rota padro para o endereo IP: 192.168.1.254 e a removemos posteriormente. Note que ela foi adicionada na tabela, conforme mostra o comando netstat -r.

96

Atividade: Testando a rede


Nesta atividade vamos usar os comandos ifconfig e route. Siga o seguinte roteiro: 1. Execute os comandos ifconfig e route -n e anote as configuraes: IP: Mscara de rede: Gateway padro: Mude seu endereo IP para um endereo na mesma rede, mas com o endereo de estao aumentado de 50 (somar 50 no quarto octeto); Derrube a interface de rede eth; Levante a interface de rede eth0; Reinicie a configurao de rede; Verifique se a sua estao est acessando a internet; Verifique a conectividade com alguns de seus vizinhos; Verifique a sua configurao usando os mesmos comandos do item 1 e retorne configurao inicial, se necessrio.

2. 3. 4. 5. 6. 7. 8.

Soluo
1. Comandos ifconfig e route -n:

$ ifconfig eth0
eth0 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef inet end.: 192.168.1.100 Bcast:192.168.1.255 Masc:255.255.255.0 endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Mtrica:1 pacotes RX:710 erros:325 descartados:61 excesso:0 quadro:324 Pacotes TX:902 erros:432 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:473352 (462.2 KB) TX bytes:151129 (147.5 KB)

$ route -n
Tabela de Roteamento IP do Kernel Destino 192.168.1.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 MscaraGen. 255.255.255.0 255.255.0.0 Opes Mtrica Ref U U UG 0 1000 0 0 0 0 Uso Iface 0 eth0 0 eth0 0 eth0

192.168.1.1 0.0.0.0

Configuraes: IP: 192.168.1.100 Mscara de rede: 255.255.255.0 Gateway padro: 192.168.1.1


97

Captulo 5 Endereamento IP

Formao de suporte tcnico Proinfo

2. Mude seu endereo IP para um endereo na mesma rede, mas com o endereo de estao aumentado de 50 (somar 50 no quarto octeto):
$ sudo ifconfig eth0 192.168.1.150 netmask 255.255.255.0 [sudo] password for aluno1: senha $ ifconfig eth0
eth0 Link encap:Ethernet Endereo de HW 00:13:f7:7f:2e:ef inet end.: 192.168.1.150 Bcast:192.168.1.255 Masc:255.255.255.0 endereo inet6: fe80::213:f7ff:fe7f:2eef/64 Escopo:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Mtrica:1 pacotes RX:784 erros:534 descartados:69 excesso:0 quadro:533 Pacotes TX:1005 erros:436 descartados:0 excesso:0 portadora:0 colises:0 txqueuelen:1000 RX bytes:492879 (481.3 KB) TX bytes:159032 (155.3 KB)

3. Derrube a interface de rede:


$ sudo ifconfig eth0 down

4. Levante a interface de rede:


$ sudo ifconfig eth0 up

5. Reinicie a configurao de rede:


$ sudo /etc/init.d/networking restart * Reconfiguring network interfaces... [ OK ]

6. Verifique se a sua estao est acessando a internet. Se necessrio, configure uma rota padro, de acordo com os dados da listagem do comando route -n:
$ sudo route add default gw 192.168.1.1

7. Verifique a conectividade com alguns de seus vizinhos. Pea o endereo IP do seu colega e tente um ping para o endereo fornecido.

98

6
Redes locais
Topologia de redes com fio
A topologia da rede a forma pela qual os computadores so interligados. A topologia dividida entre topologia fsica e topologia lgica. A topologia fsica a maneira como os cabos conectam fisicamente os computadores. A topologia lgica a maneira como os sinais trafegam atravs dos cabos e placas de rede. A topologia lgica depende do protocolo e do mtodo de acesso utilizado, como veremos adiante. Todas as topologias de redes locais so baseadas em trs tipos bsicos: barramento, estrela e anel. Examinaremos apenas as duas primeiras, uma vez que a terceira (anel) caiu em desuso.

Barramento
Backbone Infraestrutura de rede que compe a parte central de uma rede.

a topologia mais simples das trs, pois necessita apenas de cabos interligando os equipamentos, conforme mostra a seguir. Todos os equipamentos so ligados diretamente a um cabo principal que faz o papel de backbone da rede e denominado barramento. Nessa topologia todas as estaes podem se comunicar diretamente, bastando enviar os sinais para o barramento que os propagar para todas as estaes da rede. O protocolo desenvolvido para esta topologia foi o CSMA/ CD (Carrier Sense Multiple Access/Collision Detection).

Figura 6.1 Topologia barramento


Multiponto Forma de ligao na qual todas as estaes se conectam diretamente ao mesmo meio fsico, atravs de vrios pontos de comunicao.

......
Barramento

Foi a primeira topologia implementada para a rede Ethernet, j que na dcada de 70 o cabeamento coaxial utilizado para redes CATV (TV a cabo) era a nica alternativa de cabeamento capaz de suportar velocidades da ordem de 10 Mbps. Nessa topologia todas as estaes so conectadas ao barramento, caracterizando uma ligao multiponto.

99

Formao de suporte tcnico Proinfo

Caractersticas principais:
\\Ligao

multiponto; passivo;

\\Barramento \\As

estaes se comunicam diretamente, sem intermedirios; broadcasting.

\\Suporta

Principais problemas que determinaram a sua obsolescncia:


\\Velocidade \\Dificuldade \\Dificuldade \\Tamanho \\Sem

do barramento limitada a 10 Mbps; de remanejamento devido utilizao de conectores BNC; de localizao de problemas devidos a mau contato nas conexes;

do segmento limitado a 185m com o cabo coaxial 10BASE2;

gerenciamento.

A topologia lgica tambm era barramento, onde apenas uma estao transmitia de cada vez e, dependendo do volume de trfego, ocorriam colises, isto , transmisses simultneas de duas ou mais estaes.

Estrela
Evoluo natural da topologia barramento, onde o barramento passou a ser um concentrador de fiao ou hub. Cada estao tinha seu prprio meio de transmisso conectando a sua placa de rede ao hub, caracterizando uma ligao ponto-a-ponto. O protocolo continua sendo o CSMA/CD. Embora a topologia fsica seja estrela, a topologia lgica continua sendo barramento. Assim, as placas de rede no sabem que existe um concentrador de fiao e continuam operando da mesma forma que faziam com o cabo coaxial. O hub funcionalmente idntico ao barramento coaxial, com as mesmas caractersticas operacionais. A limitao de distncia passou a ser 100m entre cada estao e o concentrador. A figura seguinte exemplifica essa topologia.
Concentrador

Ponto-a-ponto Forma de ligao na qual as estaes utilizam apenas dois pontos de comunicao, um em cada extremidade do meio fsico.

Figura 6.2 Topologia estrela

......
Estrela

100

\\Velocidade \\Facilidade

de 10/100 Mbps ou acima, dependendo do cabeamento utilizado;

de remanejamento, uma vez que cada estao tem seu prprio meio de comunicao; de gerenciamento no concentrador (hub ou switch).

\\Facilidade

Pelas razes acima descritas, essa topologia a mais usada em redes locais Ethernet. Em lugar do cabo coaxial utilizado o par tranado no-blindado (UTP Unshielded Twisted Pair), que o mais utilizado atualmente, principalmente para conexo das estaes dos usurios, em maior nmero na rede. Ele construdo com 4 pares de fios torcidos de forma a compensar a interferncia eletromagntica, uma vez que no possui blindagem como o cabo coaxial. O conector usado o RJ-45, semelhante ao RJ-11 de telefonia. Os pares de fios so identificados por cores padronizadas pelas normas EIA-TIA-568A/B. A sequncia correta dos fios est ilustrada na prxima figura. Figura 6.3 Padro de montagem do conector RJ-45
568A
1. Branco/verde 2. Verde 3. Branco/laranja 4. Azul 5. Branco/azul 6. Laranja 7. Branco/marrom 8. Marrom
12345678 12345678

568B
1. Branco/laranja 2. Laranja 3. Branco/verde 4. Azul 5. Branco/azul 6. Verde 7. Branco/marrom 8. Marrom

Os cabos de pares metlicos podem ser de 3 tipos:


\\Pino

a pino (Straight-through), no qual as duas pontas tm a mesma sequncia de cores (tanto faz ser 568A ou 568B); serve para conectar dispositivos diferentes, ou seja: host-switch, host-hub, roteador-switch e roteador-hub; no qual as duas pontas tm sequncias diferentes; uma ponta usa a 568A e a outra a 568B; serve para conectar dispositivos semelhantes, ou seja: host-host, switch-switch, hub-hub e switch-hub. A exceo a conexo de um host diretamente a um roteador, o que raramente usado; (rollover) um cabo serial que utiliza o conector RJ-45 na ponta que vai conectada ao roteador/switch, e serve para conectar um host porta de console de um roteador (ou switch); usado para configurao desses dispositivos atravs do programa Hyper Terminal, disponvel no sistema operacional do host. Os fios so conectados em ordem inversa: 1-8, 2-7, 3-6 ... 8-1.

\\Crossover,

\\Console

O cabo de par tranado (UTP) o mais usado atualmente pelas seguintes razes:
\\Menor

custo total de infraestrutura do que a fibra ptica; de 100 Mbps a uma distncia de at 100m;

\\Velocidade

101

Captulo 6 Redes locais

Principais vantagens desta topologia em relao ao barramento:

Formao de suporte tcnico Proinfo

\\Manuteno \\A

simples, uma vez que cada estao tem seu prprio cabo;

utilizao de switches permite segmentar a rede, reduzindo ou at eliminando as colises; simplificado, pois basta gerenciar os hubs/switches.

\\Gerenciamento

A figura a seguir resume os trs tipos de cabos de pares metlicos descritos.


Pino-a-pino/Crossover
Hub/Switch 1 2 3 6 Hub/Switch 1 2 3 6 Host 1 2 3 6 Hub/Switch 1 2 3 6 Host 1 2 3 4 5 6 7 8

Console
Router/Switch 1 2 3 4 5 6 7 8

Figura 6.4 Tipos de cabos de pares metlicos Ethernet

A rede Ethernet que opera a uma velocidade de 100 Mbps denominada Fast Ethernet. Para velocidades maiores pode-se usar o par tranado, desde que de acordo com a especificao IEEE 1000Base-T, na qual o nmero de pares de cabos usados difere dos demais utilizados em padres anteriores, pois utiliza os 4 pares disponveis no par tranado, conseguindo transmitir a 1000 Mbps, diferente das demais, que utilizam somente 2 pares desse cabo. O mais usado a fibra ptica para velocidades de 1000 Mbps e acima. A norma IEEE 802.3ab especifica a utilizao de fibra ptica na velocidade de 1000 Mbps (Gigabit Ethernet). A norma IEEE 802.3ae especifica a utilizao de fibra ptica na velocidade de 10 Gbps, sem utilizao do protocolo de camada de enlace, pois opera apenas ponto-a-ponto. Essa opo est sendo usada em redes metropolitanas (metro-Ethernet). Podemos citar o switch Ethernet como exemplo de dispositivo de camada de enlace de dados em redes locais Ethernet capaz de reconhecer os endereos fsicos das estaes a ele conectadas. Assim, o switch Ethernet separa o trfego por porta, no misturando trfego entre as estaes. O conceito de switch uma extenso do conceito de bridge, que foi desenvolvido para segmentar redes Ethernet com alto trfego. A comutao na camada de enlace de dados utiliza o endereo MAC (Media Access Control) da placa de rede (endereo fsico), sendo baseada na tabela MAC residente em memria, no caso dos switches. As estaes usam o protocolo ARP para descobrir os endereos MAC de destino (armazenam na tabela ARP) e o switch usa o algoritmo self-learning para aprender a localizao das estaes, armazenando essas informaes na tabela MAC. A

Bridge Ponte de ligao entre duas ou mais redes. Segmentao a diviso da rede Ethernet em segmentos menores, de forma a reduzir a probabilidade de ocorrncia de colises e aumentar o desempenho da rede. Tabela MAC Tabela de endereos MAC na qual esto indicadas as portas do switch correspondentes a cada endereo.

102

A prxima figura ilustra o funcionamento do switch Ethernet. Quando a estao com endereo fsico A1, conectada porta 1 do switch, envia um quadro para a estao com endereo fsico A2, conectada porta 2 do switch, apenas a estao A2 recebe o quadro (representado pela seta na figura). As demais estaes conectadas s portas 3 e 4 do switch no recebem esse trfego. Figura 6.5 Dispositivo da camada de enlace de dados para redes locais Ethernet
A3 B3

A1

A2

A4

B4

1 2 3 4

Redes sem fio (wireless)


Os servios analgicos sem fio so originrios de uma tecnologia desenvolvida para aplicaes militares em ambiente de combate, que permitia a troca segura de informaes entre tropas em permanente deslocamento. Com o tempo, essa tecnologia se tornou acessvel aos usurios corporativos e domsticos. Uma Wireless LAN (WLAN) uma rede local sem fio padronizada pelo IEEE 802.11. conhecida tambm pelo nome de Wi-Fi, abreviatura de wireless fidelity (fidelidade sem fios). Suas aplicaes principais so redes locais em escritrios e residncias, usualmente complementando as redes cabeadas. Tambm so usadas em ambientes pblicos para acesso internet. Os padres atualmente mais usados esto descritos na prxima tabela. As tcnicas de modulao utilizadas so: DSSS (Direct Sequence Spread Spectrum Espalhamento Espectral por Sequncia Direta) e OFDM (Orthogonal Frequency Division Multiplexing Multiplexao Ortogonal por Diviso de Frequncia).

103

Captulo 6 Redes locais

quantidade de endereos MAC na tabela varia em funo do tamanho do cache, mas 1.024 endereos um valor tpico. Switches de grande porte tero uma tabela maior.

Formao de suporte tcnico Proinfo

Padro IEEE 802.11b 802.11g 802.11a

Frequncias de operao 2400-2483,5 MHz 5150-5350 MHz 5470-5725 MHz 5725-5850 MHz 2400-2483,5 MHz 5150-5350 MHz 5470-5725 MHz 5725-5850 MHz

Tcnica de modulao DSSS DSSS, OFDM OFDM

Velocidade 11 Mbps 54 Mbps 54 Mbps

Tabela 6.1 Padres wireless

802.11n

MIMO-OFDM

300 Mbps

O padro 802.11b foi o primeiro a ser lanado comercialmente e o mais bem aceito pelo mercado, sendo o de custo mais baixo. O padro 802.11a foi lanado depois, se destina a redes corporativas e tem maior capacidade de conexes simultneas e maior velocidade do que o padro anterior; porm, incompatvel com o 802.11b, pois opera em uma frequncia diferente. Depois surgiu o padro 802.11g, que oferece a mesma velocidade que o 802.11a, com a vantagem de operar na mesma frequncia do 802.11b e ser compatvel com este ltimo. Os equipamentos portteis suportam os dois padres: 802.11b/g. Finalmente chegou ao mercado o padro 802.11n, cuja meta superar o desempenho de uma rede cabeada de 100 Mbps, e que dever ser o sucessor do atual 802.11g. O 802.11n tem como principal caracterstica o uso de um esquema chamado Multiple-Input Multiple-Output (MIMO), capaz de aumentar consideravelmente as taxas de transferncia de dados atravs da combinao de vrias vias de transmisso. Assim sendo, possvel, por exemplo, usar dois, trs ou quatro emissores e receptores para o funcionamento da rede. Somando essa caracterstica de combinao com o aprimoramento de suas especificaes, o padro 802.11n capaz de fazer transmisses na faixa de 300 Mbps. Em relao sua frequncia, o padro 802.11n pode trabalhar com as faixas de 2,4 GHz e 5 GHz, o que o torna compatvel com os padres anteriores, inclusive com o 802.11a (pelo menos, teoricamente). Sua tcnica de transmisso padro o OFDM, mas com determinadas alteraes, devido ao uso do esquema MIMO, sendo, por isso, muitas vezes chamado de MIMO-OFDM. A tcnica de modulao mais utilizada a DSSS, que consiste em usar vrias portadoras de frequncias prximas, de modo que o sinal possa ser recuperado nas diversas frequncias, mesmo que algumas delas sofram interferncia. DSSS utiliza grande largura de banda (22 MHz) para cada canal e transmite em baixa potncia (at 400 mW), embora seu alcance seja de at 60m em ambientes internos (indoor) e at 300m em ambientes externos (outdoor).

104

Figura 6.6 Canais de transmisso em DSSS

10

11

Frequncia (GHz)

2,412

2,437

2,462

O IEEE 802 dispe ainda de outros padres para redes wireless como os de Wireless Personal Area Network (WPAN), onde se inclui o 802.15.1 (Bluetooth) e os 802.16 Broadband Wireless Access (BBWA) ou WiMax. A rede sem fio pode ser de dois tipos:

ADHOC
\\No

existem Pontos de Acesso (AP Access Point); direta entre clientes; depende do nmero de clientes;

\\Comunicao \\Desempenho \\Em

geral suporta at 5 clientes com performance aceitvel.

Infraestrutura
\\Necessidade

de Pontos de Acesso; entre clientes no permitida;

\\Comunicao \\Toda \\Tem

a comunicao feita com o AP, por onde passa todo o trfego da rede;

dois modos de operao: BSS (Basic Service Set) e ESS (Extended Service Set).
\\BSS

consiste de um Ponto de Acesso ligado rede cabeada e um ou mais clientes sem fio. Quando um cliente quer se comunicar com outro ou com algum dispositivo na rede cabeada deve usar o Ponto de Acesso para isso. O BSS compreende uma simples clula ou rea de RF e tem somente um identificador (SSID). Para que um cliente possa fazer parte da clula ele deve estar configurado para usar o SSID do Ponto de Acesso. A figura a seguir ilustra o funcionamento do BSS.

105

Captulo 6 Redes locais

As frequncias das portadoras variam de 2,401 GHz a 2,473 GHz, divididas em trs grupos que constituem os canais 1, 6 e 11, cada um com largura de banda de 22 MHz e banda de guarda (espao entre os canais) de 3 MHz. A figura seguinte mostra essa distribuio de frequncias pelos diversos canais. No caso de haver mais de um equipamento operando no mesmo local, recomendvel que cada equipamento utilize um canal diferente dos demais, tanto quanto possvel. Desta forma a interferncia entre eles ser mnima.

Formao de suporte tcnico Proinfo

Rede cabeada Ponto de Acesso

Figura 6.7 Sistema BSS

BSS Clula nica

\\ESS

so dois ou mais sistemas BSS conectados por uma rede LAN, WAN, sem fio ou qualquer outro sistema de interligao. Necessita, portanto, de pelo menos dois Pontos de Acesso, cada um definindo uma clula com seu respectivo SSID, sendo permitido roaming entre as clulas. A prxima figura ilustra o funcionamento do ESS.
Rede cabeada Ponto de Acesso
Rede cabeada

Figura 6.8 Sistema ESS

Rede cabeada Ponto de Acesso

WLAN
O meio de comunicao de uma WLAN (Wireless LAN) a onda eletromagntica que se propaga pelo ar, ao invs de por fios. Uma WLAN dispensa cabeamento, tomadas, conectores, dutos, calhas etc. tambm chamada de Wi-Fi (Wireless Fidelity). A motivao para o uso de WLAN pode ser:
\\Mobilidade

WLANs permitem aos usurios o acesso informao de qualquer lugar da organizao, sem a necessidade de procurar um ponto de rede para se conectar, aumentando a flexibilidade e a produtividade; menos fios e conectores significam menos pontos de falha e, portanto, menos problemas para usurios e gerentes de rede; de instalao WLANs no precisam de caras e demoradas instalaes de cabeamento, especialmente em reas que no tenham sido construdas com a previso de cabeamento estruturado; nada de fios pendurados no forro ou passando pelas paredes ou, pior ainda, espalhados pelo cho;

\\Confiabilidade

\\Facilidade

106

\\Escalabilidade

sistemas WLAN so facilmente configurados e remanejados para suportar uma variedade de ambientes de rede, desde os de pequenas at os de grandes empresas.
Computador na rede sem fio Notebook na rede sem fio

Figura 6.9 Rede wireless com backbone WLAN

Modem ADSL Roteador sem fio

Internet

Notebook na rede sem fio

Notebook na rede sem fio

Em instalaes pequenas podemos encontrar backbones WLAN, sem rede cabeada, conforme a figura anterior. Esse tipo de instalao no usual, principalmente no ambiente corporativo. Os usurios se conectam via um ponto de acesso (Access Point AP), que atua como um concentrador, tipo hub/switch ou roteador. Cada ponto de acesso pode conectar vrios usurios, sem limite terico de conexes. O que acontece, na prtica, que o limite a largura de banda disponvel para os usurios. A placa de rede sem fio tratada pelo sistema operacional (Windows, Linux ou outro), como se fosse uma placa de rede Ethernet comum, simplificando assim a instalao e configurao. Nesse exemplo a rede WLAN est conectada internet via modem DSL. mais comum a ocorrncia de um misto de rede cabeada e WLAN, conforme mostrado na figura a seguir. O backbone da rede, que no exige mobilidade, pode ser cabeado, mesmo porque as exigncias de velocidade e capacidade podem exceder as especificaes de uma WLAN. Os usurios, que exigem mobilidade, podem ser conectados via WLAN, integrando assim o melhor dos dois mundos. O ponto de acesso permite conexo rede cabeada, como se fosse um concentrador comum (hub/switch).

107

Captulo 6 Redes locais

\\Custo

o custo da instalao de uma WLAN pode ser menor do que o de uma soluo cabeada, principalmente em ambientes que sofrem frequentes mudanas de layout, podendo o tempo de vida dos equipamentos ser at maior;

Formao de suporte tcnico Proinfo

Os padres IEEE 802.11 definem as caractersticas de operao das redes locais sem fio e os fabricantes de equipamentos de rede as seguiram na confeco dos equipamentos disponveis no mercado. A tecnologia de WLAN se baseia na tcnica de transmisso Direct Sequence Spread Spectrum DSSS (Espalhamento Espectral por Sequncia Direta), desenvolvida para fins militares, com o objetivo de confundir a deteco de sinal por terceiros e dificultar a sua interceptao. O sinal resultante se assemelha a um rudo radioeltrico.
Computador na rede sem fio Roteador Internet Modem ADSL

Figura 6.10 Rede wireless integrada com rede cabeada

Switch Ethernet Roteador sem fio

Computador na rede com fio

As frequncias de operao adotadas so as reservadas para a faixa ISM (Industrial, Cientfica, Mdica): 2.4 GHz e 5 GHz. Essas faixas no necessitam de licena especial para operao. A faixa de 2.4 GHz, embora tenha maior alcance do que a de 5 GHz, est mais sujeita a interferncia de outros dispositivos, tais como telefones sem fio, fornos de microondas, controles remotos diversos, entre outros. A Escola Superior de Redes recomenda a leitura das cartilhas de rede sem fio do Projeto UCA Um Computador por Aluno. Disponveis em esr.rnp.br/leitura/cartilhas-uca

Segurana em redes sem fio


A segurana em redes sem fio depende da configurao adequada do ponto de acesso. Uma primeira opo, bem simples, usar o SSID (Service Set Identifier), o identificador de uma clula de rede sem fio. Para se conectar rede, o cliente deve saber o SSID daquela clula, o que pode ser feito de duas formas:
\\De

forma automtica, desde que o ponto de acesso divulgue o SSID e o cliente esteja operando no mesmo canal; caso do ponto de acesso no divulgar o SSID, o cliente deve conhecer o SSID para se conectar rede, caracterizando uma medida de segurana.

\\No

108

WEP (Wired Equivalent Privacy)


Em uma rede sem fio, o trfego de dados sem proteo entre os clientes e o ponto de acesso constitui uma sria falha de segurana. Numa rede cabeada um hacker precisaria ter acesso fsico a um ponto de rede para tentar uma invaso. J em uma rede sem fio, basta que ele esteja ao alcance do ponto de acesso, o que muito mais fcil de conseguir e mais difcil de ser detectado. Para evitar esses ataques necessrio cifrar os dados, e o protocolo WEP o responsvel por essa tarefa. WEP o algoritmo de criptografia usado no processo de autenticao de chave compartilhada, que permite autenticar usurios e cifrar os dados somente no segmento sem fio. Seu uso est especificado no padro IEEE 802.11. WEP um algoritmo simples, rpido para cifrar e decifrar dados, no sobrecarregando o ponto de acesso. Pode ser implementado com chave de 64 ou 128 bits, e a chave pode ser definida em cdigo ASCII ou em cdigo hexadecimal. Na definio da chave o algoritmo concatena um vetor de inicializao de 24 bits com a chave secreta, que pode ter o comprimento de 40 bits (40+24=64) ou 104 bits (104+24=128), dependendo da opo de tamanho escolhida. Para acessar o roteador D-Link, usado como ponto de acesso nos laboratrios Proinfo, utilizado o navegador com o endereo: http://192.168.0.1. O acesso feito de dentro da rede local. Para acesso externo, veremos mais adiante o endereo que deve ser usado. A primeira tela, aps o procedimento de login, est mostrada na figura seguinte, e permite a configurao do roteador atravs de um processo automtico (wizard). Figura 6.11 Tela inicial do roteador D-Link

109

Captulo 6 Redes locais

Esse tipo de autenticao do cliente chamado de autenticao de sistema aberto. o mtodo padro utilizado nos equipamentos wireless. Esse mtodo baseado no SSID, desde que o ponto de acesso e o cliente estejam usando o mesmo SSID. No exigida criptografia, mas ela pode ser usada para cifrar os dados que sero transmitidos aps a autenticao do cliente. Outro mtodo de autenticao a autenticao de chave compartilhada, em que o uso de criptografia obrigatrio.

Formao de suporte tcnico Proinfo

A prxima figura mostra um exemplo de configurao de chave WEP em hexadecimal de 64 bits, no roteador D-Link. Note que a chave informada (Frase-passe) em ASCII (PINFO). Figura 6.12 Configurao de chave WEP no ponto de acesso

Quando um cliente tenta se autenticar junto a um ponto de acesso, sua chave WEP verificada pelo ponto de acesso. Se estiver correta, ento ele ser autenticado e a partir da todos os dados sero cifrados. A codificao no cliente depende do adaptador que ele esteja usando. Um exemplo de configurao no cliente est mostrado na figura a seguir, onde o Linux Educacional 3.0 reconheceu o adaptador e o ponto de acesso e percebeu que a criptografia WEP estava sendo empregada. Neste exemplo est sendo usada a autenticao de sistema aberto, onde SSID = ESCOLA, e a chave escolhida est sendo informada em ASCII (PINFO). Como dissemos, na autenticao de sistema aberto a criptografia WEP pode ser usada, mas sem obrigatoriedade. Figura 6.13 Configurao de chave WEP no cliente

110

WPA (Wi-Fi Protected Access)


WPA um subconjunto do padro IEEE 802.11i que utiliza o protocolo TKIP (Temporal Key Integrity Protocol) para cifrar o fluxo de dados, uma tecnologia mais avanada que o RC4 empregado no WEP, que no proporciona realmente uma segurana robusta para WLANs corporativas. Isso motivou a criao do WPA, em que as chaves so fortes e geradas dinamicamente. O WPA inclui o TKIP (Temporal Key Integrity Protocol) alm dos mecanismos 802.1x. Tambm usa um vetor de inicializao de 48 bits, dificultando muito o trabalho do hacker e aumentando drasticamente a dificuldade para a quebra de codificao atravs da captura de frames.

Filtragem de endereos MAC


Os pontos de acesso permitem a funcionalidade de filtragem de endereos fsicos (endereos MAC) das placas de rede dos clientes, de forma que possvel permitir ou bloquear o acesso de determinados endereos MAC. Em conjunto com a chave WEP, a filtragem de endereos MAC proporciona uma segurana adequada em redes pequenas. A figura seguinte ilustra uma filtragem MAC. Note que a tela permite entrar com uma lista de endereos MAC autorizados ou proibidos de acessar a rede. Figura 6.14 Configurao de filtros MAC

111

Captulo 6 Redes locais

112

7
Network Address Translation (NAT)
Endereos privados
Endereo privado Endereo IP reservado que possui unicidade local e pode ser usado de forma aberta por qualquer organizao, sem autorizao prvia.

O crescimento exponencial da internet requer mecanismos que permitam um melhor aproveitamento do espao de endereamento global, para evitar, assim, a indisponibilidade de endereos em um futuro prximo. Nesse sentido, o conceito de endereo privado foi introduzido, provendo um conjunto de endereos reservados que podem ser usados de forma aberta por qualquer organizao, sem autorizao prvia. A tabela abaixo mostra o espao reservado de endereos privados. Observe que um nico endereo de rede classe A reservado. No entanto, para as classes B e C, o nmero bem maior: 16 endereos de rede classe B e 256 endereos de rede classe C so reservados. Esses endereos foram definidos no RFC 1918. Classe A B C Endereo de rede 10.0.0.0 172.16.0.0 - 172.31.0.0 192.168.0.0 - 192.168.255.0

Tabela 7.1 Endereos privados

Endereo pblico Endereo IP que possui unicidade global e somente pode ser atribudo para uma organizao atravs de uma instituio autorizada da internet.

Podemos dizer que o espao de endereos IP dividido em:


\\Endereos

pblicos possuem unicidade global e somente podem ser atribudos para uma organizao por uma instituio autorizada da internet. Assim, qualquer organizao que necessite acessar a internet deve obter endereos pblicos de uma instituio autorizada. Normalmente so os endereos IP fixos fornecidos pelo provedor de acesso internet; privados podem ser usados livremente por qualquer organizao porque no so oficialmente atribudos por instituies autorizadas da internet. Possuem apenas unicidade local, ou seja, so nicos apenas na inter-rede privada, mas no identificam de forma nica as estaes na internet.

\\Endereos

113

Formao de suporte tcnico Proinfo

Como endereos privados no possuem unicidade global, as diversas estaes e redes privadas no devem ser visveis externamente na internet. Logo, informaes de roteamento sobre redes privadas no podem ser propagadas na internet. Alm disso, datagramas IP com endereos privados trafegam apenas internamente e no devem, portanto, ser roteados para fora da inter-rede privada. Estaes privadas podem se comunicar com outras estaes (pblicas ou privadas) dentro da inter-rede privada, mas no possuem conectividade IP com qualquer estao fora da inter-rede privada. Embora no possuam conectividade direta, estaes privadas podem acessar servios externos por meio de tradutores de endereos, comumente implementados por servidores NAT (Network Address Translator). Alguns autores denominam erroneamente os endereos privados de endereos invlidos, pois eles no so vlidos na internet. Esta denominao no correta, uma vez que os RFCs que tratam desse assunto no utilizam tal nomenclatura. Alm disso, por definio, qualquer endereo IP de 4 octetos com valores inteiros positivos entre 0 e 255 em cada octeto um endereo IP vlido. A vantagem da adoo de endereos privativos para a internet conservar o espao de endereamento global, no atribuindo endereos pblicos onde a unicidade global no requerida, ou atribuindo blocos relativamente pequenos de endereos pblicos onde a unicidade global pode ser contornada com o uso de servidores NAT. Alm disso, como estaes e redes privadas no so visveis externamente na internet, endereos privativos tambm so adotados como mecanismo de segurana.
Servidor NAT Servidor responsvel pela traduo de endereos privativos para endereos pblicos atribudos a uma determinada instituio. Geralmente executado em um sistema situado entre a inter-rede privada da organizao e a internet.

Network Address Translation (NAT)


O nmero de endereos Internet Protocol (IP) verso 4 limitado. No incio dos anos 90, muitos especialistas acreditavam que os endereos IPv4 acabariam em poucos anos. Agora as novas tecnologias e aperfeioamentos podem prolongar o uso do IPv4, embora os endereos ainda sejam escassos. Uma dessas tecnologias para prolongar a vida til do IPv4 a Network Address Translation (NAT), inicialmente descrita no RFC 1631. NAT uma tcnica de reescrever endereos IP nos cabealhos (headers) e dados das aplicaes, em conformidade com uma poltica definida previamente, baseada no endereo IP de origem e/ou destino dos pacotes que trafegam pelos equipamentos que implementam NAT. No exemplo da figura a seguir, o endereo privativo 10.0.0.3 traduzido pelo roteador NAT (RTA) para o endereo pblico 179.9.8.80, quando o pacote enviado para a internet.

114

Interno RTA
10.0.0.2

Externo
128.23.2.2

SA 179.9.8.80

Internet

SA 10.0.0.3

10.0.0.3 Endereo Interno Endereo Externo 10.0.0.3 179.9.8.80

10.0.0.3 SA

128.23.2.2 ... DA

Dados

179.9.8.80 SA

128.23.2.2 ... DA

Dados

Na volta, o processo inverso realizado no mesmo ponto, conforme mostra a prxima figura. O processo NAT realiza a traduo de um endereo IP de destino pblico (179.9.8.80) para um endereo IP de destino privativo (10.0.0.3). Figura 7.2 Exemplo de NAT (parte 2)
10.0.0.2

Interno

Externo
128.23.2.2

RTA
RTA DA 10.0.0.3 DA 179.9.8.80

Internet

10.0.0.3 NAT Table Endereo local de IP interno Endereo global de IP interno Endereo global de IP externo 10.0.0.2 10.0.0.3 179.9.8.80 179.9.8.80 128.23.2.2 128.23.2.2

128.23.2.2 SA

10.0.0.3 ... DA

Dados

128.23.2.2 SA

179.9.8.80 ... DA

Dados

NAT permite que voc tenha mais endereos IP do que os que voc tem atribudos, usando o espao de endereamento do RFC 1918. Entretanto, pela necessidade de usar os endereos IP pblicos para a internet, NAT limita o nmero de hosts acessando a internet simultaneamente, dependendo da quantidade de endereos IP pblicos disponveis.
115

Captulo 7 Network Address Translation (NAT)

Figura 7.1 Exemplo de NAT (parte 1)

Formao de suporte tcnico Proinfo

Atividade: Configurao de NAT esttico


Na figura a seguir apresentado um exemplo de configurao de NAT Esttico, onde o endereo local interno 10.1.1.2 mapeado para o endereo local externo 192.168.1.2. Os trs comandos especficos de configurao NAT Esttico esto assinalados com uma seta.

GW
e0 10.1.1.1 10.1.1.2 SA 10.1.1.2 SA 192.168.1.2 s0 192.168.1.1

Internet

Figura 7.3 Exemplo de configurao de NAT Esttico

hostname GW ! IP nat inside source static 10.1.1.2 192.168.1.2 ! interface ethernet 0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface serial 0 ip address 192.168.1.1 255.255.255.0 ip nat outside !

Soluo
Vamos implementar essa rede no simulador Netsimk, de acordo com a prxima figura. O arquivo que contm a configurao da rede chama-se: Rede_Atividade6.nsw.
10.1.1.1 3 1 2 1 E0 GW 192.168.1.1 S0 DCE 192.168.1.10 S0 Internet 1

Figura 7.4 Rede exemplo de configurao de NAT Esttico

10.1.1.2

10.1.1.3

Os endereos IP mostrados na figura j esto configurados, mas a traduo NAT ainda no foi configurada. Nessa situao o computador com endereo IP: 10.1.1.2 da rede interna no consegue alcanar a interface s0 do roteador da internet com endereo IP: 192.168.1.10.
116

Para testar a conectividade do computador com endereo 10.1.1.2, ser necessrio utilizar o comando ping a partir do terminal do computador. Para abrir o terminal do computador, d um duplo clique no computador e selecione a aplicao Command Prompt (duplo clique) na janela aberta pelo simulador. Rede interna no acessa a internet:
C:> ping 192.168.1.1 Pinging 192.168.1.1 Reply from 10.1.1.1 Reply from 10.1.1.1 Reply from 10.1.1.1 Reply from 10.1.1.1 with 32 on Eth, on Eth, on Eth, on Eth, bytes of data: time<10ms TTL=80 time<10ms TTL=80 time<10ms TTL=80 time<10ms TTL=80

C:> ping 192.168.1.10 Pinging 192.168.1.10 with 32 bytes of data: Ping request timed out. Ping request timed out. Ping request timed out. Ping request timed out.

Para configurar a traduo NAT no roteador GW, vamos usar o computador com endereo IP: 10.1.1.3 como console do roteador (note o cabo azul tracejado de console). D um duplo clique nesse computador e selecione a aplicao HyperTerm (Hyper Terminal). Na janela aberta pelo simulador aperte a tecla Enter. Dever aparecer o terminal do roteador. Digite os comandos listados a seguir na mesma ordem em que aparecem. Em caso de dvida, chame o instrutor.
GW> GW> en GW# GW# conf t esse prompt chama-se modo usurio abreviatura do comando enable esse prompt chama-se modo privilegiado abreviatura do comando configure terminal End with CNTL/Z.

Enter configuration commands, one per line.

GW(config)# ip nat inside source static 10.1.1.2 192.168.1.2 GW(config)# ip nat inside source static 10.1.1.3 192.168.1.3 GW(config)# int e0 GW(config-if)# ip nat inside GW(config-if)# int s0 GW(config-if)# ip nat outside GW(config-if)# ^Z

Esses comandos instruem o roteador a fazer a traduo NAT dos endereos IP

117

Captulo 7 Network Address Translation (NAT)

Aps a configurao de NAT, de acordo com a orientao do instrutor, verifique se as tradues esto corretas. Em seguida tente acessar novamente o endereo IP: 192.168.1.10 a partir do computador com endereo IP: 10.1.1.2 da rede interna.

Formao de suporte tcnico Proinfo

10.1.1.2 e 10.1.1.3 para 192.168.1.2 e 192.168.1.3, respectivamente. O arquivo Rede_Atividade6_NAT.nsw contm a rede j com esta configurao de NAT realizada. Para fazer esta verificao, basta digitar o comando a seguir:
GW# sh ip nat translations Pro ----Inside global 192.168.1.2 192.168.1.3 Inside local 10.1.1.2 10.1.1.3 Outside local ----Outside global -----

Rede interna acessando a internet: Agora podemos acessar a internet, atravs do procedimento mostrado a seguir. Como a traduo para o endereo global foi feita, a rede interna pode acessar a internet.
C:> ping 192.168.1.10 Pinging 192.168.1.10 with 32 bytes of data: Reply from 192.168.1.10 on Eth, time<10ms TTL=79 Reply from 192.168.1.10 on Eth, time<10ms TTL=79 Reply from 192.168.1.10 on Eth, time<10ms TTL=79 Reply from 192.168.1.10 on Eth, time<10ms TTL=79

Para verificar o que exatamente o roteador GW est fazendo, vamos ativar a janela de atividade do roteador. Basta dar um duplo clique no roteador, selecionar a aba Activity (na parte superior da janela) e depois a opo Enable. Repita o comando mostrado acima. A atividade do roteador deve ser algo parecido com a listagem a seguir. Leia com ateno os comentrios.
(48) in E0: ARPReq: 10.1.1.2 looking for 10.1.1.1 (49) out E0: ARPAck: FromIP:10.1.1.1 MAC:86-25-A2-00-10-04 ToIP:10.1.1.2

(48) e (49) so os quadros ARP usados para obter o endereo fsico da interface E0 do roteador GW.
(47) in E0: PINGReq: 10.1.1.2 to 192.168.1.10 TTL=128

(47) o pacote enviado pelo computador da rede interna para a internet. Observe os endereos IP de origem e destino.
(47) out S0: PINGReq: 192.168.1.2 to 192.168.1.10 TTL=127

O mesmo pacote enviado pelo computador da rede interna para a internet, mas com o endereo de origem traduzido para 192.168.1.2.
(50) in S0: PINGAck: 192.168.1.10 to 192.168.1.2 TTL=80

(50) o pacote de resposta da internet para a rede interna. Observe os endereos IP de origem e destino.

118

Mesmo pacote de resposta da internet para a rede interna, mas com o endereo de destino traduzido para 10.1.1.2. Os demais pacotes so semelhantes a estes ltimos.

Roteador NAT
No exemplo anterior vimos uma situao de traduo esttica de um endereo privado para um endereo pblico (1:1). Essa situao no reflete a realidade, uma vez que os endereos privados estaro certamente em maior nmero do que os endereos pblicos. Assim, ser preciso, na prtica, traduzir muitos endereos privados em poucos (ou somente um) endereos pblicos. No prximo exemplo mostraremos como isso pode ser feito atravs de um roteador NAT. Observe que os roteadores domsticos usados em conexes ADSL normalmente implementam essa facilidade, sem necessidade de configurao. Mas importante entender o mecanismo utilizado para correo de eventuais problemas. As figuras a seguir (parte 1 a parte 4) mostram a simulao do trfego entre 10.1.1.6 (endereo privativo) e o servidor 198.133.219.25 (endereo pblico):
\\Nessa

rede, os usurios da rede local 10.1.1.0/24 pretendem acessar o servidor no IP 198.133.219.25. O administrador dessa rede seguiu o RFC 1918, mas agora encontra um problema: como sua rede 10.1.1.0/24, que no rotevel na internet, vai acessar o servidor externo? A resposta bvia: fazendo uma NAT no roteador (no caso do exemplo).
198.133.219.25

10.1.1.5

SA 10.1.1.6:1031 DA 198.133.219.25:80

Preciso enviar um pacote para 198.133.219.25

10.1.1.1

E0

S0

171.70.2.1

Internet

10.1.1.6

NAT Router

10.1.1.7

\\Com

Figura 7.5 Funcionamento da NAT (parte 1)

a NAT habilitada, o usurio, ao chamar a pgina web em questo no seu navegador (browser), far com que a sua mquina envie um pacote endereado a 198.133.219.25. O endereo IP da origem (por exemplo 10.1.1.6) e a porta de origem esto no pacote, assim como o endereo de destino (198.133.219.25) e a porta de destino (80). Esse exemplo est representado na figura anterior. o pacote chega ao roteador, ele o reescreve, substituindo o endereo de origem pelo endereo da interface do roteador onde est conectada a rede pblica (171.70.2.1), ou outro endereo previamente configurado (desde que seja rotevel) como endereo de origem e a porta de origem atribuda de uma lista de portas livres no roteador. Assim, o resto do pacote ser uma cpia do pacote original, conforme mostra a prxima figura.

\\Quando

119

Captulo 7 Network Address Translation (NAT)

(50) out E0: PINGAck: 192.168.1.10 to 10.1.1.2 TTL=79

Formao de suporte tcnico Proinfo

Tabela NAT 10.1.1.6 171.70.2.1 1031 40000

Processo NAT
SA 10.1.1.6:1031 SA 171.70.2.1:40000 SA 198.133.219.25:80

198.133.219.25

10.1.1.5 10.1.1.1

E0

S0

171.70.2.1

Internet

10.1.1.6

NAT Router

Vou trocar o endereo de origem do pacote pelo endereo externo

10.1.1.7

Figura 7.6 Funcionamento da NAT (parte 2)

\\No

retorno do pacote, o roteador substituir o endereo de destino (171.70.2.1) pelo IP interno que originou a sesso (10.1.1.6), conforme a sequncia de figuras 7.7 e 7.8 (partes 3 e 4).

Respondo para 171.70.2.1

198.133.219.25
SA 198.133.219.25:80 DA 171.70.2.1:40000

10.1.1.5 10.1.1.1 E0 S0

171.70.2.1

Internet

10.1.1.6

NAT Router

10.1.1.7

Figura 7.7 Funcionamento da NAT (parte 3)


Tabela NAT 10.1.1.6 171.70.2.1 1031 40000

Processo NAT
DA 171.70.2.1:40000 DA 10.1.1.6:1031 SA 198.133.219.25:80

198.133.219.25

10.1.1.5 10.1.1.1

E0

S0

171.70.2.1

Internet

10.1.1.6

NAT Router
Na resposta vou trocar o endereo de destino pelo endereo interno

10.1.1.7

Figura 7.8 Funcionamento da NAT (parte 4)

120

Vantagens e desvantagens da NAT


Vantagens da NAT
\\Conserva

o esquema de endereamento registrado legalmente, medida que permite o uso de endereos privados nas intranets; a flexibilidade de conexo com a rede pblica;

\\Aumenta \\Permite

que o esquema atual permanea, e suporta a adio de novos endereos alm dos privados; links so mais seguros, por revelarem menos informao;

\\Os

\\Hackers

tero dificuldade em determinar a origem de um pacote, ou mesmo impossibilidade em rastrear ou obter o endereo verdadeiro de origem ou destino.

Desvantagens da NAT
\\Desprivatizao

(mudana para endereos pblicos) da rede requer a troca de todos os seus endereos; pode causar perda de funcionalidade para certas aplicaes. Isto particularmente verdadeiro em aplicaes que necessitam enviar informao de endereamento IP fora do cabealho IP; provoca atrasos por causa do processo de traduo;

\\NAT

\\NAT

\\Perda

do rastreamento IP fim-a-fim (end-to-end IP traceability); fica mais difcil rastrear pacotes que percorrem numerosas mudanas de endereos por causa da NAT.

121

Captulo 7 Network Address Translation (NAT)

122

8
Roteamento
Para realizar o processo de roteamento, as implementaes do protocolo IP devem ser projetadas levando em considerao diversos conceitos associados funo de roteamento, bem como alguns componentes de software. Esses conceitos e componentes sero detalhados a seguir.

Roteamento IP
Roteamento a transferncia de informao da origem at o destino atravs de uma rede. Ao longo do caminho, tipicamente haver pelo menos um n intermedirio. De acordo com esta definio, a funo do roteador parece ser a mesma que a de uma ponte (switch/bridge). A principal diferena entre ambos que a ponte opera na camada de interface de rede da arquitetura TCP/IP, enquanto os roteadores operam na camada de rede. Assim, eles operam de maneiras diferentes, embora ambos executem operaes de comutao. A figura a seguir ilustra o conceito de roteamento. Figura 8.1 Conceito de roteamento

Origem

Destino

O roteamento envolve duas atividades bsicas:


\\Determinao \\Transporte

das rotas timas;

da informao (pacotes) atravs da rede (processo de comutao

switching).
123

Formao de suporte tcnico Proinfo

Algoritmos de comutao so relativamente simples e basicamente os mesmos para a maioria dos protocolos de roteamento. Tipicamente, um host determina que precisa enviar um pacote para outro host. Para tanto ele precisa, de alguma forma, saber o endereo do roteador (gateway padro) que vai fazer isso; se no souber, no h como enviar o pacote. Ento o host envia o pacote para o roteador, colocando o endereo fsico do roteador normalmente esto na mesma rede local, portanto o endereo fsico ser o endereo MAC e o endereo do protocolo de rede do host de destino. O roteador ento examina o pacote e tenta encaminh-lo para o host de destino, baseado no seu endereo de rede. Se o roteador tiver a rota adequada na sua tabela de rotas, encaminhar para o prximo n, mudando o endereo fsico para o endereo do prximo n e mantendo o endereo de rede do host destino. Se no tiver a rota na tabela, o roteador simplesmente descartar o pacote. E o processo se repetir at chegar ao roteador que est na mesma rede do host destino, que entregar o pacote enviando-o para o endereo fsico do host destino. Assim, medida que o pacote atravessa a rede, seu endereo fsico vai mudando, porm o endereo do protocolo de rede permanece igual (host destino). A figura seguinte mostra o processo de comutao acima descrito, enfatizando a diferena entre endereo fsico (endereo de camada de interface de rede) e endereo lgico (endereo de camada de rede). Lembramos que o endereo fsico s tem validade dentro da rede fsica, no sendo rotevel para outra rede.
Origem Pacote
Para: Destino (Endereo rede) Router1 (Endereo fsico)

Figura 8.2 Processo de comutao

Pacote Roteador1
Para: Destino (Endereo rede) Router2 (Endereo fsico)

Roteador2

Roteador3

Para: Destino (Endereo rede) Router3 (Endereo fsico)

Pacote
Para: Destino (Endereo rede) Destino (Endereo fsico)

Pacote Destino

124

Servio no confivel Servio que no garante a entrega de datagramas IP ao destino final. Servio sem conexo Servio que no estabelece uma conexo entre origem e destino antes de enviar os dados. Paradigma de melhor esforo O protocolo IP tenta entregar os pacotes da melhor forma possvel usando os recursos disponveis.

Na arquitetura TCP/IP, a camada de rede responsvel por prover e implementar o servio de entrega de datagramas. Tecnicamente, esse servio de entrega definido como um servio no confivel e sem conexo, que opera usando o paradigma de melhor esforo. O servio de entrega de datagramas da arquitetura TCP/IP considerado no confivel porque no garante que os datagramas sejam entregues com sucesso aos respectivos destinos finais. Na verdade, datagramas podem ser perdidos, retardados, duplicados e at mesmo chegar fora de ordem. Alm disso, como o servio de entrega no detecta a maioria desses casos, as estaes de origem e destino tambm no os percebem. Por fim, o servio de entrega no garante nem mesmo que o contedo dos datagramas entregues com sucesso esteja correto, pois nenhum mecanismo de deteco de erros aplicado ao campo de dados dos datagramas. A confiabilidade, se desejada, deve ser provida pelas camadas de transporte ou aplicao. O servio chamado sem conexo pelo fato de que, antes do envio dos datagramas, no existe qualquer comunicao prvia entre as estaes de origem e destino, com o objetivo de definir o caminho a ser seguido pelos pacotes ou reservar recursos ao longo desse caminho. Assim, a estao origem apenas monta o datagrama, acrescenta as informaes de endereamento que permitem o seu encaminhamento at o destino e envia-o ao prximo roteador intermedirio ou, quando possvel, diretamente estao de destino. Cada datagrama tratado de forma individual e completamente independente dos demais. Logo, nenhuma informao mantida sobre a sequncia dos datagramas enviados. Se uma determinada estao envia uma sequncia de datagramas para outra, esses datagramas podem ser encaminhados por diversos caminhos, trafegando por diferentes redes e roteadores intermedirios. Alguns desses datagramas podem ser perdidos, enquanto outros podem ser entregues ao destino, inclusive fora da sequncia original. O paradigma de melhor esforo recebe essa designao porque tenta realizar a entrega dos pacotes com o melhor aproveitamento possvel. Ou seja, pacotes somente so descartados em condies de escassez de recursos ou erros de transmisso que impeam a entrega. Por exemplo, quando um roteador no dispe de buffer de recepo, pacotes so simplesmente descartados. Para realizar a entrega de datagramas, a camada de rede deve executar a funo de roteamento, determinando o caminho ou rota que cada datagrama deve seguir para alcanar a estao destino.

Buffer Espao de memria reservado para armazenar temporariamente pacotes recebidos (buffer de recepo) ou a serem enviados (buffer de transmisso).

125

Captulo 8 Roteamento

J vimos que a estrutura de interconexo de inter-redes TCP/IP composta por um conjunto de redes fsicas interconectadas por roteadores, que permitem que as vrias estaes se comuniquem entre si. Para que isso ocorra, as estaes e roteadores devem suportar um servio de entrega de pacotes que aceite datagramas IP e os encaminhe at o destino final, possivelmente por meio de diversas redes e roteadores intermedirios.

Formao de suporte tcnico Proinfo

Na arquitetura TCP/IP, a camada de rede adota o modelo de roteamento passo-apasso (hop-by-hop). Nesse modelo, se as estaes origem e destino esto conectadas mesma rede fsica, a estao origem pode enviar o datagrama diretamente estao destino. No entanto, se as estaes origem e destino esto conectadas a redes fsicas distintas, a estao origem envia o datagrama ao prximo roteador (nexthop) do caminho, que assume a responsabilidade de continuar encaminhando o datagrama ao destino. Cada roteador intermedirio entrega o datagrama ao prximo roteador, at que algum deles possa entregar o datagrama diretamente estao destino. Como pode ser observado, a funo de roteamento explora os mecanismos de entrega direta e indireta, vistos anteriormente. A implementao da camada de rede mantm em memria informaes de roteamento, armazenadas em uma tabela de roteamento. Essa tabela consultada para descobrir a melhor rota a ser adotada para encaminhar cada datagrama. Na tabela de roteamento, as linhas representam rotas para cada destino possvel da interrede. Cada rota sinaliza como alcanar uma determinada rede ou estao especfica. Vale ressaltar que, na prtica, as rotas geralmente apontam para redes, reduzindo o tamanho da tabela e tornando o roteamento mais eficiente. Alm de algumas informaes auxiliares, cada rota possui apenas o endereo IP do prximo roteador que deve ser usado para alcanar a rede ou estao indicada na mesma. Geralmente, esse prximo roteador reside em uma rede diretamente conectada, permitindo que o datagrama lhe seja entregue. Observe que as rotas no indicam o caminho completo at o destino, mas apenas o endereo IP do prximo roteador. Assim, no modelo de roteamento da arquitetura TCP/IP, estaes origem e roteadores intermedirios no conhecem a rota completa at o destino.

Roteamento passoa-passo (hop-byhop) Tcnica de roteamento em que a estao origem e cada roteador intermedirio entregam o datagrama ao prximo roteador do caminho, at que algum deles possa entregar o datagrama diretamente estao destino. Tabela de roteamento Estrutura de dados mantida por todas as estaes e roteadores de uma inter-rede, contendo informaes sobre as melhores rotas para alcanar as possveis redes ou estaes de uma inter-rede.

Protocolos de roteamento
Para prover o servio de entrega de datagramas e a funo de roteamento, a camada de rede da arquitetura TCP/IP define dois protocolos:
\\IP

(Internet Protocol) o protocolo IP prov um servio de entrega de datagrama no confivel. um dos mais importantes protocolos da famlia TCP/IP, pois todos os demais protocolos das camadas de rede e transporte dependem dele para entregar partes de suas informaes. Em outras palavras, ICMP, IGMP, UDP e TCP so diretamente encapsulados em datagramas IP.

\\ICMP

(Internet Control Message Protocol) o protocolo ICMP auxilia o protocolo IP, sendo usado para trocar mensagens de erro e de controle, sinalizar situaes anormais de operao e permitir a identificao de informaes operacionais da rede. Para maiores detalhes, sugerimos a consulta ao livro: STEVENS, W. Richard. TCP/IP Illustrated Volume 1: The Protocols. Addison Wesley, 1994.

126

Como as tabelas de roteamento mantm os custos das vrias rotas, essas tabelas devem, consequentemente, ser sempre atualizadas para refletir as mudanas na situao operacional das vrias redes fsicas. Observe que mudanas no contedo das tabelas de roteamento modificam os caminhos que os datagramas devem seguir. Para atualizar as tabelas de roteamento, certo grau de cooperao dinmica necessrio entre os roteadores. Em particular, roteadores devem trocar informaes de roteamento que sinalizam as mudanas operacionais das vrias redes fsicas. Para tal, protocolos especficos devem ser usados para viabilizar a propagao e troca de informaes de roteamento entre roteadores. Tais protocolos so denominados protocolos de roteamento. Em resumo, podemos definir um protocolo de roteamento como um mecanismo que implementa a atualizao automtica das tabelas de roteamento nos diversos roteadores. As atualizaes so realizadas a partir das informaes de roteamento trocadas entre os roteadores, permitindo a definio de tabelas completas e consistentes. Tabelas completas so aquelas que possuem rotas para todos os possveis destinos. J tabelas consistentes so as que possuem rotas vlidas que consideram a situao operacional atual das vrias redes fsicas. Existem diversos protocolos de roteamento padronizados na arquitetura TCP/IP. Dentre eles, os protocolos RIP (Routing Information Protocol), OSPF (Open Shortest Path First) e BGP (Border Gateway Protocol) so os principais, por serem os mais adotados na prtica.

Principais protocolos de roteamento na arquitetura TCP/IP


\\RIP

(Routing Information Protocol) protocolo de roteamento tipo vetor distncia que propaga, periodicamente, informaes de roteamento aos roteadores vizinhos, independente de ocorrerem ou no mudanas operacionais nas redes fsicas. (Open Shortest Path First) protocolo de roteamento tipo estado de enlace que propaga as informaes dos enlaces de rede para todos os roteadores, apenas na inicializao ou aps mudanas no estado dos enlaces. (Border Gateway Protocol) protocolo de roteamento tipo exterior usado para propagar informaes de alcanabilidade das redes que compem os diversos sistemas autnomos. Mais informaes sobre os protocolos de roteamento podem ser encontradas no livro: BALLEW, Scott M. Managing IP Networks with Cisco Routers. OReilly & Associates, 1997.

\\OSPF

\\BGP

127

Captulo 8 Roteamento

Formao de suporte tcnico Proinfo

Modelo de roteamento
Na arquitetura TCP/IP, a camada de rede adota o modelo de roteamento passo-apasso (hop-by-hop). Nesse modelo, se as estaes origem e destino esto conectadas mesma rede fsica, o algoritmo de roteamento da estao origem encaminha o datagrama diretamente estao destino. No entanto, se as estaes origem e destino esto conectadas a redes fsicas distintas, o algoritmo de roteamento da estao origem roteia o datagrama ao prximo roteador (next-hop) do melhor caminho at o destino. Por sua vez, esse roteador intermedirio assume a responsabilidade de continuar encaminhando o datagrama ao destino. Seguindo esse modelo passo-a-passo, o algoritmo de roteamento de cada roteador intermedirio roteia o datagrama para o prximo roteador, at que algum deles possa realizar uma entrega direta estao destino. Assim, os datagramas atravessam a inter-rede e so encaminhados de um roteador para outro, at que possam ser entregues diretamente ao destino final. Para implementar o modelo de roteamento passo-a-passo, tipicamente, a tabela de roteamento contm rotas representadas por pares (N, R), em que N o endereo da rede destino e R o endereo IP do prximo roteador (next-hop) no caminho at a rede N. Geralmente, R est em uma rede diretamente conectada, permitindo a entrega direta do datagrama a ele. Quando a rede N j diretamente conectada, ao invs de indicar o prximo roteador, a rota apenas indica que uma entrega direta pode ser realizada ao destino.

Listando a tabela de roteamento


Com base no conhecimento sobre o modelo de roteamento, podemos apresentar exemplos prticos de tabelas de roteamento no Linux Educacional. O comando route -n lista a tabela de roteamento da estao. A opo -n fora a apresentao apenas dos endereos, conforme mostrado na listagem a seguir.
$ route -n
Tabela de Roteamento IP do Kernel Destino 192.168.2.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.0.0 0.0.0.0 Opes Mtrica Ref U U UG 0 1000 0 0 0 0 Uso Iface 0 eth1 0 eth1 0 eth1

Observe que na prtica a tabela de roteamento possui mais informaes que apenas os pares (N, R). As principais informaes mostradas incluem:
\\Endereo

da rede destino (Destino), em que 0.0.0.0 ou default representa a rota

default;
\\Endereo

do prximo roteador (Roteador), em que 0.0.0.0 ou um asterisco (*) indica um destino diretamente conectado; da rede destino (MscaraGen.), em que 0.0.0.0 a mscara de uma rota default;

\\Mscara

128

\\Mtrica

da rota (Mtrica); usada para enviar os datagramas (Iface).

\\Interface

Principais indicadores de estado da rota:


\\U \\G

rota vlida (up); rota indireta via um roteador intermedirio (Roteador).

Tambm possvel listar a tabela de roteamento usando o comando netstat com a opo -nr. Similarmente, a opo -n fora a apresentao dos endereos, ao invs de nomes de redes e roteadores. A listagem a seguir mostra a sada deste comando. Observe que o comando netstat no mostra as mtricas das rotas.
$ netstat -nr
Tabela de Roteamento IP do Kernel Destino 192.168.2.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.0.0 0.0.0.0 Opes U U UG MSS Janela 0 0 0 0 0 0 irtt Iface 0 eth1 0 eth1 0 eth1

Roteamento esttico
Rota esttica Rota configurada manualmente pelo administrador. Roteamento esttico Estratgia de roteamento na qual as tabelas de roteamento de roteadores e estaes so manualmente configuradas pelo administrador.

As tabelas de roteamento podem ser diretamente manipuladas pelos administradores atravs de comandos especficos, que permitem instalar ou remover rotas manualmente. Assim, os administradores podem configurar as tabelas de roteamento de roteadores e estaes, definindo as rotas para todos os possveis destinos. As rotas configuradas manualmente so denominadas rotas estticas. Da mesma forma, a estratgia de roteamento baseada apenas em rotas estticas denominada roteamento esttico. No roteamento esttico, sempre que redes so acrescentadas, removidas ou mudam de estado operacional, os administradores devem atualizar manualmente as tabelas de roteamento de todos ou de parte dos roteadores e estaes. Portanto, o roteamento esttico pode consumir bastante tempo de configurao e estar sujeito a erros, no acomodando de forma satisfatria o crescimento e as mudanas na inter-rede. Consequentemente, o roteamento esttico adequado para inter-redes pequenas, simples e estveis, em que as redes fsicas possuem apenas uma nica conexo com as demais redes que compem a inter-rede. No existem rotas redundantes, alm do que mudanas no estado operacional das redes so bastante incomuns. Essas caractersticas reduzem o tamanho das tabelas de roteamento e evitam a constante configurao manual de rotas. Na prtica, no roteamento esttico, as entradas das tabelas de roteamento so criadas por comandos que realizam a configurao do endereamento das interfaces de rede
129

Captulo 8 Roteamento

\\Estado

da rota (Opes);

Formao de suporte tcnico Proinfo

e, tambm, por comandos especficos que permitem a configurao de rotas estticas. Geralmente, tais comandos so includos em arquivos de configurao processados durante a inicializao dos sistemas. Por exemplo, no Linux Educacional, o comando ifconfig configura os endereos das interfaces e automaticamente instala rotas para as respectivas redes diretamente conectadas, conforme foi visto. O comando route, por sua vez, permite criar e remover rotas da tabela de roteamento. A listagem a seguir mostra a criao de uma rota esttica para a rede 200.10.1.0/24 nesta estao, para a interface eth0. A opo add indica que uma rota deve ser criada para a rede 200.10.1.0 (-net), cuja mscara 255.255.255.0 (netmask), via interface eth0. Para criar rotas para estaes, deve-se adotar a mesma sintaxe, porm substituindo a opo net por host. Para remover rotas, deve-se utilizar a opo del. Na mesma listagem vemos a remoo da rota esttica para a rede 200.10.1.0/24. Similarmente, deve-se adotar a mesma sintaxe para remover rotas para estaes, porm substituindo a opo net por host.
$ sudo route add -net 200.10.1.0 netmask 255.255.255.0 eth0 [sudo] password for aluno1: senha $ route -n
Tabela de Roteamento IP do Kernel Destino 192.168.2.0 200.10.1.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.255.0 255.255.0.0 0.0.0.0 Opes Mtrica Ref U U U UG 0 0 1000 0 0 0 0 0 Uso Iface 0 eth1 0 eth0 0 eth1 0 eth1

$ sudo route del -net 200.10.1.0 netmask 255.255.255.0 eth0 $ route -n


Tabela de Roteamento IP do Kernel Destino 192.168.2.0 169.254.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.0.0 0.0.0.0 Opes Mtrica Ref U U UG 0 1000 0 0 0 0 Uso Iface 0 eth1 0 eth1 0 eth1

O comando route tambm permite criar e remover a rota default. A listagem a seguir ilustra a criao da rota default nesta estao. A opo add default indica que uma rota default deve ser criada via interface eth0. Para remover a rota default basta substituir a opo add por del.
$ sudo route add default eth0 $ route -n
Tabela de Roteamento IP do Kernel Destino 192.168.2.0 169.254.0.0 0.0.0.0 0.0.0.0 Roteador 0.0.0.0 0.0.0.0 0.0.0.0 192.168.2.1 MscaraGen. 255.255.255.0 255.255.0.0 0.0.0.0 0.0.0.0 Opes Mtrica Ref U U U UG 0 1000 0 0 0 0 0 0 Uso Iface 0 eth1 0 eth1 0 eth0 0 eth1

130

Roteamento dinmico
Em inter-redes complexas, grandes e instveis, tal como a internet, os administradores no conseguem atualizar as rotas manualmente, de forma rpida e confivel, em resposta s mudanas na inter-rede. Portanto, protocolos de roteamento devem ser adotados para atualizar automaticamente as tabelas de roteamento, de modo a melhorar a confiabilidade da rede e o tempo de resposta s mudanas operacionais. Vale ressaltar que protocolos de roteamento tambm podem ser interessantes em redes pequenas que possuem rotas redundantes e que apresentam frequentes mudanas na situao operacional das redes fsicas. Nesses casos, a atualizao das rotas pode ser realizada de forma automtica, rpida e confivel. Para realizar a atualizao automtica das rotas, os protocolos de roteamento propagam informaes de roteamento, a partir das quais tabelas de roteamento completas e consistentes podem ser dinamicamente configuradas. Na prtica, os protocolos de roteamento permitem a criao de novas rotas, atualizao de rotas existentes e remoo de rotas invlidas. Por exemplo, quando o protocolo de roteamento detecta uma nova rede fsica, uma nova rota acrescentada nas tabelas de roteamento. Aps perceber alteraes nas mtricas de roteamento, o protocolo de roteamento pode atualizar as mtricas das rotas. Por fim, se o protocolo de roteamento detecta a falha de um determinado enlace, as rotas afetadas podem ser removidas e rotas alternativas que resolvem o problema podem ser criadas. Quando existem rotas redundantes, o protocolo de roteamento encontra mltiplas rotas para determinados destinos. Nesses casos, com base nas mtricas de roteamento, o protocolo de roteamento decide a melhor rota e a instala na tabela de roteamento. Alguns protocolos instalam mltiplas rotas na tabela de roteamento e, dependendo da implementao, o algoritmo de roteamento usa apenas a melhor rota ou realiza o balanceamento de carga entre essas possveis rotas. As rotas manipuladas pelos protocolos de roteamento so denominadas rotas dinmicas e, por consequncia, a estratgia de roteamento baseada apenas em rotas dinmicas denominada roteamento dinmico. A adoo do roteamento dinmico no muda a forma como o algoritmo de roteamento encaminha os datagramas. As entradas das tabelas de roteamento que so modificadas para refletir as mudanas na inter-rede.

Rota dinmica Rota configurada automaticamente por protocolos de roteamento. Roteamento dinmico Estratgia de roteamento na qual todas as tabelas de roteamento de roteadores e estaes so automaticamente configuradas pelos protocolos de roteamento.

Roteamento hbrido
As estratgias de roteamento esttico e dinmico tm suas vantagens e desvantagens. O roteamento dinmico pode resolver situaes complexas de roteamento de forma mais rpida e confivel. Porm consome recursos de processamento e comunicao para propagar e processar as informaes de roteamento. O roteamento esttico evita o consumo de recursos de processamento e comunicao, pois no existe
131

Captulo 8 Roteamento

Formao de suporte tcnico Proinfo

propagao de informaes de roteamento. Entretanto, no acomoda de forma satisfatria o crescimento e as mudanas operacionais, pois a interveno manual lenta e sujeita a erros. Consequentemente, na prtica, bastante comum encontrarmos uma estratgia de roteamento hbrido. Nesse caso, a configurao inicial da tabela de roteamento composta por rotas diretas para as redes diretamente conectadas e por rotas estticas para as redes que proveem servios essenciais de conectividade. Em seguida, os protocolos de roteamento acrescentam rotas dinmicas para as demais redes fsicas que compem a inter-rede. No roteamento hbrido, geralmente, as estaes so configuradas com rotas estticas.

Atividade: Configurando roteamento


A figura a seguir mostra um exemplo de roteamento IP, onde existem duas redes locais, uma no Rio e outra em So Paulo. A rede local RJ usa o endereo de rede 172.16.10.0/24 e a de SP usa o endereo de rede 172.16.20.0/24. Os respectivos roteadores usam na interface diretamente conectada s redes (interface Ethernet E0) um endereo vlido de cada uma delas, no caso, em RJ o endereo 172.16.10.1 e em SP o endereo 172.16.20.1. Esses endereos sero os gateways padro das respectivas redes, tendo que ser configurados em todos os hosts das duas redes.
Rede Local - RJ Rede Local - SP

Roteamento hbrido Estratgia de roteamento na qual as tabelas de roteamento de roteadores e estaes so inicialmente configuradas com algumas rotas estticas e, posteriormente, complementadas com rotas dinmicas.

Figura 8.3 Exemplo de roteamento IP


SP 03
172.16.20.22

RJ 01
172.16.10.10

RJ 02
172.16.10.11

RJ 03
172.16.10.12

SP 01
172.16.20.20

SP 02
172.16.20.21

Roteador - RJ
172.16.10.1

Roteador - SP
172.16.20.1

172.16.30.1

Linha Dedicada (SLDD) Rede WAN 172.16.30.0/24

172.16.30.2

Modem - RJ

Modem - SP

Para se comunicarem entre si, os roteadores usam uma linha dedicada conectada a uma interface serial (S0). Os endereos dessas interfaces tm que ser diferentes dos endereos das interfaces Ethernet, ou em outras palavras, pertencerem a outra rede fsica. Assim, os roteadores se comunicam atravs da rede 172.16.30.0/24, sendo que a interface serial do roteador RJ tem o endereo 172.16.30.1 e a de SP o endereo 172.16.30.2. Dessa forma, a rede 172.16.30.0/24 uma ponte entre as duas redes locais.

132

Suponha que o host RJ 01 tem que enviar um pacote para o host SP 03. Os respectivos endereos de origem e destino so: 172.16.10.10 e 172.16.20.22. O host RJ 01 conclui que o endereo de destino no da rede dele e, nesse caso, envia para o gateway padro, porque o host no foi configurado como roteador. Ao chegar ao roteador RJ (via interface 172.16.10.1), o roteador RJ consulta sua tabela de rotas para saber como despachar o pacote. A sua tabela de rotas informa que, para chegar rede de destino (172.16.20.0/24), ele precisa enviar o pacote para o roteador SP no endereo 172.16.30.2 (next hop) via interface serial, que tem o endereo 172.16.30.1. O roteador SP consulta sua tabela de rotas e verifica que est diretamente conectado rede de destino; logo, ele entrega o pacote ao host 172.16.20.22 via interface 172.16.20.1. Vamos usar o simulador Netsimk para desenhar essa rede, conforme mostra a figura a seguir. O arquivo chama-se: Rede_Atividade7.nsw. Figura 8.4 Exemplo de roteamento IP
Rede Local - RJ RJ 01
172.16.10.10

Rede Local - SP RJ 03
172.16.10.12

RJ 02
172.16.10.11

SP 01
172.16.20.20

SP 02
172.16.20.21

SP 03
172.16.20.22

RJ 01

RJ 02 3

RJ 03

SP 01

SP 02 3

SP 03

1
C 172.16.10.0/24 EO 0 C 172.16.30.0/24 S0 0

1 1 2
C 172.16.20.0/24 EO 0 C 172.16.30.0/24 S0 0

172.16.10.1 RJ

S0 DCE 172.16.30.1

S0 172.16.30.2 SP

172.16.20.1

Observe que os roteadores reconheceram as respectivas redes diretamente conectadas, a saber:


\\Roteador \\Roteador

RJ redes 172.16.10.0/24 e 172.16.30.0/24 SP redes 172.16.20.0/24 e 172.16.30.0/24

O simulador destaca as tabelas de rotas de cada roteador. O simulador tambm permite visualizar um resumo de todos os endereos IP configurados (funo Summaries IP), conforme mostra a prxima figura. O computador que est no meio da figura (sem nome e sem endereo IP) s est sendo usado como console de configurao dos dois roteadores.

133

Captulo 8 Roteamento

Formao de suporte tcnico Proinfo

Figura 8.5 Sumrio da configurao de endereos IP

1. Vamos tentar enviar uma mensagem do host RJ 01 para o host SP 03. Use o comando ping para isso. 2. Foi bem-sucedido? Se no funcionou, o que significa a mensagem de erro? (mensagem ICMP). 3. Usando o comando ping, descubra at onde possvel ter conectividade na rede, a partir do host RJ 01, ao longo do caminho para o host SP 03. 4. Explique por que a conectividade terminou na interface s0 do roteador SP. Tente o mesmo procedimento a partir do roteador RJ. Houve alguma diferena? Explique. 5. Proponha uma soluo para o problema de conectividade usando rotas estticas. 6. Implemente a soluo (pea auxlio ao instrutor, se necessrio). 7. Finalmente, tente mandar uma mensagem do host RJ 01 para o host SP 03. Se as rotas estticas estiverem configuradas corretamente, o comando ping deve funcionar.

Soluo
1. Para enviar uma mensagem do host RJ 01 para o host SP 03 usaremos o comando ping, conforme mostrado na listagem a seguir:
C:> ping 172.16.20.22 Pinging 172.16.20.22 with 32 bytes of data: Destination unreachable at 172.16.10.1 Destination unreachable at 172.16.10.1 Destination unreachable at 172.16.10.1 Destination unreachable at 172.16.10.1

134

3. Antes de resolver esse problema, vamos apresentar outro problema interessante, diretamente relacionado ao problema de falta de rota. Normalmente quando o administrador de rede enfrenta um problema desse tipo, ele vai seguindo o roteamento do pacote passo-a-passo (hop-by-hop), conforme foi explicado no item Modelo de roteamento. O procedimento o seguinte: aplicar o comando ping para cada interface de rede no caminho entre a origem e o destino, at encontrar o ponto em que no vai mais em frente. A listagem a seguir mostra esse procedimento:
C:> ping 172.16.10.1

gateway padro do RJ 01

Pinging 172.16.10.1 with 32 bytes of data: Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 C:> ping 172.16.30.1

interface s0 do roteador RJ

Pinging 172.16.30.1 with 32 bytes of data: Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 Reply from 172.16.10.1 on Eth, time<10ms TTL=80 C:> ping 172.16.30.2

interface s0 do roteador SP

Pinging 172.16.30.2 with 32 bytes of data: Ping request timed out. Ping request timed out. Ping request timed out. Ping request timed out.

O mais interessante que passou pela interface do roteador RJ sem problemas, mas parou na interface s0 do roteador SP na outra ponta do mesmo enlace. Por qu? 4. Para melhor entendermos o problema, vamos emitir o comando ping a partir do roteador RJ e no da estao RJ 01, como fizemos antes. A listagem a seguir mostra o resultado:

135

Captulo 8 Roteamento

2. Observe que no funcionou e a mensagem de erro (mensagem ICMP) de destino inalcanvel. Essa mensagem sinaliza que no existe rota para a rede destino, no caso a rede 172.16.20.0/24. Realmente, o roteador RJ s conhece as rotas para as redes 172.16.10.0/24 e 172.16.30.0/24. De alguma forma precisamos informar ao roteador RJ a rota para esta rede, ou seja, o que fazer com um pacote IP que deve ser entregue para a rede 172.16.20.0/24, ou dizendo de outra forma: qual a rota para a rede 172.16.20.0/24?

Formao de suporte tcnico Proinfo

RJ# ping 172.16.30.2

interface s0 do roteador SP

Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 172.16.30.2. Timeout is 2 seconds: !!!!! Success rate is 100% (5/5), round trip min/avg/max = 9/10/10 ms (OK) RJ# ping 172.16.20.1

interface e0 do roteador SP

Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 172.16.20.1. Timeout is 2 seconds: ..... Success rate is 0% (0/5), round trip min/avg/max = 0/0/0 ms no est OK

Observe que o roteador RJ tem conectividade com o roteador SP (ambos esto na mesma rede: 172.16.30.0/24), mas no tem conectividade com a rede 172.16.20.0/24. exatamente por causa disso que o comando ping da estao RJ 01 no passou do roteador SP: ele no sabe a rota para a rede 172.16.10.0/24, onde est a estao RJ 01. Logo, ele recebe o Echo Request, mas no pode responder ao Echo Reply, porque no h rota para a rede na qual est a estao RJ 01. 5. Para resolver isso, precisamos fazer duas coisas:
\\Roteador \\Roteador

RJ ensinar a rota para a rede 172.16.20.0/24; SP ensinar a rota para a rede 172.16.10.0/24.

6. Vamos usar rotas estticas, que so aquelas criadas pelo administrador da rede e as mais usadas em pequenas redes. No roteador RJ temos que emitir os seguintes comandos:
RJ# conf t Enter configuration commands, one per line. End with CNTL/Z.

RJ(config)# ip route 172.16.20.0 255.255.255.0 172.16.30.2 RJ(config)# exit RJ# sh ip route Network 172.16.0.0 is subnetted, 3 subnets C 172.16.10.0/24 is directly connected to Ethernet 0 S 172.16.20.0/24 [1/0] via 172.16.30.2 00:00:18 S0 C 172.16.30.0/24 is directly connected to Serial 0

Note que o comando ip route informa ao roteador RJ os datagramas IP para a rede 172.16.20.0/24 que devem ser entregues interface s0 do roteador SP (next hop). Verificamos atravs do comando sh ip route que esta rota esttica foi
136

SP# conf t Enter configuration commands, one per line. End with CNTL/Z.

SP(config)# ip route 172.16.10.0 255.255.255.0 172.16.30.1 SP(config)# exit SP# sh ip route Network 172.16.0.0 is subnetted, 3 subnets S 172.16.10.0/24 [1/0] via 172.16.30.1 00:00:11 S0 C 172.16.20.0/24 is directly connected to Ethernet 0 C 172.16.30.0/24 is directly connected to Serial 0

Agora ambos os roteadores conhecem as rotas para todas as redes. O arquivo que contm a rede configurada com as rotas estticas chama-se Rede_Atividade7_OK.nsw. 7. Finalmente, podemos executar o comando ping do host RJ 01 para o host SP 03, conforme mostrado a seguir.
C:> ping 172.16.20.22 Pinging 172.16.20.22 with 32 bytes of data: Ping request timed out. Reply from 172.16.20.22 on Eth, time<10ms TTL=126 Reply from 172.16.20.22 on Eth, time<10ms TTL=126 Reply from 172.16.20.22 on Eth, time<10ms TTL=126

O primeiro comando ping deu timeout por causa do tempo gasto pelo protocolo ARP, que foi usado para que o host RJ 01 obtivesse o endereo fsico da interface e0 do roteador RJ (defaul gateway da rede 172.16.10.0/24). Os outros funcionaram corretamente.

137

Captulo 8 Roteamento

adicionada tabela de roteamento do roteador RJ. De maneira anloga, configuramos uma rota esttica para o roteador SP.

138

9
Segurana
ISO International Organization for Standardization. NBR Denominao de norma da Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002:2005 Cdigo de prticas para a gesto de segurana da informao. Norma que estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto da segurana da informao em uma organizao. Os objetivos definidos nesta norma proveem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.

Nesse captulo vamos conhecer os conceitos fundamentais de segurana em ambientes computacionais, as ameaas atuais, alm dos procedimentos bsicos para manuteno do ambiente seguro. Conheceremos a importncia das senhas, aprenderemos os conceitos de vrus e spam e como combat-los. Tambm sero apresentadas as polticas de backup, os logs do sistema, as ferramentas de segurana e as boas prticas. Todo o material terico apoiado por atividades prticas em laboratrio.

Introduo a segurana de redes


A segurana em ambientes computacionais nos dias atuais vem sendo cada vez mais levada em considerao pelas empresas, porm dada a dificuldade crescente de proteo por conta das novas ferramentas de ataque e brechas de segurana que rapidamente se difundem nos meios de comunicao, pensar em segurana dentro das organizaes tornou-se imprescindvel para qualquer tipo de negcio. De acordo com a norma NBR ISO/IEC 27002:2005 (em substituio norma 17799:2005), a segurana da informao consiste na preservao de trs caractersticas bsicas:
\\Confidencialidade

garantia de que a informao seja acessada somente por pessoas autorizadas; salvaguarda da exatido e da integridade da informao e dos mtodos de processamento; garantia de que apenas os usurios autorizados podem obter acesso informao e aos ativos correspondentes, sempre que necessrio.

\\Integridade

\\Disponibilidade

Os conceitos iniciais de confidencialidade, integridade e disponibilidade devem ser expandidos de maneira a incluir mais dois termos:

139

Formao de suporte tcnico Proinfo

\\Autenticidade

h garantia da identidade dos participantes da comunicao? Quem gerou a informao mesmo quem pensamos que ?

\\Legalidade

a informao ou sua posse est em conformidade com as legislaes institucionais, nacionais e internacionais vigentes? Copiar mdia que contenha informao legal? A posse da informao legal?

Histrico de segurana de redes


\\Anos

50 e 60 o DoD (Departamento de Defesa) o orgo do governo americano que mais contribuiu para o desenvolvimento de projetos no s na rea de segurana, mas tambm em outras reas, como por exemplo o prprio projeto que deu origem internet, inicialmente desse rgo, conhecido como Arpanet. Na dcada de 60 surge tambm a primeira verso do Unix, desenvolvida por Ken Thompson, dos laboratrios Bell. Derivado do Multics, foi chamado primeiramente de Unics; Brian Kernighan, parodiando, finalmente chamou-o de Unix. 70 sub-produto da guerra fria, o Data Encryption Standard (DES) foi adotado pelo governo dos EUA como mtodo oficial de proteo de dados no confidenciais em computadores das agncias do governo. Foi muito utilizado nas implementaes dos sistemas de autenticao Unix, como Linux, FreeBSD, Solaris etc. Hoje o DES no mais usado, pois se tornou extremamente inseguro devido ao grande avano computacional, tendo sido substitudo atualmente por algoritmos como o MD5 e SHA. 80 O Computer Fraud and Abuse Act, criado em 1986, proibia o acesso no autorizado a computadores do governo, prevendo uma pena de cinco mil dlares ou o dobro do valor obtido pelo acesso, alm de cinco anos de priso. Uma medida importante, porque introduziu a punio judicial. O Computer Security Act, criado em 1988, obrigava qualquer computador do governo que processasse dados confidenciais a ter um plano de segurana para a administrao e uso do sistema. Alm disso, exigia que todo o pessoal envolvido recebesse treinamento peridico de segurana. Sua importncia est na instituio da obrigatoriedade dos rgos governamentais possurem uma poltica de segurana. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestao de vrus de computador e que ficou conhecido como Internet Worm. Em menos de 24 horas, o worm escrito por Robert T. Morris Jr. disseminou-se por todos os sistemas da ento existente internet, formada exclusivamente por redes de ensino e governamentais, provocando um verdadeiro apago na rede. Robert Morris foi condenado, por violao do Computer Fraud and Abuse Act, a trs anos de priso, 400 horas de servios comunitrios e multa de dez mil dlares. Uma das consequncias mais importantes deste incidente foi a criao do Computer Emergency Response Team (CERT), pela Defense Advanced Research

Arpanet Advanced Research Projects Agency Network.

\\Anos

\\Anos

140

\\Ano

de 2001 vulnerabilidade explorada no Internet Information Server (IIS), servidor web da Microsoft. Estima-se que tenha infectado cerca de 500 mil Figura 1: IP Addresses compromised by the CodeRed worm computadores em um dia.
(data for july 19, 2001 as reported to the CERT/CC)

# of Unique IP Addresses (cumulative)

Figura 9.1 Infestao do vrus Code Red em 24 horas

300000

250000

200000

150000

100000

50000

Jul 19 - 06:00 am

Jul 19 - 12:00 pm
Times given are EDT (GMT- 4:00)

Jul 19 - 06:00 pm

http://www.cert.org.advisories/CA-2001-23.html

fonte: incident data for CERT#36881

Segurana no Brasil
CGI.br
O Comit Gestor da Internet no Brasil (CGI.br) foi criado pela Portaria Interministerial n 147, de 31 de maio de 1995 e alterada pelo Decreto Presidencial n 4.829, de 3 de setembro de 2003, para coordenar e integrar todas as iniciativas de servios de internet no pas, promovendo a qualidade tcnica, a inovao e a disseminao dos servios ofertados. O CGI.br mantm grupos de trabalho e coordena diversos projetos em reas de importncia fundamental para o funcionamento e o desenvolvimento da internet no pas. Para executar suas atividades, o CGI.br criou uma entidade civil, sem fins lucrativos, denominada Ncleo de Informao e Coordenao do Ponto BR (NIC.br).

141

Captulo 9 Segurana

Projects Agency (DARPA). O CERT at hoje uma das entidades mais importantes na coordenao e informao sobre problemas de segurana.

Formao de suporte tcnico Proinfo

Figura 9.2 rvore CGI.br (fonte: http://cgi.br)

O Ncleo de Informao e Coordenao do Ponto BR uma entidade civil, sem fins lucrativos, que desde dezembro de 2005 implementa as decises e projetos do Comit Gestor da Internet no Brasil (CGI.br), conforme explicitado no comunicado ao pblico e no estatuto do NIC.br. O NIC.BR Security Office (CERT.br) responsvel por receber, revisar e responder a relatos de incidentes de segurana envolvendo a internet brasileira. O CERT.br o grupo de resposta a incidentes de segurana para a internet brasileira, mantido pelo NIC.br, do Comit Gestor da Internet no Brasil. O CERT.br responsvel por receber, analisar e responder a incidentes de segurana envolvendo redes conectadas internet no Brasil. Alm do processo de resposta a incidentes em si, o CERT.br tambm atua atravs do trabalho de conscientizao dos problemas de segurana, da correlao entre eventos na internet brasileira e do auxlio ao estabelecimento de novos CSIRTs no Brasil. Os servios prestados pelo CERT.br incluem:
\\Ser

um ponto nico para notificao de incidentes de segurana, de modo a prover a coordenao e o apoio necessrio ao processo de resposta a incidentes, colocando as partes envolvidas em contato, quando necessrio; um trabalho colaborativo com outras entidades, como as polcias, provedores de acesso, servios de internet e backbones; suporte ao processo de recuperao e anlise de sistemas comprometidos;

\\Estabelecer

\\Dar

\\Oferecer

treinamento na rea de resposta a incidentes de segurana, especialmente para membros de CSIRTs e instituies que estejam criando seu prprio grupo.

142

Hoje em dia o computador domstico deixou de ser apenas um objeto de entretenimento para se tornar um instrumento capaz de realizar tarefas como transaes financeiras e armazenamento de dados sensveis, entre outros. importante que o usurio esteja preocupado com a segurana de seu computador, pois corre o risco de ter suas senhas e nmeros de carto de crdito roubados, seu acesso internet utilizado por pessoas no autorizadas, seus dados pessoais alterados ou utilizados por terceiros, seu computador comprometido, seus arquivos apagados, entre outros riscos. A motivao para tais atos pode variar de acordo com o atacante. So as motivaes mais comuns:
\\Destruir

informaes; mensagens alarmantes e falsas;

\\Disseminar \\Ler

e enviar e-mails em seu nome; vrus de computador;

\\Propagar \\Furtar

nmeros de cartes de crdito e senhas bancrias; seu computador para atacar outros computadores.

\\Utilizar

Autenticao de usurios
Os fatores de autenticao para humanos so normalmente classificados em trs casos:
\\Aquilo

que o usurio impresso digital, padro retinal, sequncia de DNA, padro de voz, reconhecimento de assinatura, sinais eltricos unicamente identificveis produzidos por um corpo vivo, ou qualquer outro meio biomtrico. que o usurio tem carto de identificao, security token, software token ou telefone celular. que o usurio conhece senha, frase de segurana, PIN.

\\Aquilo

\\Aquilo

Frequentemente utilizada uma combinao de dois ou mais mtodos. Um banco, por exemplo, pode requisitar uma frase de segurana alm da senha; nestes casos utilizado o termo autenticao de dois fatores.

Senhas
Em qualquer sistema computacional, uma senha serve para autenticar o usurio, ou seja, utilizada no processo de identificao de um usurio para confirmar se ele realmente quem diz ser. Se outra pessoa tem acesso sua senha, ela poder utiliz-la para se passar por voc dentro de uma rede ou mesmo na internet. As motivaes so as mesmas citadas acima. Portanto, a senha merece uma ateno especial, afinal ela de inteira responsabilidade do usurio.

143

Captulo 9 Segurana

Segurana pessoal

Formao de suporte tcnico Proinfo

BIOS
BIOS significa Basic Input/Output System (Sistema Bsico de Entrada/Sada). um programa de computador gravado em uma memria (firmware), responsvel pela inicializao do computador. Oferece suporte bsico de acesso ao hardware e responsvel por inicializar o sistema operacional. Quando o computador ligado, o processador tenta executar suas primeiras instrues, mas no consegue se comunicar com o disco rgido para inicializar o sistema operacional sem que o BIOS informe como essa comunicao deve ser feita.

Senha de BIOS
De acordo com um estudo lanado em 2000 pelo FBI e o Computer Security Institute (CSI), mais de 70% de todos os ataques a dados e recursos reportados por empresas ocorreram dentro da prpria empresa. Logo, a implementao de normas de segurana interna to importante quanto uma estratgia de defesa externa. Estaes de trabalho de funcionrios na maioria dos casos no so alvos potenciais de ataques remotos, especialmente aquelas por trs de um firewall configurado apropriadamente. Mesmo assim, h medidas de proteo que podem ser implementadas para evitar um ataque fsico ou interno aos recursos de estaes de trabalho. Estaes de trabalho e computadores caseiros modernos usam um BIOS que controla os recursos do sistema no nvel do hardware. Usurios de estaes de trabalho podem determinar senhas administrativas no BIOS para impedir que atacantes acessem ou inicializem o sistema. Essa senha pode ter dois nveis de acesso:
\\Senha

de usurio bloqueia a partida do sistema operacional solicitando uma senha para tal funo. de supervisor bloqueia o acesso ao BIOS para alterao no autorizada das configuraes.

\\Senha

Para maior segurana sugerimos que as duas senhas estejam habilitadas. A nomenclatura dos tipos de senhas no BIOS pode variar de acordo com o equipamento utilizado. Os computadores distribudos pelo Proinfo j vm com senha do BIOS, colocada pelo fabricante para impedir alteraes.

144

Senhas seguras
Existem inmeras maneiras de se criar uma senha. Pode-se utilizar, por exemplo, seu nome, sobrenome, nmero de documento, placa de carro etc. Porm, essa no a maneira mais adequada, devido facilidade de descoberta atravs de uma simples pesquisa sobre o alvo atacado, e de posse dessa credencial, um atacante pode facilmente:
\\Ler

e-mails confidenciais em seu nome; informaes sobre dados sensveis armazenados em seu computador; ataques a outros sistemas computacionais utilizando-se da sua mquina.

\\Obter

\\Desferir

Existem muitas regras para a criao de senhas, sendo que a principal jamais utilizar palavras que faam parte de dicionrios. Existem programas de computador que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem uma base de dados de nomes (nomes prprios, msicas, filmes etc.).

Elaborando uma boa senha


\\Uma

boa senha deve ter no mnimo 8 caracteres, alternando-se entre letras, nmeros e caracteres especiais; ser simples para digitar e principalmente, fcil de lembrar;

\\Deve \\Altere

as letras de uma palavra como Falcao para F@lc@0 ou Brasil para Br@ s1l; senhas geradas desta maneira so fceis de lembrar e difceis de descobrir.

Procure identicar o nmero de locais nos quais h necessidade de utilizar uma senha. Este nmero deve ser equivalente quantidade de senhas distintas a serem mantidas por voc. Utilizar senhas diferentes, uma para cada local, extremamente importante, pois pode atenuar os prejuzos causados, caso algum descubra uma de suas senhas. Para ressaltar a importncia do uso de senhas diferentes, imagine que voc responsvel por realizar movimentaes financeiras em um conjunto de contas bancrias e todas estas contas possuem a mesma senha. Ento, procure responder s seguintes perguntas:
\\Quais \\E

seriam as consequncias se algum descobrisse esta senha?

se fossem usadas senhas diferentes para cada conta, caso algum descobrisse uma das senhas, um possvel prejuzo teria a mesma proporo?

Senha de root
Definio de senha de Root
Definir uma conta e senha root um dos passos mais importantes durante a instalao de um sistema Linux. Sua conta root similar conta de administrador usada em mquinas com Windows NT. A conta root usada para instalar pacotes, atualizar programas e executar a maior parte da manuteno do sistema. Ao se autenticar como root, voc ter total controle sobre seu sistema.
145

Captulo 9 Segurana

Formao de suporte tcnico Proinfo

O usurio root (tambm conhecido como superusurio) tem acesso completo a todo o sistema. Por esta razo, melhor se autenticar como root somente para executar manuteno ou administrao do sistema. O usurio pode criar uma conta alm da root para seu uso geral e invocar o comando su - para root quando precisar utilizar as credenciais de superusurio para corrigir algo rapidamente. Esta regra bsica minimiza as chances de seu sistema ser afetado por erros de digitao ou comandos incorretos.

Ameaas recentes
Desde a dcada de 70, a segurana tornou-se uma questo estratgica para as organizaes. Usar a internet sem programas que garantam pelo menos um mnimo de segurana para um computador quase um pedido para ser infectado ou invadido. Instalar um sistema operacional em uma mquina conectada diretamente internet pode levar a um comprometimento em poucos minutos. Este o panorama atual da rede, um lugar pblico onde o utilizador est exposto a muitas ameaas, tais como hackers, crackers, vrus e worms.

Vrus
Apesar de existirem vrus para outros sistemas operacionais (Linux, MacOS, PalmOS), a quantidade significativamente menor se comparada com a quantidade de vrus do sistema Windows. Um vrus um micro-programa alojado em um arquivo hospedeiro, que precisa da interveno humana para se propagar; auto-executvel e duplica a si prprio. Diversos fabricantes de produtos de segurana disponibilizam programas chamados antivrus. Um antivrus um programa capaz de detectar e remover os vrus de uma estao. Muitos deles possuem recursos avanados, como verificao de vrus em correio eletrnico e verificao em tempo real dos arquivos que esto sendo executados pelo sistema operacional. Um antivrus detecta os vrus e arquivos atravs de assinaturas de vrus, que so conjuntos de informaes que identificam unicamente um determinado vrus. Essas assinaturas devem ser frequentemente atualizadas, de modo que o antivrus seja capaz de detectar os vrus mais recentes. Um vrus pode provocar, entre outros problemas:
\\Perda

de desempenho do micro; excluso de arquivos e alterao de dados; a informaes confidenciais por pessoas no autorizadas;

\\Acesso \\Perda

de desempenho da rede (intranet e internet);

\\Desconfigurao

do sistema operacional; acionamento e desligamento de perifricos da mquina.

146

A conteno da propagao de worms (vermes auto-suficientes) depende muito das atualizaes feitas no sistema operacional. Como essas atualizaes no so realizadas pelos administradores e usurios na maioria dos casos, contaminaes so frequentes sempre que um novo worm lanado na internet. Entretanto, na grande maioria dos casos, o worm explora vulnerabilidades j conhecidas pelos fabricantes, que disponibilizam em seus sites atualizaes que corrigem tais brechas de segurana. Diferentemente dos vrus, os worms no necessitam de arquivos hospedeiros para se propagar. Porm, sua preveno a mesma: antivrus. O Conficker, tambm conhecido como Downup, Downadup e Kido, considerado um dos worms que mais infectou computadores com sistemas Microsoft Windows em todos os tempos; foi detectado pela primeira vez em outubro de 2008. A rpida disseminao inicial do vrus tem sido atribuda ao grande nmero de computadores que utilizam o sistema operacional Microsoft Windows e ainda necessitam aplicar as atualizaes da Microsoft (patches) para a vulnerabilidade MS08-067. Em janeiro de 2009, o nmero estimado de computadores infectados variou entre 9 e 15 milhes. A Panda Security, fornecedora de softwares antivrus, informou que dos dois milhes de computadores analisados pela ferramenta ActiveScan, apenas 115.000 (6%) estavam infectados pelo Conficker.

Patches Arquivo disponibilizado para atualizao de um programa.

Cavalo de troia (Trojan horse)


Tipo de programa malicioso que se passa por um esquema de autenticao, em que o usurio insere sua senha pensando que a operao legtima. Esses programas evoluram e podem se disfarar de programas legtimos. Diferente dos vrus e worms, no criam rplicas. O cavalo de troia divido em duas partes, servidor e cliente:
\\A \\O \\

vtima executa arquivo hospedeiro, o servidor instalado e ocultado no computador; cliente acessa o servidor e executa operaes no computador da vtima; aberta uma porta de comunicao (backdoor) no monitorada.

Um trojan pode:
\\Expor

o usurio a esquemas fraudulentos atravs da pgina de um site; arquivos, visualiz-los, copi-los, alter-los e apag-los;

\\Encontrar \\Registrar \\Executar \\Criar

o que se escreve e enviar essa informao para outro computador; ou encerrar um programa, processo ou conexo no computador;

janelas pop-up para aborrecer ou para conduzir a websites maliciosos; outros computadores.
147

\\Atacar

Captulo 9 Segurana

Worms

Formao de suporte tcnico Proinfo

A preveno para esse tipo de programa ter sempre um bom software de antivrus, aliado a um firewall, trocar frequentemente suas senhas, no usar ou desabilitar a opo salvar senha onde for possvel.

Spam
Com a popularizao da internet, ocorreu o crescimento de um fenmeno que desde seu surgimento tornou-se rapidamente um grande problema para a comunicao eletrnica: o envio em massa de mensagens no solicitadas, chamadas de spam. O termo spam vem do ingls Spiced Ham ou presunto apimentado, e um termo que faz referncia a um quadro ingls muito famoso que se chamava Spam, que retrata a comida enlatada no perodo ps segunda guerra. Com o surgimento e a popularizao da internet e, consequentemente, do uso do e-mail, um simples remetente das cartas de corrente ou propagandas obteve a oportunidade e a facilidade de atingir um nmero muito maior de destinatrios. Tudo isso com a vantagem de investir muito pouco ou nada para alcanar os mesmos objetivos em uma escala muito maior. Por essa razo, esse um dos maiores motivadores para o envio de spam. Desde o primeiro spam registrado na dcada de 90, essa prtica tem evoludo, acompanhando o desenvolvimento da internet e de novas aplicaes e tecnologias. Atualmente, o spam est largamente associado a ataques segurana de redes e do usurio, propagao de vrus e golpes. A preveno para esse tipo de ataque a navegao consciente na internet. Deve-se evitar ser um clicador compulsivo. Procure controlar a curiosidade de visitar um site ou abrir um e-mail suspeito, pois voc pode ser vtima de um golpe. Muitos programas recentes de antivrus e sites de webmail trazem embutidos em seus servios filtros anti-spam que classificam a correspondncia e facilitam seu descarte. Alm disso, os provedores dispem de listas globais de spamers, informadas por grupos de resposta a incidentes ou mesmo fabricantes de antivrus.

Tipos de spam
Os spams podem ter vrias origens e tipos, mas geralmente seguem um padro:
\\Correntes

mensagens que prometem sorte, riqueza ou algum benefcio se o usurio repass-la para um determinado nmero de pessoas, avisando que aqueles que quebrarem a corrente sofrero infortnios. divulgao de produtos, servios e at de propaganda poltica. o tipo mais comum de spam registrado. Normalmente os produtos ofertados por essas mensagens so de natureza ilegal, como venda de medicamentos, produtos piratas, oportunidades de enriquecimento rpido, produtos erticos e sites

\\Propagandas

148

\\Boatos

mensagens falsas, escritas com a finalidade de alarmar ou iludir seus leitores, instigando sua divulgao para o maior nmero possvel de pessoas. Essas mensagens geralmente tratam de pedidos urgentes de ajuda, alertas sobre perigos ou ameaas ou difamao de marcas e produtos. Conhea mais sobre as ameaas virtuais, visitando antispam.br e assistindo aos vdeos sobre segurana.

Segurana dos dados 


Backup
Em informtica, uma cpia de segurana ou backup de dados consiste em copiar informaes sensveis ao usurio de um dispositivo para outro, para que possam ser restaurados em caso de perda dos originais, apagamentos acidentais ou corrupo de dados. Os meios de armazenamento de dados incluem CD-ROM, DVD, disco rgido, disco externo, fitas magnticas e cpias de segurana on-line. As cpias de segurana devem obedecer a alguns parmetros, tais como: o tempo de execuo, a periodicidade, a quantidade de exemplares, o tempo de armazenamento, a capacidade para guardar dados, o mtodo de rotatividade entre os dispositivos, a compresso e a encriptao dos dados. Assim, a velocidade de execuo da cpia deve ser aumentada tanto quanto possvel para que o grau de interferncia desse procedimento nos servios seja mnimo. A periodicidade deve ser analisada em funo da quantidade de dados alterados na organizao; no entanto, se o volume de dados for elevado, as cpias devem ser dirias. Deve-se estabelecer um horrio para realizao da cpia, conforme a laborao da organizao, devendo ser preferencialmente noturno. Para uma fcil localizao, a cpia deve ser guardada em local seguro, por data e categoria. Nos sistemas Linux, a cpia de dados facilitada em funo da prpria arquitetura legada de sistemas Unix, onde tudo considerado arquivo e o superusurio (root) possui acesso irrestrito a todos os dados armazenados no disco.

Empacotar: tar Armazena uma cpia de todos os arquivos e pastas em um nico arquivo sem compactao. O tamanho total a soma dos arquivos e pastas utilizados. Compactar: GZIP, ZIP, BZ2 Similar a empacotar, porm o tamanho do arquivo diminudo pelo processo de compresso de dados do aplicativo.

Backup com tar


Uma ferramenta eficaz para criar uma cpia de segurana dos dados em sistemas Linux o programa tar. Com ela podemos empacotar todos os arquivos do sistema operacional para um nico arquivo compactado. Para realizar essa tarefa, o usurio necessita das credenciais de root para ter acesso a todos os dados do sistema. Pode proceder atravs do seguinte comando:

149

Captulo 9 Segurana

pornogrficos. Vale lembrar que existem mensagens legtimas dessa natureza, enviadas por empresas conhecidas.

Formao de suporte tcnico Proinfo

# sudo su

Aps esse procedimento ser necessrio entrar com a senha e ir diretamente para a raiz do sistema:
# cd /

Finalmente pode-se entrar com o comando para criar um arquivo compactado de todos os documentos do sistema.
# tar -cvpzf /backup.tgz --exclude=/proc --exclude=/lost+found \ --exclude=/backup.tgz --exclude=/mnt --exclude=/sys /

Explicando:
\\tar \\c \\v \\p \\z \\f

programa a ser usado;

cria um novo arquivo; modo verbose, o tar mostra na tela tudo o que est fazendo; preserva todas as permisses dos arquivos do sistema operacional; utiliza a compresso gzip para diminuir o tamanho do arquivo; filename, especifica onde o backup ser armazenado;

\\As

opes --exclude informam ao tar as pastas que sero excludas da cpia de segurana, pois algumas pastas no necessitam ser copiadas, uma vez que no armazenam dados vitais para o sistema. fim, o local de origem dos dados, que no exemplo informa a /, ou seja, todos os arquivos do disco rgido.

\\Por

Restaurando o backup
Se o usurio sentir necessidade de reinstalao do sistema, pode instalar novamente o Linux Educacional atravs do CD de instalao e recuperar os dados salvos anteriormente com o backup de segurana. Os dados salvos em backup.tgz podem ser restaurados posteriomente com o comando:
# tar -xvpfz backup.tgz -C /

Esse procedimento gravar todas as pastas salvas no backup sobre as pastas instaladas originalmente pelo sistema operacional. Aps o reincio do Linux Educacional, os dados estaro de volta aos seus lugares originais, bem como as suas preferncias e configuraes.

150

Backup no ambiente grfico


Para fazer uma cpia de segurana de arquivos no KDE, o usurio precisa apenas abrir o navegador Konqueror, clicar com o boto direito em cima da pasta que deseja copiar e clicar em Compactar. Figura 9.3 Konqueror

Atividade: Backup de arquivos


Faa o backup do Linux Educacional usando a ferramenta tar.

Soluo
Para realizar essa tarefa, o usurio necessita das credenciais de root para ter acesso a todos os dados do sistema e pode proceder atravs do seguinte comando:
# sudo su

Aps esse procedimento ser necessrio entrar com a senha e ir diretamente para a raiz do sistema:
# cd /

Finalmente pode-se entrar com o comando para criar um arquivo compactado de todos os documentos do sistema:
# tar -cvpzf /backup.tgz --exclude=/proc --exclude=/lost+found --exclude=/backup.tgz --exclude=/mnt --exclude=/sys /

Explicando:
\\tar \\c \\v \\p

programa a ser usado.

cria um novo arquivo. modo verbose; o tar mostra na tela tudo o que est fazendo. preserva todas as permisses dos arquivos do sistema operacional.

151

Captulo 9 Segurana

Formao de suporte tcnico Proinfo

\\z \\f

utiliza a compresso gzip para diminuir o tamanho do arquivo. filename, que especifica onde o backup ser armazenado.

Arquivos de registros (logs)


Os logs de sistema so registros de eventos relevantes ao sistema computacional. Esse registro pode ser utilizado para restabelecer o estado original de um sistema ou para que um administrador possa conhecer seu comportamento no passado. Um arquivo de log pode ser utilizado para auditoria e diagnstico de problemas com o sistema operacional. Os arquivos de logs do Linux Educacional so gerados e gerenciados pelo daemon syslog, criado pela IETF (Internet Engineering Task Force). O protocolo syslog muito simples: o remetente envia uma pequena mensagem de texto (com menos de 1024 bytes) para o destinatrio, tambm chamado de syslogd, servio syslog ou servidor syslog. Tais mensagens podem ser enviadas tanto por UDP quanto por TCP. O contedo da mensagem pode ser puro ou codificado por SSL. O protocolo syslog tipicamente usado no gerenciamento de computadores e na auditoria de segurana de sistemas. Por ser suportado por uma grande variedade de dispositivos em diversas plataformas, o protocolo pode ser usado para integrar diferentes sistemas em um s repositrio de dados. O protocolo syslog foi inicialmente criado para:
\\Permitir \\Permitir

SSL Secure Sockets Layer. Protocolo utilizado para criar pginas seguras.

que os programadores gerem seus prprios arquivos de log; que o administrador do sistema controle os logs.

Geralmente os arquivos de logs de um sistema Linux esto armazenados em /var/log e so divididos para facilitar a busca e a resoluo de problemas:
\\messages

mm dos principais arquivos do sistema, mostra informaes do kernel e do sistema; principal arquivo de log, armazena informaes do kernel; uso do su, sudo, mudana de senhas pelo root, entre outras funes; arquivo de log do servidor de e-mail;

\\syslog \\secure \\mailog \\cron \\auth \\user

log do cron (agendador de tarefas do Linux); log de aplicaes que utilizam autenticao; log gerado por registros originados por aplicaes de usurio.

152

# cd /var/log # tail f syslog

vai para o diretrio dos logs este comando faz com que o arquivo syslog seja aberto e tudo o que for sendo gravado aparea na tela

Ferramentas de segurana
Nos dias de hoje, os administradores de sistemas e de redes devem estar a par dos principais recursos disponveis para a implementao de um ambiente seguro, com algum grau de proteo contra os perigos mais comuns existentes em redes de computadores. Sniffers, crackers, spoofing, syn_flooder, dnskiller, ping odeath, winnuke... nomes assustadores que parecem sados de filmes como Mad Max ou Robocop, na verdade so companheiros inseparveis de um certo tipo indesejvel de usurio de rede: os hackers ou invasores.

Simplifique
Antes de comear a utilizar as ferramentas de segurana, importante estabelecer objetivos e definir algumas premissas:
\\A

primeira meta tentar simplificar o ambiente. Oferea somente os servios necessrios; retire tudo que no est sendo usado; tente limitar o nmero de opes e facilidades disponveis. principal premissa na utilizao de ferramentas de segurana decorre da meta anterior. Esse recurso deve ser empregado somente em sistemas no comprometidos. Instalar tais ferramentas em uma mquina que acabou de ser invadida, sem que se tenha uma ideia precisa do estado do sistema, pode atrapalhar mais que ajudar. importante tambm que os componentes do sistema estejam funcionando de forma razoavelmente correta, j que praticamente todas as ferramentas dependem dessa condio. Portanto, o sistema deve estar sempre atualizado. se deve perder de vista que a utilizao dessas ferramentas deve ser parte de algo maior, isto , da definio e adoo de uma poltica de segurana para a organizao.

\\A

\\

\\Nunca

NMAP
O NMAP (Network Mapper) um software livre que realiza uma varredura de portas em um sistema. utilizado para avaliar a segurana de computadores e descobrir servios ou servidores em uma rede computacional.

153

Captulo 9 Segurana

Acesse a pasta /var/log e verifique as tentativas de acesso sua mquina atravs dos logs do sistema.

Formao de suporte tcnico Proinfo

Figura 9.4 NMAP

Exemplos: Escanear um computador:


# nmap ip_do_computador

Escanear e trazer informaes do sistema operacional:


# nmap O ip_do_computador

Obter mais informaes:


# nmap sV ip_do_computador

Informar uma porta especfica:


# nmap p 80 sV ip_do_computador

Atividade: Identificando vulnerabilidades


Instale o pacote NMAP via Adept e escaneie alguns computadores buscando portas abertas. Verifique quais so as portas acessveis em sua mquina.

Soluo
Para escanear computadores, digite:
# nmap ip_do_computador

Utilize o comando lsof para verificar as portas abertas:


# lsof i P

Onde:
\\lsof \\-i

Lista os arquivos abertos;

Lista as portas internet e X.25; Fornece os nmeros das portas.

\\-P

As portas abertas so as que esto com a indicao de LISTEN.

154

O Etherape um monitor de rede que exibe a atividade na rede em modo grfico. Possui suporte a Ethernet, FDDI, Token Ring, ISDN, PPP e PLIP, alm de exibio e filtros de protocolo por cor. Figura 9.5 Etherape (fonte: SourceForge)

Atravs desta ferramenta grfica fcil saber as conexes que o computador mantm em background, com outros computadores da rede local ou da internet.

Atividade: Identificando as conexes com outros computadores


Instale o pacote Etherape via Adept e verifique as suas conexes com outros computadores.

Soluo
Para instalar o pacote Etherape acesse:
\\Iniciar

> Adicionar ou remover programas (Adept); a senha de usurio;

\\Informe \\No

campo de busca, digite etherape, clique no pacote e depois em Solicitar instalao. Aps essa ao, clique em Aplicar mudanas; programa estar disponvel em Iniciar > Sistema > Etherape;

\\O

\\Aps

iniciar o programa, faa alguns testes de ping e acesso a www para gerar trfego para o Etherape.

155

Captulo 9 Segurana

Etherape

Formao de suporte tcnico Proinfo

Segurana na internet
Acessar a internet, nos dias de hoje, pode ser um problema, se levarmos em conta a quantidade de ameaas existentes. importante que o internauta conhea as formas de preveno e uso de programas especficos de proteo. Os recursos do navegador, programas antivrus, programas de deteco e remoo de spyware e certificados digitais so algumas das formas de proteo contra ameaas da internet.

Navegadores
A internet est cada vez mais presente em nossas vidas. Transaes bancrias, compras em lojas virtuais, busca de informaes em mecanismos de busca, telefonia e conversas atravs de mensagens instantneas so apenas alguns exemplos de utilizao da rede. As formas de acesso tambm evoluram. Hoje, comum o acesso domstico a 1 Megabit por segundo, velocidade que h alguns anos era exclusividade de provedores de acesso. Com toda essa evoluo, os perigos tambm aumentaram. O internauta deve tomar alguns cuidados ao acessar a internet. Problemas como fraudes, pginas falsas, vrus, worms, spams e escutas clandestinas esto presentes em todo momento. O ISC (Internet Storm Center) do SANS afirma que so necessrios apenas 12 minutos para que uma mquina desprotegida na internet sofra algum problema de segurana. Estatsticas de navegadores na internet http://secunia.com Navegador Internet Explorer Firefox Opera Safari Google Chrome Plataformas Famlia Windows Windows, MacOS X, Linux Windows, MacOS X, Linux, FreeBSD, Solaris, OS/2, QNX MacOS X, Windows Windows, MacOS X, Linux URL www.microsoft.com/ie www.mozilla.com/firefox www.opera.com apple.com/safari google.com/chrome Tabela 9.1 Navegadores populares

Recursos de um navegador:
\\Uso

preferencial de criptografia (SSL/TLS), site iniciando com https; do cadeado fechado indicando acesso seguro;

\\Verificao \\Clicando

no cadeado possvel verificar o nvel de segurana da criptografia.

A poltica de segurana deve incluir:


\\Preveno

TLS Transport Layer Security. Protocolo de segurana para a camada de transporte.

contra vazamento de informaes, atravs da limpeza peridica do cache do navegador e do histrico de navegao; do nvel de segurana da zona internet para alto; dos controles e plugins Active-x, se possvel.

\\Aumento

\\Desativao

156

Cookies
Que CD voc comprou? Qual seu tipo musical favorito? Pequenas quantidades de informaes armazenadas pelo navegador podem ser utilizadas por sites que dispem do recurso de cookies. Um servidor web grava suas preferncias no disco local em um arquivo de texto cookie file. A limpeza peridica de cookies no navegador uma forma de preveno contra o vazamento no autorizado de informaes pessoais. Figura 9.7 Configurando cookies

Mais informaes sobre cookies: cookiecentral.com/faq/


157

Captulo 9 Segurana

Figura 9.6 Relatrios Secunia

158

10
Firewall
Firewall Nome dado ao conjunto de dispositivos de uma rede de computadores que tem por finalidade aplicar polticas de segurana a um determinado ponto de controle da rede.

A funo do firewall regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de acessos no autorizados entre redes. Esse conceito inclui os equipamentos de filtro de pacotes e proxy de aplicao. O firewall pode existir na forma de software e hardware, ou na combinao de ambos (neste caso, normalmente chamado de appliance). A complexidade de instalao depende do tamanho da rede, da poltica de segurana, da quantidade de regras que autorizam o fluxo de entrada e sada de informaes e do grau de segurana desejado. O modelo OSI um modelo de referncia para compreender a organizao hierrquica de servios e dispositivos de rede. Pode-se compreender melhor os tipos de firewalls a partir do ponto de vista do modelo OSI, tanto quanto ao nvel de atuao, quanto em relao categoria, que pode ser Ativo ou Bridge. Dentre as aplicaes de firewall existentes, a que mais se destaca no ambiente Linux o Iptables. Basicamente sua evoluo perceptvel atravs do uso do modelo OSI. Os primeiros sistemas de firewalls utilizavam apenas um filtro esttico de pacotes e s conseguiam filtrar at a camada 3; com sua evoluo, principalmente com a utilizao de estados de conexo, os firewalls comearam a inspecionar pacotes em camadas mais altas.

Packet Filter
O filtro de pacotes tem por finalidade o controle seletivo do fluxo de dados de uma rede, possibilitando o bloqueio ou no de pacotes, atravs de regras normalmente baseadas em endereos de origem/destino e portas. Possibilita o tratamento do incio da conexo (TCP SYN), nesse caso deixando de ser um mero Packet Filter para ser um StateLess. Embora um filtro de pacotes seja um firewall camada 3, importante lembrar que informaes de nmero de porta vm do cabealho UDP ou TCP, mas mesmo assim definimos que um filtro de pacotes de camada 3. Todavia, deve-se considerar porta de origem e porta de destino, embora o endereamento ainda seja um tratamento simples para a comunicao de dados.

159

Formao de suporte tcnico Proinfo

Camada
7 6 5 4 3 2 1 Aplicao Apresentao Sesso Transporte FILTRO DE PACOTES Rede Enlace Fsica IP/ICMP/IGMP Rede Enlace Fsica Aplicao Apresentao Sesso Transporte

Figura 10.1 Filtro de pacotes stateless

Stateful firewall
Stateful (estado de conexo) uma tecnologia implementada em filtros de pacotes que guarda o estado da conexo (comunicao TCP e UDP). Pode distinguir pacotes legtimos para diferentes tipos de conexes. Apenas pacotes marcados como conhecidos podem trafegar pelo filtro. Alguns filtros ainda so capazes de atuar como proxy de conexes de servios especficos ou simplesmente analisarem o contedo de um pacote buscando perfis de ataque, embora muitos administradores optem por ter essa anlise de ataque em sistemas de deteco de intrusos (IDS).

Filtros stateful permitem:


\\Deteco

e bloqueio de Stealth Scan; do controle seletivo do fluxo de dados e tratamento do cabealho TCP;

\\Realizao \\Ser

capaz de lidar com protocolos mais especficos, como FTP (ativo e passivo); informaes de estado de conexo; de campos de um datagrama;

\\Manter

\\Manipulao \\Capacidade

de manipular o payload do pacote, inclusive com a possibilidade de atuar procurando strings de ataque.

160

7 6 5 4 3 2 1

Aplicao Apresentao Sesso Transporte Rede Enlace Fsica

Pacote de Estado

Aplicao Apresentao Sesso

TCP/UDP

TCP/UDP

Transporte Rede Enlace Fsica

IP/ICMP/IGMP

Bridge stateful
Ativos que podem ser implantados tanto em fronteira de redes com gateway, como em ambiente departamental, so identificveis como hosts, pois possuiro endereamento IP e sero acessveis atravs do mesmo. Todavia, um firewall que atua como um proxy arp (bridge como uma ponte na camada de enlace) na fronteira da rede extremamente estratgico, pois no possui IP, isto , s acessvel localmente ou por outra mquina que tenha uma comunicao serial com o firewall. Figura 10.3 Bridge stateful
Camada
7 6 5 4 3 2 1 Aplicao Apresentao Sesso Transporte Rede Enlace Fsica TCP/UDP TCP/UDP FILTRO DE PACOTES

Camada
Aplicao Apresentao Sesso Transporte Rede Enlace Fsica

IP/ICMP/IGMP Ponte - MAC

Netfilter Iptables
O Iptables um filtro de pacotes que permite a criao de regras de firewall NAT (Network Address Translation) e log dos dados que trafegam na rede. Caractersticas:
\\Especificao \\Suporte

de portas/endereo de origem e destino;

a protocolos TCP/UDP/ICMP (incluindo tipos de mensagens ICMP);


161

Captulo 10 Firewall

Figura 10.2 Filtro de pacotes stateful

Camada

Formao de suporte tcnico Proinfo

\\Suporte

a interfaces de origem e destino de pacotes; de servios de proxy na rede;

\\Manipulao \\Tratamento

de trfego dividido em chains, para melhor controle do trfego que entra e sai da mquina e trfego redirecionado; de nmero ilimitado de regras por chain;

\\Permisso \\Rpido,

estvel e seguro.

Patch-o-matic
Implementao feita pela Netfilter para adicionar mais funes ao Iptables. Essa atualizao permite a construo de regras de bloqueio baseadas em strings, onde atravs de scritps pode-se guiar o Iptables na escolha e seleo de pacotes, e automaticamente implementar sua filtragem no kernel. Mais informaes: www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO.html

Exemplo de regras
Bloqueando trfego SSH para a prpria mquina com envio de resposta:
# iptables A INPUT p tcp -dport 22 j REJECT

Onde:
\\iptables \\ -A

invoca o filtro de pacotes;

append, inclui uma regra na lista de regras do Iptables; especifica a direo do pacote (INPUT, FORWARD, OUTPUT);

\\ INPUT \\ -p

TCP tipo de pacote (ICMP, TCP, UDP); especifica a porta;

\\ --dport \\ -j

REJECT ao a ser tomada (LOG, REJECT, DROP, ACCEPT).

Bloqueio de trfego ICMP para dentro da rede (ping), sem envio de resposta:
# iptables A FORWARD p ICMP j DROP

Autorizao de trfego www de uma origem para um destino:


# iptables A FORWARD s 10.1.1.1 d 201.20.10.45 p tcp \ dport 80 j ACCEPT

162

O servio de proxy tem por funo limitar o tipo de trfego que passa por ele. Instalado na borda de uma rede, efetua o monitoramento dos pacotes, e se for o caso barra o trnsito. De modo anlogo ao filtro de pacotes que, baseado na faixa de endereos IP (camada 3) ou porta (camada 4) impede o trfego de determinadas informaes, o proxy atua em camadas mais altas, podendo limitar determinados tipos de protocolos, por exemplo o ICMP (ping). Por funcionar analisando o trfego, pode analisar o contedo do pacote na camada 7 (aplicao). Um exemplo clssico procurar nos pacotes por palavras que constem em uma lista proibitiva, tal como sexo. Todo pacote que contiver esta palavra ser descartado, desse modo impedindo o acesso a pginas que contenham contedo imprprio ou estranho s necessidades da rede, seja ela residencial, de empresa ou de escola. Outra finalidade de um proxy atuar como cache. Neste caso, o servidor reserva uma rea em memria para armazenar os contedos estticos acessados com maior frequncia pelos usurios da rede interna. Quando o usurio busca por determinada informao, o servidor proxy cache o entrega diretamente sem acess-lo na internet. Considere, por exemplo, um grande portal de notcias da internet. A primeira pessoa a acess-lo far com que o contedo dessa pgina fique armazenado no cache do servidor. As prximas pessoas que acessarem esta mesma pgina, dentro do tempo de expirao programado, obtero o contedo do servidor, ao invs do contedo da internet. Portanto, estas duas solues apresentam, por motivos diferentes, uma melhora no trfego da rede. O proxy bloqueia o trfego considerado inadequado pela poltica de utilizao da rede da empresa, enquanto o cache contribui para reduzir o montante de trfego no link externo da rede. Estudos prvios realizados pela Rede Nacional de Ensino e Pesquisa (RNP) indicam uma economia de at 35% no trfego no link externo; 17% do trfego da internet j acessado a partir de web proxy cache.

Figura 10.4 Proxy

Internet

Web Browser

Proxy

Web Server

Um proxy bastante conhecido o squid-cache, disponvel em www.squid-cache.org. Considerado simples e confivel, um recurso praticamente obrigatrio em qualquer tipo de organizao que utilize servios de internet, desde pequenas empresas at os grandes provedores de acesso. Foi originado de um projeto da ARPA cujo mentor foi Duane Wessels, do National Laboratory for Applied Network Research, tendo posteriormente obtido a

163

Captulo 10 Firewall

Proxy

Formao de suporte tcnico Proinfo

denominao de Squid. tanto um servidor proxy quanto um web cache. Como proxy possui caractersticas especiais para filtragem de pacotes, suportando vrios protocolos, como HTTP e FTP. Pode ainda atuar como um proxy reverso, funcionando neste caso como um acelerador de um servio web. A grande vantagem de um proxy (como o Squid) a capacidade de armazenar documentos da internet. Possui tambm o recurso de criao de regras de acesso, que permitem ou bloqueiam o acesso a determinadas pginas. Com isso, pode-se vetar a navegao em sites pornogrficos, salas de bate-papo, servios de mensagens instantneas ou de compartilhamento de arquivos. Frequentemente associado a um firewall, estando inclusive instalado na mesma mquina.

SSH (Secure Shell)


O SSH ou Shell seguro pode ser considerado um programa e um protocolo de rede, permitindo a conexo entre computadores para a execuo de comandos em uma unidade remota. Possui as mesmas funcionalidades do Telnet, com a vantagem da conexo entre o cliente e o servidor ser feita de forma criptografada. O SSH encripta todo o trfego, incluindo a senha ou chave de autenticao, e tambm usa chaves de hosts para identificao dos dois hosts envolvidos na comunicao. A verso inicial do projeto era o SSH1, que era aberta at a verso 1.2.12. A partir da verso 1.2.13, a licena tornou-se comercial. O OpenSSH utiliza uma licena GPL, e foi desenvolvido a partir da verso 1.2.13 do SSH, tendo implementado tambm as caractersticas do protocolo SSH2. Figura 10.5 SSH
o Li

Link Criptografado

OpenSSH
Implementao open source do SSH. Desde a verso 2.9 utiliza chaves RSA, um dos algoritmos mais seguros utilizados atualmente. O pacote OpenSSH possui os seguintes componentes:
\\ssh \\sshd

cliente SSH (console remoto); servidor de shell seguro SSH;

164

Li

nk

Cr

ip

to

gr

af ad

nk Cr ip to gr af ad

Link Criptografado

Link Criptografado

Internet

\\ssh-keygen \\sftp

gera chaves de autenticao para o SSH;

cliente FTP com suporte para comunicao segura;

\\ssh-add

adiciona chaves de autenticao DSA ou RSA ao programa de autenticao; agente de autenticao, sua funo armazenar a chave privada para autenticao via chave pblica; escaneia por chaves pblicas de autenticao de hosts especificados. O principal objetivo ajudar na construo do arquivo local know_hosts. A configurao do servidor OpenSSH requer o pacote openssh-server. Edite o arquivo /etc/ssh/sshd_config e ative o servio sshd. A configurao do cliente OpenSSH requer os pacotes openssh-clients e openssh.

\\ssh-agent

\\ssh-keyscan

Para utilizao do servio OpenSSH necessrio que a mquina remota, denominada servidor, tenha o pacote openssh-server instalado e configurado, e que o binrio sshd esteja configurado para iniciar juntamente com o sistema. Ao conectar-se pela primeira vez a determinado servidor, uma mensagem apresenta uma chave e solicita a confirmao de que se trata da mquina que se quer acessar. Respondendo yes, a mquina remota adicionada a uma lista de mquinas conhecidas (known_hosts). Nas prximas vezes que for feito login neste mesmo host, apenas a senha ser solicitada. Aps o estabelecimento da conexo, solicitada a senha do usurio remoto (root ou outro usurio qualquer). Em acessos subsequentes, caso seja apresentada uma mensagem de aviso do tipo Warning: remote host identification has changed. Someone could be eavesdropping on you right now, pode estar ocorrendo uma das seguintes situaes:
\\A

mquina remota no a desejada, sendo no caso uma impostora. Neste caso no digite nenhuma senha. Convm informar ao administrador da mquina remota. situao aquela em que a mquina remota teve seu sistema ou o OpenSSH reinstalado. Neste caso a chave pblica localizada no arquivo known_hosts deve ser removida conforme instrues na mensagem.

\\Outra

Comando ssh
Permite efetuar login e executar comandos em uma mquina remota.
# ssh usurio@host-remoto

Efetua conexo mquina hostname autenticando-se como usurio. Ser solicitada a senha, e em seguida ser concedido acesso mquina remota.

165

Captulo 10 Firewall

\\scp

programa para transferncia de arquivos entre cliente e servidor;

Formao de suporte tcnico Proinfo

Secure Copy
O Secure Copy (scp) uma alternativa ao FTP na transferncia de arquivos e faz parte do pacote OpenSSH. Ao contrrio do FTP, que no um mtodo seguro e cujos dados trafegam em texto plano, no SCP a conexo autenticada e os dados criptografados. Outra vantagem o fato dos comandos serem similares ao comando cp. Deste modo, a transferncia de um ou mais arquivos entre duas mquinas pode ser feita com um comando do tipo:
# scp usurio@host-remoto:/tmp/teste.txt .

Pode-se ainda transferir todos os arquivos de uma determinada pasta:


# scp R usurio@host-remoto:/home/usuario/pasta/* .

Conexo segura a um host remoto


Pr-condio: nesta atividade os alunos devem trabalhar em duplas, anotando os endereos IP de seus computadores.

Introduo
Devido s vulnerabilidades encontradas no servio Telnet, foi criado o protocolo SSH, que cifra todo o trfego de rede gerado entre o administrador e a estao remota. Um administrador de rede necessita acessar um computador remoto para cadastrar um usurio novo. Qual seria o procedimento?
\\Instalar

o servio SSH:

# apt-get install ssh


\\Criar

uma conexo segura ao servidor remoto: a autenticidade da chave apresentada:

# ssh ip_do_servidor_remoto
\\Confirmar

Are you sure you want to continue connecting (yes/no)? yes


\\Executar

um comando hostname no host remoto, para se certificar que voc est no computador desejado:
# hostname servidor.empresa

\\Incluso

de um novo usurio:

# adduser nome_do_usurio
\\Fechar

a conexo:

# exit

166

Atividade: Instalando o SSH


Instale via Adept o pacote SSH e suas dependncias, e faa uma conexo via SSH no computador do aluno ao lado. Aps concluir essa etapa, trabalhe com o Iptables para bloquear o acesso SSH e o ping.

Soluo
O aluno dever instalar via Adept o pacote SSH e suas dependncias, e fazer uma conexo via SSH no computador do aluno ao lado. Aps concluir essa etapa o aluno dever trabalhar com o Iptables para bloquear o acesso SSH e o ping. Para instalar o pacote SSH acesse:
\\Iniciar

> Adicionar ou remover programas (Adept); a senha de usurio;

\\Informe \\No

campo de busca digite SSH, clique no pacote e depois em Solicitar instalao. Aps essa ao, clique em Aplicar mudanas.

Transferncia de arquivo remoto


Transferncia de um arquivo de um host remoto para o host local e vice-versa. Um administrador de rede precisa criar pastas com atalhos e arquivos para todos os usurios. Utilize o comando scp para transferir a pasta /etc/skel com os arquivos necessrios para os hosts remotos.
\\Copie os arquivos, atalhos e cones para sua rea de trabalho, de maneira que ela seja o

modelo. Aps esse procedimento, copie sua pasta /home/aluno para a pasta /etc/skel:
# cp p R /home/aluno /etc/skel
\\Copie

para o computador remoto o contedo da pasta /etc/skel:

# scp p r /etc/skel root@ip_remoto:/etc/skel


\\No

host local acesse o host remoto utilizando o SSH:

# ssh ip_remoto
\\Estando

logado no host remoto liste o contedo da pasta /etc/skel, verificando o contedo de suas subpastas:
# ls /etc/skel/Desktop # ls /etc/skel/Documentos

\\A

partir desse momento, todos os usurios criados estaro com suas pastas personalizadas.

167

Captulo 10 Firewall

Formao de suporte tcnico Proinfo

168

11
Laboratrio Proinfo
Neste captulo, veremos e manusearemos os equipamentos servidor, terminais e perifricos utilizados nos laboratrios do Proinfo. Conheceremos tambm os problemas que podem ocorrer e o modo de solucion-los.

Geraes Proinfo
\\Proinfo

Urbano so duas as geraes com mquinas do modelo urbano, as geraes 2007/2008 e a 2008/2010, ambas do fabricante Positivo. Rural trs geraes envolvidas: 2007/2008 do fabricante Daruma, 2008/2009 do fabricante Itautec e 2009/2010 do fabricante Daruma.

\\Proinfo

A seguir uma viso das diversas distribuies ao longo dos anos: Figura 11.1 Tipos de equipamentos e anos de distribuio

Rural

5 Terminais

Urbano

Daruma 2007

Itautec 2008

Daruma 2009

Positivo 2007

Positivo 2008

2008

2009

2010

2008

2010

As diferenas entre os equipamentos do Proinfo Rural e Proinfo Urbano se devem principalmente s diferenas entre os ambientes encontrados nas escolas rurais e urbanas. Nas escolas rurais existem os seguintes problemas:
\\Falta

de infraestrutura; da rede eltrica;

\\Precariedade \\Falta

de espao fsico; repentinas de localidade das escolas.

\\Mudanas

169

Formao de suporte tcnico Proinfo

Esses fatores desencadearam o desenvolvimento da soluo Multiterminal para o Proinfo Rural, mostrada na figura a seguir.

5 Usurios compartilhando todos os recursos e capacidades de 1 computador.


Figura 11.2 Soluo Multiterminal

As principais vantagens dessa soluo so a possibilidade de navegao na internet com apenas uma conexo e a economia de energia eltrica e investimento em hardware, se comparada a uma soluo convencional. Sacrificou-se, em certa medida, o desempenho do conjunto, mas ainda continua dentro de padres aceitveis. J na soluo Proinfo Urbano, como as condies das escolas so melhores, adotou-se uma soluo de maior desempenho (sem ser multiterminal). Nessa soluo so instalados mais equipamentos por aluno, mas as condies das escolas urbanas permitem a utilizao de maior quantidade de equipamentos.

Soluo Multiterminal
Antes das solues multiterminais, foram desenvolvidas algumas solues locais proprietrias, de acordo com a criatividade e a disponibilidade de recursos locais. A figura seguinte mostra uma soluo denominada por seus criadores de multilayout, usando 6 placas de vdeo (1 AGP e 5 PCI) e mouse/teclado (1 PS2 e 5 USB).

170

Teclado e mouse PS2

Teclado e mouse USB

Teclado e mouse USB

Teclado e mouse USB

Teclado e mouse USB

Teclado e mouse USB

Esta soluo funciona muito bem com o Linux, gerenciando configuraes de forma nativa, sem a necessidade de adicionar novos recursos de hardware ou software. , portanto, uma soluo com excelente relao preo/performance. A foto abaixo ilustra outra soluo do mesmo tipo, adotada numa escola em Roraima, usando quatro placas de vdeo e o sistema operacional Linux Debian. Figura 11.4 Soluo Multilayout

Essas solues regionais demonstraram claramente que havia um ambiente propcio para a implantao de uma soluo de carter nacional com objetivos semelhantes. Foi assim que amadureceu a soluo multiterminal adotada no Proinfo, descrita a seguir.

171

Captulo 11 Laboratrio Proinfo

Figura 11.3 Soluo Multilayout (fonte: www. ronaldcosta. pro.br)

6 placas de vdeo 1 AGP 5 PCI

Formao de suporte tcnico Proinfo

Soluo Proinfo Rural 2007/2008


A soluo mutiterminal baseada nas solues thin client que usam a placa de vdeo ATI Rage XL Quad, que possui quatro conjuntos independentes de processador e memria, garantindo assim um bom desempenho. Cada usurio possui um hub individual com sada de teclado, mouse, som e pendrive, ficando independente em suas tarefas, compartilhando apenas o drive de DVD. A prxima figura mostra a placa de vdeo ATI Rage XL Quad, com seus cabos de conexo aos hubs e o hub individual que permite ligao aos perifricos de cada usurio. Figura 11.5 Placa de vdeo e hub

As fotos a seguir mostram o detalhe das conexes dos hubs placa de vdeo ATI Rage XL Quad na parte traseira do gabinete (quatro sadas) e o detalhe da mesma placa de vdeo com e sem as conexes. Figura 11.6 Conexes da placa de vdeo

172

Figura 11.7

Processador Pentium Dual Core E2140, 1.60 Ghz (200x8) HD Samsung SATA II de 160 GB 7200 Memria DDR2 de 512 MB 667 MHz PC 5300 Placa de vdeo (4x) Gravador de DVD-RW LG Gabinete Torre NK 770 com sensor Placa Me Gigabyte GA-945GCMX-S2 Teclado Mtek USB ABNT2 K2805P preto Mouse Mtek USB ptico B55P preto com prata Placa ATI Rage XL Quad Monitor LCD de 15 LG L1553 Impressora HP Officejet Pro K5400 Descrio do Kit: HUB USB com udio Cabo extensor KVM 3,0 VGA/USB Cabo USB 1,5m Headset com microfone e audio st. clone Filtro de linha com 5 tomadas Estabilizador Isolador Forceline EVO III

As fotos a seguir mostram os perifricos de cada usurio: monitor LCD, teclado e mouse. Figura 11.8 Perifricos do usurio

Soluo Proinfo Urbano 2007/2008


Essa soluo no multiterminal, consistindo numa CPU convencional e seus perifricos. Praticamente as nicas diferenas entre a mquina denominada servidor e a mquina denominada estao que a primeira tem um gravador DVD e uma impressora, enquanto a segunda tem um leitor de CD-ROM. A prxima foto mostra o gabinete desta soluo e a descrio completa da configurao do servidor.

173

Captulo 11 Laboratrio Proinfo

A foto a seguir mostra uma vista frontal do gabinete e a descrio completa da configurao do computador.

Formao de suporte tcnico Proinfo

Placa me Positivo N1996. 945GCM5 HD SATA de 80GB Maxtor Memria RAM DDR2 de 512MB Gabinete torre de 2 Baias Monitor LCD de 15 Positivo Gravador de DVD/CD/RW preto Teclado ABNT2PS2 preto Mouse PS2 preto Impressora OKI B2200n laser

Figura 11.9

Soluo Proinfo Rural 2008/2009


Essa soluo mutiterminal, baseada nas solues thin client que usam a placa de vdeo ATI Rage XL Quad, que possui quatro conjuntos de processador e memria independentes, garantindo um bom desempenho. Cada usurio possui um hub individual com sada de teclado, mouse, som e pendrive, ficando independente em suas tarefas e compartilhando apenas o drive de DVD. A figura seguinte mostra a placa de vdeo ATI Rage XL Quad com seus cabos de conexo aos hubs e o hub individual que permite ligar os perifricos de cada usurio. Figura 11.10

As fotos a seguir mostram uma viso frontal do gabinete e a viso traseira, onde aparecem os conectores da placa de vdeo.

174

A prxima foto destaca o conjunto completo do Proinfo Rural montado na Escola Superior de Redes, na unidade de Braslia. Figura 11.12 Viso do conjunto

Soluo Proinfo Urbano 2008/2009


Essa soluo mutiterminal, baseada na placa de vdeo ATI Radeon com duas sadas de vdeo independentes, permitindo conectar duas estaes de usurio completas (via hub) e ainda, opcionalmente, uma terceira estao usando a sada de vdeo da placame. As prximas duas fotos mostram a placa de vdeo e o detalhe dos conectores para ligao dos cabos de vdeo.

175

Captulo 11 Laboratrio Proinfo

Figura 11.11

Formao de suporte tcnico Proinfo

Figura 11.13

As prximas trs fotos mostram o hub e o detalhe dos cabos de conexo de vdeo. Figura 11.14

A foto a seguir mostra um conjunto completo de duas estaes de usurio. Figura 11.15

176

Figura 11.16

Viso de parte do laboratrio Proinfo, montado na Escola Superior de Redes. Figura 11.17 Laboratrio Proinfo montado na Escola Superior de Redes

177

Captulo 11 Laboratrio Proinfo

As fotos seguintes, tiradas no laboratrio da ESR, mostram as vises frontal e traseira do gabinete.

Formao de suporte tcnico Proinfo

Rede eltrica
As recomendaes aqui descritas foram obtidas no endereo: sip.proinfo.mec.gov.br/sisseed_fra.php Opes Menu/Download/Manuais/Cartilha Rural/Cartilha Urbana. Figura 11.18 Site do MEC para download

As recomendaes se referem ao ambiente urbano, o ambiente com maior nvel de exigncias, uma vez que ter uma quantidade de equipamentos bem maior do que o ambiente rural. Para o ambiente rural as exigncias so mnimas. Principais recomendaes:
\\Tomadas

eltricas comuns no podem ser compartilhadas com a rede eltrica dos equipamentos de informtica, por conta das interferncias e oscilaes geradas por aparelhos como liquidificador, enceradeira, geladeira e ar-condicionado, que podem causar danos aos estabilizadores e fontes de alimentao dos equipamentos, podendo at queim-los; piso adequado deve ser de madeira, pedra, cimento liso, vinil, cermica ou equivalente, sem desnveis, relevos ou batentes. A exigncia da utilizao de material que no gere energia esttica com o atrito no piso do laboratrio acontece porque descargas eltricas, mesmo que mnimas, podem atingir os equipamentos e danific-los; mnimas da rede eltrica: fornecimento de energia eltrica de 110V ou 220V, com capacidade de pelo menos 10 KVA, sendo que estes parmetros representam o mnimo de carga na rede eltrica para o funcionamento dos equipamentos a serem instalados. Tais requisitos, se no cumpridos, podero provocar a queima de componentes, estabilizadores e microcomputadores, em funo de possveis quedas e oscilaes inesperadas de energia no laboratrio; de distribuio de energia eltrica exclusivo para os equipamentos de informtica (independente de quaisquer outros aparelhos eltricos), evitando interferncias e oscilaes na rede eltrica, geradas por outros equipamentos;

\\O

\\Exigncias

\\Quadro

178

\\Tomadas

tremulares monofsicas de trs pinos, padro NEMA 5P, instaladas ao longo das paredes, em caixas modulares externas ou embutidas, uma para cada equipamento: microcomputador, impressora, hub e scanner (se houver). A referida tomada tem modelo padro, e sua utilizao exigida em equipamentos de informtica. Portanto, todos os equipamentos viro com seus respectivos conectores de fora para encaixe neste padro de tomada; eltrica embutida ou externa em canaletas (importante: todos os fios devem estar ocultos ou presos). imprescindvel tomar precaues para que toda a fiao eltrica esteja devidamente protegida, evitando assim possveis acidentes envolvendo ocupantes do laboratrio e equipamentos; de disjuntores para cada conjunto de quatro tomadas (mximo 20A). Dotado de etiquetas identificadoras, visando garantir a proteo eltrica dos equipamentos instalados, bem como facilitar a identificao de possveis problemas atravs da identificao existente; do projeto ou diagrama da rede eltrica (no mnimo um diagrama), com a identificao dos circuitos, disjuntores e tomadas, facilitando uma eventual manuteno necessria, bem como futuras alteraes e/ou reformas que por ventura sejam necessrias; assim a segurana da rede eltrica contra eventuais danos proveniente de raios;

\\Fiao

\\Quadro

\\Existncia

\\Existncia de para-raios de linha, para proteo contra descargas atmosfricas, garantindo

\\Todas \\Todas

as tomadas e disjuntores devem possuir etiquetas identificadoras dos circuitos;

as tomadas devem conter etiqueta de aviso do tipo: tomada exclusiva para equipamentos de informtica, buscando no s a facilidade de manuteno, como tambm evitar que outros equipamentos sejam inadvertidamente ligados rede eltrica destinada aos equipamentos de informtica, podendo provocar interferncias prejudiciais a estes.

Aterramento
Sugerimos que a questo seja tratada com o auxlio de um eletricista ou empresa especializada em instalaes eltricas. Mesmo assim, apresentamos recomendaes para a construo de um sistema simples de aterramento:
\\Na

canaleta destinada fiao eltrica, passe juntamente com os cabos eltricos um fio de cobre com aproximadamente 0,5 cm (meio centmetro) de dimetro. Este cabo dever ter comprimento suficiente para passar pela canaleta e ainda sobrar para os procedimentos seguintes;

179

Captulo 11 Laboratrio Proinfo

\\Aterramento

do quadro e seus circuitos (no usar o neutro da rede), com resistncia menor ou igual a 10 Ohms. Nos locais onde no existe um sistema de aterramento instalado ele dever ser construdo, j que em nenhuma hiptese dever ser substitudo pelo neutro da rede eltrica;

Formao de suporte tcnico Proinfo

\\No

exterior do ambiente informatizado, utilize trs hastes de cobre com 2 metros de comprimento, enterrando-as em forma de tringulo ou em linha, a uma distncia de 2 metros entre cada uma das hastes, deixando aproximadamente 10 centmetros de cada haste expostos para conexo da fiao; a ligao entre as hastes utilizando fio de, no mnimo, 10mm de espessura, de forma a criar um tringulo fechado ou, caso as hastes estejam em linha, uma linha aberta. Lembramos que os fios devero estar presos a cada uma das hastes atravs de conectores prprios, para garantir que no se desprendam; ainda a criao de caixas de acesso s pontas de cada haste, visando facilitar a manuteno, proteo e acesso a elas; extremidade do cabo de cobre dever ser conectada ao tringulo ou linha;

\\Faa

\\Recomenda-se

\\Uma \\O

fio de cobre (que agora o terra) dever ser ligado ao terceiro pino de todas as tomadas da rede eltrica que desejamos aterrar; entre o neutro e o terra das tomadas. Esta voltagem no poder exceder 3 volts;

\\Para a averiguao do aterramento, utilize um multmetro para averiguar a tenso existente

\\O

neutro da rede eltrica no deve ser utilizado porque no um terra (embora popularmente seja conhecido pelo nome de terra). O neutro usado apenas como referncia para a fase; por exemplo, uma rede possui uma voltagem de 110V, isto significa que a diferena entre a voltagem do neutro e a voltagem da fase de 110V, no significando que a voltagem do neutro seja zero. Consequentemente, pode haver eletricidade no chamado neutro da rede, e por isso que ele no deve ser usado em hiptese alguma como terra da rede eltrica; prtica muito comum, mas com resultados catastrficos a utilizao de fios amarrados em pregos, canos de ferro, canos de PVC ou torneiras para servir como aterramento. Esses sistemas no so terra e, se usados, podem colocar em risco todos os equipamentos eltricos a eles ligados.

\\Se,

\\Outra

A figura abaixo mostra alguns modelos de estabilizadores isoladores para terminais (os 2 primeiros da esquerda) e para impressora (ltimo direita). Figura 11.19 Estabilizadores para terminais e para impressora

180

O equipamento entregue no local diretamente pelo fabricante na embalagem original. Se existir um tcnico no local que saiba realizar a montagem dos equipamentos, ele tem que pedir autorizao do fabricante para realizar a montagem do laboratrio. Isto porque o equipamento entregue lacrado e a garantia do fabricante, vlida por trs anos, s se aplica se no houver rompimento do lacre. Caso no exista nenhum tcnico habilitado no local, deve ser solicitada a visita do tcnico do fabricante para efetuar a montagem, realizada com o auxlio de um manual de montagem do fabricante. A ttulo de exemplo, reproduzimos na figura a seguir o esquema de montagem do fabricante Daruma para o Proinfo Rural.

Soluo integrada de laboratrios de informtica


Diagrama de instalao
filtro de linha

estabilizador

rede eltrica
Nota: Posicionar a chave seletora 110/220 conforme tenso local

impressora

Figura 11.20 Esquema de montagem do laboratrio Proinfo

Antes de fazer essas conexes preciso configurar a CPU para operar como multiterminal. A figura seguinte mostra um kit de configurao, composto de: 1. 2. 3. CD de instalao; Placa multiterminal Hub para conexo dos perifricos.

Essa configurao s pode ser feita no local pelo tcnico autorizado pelo fabricante.

181

Captulo 11 Laboratrio Proinfo

Instalao do laboratrio

Formao de suporte tcnico Proinfo

Figura 11.21 Kit de configurao multiterminal

Aps a ligao fsica de todos os componentes, ao ligar a CPU, automaticamente a placa multiterminal detecta a presena dos perifricos conectados via hub e precisa identificar fisicamente cada um deles, ou seja, saber a porta fsica na qual cada perifrico est conectado. O software da placa previamente instalado via kit de configurao, como mostra a tela da figura a seguir. Nessa tela solicitado ao usurio que aperte a tecla de funo F5 no teclado, que corresponde a esse terminal de vdeo. assim que o programa associa fisicamente o terminal de vdeo ao teclado. Figura 11.22 Tela de configurao multiterminal teclado

Em seguida, procedimento semelhante feito para o mouse.

182

Aps a configurao de todos os terminais, cada um pode operar de forma independente, usando o Linux Educacional e navegando na internet atravs do acesso fornecido pelo provedor. Usando as instalaes fsicas do laboratrio fornecidas pelo MEC, os alunos devem praticar os procedimentos aqui descritos, sob orientao do instrutor.

ProinfoData Monitoramento automtico dos laboratrios Proinfo


O ProinfoData tem como objetivo desenvolver e implementar ferramentas que permitam acompanhar os laboratrios de informtica do Programa Nacional de Tecnologia Educacional (Proinfo) espalhados geograficamente e com administrao autnoma. As informaes coletadas e tratadas por estas ferramentas devem realizar o levantamento do inventrio de hardware nas escolas, e tambm possibilitar que se determine o grau de utilizao dos equipamentos. fundamental que haja este acompanhamento para garantir a operabilidade mxima nas escolas, detectando problemas proativamente e garantindo uma boa visibilidade do estado atual de cada laboratrio nas escolas, preferencialmente via interfaces grficas com facilidade de uso, como as desenvolvidas para o portal do projeto. Mais informaes em seed.c3sl.ufpr.br.

Tenha em mos o cdigo do INEP antes de iniciar a instalao do ProinfoData.

183

Captulo 11 Laboratrio Proinfo

Figura 11.23 Tela de configurao multiterminal mouse

Formao de suporte tcnico Proinfo

Figura 11.24 ProinfoData

Figura 11.25 Instalao do software

184

Opes de monitoramento
\\Disponibilidade

acompanhamento das mquinas das escolas que possuem o agente de coleta instalado. relao de mquinas com o agente de coleta instalado.

\\Inventrio \\Auditoria

relao de mquinas com e sem o agente instalado.

Figura 11.27 Documentao

185

Captulo 11 Laboratrio Proinfo

Figura 11.26 Monitoramento dos laboratrios

Formao de suporte tcnico Proinfo

Resolvendo problemas
Caso ocorram problemas na operao dos equipamentos, necessrio diagnosticar primeiro a causa do problema: hardware ou software. Se for difcil faz-lo, solicite o auxlio do Service Desk. Problemas mais comuns nesse tipo de instalao:
\\O

perifrico deixou de funcionar Se o conjunto de um perifrico parou de funcionar, indcio de problema na conexo placa multiterminal da CPU. Esse problema pode ser no hub ou na prpria placa. Se for no hub, basta desconect-lo e conect-lo novamente, seguindo o procedimento de configurao de perifricos j descrito. Se isso no funcionar, ento o problema na placa ou na configurao da placa e s pode ser resolvido pelo tcnico autorizado pelo fabricante. tela congelou Esse um problema tipicamente de software, embora raro de ocorrer com o Linux Educacional, que um sistema bastante robusto e estvel. Provavelmente a causa um defeito de hardware que pode ser temporrio ou no. Se for um defeito temporrio, basta reiniciar o Linux para tudo se normalizar. Se for um defeito permanente, ento registre uma chamada no Service Desk. consegue navegar na internet Esse problema ser tratado no Captulo 13, quando forem descritos os equipamentos de rede e suas configuraes.

\\A

\\No

\\A

Edubar no funciona Esse problema pode ser facilmente resolvido reinstalando a Edubar. Se necessrio, remova-a primeiro e instale-a novamente. O procedimento bem simples. Basta ir ao menu Iniciar > Adicionar e Remover programas (Adept) e iniciar o Adept. Esse programa uma interface grfica, onde selecionamos na janela de busca, na parte superior da tela, o nome do programa que desejamos (no caso Edubar). O Adept mostra os dados do programa em questo, que j est instalado. Nessa mesma tela temos a opo de remover ou instalar novamente.

186

Os que se sentem mais vontade com interface do terminal podem usar o console e o comando apt-get install. Note que necessrio ter privilgio de root para isso; portanto, preciso usar o comando sudo e digitar a senha do usurio para confirmar a operao. Comando apt-get install:
$ apt-get install edubar E: No foi possvel abrir arquivo de trava /var/lib/dpkg/lock open (13 Permisso negada) E: Unable to lock the administration directory (/var/lib/ dpkg/), are you root? $ sudo apt-get install edubar [sudo] password for aluno1: senha Lendo lista de pacotes... Pronto Construindo rvore de dependncias Lendo estado da informao... Pronto edubar j a verso mais nova.

187

Captulo 11 Laboratrio Proinfo

Figura 11.28 Usando o Adept

188

12
Impressoras
A impressora j faz parte do pacote de equipamentos e vem pr-instalada no Linux Educacional. Caso se deseje refazer a instalao ou aproveitar uma impressora j existente na escola, necessrio ter o driver da impressora para o Linux Educacional. Esse driver um mdulo do sistema operacional que permite a utilizao da impressora. Normalmente fornecido pelo fabricante da impressora e especfico para o sistema operacional em uso, no caso o Linux Educacional. Se o fabricante no fornecer esse mdulo, no ser possvel instalar a impressora no Linux Educacional. Sempre resta a alternativa de garimpar na internet e ver se algum j teve esse problema e conseguiu resolver. Provavelmente drivers da impressora para o Debian e o Ubuntu devem funcionar adequadamente. O processo de instalao da impressora o mesmo para qualquer tipo de impressora. Mostraremos a seguir uma instalao passo a passo da impressora Okidata, usando dois mtodos de instalao. O procedimento vale para outra impressora, s mudando o driver.

Instalao via CUPS


O Common Unix Printing System (CUPS) um servidor de impresso e pode ser instalado de forma gratuita. uma camada de impresso porttil que se tornou padro para impresso na maioria das distribuies Linux. O CUPS pode controlar trabalhos de impresso e filas de espera e oferece capacidade de impresso em rede usando o protocolo padro Internet Printing Protocol (IPP), oferecendo simultaneamente suporte para uma enorme diversidade de impressoras, desde agulhas at laser. O CUPS suporta ainda o PostScript Printer Description (PPD) e a autodeteco de impressoras de rede, e possui um ambiente de configurao e administrao muito simples com acesso via navegador web. Basta digitar: http://localhost:631, conforme mostra a figura a seguir.

189

Formao de suporte tcnico Proinfo

Figura 12.1 Interface web do CUPS

Para diminuir as chances da ocorrncia de problemas durante a instalao da impressora, vamos remover as impressoras antigas que possam estar instaladas. Para isso clique em Printers e depois em Delete Printer, conforme a figura a seguir. Figura 12.2 Removendo impressoras instaladas

Neste exemplo instalaremos a impressora Okidata 2200n. Clique em Administration e depois no boto Add Printer; preencha os dados ou preencha da forma que preferir.

190

Em Device for OKID2200n clique no menu Device e escolha a opo OKIDATA CORP 2200n USB #1 (OKI DATA CORP 2200n); depois clique em Continue. Para que o sistema encontre a impressora na porta USB, ela dever estar conectada e ligada. Figura 12.3

O arquivo .ppd contm todos os dados necessrios para a instalao de impressoras no sistema operacional GNU/Linux, por ser escrito especificamente para o tipo de impressora que queremos instalar; o nosso trabalho se resume a baixar o arquivo na internet ou obt-lo com o fabricante da impressora. Em nosso caso, podemos encontrar o arquivo .ppd no diretrio /usr/share/ppd, mas voc pode encontr-lo na internet em www.cups.org, ou no site do fabricante da impressora. Conforme mostra a figura abaixo, na janela Arquivo... assinalada na figura em vermelho, digite o nome do arquivo e sua localizao no sistema de arquivos da sua mquina. Basta achar o diretrio onde voc salvou o arquivo .ppd e dar um clique no boto Open.

191

Captulo 12 Impressoras

Figura 12.4

Formao de suporte tcnico Proinfo

Figura 12.5 Arquivo .ppd da impressora

Sua tela dever ser como a mostrada na figura seguinte. Confira e aperte o boto Add Printer para finalizar a instalao e aguarde por informaes do sistema.

Figura 12.6

Como estamos executando uma tarefa administrativa no sistema, ele solicita a senha para continuar o trabalho; basta que voc digite o usurio e a senha definida durante a instalao do sistema. Na figura seguinte so mostradas as configuraes padro da impressora que voc acabou de instalar. Se for o caso ou necessidade, podemos mudar algumas configuraes nesta pgina. S altere alguma configurao se voc considerar realmente necessrio, pois do contrrio as configuraes originais serviro bem.

192

Chegamos ao final da instalao da impressora OKI2200n usando o CUPS com um arquivo .ppd. Este procedimento pode ser utilizado para qualquer tipo de impressora. Apesar da possibilidade de diferenas em alguns dos passos modificados, de forma geral o procedimento ser o mesmo.

Compartilhando a impressora
Este procedimento no CUPS bem simples: basta marcar a opo Share no destaque em vermelho e apertar o boto Change Settings. Como sempre, ao executar uma tarefa administrativa devemos digitar usurio e senha e clicar no boto OK. Agora a sua impressora est disponvel para ser instalada em outros computadores da sua rede.

193

Captulo 12 Impressoras

Figura 12.7 Configuraes da impressora

Formao de suporte tcnico Proinfo

Figura 12.8 Compartilhando a impressora na rede

Instalao via KDE


Os arquivos .ppd podem ser usados para instalar impressoras dentro do gerenciador de impresso do KDE. Mostraremos um exemplo de instalao da impressora OKI2200n, mas voc pode us-lo para instalar qualquer impressora, bastando ter em mos o arquivo .ppd correspondente impressora que deseja instalar. No menu Iniciar clique em Configuraes do Sistema. Figura 12.9 Instalando impressora via KDE (parte 1)

Agora clique em Impressoras.

194

Clique em Adicionar > Adicionar Impressora/classe... Figura 12.11 Instalando impressora via KDE (parte 3)

Na tela mostrada abaixo, clique em Prximo. Figura 12.12 Instalando impressora via KDE (parte 4)

Na prxima tela, marque Impressora local (paralela, serial, USB) e clique em Prximo.

195

Captulo 12 Impressoras

Figura 12.10 Instalando impressora via KDE (parte 2)

Formao de suporte tcnico Proinfo

Figura 12.13 Instalando impressora via KDE (parte 5)

A sua impressora dever estar conectada na porta USB e ligada. Se tudo correu bem, vai aparecer a impressora na porta USB, conforme a figura abaixo. Basta selecion-la e apertar Prximo. Figura 12.14 Instalando impressora via KDE (parte 6)

Localize o arquivo .ppd e clique no boto OK para abrir o arquivo, conforme a prxima figura. Figura 12.15 Instalando impressora via KDE (parte 7)

196

Figura 12.16 Instalando impressora via KDE (parte 8)

Nas prximas telas, basta clicar no boto Prximo. Na tela da figura seguinte, basta clicar no boto Finalizar. Pronto, voc acabou de instalar uma impressora usando o gerenciador de impresso do KDE, e j pode instalar outras de acordo com a sua necessidade. Figura 12.17 Instalando impressora via KDE (final)

197

Captulo 12 Impressoras

Como podemos ver na figura seguinte, a impressora foi identificada; s precisamos apertar a tecla Enter.

198

13
Roteador sem fio
Descrio do equipamento
O laboratrio do Proinfo ser conectado internet via um roteador D-Link DI-524, semelhante ao mostrado na figura abaixo. Figura 13.1 Roteador D-Link

Esse roteador possui 4 portas LAN (Switch Ethernet) onde podem ser conectadas, via cabo par tranado, 4 estaes ou qualquer combinao de at 4 hubs/switches/ estaes. A antena serve para conexo dos equipamentos portteis (notebooks) ou de outros equipamentos que tenham placas de rede sem fio, como o caso dos equipamentos do Proinfo. A porta WAN mostrada na figura para a conexo ao modem ADSL do provedor de acesso internet. A figura mostra ainda o ponto de entrada do alimentador de energia e o boto de reset, que deve ser usado para retornar s configuraes originais do fabricante. As orientaes a seguir partem do pressuposto que o equipamento est na situao original. Assim, se estiver em dvida quanto configurao original, use o boto de reset.

199

Formao de suporte tcnico Proinfo

A conexo internet do laboratrio do Proinfo deve ser semelhante mostrada na figura abaixo. Figura 13.2 Rede de acesso internet

Internet

modem

D-Link DI-524

Notebook via wireless

2 desktops conectados via cabo

Preparando o ambiente
Usando um cabo de rede par tranado conecte a Porta WAN do DI-524 Porta LAN do seu Modem ADSL. Usando outro cabo de rede par tranado conecte a Porta LAN 1 do DI-524 interface de rede de seu computador desktop ou notebook. No aconselhvel configurar seu DI-524 via wireless. Conecte a fonte de alimentao na entrada de energia do DI-524 e ligue-o na tomada. A sua rede deve ficar parecida com a rede mostrada na figura seguinte. Nesse ponto no preciso conectar mais de um equipamento para efetuar as configuraes do roteador. O roteador automaticamente obtm o endereo IP fixo fornecido pelo provedor, que deve ser um endereo IP pblico como, por exemplo, 200.100.10.10/24 (a mscara de rede pode ser outra, mas o que importa o endereo IP). Esse endereo ser usado pela porta WAN. Internamente os equipamentos conectados ao roteador, seja por cabo par tranado ou via rede sem fio, usaro endereos privativos da rede 192.168.0.0/24, onde o endereo IP do roteador na rede interna ser, por default, 192.168.0.1. Esse ser o endereo usado como gateway padro na configurao IP das mquinas da rede interna. Para permitir a navegao na internet, o roteador realizar automaticamente a funo NAT Overload, traduzindo todos os endereos privados da rede interna para o endereo IP pblico fornecido pelo provedor de acesso (no nosso exemplo: 200.100.10.10). No retorno dos pacotes da internet, o roteador far o processo inverso: traduzir o endereo IP pblico para o endereo privativo da rede interna.
200

Configurao do roteador
Depois de tudo devidamente conectado, v ao seu desktop (ou notebook) que foi conectado anteriormente na Porta LAN do DI-524 e configure-o para obter endereo IP automaticamente, pois o DI-524 j vem configurado por padro como um servidor de atribuio de endereos IPs automtico (servidor DHCP) para as estaes de trabalho. No Linux Educacional, a deteco da interface de rede ativa ser automtica e tambm a obteno de endereo IP atravs do servidor DHCP do roteador. Em seguida, abra o seu navegador Firefox e aponte-o para o seguinte endereo 192.168.0.1. Aparecer uma janela solicitando um login e uma senha para acessar a interface de gerncia do DI-524, parecida com a da figura abaixo. Figura 13.3 Login no DI-524

Preencha o campo usurio com admin e o campo senha com pro8308 e em seguida aparecer a pgina com a interface de gerncia. Sempre faa as configuraes do roteador DI-524 utilizando a rede com fio, usando o computador do professor.

201

Captulo 13 Roteador sem fio

Outra facilidade do roteador a funo DHCP (Dynamic Host Configuration Protocol), que atribui endereos IP da rede 192.168.0.0 automaticamente aos equipamentos da rede interna, medida que eles se conectam ao roteador. Assim, no h necessidade de fazer a configurao manual dos endereos IP nos equipamentos da rede interna. Esse roteador ainda tem outros recursos mais avanados de configurao, tais como: segurana, canal de comunicao, filtragem por endereo MAC, filtragem de aplicativos etc.

Formao de suporte tcnico Proinfo

Figura 13.4 Interface de gerncia do DI-524

O boto Wizard pode ser usado para conectar de forma mais automtica o roteador, mas vamos fazer passo a passo.

Configurando a rede sem fio


Clique no boto Wireless localizado no menu vertical no lado esquerdo da tela. Surgir uma nova tela parecida com a mostrada na figura abaixo. Figura 13.5 Configurao da rede sem fio

202

\\Network

ID (SSID) um nome qualquer que voc dar para a sua rede sem fio. Exemplo: Proinfo; o canal de comunicao; o padro 6 e podem ser usados os seguintes canais: 1, 6 e 11; se houver outro roteador sem fio nas proximidades, verifique o canal que o outro est usando e configure um canal diferente neste, para evitar interferncia; o tipo de segurana a ser utilizado. Utilizaremos nesse exemplo de configurao da rede wireless o padro WEP. No o mais seguro, mas oferece uma segurana mnima para que outros usurios no peguem carona e utilizem a sua conexo wireless e a sua internet ou acessem os outros computadores de sua rede; Encription essa opo aparecer somente caso tenha escolhido o tipo de segurana WEP. Pode-se escolher entre o valor 64 e 128 bits, influenciando diretamente no nvel de segurana e no tamanho da chave a ser utilizada. Selecione o valor 128 bits para ter um pouco mais de segurana; Mode essa opo aparecer somente caso tenha escolhido o tipo de segurana WEP. Pode-se escolher os valores ASCII (texto) e HEX (hexadecimal). A diferena entre os dois modos que em ASCII voc pode definir uma chave mais fcil de ser guardada, pois ser uma palavra no formato texto com 13 letras, enquanto que em HEX voc dever utilizar 26 caracteres somente com os valores de 0-9 e ABCDEF. Nesse exemplo optamos por utilizar chave em HEX. Exemplos de chaves ASCII: linuxeducacio. Exemplos de chaves HEX: 0123456789ABCDEF0123456789, AB54355CDF4324F321ABD12345.

\\Channel

\\Security

\\WEP

\\Key

Depois de preenchidos todos os campos, basta clicar sobre o boto Apply e aguardar o equipamento ser reiniciado.

203

Captulo 13 Roteador sem fio

Preencha com as seguintes informaes:

Formao de suporte tcnico Proinfo

Conexo com a internet


Clique no boto WAN localizado no menu vertical no lado esquerdo da tela, para que aparea a tela mostrada na figura a seguir. Figura 13.6 Configurao da conexo com a internet

Caso esteja utilizando um modem ADSL configurado como roteador, basta ento selecionar a opo Dynamic IP Address. Dessa forma, o seu DI-524 ser um cliente DHCP e obter um endereo IP pblico automaticamente, que ser utilizado pela porta WAN. No caso da utilizao de um modem ADSL como roteador, no se esquea de verificar se ele est configurado para fornecer endereo IP para a rede internet (servidor DHCP); caso contrrio, ser necessrio utilizar a opo Static IP Address, onde ser preciso informar o endereo IP, mscara de rede e gateway padro. Essas informaes devero ser fornecidas pelo seu provedor de acesso internet. Ligue tambm a opo Auto-reconnect clicando em Enable. Dessa forma, caso a sua conexo caia, o DI-524 tentar restabelecer a conexo automaticamente. Clique no boto Apply para confirmar as alteraes. Caso esteja utilizando um modem ADSL como Bridge, confirme com a sua operadora se o seu padro PPPoE, selecione a opo PPPoE e entre com as seguintes opes:
\\User

Name seu nome de usurio de conexo. Na maioria dos casos (confirme com a sua operadora), deve-se colocar o seu login e tambm o domnio. Exemplo: proinfo@oi.com.br;

204

\\Connect

mode select selecione Always-on. Dessa forma, sua conexo ficar sempre ativa e em caso de quedas, automaticamente ser reconectado.

Clique sobre o boto Apply para confirmar as alteraes. Clique na aba Status localizada no menu horizontal na parte superior de sua tela e veja se o DI-524 conseguiu se conectar internet, verificando as informaes na seo WAN, conforme mostrado na prxima figura. Figura 13.7 Status da conexo WAN

Repare que houve a conexo e o endereo IP pblico da conexo WAN 201.17.48.40, a mscara de rede 255.255.248.0 (no se preocupe com este valor diferente: ele foi definido pelo provedor) e o gateway padro 201.17.48.1. Por se tratar de um roteador, automaticamente o equipamento j realizar o compartilhamento de acesso internet para todas as estaes de trabalho conectadas atravs de cabo de rede ou wireless. Observe que na parte referente LAN (Rede Local), o endereo IP do roteador 192.168.0.1 que deve ser usado como gateway padro pelos computadores da rede interna.

205

Captulo 13 Roteador sem fio

\\Password

e Retype Password sua senha de conexo;

Formao de suporte tcnico Proinfo

Configurao das estaes de trabalho via rede sem fio


As estaes devem reconhecer automaticamente as redes sem fio ao alcance da antena da placa de rede sem fio. Mas, caso isso no ocorra, basta clicar com o boto direito do mouse apontando para o cone de rede no canto inferior da tela (prximo ao relgio) que abrir uma tela do KnetworkManager, como a mostrada na figura abaixo, onde aparecem todas as redes sem fio detectadas. Figura 13.8 Tela do KnetworkManager

No exemplo vemos que est sendo usada a rede sem fio chamada linksys_ SES_56032 com criptografia. Observe que todas as redes listadas esto usando criptografia, exceto a rede belkin54g. Nessa situao, qualquer um pode se conectar rede belkin54g e us-la gratuitamente. No aconselhvel deixar uma rede sem fio sem nenhuma proteo. Se, por exemplo, selecionarmos a rede belkin54g, imediatamente seremos conectados, conforme a figura a seguir. Figura 13.9 Conexo rede belkin54g

Se na tela do KnetworkManager selecionarmos a opo Configurao Manual..., obteremos a tela mostrada na figura seguinte, onde possvel configurar manualmente as interfaces de rede disponveis.

206

Selecionando a interface eth1 e clicando no boto Configurar interface, teremos a tela mostrada na figura a seguir, onde podemos efetuar todas as configuraes desejadas. Figura 13.11 Configurao de Interface

Resoluo de problemas
Caso no esteja navegando na internet, podemos testar a conexo com alguns comandos simples.

207

Captulo 13 Roteador sem fio

Figura 13.10 Configurao Manual

Formao de suporte tcnico Proinfo

O primeiro passo verificar se voc est conectado ao roteador DI-524. Para isso, basta executar o comando ping para o endereo IP do roteador na rede interna: 192.168.0.1. Se estiver tudo certo, a resposta dever ser igual da listagem a seguir.
$ ping 192.168.0.1 Disparando contra 192.168.0.1 com Resposta de 192.168.0.1: bytes=32 Resposta de 192.168.0.1: bytes=32 Resposta de 192.168.0.1: bytes=32 Resposta de 192.168.0.1: bytes=32 32 bytes de dados: tempo=1ms TTL=64 tempo=1ms TTL=64 tempo=1ms TTL=64 tempo=1ms TTL=64

Se a mensagem for: Esgotado o tempo limite, ento voc no est conectado ao roteador. Verifique suas configuraes de interface de rede. O segundo passo tentar um endereo na internet. Se voc usar o nome do host na internet, ainda pode acontecer de haver um problema no servidor DNS que traduz nomes em endereos IP. Para contornar o servidor DNS, use um endereo IP conhecido. Algumas sugestes: 8.8.8.8 (servio de DNS pblico da Google); 208.67.222.222 (OpenDNS); 200.221.2.45 (www.uol.com.br). Se no funcionar, voc no est conectado internet. Verifique o status da sua conexo WAN. O terceiro passo testar usando um nome e no um endereo IP. Pode ser de qualquer site na internet. Se no funcionar, indcio seguro de que o servidor DNS no est respondendo. Verifique na tela de status da conexo WAN os endereos dos servidores DNS e tente dar um ping neles. Pelo menos um deles dever responder. Caso isso no acontea, contate seu provedor de acesso.

208

Caderno de atividades
Roteiro 1 Configurao bsica do roteador D-Link
Atividade 1.1 Configurao NAT do roteador
O NAT (Network Address Translation) uma tcnica que consiste em reescrever os endereos IP de origem dos pacotes que passam por um roteador, de maneira que um computador de uma rede interna tenha acesso a uma rede externa (internet) e vice-versa. Para configurar o NAT no Modem D-Link 524 necessrio abrir o navegador e digitar o endereo 192.168.0.1. A figura a seguir ilustra a sequncia dos procedimentos que devem ser executados.

Figura 1 Configurao NAT do roteador

209

Formao de suporte tcnico Proinfo

Certifique-se de que o computador est configurado para receber um endereo IP dinamicamente atravs de um servidor DHCP (o prprio roteador). Clique na guia Advanced e no boto Virtual Server.
\\Para \\No \\Em

habilitar o NAT, clique em Enabled;

campo Name, digite um nome para a regra que voc est criando;

Private IP, digite o IP do computador para o qual o acesso externo dever ser direcionado; em Protocol Type o protocolo a ser aplicado (TCP ou UDP);

\\Informe \\Em

Private Port, informe a porta privada a ser acessada dentro da rede, referente ao servio solicitado (ex: 22 para SSH); o mesmo em Public Port;

\\Faa \\Voc

pode criar um agendamento para que o NAT esteja disponvel apenas em um horrio determinado; em Apply para gravar a nova regra no roteador.

\\Clique

Pode-se criar uma regra para cada servio disponibilizado na rede, de acordo com sua porta de acesso, como por exemplo Telnet, SSH, Servio de Terminal, VNC.

Atividade 1.2 Configurao de acesso externo ao roteador


O acesso externo permite que o administrador de rede consiga ter acesso remotamente ao roteador para testes e manipulao de suas configuraes, sem a necessidade de estar presente no ambiente em que o roteador se encontra. Para ativar essa opo acesse com o navegador o endereo: http://192.168.0.1. A figura abaixo ilustra a sequncia dos procedimentos que devem ser executados. Figura 2 Configurao de acesso externo ao roteador

210

\\Clique \\Na

na aba Tools e no boto Admin;

opo Remote Management clique em Enabled;

\\Informe

um IP especfico caso esteja acessando sempre de um mesmo ponto remoto, ou deixe em branco para que o acesso possa ser feito de qualquer ponto remoto; a porta para acesso, no caso a porta 80;

\\Informe \\Clique

em Apply para gravar as alteraes no roteador.

Atividade 1.3 Alterando a senha do roteador D-Link DI-524


Uma das primeiras providncias de segurana que um administrador deve adotar alterar a senha default do roteador. Para isso, devemos abrir o navegador e fazer esta alterao atravs do console web do equipamento. Para alterar a senha padro acesse: http://192.168.0.1. A prxima figura ilustra a sequncia dos procedimentos que devem ser executados. Figura 3 Alterando a senha do roteador

211

Caderno de atividades

Certifique-se de que o computador est configurado para receber um IP dinamicamente atravs de um servidor DHCP (o prprio roteador). Siga o roteiro abaixo:

Formao de suporte tcnico Proinfo

Nesta tela voc pode alterar a senha de acesso ao equipamento. Existem duas contas que podem acessar a interface de web para gerenciamento do roteador:
\\admin \\user

acesso leitura e configurao;

acesso somente para leitura; o usurio pode visualizar apenas as definies, mas no pode fazer qualquer alterao.

Administrador: Admin o nome de login do Administrador. Password: Digite uma nova senha de Administrador e confirme essa senha. User: Nome de login do usurio. Password: Digite uma nova senha de usurio e confirme essa senha.

Roteiro 2 Laboratrio Proinfo


Atividade 2.1 Criando uma rede sem fio
No computador do professor, abra o navegador e digite 192.168.0.1, para acessar o roteador. A figura abaixo ilustra a seguinte sequncia de procedimentos:
\\Clique \\Clique

no boto Home; no boto Wireless; os dados da rede. Figura 4 Configurao da rede sem fio

\\Configure

212

Aps a configurao da rede sem fio no roteador, ingresse na rede criada de acordo com o seguinte roteiro:
\\Boto \\Boto \\Insira

Iniciar > Configuraes do sistema > Ferramentas de rede; Modo Administrador; a senha de login (este procedimento habilita a configurao da rede); a interface de rede sem fio e clique no boto Configurar interface; as opes: Automtico (DHCP), Ativar quando o computador iniciar;

\\Selecione \\Selecione \\Informe \\Clique

o ESSID da rede e a senha de acesso rede sem fio;

no boto OK.

Atividade 2.3 Instalando uma impressora de rede


Para instalar uma impressora no Linux Educacional, siga o seguinte roteiro:
\\Boto \\Clique \\Ser

Iniciar > Configuraes do sistema > Impressoras; em Adicionar > adicionar impressoras;

aberto um assistente para instalao de uma nova impressora no computador.

Atividade 2.4 Criando uma pasta compartilhada


Para criar uma pasta compartilhada, siga o seguinte roteiro:
\\Acesse \\Crie

a pasta de documentos do usurio;

uma pasta com o nome Pblico (ou outro qualquer de sua escolha); com o boto direito do mouse na pasta recm criada e clique em Propriedades;

\\Clique \\Na

aba Compartilhar, clique no boto Configurar o compartilhamento de arquivo (para isso ser necessrio entrar com a senha de super usurio); em Compartilhamento simples > adicionar;

\\Clique

\\Localize

a pasta recm criada e marque a opo Compartilhar com Samba; e clique em OK.

Verifique na mquina ao lado se o compartilhamento funcionou, atravs do cone: Pastas de Rede > Compartilhamentos do Samba.

Atividade 2.5 Restaurando o sistema operacional


Para restaurar o sistema operacional, utilize o DVD de reinstalao do sistema. Insira o DVD e reinicialize o computador, certificando-se de que o BIOS est configurado para inicializar pelo DVD-ROM. Siga as instrues na tela para que o sistema operacional seja restaurado.
213

Caderno de atividades

Atividade 2.2 Ingressando em uma rede sem fio com o Linux Educacional

Formao de suporte tcnico Proinfo

Atividade 2.6 Efetuando Reset no roteador


Esse artifcio deve ser utilizado caso o usurio no se recorde da senha de acesso ou tenha problemas com configurao, porm toda a configurao do roteador perdida. Pressionando o boto Reset por 10 segundos, ele restaura o roteador, voltando s configuraes originais de fbrica. No caso do roteador Proinfo com firmware especfico para o MEC, as configuraes originais so:
\\Usurio: \\Senha:

admin

pro8308

A rede sem fio j vem pr-configurada com criptografia WPA2-PSK (AES) e a senha : ProinfoUrbano832008 A figura abaixo ilustra a posio do boto Reset (deve ser usado um clip). Figura 5 Reset no roteador

Por questes de desempenho, recomenda-se que na rede Aluno a criptografia seja alterada para WEP-64 bits.

Roteiro 3 Separao entre as redes Administrativa e Aluno


Atividade 3.1 Projeto de rede
Deseja-se separar internamente as redes locais da Administrao e dos Alunos, de forma que a rede local da Administrao possa acessar a internet e tambm visualizar a rede dos Alunos, mas a rede dos Alunos no consiga acessar a rede da Administrao. A rede dos Alunos deve acessar a internet normalmente. Para fazer isso, fornecido um segundo roteador. Desenhe a configurao dessas duas redes e defina os endereos IP que devem ser usados em cada uma delas. Em seguida, usando os recursos do laboratrio, monte as duas redes com pelo menos uma estao de trabalho em cada uma delas. Teste e chame o instrutor para verificar o funcionamento.
214

A figura a seguir ilustra uma possvel soluo para o problema acima relatado.
D-Link Aluno 192.168.0.1 Internet IP do provedor Modem ADSL 192.168.0.x Rede ADM

192.168.10.y

D-Link ADM 192.168.10.1 Rede aluno 192.168.0.n

Figura 6 Rede interna

O roteador D-Link Aluno, com endereo IP LAN: 192.168.0.1 e endereo IP WAN: IP do Provedor, fornece endereos IP da rede 192.168.0.0/24 para os micros da rede Alunos via DHCP, conforme configurao pr-estabelecida na fbrica. O roteador D-Link ADM, com endereo IP LAN: 192.168.10.1 e endereo IP WAN: 192.168.0.x, fornece endereos IP da rede 192.168.10.0/24 para os micros da rede ADM via DHCP. Os micros da rede Aluno se comunicam com o roteador D-Link Aluno via rede sem fio, enquanto que os micros da rede ADM se comunicam com o roteador D-Link ADM via rede cabeada. Isto um pr-requisito para este laboratrio, uma vez que o segundo roteador no deve interferir na rede sem fio do primeiro roteador; portanto, o segundo roteador deve operar sem antena. A rede Aluno acessa a internet normalmente, sendo a traduo NAT do IP interno (192.168.0.n) para o IP do Provedor feita pelo roteador D-Link Aluno. Desta forma, a rede Aluno no tem rota para a rede interna 192.168.10.0/24 da Administrao. A rede ADM vai passar por duas tradues NAT para acessar a internet: a primeira traduo da rede 192.168.10.0/24 para o endereo 192.168.0.x da rede Aluno e a segunda traduo do endereo 192.168.0.x para o endereo IP do Provedor. Desta forma, os micros da rede ADM tm acesso rede Aluno e tambm internet, conforme especificado no enunciado do problema.
215

Caderno de atividades

Soluo

Formao de suporte tcnico Proinfo

Roteiro 4 Exerccios
Atividade 4.1 Complete a tabela com as informaes que faltam
Rede 192.168.10.0/24 10.11.10.0/8 Endereo Broadcast Endereo Rede Qual a classe?

Atividade 4.2 Complete a tabela com as informaes que faltam


O endereo da rede da escola 192.168.100.0/24. Descrio Endereo IP na LAN Mscara na LAN Endereo do Gateway na LAN Endereo de Broadcast na LAN Ponto de acesso Micro 1 Micro 2

Atividade 4.3 Um dos computadores da rede no est acessando a internet, mas os demais acessam
\\Qual

o provvel ponto de falha?

\\Como

voc faria para certificar se sua hiptese est correta?

\\Qual

seria a tentativa desoluo do problema?

216

\\Se

a sua tentativa no solucionou o problema e seu diagnstico indica que existe um problema de hardware, que procedimento dever ser executado?

Atividade 4.4 Todos os computadores da rede no acessam a internet


\\Quais

os provveis pontos de falha?

\\Como

voc faria para eliminar cada um dos possveis problemas?

\\Qual

seria a tentativa desoluo do problema?

\\Sua

tentativa identificou que o problema est com a operadora. Sendo assim, que aodever ser tomada para solucionar o problema?

217

Caderno de atividades

\\Se

a sua tentativa aparentemente funcionou, que comando voc utilizar para se certificar de que est de fatofuncionando?

Formao de suporte tcnico Proinfo

Soluo do Roteiro 4
Gabarito 4.1
Rede 192.168.10.0/24 10.11.10.0/8 Endereo Broadcast 192.168.10.255 10.255.255.255 Endereo Rede 192.168.10.0/24 10.0.0.0/8 Qual a classe? Classe C Classe A

Gabarito 4.2
Descrio Endereo IP na LAN Mscara na LAN Endereo do Gateway na LAN Endereo de Broadcast na LAN Ponto de acesso 192.168.100.1 255.255.255.0 No tem 192.168.100.255 Micro 1 192.168.100.2 255.255.255.0 192.168.100.1 192.168.100.255 Micro 2 192.168.100.3 255.255.255.0 192.168.100.1 192.168.100.255

Gabarito 4.3
\\Qual

o provvel ponto de falha?

A configurao do gateway do micro est errada.


\\Como

voc faria para certificar se sua hiptese est correta?

No console do terminal do micro usar o comando: route n e verificar se a rota padro aponta para o gateway da rede.
\\Qual

seria a tentativa desoluo do problema?

Configurar a rota padro com o comando: route add default gw IP_gateway


\\Se

sua tentativa aparentemente funcionou, que comando voc utilizar para se certificar de que est realmentefuncionando? Usar o comando ping para um stio na internet, por exemplo: ping www.mec.gov.br

\\Sua

tentativa no solucionou o problema e seu diagnstico leva a crer que existe um problema de hardware, qual o procedimento que dever ser tomado? Chamar a assistncia tcnica do fabricante e descrever o problema.

Gabarito 4.4
\\Quais

os provveis pontos de falha?

O roteador e o modem ADSL.

218

Acessar um micro da rede interna usando outro micro (teste de conectividade). Se conseguir, o roteador est funcionando corretamente na rede interna. Se no, o problema est no roteador. Verifique na tela de status do roteador se o endereo IP WAN o endereo fornecido pelo provedor. Se a tentativa anterior no funcionar, o problema est no modem ADSL.
\\Qual

seria a tentativa desoluo do problema?

Reiniciar o roteador e repetir o teste de conectividade. Se o problema persistir, definitivamente o roteador est com problema. Se o endereo IP WAN no estiver correto, reiniciar o roteador para ver se ele obtm o endereo IP correto.
\\Se

sua tentativa identificou que o problema est com a operadora, qual aodever ser tomada para solucionar o problema? Chamar a assistncia tcnica da operadora e descrever o problema.

Roteiro 5 Configurao de SSH (Secure Shell)


Atividade 5.1 Criao de uma conexo segura a um host remoto
Nesta atividade os alunos devem trabalhar em duplas, anotando os endereos IP de seus computadores. Devido s vulnerabilidades encontradas no servio Telnet, foi criado o protocolo SSH, que cifra todo o trfego de rede gerado entre o administrador e a estao remota. Um administrador de rede necessita acessar um computador remoto para cadastrar um usurio novo. Qual seria o procedimento?
\\Instalar

o servio SSH:

# apt-get install ssh


\\Criar

uma conexo segura ao servidor remoto: a autenticidade da chave apresentada:

# ssh ip_do_servidor_remoto
\\Confirmar

Are you sure you want to continue connecting (yes/no)? yes


\\Executar

um comando hostname no host remoto, para se certificar que voc est no computador desejado.
# hostname servidor.empresa

\\Incluir

um novo usurio: a conexo:

# adduser nome_do_usurio
\\Encerrar

# exit

219

Caderno de atividades

\\Como

voc faria para eliminar cada um dos possveis problemas?

Formao de suporte tcnico Proinfo

Atividade 5.2 Transferncia de um arquivo de um host remoto para o host local e vice-versa
Um administrador de rede necessita criar pastas com atalhos e arquivos para todos os usurios. Utilize o comando scp para transferir a pasta /etc/skel com os arquivos necessrios para os hosts remotos.
\\Copie os arquivos, atalhos e cones para sua rea de trabalho, de maneira que ela seja o

modelo. Aps esse procedimento, copie sua pasta /home/aluno para a pasta /etc/skel:
# cp p R /home/aluno /etc/skel
\\Copie

para o computador remoto o contedo da pasta /etc/skel:

# scp p r /etc/skel root@ip_remoto:/etc/skel


\\No

host local acesse o host remoto utilizando o SSH:

# ssh ip_remoto
\\Estando

logado no host remoto liste o contedo da pasta /etc/skel, verificando o contedo de suas subpastas:
# ls /etc/skel/Desktop # ls /etc/skel/Documentos

A partir desse momento, todos os usurios criados estaro com suas pastas personalizadas.

Atividade 5.3 Backup remoto de uma estao


Um administrador de rede necessita criar um backup de uma estao remota de trabalho utilizando SSH. Como deve proceder?
\\Acesse

o computador remoto atravs do SSH: o comando tar para fazer um backup da estao remota:

# ssh ip_remoto
\\Utilize

# tar cvzf /backup.tar.gz -exclude=/proc -exclude=/lost+found \ --exclude=/backup.tar.gz exclude=/mnt exclude=/sys /


\\Volte

para o terminal local: o arquivo compactado da mquina remota para a mquina local:

# exit
\\Copie

# scp root@ip_remoto:/backup.tar.gz .

Atividade 5.4 Restaurar o backup remotamente


\\Copie

o arquivo compactado da mquina remota para a mquina local: o computador remoto com o SSH: o comando tar para descompactar o arquivo copiado:

# scp backup.tar.gz root@ip_remoto:/


\\Acesse

# ssh ip_remoto
\\Utilize

# tar zxvf backup.tar.gz C /

220

Filtros
Os filtros so utilizados para permitir ou bloquear usurios da rede de acessarem a internet. O DI-524 pode ser configurado para negar acesso internet a computadores internos, por seus endereos IP ou MAC. O DI-524 tambm pode bloquear o acesso a sites restritos.

Filtros por IP
Use os filtros de IP para negar que endereos de IP da LAN tenham acesso internet. Para um endereo de IP especfico, possvel negar um nmero especfico de porta ou todas as portas. A figura abaixo ilustra os passos necessrios para essa configurao. Figura 7 Filtro de IP do roteador

Informe os seguintes dados:


\\IP

o endereo IP do computador da LAN que ter o acesso internet negado.

\\Port

digite uma nica porta ou uma srie de portas, que tero o acesso internet negado. Type selecione o tipo de protocolo utilizado. Agenda de ativao dos filtros (IP Filters).

\\Protocol

\\Schedule

221

Caderno de atividades

Roteiro 6 Configurao avanada do roteador D-Link

Formao de suporte tcnico Proinfo

Atividade 6.1 Bloqueando mquinas pelo endereo IP para acesso internet


Nesta atividade os alunos devem trabalhar em duplas, anotando os endereos IP de seus computadores. Utilizando os conhecimentos adquiridos de bloqueio de computadores por IP, bloqueie os computadores da sua bancada e teste seu funcionamento na internet.

Filtros por URL


URL Blocking utilizado para negar acesso aos computadores da LAN, a sites especficos, por URL (Uniform Resource Locator). URL a identificao, em forma de texto, que define um local na internet. Atravs desse recurso podemos montar uma lista com palavras que no podem fazer parte de nenhum URL. Se qualquer parte do URL contiver a palavra que define o bloqueio, o site no ser acessado e a pgina na web no ser exibida. Para usar este recurso, digite a sequncia de texto a ser bloqueada e clique em Apply. O texto a ser bloqueado aparecer na lista. Para apagar o texto, basta selecion-lo e clicar em Delete. A figura a seguir ilustra o procedimento que deve ser executado. Figura 8 Filtro por URL do roteador

\\No

campo Filters selecione o filtro que quer usar; neste caso foi escolhido URL Blocking.

\\URL

Blocking selecione Enabled ou Disabled para ativar ou desativar o URL Blocking; a configurao padro Ativado. bloquear URLs que contm palavras-chave listadas. Digite as palavras-chave neste espao.

\\Keywords

222

Utilizando os conhecimentos adquiridos de bloqueio de sites, tente bloquear alguns sites atravs de palavras-chave. Faa um teste para verificar o funcionamento.

Filtros MAC
Use o filtro de MAC (Media Access Control) para permitir ou negar que os computadores da LAN (Local Area Network) deixem de acessar a rede, negando o acesso pelos seus endereos MAC. Voc pode adicionar manualmente um endereo MAC ou selecionar o endereo MAC da lista de clientes que se encontram atualmente ligados ao roteador. A prxima figura ilustra o procedimento que deve ser executado. Figura 9 Filtro por endereo MAC da estao

\\No

campo Filters selecione o filtro que deseja usar; neste caso, MAC Filters foi escolhido. Filters escolha uma das trs opes abaixo:

\\MAC

1 . Disabled MAC filters para desabilitar a funo; 2 . Only allow computers with MAC address listed below to access the network para permitir endereos MAC listados abaixo ou 3 . Only deny computers with MAC address listed below to access the network para negar endereos MAC listados abaixo.
\\Name \\MAC

digite o nome aqui;

Address digite o endereo MAC da placa de rede;

\\DHCP

Client selecione um cliente DHCP da lista; clique em Clone para copiar esse endereo MAC.

223

Caderno de atividades

Atividade 6.2 Bloqueando sites por URL para acesso internet

Formao de suporte tcnico Proinfo

Atividade 6.3 Bloqueando mquinas pelo endereo MAC para acesso internet
Utilizando os conhecimentos adquiridos de bloqueio a computadores, bloqueie os computadores de sua respectiva bancada, e faa um teste para verificar o funcionamento.

Filtro Domain Blocking


O Domain Blocking utilizado para permitir ou negar que computadores da LAN (Local Area Network) acessem domnios especficos na internet. Domain Blocking negar todos os pedidos de um determinado domnio, usando protocolos como http e FTP. Ele tambm pode permitir que os computadores acessem sites especficos e neguem todos os outros sites. A figura a seguir ilustra o procedimento que deve ser executado. Figura 10 Filtro por Domain Blocking

\\No

campo Filters selecione o filtro que deseja usar; neste caso foi escolhido Domain Blocking. Blocking selecione Disabled para desativar Domain Blocking (se no for us-lo);

\\Domain

\\Allow

permite que os usurios acessem todos os domnios, exceto os domnios bloqueados; bloqueia usurios de acessarem todos os domnios, exceto os domnios permitidos; Domains nesse campo digite os domnios que sero permitidos;

\\Deny

\\Permitted \\Blocked

Domains nesse campo digite os domnios que sero bloqueados.

224

Utilizando os conhecimentos adquiridos, bloqueie os seguintes sites:


\\www.uol.com.br \\www.globo.com \\www.terra.com.br \\www.ig.com.br

Aps essa tarefa, permita que apenas os sites acima listados sejam liberados para acesso.

Firewall
Regras de firewall um recurso avanado utilizado para bloquear ou permitir o trfego de dados atravs do DI-524. Ele funciona da mesma maneira que as configuraes de filtros de IP. Quando servidores virtuais so criados e permitidos, tambm so exibidos em Firewall Rules, que contm todas as regras relativas rede IP (Internet Protocol). Na parte inferior da tela, em Firewall Rules List, as prioridades das regras so de cima (alta prioridade) para baixo (menor prioridade). Nota: As regras de filtragem por endereos MAC tm preferncia sobre as regras de firewall. A figura abaixo ilustra o procedimento que deve ser executado.

Figura 11 Regras de firewall

225

Caderno de atividades

Atividade 6.4 Bloqueando sites da internet

Formao de suporte tcnico Proinfo

Faa as seguintes configuraes:


\\Firewall \\Name \\Action \\Source

Rules habilita ou desabilita o firewall;

digite um nome para a regra de firewall; permite (Allow) ou bloqueia (Deny); digite uma faixa de endereos IP que devem ser filtrados pela regra;

\\Destination

digite uma faixa de endereos IP, o protocolo e a faixa das portas (TCP ou UDP); selecione Always para que a regra sempre fique ativa ou digite o horrio para a aplicao comear a funcionar.

\\Schedule

Atividade 6.5 Bloqueios com regras de firewall


Atravs dos conhecimentos aprendidos sobre o firewall do D-Link, bloqueie os pacotes ICMP (ping) da rede interna para o roteador. Aps essa tarefa, bloqueie o ping de apenas um computador da rede para o roteador.

Roteiro 7 Usando Linux


Atividade 7.1 Criando diretrios e copiando arquivos
Crie dois arquivos (teste1.txt e teste2.txt) e um diretrio chamado exemplo1; copie o arquivo teste1.txt e mova o arquivo teste2.txt para o diretrio criado; renomeie o arquivo teste1.txt para teste3.txt.

Aes
\\Utilizao \\Uso

de opes de comando para criao de diretrios e arquivos;

de comandos de cpia e movimentao de arquivos.

Esta atividade ajudar a fixar os conceitos de criao de arquivos e diretrios e de cpia e alterao de informaes de arquivo.

Soluo
# touch teste1.txt teste2.txt # mkdir exemplo1 # cp teste1.txt exemplo1/ # mv teste2.txt exemplo1/ # cd exemplo1 # mv teste1.txt teste3.txt

226

Entre no diretrio exemplo1, empacote e compacte os arquivos criados anteriormente em um arquivo chamado arquivo1.tar.gz. Utilize apenas um comando para isso. Crie um diretrio chamado exemplo2 e mova o arquivo compactado para esse diretrio. Entre no diretrio exemplo2 e desempacote o arquivo arquivo1.tar.gz. Mova os arquivos descompactados para o diretrio exemplo1.

Aes
\\Utilize \\Use

comandos para acessar diretrios dentro do Linux.

simultaneamente os comandos de compresso e empacotamento.

Esta atividade permitir ao aluno praticar o agrupamento, desagrupamento, compactao e descompactao de arquivos.

Soluo
# cd exemplo1 # tar cvfz arquivo1.tar.gz * # cd .. # mkdir exemplo2 # cp exemplo1/arquivo1.tar.gz exemplo2/ # cd exemplo2 # tar zxvf arquivo1.tar.gz # cd .. # cp exemplo2/* exemplo1/

Atividade 7.3 Verificao dos recursos disponveis do sistema


O administrador do sistema verificou que o computador est apresentando lentido e falta de espao para armazenamento. Como ele pode comprovar esse fato? Verifique tambm o PID do Shell que est sendo usado.

Aes
\\Utilize \\Use

comandos para verificao de disponibilidade de memria e servios ativos.

comandos para determinar o espao em disco disponvel do sistema operacional e o nmero de processo.

Esta atividade permitir a prtica dos comandos para verificao de recursos e de espao em disco disponveis no sistema operacional.

227

Caderno de atividades

Atividade 7.2 Empacotando e compactando arquivos

Formao de suporte tcnico Proinfo

Soluo
Verificando memria:
# free

Verificando espao em disco:


# df h

Verificando processos e memria disponvel:


# top

Verificando PID do processo:


# ps -ax

Atividade 7.4 Verificao dos recursos disponveis do sistema


Faa uma pesquisa dentro do sistema operacional para encontrar o arquivo cpuinfo, verifique seu contedo para saber qual o processador do computador, e agende o comando updatedb para ser executado todos os dias, s 14:30 da tarde. Verifique o espao em disco que o diretrio /var est ocupando.

Aes
\\Use

comandos para pesquisa e verificao de pastas. o agendador de tarefas do Linux Educacional.

\\Utilize

Esta atividade dar ao aluno a oportunidade de exercitar os conceitos de pesquisa, ocupao de espao dos arquivos, e a automao de tarefas atravs do cron.

Soluo
Logando como root:
$ sudo su

Pesquisa por nome:


# find / -name cpuinfo

Verificando contedo do arquivo:


# cat /proc/cpuinfo

Agendando o comando updatedb:


# crontab -e 30 14 * * * updatedb

inserir esta linha

228

O usurio aluno1 esqueceu a sua senha. Que procedimento o administrador deve adotar para recri-la?

Ao
\\Utilize

comandos de administrao de usurios.

Esta atividade capacitar o aluno a recriar senhas de usurios no Linux Educacional.

Soluo
Logando como root:
$ sudo su

Alterando a senha do usurio:


# passwd aluno1 Enter new UNIX password: senha Retype new UNIX password: senha passwd: password updated successfully

Atividade 7.6 Procurando por arquivos dentro do computador


O usurio constatou que o sistema operacional est apresentando lentido, e foi verificado que o disco est com mais de 80% de uso. Que procedimento deve ser adotado para encontrar arquivos maiores que 50 MB dentro do computador e movlos para outra mquina, preservando suas permisses?

Aes
\\Procure \\Utilize

arquivos por tamanho;

comandos de cpia remota.

Esta atividade capacitar o aluno a procurar por arquivos em seu computador, atravs de filtragem por tamanho.

Soluo
Logando como root:
$ sudo su

Pesquisando por arquivos maiores que 50 MB:


# find / -size +500000k

Copiando arquivos para outro computador:


# scp p arquivo root@ipdaoutramaquina:/

229

Caderno de atividades

Atividade 7.5 Recriando senha de usurio

Formao de suporte tcnico Proinfo

Atividade 7.7 Fazendo backup dos arquivos de configurao do computador


O administrador necessita fazer um backup do diretrio de arquivos de configurao do Linux Educacional para o diretrio /home/aluno1. Como ele deve proceder?

Aes
\\Utilize \\Utilize

o compactador do Linux Educacional; comandos de cpia.

Esta atividade capacitar o aluno a criar backups de pastas e arquivos.

Soluo
Logando como root:
$ sudo su

Compactando o arquivo:
# tar cvzf backup.tar.gz /etc

Copiando para a pasta informada:


# cp backup.tar.gz /home/aluno1

Roteiro 8 iTALC no Linux Educacional 3.0


O iTALC uma ferramenta didtica para professores, que permite ver e controlar outros computadores em uma rede, no caso formada por escolas e professores. O iTALC possibilita a um professor ver e controlar o ambiente de trabalho dos seus alunos, fazer demonstraes apresentadas em tempo real nos monitores dos alunos, bloquear as estaes de trabalho dos alunos para que prestem ateno aula, enviar mensagens de texto aos estudantes, entre outras possibilidades de uso. A instalao dividida em dois processos: Instalao no Servidor (Professor) e Instalao no Terminal (Aluno).

Instalao no Servidor (Professor)


\\Acesse

o terminal para fazer a instalao da ferramenta. Clique em Iniciar > Sistema > Terminal (Konsole) e faa antes uma atualizao do banco de dados de pacotes:
$ sudo apt-get update $ sudo apt-get install italc-master

\\No

terminal, com as permisses de usurio, inicie o servio iTalc:

$ ica &

230

$ scp /etc/italc/keys/public/teachers/* ip_do_aluno:~/


\\Para

que o professor possa usar as chaves geradas na instalao, necessrio que as permisses de acesso chave privada sejam ajustadas:
$ sudo chgrp adm /etc/italc/keys/private/teacher/key

\\Faa

a instalao nos terminais.

Instalao no Terminal (Aluno)


\\Acesse

o terminal para fazer a instalao da ferramenta. Clique em Iniciar > Sistema > Terminal (Konsole) e faa antes uma atualizao do banco de dados de pacotes:
$ sudo apt-get update $ sudo apt-get install italc-client

\\Copie

a chave do professor para a pasta correta. Ser necessrio utilizar as permisses de root para esta tarefa:
# sudo cp ~/key /etc/italc/keys/public/teachers/

\\Pronto.

Passaremos agora para a configurao do servidor.

Configurando o servidor
Clique em Iniciar > Sistema > iTALC Master Interface. Na janela do iTALC, faa os seguintes procedimentos: 1. Clique em Classroom-Manager, dentro da janela, clique com o boto direito e selecione Add classroom e preencha a janela de dilogo com o nome da sala. Figura 12

231

Caderno de atividades

\\Para

que o servidor tenha permisso para acessar os terminais, o iTALC trabalha com chaves, que devem ser iguais no terminal e no servidor. Para isso copie a chave do servidor para os terminais. Esta chave fica na pasta /etc/italc/keys/ public/teachers:

Formao de suporte tcnico Proinfo

2. Clique novamente com o boto direito na janela de listagem das salas de aula e alunos para adicionar cada aluno. Preencha com pelo menos o nome e o endereo IP do aluno (os demais parmetros so opcionais). Figura 13

232

Bibliografia
\\ABNT

Associao Brasileira de Normas Tcnicas. NBR ISO/IEC 27002:2005,

2005.
\\ELIAS,

Gledson. Curso de Arquitetura e protocolos de rede TCP-IP. Escola Superior de Redes, RNP 2009. Ruben E. Linux, Guia do Administrador do Sistema. Novatec, 2008.

\\FERREIRA, \\FRASER,

B. RFC 2196 Site Security Handbook. Editor SEI/CMU, 1997. Disponvel em: http://www.faqs.org/rfcs/rfc2196.html, http://penta.ufrgs.br/gereseg/rfc2196/ cap1.htm Eleen. Essential System Administration. O Reilly & Associates Inc., 1995.

\\FRISCH,

\\GRAAS,

Sergio e ABREU, Giany. Manual de instalao da impressora no Linux Educacional via CUPS e KDE. Proinfo, Ministrio da Educao. Roger. Configurando uma rede local bsica com o D-Link DI-524. Disponvel em http://www.detudoumpouco.org/2009/07/17/configurando-uma-redelocal-basica-com-o-d-link-di-524/#more-14. Acessado em 05/10/2009. Gleydson. Guia Foca Linux. Disponvel em http://focalinux.cipsga.org.br/ guia/iniciante/index.html Evi et alii. Unix System Administration Handbook. Prentice Hall, 1995. Richard et alii. Certificao Linux LPI. O Reilly and Associates Inc.,

\\LOVATO,

\\MAZIOLI,

\\NEMETH,

\\PRITCHARD,

2007.
\\SMOLA,

Marcos. Gesto da segurana da informao: uma viso executiva. Ed. Campus, 2002. NETTO, Almezindo. Service Desk e a Metodologia ITIL: um estudo de caso. Disponvel em http://si.uniminas.br/TFC/monografias/Service%20DeskAlmezindo.pdf. Acessado em 28 de setembro de 2009. Moira J.; STIKVOORT, Don et alii. Handbook for Computer Security Incident Response Teams (CSIRTs), 2003. Disponvel em: http://www.cert.org/ archive/pdf/csirt-handbook.pdf

\\SPIRANDELLI

\\WEST-BROWN,

233

MID1

Administrao de videoconferncia
40h

ADS1

Introduo ao Linux
MID2
40h

ADR4

Introduo Voz sobre IP e Asterisk


40h

Interconexo de redes de computadores


40h

SEG1

ADS2

Introduo segurana de redes


40h

Administrao de sistemas Linux


40h

ADR1

ADS3

Arquitetura e protocolos de rede TCP-IP


40h

ADR6

Adm. sistemas Linux: redes e segurana


40h

Tecnologias de redes sem fio


40h

SEG2

Segurana de redes e sistemas


40h

ADS5 ADS4

Adm. sistemas Linux: servios para Internet


40h

Virtualizao de servidores
40h

ADR3

Roteamento avanado
40h

SEG6

Segurana em redes sem fio


40h

ADR7 ADR5

IPv6 bsico
40h

Gerncia de redes de computadores


40h

Grade curricular da Escola Superior de Redes


esr.rnp.br

Planejamento e projeto de infraestrutura para datacenter


GTI6
40h

GTI10 40 horas

i Bs

co
GTI2

Gerenciamento de projetos de TI Fundamentos de Governana de TI


16h 24h

GTI1

Gesto da segurana da informao


NBR 27001 27001,eNBR27002 NBR 27002

GTI8 40 horas

Planejamento e gesto estratgica de TI


24h

GTI3

Inte

di rme

rio
GTI4

Gerenciamento de servios de TI
24h

40h GTI8

GTI9 SEG4 SEG3

Governana de TI
24h

Gesto de riscos de TI
NBR 27005

Anlise forense
40h

Tratamento de incidentes de segurana


40h

40h

n Ava
GTI5

ad

GTI7

ITIL

Information Technology Infrastructure Library

COBIT
Control Objectives for Information and Related Technology

16h

Engenharia reversa de cdigo malicioso


40h

SEG8

16h

reas temticas Mdias de suporte colaborao digital Administrao de sistemas

Legenda
Todos os cursos da ESR requerem ingls para leitura e noes de informtica e Internet. Conhecimento prvio recomendado Curso

Administrao e projeto de redes Segurana Governana de TI

Este livro foi produzido em papel offset 90g/m2 e carto supremo 300g/m2, a partir da madeira de florestas certificadas FSC e outras fontes controladas. Impresso pela Grfica Minister em junho de 2010 para a Escola Superior de Redes.

Escola Superior de Redes


A Rede Nacional de Ensino e Pesquisa (RNP) formou parcerias com universidades federais e institutos de pesquisa para implantar as unidades da Escola Superior de Redes (ESR). Unidades em operao:

Unidade Braslia (DF)


Instituto Brasileiro de Informao em Cincia e Tecnologia (Ibict) SAS, quadra 5, lote 6, bloco H, 2 andar 70070-914 Braslia, DF (61) 3243-4340/4341

Unidade Cuiab (MT)


Universidade Federal do Mato Grosso (UFMT) Instituto de Computao Av. Fernando Correa da Costa, n 2367 78060-900 Cuiab, MT (65) 3615-8793/8791

Unidade Joo Pessoa (PB)


Universidade Federal da Paraba (UFPB) Cidade Universitria Campus I Departamento de Informtica 58059-900 Joo Pessoa, PB (83) 3216-7932/7931

Unidade Porto Alegre (RS)


Universidade Federal do Rio Grande do Sul (UFRGS) Centro de Processamento de Dados Porto K - Campus Sade Rua Ramiro Barcelos, 2574 90035-003 Porto Alegre, RS (51) 3308-5900

Unidade Rio de Janeiro (RJ)


Centro Brasileiro de Pesquisas Fsicas (CBPF) Rua Lauro Mller, 455 4 andar 22290-160 Rio de Janeiro, RJ (21) 2275-5578

A Escola Superior de Redes (ESR) a unidade de servio da Rede Nacional de Ensino e Pesquisa (RNP) voltada capacitao de recursos humanos em Tecnologias da Informao e Comunicao (TIC). Apoiando o Programa Nacional de Tecnologia Educacional (Proinfo) que promove o uso pedaggico das tecnologias da informao e comunicao na rede pblica brasileira de educao bsica , a ESR elaborou este livro, que integra o plano de capacitao para a formao de suporte tcnico das escolas beneficiadas pelo Proinfo. O enfoque do material est no software Linux Educacional, suas ferramentas e portais do MEC. So apresentadas as caractersticas do Linux e sua administrao, conceitos de protocolo de rede TCP/IP , redes com e sem fio e configurao de interfaces, e ainda boas prticas em segurana no uso de redes e internet. Todos os captulos tericos esto fundamentados com atividades prticas. A disseminao deste contedo ser feita atravs de instrutores que atuaro como multiplicadores do conhecimento.