Gesto de Sistemas e Redes

PROGRAMA 1. CONCEITOS A gesto de Sistemas e Redes Estruturas fundamentais de Sistemas em Redes Requisitos de Gesto dos Sistemas em Rede 2. ARQUITECTURAS DE GESTO Arquitectura genrica de gesto Arquitectura de gesto OSI Arquitectura de gesto Internet Novas arquitecturas de gesto: CORBA e Web-Based 3. FERRAMENTAS E TCNICAS DE GESTO Classificao de ferramentas de gesto Ferramentas de teste e monitorizao Plataformas de gesto Ferramentas de integrao Solues e ferramentas para a gesto de redes e sistemas

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

2

PROGRAMA 4. PLATAFORMAS DE GESTO COMERCIAIS A plataforma de gesto OpenView 5. CONCLUSES Requisitos e solues futuras para gesto de TI Arquitecturas de gesto e modelo de informao A influncia da gesto no futuro das TI BIBLIOGRAFIA: BOAVIDA, BERNARDES, VAPI, Administrao de Redes Informticas - 2 Edio Actualizada e Aumentada, Lisboa, FCA, 2011. MONTEIRO, BOAVIDA, Engenharia de Redes Informticas - 10 Edio Actualizada e Aumentada , Lisboa, FCA, 2010 GOUVEIA,MAGALHES, Jos, Alberto, Rede de Computadores Curso Completo-9edio, Lisboa, FCA, 2009

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

3

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO

Pretende-se com este estudo, abordar os aspectos essenciais que concorrem para a elaborao de uma plataforma simples de gesto de sistemas, nomeadamente, nas suas vertentes de configurao, gesto de desempenho atravs de processos de monitoramento e controlo de trfego, sem perder de vista a componente de segurana subjacente. Para acompanhar a implementao do nosso modelo de gesto, selecionamos a plataforma de virtualizao VirtualBox (ou outra similar), que vai suportar todo o ambiente necessrio para a interao entre os sistemas envolvidos mquinas virtuais convista a obteno dos resultados de gesto acima referida. O nosso sistema de virtualizao abarca pelo menos 4 mquinas virtuais, de acordo com o diagrama na pgina seguinte

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

4

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Diagrama Lgico Ambiente de Virtualizao

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

5

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO

O diagrama lgico mostra uma rede com duas zonas de acesso: DMZ Rede Interna A DMZ, dispe dos recursos da corporao para acesso pblico como os servios WEB e de Correio Numa primeira fase, far-se- anlise ao trfego WEB solicitado a partir das estaes da rede interna, passando pelo proxy server (utilizamos o squid) que se encarrega do controlo e optmizao do trfego (solicitaes/respostas) web. O contedo de todos os logs gerados pelo proxy ser objecto de elaborao e formatao html de relatrio, por parte do sarg (squid analysis reports generator) que uma aplicao preparada para o efeito

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

6

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO O diagrama sugere a utilizao de servidor ubuntu e clientes ( windows e ubuntu), preferencialmente. Tarefas a realizar ao nvel do servidor firewall: Configurao das interfaces de rede Instalao e configurao dos servios DNS e DHCP Configurao da poltica de acessos, com a iptables Instalao e configurao do proxy com o squid Instalao e configurao do gerador de relatrios (sarg) do squid Para suportar a gerao de reports so ainda necessrios os programas php e apache Finalmente a anlise do trfego gerado em face s regras impostas pelo proxy

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

7

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Configurao das interfaces de rede Editar o arquivo /etc/network / interfaces introduzindo os parmetros necessrios para a configurao das interfaces; por defeito existem as interfaces lo (loopback) e eth0 ( ethernet 0) Exemplo da configurao de parmetros da interface ethernet 1 (eth1) # The secondary network interface auto eth1 iface eth1 inet static address 10.1.1.1 netmask 255.255.255.0 broadcast 10.1.1.255 Esta interface a entrada rede interna, a partir do firewall e foi-lhe atribudo o endereo 10.1.1.1 em modo esttico.
UTANGA: Gesto de Sistemas e Redes Chicapa, E. - 2013

Gesto de Sistemas e Redes

8

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Configurao das interfaces de rede /etc/network / interfaces O arquivo de configurao interfaces contm todos os parmetros ligados s interfaces instaladas no sistema. O comando ifconfig permite visualizar as interfaces activas bem como a acticao ou desactivao temporrias das interfaces Por exemplo, # ifconfig eth1 mostra os parmetros da interface eth1, enquanto que # ifconfig eth1 down desabilita-a

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

9

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Instalao e configurao dos servios DNS e DHCP Para instalar o servio de resoluo de nomes DNS e de configurao automtica de endereos, recorremos aos pacotes, bind9 e dhcp3-server, respectivamente, usando os seguintes comandos # apt-get install bind9 e # apt-get install dhcp3-server Ficheiros de Configurao dhcp /etc/dhcp/ dhcpd.conf /etc/default/ isc-dhcp-server

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

10

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Configurao da poltica de acessos, com a iptables Regras de Firewall Tabelas iptables utilizadas filter nat (filtragem de pacotes (traduo de endereos)

Cadeias da filter INPUT (regras de filtragem trfego destinado firewall) OUTPUT (regras de filtragem trfego com origem na firewall) FORWARD (regras de filtragem trfego atravs da firewall) Cadeias da nat PREROUTING ( traduo do trfego entrada da firewall) OUTPUT ( traduo do trfego gerado na firewall) POSTROUTING ( traduo do trfego sada da firewall)

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

11

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Instalao e configurao do servio de proxy O squid a aplicao que vai ser usada para executar a funo de proxy, ou seja, o sistema intermedirio das estaes de trabalho, para que estas possam aceder internet. Todas as solicitaes WEB, a partir das estaes da rede interna (10.1.1.0/24), passar pelo proxy. Visto que o proxy possui a porta 3128, todas as solicitaes habituais para a porta 80 sero redirecionadas de forma transparente para a porta 3128. Para alm desta funo principal do squid este ir atender tambm ao servio de cache, para melhorar o desempenho de acesso aos contedos mais solicitados, bem como poder executar algumas funes bsicas de segurana de acesso, como por exemplo, A autenticao de utilizadores e o Bloqueio de sites indesejveis

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

12

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Instalao e configurao do servio de proxy Instalao apt-get install squid Aps esta configurao devem-se ter em conta as seguintes instrues bsicas com o squid: service squid stop (ou killall squid) squid z service squid start para encerrar o servio para as alteraes em squid.conf para reiniapagar a cache e actualizar ciar o servio

Obs: De acordo com a verso instalada, por exemplo squid 3, substitua nas instrues acima squid por squid3

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

13

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO

Configurao do ficheiro de configurao do squid squid.conf Localizao do arquivo: /etc/squid (ou /etc/squid3 )

O arquivo squid.conf bastante extenso, composto por inmeras seces de configurao; Indicaremos as seces mais importantes a serem configuradas (1) Seco com as opes de Controlo de Acesso (Access Controls) O squid utiliza a terminologia de listas de controlo de acessos acl, para definir a sua poltica de acessos; Assim, podemos considerar que sero aceites todas as estaes da sub-rede 10.1.1.0/24 ao acesso ao trfego web (http) acl my_localnet src 10.1.1.0/24
Aqui my_localnet o nome que atribumos lista de controlo que vai autorizar a rede indicada.
UTANGA: Gesto de Sistemas e Redes Chicapa, E. - 2013

Gesto de Sistemas e Redes

14

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO

Aps a definio da lista my_localnet, vamos aplic-la, para que possa ter acesso ao trfego http: http_access allow my_localnet (2) A seco de configuraes de rede (Network Options) vem a seguir Para definir o redireccionamento da porta 80 para a porta do squid 3128 de modo transparente, de tal modo que as estaes acedero a este mecanismo de forma transparente, sem qualquer necessidade de configurao local ao nvel do navegador. http_port 3128 transparent Se estiver a ser usado o servio de firewall, por via da iptables, ser necessrio inserir-se no respectivo ficheiro de configurao a regra que reflicta o redireccionamento (atente instruo seguinte)
iptables t nat A PREROUTING p tcp i $LAN_iface --dport 80 j REDIRECT to-port 3128
UTANGA: Gesto de Sistemas e Redes Chicapa, E. - 2013

Gesto de Sistemas e Redes

15

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO (3) Opes de Cache de Memria (Memory Cache Options) Que quantidade de memria devemos atribuir ao squid para melhor desempenhar a funo de cache? Se o servidor for dedicado podemos dar at mesmo 75% da RAM Mas se no for o caso tudo depender da RAM disponvel, podendo ser atribuda entre 8 25% Por exemplo, se tivermos disponvel 256 MB, podemos atribuir 12,5 % cache_mem 32 MB O parmetro maximum_object_size_in_memory 3200 KB deve ser cerca de 10% do valor acima

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

16

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO (4) Opes de Cache de Disco (Disk Cache Options) Para as opes de disco para a cache temos a instruo:

cache_dir ufs /var/spool/squid 100 16 256

que indica A localizao do disco para a cache /var/spool/squid O tamanho 100 MB A diviso da cache, o nmero de pastas e blocos, respectivamente, 16 e 256 Ter sempre em ateno a substituio da palavra squid pela que a substitui, no nosso caso squid3

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

17

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO (4) Opes de Cache de Disco (Disk Cache Options) Pode-se, na configurao do espao em disco para a cache, alterar o tamanho, por exemplo, para 500 MB ou mais Tambm pode ser configurado o percentual de renovao do contedo da memria ( mas no nosso exemplo, mantivemos valores por defeito)

cache_swap_low 90 cache_swap_high 95 Mais uma vez, aps esta configurao deve-se reiniciar o servio com as seguintes instrues bsicas com o squid: service squid stop (ou killall squid) para encerrar o servio squid squid z para apagar a cache e actualizar as alteraes em squid.conf service squid start para reiniciar o servio squid
UTANGA: Gesto de Sistemas e Redes Chicapa, E. - 2013

Gesto de Sistemas e Redes

18

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Alguns layouts da configurao do arquivo squid.conf (1) Seco ACEESS CONTROLS OPTIONS

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

19

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Alguns layouts da configurao do arquivo squid.conf (1) Seco ACEESS CONTROLS OPTIONS

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013

Gesto de Sistemas e Redes

20

ESTUDO E IMPLEMENTAO DE UM SISTEMA DE CONTROLO E MONITORAMENTO DE TRFEGO Alguns layouts da configurao do arquivo squid.conf (3) Seco MEMORY CACHE OPTIONS

UTANGA: Gesto de Sistemas e Redes

Chicapa, E. - 2013