Escolar Documentos
Profissional Documentos
Cultura Documentos
SS3136
FORMAÇÃO ADMINISTRADOR DE REDES
MULTIPLATAFORMA
PARTE 2
Porto Alegre
(Versão 1.3)
TÓPICOS ABORDADOS NA PARTE 1:
Fundamentos de Redes de Computadores
Protocolos de Rede
Roteamento IP
Roteadores CISCO
Switching CISCO
Redes Wireless
Servidores Microsoft
SISNEMA Informática
Rua Washington Luiz, 820 / 601
Centro – Porto Alegre – RS
CEP 90010-460
Telefone: (51) 3226-4111
Fax: (51) 3226-1219
e-mail: aluno@sisnema.com.br
sisnema.com.br
SISNEMA Informática
SS3136 - FORMAÇÃO ADMINISTRADOR DE REDES MULTIPLATAFORMA – PARTE 2
SUMÁRIO
Permissões NTFS
São atribuídas para arquivos de pastas de um dispositivo de armazenamento
formatado com sistema de arquivos NTFS. As permissões determinam o nível de acesso aos
arquivos e pastas
Permissões NTFS:
São atribuídas a arquivos e pastas
Podem permitir ou negar
São herdadas da pasta pai
Permissões NTFS podem ser herdadas da pasta pai. Por padrão, as permissões NTFS
que são atribuídos a uma pasta também são atribuídos aos arquivos dentro desta
pasta pai.
Permissões padrão
Permissões padrão fornecem as configurações de permissão mais comumente usados
para arquivos e pastas. Você pode atribuir permissões padrão na janela principal atribuição
permissões NTFS.
Read and Execute (ler e executar) Concede ao usuário permissão para ler um arquivo e
iniciar programas.
List folder contents (listar conteúdo Concede ao usuário permissão para ver uma lista de
da pasta) conteúdo da pasta.
OBS.: apenas em pastas
Nota: Conceder aos usuários permissões de controle total sobre um arquivo ou uma
pasta dá a capacidade de executar qualquer ação no objeto, bem como a capacidade para
alterar as permissões sobre o objeto. Eles também podem remover permissões de recurso
para um ou todos os usuários, incluindo o dono do arquivo ou administrador.
Permissões avançadas
Permissões avançadas podem oferecer um nível muito maior de controle sobre
arquivos e pastas NTFS. São acessíveis clicando no botão Advanced (Avançado) e, em
seguida, acessando a guia Security (Segurança) de um arquivo ou propriedades da pasta.
Portanto, tendo em conta estas regras, permissões NTFS aplicar na seguinte ordem:
1. Negar explicitamente
2. Permitir explicitamente
3. Negar Herdado
4. Permitir Herdado
1. O botão direito do mouse no arquivo ou pasta para a qual você quer atribuir permissões
e, em seguida, clique em Properties (propriedades)
3. Para abrir uma caixa de diálogo de permissões editável para que você pode modificar
as permissões existentes ou adicionar novos usuários ou grupos, clique no botão
Editar (edit).
Pastas Compartilhadas
As pastas compartilhadas são um componente chave para a concessão de acesso a
arquivos em no servidor. Quando você compartilha uma pasta, a pasta e todo seu conteúdo
são disponibilizados para vários usuários simultaneamente através da rede. Pastas
compartilhadas mantêm um conjunto distinto de permissões NTFS que se aplicam ao
conteúdo da pasta. Essas permissões são usadas para fornecer um nível extra de segurança
para arquivos e pastas disponibilizados na rede.
Nota: Ao compartilhar uma pasta, precisará dar um nome para a pasta compartilhada.
Esse nome não tem que ser o mesmo nome da pasta atual, que pode ser um nome que melhor
descreve o conteúdo da pasta para os usuários da rede.
Compartilhamentos Administrativos
Você pode criar pastas administrativas compartilhadas (ou ocultas) que precisam estar
disponíveis a partir da rede, mas devem estar escondidas dos usuários que navegam na rede.
Você pode acessar uma pasta administrativa compartilhada digitando o seu caminho UNC,
mas a pasta não será exibido se você procurar o servidor usando uma janela do Windows
Para ocultar uma pasta compartilhada, é preciso adicionar o símbolo de cifrão ($) no
nome do compartilhamento. Por exemplo, uma pasta compartilhada chamada “vendas” no
servidor SVR1 fica como compartilhamento oculto se o nome do compartilhamento desta
pasta for “vendas$”. A pasta compartilhada poderá ser acessada através da rede usando o
caminho UNC \\SVR1\vendas$.
A tabela a seguir lista as permissões que você pode conceder a uma pasta
compartilhada.
Change (alterar) Os usuários podem criar pastas, adicionar arquivos para pastas,
alterar dados em arquivos, anexar dados para arquivos, alterar os
atributos de arquivo, apagar pastas e arquivos, e executar todas
as tarefas permitidas pela permissão de leitura.
Nota: Quando você atribuir permissões de “controle total” sobre a pasta compartilhada
a um usuário, o usuário poderá modificar as permissões na pasta compartilhada, que inclui a
remoção de todos os usuários (incluindo os administradores), a partir de lista de permissões
da pasta compartilhada. Na maioria dos casos, você deve conceder permissão “alterar” ao
invés de permissão “controle total”.
Conflitos de Permissão
Às vezes, explicitamente definir permissões em um arquivo ou pasta irá entrar em
conflito com as permissões herdadas de uma pasta pai. Nestes casos, as permissões
explicitamente atribuídas sempre substituem as permissões herdadas.
Bloqueio de Herança
Você também pode desativar o comportamento de herança para um arquivo ou uma
pasta (e seu conteúdo) em uma unidade NTFS para definir explicitamente permissões para
um conjunto de objetos sem incluir qualquer uma das permissões herdadas de quaisquer
pastas pai. Para bloquear a herança de um arquivo ou pasta, execute os seguintes passos:
Botão direito do mouse no arquivo ou pasta que você deseja bloquear a herança, e
clique em Properties (propriedades).
Permissões efetivas
O acesso a um arquivo ou pasta é concedido com base em uma combinação de
permissões.
Quando um usuário tenta acessar um arquivo ou pasta, a permissão que se aplica
dependendo de vários fatores, incluindo:
Permissões explicitamente definidas e herdadas que se aplicam ao usuário.
Permissões explicitamente definidas e herdadas que se aplicam aos grupos aos quais
o usuário pertence.
Permissões cumulativas são a combinação das permissões NTFS mais altas para o
usuário e para todos os grupos dos quais o usuário é membro. Por exemplo, se um
usuário é membro de um grupo que tem permissão de “leitura” e é membro de um
grupo que tem permissão “modificar”, o usuário terá permissões “modificar” de forma
cumulativa.
Cada objeto em uma unidade NTFS ou nos Serviços de Domínio Active Directory (AD
DS) é de propriedade. O proprietário controla como as permissões são definidas no
objeto e para quem as permissões são concedidas. Por exemplo, um usuário que cria
um arquivo em uma pasta onde eles têm permissões de “modificar” pode alterar as
permissões do arquivo para “controle total”.
Acess-Based Enumeration
Com a Acess Based Enumeration (enumeração baseada em acesso), os usuários
veem apenas os arquivos e pastas que têm permissão para acessar. Tornando mais fácil para
os usuários a encontrar os arquivos que eles precisam.
Uma cópia de sombra não faz uma cópia completa de todos os arquivos para cada
foto. Em vez disso, depois de um snapshot é tomado, o Windows acompanha as mudanças
para a unidade. Uma quantidade específica de espaço em disco é reservado para
acompanhar os blocos de disco alterados.
Por padrão, os blocos de disco alterados são armazenados na mesma unidade que o
arquivo original, mas você pode modificar esse comportamento. Você também pode definir a
quantidade de espaço em disco é alocado para cópias de sombra. Vários snapshots são
retidos até que o espaço em disco alocado fique cheia, quando isso ocorre os snapshots mais
antigos são removidos para dar espaço aos mais novos. A quantidade de espaço de disco
que é usado por um snapshot é baseada no tamanho das variações de disco entre os
snapshots.
Importante: Já que um snapshot não é uma cópia completa dos arquivos, você não
pode usar as cópias de sombra como um substituto para backups tradicionais. Se o disco que
contém uma unidade for perdido ou danificado, então as fotos de que a unidade também estão
perdidos.
Aumentar a frequência das cópias de sombra para mudança frequente de dados. Isso
aumenta a probabilidade de que as mudanças de arquivos recentes são capturados.
Aumentar a frequência das cópias de sombra para dados importantes. Isso aumenta
a probabilidade de que as mudanças de arquivos recentes seja capturado.
1.2. DHCP
Com a função de servidor DHCP, você pode ajudar a garantir que todos os clientes
têm informações de configuração adequada, o que ajuda a eliminar o erro humano durante a
configuração. Quando principais informações de configuração alterações na rede, você pode
atualizá-lo usando a função de servidor DHCP, sem ter que alterar as informações diretamente
em cada computador.
DHCP também é um serviço essencial para usuários móveis que mudam de redes
muitas vezes. DHCP permite que os administradores de rede para oferecer informações de
configuração de rede complexa para usuários não técnicos, sem que os usuários tenham que
lidar com os detalhes de configuração de rede.
Você pode instalar o DHCP como um papel em uma instalação Server Core do
Windows Server 2012. A instalação do Server Core permite que você crie um servidor com
uma superfície de ataque reduzida. Para gerenciar o DHCP do Server Core, você deve instalar
e configurar a partir da interface de linha de comando. Você também pode gerenciar a função
de DHCP em execução na instalação Server Core do Windows Server 2012 a partir de uma
interface gráfica do usuário (GUI) baseada em console onde o papel DHCP estiver instalado
Para um computador ser considerado um cliente DHCP, tem que estar configurado
para obter um endereço IP automaticamente. Por padrão, cada computador está configurado
para obter um endereço IP automaticamente. Em uma rede em que um servidor DHCP está
instalado, um cliente DHCP irá responder a uma transmissão DHCP.
Se o cliente DHCP não pode contatar o servidor DHCP, o cliente espera até 87,5% do
tempo de concessão expirar. Se a renovação não for bem sucedida, o que significa 100% do
tempo de concessão expirou, em seguida, o computador cliente tenta entrar em contato com
o gateway padrão configurado. Se o gateway não responde, o cliente assume que ele está
em uma nova sub-rede e entra na fase de descoberta, onde se tenta obter uma configuração
de IP de qualquer servidor DHCP.
Escopos de DHCP
Subnet mask. Esta propriedade é usada por computadores clientes para determinar
sua localização em infraestrutura de rede da organização.
Reserva de DHCP
Como uma prática recomendada, você deve considerar o fornecimento de dispositivos
de rede, tais como impressoras de rede com um endereço IP predeterminado. Usando uma
reserva DHCP, você pode garantir que os endereços IP que você definiu para além de um
espaço configurado para não são atribuídos a outro dispositivo. A reserva de DHCP é um
endereço de IP específico dentro de um escopo que é reservada permanentemente para
locação para um cliente DHCP específico. A reserva DHCP também garante que os
dispositivos com reservas teu seu endereço de IP garantido mesmo se um escopo está
esgotado de endereços. Configurando reservas permite centralizar o gerenciamento de
endereços IP fixos.
Opções de DHCP
Os servidores DHCP pode configurar mais do que apenas um endereço IP, mas
também fornece informações sobre os recursos de rede, como servidores DNS e gateway
padrão. Um código de opção identifica as opções DHCP, e a maioria dos códigos de opção
vem da documentação RFC encontrado na Internet Engineering Task Force (IETF).
1.3. DNS
Fornece resolução de nomes e permite que clientes DNS localizem serviços da rede,
como controladores de domínio (Active Directory), servidores de catálogo global, servidores
de arquivos e servidores de mensagem, entre outros. Se você configurar a infraestrutura do
DNS incorretamente, ou ele não estiver funcionando corretamente, esses serviços de rede
importantes serão inacessíveis.
DNS e a Internet
O DNS é um serviço mundial que permite digitar um nome de domínio (por exemplo,
sisnema.com.br) que o computador resolve para um endereço IP. Um benefício de DNS é que
endereços IPv4 podem ser longos e difíceis de lembrar, como 201.86.237.83. Porém, um
nome de domínio costuma ser mais fácil de lembrar. Além disso, é possível usar nomes de
host que não se alteram, mesmo que o endereço de IP modifique.
Com a adoção do IPv6, o DNS se tornará ainda mais crítico porque os endereços IPv6
são ainda mais complexos do que endereços IPv4. Um exemplo de um endereço IPv6 é
2001:db8:4136:e38c:384f:3764:b59c:3d97.
DNS e o AD DS
O DNS é responsável por resolver recursos em um domínio do AD DS. A função DNS
é um pré-requisito para instalar o AD DS. O DNS fornece informações aos clientes da estação
de trabalho, que permitem a entrada na rede. O DNS resolve recursos no domínio, como
servidores, estações de trabalho, impressoras e pastas compartilhadas. Se você configurar
um servidor DNS incorretamente, ele poderá ser a origem de muitos problemas no AD DS.
DNS Namespace
Domínio raiz
Um ponto (.) representa o domínio raiz e você não o digita em um navegador da Web.
O ponto (.) é pressuposto. Na próxima vez em que você digitar um endereço em um
computador, tente adicionar um ponto ao final (por exemplo, www.microsoft.com.). Existem
13 servidores de domínios raiz no mundo inteiro.
Domínio Raiz .
Domínio de
primeiro nível net com org
Domínio de
segundo nível google
Subdominio
america
server1
FQDN: server1.america.google.com.
Subdomínio
O subdomínio aparece antes dos domínios de nível superior e de segundo nível. Um
exemplo de subdomínio é “america” no nome de domínio america.google.com. Os
subdomínios são definidos no servidor DNS da organização que mantém o servidor DNS de
segundo nível.
Integração do AD DS e do DNS
Ao implementar o AD DS, você deve usar um namespace DNS para hospedar registros
do AD DS.
Porém, o nome interno também está relacionado ao nome público, o que garante
simplicidade. Essa abordagem pode ser mais simples gerenciar dependendo do perfil do
administrador. Porém, se não puder usar um subdomínio do namespace público para AD DS,
você deverá usar namespaces exclusivos.
uma aquisição. Quando os nomes são diferentes, isso é conhecido como um namespace não
contíguo.
As zonas integradas do Active Directory são mais fáceis de gerenciar do que as zonas
baseadas em texto tradicionais, além de serem mais seguras. A replicação dos dados da zona
ocorre como parte da replicação do Active Directory.
Servidores DNS
Um servidor DNS responde a consultas DNS recursivas e iterativas. Os servidores
DNS também podem hospedar uma ou mais zonas de um domínio específico. As zonas
contêm diferentes registros de recursos. Os servidores DNS também podem armazenar as
pesquisas em cache para reservar tempo para as consultas comuns.
Clientes de DNS
O clientes de DNS ou resolver gera e envia consultas iterativas ou recursivas ao
servidor DNS. Um resolver de DNS pode ser qualquer computador que executa uma pesquisa
de DNS que exige interação com o servidor DNS. Os servidores DNS também podem emitir
consultas DNS para outros servidores DNS.
Consultas de DNS
Uma consulta DNS é o método usado para solicitar a resolução de nomes, além de
envolver uma consulta enviada a um servidor DNS. Existem dois tipos de resposta às
consultas DNS: autoritativa e não autoritativa.
É importante observar que servidores DNS também podem atuar como resolvers de
DNS e enviar consultas DNS a outros servidores DNS.
Um servidor DNS que contém no cache o domínio que é solicitado, responde a uma
consulta não autoritativa usando encaminhadores ou root hints (dicas de raiz). No
entanto, a resposta fornecida pode não ser exata, uma vez que somente o servidor
DNS com autoridade sobre o domínio especificado pode emitir essa informação.
Observação: Uma resposta autoritativa só pode ser dada pelo servidor com
autoridade direta para o nome consultado.
Se for não autoritativo para o namespace da consulta, o servidor DNS local realizará
um dos seguintes procedimentos:
Verificar o cache e retornar uma resposta armazenada nesse cache.
Consultas recursivas
Uma consulta recursiva pode ter dois resultados possíveis:
Retorna o endereço IP do host solicitado.
Consultas iterativas
As consultas iterativas oferecem um mecanismo para acessar informações de nome
de domínio residentes no sistema DNS e habilitam servidores para resolver nomes de maneira
rápida e eficiente em vários servidores. Ao receber uma solicitação que não pode ser
respondida com as informações locais ou com as pesquisas armazenadas no cache, um
servidor DNS repassa essa solicitação para outro servidor DNS usando uma consulta iterativa.
Ao receber uma consulta iterativa, um servidor DNS pode responder com o endereço
IP do nome do domínio (se for conhecido) ou com uma referência aos servidores DNS
responsáveis pelo domínio que está sendo consultado.
Registro de recurso SOA O registro identifica o nome do servidor principal para uma
(início de autoridade) zona DNS, bem como outros detalhes específicos, como
TTL (Time To Live [tempo de vida]) e atualização.
Registro do recurso Endereço O principal registro que resolve um nome de host para um
do host (A) endereço IPv4.
Registro do recurso Nome Um tipo de registro de alias que mapeia um nome para
canônico (CNAME) outro (por exemplo, www.sisnema.com é um CNAME do
registro A sisnema.com).
Registro do recurso MX O registro é usado para especificar um servidor de e-mail
de um domínio específico.
Registro do recurso SRV O registro identifica um serviço disponível no domínio. O
Active Directory usa muito esses registros.
Registro do recurso NS O registro identifica um servidor de nomes para um
(servidor de nomes) domínio.
AAAA O principal registro que resolve um nome de host para um
endereço IPv6.
Registro do recurso PTR O registro é usado para pesquisar e mapear um endereço
(ponteiro) IP para um nome de domínio. A zona de pesquisa inversa
armazena os nomes.
Root hints
Os root hints (dicas de raiz) são a lista dos servidores na Internet que o servidor DNS
utiliza, caso ele não consiga resolver uma consulta DNS usando um (forwarder
(encaminhador) de DNS ou o próprio cache. As dicas de raiz são os servidores mais
importantes na hierarquia do DNS e podem fornecer as informações necessárias para um
servidor DNS fazer uma pesquisa iterativa para a próxima camada mais inferior do namespace
DNS.
Os servidores raiz são instalados automaticamente quando você instala a função DNS.
Eles estão no arquivo cache.dns incluído nos arquivos de instalação da função DNS.
Também é possível adicionar dicas de raiz em um servidor DNS para dar suporte a
pesquisas de domínios não contíguos em uma floresta.
Encaminhamento de DNS
Um encaminhador é uma definição de configuração do servidor DNS que encaminha
consultas DNS de nomes DNS externos para servidores DNS fora dessa rede. Também é
possível usar encaminhadores condicionais para encaminhar consultas de acordo com nomes
de domínio específicos.
sua rede, como os nomes na Internet, e melhorar a eficiência desse processo nos
computadores da rede.
Encaminhamento condicional
Um encaminhador condicional é uma definição de configuração no servidor DNS que
encaminha consultas DNS de acordo com o nome de domínio DNS da consulta. Por exemplo,
você pode configurar um servidor DNS para encaminhar todas as consultas por ele recebidas
sobre nomes que terminam com filial.sisnema.com.br para o endereço IP de um servidor DNS
específico ou para os endereços IP de vários servidores DNS. Isso pode ser útil quando você
tem vários namespaces DNS em uma floresta.
Ao resolver com êxito um nome DNS, um servidor DNS adiciona esse nome ao seu
cache. Com o tempo, isso cria um cache de nomes de domínio e os respectivos endereços IP
dos domínios mais comuns que a organização usa ou acessa.
Observação: O tempo padrão para armazenar dados DNS em cache é de uma hora.
É possível configurar esse recurso alterando o registro SOA da zona DNS adequada.
Zona DNS
Uma zona DNS hospeda todo ou parte de um domínio e seus subdomínios. A imagem
abaixo mostra como os subdomínios podem pertencer à mesma zona de seus pais ou podem
ser delegados a outra zona. O domínio sisnema.com.br está dividido em duas zonas. A
primeira zona hospeda os registros www.sisnema.com.br e ftp.sisnema.com.br O
exemplo.sisnema.com.br é delegado para uma nova zona, que hospeda o subdomínio
exemplo.sisnema.com.br e os registros ftp.exemplo.sisnema.com.br e
www.exemplo.sisnema.com.br
Observação: A zona que hospeda uma raiz do domínio (sisnema.com) deve delegar
o subdomínio (exemplo.sisnema.com) à segunda zona. Se isso não ocorrer, o
exemplo.sisnema.com será considerado uma parte da primeira zona.
Um servidor DNS terá autoridade em uma zona se ele hospedar, no arquivo de zona,
os registros de recursos dos nomes e endereços que os clientes solicitarem.
Zona primária
Quando uma zona hospedada por um servidor DNS é uma zona primária, o servidor
DNS é a fonte principal de informações sobre essa zona e armazena uma cópia mestra dos
dados da zona em um arquivo local ou no AD DS. Quando o servidor DNS armazena a zona
em um arquivo, o arquivo de zona primária é, por padrão, denominado nome_da_zona.dns e
está localizado na pasta %windir%\System32\Dns no servidor. Quando a zona não é
armazenada no Active Directory, o servidor DNS que hospeda a zona primária é o único
servidor DNS que tem uma cópia gravável do arquivo da zona.
Zona secundária
Quando uma zona hospedada em um Servidor DNS é uma zona secundária, o
Servidor DNS é uma fonte secundária de informações da zona. A zona contida nesse servidor
deve ser obtida em outro servidor DNS remoto que também a hospeda. O servidor DNS deve
ter acesso via rede ao servidor DNS remoto para receber informações atualizadas da zona.
Como uma zona secundária é uma cópia de uma zona primária hospedada em outro servidor,
ela não pode ser armazenada no AD DS. As zonas secundárias poderão ser úteis se você
estiver replicando dados de zonas DNS que não estejam no Windows ou executando o DNS
em servidores que não sejam controladores de domínio do AD DS.
Zona de stub
Uma zona de stub é uma cópia de uma zona que só contém os registros de recursos
necessários para identificar os servidores DNS autoritativos para a zona. Uma zona de stub é
usada para resolver nomes entre espaços para nome de DNS separados. Este tipo de
resolução pode ser necessária quando uma fusão para empresas exigir que os servidores
DNS de dois espaços para nome de DNS separados resolvam nomes para clientes em ambos
os espaços para nome.
Uma zona de stub inclui:
O registro de recurso do SOA (início de autoridade), os registros de recursos de NS
(servidor de nomes) e os registros de recursos A de união para a zona delegada.
O endereço IP de um ou mais servidores mestres que podem ser usados para atualizar
a zona de stub.
Uma zona inversa funciona da mesma maneira que uma zona direta, mas o endereço
IP faz parte da consulta e o nome do host é a informação retornada. Nem sempre as zonas
inversas são configuradas, mas você deve configurá-las para reduzir as mensagens de aviso
e de erro. Vários protocolos padrão de Internet dependem dos dados de pesquisa das zonas
inversas para validar as informações das zonas diretas. Por exemplo, se a pesquisa direta
indicar que treinamento.sisnema.com.br está resolvido para 192.168.0.222, você poderá usar
uma pesquisa inversa para confirmar se 192.168.0.222 está associado a
training.sisnema.com.
Notificação DNS
A notificação DNS é usada por um servidor mestre para alertar os servidores
secundários configurados de que há atualizações de zona disponíveis. Em seguida, os
servidores secundários solicitam ao mestre para obter as atualizações. Uma notificação DNS
é uma atualização para a especificação de protocolo DNS original que permite a notificação
em servidores secundários quando ocorrem alterações de zona. Isso é útil em um ambiente
de detecção de hora, em que a exatidão de dados é importante.
Embora a opção que especifica os servidores que podem solicitar dados da zona
forneça segurança, restringindo os destinatários dos dados, ela não protege os dados durante
transmissões. Se as informações da zona forem altamente confidenciais, é recomendável
usar uma política IPsec para proteger a transmissão ou replicar os dados da zona por um
túnel VPN (rede virtual privada). Isso impede a detecção de pacotes para determinar
informações na transmissão dos dados.
TTL
O TTL ajuda a gerenciar registros de recursos DNS nos arquivos de zona. Os arquivos
de zona podem mudar ao longo do tempo, de modo que é necessário ter um modo de
gerenciar registros DNS que são atualizados ou que não são mais válidos, pois os hosts que
eles representam não estão mais na rede.
Ferramenta Descrição
Um servidor DNS que carrega zonas com registros de recursos obsoletos pode utilizar
informações desatualizadas para responder às consultas dos clientes, o que pode
fazer com que os computadores cliente enfrentem problemas de resolução de nomes
ou problemas de conectividade na rede.
Em alguns casos, se uma zona tiver um registro de recursos obsoleto, ele poderá
impedir que outro computador ou um dispositivo host use um nome de domínio DNS.
Para solucionar esses problemas, o serviço Servidor DNS dispõe dos seguintes
recursos:
Carimbo de data/hora, baseado na data e hora atuais definidas no computador
servidor, para quaisquer registros de recursos adicionados dinamicamente às zonas
do tipo primário. Além disso, os carimbos de data/hora serão registrados nas zonas
primárias padrão nas quais você habilitar a duração e a eliminação.
Duração dos registros de recursos nos dados locais, com base em um período de
atualização especificado, para quaisquer zonas qualificadas.
Somente as zonas do tipo primário carregadas pelo serviço Servidor DNS estão
qualificadas a participar nesse processo.
Para alterar esse padrão, você pode administrar cada um desses registros, de modo
a redefinir e permitir que eles utilizem um valor de carimbo de data/hora atual (diferente de
zero). Isso permite que esses registros se tornem obsoletos e sejam eliminados.
A função de Servidor Web (IIS) oferece uma plataforma para gerenciar, modular e
extensível para hospedagem de sites, serviços e aplicativos. Com o IIS é possível compartilhar
informações com usuários pela Internet, por uma intranet ou por uma extranet. O IIS é uma
plataforma Web unificada que integra o IIS, o ASP.NET, os serviços FTP, o PHP e o WCF
(Windows Communication Foundation)
Recursos
Os administradores podem usar a função de Servidor Web (IIS) para configurar e
gerenciar vários sites, aplicativos Web e sites FTP. Estes são alguns recursos específicos
Gerenciador do IIS para configurar recursos do IIS e administrar sites.
Protocolo FTP para permitir transferência de arquivos, seja para atualizar alguma
página web como para compartilhar arquivos com usuários dentro ou fora do ambiente.
Isolamento de site para impedir que um site interfira em outros sites no servidor.
Configurar aplicativos Web que são escritos através de várias tecnologias, como ASP
clássico, ASP.NET e PHP.
Configurar vários servidores Web em um farm de servidores que você pode gerenciar
usando o IIS.
Um servidor Web de conteúdo estático é a configuração mais básica do IIS que oferece
suporte a sites HTML. Você pode usar um servidor Web de conteúdo estático para hospedar
sites internos ou externos (públicos). Quando você instala o IIS, a instalação padrão fornece
todos os módulos do IIS necessários para oferecer suporte a um servidor Web de conteúdo
estático. A instalação padrão inclui a capacidade de fornecer arquivos HTML estáticos,
documentos e imagens. O IIS oferece suporte a documentos padrão, pesquisa em diretórios,
log e autenticação anônima para o servidor de conteúdo estático.
12. Para verificar se o IIS foi instalado com êxito, digite o seguinte em um navegador da
Web: http://localhost
4. Na caixa de diálogo Adicionar Site, digite um nome para o site na caixa Nome do
site.
6. Na caixa de texto Caminho físico, digite o caminho físico da pasta do site ou clique
no botão Procurar (...) para navegar pelo sistema de arquivos para localizar a pasta.
9. Se você precisar especificar um endereço IP estático para o site (por padrão, ele é
definido como Todos os Não Atribuídos), digite o endereço IP na caixa Endereço
IP.
10. Digite um número de porta na caixa de texto Porta.
11. Opcionalmente, digite um nome de cabeçalho de host para o site na caixa Cabeçalho
do Host.
12. Se você não precisar fazer alterações no site e desejar disponibilizar o site
imediatamente, marque a caixa de seleção Iniciar site imediatamente.
Se desejar configurar uma conta de usuário específica utilizada pelo IIS para
acessar seu site ou aplicativo, selecione Usuário específico. Em seguida,
clique em Definir para abrir a caixa de diálogo Definir Credenciais e digite o
nome de usuário e a senha da conta para a identidade. Em seguida, clique
em OK.
Se desejar que processos IIS sejam executados usando a conta especificada
no momento na página de propriedades do pool de aplicativos,
selecione Identidade do pool de aplicativos. Por padrão, essa identidade é
a conta IUSR.
OBS.: Caso use a conta IUSR, você concederá a usuários anônimos o acesso
total à rede interna associada a essa conta.
Quando uma solicitação do cliente para seu site não incluir um nome de documento, o
IIS procurará um arquivo cujo nome é definido como um documento padrão. Normalmente, o
nome de documento padrão é Default.htm. Você pode definir uma lista de nomes de
documentos padrão em ordem de precedência.
Depois que o serviço FTP for instalado no servidor Web IIS, você poderá adicionar um
ou mais sites FTP. Adicione um site FTP quando quiser permitir que clientes transfiram
arquivos para e de um site usando o protocolo FTP.
OBS.: Como as configurações do FTP estão contidas na seção de sites, a alteração
de qualquer configuração de FTP também forçará a reciclagem do aplicativo de site. Se você
deseja evitar esse efeito colateral, adicione um site que é configurado exclusivamente para
FTP, e não para HTTP e FTP.
9. Se desejar, na caixa Host Virtual, digite um nome de host se você desejar hospedar
vários sites FTP em um único endereço IP. Por exemplo, digite www.sisnema.com.br
10. Desmarque a caixa Iniciar site FTP automaticamente se você deseja iniciar o site
manualmente.
14. Em Autenticação, selecione o método de autenticação que você deseja usar (ou os
dois):
15. Em Autorização, na lista Permitir acesso a, selecione uma das seguintes opções:
Todos os Usuários: todos os usuários, sejam anônimos ou identificados,
podem acessar o conteúdo.
Usuários Anônimos: os usuários anônimos podem acessar o conteúdo.
Funções ou Grupos de Usuários Especificados: somente os membros de
determinadas funções ou grupos de usuários podem acessar o conteúdo.
Digite a função ou o grupo de usuários na caixa correspondente.
Usuários Especificados: somente os usuários especificados podem acessar
o conteúdo. Digite o nome do usuário na caixa correspondente.
16. Se você tiver selecionado uma opção na lista Permitir acesso a, selecione uma das
permissões a seguir ou ambas:
Leitura: permite que os usuários autorizados leiam o conteúdo do diretório.
Gravação: permite que os usuários autorizados gravem no diretório.
3. Se você não desejar isolar os usuários, em Não isolar usuários. Iniciar usuários em,
selecione uma das seguintes opções:
Diretório raiz FTP: especifica que todas as sessões de FTP iniciam no diretório
raiz do site FTP. Esta opção desabilita todo o isolamento de usuário e a lógica
da pasta de inicialização.
Diretório de nome de usuário: especifica que todas as sessões FTP
começam no diretório físico ou virtual com o mesmo nome do usuário
conectado no momento, se a pasta existir; caso contrário, a sessão FTP
começará no diretório raiz do site FTP.
Visão Geral do AD DS
O banco de dados do AD DS armazena informações sobre a identidade do usuário,
computadores, grupos, serviços e recursos. Controladores de domínio do AD DS também
hospeda o serviço que autentica contas de usuário e computador quando eles fizerem logon
no domínio. Como o AD DS armazena informações sobre todos os objetos no domínio, todos
os usuários e computadores devem se conectar aos controladores de domínio do AD DS no
momento fazem logon no rede, AD DS é o principal meio pelo qual você pode configurar e
gerenciar contas de usuário e de computador em sua rede.
Componentes físicos
As informações do AD DS são armazenadas em um único arquivo no disco rígido de
cada controlador de domínio. A tabela a seguir lista alguns dos componentes físicos e onde
eles estão armazenados.
Componentes lógicos
Componentes lógicos do AD DS são estruturas que você pode usar para implementar
um projeto de Active Directory que é apropriado para uma organização. A tabela a seguir
descreve alguns dos tipos de estruturas lógicas que um banco de dados do Active Directory
pode conter.
Domain tree (árvore) Uma coleção de domínios que compartilham um domínio raiz
comum e um Domain Name System (DNS).
Forest (floresta) Um conjunto de domínios relacionados através de um domínio em
comum
Domínios AD DS
Um domínio do AD DS é um agrupamento lógico de usuário, computador e objetos de
grupo com a finalidade de gerenciamento e segurança. Todos esses objetos são
armazenados no banco de dados do AD DS e uma cópia desse banco de dados é armazenado
em cada controlador de domínio no domínio AD DS.
Existem vários tipos de objetos que podem ser armazenados no banco de dados do
AD DS, incluindo contas de usuários. As contas de usuário fornecem um mecanismo que pode
ser utilizado para autenticar e autorizar os usuários a acessar os recursos na rede. Cada
computador associado a um domínio deve ter uma conta no AD DS. Isso permite que os
administradores de domínio possam usar políticas (GPO) para gerenciar os computadores. O
domínio também armazena grupos, que são o utilizados para agrupar objetos por motivos de
segurança ou de instâncias administrativas, contas de usuário e contas de computador.
Para delegar o controle administrativo de objetos dentro da OU. Você pode atribuir
permissões de gerenciamento em uma OU, delegando, assim, o controle da OU a um
usuário ou grupo do além do administrador do AD DS.
Você pode usar as OUs para representar as estruturas hierárquicas e lógicas dentro
de sua organização. Por exemplo, você pode criar OUs que representam os departamentos
dentro, as regiões geográficas dentro de sua organização, ou uma combinação de ambas as
regiões departamentais e geográficas. Você pode usar as OUs para gerenciar a configuração
e uso de usuários, grupos e contas de computador baseado em seu modelo organizacional.
Users container. O local padrão para novas contas de usuários e grupos que você
criar no domínio. O container usuários também detém as contas de guests (visitante),
administrador e outros grupos padrão do domínio
Nota: Nenhum dos conteiners padrão no domínio AD DS pode ter GPOs vinculados a
eles, com exceção de OU Domain Controllers padrão e do próprio domínio. Todos os outros
conteiners são apenas pastas. Para vincular GPOs e aplicar as configurações e restrições,
crie uma hierarquia de OUs, em seguida, vincule GPOs a elas.
Floresta AD DS
Uma floresta é um conjunto de uma ou mais árvores de domínio. Uma árvore é um
conjunto de um ou mais domínios. O primeiro domínio que é criado na floresta é chamado de
domínio raiz da floresta. O domínio raiz da floresta contém alguns objetos que não existem
em outros domínios na floresta. Por exemplo, o domínio raiz da floresta contém dois papéis
especiais: o mestre de esquema (schema master) e mestre de nomeação de domínio (domain
naming master).
Além disso, o grupo Administradores de Empresa (Enterprise Admins) e grupo
Administradores de esquema (Schema Admins) só existem no domínio raiz da floresta. O
grupo Enterprise Admins tem total controle sobre todos os domínios dentro da floresta.
Por padrão, todos os domínios em uma floresta confiam automaticamente nos outros
domínios na floresta. Isto torna mais fácil para permitir o acesso a recursos como
compartilhamento de arquivos e sites para todos os usuários em uma floresta,
independentemente do domínio no qual a conta de usuário está localizado.
AD DS Schema
As regras que definem quais os tipos de objetos que você pode criar, quais atributos
devem ser definidos (obrigatório) quando você cria o objeto, e quais atributos são
opcionais.
Você pode usar uma conta que seja membro do grupo Administradores de esquema
(schema admins) para modificar os componentes do schema de uma forma gráfica. Exemplos
de objetos que são definidos no schema inclui usuário, computador, grupo e local. Entre os
muitos atributos são localização, accountExpires, buildingName, empresa, gerente, e
displayName.
Embora você não possa fazer qualquer alteração no schema diretamente, alguns
aplicativos que fazem alterações no schema para suportar recursos adicionais. Por exemplo,
quando você instala o Exchange Server 2010 em sua floresta AD DS, o programa de
instalação estende o schema para suportar novos tipos de objetos e atributos.
Controladores de Domínio
Um controlador de domínio é um servidor que estiver configurado para armazenar uma
cópia do banco de dados do diretório do AD DS (NTDS.DIT) e uma cópia da pasta SYSVOL.
O RODC contém uma cópia somente leitura do banco de dados do AD DS, e por
padrão, ele não armazena em cache todas as senhas do usuário. Você pode configurar o
RODC para armazenar em cache as senhas de usuários na filial. Se um RODC for
comprometido, o potencial de perda de informações é muito menor do que com um controlador
de domínio completo (leitura e escrita). Outra opção é usar o Windows BitLocker Drive
Encryption para criptografar o controlador de domínio no disco rígido. Se o disco rígido for
roubado, a criptografia BitLocker garante que há uma chance muito baixa de um usuário mal-
intencionado obter qualquer informação útil a partir dele.
O catálogo global não contém todos os atributos para cada objeto. Em vez disso, o
catálogo global mantém o subconjunto de atributos que são mais suscetíveis de serem úteis
em procuras entre domínios. Há uma variedade de razões pelas quais você pode realizar uma
busca contra um catálogo global, em vez de um controlador de domínio que não é um catálogo
global.
Processo de logon do AD DS
Quando você faz logon no AD DS, o sistema procura no DNS por recursos (SRV) de
serviços para localizar o controlador de domínio mais próximo. SRV são registros que
especificam as informações sobre os serviços disponíveis, e são registrados no DNS por todos
os controladores de domínio. Usando pesquisas de DNS, os clientes podem localizar um
controlador de domínio adequado para atender suas solicitações de logon.
Se o logon for bem sucedido, a autoridade de segurança local (LSA) cria um token de
acesso para o usuário que contém os identificadores de segurança (SIDs) para o usuário e os
grupos dos quais o usuário é membro. O token fornece as credenciais de acesso para
qualquer processo iniciado por esse usuário.
• A última seção (500) é o ID relativo (RID), que é a parte da SID que identifica
unicamente essa conta no banco de dados
Every user and computer account and every group that you create has a unique SID.
They only differ from each other by virtue of the unique RID. You can tell that this particular
SID is the SID for the administrator account because it ends with RID 500.
Mestres de Operações
Apesar de todos os controladores de domínio serem essencialmente iguais, há
algumas tarefas que só podem ser executadas somente por controlador de domínio em
particular. Por exemplo, se você precisa adicionar um domínio adicional para a floresta, então
você deve ser capaz de se conectar ao mestre de nomeação de domínio.
Os papeis (roles) de controladores de domínio são:
Operations masters
Domain naming master. Este é o controlador de domínio que deve ser consultado ao
adicionar ou remover um domínio, ou quando você faz mudanças de nome de domínio.
Antes do Windows Server 2012, era comum usar a ferramenta dcpromo.exe para
instalar controladores de domínio. Se você tentar executar dcpromo.exe em um servidor
Windows Server 2012, você receberá a seguinte mensagem de erro: "O Assistente de
Instalação do Active Directory Domain Services é realocado no Server Manager. Para mais
informações, consulte http://go.microsoft.com/fwlink/?LinkId=220921. "
Você pode selecionar Promote this server to a domain controller (promover esse
servidor para um controlador de domínio) e, em seguida, o Assistente de Configuração do
Active Directory Domain Services é executado. Você pode, então, fornecer as informações
listadas na tabela a seguir sobre a estrutura proposta (veja a imagem).
“Specify the domain information Forneça informações sobre o domínio existente para
for this operation” que o novo controlador de domínio irá se conectar.
“Supply the credentials to Digite o nome de uma conta de usuário que tem os
perform this operation” direitos para executar esta operação.
Local para armazenar os arquivos de Por padrão, esses arquivos serão armazenados
banco de dados, por exemplo, em C:\Windows\NTDS.
NTDS.DIT, edb.log ou edb.chk
Quando você promove um servidor Windows Server 2012 para ser um controlador de
domínio em um domínio existente, e se você estiver conectado como um membro do grupo
Administradores de esquema e grupos de administradores da empresa, o esquema do AD DS
será automaticamente atualizado para o Windows Server 2012. Neste cenário, você não
precisa executar os comandos Adprep.exe antes de iniciar a instalação.
Para uma instalação limpa do Windows Server 2012 como um controlador de domínio,
execute os seguintes passos:
1. Implantar e configurar uma nova instalação do Windows Server 2012 e juntar-se ao
domínio.
Nota: Você pode atualizar diretamente do Windows Server 2008 e Windows Server
2008 R2 para o Windows Server 2012.
Ferramentas de administração AD DS
Antes de começar a criar e gerenciar contas usuários e grupos, é importante que você
compreenda quais as ferramentas que você pode usar para realizar essas várias tarefas de
gerenciamento.
Active Directory Sites and Services (Sites e Serviços). Este snap-in controla a
replicação, topologia de rede e serviços relacionados.
Você também pode instalar o RSAT em clientes Windows, incluindo o Windows Vista
Service Pack 1 (ou mais recente), Windows 7 e Windows 8. Depois de baixar os arquivos de
instalação do RSAT no site da Microsoft, execute o Assistente de Configuração, que guiará a
instalação. Depois instalar o RSAT, você deve ativar a ferramenta ou ferramentas que você
deseja usar. Para fazer isso, no Control Panel (Painel de Controle), em Programs And
Windows PowerShell
Você pode usar o módulo do Active Directory para o Windows PowerShell (módulo
Active Directory) para criar e gerenciar objetos no AD DS. Windows PowerShell não é apenas
uma linguagem de script, mas também permite que você execute comandos que executam
tarefas administrativas, tais como a criação de novas contas de usuário, configuração de
serviços, a exclusão de caixas de correio, e funções similares.
Windows PowerShell está instalado por padrão no Windows Server 2012, mas o
módulo Active Directory só está presente quando:
Você instala a função de servidor AD DS ou Serviços Active Directory Lightweight
Directory (AD LDS.
Dsquery. Use para consultar o AD DS para objetos que correspondam aos critérios
específicos.
Dsrm. Use para excluir objetos.
e os grupos que ele pertence. Uma conta de usuário também contém muitas outras
configurações que podem ser configuradas com base em suas necessidades organizacionais.
Uma conta de usuário permite que um usuário faça logon em computadores e domínios
com uma identidade que o domínio possa autenticar. Ao criar uma conta de usuário, você
deve fornecer um nome de logon do usuário, que deve ser único no domínio/floresta em que
a conta do usuário é criada.
Para aumentar a segurança, você deve evitar vários usuários compartilhando uma
única conta e, mas sim garantir que cada usuário que faz logon na rede tem uma conta de
usuário e senha exclusivos.
Categorias de atributos
Os atributos de um objeto de usuário estão em várias categorias. Essas categorias
são exibidas no painel de navegação da caixa de diálogo Propriedades do usuário no Centro
Administrativo do Active Directory, e incluem o seguinte:
Account. Além, das propriedades de usuário First name, Middle initial, Last name,
Full name. E também User UPN logon, User SamAccountName logon, Existem as
seguintes propriedades:
o Log on hours (horário de logon). Esta propriedade define quando a conta
pode ser usada para acessar os computadores do domínio.
o Account expires. Este valor é útil quando você quer criar contas de usuário
de utilização temporária. Você pode usar esse valor para definir uma data de
expiração conta antecipadamente. A conta não pode ser usada após a data de
expiração até o reconfiguradas manualmente por um administrador.
o User must change password at next log on. Esta propriedade força um
usuário a redefinir sua própria senha na próxima vez que fizer logon. Isso
normalmente é algo que você pode permitir que depois de ter redefinir a senha
de um usuário.
o Smart card is required for interactive log on. Este valor redefine a senha do
usuário para uma sequência complexa, de caracteres aleatórios, e define uma
propriedade que requer que o usuário usar um cartão inteligente para
autenticar durante o logon.
o Password never expires. Esta é uma propriedade que você normalmente usa
com contas de serviço, ou seja, as contas que não são utilizados por usuários
comuns, mas pelos serviços. Ao definir este valor, você deve se lembrar de
atualizar a senha manualmente em uma base periódica, no entanto, você não
é obrigado a fazê-lo em um intervalo pré-determinado.
o Account is trusted for delegation. Você pode usar essa propriedade para
permitir que uma conta de serviço represente um usuário padrão para acessar
os recursos da rede em nome de um usuário.
Member of. Esta seção permite que você defina as associações de grupo para o
usuário.
Profile. Esta seção permite que você configure um local para os dados pessoais do
usuário, e definir um local para salvar o perfil desktop do usuário quando ele realizar
logout.
Você pode usar estes sub-nós para configurar todos os aspectos do perfil desktop de
um usuário e de configurações do aplicativo. Para um determinado sub-nó, como “Document”,
você pode escolher entre o redirecionamento Básico e Avançado. No redirecionamento
Básico, todos os usuários afetados pela GPO têm seus documentos pasta redirecionada para
uma subpasta individual fora de uma pasta raiz comum definida por um nome UNC, por
exemplo, SVR1\Users\. Redirecionamento avançado permite que você use os membros do
grupo de segurança para determinar onde as configurações do usuário e os documentos
serão armazenados.
Tipos de grupos
Em uma rede corporativa do Windows Server 2012, existem dois tipos de grupos:
segurança e distribuição. Quando você cria um grupo, você escolhe o tipo e o escopo grupo.
Porque você pode usar grupos de segurança, tanto para o acesso aos recursos e
distribuição de e-mail, muitas organizações usam apenas grupos de segurança. No entanto,
recomendamos que, se um grupo é usado apenas para a distribuição de e-mail, você deve
criar o grupo como um grupo de distribuição.
Grupos de escopos
O Windows Server 2012 oferece suporte a grupo de escopo. O escopo de um grupo
determina a gama de habilidades ou permissões de um grupo, e os membros do grupo.
Domain Local. Este tipo de grupo é usado principalmente para gerenciar o acesso a
recursos ou para atribuir responsabilidades de gestão (direitos). Grupos locais de
domínio existe em controladores de domínio em uma floresta AD DS e,
consequentemente, o escopo do grupo está localizada no domínio em que residem.
As características importantes de grupos locais de domínio são:
o Você pode atribuir habilidades e permissões somente sobre os recursos locais
de domínio, ou seja, em todos os computadores no domínio local.
o Os membros podem ser de qualquer lugar do AD DS floresta, e podem incluir:
Quaisquer entidades de segurança do domínio: os usuários,
computadores, grupos globais ou grupos locais de domínio.
Usuários, computadores e grupos globais de qualquer domínio na
floresta.
Usuários, computadores e grupos globais de qualquer domínio
confiável.
Grupos universais definido em qualquer domínio na floresta.
Global. Este tipo de grupo é usado principalmente para consolidar os usuários que
possuem características semelhantes. Por exemplo, grupos globais muitas vezes são
usados para consolidar os usuários que fazem parte de um departamento ou
localização geográfica. As características importantes de grupos globais são:
o Você pode atribuir habilidades e permissões em qualquer lugar na floresta.
o Os membros podem ser apenas do domínio local, e podem ter:
Usuários, computadores e grupos globais a partir de então de domínio
local.
Universal. Este tipo de grupo é mais útil em redes de vários domínios, porque combina
as características de ambos os grupos locais de domínio e grupos globais.
Especificamente, as características importantes dos grupos são universais:
o Você pode atribuir habilidades e permissões em qualquer lugar da floresta,
como com grupos globais.
o Os membros podem ser de qualquer lugar do AD DS floresta, e podem ter:
Usuários, computadores e grupos globais de qualquer domínio na
floresta.
Grupos universais definidos em qualquer domínio na floresta.
Grupos Padrão
O servidor Windows Server 2012 cria uma série de grupos automaticamente. Estes
são chamados de grupos locais predefinidos, e que incluem grupos bem conhecidos, tais
como Administrators (Administradores), Backup Operators (Operadores de Backup), e
Remote Desktop Users (Área de trabalho remota). Há outros grupos que são criados em um
domínio, incluindo Domain Admins (Administradores de Domínio), Enterprise Admins
(Administradores de Empresa) e Schema Admins (Administradores de esquema).
Schema Admins (No container do domínio raiz da floresta). Este grupo é dono e tem
o controle total do schema (esquema) do Active Directory.
Print Operators (container built-in de cada domínio). Os membros deste grupo podem
manter as filas de impressão em controladores de domínio. Eles também podem fazer
logon localmente e desligar os controladores de domínio
Gerenciamento de configuração
Se você tiver só um computador em seu ambiente, por exemplo, em casa, e precisar
modificar o plano de fundo da área de trabalho, poderá fazê-lo de vários modos diferentes. A
maioria das pessoas, provavelmente, abriria Aparência e Personalização no Painel de
Controle e faria a alteração por meio da interface do Windows. Embora isso funcione bem em
um computador, poderá ser tedioso se desejar fazer a alteração em vários computadores. É
mais difícil implementar qualquer alteração e manter um ambiente consistente em vários
computadores.
Política de Grupo é uma estrutura dentro do Windows - com componentes que residem
no AD DS (Serviços de Domínio Active Directory, em controladores de domínio e em cada
servidor e cliente Windows - que permite gerenciar a configuração em um domínio do AD DS.
Para criar um novo GPO em um domínio, clique com o botão direito do mouse no
contêiner Objetos de Política de Grupo e, em seguida, clique em Novo.
Escopo do GPO
A configuração é definida por configurações de política em GPOs. No entanto, as
alterações de configuração em um GPO não afetarão os computadores nem os usuários de
sua organização até que você especifique os computadores ou os usuários aos quais o GPO
se aplicará. Isso é denominado definição do escopo de um GPO. O escopo de um GPO é a
coleção de usuários e computadores que aplicarão as configurações no GPO.
Administração de GPOs
Política de Domínio Padrão
Este GPO é vinculado ao domínio e não tem nenhum grupo de segurança nem filtros
WMI. Portanto, ele afeta todos os usuários e computadores no domínio, inclusive
computadores que são controladores de domínio. Este GPO contém configurações de política
que especificam senha, bloqueio de conta e políticas de protocolo Kerberos versão 5. Você
não deve acrescentar configurações de política não relacionadas a este GPO. Se precisar
definir outras configurações para aplicar amplamente em seu domínio, crie GPOs adicionais
que se vinculem ao domínio.
Armazenamento de GPO
As configurações de Política de Grupo são apresentadas como GPOs nas ferramentas
de interface do usuário do AD DS, mas, na realidade, o GPO compreende dois componentes:
um contêiner e um modelo Política de Grupo.
Replicação de GPO
O contêiner e o modelo Política de Grupo são replicados entre todos os controladores
de domínio no AD DS. No entanto, são usados mecanismos de replicação diferentes para
esses dois itens.
Criação de GPOs
Por padrão, só Administradores de Domínio, Administradores de Empresa e
Proprietários Criadores de Política de Grupo podem criar novos GPOs. Você pode usar dois
métodos para conceder esse direito a um grupo ou um usuário:
Adicionar o grupo ou o usuário ao grupo Proprietários Criadores de Política de Grupo
único GPO e, em seguida, vincular esse GPO a cada OU. Se posteriormente você alterar as
configurações no GPO, suas alterações serão aplicadas a todas as OUs às quais o GPO
estiver vinculado.
A exclusão de um link de GPO não exclui o GPO em si, que permanece no contêiner
de GPO em questão. No entanto, a exclusão do link altera o escopo do GPO, de forma que
ele não se aplique mais aos computadores e aos usuários dentro do objeto de contêiner
vinculado anteriormente.
A desativação do link também altera o escopo do GPO de forma que ele não se aplique
mais aos computadores e aos usuários inseridos no contêiner em questão. No entanto, o link
permanece para que você possa reabilitá-lo com facilidade.
1. Políticas de grupo locais. Cada computador no qual o Windows 2000 ou versão mais
recente é executado tem, pelo menos, uma política de grupo local. As políticas locais
são aplicadas primeiro.
Na aplicação de Política de Grupo, a regra geral é que a última política aplicada tem
precedência. Por exemplo, uma política que restringe o acesso ao Painel de Controle aplicada
no nível de domínio pode ser revertida por uma política aplicada no nível da OU para os
objetos contidos nessa OU específica.
Se você vincular vários GPOs a uma OU, o processamento deles ocorrerá na ordem
que o administrador especificar na guia Objetos de Política de Grupo Vinculados no GPMC.
Por padrão, o processando é habilitado para todos os links de GPO. Você pode
desabilitar o link de GPO de um contêiner para bloquear a aplicação de um GPO
completamente para um determinado site, um domínio ou uma OU. Observe que se o GPO
estiver vinculado a outros contêineres, eles continuarão a processar o GPO se os respectivos
links forem habilitados.
Imagine um cenário no qual você deseja aplicar uma aparência corporativa padrão
para a área de trabalho do Windows em todos os computadores de salas de conferência e
outras áreas públicas de seu escritório. Como você gerenciará essa configuração
centralmente usando Política de Grupo? As configurações de política que definem a aparência
de área de trabalho estão localizadas no nó Configuração do Usuário de um GPO. Portanto,
por padrão, as configurações se aplicam a usuários, não importando o computador no qual
eles entrem. O processamento de política padrão não lhe oferece uma maneira de definir o
escopo de configurações de usuário a serem aplicadas a computadores, independentemente
do usuário que faz logon. Essa é a forma como o processamento de política loopback pode
ser útil.
3.3. REPLICAÇÃO
Dentro de uma infraestrutura AD DS, os controladores de domínio padrão replicam
informações do Active Directory usando um modelo de replicação de vários mestres. Isso
significa que, se for feita uma alteração em um controlador de domínio, essa alteração será
replicada em todos os outros controladores do domínio, e provavelmente em todos os
controladores de domínio da floresta inteira. Esta lição fornece uma visão geral de como o AD
DS replica informações entre controladores de domínio padrão e somente leitura (RODCs).
Partições do AD DS
O repositório de dados do Active Directory contém informações que o AD DS distribui
a todos os controladores de domínio na infraestrutura da floresta. A maior parte das
informações que o repositório de dados contém é distribuída dentro de um único domínio.
Entretanto, algumas informações podem estar relacionadas à floresta inteira,
independentemente dos limites do domínio, e replicadas nela.
Observação: Você pode usar o Editor do Active Directory Service Interfaces (Editor
ADSI) para se conectar e exibir as partições.
Notificação
Sondagem
Objetos de conexão
Um controlador de domínio que replica alterações de outro controlador de domínio é
chamado de parceiro de replicação. Os parceiros de replicação são vinculados por objetos de
conexão. Um objeto de conexão representa um caminho de replicação de um controlador de
domínio para outro. Os objetos de conexão são unidirecionais, representando a replicação
pulls somente de entrada.
Para exibir e configurar objetos de conexão, abra Serviços e Sites do Active Directory
e selecione o contêiner Configurações de NTDS do objeto de servidor de um controlador de
domínio. Você pode forçar a replicação entre dois controladores de domínio clicando com o
botão direito do mouse no objeto de conexão e selecionando Replicar Agora. Observe que
a replicação é somente de entrada, portanto, se você desejar replicar ambos os controladores
de domínio, precisará replicar o objeto de conexão de entrada de cada controlador de domínio.
Notificação
Quando é feita uma alteração em uma partição do Active Directory em um controlador
de domínio, este coloca a alteração na fila para replicação em seus parceiros. Por padrão, o
servidor de origem espera 15 segundos para notificar seu primeiro parceiro de replicação da
alteração. Notificação é o processo pelo qual um parceiro upstream informa seus parceiros
downstream de que uma alteração está disponível. Por padrão, o controlador de domínio de
origem aguarda três segundos entre as notificações a parceiros adicionais. Esses atrasos,
chamados de atraso de notificação inicial e atraso de notificação subsequente, foram
projetados para coordenar o tráfego de rede que a replicação intra-site pode gerar.
Replicação de sites do AD DS
Dentro de um único site, a replicação do AD DS ocorre automaticamente sem
considerar a utilização de rede. Porém, algumas organizações possuem vários locais que são
conectados por meio de conexões WAN (rede de longa distância). Se esse for o caso, você
deve assegurar que replicação do AD DS não afete a utilização de rede negativamente entre
os locais. Você também pode precisar localizar serviços de rede em um local específico.
Os links de rede entre os sites têm largura de banda disponível limitada, podem ter um
custo mais alto e talvez não sejam confiáveis.
O tráfego de replicação entre sites pode ser projetado para otimizar a largura de banda
compactando todo o tráfego de replicação. Ele é compactado em 10 a 15% de seu
tamanho original antes de ser transmitido. Apesar de a compactação otimizar a largura
de banda de rede, ela impõe uma carga de processamento adicional nos controladores
de domínio quando compacta e descompacta os dados da replicação.
A replicação entre sites acontece automaticamente depois que você define valores
configuráveis, como uma agenda ou um intervalo de replicação. Você pode agendar a
replicação para horários mais baratos ou fora do pico. Por padrão, as alterações são
replicadas entre os sites conforme uma agenda definida, e não quando as alterações
ocorrem. A agenda determina quando a replicação pode ocorrer. O intervalo especifica
como os controladores de domínio verificam as alterações durante o tempo que a
replicação pode ocorrer.
Quando você adiciona um novo site à floresta, o ISTG de cada site determina quais
partições de diretório estão presentes no novo site. O ISTG calcula então quantos novos
objetos de conexão são necessários replicar as informações necessárias do novo site. Em
algumas redes, você talvez queira especificar que somente determinados controladores de
domínio sejam responsáveis pela replicação entre sites. Você pode fazer isso especificando
servidores bridgehead. Os servidores bridgehead são responsáveis por toda a replicação que
entra e sai do site. O ISTG cria o acordo de conexão necessário em seu diretório, e essas
informações são replicadas no servidor bridgehead, que então cria uma conexão de
replicação com o servidor bridgehead no site remoto, e a replicação é iniciada. Se um parceiro
de replicação se tornar indisponível, o ITSG selecionará outro controlador de domínio
automaticamente, se possível. Se forem atribuídos servidores bridgehead manualmente, e se
eles ficarem indisponíveis, o ISTG não selecionará outros servidores automaticamente.
3.4. AD LDS
3.5. AD CS
Você pode usar as ACs para gerenciar, distribuir e validar certificados digitais que são
usados para proteger informações. Você pode instalar o AD CS (Serviços de Certificados do
Active Directory) como uma AC raiz ou uma AC subordinada em sua organização.
Os algoritmos que usam criptografia simétrica são rápidos e eficientes para uma
quantidade grande de dados. No entanto, como eles usam uma chave simétrica, não são
considerados seguros o bastante, já que se deve sempre transportar a chave à outra parte.
Alternativamente, os algoritmos que usam criptografia assimétrica são seguros, mas muito
lentos. Por isso, é comum o uso da abordagem híbrida, que significa que os dados são
criptografados usando criptografia simétrica, enquanto a chave de criptografia simétrica é
protegida com criptografia assimétrica.
Muitos componentes devem trabalhar em conjunto para fornecer uma solução PKI
completa. Os componentes de PKI no Windows Server 2012 são os seguintes:
Você não pode alterar os nomes dos computadores nem as associações do domínio
do computador depois que implantar uma AC de qualquer tipo no computador. Também não
é possível alterar o nome do domínio. Portanto, é importante determinar esses atributos antes
de instalar uma AC.
Consideração Descrição
Defina um período de validade para as CRLs publicadas pela AC raiz para um período
longo (por exemplo, um ano). Isso significa que você terá que ativar a AC raiz uma vez
por ano para publicar uma nova CRL e, depois, copiá-la para um local que esteja
disponível para os clientes. Caso não faça isso, depois que a CRL na AC raiz expirar,
a verificação de revogação de todos os certificados falhará.
deve fazer isso manualmente porque uma AC autônoma não pode fazê-lo de maneira
automática, diferentemente de uma AC corporativa. Também é possível publicar o
certificado da AC raiz no AD DS usando a ferramenta de linha de comando Certutil.
Uso. Você pode emitir certificados com diversas finalidades, como S/MIME (Secure
Multipurpose Internet Mail Extensions), EFS (Encrypting File System) ou RAS (Serviço
de Acesso Remoto). A política de emissão para esses usos pode ser diferente e a
separação fornece uma base para administrar essas políticas.
Balanceamento de carga. Se você vai usar a PKI para emitir e gerenciar um grande
número de certificados, a existência de apenas uma AC pode resultar em uma carga
de rede considerável para essa única AC. O uso de várias ACs subordinadas para
emitir o mesmo tipo de certificado divide a carga de rede entre as ACs.
Registro via Web na AC. Usando esse método, você pode habilitar uma AC de site de
modo que os usuários possam obter certificados. Para usar um registro via Web na
AC, você deve instalar o IIS (Internet Information Server) e a função de registro via
Web na AC do AD CS. Para obter um certificado, o solicitante faz logon no site,
seleciona o modelo de certificado apropriado e envia uma solicitação. O certificado
será emitido automaticamente se o usuário tiver as permissões apropriadas para se
registrar no certificado. O método de registro via Web na AC deverá ser usado para
emitir certificados quando o registro automático não puder ser usado. Isso pode
acontecer no caso de uma solicitação avançada de certificado. No entanto, há casos
em que o registro automático pode ser usado para alguns certificados, mas não para
todos.
Revogação de certificado
A revogação é o processo no qual você desabilita a validade de um ou mais
certificados. Ao iniciar o processo de revogação, você publica uma impressão digital de
certificado no CRL correspondente.
3.6. AD RMS
O Active Directory Rights Management Services (AD RMS) fornece um método para
proteger o conteúdo que vai além da criptografia de dispositivos de armazenamento usando
a Criptografia de Unidade do Windows BitLocker ou a criptografia de arquivos individuais
usando o EFS (Encrypting File System). O AD RMS fornece um método para proteger dados
em trânsito e em repouso, além de garantir sua acessibilidade somente a usuários autorizados
para uma duração específica.
AD RMS
AD RMS é uma tecnologia de proteção de informações criada para minimizar a
possibilidade de vazamento de dados. Vazamento de dados é a transmissão de informações
sem autorização – para pessoas dentro ou fora da organização – para quem não deve ter
acesso a essas informações. O AD RMS integra-se a produtos e sistemas operacionais
existentes Microsoft, incluindo Windows Server, Exchange Server, SharePoint Server e a
Suite Office.
Cenário 1
O CEO copia um arquivo de planilha que contém os pacotes de compensação dos
executivos de uma organização de uma pasta protegida em um servidor de arquivos na
unidade USB pessoal do CEO. Durante o trajeto para casa, o CEO esquece a unidade USB
no trem, onde alguém sem conexão com a organização o encontra. Sem o AD RMS, quem
encontrar a unidade USB pode abrir o arquivo. Com o AD RMS, é possível garantir que o
arquivo não pode ser aberto por usuários não autorizados.
Cenário 2
Um documento interno deve ser visível por um grupo de pessoas autorizadas na
organização. Essas pessoas não devem poder editar ou imprimir o documento. Embora seja
possível usar a funcionalidade nativa do Microsoft Office Word para restringir esses recursos,
fazer isso exige que cada pessoa tenha uma conta Windows Live. Com o AD RMS, você pode
configurar essas permissões com base em contas existentes nos Serviços de Domínio do
Active Directory (AD DS).
Cenário 3
Pessoas na organização não devem poder encaminhar mensagens de e-mail
confidenciais atribuídas a uma classificação específica. Com o AD RMS, você pode permitir
que um remetente atribua uma classificação específica a uma nova mensagem de e-mail, e
essa classificação irá garantir que o destinatário não possa encaminhar a mensagem.
Servidor AD RMS
Os servidores AD RMS devem ser membros de um domínio do AD DS. Quando você
instala o AD RMS, as informações sobre o local do cluster são publicadas no AD DS em um
local conhecido como ponto de conexão de serviço. Os computadores que são membros do
domínio consultam o ponto de conexão de serviço para determinar o local de serviços do AD
RMS.
Cliente AD RMS
O cliente AD RMS é integrado aos sistemas operacionais Windows Vista, Windows 7
e Windows 8. O cliente AD RMS permite que aplicativos habilitados para o AD RMS imponham
a funcionalidade ditada pelo modelo do AD RMS. Sem o cliente AD RMS, os aplicativos
habilitados para o AD RMS não poderiam interagir com o conteúdo protegido pelo AD RMS.
Funcionamento do AD RMS
conta no dispositivo atual, ele será emitido para o usuário nesse momento. O aplicativo
ou navegador transmite uma solicitação ao servidor AD RMS do autor para uma
Licença de Uso.
Quando você implantar o AD RMS em uma única floresta, terá um único cluster do AD
RMS. Essa é a forma mais comum de implantação do AD RMS. Você adiciona servidores ao
cluster do AD RMS conforme necessário para fornecer capacidade adicional.
Quando você implanta o AD RMS em várias florestas, cada floresta deve ter seu
próprio cluster raiz do AD RMS. É necessário configurar Domínios de Publicação Confiáveis
do AD RMS para garantir que o conteúdo do AD RMS possa ser protegido e consumido pelas
várias florestas.
O software cliente AD RMS está disponível para download para computadores que
executam os sistemas operacionais Microsoft Windows XP e Mac OS X. Esse software cliente
deve ser instalado para que os usuários desses sistemas operacionais possam consumir e
publicar o conteúdo protegido pelo AD RMS.
Os aplicativos cliente, como os incluídos no Microsoft Office 2003, Office 2007, Office
2010 e Office 2013, podem publicar e consumir conteúdo protegido pelo AD RMS. Você pode
usar o SDK do AD RMS para criar aplicativos que podem publicar e consumir conteúdo
protegido pelo AD RMS. O Visualizador XPS e o Windows Internet Explorer também podem
exibir conteúdo protegido pelo AD RMS.
Se você precisar compartilhar seu conteúdo protegido pelo RMS fora de sua
organização, deverá adquirir uma Licença de Conector Externo do RMS. Essa licença
concede às organizações o direito de permitir um número ilimitado de usuários externos a
acessar ou usar uma cópia individual licenciada do software servidor RMS sem precisar
adquirir CALs para cada usuário externo.
3.7. AD FS
Visão geral do AD FS
Federação de Identidade
A federação de identidade permite a distribuição de identificação, autenticação e
autorização dentro dos limites organizacionais e de plataforma. Você pode implementar a
federação de identidade dentro de uma organização única para permitir o acesso a aplicativos
Web diversos ou entre duas organizações que têm uma relação de confiança entre elas.
Como parte da relação de confiança federada, cada parceiro define quais recursos
estão acessíveis à outra organização e como o acesso aos recursos é habilitado. Por exemplo,
para atualizar uma previsão de vendas, um representante de vendas talvez precise coletar
informações do banco de dados de um fornecedor hospedado na rede do fornecedor. O
administrador do domínio para o representante de vendas é responsável por assegurar que
os representantes de vendas apropriados sejam membros do grupo que requer acesso ao
banco de dados do fornecedor. O administrador da organização onde o banco de dados está
localizado é responsável por assegurar que os funcionários do parceiro tenham acesso
apenas aos dados de que necessitam.
Você também pode usar a federação de identidade dentro de uma organização única.
Por exemplo, uma organização pode planejar implantar vários aplicativos baseados na Web
que requerem autenticação. Usando o AD FS, a organização pode implementar uma solução
de autenticação para todos os aplicativos, facilitando o acesso ao aplicativo para os usuários
em vários domínios internos ou florestas. Você também pode estender a solução a parceiros
externos no futuro, sem alterar o aplicativo.
A autenticação baseada em declarações foi criada para abordar problemas por meio
da extensão dos mecanismos típicos de autenticação e autorização fora dos limites
associados a esses mecanismos. Por exemplo, na maioria das organizações, quando os
usuários fazem logon na rede, eles são autenticados por um controlador de domínio do AD
DS. Um usuário que fornece as credenciais certas ao controlador de domínio recebe um token
O problema com esse tipo de autenticação é que ela não se estende facilmente para
fora dos limites da floresta do AD DS. Embora seja possível implementar a autenticação
Kerberos ou relações de confiança baseadas em NTLM entre duas florestas do AD DS, os
computadores cliente e os controladores de domínio em ambos os lados da relação de
confiança devem se comunicar com os controladores de domínio na outra floresta para tomar
decisões sobre autenticação e autorização. Essa comunicação requer tráfego de rede que é
enviado em várias portas, portanto, essas portas devem estar abertas em todos os firewalls
entre os controladores de domínio e outros computadores. O problema fica ainda mais
complicado quando os usuários têm acesso a recursos hospedados em sistemas baseados
na nuvem, como o Windows Azure ou o Office 365.
Sobre AD FS
Recursos do AD FS
Alguns dos recursos chave do AD FS são mostrados a seguir:
Organizações grandes frequentemente têm vários domínios e florestas que podem ser
os resultados de fusões e aquisições ou podem se dever a requisitos de segurança.
Os usuários em várias florestas podem requerer acesso aos mesmos aplicativos.
fazendo logon nos aplicativos de computadores que não fazem parte do domínio
interno.
As organizações podem usar o AD FS para habilitar SSO nesses cenários. Como todos
os usuários e o aplicativo estão na mesma floresta do AD DS, a organização só tem que
implantar um único servidor de federação. Esse servidor pode operar como o provedor de
declarações para autenticar solicitações de usuário e emitir as declarações. O mesmo servidor
também é a terceira parte confiável ou o consumidor das declarações para fornecer
autorização para acesso de aplicativo.
Você pode usar o AD FS para fornecer uma experiência de SSO aos usuários nas
várias plataformas baseadas na nuvem que estão disponíveis. Por exemplo, após a
autenticação dos usuários com credenciais do AD DS, eles poderiam acessar os Microsoft
Online Services, como Microsoft Exchange Online ou SharePoint Online hospedado, usando
essas credenciais de domínio.
O AD FS também pode fornecer SSO para provedores de nuvem não Microsoft. Como
o AD FS se baseia em padrões abertos, ele pode interoperar com qualquer sistema baseado
em declarações compatível.
Quando os usuários tentam fazer logon na caixa de correio do Exchange Online, eles
precisam ser autenticados com o uso de suas credenciais do AD DS internas. Se os usuários
tentarem fazer logon diretamente no ambiente do Exchange Online, eles serão redirecionados
novamente para a implantação interna do AD FS para autenticação antes de receberem
acesso.
Componentes do AD FS
O AD FS é instalado como uma função de servidor no Windows Server. A tabela a
seguir lista os componentes do AD FS.
Pré-requisitos do AD FS
Antes de implantar o AD FS, você deve assegurar que sua rede interna atenda a
alguns pré-requisitos básicos. A configuração dos serviços de rede seguintes é essencial para
uma implantação bem-sucedida do AD FS:
A maioria das organizações tem usuários que trabalham remotamente, talvez de casa
ou de locais do cliente. Para facilitar e dar suporte essas conexões remotas, você deve
implementar tecnologias de acesso remoto a fim de dar suporte a essa força de trabalho
distribuída. Você deve estar familiarizado com as tecnologias que permitem aos usuários
remotos se conectarem à infraestrutura de rede da organização.
Servidor DHCP. Fornece conexões de acesso remoto de entrada aceitas com uma
configuração de IP para conectividade de rede com a LAN (rede local) corporativa.
Ajuda a proteger o acesso com fio e sem fio. Quando você implantar pontos de acesso
802.1X sem fio, o acesso seguro sem fio fornecerá aos usuários da tecnologia sem fio
um método de autenticação seguro, com base em senha ou certificado, simples de
implantar. Quando você implanta opções de autenticação 802.1X, elas permitem que
você proteja a rede com fio, garantindo que os usuários da intranet sejam autenticados
para que se conectem à rede ou obtenham um endereço IP usando DHCP.
Acesso VPN. Uma VPN fornece uma conexão ponto a ponto entre os componentes
de uma rede privada por meio de uma rede pública, como a Internet. Os protocolos de
encapsulamento permitem que um cliente VPN estabeleça e mantenha uma conexão
com uma porta virtual de escuta do servidor VPN. Também é possível conectar filiais
à rede com soluções VPN, implantar roteadores de software completos na rede e
compartilhar conexões com a Internet pela intranet.
Quando você opta pelo roteamento, a NAT (conversão de endereços de rede) também
é instalada. Quando você implanta a NAT, o servidor que está executando Acesso Remoto é
configurado para compartilhar uma conexão de Internet com computadores em uma rede
privada e converter o tráfego entre o endereço público e a rede privada. Usando a NAT, os
computadores na rede privada obtêm certo nível de proteção, pois o roteador em que você
configura a NAT não encaminha o tráfego da Internet para a rede privada, a menos que um
cliente da rede privada solicite ou o tráfego seja explicitamente permitido.
Ao implantar a VPN e a NAT, você configura o servidor que está executando o Acesso
Remoto para oferecer a NAT à rede privada e aceitar conexões VPN. Os computadores na
Internet não poderão determinar os endereços IP de computadores na rede privada. No
entanto, os clientes VPN poderão se conectar aos computadores na rede privada, como se
estivessem fisicamente conectados à mesma rede
Métodos de autenticação
PAP
O PAP (Password Authentication Protocol) usa senhas de texto sem formatação e é o
protocolo de autenticação menos seguro. Ele normalmente será negociado se o cliente de
acesso remoto e o servidor Acesso Remoto não conseguirem negociar uma forma de
validação mais segura. PAP está incluído no Microsoft Windows Server 2012 para dar suporte
a sistemas operacionais de clientes mais antigos não compatíveis com nenhum outro método
de autenticação.
CHAP
O CHAP (Challenge Handshake Authentication Protocol) é um protocolo de
autenticação de desafio/resposta que usa o esquema de hash MD5 padrão do setor para
criptografar a resposta. Diversos fornecedores de servidores e clientes de acesso à rede
utilizam o CHAP. Como o CHAP exige o uso de uma senha de criptografia reversível, você
deve considerar o uso de outro protocolo de autenticação, como o MS-CHAP (Microsoft
Challenge Handshake Authentication Protocol) versão 2.
MS-CHAP V2
O MS-CHAP v2 é um processo de autenticação mútua unidirecional, de senha
criptografada, que funciona da seguinte forma:
2. O cliente de acesso remoto envia uma resposta que contém uma criptografia
unidirecional da cadeia de caracteres de desafio recebida, da cadeia de caracteres de
desafio par, do identificador da sessão e da senha do usuário.
EAP
Com o EAP (Extensible Authentication Protocol), um mecanismo de autenticação
arbitrário autentica uma conexão de acesso remoto. O cliente de acesso remoto e o
autenticador (seja o servidor Acesso Remoto ou o servidor RADIUS) negociam o esquema de
autenticação exato a ser usado. Por padrão, o serviço Roteamento e Acesso Remoto inclui
suporte para o protocolo EAP-TLS (EAP-Transport Level Security). Você pode conectar outros
módulos EAP ao servidor que está executando o Roteamento e Acesso Remoto para fornecer
outros métodos EAP.
Outras opções
Além dos métodos de autenticação mencionados anteriormente, existem outras duas
opções que é possível habilitar durante a seleção de um método de autenticação:
Certificado de máquina para IKEv2 (Internet Key Exchange versão 2). Selecione
esta opção caso você queira usar Reconexão VPN.
Conexão VPN
Para emular um link ponto a ponto, os dados são encapsulados e prefixados com um
cabeçalho; esse cabeçalho fornece informações de roteamento que permitem aos dados
percorram a rede compartilhada ou pública até chegarem a seu destino.
Para emular um link particular, os dados são criptografados a fim de garantir a
confidencialidade. Os pacotes interceptados na rede compartilhada ou pública não podem ser
decifrados sem as chaves de criptografia. O link no qual os dados particulares são
encapsulados e criptografados é conhecido como uma conexão VPN.
Site a site
Autenticação. A autenticação para conexões VPN usa estas três formas diferentes:
o Autenticação no nível de usuário usando a autenticação PPP. Para estabelecer
a conexão VPN, o servidor VPN autentica o cliente VPN que está tentando a
conexão usando um método de autenticação PPP no nível de usuário e verifica
se o cliente VPN tem a autorização adequada. Se a autenticação mútua for
utilizada, o cliente VPN também autenticará o servidor VPN, o que fornecerá
proteção contra computadores que estejam se passando por servidores VPN.
Os pacotes interceptados na rede de trânsito são ilegíveis para quem não tem a chave
de criptografia comum. O tamanho da chave de criptografia é um parâmetro de segurança
importante. Você pode utilizar técnicas computacionais para determinar a chave de
criptografia. Entretanto, com o aumento do tamanho das chaves de criptografia, essas
técnicas exigem mais poder tecnológico e tempo computacional. Sendo assim, é importante
utilizar o maior tamanho possível de chave para assegurar a confidencialidade dos dados.
Protocolos de encapsulamento
Os protocolos PPTP, L2TP, e SSTP dependem intensamente dos recursos
especificados inicialmente para o PPP. O PPP foi projetado para enviar dados através de
conexões discadas ou ponto a ponto dedicadas. Para o IP, o PPP encapsula pacotes IP em
quadros PPP e transmite os pacotes PPP encapsulados por meio do link ponto a ponto. O
PPP foi definido originalmente como o protocolo a ser usado entre um cliente de conexão
discada e um servidor de acesso à rede.
PPTP
O PPTP permite criptografar e encapsular um tráfego multiprotocolo de cabeçalho IP,
que é posteriormente enviado por meio de uma rede IP ou rede IP pública, como a Internet.
Você pode usar o PPTP para acesso remoto e conexões VPN site a site. Quando você usa a
Internet como rede pública VPN, o servidor PPTP é um servidor—VPN habilitado para PPTP
com uma interface na Internet e uma segunda interface na intranet.
Encapsulamento. O PPTP encapsula quadros PPP em datagramas IP para
transmissão pela rede. O PPTP usa uma conexão TCP (Transmission Control
Protocol) no gerenciamento de túnel e uma versão modificada do cabeçalho GRE
(Generic Route Encapsulation) para encapsular quadros PPP de dados em túnel. As
cargas dos quadros PPP encapsulados podem ser criptografadas, compactadas, ou
ambas.
MS-CHAPv2 ou EAP-TLS. Para que as cargas dos quadros PPP sejam criptografadas,
os clientes VPN devem utilizar o protocolo de autenticação MS-CHAPv2 ou EAP-TLS.
O PPTP usa a criptografia subjacente do PPP e encapsula um quadro PPP já
criptografado.
L2TP
O L2TP permite que você criptografe o tráfego multiprotocolo a ser enviado por
qualquer meio compatível com a entrega de datagramas ponto a ponto, como IP ou ATM
(modo de transferência assíncrona). O L2TP é uma combinação do PPTP e do L2F (Layer 2
Forwarding). O L2TP representa os melhores recursos do PPTP e do L2F.
Diferentemente do PPTP, a implementação Microsoft do L2TP não usa a MPPE para
criptografar os datagramas PPP. O L2TP depende do IPsec no Modo de Transporte para os
serviços de criptografia. A combinação do L2TP com o IPsec é conhecida como L2TP/IPsec.
Para utilizar L2TP/IPsec, cliente e servidor VPN devem dar suporte a L2TP e IPsec. O
suporte do cliente para L2TP é interno dos clientes de acesso remoto do Windows XP, do
Windows Vista, do Windows 7 e do Windows 8. O suporte do servidor VPN para L2TP é
interno nos membros das famílias Windows Server 2012, Windows Server 2008 e Windows
Server 2003.
Encapsulamento: o encapsulamento para pacotes L2TP/IPsec consiste em duas
camadas, encapsulamentos L2TP e IPsec. L2TP encapsula e criptografa dados da
seguinte maneira:
o Primeira camada. A primeira camada é o encapsulamento L2TP. Um quadro
PPP (um datagrama IP) é encapsulado com um cabeçalho L2TP e um
cabeçalho UDP (User Datagram Protocol).
SSTP
SSTP é um protocolo de encapsulamento que usa o protocolo HTTPS pela porta TCP
443 para passar o tráfego pelos firewalls e proxies Web, que poderiam bloquear o tráfego
PPTP e L2TP/IPsec. O SSTP dispõe de um mecanismo para encapsular o tráfego PPP pelo
canal SSL (Secure Sockets Layer) do protocolo HTTPS. O uso do PPP permite suporte para
métodos de autenticação seguros, como EAP-TLS. O SSL oferece segurança no nível de
transporte com negociação avançada de chaves, criptografia e verificação de integridade.
Quando um cliente tenta estabelecer uma conexão VPN baseada no SSTP, este
estabelece primeiramente uma camada HTTPS bidirecional com o servidor SSTP. Nessa
camada HTTPS, os pacotes do protocolo fluem conforme a carga útil de dados usando os
seguintes métodos de encapsulamento e criptografia:
o Encapsulamento. O SSTP encapsula quadros PPP em datagramas IP para
transmissão pela rede. O SSTP usa uma conexão TCP (pela porta 443) para o
gerenciamento de túneis e como quadros de dados PPP.
IKEv2
IKEv2 usa o protocolo IPsec Tunnel Mode via porta UDP 500. O IKEv2 dá suporte à
mobilidade tornando-o uma boa opção de protocolo para uma força de trabalho móvel. As
VPNs baseadas em IKEv2 permitem que os usuários alternem facilmente pontos de acesso
sem fio ou conexões sem e com fio.
O uso do IKEv2 e do IPsec habilita o suporte para métodos seguros de autenticação
e criptografia.
o Encapsulamento. IKEv2 encapsula datagramas usando ESP ou AH IPsec para
transmissão pela rede.
Reconexão VPN
Em cenários de negócios dinâmicos, os usuários devem poder acessar os dados com
segurança a qualquer momento, de qualquer lugar, e acessá-los continuamente, sem
interrupção. Por exemplo, talvez os usuários queiram acessar com segurança dados que
estejam no servidor da empresa, a partir de uma filial ou enquanto estiverem viajando.
Para atender a esse requisito, é possível configurar o recurso Reconexão VPN que
está disponível no Windows Server 2012, no Windows Server 2008 R2, no Windows 8 e no
Windows 7. Com esse recurso, os usuários podem acessar os dados da empresa usando
uma conexão VPN, que reconectará automaticamente se a conectividade for interrompida. A
Reconexão VPN também permite roaming entre redes diferentes.
A Reconexão VPN usa a tecnologia IKEv2 para fornecer conectividade VPN contínua
e consistente. Os usuários que se conectam via banda larga móvel sem fio são os que mais
aproveitarão esse recurso. Pense em um usuário com um notebook que esteja executando o
Windows 8. Quando viaja de trem a trabalho, o usuário se conecta à Internet com uma banda
larga móvel sem fio e estabelece uma conexão VPN com a rede da empresa. Quando o trem
passa por um túnel, a conexão com a Internet é perdida. Depois que o trem sai do túnel,
abanda larga móvel sem fio se reconecta automaticamente à Internet. Nas versões anteriores
do sistemas operacionais cliente e servidor do Windows, a VPN não se reconectava
automaticamente. Por isso, o usuário teria que repetir o processo de várias etapas de conexão
com a VPN manualmente. Essa tarefa era demorada e frustrante para usuários móveis com
conectividade intermitente.
PKI, pois um certificado de computador é obrigatório para uma conexão remota com a
Reconexão VPN. É possível usar certificados emitidos por uma AC interna ou pública.
Requisitos de configuração
Antes de implantar a solução VPN da organização, considere os seguintes requisitos
de configuração:
O servidor VPN exige duas interfaces de rede. Você deve identificar qual interface de
rede se conectará à Internet e qual interface de rede se conectará à rede privada.
Durante a configuração, você deverá escolher qual interface de rede se conectará à
Internet. Se você especificar a interface incorreta, o servidor VPN de acesso remoto
não funcionará corretamente.
A função NPS (Servidor de Política de Rede) no Windows Server 2012 fornece suporte
para o protocolo RADIUS e pode ser configurada como um servidor ou proxy RADIUS. Além
disso, o NPS fornece funcionalidade essencial à implementação da NAP (Proteção de Acesso
à Rede). Para oferecer suporte a clientes remotos e implementar a NAP, é importante saber
como instalar e configurar o NPS, bem como solucionar problemas relacionados.
Servidor RADIUS
O NPS realiza a autenticação, a autorização e a contabilização de conexões
centralizadas para conexões sem fio, de comutação de autenticação, bem como dial-up e
VPN (rede virtual privada). Ao usar o NPS como um servidor RADIUS, configure os servidores
de acesso à rede, como pontos de acesso sem fio e servidores VPN, como clientes RADIUS
no NPS. Configure também as políticas de rede que o NPS utiliza para autorizar as
solicitações de conexão, de modo que seja possível configurar a contabilização RADIUS para
que o NPS registre as informações de contabilização em arquivos de log no disco rígido local
ou em um banco de dados Microsoft SQL Server.
Proxy RADIUS
Quando o NPS for utilizado como um proxy RADIUS, configure políticas de solicitação
de conexão que indiquem quais solicitações de conexão o servidor NPS encaminhará para
outros servidores RADIUS e os servidores RADIUS para os quais essas solicitações serão
encaminhadas. Você também pode configurar o NPS para encaminhar dados de
contabilização para registro em log por um ou mais computadores em um grupo de servidores
RADIUS remotos.
Snap-in do MMC do NPS. Use o MMC do NPS para configurar um servidor RADIUS,
um proxy RADIUS ou uma tecnologia NAP.
Comandos netsh para NPS. Os comandos netsh para NPS consistem em um conjunto
de comandos que é o equivalente completo de todas as definições de configuração
disponíveis por meio do snap-in NPS MMC. Você pode executar os comandos netsh
manualmente no prompt do netsh ou nos scripts do administrador.
Um exemplo do uso do netsh é que, após instalar e configurar o NPS, é possível salvar
a configuração, emitindo o comando netsh nps show config > path\file.txt. Salve a
configuração NPS com esse comando toda vez que fizer uma alteração.
Por exemplo, para exportar a configuração NPS, você pode usar o cmdlet Export-
NpsConfiguration -Path <nome de arquivo>.
que fornece serviços tradicionais de rede dial-up ou de acesso remoto à VPN para a
intranet de uma organização.
Pontos de acesso sem fio que fornecem acesso à camada física da rede de uma
organização usando tecnologias de transmissão e recepção baseadas no padrão sem
fio.
Switches que fornecem acesso à camada física da rede de uma organização usando
tecnologias tradicionais de LAN (rede local), como a Ethernet.
Proxy RADIUS
Você pode usar o NPS como um proxy RADIUS para rotear mensagens do RADIUS
entre clientes RADIUS (servidores de acesso à rede) e servidores RADIUS que executam a
autenticação, a autorização e a contabilização de usuário na tentativa de conexão.
Quando você usa o NPS como um proxy RADIUS, o NPS é um ponto de comutação e
roteamento central através do qual fluem as mensagens de contabilização e acesso do
RADIUS. O NPS registra informações em um log de contabilização sobre as mensagens
encaminhadas.
Você for um provedor de serviços que oferece serviços terceirizados de rede dial-up,
VPN ou de acesso à rede sem fio para diversos clientes. Seu NAS envia solicitações
Você deseja oferecer autenticação e autorização de contas do usuário que não são
membros do domínio ao qual o servidor NPS pertence, ou de um domínio que possui
uma relação de confiança bidirecional com o domínio do membro do servidor NPS.
Isso abrange as contas existentes em domínios não confiáveis, domínios com relação
de confiança unidirecional e outras florestas. Em vez de configurar os servidores de
acesso para enviar as respectivas solicitações de conexão para um servidor RADIUS
NPS, você pode configurá-los para enviar essas solicitações para um proxy RADIUS
NPS. O proxy RADIUS NPS usa a parte do nome de realm do nome do usuário e
encaminha a solicitação para um servidor NPS no domínio ou na floresta corretos. As
tentativas de conexão de contas do usuário em um domínio ou floresta podem ser
autenticadas para o NAS em outro domínio ou floresta.
Você pode criar uma série de políticas de solicitação de conexão, de forma que
algumas mensagens de solicitação RADIUS enviadas de clientes RADIUS sejam processadas
localmente (NPS é um servidor RADIUS) e que outros tipos de mensagens sejam
encaminhados para outro servidor RADIUS (NPS é um proxy de RADIUS).
Com políticas de solicitação de conexão, você pode usar NPS como um servidor
RADIUS ou como um proxy RADIUS, com base em uma variedade de fatores, incluindo:
A hora do dia e o dia da semana.
O nome de realm na solicitação de conexão.
O tipo de conexão que está sendo solicitada.
O endereço IP do cliente RADIUS.
Condições
Condições de política de solicitação de conexão são um ou mais atributos RADIUS
comparados com os atributos da mensagem de solicitação de acesso RADIUS recebida. Se
existirem várias condições, o NPS irá impor a política somente se todas as condições contidas
Configurações
Configurações de política de solicitação de conexão são um conjunto de propriedades
aplicadas a uma mensagem RADIUS recebida. As configurações são formadas pelos
seguintes grupos de propriedades:
Autenticação
Contabilização
Manipulação de atributos
Avançado
Para que o servidor NPS não atue como um servidor RADIUS e processe as
solicitações de conexão localmente, exclua a política padrão de solicitação de
conexão.
Observação: Para executar esse procedimento, é preciso que você seja membro do
grupo Administradores do Domínio, Administradores de Empresa ou Administradores no
computador local.
Quando você habilitar o acesso não autenticado, os usuários poderão acessar sua
rede sem enviar as credenciais do usuário. Além disso, clientes de acesso não autenticados
não negociam o uso de um protocolo de autenticação comum durante o processo de
estabelecimento de conexão e eles não enviam para o NPS um nome de usuário ou senha.
Métodos de autenticação
Autenticação mútua
Quando você utilizar o EAP com um tipo forte de EAP (como o TLS com cartões
inteligentes ou certificados), tanto o cliente quanto o servidor usarão certificados para validar
mutuamente suas identidades, o que é conhecido como autenticação mútua. Os certificados
devem atender a requisitos específicos para que o servidor e o cliente os utilizem na
autenticação mútua.
Um desses requisitos é que o certificado esteja configurado com um ou mais
propósitos nas extensões EKU (Uso Estendido de Chave), relacionadas ao uso do certificado.
Por exemplo, você deve configurar um certificado que seja utilizado para a autenticação de
um cliente com a finalidade de Autenticação de Cliente. Da mesma forma, você deve
configurar um certificado que seja utilizado para a autenticação de um servidor com a
finalidade de Autenticação de Servidor. Quando você usa certificados para autenticação, o
autenticador examina o certificado do cliente e procura o identificador correto do objeto
finalidade nas extensões EKU. Por exemplo, o identificador do objeto da finalidade
Autenticação do Cliente é 1.3.6.1.5.5.7.3.2. Quando você utiliza um certificado para
autenticação de computadores cliente, esse identificador de objeto deve estar presente nas
extensões EKU do certificado, caso contrário, a autenticação falhará.
Modelos de certificado
Modelos de Certificado é um snap-in do MMC que permite a personalização dos
certificados emitidos pelo AD CS. As opções de personalização abrangem o modo como os
certificados serão emitidos e o que conterão, inclusive suas finalidades. Nos Modelos de
Certificado, é possível usar um modelo padrão, como o modelo Computador, para definir o
modelo que a autoridade de certificação usará para atribuir certificados aos computadores.
Você também pode criar um modelo de certificado e atribuir finalidades a esse modelo nas
extensões EKU. Por padrão, o modelo Computador contém as finalidades Autenticação de
Cliente e Autenticação de Servidor nas extensões EKU.
O modelo de certificado criado pode conter qualquer finalidade para a qual você o
utilizará. Por exemplo, se você usar cartões inteligentes na autenticação, será possível incluir
a finalidade Logon do Cartão Inteligente, além da finalidade Autenticação de Cliente. Ao usar
o NPS, você pode configurá-lo para verificar as finalidades dos certificados antes de conceder
autorização para a rede. O NPS pode verificar outras finalidades das EKUs e das Políticas de
Emissão, conhecidas também como Políticas de Certificado
A tabela a seguir descreve os certificados que devem implantar com êxito cada método
de autenticação listado, baseado em certificado:
Certificado de autoridade de Sim. O certificado de autoridade de Sim. Esse certificado é Para o PEAP-MS-CHAP
certificação no repositório de certificação é registrado automaticamente registrado automaticamente para v2, esse certificado é
certificados de Autoridades de para os computadores membro do os computadores membro do necessário para a
Certificação Raiz Confiáveis para o domínio. Para os computadores não domínio. Para os computadores autenticação mútua entre
Computador Local e o Usuário pertencentes ao domínio, você deve não pertencentes ao domínio, o cliente e o servidor.
Atua importar o certificado manualmente no você deve importar o certificado
repositório de certificados. manualmente no repositório de
certificados.
Certificado de servidor no Sim. Você pode configurar o AD CS para Sim. Além de usar o AD CS para O servidor NPS envia o
repositório de certificados do registrar automaticamente os certificados certificados de servidor, você certificado de servidor
servidor NPS de servidor para os membros do grupo de pode comprar os certificados de para o computador
servidores RAS e IAS no AD DS. servidor em outras autoridades cliente. O computador
de certificação com as quais já cliente usa o certificado
existe uma relação de confiança para autenticar o servidor
com os computadores cliente. NPS.
Certificado de usuário em um O AD CS para registrar automaticamente Não. A autenticação do usuário é Para os protocolos EAP-
cartão inteligente os certificados de servidor para os feita com credenciais baseadas TLS e PEAP-TLS, se
membros do grupo de servidores RAS e em senha, não em certificados. você não registrar
IAS no AD DS. automaticamente os
certificados de
computadores cliente,
serão necessários os
certificados de usuário
em cartões inteligentes
O cliente 802.1X não usa os certificados baseados no registro, que são certificados de
logon por cartão inteligente ou protegidos por senha.
A lista a seguir é uma lista de alto nível de etapas que você pode usar para identificar
requisitos de recuperação de desastres:
1. Defina os recursos críticos da organização. Esses recursos incluem dados, serviços e
os servidores nos quais os dados e os serviços são executados.
compartilhamentos de arquivos. Você também pode replicar dados em locais físicos diferentes
ou para uma nuvem pública ou privada.
A mídia na qual uma cópia dos Tenha duas cópias de seus dados de backup pelo
dados de backup está localizada é menos e valide seus backups regularmente.
corrompida.
Um administrador excluiu uma OU Proteja as OUs contra exclusão acidental,
(unidade organizacional) que especialmente após as migrações
contém muitos objetos de usuário
e computador acidentalmente.
Um servidor de arquivos em uma Use a Replicação DFS para replicar arquivos de filiais
filial onde arquivos importantes para data centers centrais.
estão localizados falhou
A infraestrutura de virtualização na Evite implantar todos os servidores críticos, como
qual os servidores comerciais controladores de domínio, na mesma infraestrutura
estão localizados está virtual.
indisponível.
Evite implantar todos os servidores Implante um data center secundário que conterá
críticos, como controladores de réplicas da maioria dos servidores críticos em seu
domínio, na mesma infraestrutura data center primário.
virtual
Tipos de backup
No Windows Server 2012, você pode executar os tipos seguintes de backups:
Backup completo. Um backup completo é uma réplica no nível de bloco de todos os
blocos nos volumes de servidor. Em vez de copiar arquivos e pastas a mídia de
backup, os blocos subjacentes são copiados para a mídia de backup.
Backup incremental. Um backup incremental é uma cópia apenas dos blocos que
foram alterados desde o último backup completo ou incremental. Durante um backup
incremental, esses blocos são copiados para a mídia de backup. Quando esse
processo é concluído, os blocos são marcados como backup. Durante a recuperação,
o conjunto original de blocos é restaurado. Em seguida, cada conjunto de blocos
incrementais é aplicado, colocando os dados recuperados novamente no estado
apropriado de uma maneira consistente.
Tecnologias de backup
VSS
O VSS—uma tecnologia que a Microsoft incluiu no Windows Server 2003 R2 e que
está presente em todos os sistemas operacionais de servidor mais novos—resolve o problema
de consistência no nível do bloco de disco criando o que é conhecido como uma cópia de
sombra. Uma cópia de sombra é uma coleção de blocos em um volume que é congelado em
um ponto específico no tempo. Ainda podem ser feitas alterações no disco, mas quando um
backup ocorre, a coleção de blocos congelados é incluída no backup, o que significa que
qualquer alteração que possa ter ocorrido desde o congelamento não entra no backup.
A criação de uma cópia de sombra diz ao sistema operacional para primeiro colocar
todos os arquivos, como bancos de dados DHCP e arquivos de banco de dados do Active
Directory, em um estado consistente por um momento. Em seguida, o estado atual do sistema
de arquivos é registrado nesse ponto específico no tempo. Depois que o VSS cria a cópia de
sombra, todos os acessos de gravação que substituiriam dados armazenam os blocos de
dados anteriores primeiro. Portanto, uma cópia de sombra é pequena no início e cresce com
o tempo, à medida que os dados são alterados. Por padrão, o sistema operacional é
configurado para reservar 12% do volume para dados de VSS e o VSS exclui
automaticamente instantâneos mais antigos quando esse limite é alcançado. Você pode
alterar esse valor padrão e pode alterar o local padrão dos dados de VSS. Isso assegura que
o backup tem um instantâneo do sistema em um estado consistente, não importa quanto
tempo na verdade leva para gravar os dados de backup no dispositivo de armazenamento de
backup.
Backup de streaming
O backup de streaming é usado frequentemente por aplicativos mais antigos que não
usam o VSS. Você faz backup de aplicativos sem reconhecimento de VSS usando um método
conhecido como backup de streaming. Em comparação com o VSS onde o sistema
operacional assegura que os dados sejam mantidos em um estado consistente em um ponto
no tempo atual, quando você usa o backup de streaming, o aplicativo ou o aplicativo de
Frequência de backup
A Frequência de backup é uma medida da frequência de com que os backups são
realizados. Com backups de nível de bloco incrementais, nenhuma diferença significativa
existirá entre a quantidade de dados gravada durante a soma de quatro sessões de 30
minutos e uma sessão incremental de 2 horas no mesmo servidor. Isso ocorre porque durante
as duas horas, o mesmo número de blocos terá sido alterado no servidor que nas quatro
sessões de 30 minutos. Porém, as quatro sessões de 30 minutos o dividiram em partes
menores. Quando backups ocorrem com maior frequência, eles reduzem o tempo necessário
para executar o backup dividindo-o em partes menores. O total geral será o mesmo.
Retenção de backup
Você pode usar o Backup do Windows Server para fazer backup do seguinte:
Servidor completo (todos os volumes).
Volumes selecionados.
Excluir os arquivos ou tipos de arquivos selecionados. Por exemplo, você pode excluir
arquivos temporários do backup.
Usar o Windows Azure Online Backup. O Windows Azure Backup Online é uma
solução de backup baseada na nuvem para Windows Server 2012 que permite que
arquivos e pastas sejam incluídos no backup e recuperados da nuvem pública ou
privada para fornecer backup fora do local.
Se houver desastres, como falhas de disco rígido, você poderá executar a recuperação
do sistema usando um backup completo de servidor e Windows RE; isso restaurará seu
sistema completo no novo disco rígido.
O Windows Azure Backup Online foi criado com base na plataforma Windows Azure e
usa o blob storage do Windows Azure para armazenar dados de cliente. O Windows Server
2012 usa o Windows Azure Online Backup Agent para transferir dados de arquivo e pasta
com segurança para o Windows Azure Online Backup. Depois que você instalar o Windows
Azure Online Backup Agent, o agente integrará sua funcionalidade por meio da interface de
Backup do Windows Server. Você pode baixar o Windows Azure Online Backup Agent do site
da Microsoft.
DPM para exportar dados de backup específicos em fita para retenção e tarefas
relacionadas à conformidade.
Backup de local remoto. O DPM usa uma arquitetura que permite a realização de
backup de clientes localizados em locais remotos. Isso significa que um servidor DPM
localizado em uma matriz pode executar backups de servidores e clientes localizados
em links de rede de longa distância (WAN).
Servidor completo. Você pode recuperar o servidor completo por meio de Windows
RE.
Estado do sistema. O estado do sistema cria um backup pontual que você pode usar
para restaurar um servidor a um estado operacional anterior.
o Local original. O local original restaura os dados ao local para o qual o backup
foi criado originalmente.
o Outro local. Outro local restaura os dados em um local diferente.
Configurações de segurança. Use esta opção para restaurar permissões aos dados
que estão sendo recuperados.
Unidades de disco iguais ou maiores. O hardware de servidor para o qual você está
restaurando deve ter unidades de disco do mesmo tamanho ou maiores que as
unidades do servidor host original. Se esse não for o caso, a restauração falhará. É
possível, embora não aconselhável, restaurar com êxito em hosts que têm
processadores mais lentos e menos memória RAM.
Você pode usar o Windows Azure Online Backup para fazer backup de servidores do
Windows Server 2012. Porém, você não tem que restaurar dados no mesmo servidor do qual
fez backup.
Você pode recuperar arquivos e pastas usando o MMC do Windows Azure Online
Backup no Gerenciador do Servidor ou a interface de linha de comando do Windows
PowerShell. Para usar o MMC do Windows Azure Online Backup, execute as etapas
seguintes:
2. Procure os arquivos que têm que ser restaurados ou você pode procurá-los no
Windows Azure Online Backup.
o Crie cópias de forma que você tenha o arquivo restaurado e arquivo original no
mesmo local. O arquivo restaurado tem seu nome no formato seguinte: Data
de Recuperação+Cópia de+Nome do arquivo original.
É um firewall baseado em host que está incluído no Windows Server 2012. Este snap-
in é executado no computador local e restringe o acesso à rede e de que o computador
Regras de entrada são iniciadas por outro dispositivo ou computador na rede, com o
computador host. Por padrão, todas as comunicações de entrada são bloqueados, exceto o
tráfico que é explicitamente permitido por uma regra de entrada.
Regras de saída que são iniciados pelo computador próprio computador para outro,
ou seja, e é destinado a um dispositivo ou um computador na rede. Por padrão, toda a
comunicação de saída é permitida, exceto o tráfego que é explicitamente bloqueado por uma
regra de saída. Se você optar por bloquear toda a comunicação de saída, exceto o tráfego
que é explicitamente permitido, é necessário verificar as necessidades dos sistemas ou
softwares que executam no computador a fim de não impedir o seu funcionamento normal
(portas e protocolos utilizados).
Você pode criar regras de entrada e saída com base em portas User Datagram
Protocol (UDP) e Transmission Control Protocol (TCP). Você também pode criar regras de
entrada e saída para um executável específico, independentemente da porta que está ele usa.
São utilizadas para configurar o Internet Protocol Security (IPSec) para Windows
Server 2012. Quando essas regras são configuradas, você pode autenticar a comunicação
entre computadores, e, em seguida, usar essa informação para criar regras de firewall
baseados em contas de usuário de computador específico.
Perfis de Firewall
Você pode definir um conjunto de configurações para cada um destes três tipos de
rede, cada conjunto de configurações se refere como um perfil de firewall. As regras de firewall
são ativados somente para perfis de firewall específicos. Por exemplo, se você estiver
conectado a uma rede que foi definida como “rede privada”, as configurações de firewall
relacionadas à “rede privada” entrarão em vigor.
Perfil Descrição
Public Use quando você está conectado a uma rede pública não confiável.
(Público) Diferentemente das redes de domínio, todas as redes são classificados
como Público. Por padrão, o perfil de público (mais restritivo) é usado no
Windows Vista, Windows 7 e Windows 8.
Exportar e importar regras de firewall. Você pode exportar as regras de firewall para
criar um backup antes de configurar manualmente as regras de firewall durante a
resolução de problemas. Ao importar regras de firewall, eles são tratados como um
conjunto completo e substituem todas as regras de firewall atualmente configurados.
O que é o EFS?
EFS é um recurso que pode criptografar arquivos armazenados em uma partição
formatada com NTFS. Por padrão, essa opção está disponível para todos os usuários.
Também é possível usar o EFS para criptografar arquivos em um compartilhamento de
arquivos.
Depois que um arquivo é criptografado usando EFS, ele só pode ser acessado por
usuários autorizados. Se um usuário estiver autorizado, o acesso ao arquivo será transparente
e poderá ser aberto como um arquivo não criptografado. Se um usuário não estiver autorizado,
as tentativas em abrir o arquivo resultarão em uma mensagem de acesso negado.
A criptografia EFS age como uma camada adicional de segurança além de permissões
NTFS. Se os usuários tiverem permissão NTFS para ler um arquivo, ainda assim eles estarão
autorizados pelo EFS para descriptografar o arquivo.
A configuração padrão de EFS não requer nenhum esforço administrativo. Os usuários
podem começar a criptografar os arquivos imediatamente e o EFS gerará um certificado de
usuário automaticamente com um par de chaves para um usuário se não houver. Usar uma
CA (autoridade de certificação) para emitir certificados de usuário aprimora o gerenciamento
dos certificados.
Você pode desabilitar o EFS em computadores cliente usando a Política de Grupo.
Nas Propriedades da política, navegue até Configuração do
O EFS usa a criptografia de chave pública para proteger a chave simétrica, que é
necessária para descriptografar o conteúdo dos arquivos. Cada certificado de usuário contém
uma chave privada e uma chave pública que é usada para criptografar a chave simétrica.
Somente o usuário com o certificado e sua chave privada pode descriptografar a chave
simétrica.
Quando você adiciona um novo agente de recuperação por meio da Política de Grupo,
o agente é adicionado automaticamente a todos os arquivos recém-criptografados, mas o
agente não é adicionado automaticamente aos arquivos criptografados existentes. Como o
agente de recuperação para um arquivo é definido no momento em que o arquivo é
criptografado, um arquivo criptografado deve ser acessado e salvo para atualizar o agente de
recuperação.
Para fazer backup do certificado do agente de recuperação, você deve sempre
exportar o certificado com a chave privada e mantê-la em um local seguro. Os dois motivos
para fazer backup da chave privada do agente de recuperação (ou a chave de recuperação)
são:
Quando você configura um modelo de segurança, você pode usá-lo para configurar
um único computador ou vários computadores na rede. Veja algumas maneiras que você pode
configurar e distribuir os modelos de segurança:
Secedit.exe. A linha de comando secedit.exe configura e analisa a segurança do
sistema, comparando a configuração atual de um computador com o Windows Server
2012 para modelos de segurança especificados.
Security Templates snap-in. É um snap-in que você pode usar para criar uma política
de segurança usando modelos de segurança.
Security Configuration and Analysis Wizard. Este assistente é uma ferramenta que
você pode usar para analisar e configurar a segurança do computador.
Group Policy. Diretiva de Grupo é uma tecnologia que você pode usar para analisar
e definir as configurações do computador, incluindo a distribuição de configurações de
segurança específicas.
Você pode configurar direitos por meio da Diretiva de Grupo. Inicialmente, a diretiva
de domínio padrão não tem direitos definidos pelo usuário.
Você pode configurar as definições para direitos de usuário, acessando Computer
Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights
Assignment from the Group Policy Management Console (GPMC).
Permitir logar por Remote Desktop Services. Determina quais usuários ou grupos
têm permissão para fazer logon remotamente.
Alterar hora do sistema. Determina quais usuários ou grupos têm o direito de alterar
a data e hora no relógio interno do computador.
Avisar o usuário para alterar a senha antes que ela expire: Determina quantos dias
antes da senha do usuário expirar que o sistema operacional fornece um aviso.
Logon interativo: Não exibe o último nome do usuário. Determina se o nome do último
usuário a fazer logon no computador exibe na janela de logon do Windows.
4.4. WSUS
Windows Server melhora a segurança aplicando atualizações de segurança aos
servidores na hora certa. Ele fornece a infraestrutura para baixar, testar e aprovar as
atualizações de segurança. A aplicação de atualizações de segurança de forma rápida ajuda
a evitar incidentes de segurança que resultam de vulnerabilidades conhecidas. Durante a
implementação do WSUS, você deve se lembrar dos requisitos de hardware e software do
WSUS, das configurações a serem definidas e das atualizações a serem aprovadas ou
removidas de acordo com as necessidades da organização.
Definição do WSUS
O WSUS é uma função de servidor incluída no sistema operacional Windows Server
2012 que baixa e distribui atualizações a clientes e servidores Windows. O WSUS pode obter
atualizações aplicáveis ao sistema operacional e a aplicativos comuns da Microsoft como
Microsoft Office e Microsoft SQL Server.
Na configuração mais simples, uma organização pequena pode ter um único servidor
do WSUS que baixa atualizações do Microsoft Update. O servidor do WSUS então distribui
as atualizações a computadores que estão configurados para obter atualizações automáticas
desse servidor. Você deve aprovar as atualizações para que os clientes possam baixá-las.
Os requisitos mínimos de hardware para o WSUS são quase iguais aos requisitos
mínimos de hardware para os sistemas operacionais do Windows Server. No entanto, é
preciso considerar o espaço em disco como parte de sua implantação. Um servidor do WSUS
exige cerca de 10 GB de espaço em disco e você deve alocar pelo menos 30 GB de espaço
em disco para as atualizações baixadas.
quádruplo podem oferecer suporte a até 100.000 clientes. No entanto, na maioria das vezes,
uma organização com tantos clientes assim provavelmente terá vários servidores do WSUS
para reduzir a carga nos links WAN (rede de longa distância).
Além de configurar a fonte das atualizações, você também pode usar um GPO para
definir as seguintes configurações:
Administração do WSUS
O console de administração do WSUS é um snap-in MMC que é possível usar para
administrar o WSUS. Use essas ferramenta para:
Grupos de computadores
Grupos de computadores são uma maneira de organizar os computadores nos quais
um servidor do WSUS implanta atualizações. Os dois grupos de computadores que existem
por padrão são Todos os Computadores e Computadores Não Atribuídos. Novos
computadores que contatam o servidor do WSUS são atribuídos automaticamente aos dois
grupos.
Aprovação de atualizações
A configuração padrão do WSUS não aprova automaticamente as atualizações de
aplicativos nos computadores. Embora seja possível aprovar as atualizações
automaticamente, isso não é recomendável. O processo recomendado para aprovar
atualizações é primeiro testar as atualizações em um ambiente de laboratório, depois em um
grupo piloto e somente depois no ambiente de produção. Esse processo reduz o risco de uma
atualização gerar um problema inesperado no ambiente de produção. Execute esse processo
aprovando atualizações para grupos específicos de computadores antes de aprová-las para
o grupo Todos os Computadores.
Se você aplicar uma atualização e achar que ela está causando problemas, será
possível usar o WSUS para removê-la. No entanto, a atualização só poderá ser removida se
ela oferecer suporte à remoção. A maioria delas permite a remoção.
Observando os detalhes de uma atualização, você saberá se ela foi substituída por
outra. As atualizações substituídas geralmente não são mais necessárias, pois uma mais nova
incluirá as alterações dessa atualização e muito mais. As atualização substituídas não são
recusadas por padrão, pois em alguns casos, elas ainda são necessárias. Por exemplo, a
atualização mais antiga pode ser necessária se alguns servidores não estiverem executando
o service pack mais recente.
Distribuições Linux
Quando o Linus Torvalds desenvolveu o primeiro Linux, em agosto de 1991, o sistema
operacional era essencialmente constituído de seu Kernel e algumas ferramentas GNU. Com
a ajuda de outros, Torvalds adicionou mais e mais ferramentas e aplicações.
Atualmente, criar e vender distribuições Linux são um negócio muito lucrativo. Você
pode comprar versões em caixas de companhias como Suse, Red Hat, Mandrake e outras
tantas. Você pode ainda, fazer o download do Linux.
NOTA: Não é possível realizar uma comparação para definir qual distribuição é melhor
e qual é pior. Cada uma delas prioriza um aspecto. Assim, a escolha da distribuição deve levar
em conta o propósito da instalação, ou seja, qual será a funcionalidade da máquina onde será
instalado o Linux
6. CENTOS: O CentOS é uma Distribuição Linux baseada nas fontes do Red Hat
Enterprise Linux (RHEL), livremente disponibilizados sob licenciamento GPL. Cada
versão do CentOS é suportada por um período de 7 anos (atualizações de segurança),
sendo um novo release disponibilizado a cada 2 anos (atualizado a cada seis meses,
aproximadamente). O CentOS possui como foco principal o seu uso em Servidores,
sendo considerado uma Distribuição muito segura, confiável e com baixa manutenção,
muito utilizado no meio Corporativo, e com boa parte das características do Red Hat,
(excetuando-se os seus Serviços).
7. Gentoo Linux: O Gentoo é uma distribuição livre de Linux versátil e rápida, guiada
por desenvolvedores e profissionais de redes. Ao contrário de outras distribuições, o
Gentoo possui um sistema de gerenciador de pacotes avançados, chamado Portage.
O Portage é um sistema portado do tradicional BSD, entretanto é baseado na
linguagem Python e suporta uma grande quantidade de características, incluindo
dependências, falsas instalações, perfis de sistemas e muitos outros.
8. The Slackware Linux Project: A versão oficial do Slackware Linux, por Patrick
Volkerding, é um sistema operacional avançado, desenvolvido com dois propósitos
principais de fácil uso e estabilidade. Uma grande variedade de ferramentas de
desenvolvimento, editor e bibliotecas estão incluídas para os usuários que desejam
desenvolver ou compilar softwares adicionais no Slackware.
Além destas distribuições Linux citadas acima, abaixo serão mostradas os três “BSDx
Flavors”: Seus principais focos são, respectivamente: Servidores, segurança e porte de
sistemas.
11. NetBSD: O NetBSD é um porte do sistema operacional open source Unix-Like livre e
seguro para muitas plataformas, desde AlphaServer 64-bit até sistemas desktops para
Convém ressaltar aqui que a família Unix BSD, compreendem uma outra categoria de
sistemas operacionais OpenSource, com licenciamento, objetivos e funcionalidades
diferentes do Linux. Sistemas “BSD” privilegiam o uso em Servidores e costumam exigir
pesadas configurações para uso em desktop.
Kernel
Entendendo o Kernel
O Kernel de um sistema operacional é entendido como o seu núcleo ou coração do
sistema operacional. Ele representa o nível mais baixo de troca de mensagens com o
Hardware, sendo responsável por todo o gerenciamento dos recursos do sistema operacional.
No Kernel estão definidas as formas de operação com todos os periféricos, gerenciamento de
memória, interrupções e outros.
ONDE:
a) VERSION: Número principal (raramente muda);
b) PATCH LEVEL: Indica mudanças importantes no funcionamento do kernel do Linux.
Se ímpar, indica um kernel experimental, se par, então é um kernel considerado
estável (“de produção”).
c) SUBLEVEL: Sua evolução indica o suporte a novos dispositivos, bem como correção
de bugs e pequenos melhoramentos no sistema.
d) EXTRA VERSION: Usado quando desejamos diferenciar duas compilações de um
kernel de mesma versão, a fim de constituírem dois diretórios de módulos separados.
Como mostrado acima, a série de Kernel que possui o número do “Patch Level”, par,
é considerada um “Kernel de produção” assim, as séries 2.0.X, 2.2.X, 2.4.X e 2.6.X são
consideradas, séries de Kernel estáveis. Os números ímpares representam as séries de
desenvolvimento.
Por um longo período, enquanto o Kernel 2.4 era a série estável, o Kernel 2.5 estava
sendo desenvolvido de forma a avançar para a atual série estável 2.6.
Para sabermos qual Kernel estamos utilizando em nossa máquina, podemos utilizar o
comando abaixo.
uname –r
Módulos do Kernel
No Linux os drivers, doravante aqui chamados módulos, ficam em um diretório, de
mesma versão numérica do kernel e situados em “/lib/modules”. Estes módulos fornecem o
suporte ao hardware e a todos os demais dispositivos (ex.: sistemas de arquivos), que devem
ser manipulados pelo sistema operativo, sendo construídos junto com o kernel. Assim, por
exemplo, caso existam as versão numéricas de kernel compiladas no sistema “2.6.20”, e
2.6.21” existirão dois diretórios de mesma versão em /lib/modules
O comando lsmod
O comando lsmod, lista os módulos do kernel que estão atualmente carregados na
memória e, portanto, fornecendo suporte a algum tipo de dispositivo. Abaixo, um fragmento
da saída deste comando:
Comando modprobe
O Comando modprobe, possui uma série de funções úteis no sistema. É um comando
multifuncional que permite diversas funções, dependendo de suas opções de comando:
Comando: modprobe “modulo” (carrega o módulo e suas dependências).
Exemplo: modprobe 8139too (carrega o módulo da interface de rede Realtek 8139).
Comando modinfo
O comando modinfo, permite obter informações variadas dos módulos. Seguem
abaixo, alguns exemplos:
Comando rmmod
O comando rmmod, permite remover um módulo da memória, porém ao contrário do
“modprobe”, este comando apenas remove o módulo, sem cuidar de suas
dependências:
Comando: rmmod “modulo”
Comando insmod
O comando insmod, permite carregar um módulo da memória, porém ao contrário do
“modprobe”, este comando apenas carrega o módulo, sem cuidar de suas dependências:
Comando: insmod “modulo
Comando depmod
O comando depmod, verifica as dependências de um módulo, e cria o arquivo
modules.dep, que lista as dependências dos módulos. Este arquivo fica na raiz do diretório
dos módulos (isto é, em “/lib/modules/versão do kernel”). Sempre que adicionarmos um novo
módulo ao kernel, devemos recriar este arquivo, usando para isto o comando abaixo:
Comando: depmod –a
Embora, seja sempre mais aconselhável utilizar o kernel oficial, fornecido pela própria
distribuição utilizada, existem algumas situações onde a compilação de um novo kernel
poderá ser uma opção interessante. São elas:
Pré-requisitos
O processo de compilação do kernel varia bastante, conforme Distribuição utilizada.
Sendo assim, tudo o que for discutido, a partir deste ponto é valido apenas para a Distro
CentOs (e, obviamente, para as Distribuições RedHat e Fedora também), devendo ser
reconsiderado, no caso de outras Distribuições.
Pacotes de Desenvolvimento
Além das fontes do Kernel (baixado do kernel.org), precisamos ainda dos seguintes
abaixo:
Pacote Desenvolvimento em C: Contém as ferramentas para a compilação (make,
automake e GCC);
Dependendo do tipo de instalação que foi feito (ex.: completa, mínima, etc), estes
pacotes poderão ou não se encontrar instalados. Para verificar se já se encontram instalados
e para instalar algum pacote, caso seja necessário, utilize, respectivamente, os comandos
abaixo:
rpm -qa | grep pacote
yum install gcc make bison ncurses-devel rpm-build
Onde:
Pacote: É o nome do pacote, a ser pesquisado/instalado
Procedimentos Genéricos
A compilação do kernel no CentOs, envolve os seguintes procedimentos abaixo:
Passo 1: Instalar as dependências:
yum install gcc make bison ncurses-devel rpm-build
Este é o método mais utilizado para a configuração do kernel do Linux, e o que será
adotado aqui. Cada opção corresponde a um módulo de kernel a ser compilado. Estas opções
permitem ao usuário, três possíveis decisões:
Opção marcada com um “(X)”: Neste caso o módulo será criado dentro do próprio
kernel (“builtin”). Desta forma, o módulo será carregado automaticamente no boot,
junto com o próprio kernel.
Opção marcada com um “(M)”: Neste caso o módulo será criado separado do kernel,
podendo ser carregado após o boot via comando ‘”modprobe” ou, durante boot, via
arquivo “initrd”.
Opção marcada com um “( )”: Neste caso o driver não será compilado não estando,
portanto, disponível nem no kernel, nem como módulo.
Opção Descrição
Existem muitas opções dentro dos itens acima listados. É recomendado que você leia
com atenção cada um deles. Se um item não tiver o nome auto-explicativo, você sempre
poderá usar a ajuda para ele, encontrada na parte de baixo da janela de configuração.
Após escolher todas as opções necessárias, você deve salvar suas opções,
abandonar o “menuconfig” e compilar o Kernel propriamente dito.
Passo 11: Copiar o kernel novo e demais arquivos, para o diretório "/boot":
cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.39
cp .config /boot/config-2.6.39
cp System.map /boot/System.map-2.6.39
Passo 12: Criar agora o arquivo initramfs, para o kernel recém compilado (sistema de
arquivos Raiz temporário:
dracut /boot/initramfs-2.6.39 2.6.39
Passo 13: Editar o arquivo /boot/grub/menu.lst, adicionando uma nova entrada para
o kernel novo compilado, afim de que este se torne disponível no menu de inicialização do
grub, durante o boot (pode ser preciso ajustar de acordo com o sistema):
vim /boot/grub/menu.lst
title CentOS (2.6.39)
root (hd0,2)
kernel /boot/vmlinuz-2.6.39 ro root=UUID=efc89d92-5324-4d74-93b4-411ede462387
rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=br-abnt2 LANG=pt_BR.UTF-8 rd_NO_MD quiet
SYSFONT=latarcyrheb-sun16 rhgb crashkernel=128M rd_NO_LVM rd_NO_DM
initrd /boot/initramfs-2.6.39
Observação:
Pode ser preciso que se refaçam as dependências do kernel default. Isto será
confirmado, caso, após o reboot, não estejam disponíveis os módulos das interfaces de rede.
Para isso, execute (caso seja preciso) o comando abaixo e, uma vez mais, reinicie o sistema:
depmod -a
Requisitos de Hardware
Por este motivo, é possível instalarmos o Linux em máquinas com baixo poder
computacional ou até mesmo aquelas máquinas mais antigas.
Por exemplo, se quisermos usar o sistema básico do Linux, apenas como servidor de
impressão, iremos necessitar de um hardware mínimo completamente diferente ao necessário
para instalarmos uma estação de trabalho para usarmos gráfico e vídeo. Ou seja, em outras
palavras, os requisitos mínimos irão variar de acordo com a utilização do sistema operacional.
O espaço em disco rígido é outro ponto bom no Linux. Por ser um sistema dividido em
pacotes, podemos escolher somente aqueles que iremos utilizar. Desta maneira podemos
economizar muito espaço e assim seremos capazes de instalar o sistema em discos rígidos
com capacidades máximas de 500MB, por exemplo.
Processador:
Intel: Pentium 4 ou Xeon.
AMD: Duron, Athlon, Athlon XP, Athlon MP, Athlon 64, Sempron ou Opteron.
Memória RAM: Mínimo de 512MB (1GB recomendado).
Disco Rígido: 500MB para a instalação mínima do sistema básico. 2.5GB
recomendado para a instalação do sistema padrão.
Placa de vídeo e som: Possui suporte a grande maioria das placas atuais.
Opção Descrição
Conceitos de SSH
O SSH (Secure Shell) é um protocolo usado para realizar logins remotos e outros
serviços de rede, de forma segura.
Este protocolo foi desenvolvido para ser utilizado no topo da camada de transporte
SSH e dos protocolos de autenticação de usuários.
Ele provê sessões de login interativas, execução de comandos remotamente,
conexões de encaminhamento TCP/IP e encaminhamento de conexões X11.
A camada de transporte SSH, a qual é utilizada pelas aplicações seguras, define um
protocolo de transporte seguro, como já foi dito.
Este protocolo provê uma criptografia muito forte, autenticação de host através de
chaves criptografadas e proteção de integridade.
A autenticação deste protocolo é feita baseada nos hosts, ou seja, ele não realiza a
autenticação dos usuários. Um protocolo de alto nível pode ser usado para providenciar a
autenticação dos usuários. Protocolo o qual, será utilizado sobre o SSH.
O protocolo SSH foi desenvolvido para ser simples e flexível, permitindo parâmetros
de negociação e minimizando o número de round-trips .
Os métodos de troca de chaves, algoritmo de chave pública, algoritmo simétrico de
encriptação, algoritmo de autenticação de mensagem e algoritmo hash são todos negociados.
É esperado que, na maioria dos ambientes, apenas dois round-trips sejam
necessários para realizar a troca de chaves, autenticação de servidor, requisição de serviço
e notificação de aceitação do serviço requisitado. Na pior das hipóteses, podem acontecer
três round-trips . Entenda-se por round-trip o caminho de ida e volta percorrido, ou seja, o
caminho entre o host de origem e o host de destino.
O OpenSSH
O OpenSSH é uma versão do conjunto de ferramentas de conectividade de rede que
utilizam o protocolo SSH. Os usuários e novos adeptos de tais ferramentas estão em
constante crescimento na Internet.
Muitos usuários de programas como telnet, rlogin e ftp podem não perceber que suas
senhas estão sendo transmitidas através da Internet sem utilizar criptografia, mas na verdade
estão.
Além destes programas usados pelos clientes, ele também provê o sshd, que é o
servidor e outros utilitários básicos como o ssh-add, ssh-agent, ssh-keysign, ssh-keyscan,
ssh-keygen e o servidor sftp-server.
O OpenSSH suporta as versões 1.3, 1.5 e 2.0 do protocolo SSH.
Comandos Básicos
O Linux possui uma ampla infinidade de comandos que podem ser utilizados. É
possível administrar o sistema inteiro somente através destes comandos disponibilizados no
modo texto.
Veremos aqui os comandos mais básicos para a utilização do sistema operacional.
ls
O comando ls é utilizado para listar o conteúdo dos diretórios do sistema operacional.
Ou seja, este comando lista os arquivos contidos no diretório alvo. Sua sintaxe é a
seguinte:
ls [opção] [arquivo]
As cores do comando ls
Normalmente, ao executarmos o comando “ls” este apresenta uma saída colorida.
Alguns arquivos são listados com uma cor, outros com outras. As cores do comando “ls”,
servem para indicar o tipo de arquivo com que estamos lidando. Observe a tabela abaixo:
Cor Significado
Branco/Preto Arquivo Texto.
Azul Forte Diretório.
Azul Claro Link (“Atalho”).
Verde Permissão de Execução Ativada.
Amarelo Arquivo de Dispositivo.
Roxo Socket.
Laranja Arquivo Compactado (“zipado”), ou pacote de software.
Vermelho Permissão Especial Ativada (“Suid”).
cd
Este comando é usado para mudar o diretório de trabalho atual.
O comando cd muda o diretório de trabalho do ambiente de execução atual.
Sua sintaxe é a seguinte:
cd [directory]
pwd
O comando pwd mostra o diretório corrente em que o usuário se encontra. Este
comando é muito útil para podermos identificar o lugar do sistema operacional que estamos
trabalhando.
Sua sintaxe é simples, como abaixo:
pwd
mv
Este comando é utilizado para movermos arquivos de um lugar para outro, e também
para renomearmos arquivos.
A sintaxe para este comando, se utilizarmos sua funcionalidade de renomear será:
mv [option] nome_original nome_final
O comando acima irá renomear o arquivo do parâmetro nome_original para
nome_final.
A sintaxe utilizada quando vamos mover um arquivo de um lugar para outro será:
mv [option] arquivo diretório_destino
As opções que podem ser utilizadas nos dois casos são as seguintes:
Opção Descrição
-f Não pergunta antes de sobrescrever arquivos existentes.
--replay={yes, no, query} Especifica como lidar com o prompt sobre um arquivo
existente.
-u Move apenas quando o arquivo de origem for mais recente
que o destino ou quando o arquivo não existe no destino.
-v Modo verbose, ou seja, mostra tudo o que está sendo feito.
-i Modo interativo, sempre pergunta antes de sobrescrever.
cp
O comando cp é utilizado para copiar arquivos e diretórios. Sua sintaxe é a seguinte:
cp [options] origem destino
Onde o parâmetro origem pode ser um arquivo ou diretório que será copiado para
destino. As opções para esse comando são as seguintes:
Opção Descrição
-f Se o destino não puder ser aberto, remove-o e tenta novamente.
-i Modo interativo, pergunta o que fazer caso necessite sobrescrever.
-H Segue os links simbólicos na linha de comando.
-l Cria link para os arquivos ao invés de copiá-los.
-R Copia os arquivos recursivamente.
-s Cria links simbólicos ao invés de copiar os arquivos.
-u Apenas cópia se a origem for mais nova que o destino.
-v Mostra tudo o que está sendo feito pelo comando.
rm
Este comando é utilizado para remover arquivos e diretório. Por padrão ele não é
capaz de remover diretórios, apenas arquivos. Para remover diretório é necessário passar um
determinado parâmetro para ele. Além disso, o diretório que será removido deve estar vazio.
Desta forma, se quisermos apagar um diretório que possui diversos arquivos dentro
dele, podemos fazer assim:
rm -rf nome_diretório
O comando acima irá remover todo o conteúdo do diretório nome_diretório e depois
ele próprio.
Nota: Para remover arquivos que comecem com um hífen (-) é necessário realizar a
operação com o -- ou ./, conforme o exemplo abaixo. Além disso, os arquivos removidos
geralmente podem ser recuperados. Se você quiser ter certeza que o arquivo não será
recuperado, pode utilizar o comando shred.
# rm -- -arquivo_com_hifen
# rm ./-arquivo_com_hifen
Se não utilizarmos o comando shred para excluir um arquivo, este pode, na maioria
das vezes, ser recuperado.
Os arquivos são, na verdade, atalhos para endereços de bloco onde os dados
realmente estão armazenados. Desta forma, quando se exclui um arquivo, a operação
realizada e a exclusão deste atalho.
Os blocos são controlados por diversas flags, entre elas existe a que define se um
bloco pode ou não ser usado, ou seja, se não possui ou possui dados nele.
A recuperação pode ser feita de duas formas: a primeira delas, e a menos segura, é
definir a flag, que controla o estado do bloco como sendo um determinado bloco, não excluído.
A segunda forma define que é necessário encontrar o bloco e então copiar ele para um arquivo
qualquer.
touch
O comando touch é usado para atualizar o acesso e modificar a data de cada arquivo
para a data atual, ou também, criar um arquivo vazio.
A sintaxe usada para este comando é a seguinte:
du
O comando du é utilizado para mostrar a quantidade de espaço, em disco, ocupado
pelos arquivos. Sua sintaxe é a seguinte:
du [opção] arquivo
mkdir
Comando usado para criar diretórios que não existem.
Sua sintaxe é a seguinte:
mkdir diretório
O comando acima irá criar um diretório com o nome especificado no parâmetro
diretório.
rmdir
O comando rmdir é utilizado para remover um diretório, entretanto o diretório precisa
estar vazio para que isso aconteça.
cat
O comando cat é usado para concatenar arquivos e imprimir sua saída. Sua sintaxe:
cat [option] arquivos
tac
O comando tac é semelhante ao comando cat, entretanto ele mostra o conteúdo dos
arquivos de forma reversa.
more
O comando more é usado como um filtro de arquivos. O conteúdo do arquivo é exibido
em uma página e o resto do arquivo não é mostrado enquanto o usuário não pressionar uma
tecla. Esse comando permite visualizar grandes arquivos página a página. A sintaxe básica
para este comando é a seguinte:
more [options] arquivo
Opção Descrição
Uma vez chamado o comando more, iremos entrar no modo interativo dele. Dentro
deste modo podemos utilizar alguns comandos que irão nos auxiliar a gerenciar nosso texto,
conforme a tabela, a seguir:
Comando Descrição
h Mostra o conteúdo da ajuda.
<ESPAÇO> Mostra as próximas linhas, em geral, preenche a tela inteira.
<ENTER> Mostra as próximas n linhas, o padrão é 1.
Q Sai do modo interativo.
S Avança no texto n linhas, o padrão é 1.
F Avança n telas de texto, o padrão é 1.
B Retorna n telas de texto, o padrão é 1. Funciona somente com
arquivos.
= Mostra o número da linha atual.
/ palavra Procura por palavra no texto.
N Procura a próxima ocorrência de palavra.
!<cmd> Executa um comando no shell.
V Inicia um editor de texto na linha atual.
less
O less é um comando que permite a navegação em um arquivo, permitindo que você
se movimente avance ou recue à vontade, dentro do mesmo. Além disso, o less não precisa
ler toda a entrada do arquivo antes de iniciar, assim, com arquivos muito grandes ele inicia
mais rápido do que editores de texto como o vi. Por utilizar o termcap, o less pode ser usado
em uma grande variedade de terminais.
cut
Este comando imprime apenas as partes selecionadas de cada linha de um
determinado arquivo para a saída padrão. Sua sintaxe é a seguinte:
cut [option] [File]
head
Este comando irá mostrar somente as dez primeiras linhas do arquivo. Sua sintaxe é
a seguinte:
head [option] arquivo
tail
Ao contrário do comando head, o comando tail imprime para a saída padrão, as últimas
10 linhas de um determinado arquivo. A sintaxe para este comando é a seguinte:
tail [option] arquivo
sort
O comando sort é usado para concatenar arquivos de forma organizada. Ele é capaz
de organizar as linhas dos arquivos. Sua sintaxe é a seguinte:
sort [options] arquivo
wc
Este comando é utilizado para contar o número de linhas, bytes e palavras de um
arquivo e o total de linhas se mais de um arquivo for passado no parâmetro. Sua sintaxe é a
seguinte:
wc [options] Arquivo
grep
Este comando é utilizado para procurar palavras em arquivos.
Sua sintaxe é a seguinte:
grep [options] pesquisa [arquivos]
O grep irá procurar pela string pesquisa em todos os arquivos. Encontrando ele exibe
o resultado. As seguintes opções podem ser utilizadas por este comando:
Opção Descrição
-A Num Imprime Num linhas depois de encontrar a string procurada.
-a Processa arquivos binários como se fossem arquivos de texto.
-B Num Imprime Num linhas antes de encontrar a string procurada.
-C Num Imprime Num linhas antes e depois de encontrar a string procurada.
--colour Imprime o resultado encontrado em cores.
-c Ao invés de mostrar a saída padrão, mostra o número de
ocorrências da palavra encontrada.
-i Não faz distinção entre letras maiúsculas e minúsculas.
Ao invés de mostrar a saída padrão, mostra o nome dos arquivos
-L onde não encontrar a palavra procurada.
-l Ao invés de mostrar a saída padrão, mostra o nome dos arquivos
onde encontrar a palavra procurada.
-m Num Para de ler o arquivo se encontrar Num vezes a palavra procurada.
-n Imprime o número da linha onde a palavra procurada foi encontrada.
-o Mostra apenas a parte da palavra encontrada, ou seja, se
procurarmos por “cas”, as palavras “casa”, “casaco” e “casca” irão
retornar apenas “cas".
-q Executa no modo silencioso, ou seja, não imprime nada na saída
padrão.
-r Efetua a busca recursiva.
O comando acima, nos mostra o código 500 que é a representação numérica para o
usuário tux, ou seja, sempre que visualizarmos um UID (User Identifier) será referente ao
usuário.
Depois, podemos ver o mesmo código 1000, entretanto este código está se referindo
ao “Grupo do Primário” do usuário GID (Group Identifier), e o nome do grupo, (tux).
Após o grupo primário, criado juntamente com o novo usuário, são mostrados os outros
grupos os quais o usuário pertence, como por exemplo, o grupo dialout que possui o GID
20.
Nota: Lembre-se que um usuário possui um UID único, ou seja, este código não se
repete nunca e só pode ser atribuído a um usuário. Além disso, um usuário pode pertencer a
mais de um grupo.
Opção Descrição
Exemplo, para adicionar via modo texto o usuário “tux”, criando ao mesmo tempo o
seu diretório home, podemos usar o comando abaixo:
useradd –m tux
O Parâmetro “-m”, informa o sistema para criar também o diretório home deste usuário,
no caso, será criado o diretório “/home/tux”.
Grupos no Linux
Assim como criamos usuários no Linux, é possível criar grupos para reunir usuários
de mesmo interesse.
Em sistemas Unix, Grupos são utilizados para permitir o acesso a certos recursos do
sistema. Por exemplo, para que um usuário possa utilizar os recursos multimídia do sistema,
pode ser que este usuário precise pertencer ao grupo “áudio”, que controla o acesso à placa
de som e a unidade de CD/DVD. Esta sistemática de controle de acesso é uma prática
constante no Linux.
Se quisermos saber a quais grupos um usuário pertence, podemos utilizar o comando
id, visto previamente, ou então utilizar o comando groups.
O comando groups exibe os grupos que um determinado usuário está.
Abaixo podemos ver a utilização deste comando.
# groups
tux dialout cdrom floppy audio video plugdev
A saída do comando acima irá mostrar o nome de todos os grupos que o usuário que
executou o comando, no caso o usuário “tux”, se encontra.
Se quisermos, podemos descobrir os grupos de outro usuário apenas passando o
nome do usuário como parâmetro, como abaixo.
# groups tux
tux cdrom áudio
Nota: É possível encontramos o campo da senha em branco. Isso significa que não é
necessário colocar uma senha na hora da autenticação, entretanto, algumas aplicações ao
encontrarem este campo vazio não permitem que o usuário efetue o login.
Como vimos acima, o sétimo campo define qual será o interpretador dos comandos do
usuário. Em geral utiliza-se o /bin/bash para esse fim.
Sendo utilizado este interpretador de comandos, cabe ressaltar mais alguns pontos
em relação a ele. Dentro o diretório do usuário poderá existir os seguintes arquivos:
1. .bashrc: Dentro deste arquivo ficam todos os comandos que serão executados
sempre que o usuário efetuar um processo de login com sucesso. Nele encontramos
definições de paths, aliases e outros.
# passwd
Este comando irá perguntar a senha atual e depois a nova senha do usuário.
Deleção de Usuário
Por fim, para removermos um usuário, podemos utilizar a ferramenta de linha de
comando userdel. O comando userdel possui algumas opções, abaixo indicadas:
Opção Descrição
-f Remove os arquivos mesmo que não pertençam à conta que está sendo
removida.
Administração de Grupos
Anteriormente vimos o conceito de grupos no Linux. Agora, nesta seção, veremos
como fazer o gerenciamento de grupos através no CentOs.
Se quisermos criar um novo grupo através da linha de comando, podemos utilizar o
comando groupadd. Abaixo o exemplo de como poderíamos criar um grupo “teste”:
# groupadd teste
Opção Descrição
Se, por outro lado, precisarmos adicionar um o usuário “tux” ao grupo “teste”,
precisamos apenas executar o comando abaixo:
# groupmod -A tux teste
Removendo um grupo
Se quisermos excluir o grupo através da linha de comando, podemos usar o comando
groupdel. Abaixo segue um exemplo.
# groupdel teste
Pesquisa de Pacotes
Comando: rpm -qa (procura por todos os pacotes)
Comando: rpm -qa | grep squid (procura por um pacote específico)
Comando: rpm -qf /etc/hosts (descobre a qual pacote, um arquivo pertence)
Instalação de Pacotes
Comando: rpm -i pacote.rpm (instalação apenas)
Comando: rpm -ivh pacote.rpm (instalação com barra de progresso)
Comando: rpm -i(-ivh) pacote.rpm –force (ignora dependências)
Além disso, existe ainda a opção -f (force), que permite a instalação de um pacote,
ignorando eventuais dependências não satisfeitas. Esta opção deve ser utilizada com muito
cuidado, pois pode inclusive, danificar a base rpm do sistema.
Upgrade de Pacotes
Comando: rpm -U pacote.rpm (atualização, apenas)
Comando: rpm -Uvh pacote.rpm (atualização com barra de progressos)
Comando: rpm -U(-Uvh) pacote.rpm –force (ignora dependências)
Desinstalação de Pacotes
Comando: rpm -e pacote (remoção, apenas)
Comando: rpm -e pacote –nodeps (ignora dependências)
Dessa forma, se quisermos, por exemplo, o nosso pacote recém instalado, grup,
utilizaremos o comando que segue:
rpm –e ntp
“Note que, agora, devemos informar APENAS o nome do pacote, sem informar sua
extensão (pois, uma vez que o software já se encontra instalado, não existe mais pacote)
“.rpm”.
Caso ocorra de querermos remover um pacote, entretanto não lembrarmos o nome
completo dele, podemos fazer uma pesquisa na base de dados dos pacotes instalados. Isso
é possível com a sintaxe abaixo:
Comando: rpm –qa | grep –i pacote
O parâmetro –i, passado para o comando grep indica que não queremos fazer
distinção entre maiúsculas e minúsculas. Abaixo, como exemplo, ilustramos como procurar e
saber se existe um pacote chamado xmms no nosso sistema:
rpm –qa | grep –i xmms
Ferramenta Distribuição
APT DEBIAN
APTITUDE DEBIAN
YUM REDHAT (CentOs)
YAST SUSE
ZYPPER SUSE
Ferramentas de Gerenciamento de Dependências
O YUM irá procurar e instalar o postfix e todas as suas dependências, a partir da lista
de servidores de ftp, existente a partir de “/var/cache/yum”.
Uma vez decidido que compilar o software seja o mais indicado, devemos proceder,
de acordo com o indicado, logo a seguir:
O comando acima fará com que os arquivos binários sejam copiados para os diretórios
específicos do sistema, como por exemplo, o diretório /usr/local/bin, onde podemos
encontrar diversos outros programas.
Nota: Procure manter seu sistema atualizado, preferencialmente através dos pacotes
RPM, ou então, através das fontes compiladas. Misturar ambas as formas de atualização
certamente trará problemas com versões de software.
O CentOs permite que boa parte das tarefas administrativas possam ser realizadas,
através do modo gráfico, em um modo alternativo ao uso das populares ferramentas de linha
de comando Unix. Estas ferramentas podem ser encontradas a partir do diretório “/usr/bin”,
conforme podemos observar, através do comando a seguir:
system-cdinstall-helper
system-config-authentication
system-config-date
system-config-display
system-config-httpd
system-config-keyboard
system-config-language
system-config-network
system-config-network-cmd
system-config-nfs
system-config-printer
system-config-samba
system-config-securitylevel
system-config-securitylevel-tui
system-config-services
system-config-soundcard
system-config-time
system-config-users
system-control-network
system-install-packages
[root@localhost bin]#
O Webmin é uma ferramenta muito conveniente para você gerenciar o seu sistema.
Ela pode também auxiliar a configuração de arquivos de servidores, como o Samba, DNS e
outros.
Depois de instalado, para acessarmos o Webmin precisamos apenas abrir um
navegador como, por exemplo, o Firefox e então digitar o endereço
http://localhost:10000. A figura 9 abaixo ilustra a tela que irá ser exibida depois de
digitarmos o endereço:
Para efetuar o login é necessário usar o usuário root e sua respectiva senha.
Depois de preenchido os campos necessários, precisamos pressionar o botão “Login”.
A figura abaixo ilustra a tela principal da ferramenta, ou seja, após o login:
Na parte superior podemos encontrar o menu principal, indicado pela seta mais acima
direcionada para a esquerda. Neste menu é possível fazer a navegação no Webmin, ou seja,
este menu agrupa os módulos de configuração por afinidade.
Na parte central da tela é exibido o conteúdo do menu selecionado, indicado pela seta
mais abaixo. Cada menu possui um conjunto de módulos para a configuração.
Para ficar mais clara a explicação, vamos supor que desejamos configurar um servidor
SSH. Assim, primeiro iríamos selecionar o menu dos servidores e depois o módulo de
configuração do servidor SSH.
Após selecionar o módulo desejado, uma nova tela será exibida contendo os menus
de configuração do servidor. A figura 11 abaixo ilustra a configuração para o servidor SSH.
7.1. DHCP
Como é sabido, todos os dispositivos que estiverem em uma rede, seja ela local ou
não, devem possuir um endereço IP. A forma como estes dispositivos recebem o seu
endereço IP pode ser feita através de uma configuração manual ou através de um protocolo
de auto-negociação de rede.
Assim, iremos abortar a seguir os dois tipos de endereçamento IP existentes: o
endereçamento através de IP estático e através de IP dinâmico.
IPs Estáticos
Os endereços IPs estáticos são aqueles que devem ser configurados, previamente,
pelo administrador do sistema e não irão mudar no decorrer do tempo sem a intervenção
humana. Em outras palavras, ao definir um endereço IP estático, ele somente i rá mudar caso
alguém altere ele manualmente, caso contrário, ele será sempre o mesmo.
Um problema comum, encontrado devido ao uso dos endereços IP estáticos, é o
conflito de endereços causado por eles. Ou seja, se tivermos dois dispositivos de rede, na
mesma rede, configurados com o mesmo endereço IP, teremos um conflito, pois o endereço
IP deve ser único dentro de uma determinada rede.Assim, quando um dos dispositivos
for iniciado, o outro que já estava em funcionamento irá perder o seu endereço IP, pois o que
recém foi ligado irá utilizar ele.
Este é um problema comumente encontrado em grandes redes que utilizam endereços
IP estáticos. Isto porque fica a cargo do administrador manter um mapeamento de todos os
dispositivos que se encontram na rede e seus r espectivos endereços IP.
No Linux, a configuração estática do endereço IP pode ser feita através da
configuração do dispositivo de rede.
Dentro do diretório /etc/sysconfig/network-scripts, encontramos uma série de arquivos
de configuração de rede.
Entre eles, podemos visualizar os arquivos de configuração dos dispositivos de rede,
como por exemplo, uma placa de rede.Estes arquivos começam com ifcfg, depois o
identificador do tipo de dispositivo, Por exemplo, para a interface eth0, o seu arquivo de
configuração seria:
ifcfg-eth0
Se adicionarmos esta linha ao arquivo, então estamos definindo que a nossa interface
de rede possuirá o endereço IP estático 192.168.0.6.
IPs Dinâmicos
Ao contrário dos IPs estáticos, os endereços IP dinâmicos podem sofrer alterações ao
longo do tempo sem que isso seja feito pelo administrador do sistema. Este tipo de
endereçamento dos dispositivos de rede é feito através de um protocolo de rede chamado
DHCP.
Com os valores acima, definimos que a opção BOOTPROTO deverá usar o protocolo
DCHP e a opção IPADDR deverá ficar sem valor. Ou seja, usando o DHCP, o endereço IP
do dispositivo será determinado pelo servidor DHCP que veremos posteriormente.
Além destas configurações, é possível a uma interface configurada com endereço IP
estático, obter um endereço IP dinâmico. Isto é possível através de uma aplicação especial
de nome “Cliente de DHCP”. Existem, atualmente, dois clientes DHCP, mais utilizados no
mundo Linux:
O comando acima irá levantar a interface de rede eth0 e irá atribuir as informações
de rede advindas do servidor DHCP, à ela.Se quisermos solicitar um novo endereço de rede
para o servidor DHCP, podemos, ainda, utilizar o comando abaixo.
dhclient eth0 new
O comando acima ivai instalar o servidor dhcp bem como suas eventuais
dependências, bastando para isto confirmar, quando solicitado.
Esta linha define que o gateway padrão da rede é o dispositivo com o endereço IP
192.168.1.100.
Para ser capaz de resolver os nomes dos hosts, é necessário que um cliente DNS seja
configurado. Isto é feito através das linhas abaixo:
option domain-name-servers 8.8.8.8;
option domain-name “sisnet.com.br”;
Usando as opções
Depois de vistas algumas opções iniciais, vamos colocar todas elas juntas no arquivo
/etc/dhcpd.conf:
# A slightly different configuration for an internal subnet.
subnet 192.168.5.0 netmask 255.255.255.0 {
range 192.168.5.128 192.168.5.240;
option domain - na me- servers 8.8.8.8;
Li nux Professional Serviços de Internet
SSLXPI – CentOS 6.2 - v1.0 Página 34
option domain - name "sisnet.com.br";
option routers 192.168.6.250;
option broadcast- address 192.168.6.255;
default- lease- time 600;
max- lease- time 7200;
}
Concluída esta última alteração, é necessário reiniciar o servidor DHCP para que as
novas opções entrem em vigor:
service dhcpd restart
7.2. DNS
Os domínios TLD englobam o .com, .net, .org, co.uk e assim por diante. Estes
domínios contêm informações sobre os domínios de nível inferior no espaço de endereço
DNS.
Por exemplo, google.com está sobre o domínio do espaço de nome .com. A figura
abaixo ilustra a árvore do domínio administrativo
Existem diversos domínios de alto nível. Abaixo vamos listar os domínios mais
comuns:
1. Vamos pegar uma estação de trabalho qualquer. O servidor de nomes da rede possui
o endereço 192.168.0.2. Assim, quando nós digitamos o endereço www.google.com a
3. Então, o nosso servidor DNS público pergunta ao servidor DNS .com qual o endereço
IP de www.google.com. Como o servidor DNS .com não sabe o endereço diretamente,
ele indica para o nosso DNS o servidor DNS que controla o domínio google.com.
4. O nosso DNS então pergunta para o servidor DNS do domínio google.com se ele sabe
o endereço de www.google.com. Desta vez nós temos sorte, pois o servidor DNS sabe
o endereço e retorna ele para o nosso DNS.
5. Quando o DNS público conhece o endereço IP, ele passa adiante para o nosso
servidor DNS local (192.168.0.2) que finalmente passa para a nossa estação de
trabalho.
Caching
Conforme dito anteriormente, vamos explicar o significado do cache. Você pode estar
imaginando que com todas as máquinas do mundo requisitando o endereço IP de um site
famoso como o Google, por exemplo, isso irá impactar diretamente na performance dos
servidores DNS root, .com e Google.
Para combater esta sobrecarga, a maioria dos servidores DNS locais guardam o
resultado de uma requisição por um determinado período d e tempo, denominado TTL (Time
to Live). Até que este tempo termine, as requisições subsequentes para o endereço
www.google.com serão respondidas pelo servidor DNS local.
Zonas
De forma geral, uma zona é uma área administrativa. O significado de zona é similar
ao significado de domínio. Dependendo do ambiente de rede, este termo pode ter sentidos
diferentes.
No ambiente do DNS, uma zona é o espaço de nome alocado para um servidor
particular. Um arquivo de zona possui instruções para resolver os nomes de domínios
específicos na Internet em endereços IP.
Assim, para podermos configurar e manter um servidor de nomes de maneira correta
é importante entendermos, bem, a diferença entre zona e domínio.
Como vimos acima, a zona é um ponto de delegação em uma árvore DNS. Uma zona
consiste naquela parte contínua da árvore do domínio, onde o servidor de nomes possui a
informação completa, e sobre o qual ele é autoritário.
Ele possui todos os nomes do domínio de certo ponto para baixo, na árvore de
domínios, exceto sobre aqueles domínios delegados para outras zonas. Um ponto de
delegação é marcado por um ou mais registros NS na zona pai, o qual deve ser comparado
exatamente com o registro NS na raiz da zona delegada.
Por exemplo, vamos imaginar o domínio sisnema.com.br, o qual possui um nome
como linux.sisnema.com.br e outro tux.sisnema.com.br, ainda assim, a zona sisnema.com.br
inclui apenas delegações para as zonas linux.sisnema.com.br e tux.sisnema.com.br.
Uma zona pode mapear, exatamente, para um único domínio, mas pode, também,
incluir apenas uma parte de um domínio, o qual o resto pode ser delegado para outros
servidores de nome.
Cada nome na árvore DNS é um domínio, mesmo que ele seja terminal, ou seja, não
tenha subdomínios. Todo subdomínio é um domínio e todo domínio, exceto o raiz, também e
um subdomínio.
Assim, o BIND é chamado um “servidor de nomes de domínios”, ou seja, DNS. Ele lida
primariamente com termos de zonas. Veremos o BIND mais detalhadamente a seguir.
Cada zona é servida por, pelo menos, um servidor de nomes autoritário, o qual contém
os dados completos para a zona. Para fazer com que o DNS seja tolerante a falhas dos
servidores e de rede, a maioria das zonas possui dois ou mais servidores autoritários.
O servidor autoritário, onde uma cópia mestre dos dados da zona é mantida, é
conhecido como servidor primário mestre, ou simplesmente primário. Ele carrega o conteúdo
de um arquivo local, editado pelos administradores ou gerado através de algum mecanismo,
a partir de algum outro arquivo local.
Este arquivo é chamado arquivo de zona ou arquivo mestre.
Servidores Escondidos
Para instalarmos o servidor DNS no CentOs, versão 6.2, primeiro precisamos conferir
se todos os pacotes se encontram instalados.
O nome do servidor é named, entretanto, o nome do pacote que contém o conjunto de
ferramentas necessárias para configurarmos um servidor DNS, é chamado bind. Assim,
devemos procurar por pacotes com este nome:
Caso o pacote servidor não tenha sido instalado, instale-o, com o comando a seguir:
yum install bind
Feita a instalação dos pacotes necessários, podemos efetuar a configuração do
servidor.
Configuração do BIND
Nesta versão do bind, a configuração de uma zona DNS é realizada em dois arquivos,
ambos existentes no diretório “/etc:
Assim, para declarar uma zona DNS, precisamos proceder, de acordo com o mostrado
abaixo:
Arquivo /etc/named.conf
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example name d configuration files.
//
options {
listen - on port 53 { 127.0.0.1; 192.168.6.0/24; };
listen - on - v6 port 53 { ::1; };
directory "/var/named";
dump- file "/var/named/data/cache_dump.db";
statistics- file "/var/named/data/named_stats.txt";
memstatistics- file "/var/named/data/named_mem_stats.txt";
allow- query { localhost; 192.168.5.0/24; };
recursion yes;
dnssec- enable yes;
dnssec- validation yes;
dnssec- lookaside auto;
/* Path to ISC DLV key */
bindkeys- file " /etc/named.iscdlv.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
...
zone "sisnet.com.br" IN {
type master;
file "sisnet.com.br.zone";
};
zone "6.168.192.in - addr.arpa" IN {
type master;
file "sisnet.com.br.rev";
};
Note que apenas a parte final do arquivo (que contém a zona DNS a ser declarada), é
mostrada, para fins de maior clareza. Os parâmetros mais importantes neste arquivo são:
Arquivo sisnet.com.br.zone
$TTL 3600
@ IN SOA instrutor.sisnet.com.br. hostmaster.sisnet.com.br. (
1 ; serial
3H ; refresh
1H ; retry
1W ; expiry
3H ) ; minimum
sisnet.com.br. IN NS ns.sisnet.com.br.
sisnet.com.br. IN MX 10 mail.sisnet.com.br.
sisnet.com.br. IN MX 20 mail2.sisnet.com.br.
instrutor IN A 192.168.6.200
mail IN A 192.168.6.200
mail2 IN A 192.168.6.201
ns IN A 192.168.6.200
ftp IN A 192.168.6.225
www IN A 192.168.6.225
www2 IN A 192.168.6.225
Tipos de Registros
Nos arquivos que configuramos as zonas, podemos encontrar uma série de registros.
Aqui, iremos explicar cada um deles. Observe o exemplo abaixo:
Arquivo sisnet.com.br.zone
$TTL 3600
@ IN SOA instrutor.sisnet.com.br. hostmaster.sisnet.com.br. (
1 ; serial
3H ; refresh
1H ; retry
1W ; expiry
3H ) ; minimum
sisnet.com.br. IN NS ns.sisnet.com.br.
sisnet.com.br. IN MX 10 mail.sisnet.com.br.
sisnet.com.br. IN MX 20 mail2.sisnet.com.br.
ftp IN A 192.168.3.225
www IN A 192.168.3.225
www2 IN A 192.168.3.225
squid IN A 192.168.3.225
dns IN A 192.168.3.225
ldap IN A 192.168.3.225
ssh IN A 192.168.3.225
nfs IN A 192.168.3.225
mail IN A 192.168.5.200
mail2 IN A 192.168.5.201
Neste arquivo acima, encontramos apenas três tipos de registros, entretanto, existem
mais. Assim, seguem os registros possíveis para os arquivos de zona:
SOA: Indica o servidor autoritário para a zona que está sendo configurada.
NS: Lista de servidores de nomes para a zona que está sendo configurada.
A: Mapeamento do nome para o endereço IP.
PTR: Mapeamento do endereço IP para o nome.
CNAME: Nome do alias para os hosts.
MX: Indica o servidor de e-mail da zona.
Os Registros MX
sisnet.com.br. IN MX 10 mail.sisnet.com.br.
IN MX 20 mail2.sisnet.com.br.
mail.sisnet.com.br. IN A 10.0.0.1
mail2.sisnet.com.br. IN A 10.0.0.2
De acordo com estas entradas, uma entrega de correspondência será tent ada para
os hosts mail.sisnema.com.br e mail2.sisnema.com.br , em qualquer ordem. Caso nenhum
dos dois obtenha sucesso, então o host mail.backup.org será tentado.
Zonas Reversas
As zonas reversas são utilizadas para converter os endereços IPs em nomes de host.
Assim, vamos pegar um trecho do nosso arquivo de configuração /etc/named.conf.
zone "3.168.192.in-addr.arpa" in {
file "master/3.168.192.in-addr.arpa";
type master;
};
Arquivo sisnet.com.br.rev
$TTL 2D
@ IN SOA sisnet.com.br. hostmaster.sisnet.com.br. (
1 ; serial
3H ; refresh
1H ; retry
1W ; expiry
3H ) ; minimum
6.168.192.in-addr.arpa. IN NS ns.sisnet.com.br.
200 IN PTR mail.sisnet.com.br.
Conforme a descrição acima, podemos perceber que na última linha possui uma
entrada para o registro PTR, o qual é responsável por efetuar o mapeamento do endereço IP
para um nome de host. Assim, podemos presumir que o endereço 192.168.3.225 será
mapeado para o nome mail.instrutor.com.br.
Master
zone "sisnet.com.br" in {
file "master/sisnet.com.br";
type master;
allow-transfer { 192.168.0.0/255.255.0.0; };
notify yes;
};
Slave
zone "sisnet.com.br" in {
file "slave/sisnet.com.br";
type slave;
masters { 192.168.6.200; };
};
Configurando o Apache
O principal arquivo de configuração do servidor Web Apache é um arquivo em texto
puro e está localizado em /etc/httpd/conf/httpd.conf. Este arquivo contém as diretivas para
controlar o comportamento de todo o servidor Web, páginas Web ou outros arquivos
necessários.
Seção de ambiente global: Diretivas que afetam todas as operações do servidor Web
Apache.
Seção de Host Virtual: Aqui você pode aplicar as mesmas opções de configurações
disponíveis na seção do servidor para qualquer host virtual.
Diretivas Globais
Conforme mencionado, as diretivas globais definem o comportamento do servidor
Apache. A opção mais importante inclui o controle para o número concorrente de acessos que
o servidor irá tratar e como ele irá tratar aquelas requisições quando elas forem aceitas.
O modelo de processamento usado no Apache para Linux é conhecido como Prefork
. Com este método, depois que o servidor é iniciado, diversos processos filhos são criados. O
número de processos e o tipo de usuário são definidos pela diretiva use, no arquivo de
configuração.
Os processos filhos irão atender às requisições uma a uma. Se ocorrer um alto número
de requisições, além do esperado pelo servidor, o processo pai irá criar mais processos filhos
para atender a demanda. Entretanto, existe um número máximo de filhos que ele poderá criar.
Pelo fato de que a criação dos processos filhos é uma operação que demanda muito
recurso computacional, o modelo Prefork cria os processos filhos antes da necessidade deles.
Existem diversas diretivas para controlar o módulo de processamento Prefork,
incluindo:
StartServers: O número de processos servidores que o processo pai irá iniciar.
No exemplo acima, o Apache irá iniciar com 5 processos para gerenciar as requisições
iniciais. O processo pai irá gerenciar os processos filhos decidindo, quando necessário, criar
mais destes para atender a demanda, garantindo que nunca ultrapasse o máximo de 10 e
nem o mínimo de 5.
O servidor não irá atender a mais de 150 requisições. Este limite ajuda a manter o
servidor sem sobrecarregar os recursos computacionais disponíveis.
Pelo fato de que a diretiva MaxRequestsPerChild está com o valor zero, o processo
pai permite que o processo filho gerencie um número ilimitado de requisições durante seu
tempo de vida. Se esta diretiva tivesse um valor positivo, o servidor pai iria limitar o número
de requisições que o filho poderia lidar durante seu tempo de vida. Ou seja, se o processo
filho estiver limitado a gerenciar apenas dez requisições, uma vez que ele termine o
processamento destas requisições, o processo pai terminará o processo filho e criará um novo
para gerenciar mais dez requisições. Esta abordagem especifica dois benefícios:
Ela limita o número total de memória que qualquer processo pode consumir, limitando
a chance de uma perda de memória acidental.
Servidor Principal
A seção do servidor principal cobre as diretivas usado para gerenciar a operação do
site Web primário, o qual o servidor Apache está hospedado. Adicionalmente, os valores
usados para as diretivas nesta seção são usados como valores padrão para qualquer
configuração feita dentro da seção de host virtual.
As opções de configuração mais comuns encontradas dentro desta seção e da seção
de host virtual são os “containers” que operam na configuração de um recurso particular no
sistema de arquivos ou espaço Web:
Sistema de arquivos: A visualização dos recursos como são vistos pelo sistema
operacional. Por exemplo, no CentOs, as páginas servidas pelo Apache são colocadas
no diretório /var/www do sistema de arquivos.
Espaço Web: A visualização de um recurso como é visto pelo servidor Web e pelo
cliente. Por exemplo, o caminho /dir no espaço Web pode corresponder ao caminho
/var/www/html/dir, no sistema de arquivos. Os espaços Web não precisam ser
mapeados diretamente para o sistema de arquivo pelo fato de que as páginas podem
ser geradas dinamicamente, a partir de base de dados ou outras localizações.
Diretivas colocadas dentro do container <Files> são aplicadas a qualquer arquivo com
o nome especificado, sem se preocupar em qual diretório ele está residindo.
</Files>
Ao contrário das diretivas <Directory> e <Files>, <Location> não tem ligação com o
recurso no sistema de arquivos. Isto é útil para conteúdos gerados dinamicamente e que não
possuem localização física no sistema de arquivos.
Estas diretivas estão disponíveis no arquivo /etc/httpd/conf/httpd.conf.
Virtual Hosts
O Apache tem a capacidade de servir mais de uma página simultaneamente. Isto é
conhecido como virtual hosting. Para permitir esta funcionalidade, o arquivo de configuração
do servidor disponibiliza o container <VirtualHost>, para que o administrador possa manipular
nomes de host e domínios em apenas um servidor.
Por exemplo:
<VirtualHost 192.168.0.3>
ServerName linux.sisnema.com.br
DocumentRoot /var/www/linux.sisnema.com.br/html
ErrorLog /var/www/log/linux.sisnema.com.br-error_log
CustomLog /var/www/log/linux.sisnema.com.br access_log combined
<Directory “/var/www/linux.sisnema.com.br/html”>
Options Indexes FollowSymLinks
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
A configuração acima, que é um site rodando em um subdomínio linux do domínio
sisnema.com.br, está esperando conexão no endereço IP 192.168.0.3.
Pelo fato de que nenhuma porta foi especificada para este host virtual, a porta 80
padrão é utilizada. Isto porque esta porta foi definida na seção do servidor principal e através
da herança chega até o host virtual.
O nome do site é linux.sisnema.com.br e a raiz dos documentos, onde os arquivos são
encontrados no sistema de arquivos, é o diretório /var/www/linux.sisnema.com.br/html. Ou
seja, ao acessarmos o endereço http://linux.sisnema.com.br, estaremos acessando este
diretório.
Além disso, os logs para este site serão armazenados em um arquivo separado
daqueles usados para o servidor principal.
HostnameLookups: Indica ao Apache se ele deve ou não procurar pelos nomes dos
endereços IP que estão conectados nele. É uma boa ideia deixar esta opção
desabilitada, pois o log pode ficar demorado pelo fato de que o servidor precisará
descobrir o nome de todos os IPs conectados nele.
LogLevel: Esta opção define o quanto de informações devem ser armazenadas nos
logs. O padrão é warn, mas os valores possíveis são debug, info, notice, warn, error,
crit, alert e emerc. Quanto maior o nível do log, menos informação será logada.
LogFormat: Através desta opção é possível definir o formato que o log será escrito.
Dados como data e endereço IP podem ser colocados em qualquer formato desejado.
As opções padrão geralmente não são alteradas.
Inseguro pelo fato de que, tipicamente, o nome de usuário e a senha eram enviados
pela rede em texto pleno, permitindo assim, que alguém capturasse essas informações e
usasse de forma indevida. Assim, da mesma forma como o telnet e o rsh tornaram-se
inseguros, o uso do FTP em uma rede pública deve ser usado com cautela.
A reputação de fraca segurança do FTP ficou ainda pior pelo fato de que algumas
implementações do servidor sofreram, durante tempos, sérios problemas de vulnerabilidade,
incluindo exploits que permitiam acesso de root ao cliente, através de buffer overflow e
técnicas como esta.
Um outro ponto importante é sobre a intenção de permitir que os usuários façam
upload de dados. Esta utilização necessita de cuidados extremos de segurança. Se um
servidor FTP permitir o upload anônimo de arquivos, logo em seguida ele poderá estar cheio
de material pirata, pornografia, vírus, cavalos de tróia e outros. Com certeza, este é um ponto
que desejamos evitar.
Entretanto, atualmente podemos encontrar alguns servidores de FTP que se
preocupam com a questão de segurança. Neste capítulo iremos abordar um destes
servidores, chamado vsftpd.
Por razões de segurança, este usuário é fortemente limitado. Em geral só pode fazer
“downloads” e não pode sair do diretório de logon, ficando “preso” a este (“chroot jail”). A figura
abaixo ilustra um login bem sucedido, deste usuário:
Nota: Os nomes de usuário anonymous e ftp podem ser usados para logar no servidor
vsftpd de forma anônima, ou seja, qualquer pessoa ou serviço pode utilizar este nome de
usuário, pois eles não necessitam de senha. A senha requerida pelo servidor é uma mera
formalidade, qualquer informação digitada ali é válida, entretanto, utiliza-se o endereço de e-
mail como senha.
Conforme podemos reparar, a seta da figura acima está indicando que agora o FTP
possui um arquivo chamado “Primeiro_Arquivo_no_FTP _Publico”.
Atentem para o fato de que este arquivo não foi colocado lá através do FTP e sim
através do sistema de arquivos, com um comando como o touch, por exemplo.
Depois de vermos que o nosso servidor é capaz de ser executado como um FTP
público com sua configuração padrão devemos olhar o arquivo de configuração para que
possamos fazer nossas próprias escolhas, ou seja, ao invés de utilizar as opções padrões,
nós iremos escolher o comportamento do servidor. O arquivo de configuração principal do
vsftpd é o /etc/vsftpd/vsftpd.conf.
Abaixo estão listadas algumas das opções que podem ser utilizadas neste arquivo de
configuração.
Opção Descrição
ftpd_banner="Bem Vindo ao Servidor FTP Permite personalizar uma mensagem para os usuários que
efetuarem o login.
Sisnema"
Opção Descrição
De acordo com estas opções, podemos então, configurar o servidor FTP da forma
como desejarmos melhor.
Controle de Acesso
Conforme vimos na parte de configuração do servidor de FTP, é possível definir uma
lista de e-mails banidos, quando os usuários efetuam o login através de usuários anônimos.
Entretanto, esta forma não garante que um determinado usuário não vá efetuar o login. Se
quisermos controlar o acesso dos usuários do sistema ao serviço de FTP, precisamos fazer
isso através de um arquivo de configuração.
Este arquivo é o /etc/ftpusers e ele define uma lista de usuário que não poderão efetuar
o login no servidor de FTP. Em geral, este arquivo possui os nomes de usuários como o root,
news, named, mail e outros.
Assim, se quisermos especificar que um determinado usuário, mesmo possuindo uma
conta no sistema, não consiga utilizar o serviço de FTP, basta colocar o nome de usuário
deste no arquivo de controle de acesso.
Conceitos de Proxy
O servidor Squid é um dos mais populares servidores de cache para web, também
conhecido como servidor proxy.
Isto significa que ele é responsável por buscar e armazenar cópias locais das páginas
e imagens da web. As máquinas dos clientes, requisitando estes dados, irão obtê-los do
servidor proxy Squid, ao invés de conectar diretamente no site em questão.
Existem diversas razões boas que justificam o uso do servidor proxy Squid ou um
outro servidor de proxy qualquer. São elas:
Um cache web na rede local significa que os objetos (páginas, imagens, sons e outros)
que já foram requisitados por algum usuário, não precisarão ser buscados de novo de
seu endereço original. Ao invés disto, o servidor cache irá prover estas informações.
Esta ação aumenta a performance para os usuários e reduz o uso de banda da rede.
Ao mesmo tempo em que isso ocorre, usando um servidor proxy, é possível permitir
um ótimo controle da forma e quando os usuários poderão acessar a web. Além disso, é
possível realizar o log de toda a navegação dos usuários. O Squid também pode ser
usado para prevenir acessos a sites indesejáveis, ou seja, sendo executado em
conjunto com uma lista de palavras, o servidor proxy irá determinar se o usuário
poderá ou não obter as informações desejadas.
O Squid permite o cache para o protocolo FTP, isto significa que você pode configurar
um Firewall de forma que os usuários não tenham acesso à Internet, diretamente dos
seus computadores. O acesso feito através dos protocolos FTP e hutu serão
gerenciados pelo Squid. Apesar de tirar o direito dos usuários utilizarem outros
serviços na Internet, esta ação permite uma segurança simplificada.
Uma vez que o servidor proxy Squid estiver configurado e rodando, adicionalmente,
todos os navegadores web dos clientes necessitarão ser configurados com as opções corretas
de proxy.
Esta configuração pode se tornar um problema em grandes redes corporativas.
Veremos neste capítulo uma forma de contornar este problema e, ainda assim, utilizarmos um
servidor de cache web.
O CentOS, em sua versão 6.2, utiliza o Squid 3.1. Para verificar se o mesmo se encontra
instalado, utilize o comando abaixo:
Comando: rpm -qa | grep squid
squid-3.1.10-1.el6_2.2.i686
Algumas configurações iniciais precisam ser feitas no proxy, antes de que o mesmo
se encontre pronto para uso. Para isto precisamos editar o seu único arquivo de configuração
“squid.conf”.
Na versão 6.2 do CentOS, o squid vem com uma versão de arquivo mínima, em seu
diretório de configuração. No entanto, existe uma versão mais completa (inclusive com todas
as linhas de comentários de cada opção), em seu diretório de documentação:
Comando: ls /usr/share/doc/squid-3.1.10/squid*
/usr/share/doc/squid-3.1.10/squid.conf.documented
vim /etc/squid/squid.conf
Onde:
Cache_mem: Quantidade de RAM do sistema, utilizada pelo squid;
Cache_swap_low: Quando o squid volta a cachear apenas em RAM;
Cache_swap_high: Quando o squid começa a cachear em disco;
Cache_dir: Define o tipo, tamanho e organização dos diretórios de cache do squid
Visible_hostname: Define o nome do host, onde está instalado o squid;
Error_default_language Portuguese: O idioma padrão das páginas de erro;
squid -z
Comando: ls/var/spool/squid
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
Importante: Diretivas do tipo “http_access deny”, têm precedência sobre diretivas tipo
“http_access al low” e, portanto, devem vir listadas antes (isto é, mais acima no arquivo), pois,
uma vez que o squid libere uma conexão, este não volta a fechá-la.
A diretiva “http_access deny all”, existe para que, caso nenhuma acl permita a
navegação, então o proxy, por default bloqueará a navegação dos clientes deste. Deste modo,
o proxy squid opera por default no modo “negar primeiro”. No caso, como desejamos que os
clientes pertencentes a rede nomeada, possam navegar pelo proxy, a diretiva a ser adicionada
será:
http_access allow MINHAREDE
# And finally deny all other access to this proxy
http_access deny all
Para que seja possível testar esta e outras acls a partir da própria máquina onde o squid
se encontra instalado, precisaremos também comentar as linhas abaixo, inserindo um “#”, em
seu início:
# http_access allow localnet
Uma vez iniciado, por default, o squid utiliza a porta 3128/tcp. Para verificar se o squid
está ativo, após iniciá-lo, utilize o seguinte comando:
netstat -vantp | grep 3128
tcp 0 0 :::3128 :::* OUÇA 5005/(squid)
Caso o resultado obtido, indique que a porta 3128, se encontra ativa, configure o
navegador para utilizar o proxy. Encerre as configurações feche o navegador e inicie -o
novamente:
Conforme podemos observar na figura acima, o teste foi realizado com sucesso, ou seja,
o cliente pode realizar uma navegação através do nosso servidor Squid.
Além disso, o Squid também começou a efetuar seus logs. Dentro do diretório
/var/log/squid é possível encontrar o conjunto de logs utilizados pelo servidor.
A seta, na figura acima, está indicando o site que o usuário realizou a conexão. Desta
maneira é possível controlar o acesso dos usuários a qualquer site na Internet.
Nota: Este tipo de controle de acesso, pode ser definido tanto para redes quando para
endereços IPs específicos.
Concatenando ACLs
Algumas vezes, podemos precisar combinar duas ou mais ACLS, de tal forma, que o
acesso deva ocorrer apenas se e somente, todas as ACLs, forem satisfeitas. Neste caso,
precisamos efetuar um “E” lógico. Para obter este efeito, precisamos proceder, conforme
indicado abaixo:
#
acl MINHAREDE src 192.168.5.0/24
acl HORABOA time MTWHFA 8:00-18:00
Esta ACL, estabelece um período de tempo, a ser controlado, de segunda a sábado
das 8:00 às 18:00h.
A seguir, veremos mais alguns tipos de ACLs, muito uteis no controle de acesso:
A. Bloqueio de Site:
acl TERRA dstdomain .terra.com.br
B. Bloqueio de palavra:
acl SEXO url_regex -i sexo
Adicione sites e palavras reais ao arquivo. Após, salve e abandone o arquivo e reinicie
o squid. É possível também apenas forçar o squid a reler o seu arquivo de configuração. Para
isto use o comando abaixo:
squid -k reconfigure
Autenticação de Usuários
Um dos requisitos mais desejados, após a instalação de um servidor proxy, é saber
qual usuário está acessando uma determinada página. Assim, através da autenticação de
usuários podemos garantir que apenas os usuários de dentro da nossa rede estejam
utilizando o serviço do nosso Squid.
Uma das formas mais simples de fazer isso é usando uma forma de autenticação
qualquer existente, na máquina onde o servidor Squid está rodando, através do PAM. Para
que isso seja possível, você precisará definir a seguinte opção no arquivo de configuração do
Squid.
auth_param basic program /usr/sbin/pam_auth
Esta linha indica que a autenticação deve ser feita através do PAM. Seja qual for o
método de autenticação usado, por exemplo, /etc/passwd, NIS, LDAP ou outro qualquer, ele
será usado agora para o Squid.
Precisamos, também, forçar que os usuários se autentiquem para utilizar o serviço.
Isso é conseguido através da linha abaixo:
acl redelocal_auth proxy_auth REQUIRED
http_access allow redelocal_auth
Depois de reiniciarmos o servidor com a nova configuração, a cada vez que abrirmos
o nosso navegador e tentarmos iniciar a navegação, um usuário e senha serão exigidos.
Conforme podemos observar, na figura acima, uma nova janela irá aparecer após
digitarmos qualquer endereço para navegação web.
Nesta janela, devemos digitar um nome de usuário e uma senha correspondendo, o
que é indicado pelas setas na figura acima.
Autenticado o usuário corretamente, é possível então continuarmos a navegação pelas
páginas na Internet. Além disso, o Squid irá continuar o seu processo de registro nos arquivos
de log, entretanto, agora com uma diferença. Ele irá logar o nome do usuário que está
acessando determinado site.
Para melhor combinar a autenticação com o acl que define a rede local, podemos
utilizar a seguinte configuração.
auth_param basic program /usr/sbin/pam_auth
acl redelocal_auth proxy_auth REQUIRED
acl redelocal src 192.168.0.0/24
http_access deny !redelocal
http_access allow redelocal_auth
...
http_access deny all
Em outras palavras, esta configuração define que será negado o acesso a todos que
não estiverem na rede definida antes que seja forçada a autenticação. Então é permitido o
acesso do segmento de rede. Como dito anteriormente, se necessário, é possível definir
endereços IP individuais para os ACLs.
Este tipo de autenticação usa o método de autenticação padrão do HTTP, ou seja, isto
significa que o par usuário/senha será transmitido pela rede no formato codificado ba se64.
Em outras palavras, não é transmitido em texto puro, mas também não é criptografado.
Se um método de autenticação está sendo usado e que também está a disposição
para outros propósitos no servidor, existe um risco de segurança eminente, o que
potencialmente pode compromissar as contas dos usuários no servidor.
Para evitarmos este risco, podemos usar o método de autenticação digest_pw_auth.
Se desejarmos implementar este método, então precisaremos adicionar as seguintes linhas
no arquivo de configuração.
auth_param digest program /usr/sbin/digest_pw_auth /etc/squid/digestpw
As senhas são armazenadas em texto puro, por este motivo o dono do arquivo e grupo
devem ser squid:root e com permissão 600, ou seja, apenas o usuário squid poderá ler e
escrever no arquivo e mais nenhum outro usuário do sistema. Desta maneira, quando uma
sessão do cliente for iniciada, o Squid irá autentica-la usando as informações do arquivo
/etc/squid/digestpw. Entretanto, isso não significa que a senha precise ser enviada p ela rede.
Ao invés disso, o servidor e o cliente podem calcular a chave MD5 ou uma hash de uma via
baseada na senha e na URL.
O cliente então envia o resultado do seu cálculo para o servidor, que irá comparar
estas informações com os seus cálculos. A maior ia dos navegadores web irá operar
corretamente com esta forma de autenticação.
O Arquivo de Log
Os logs do Squid são muito extensos e complicados de ler, por este motivo, uma série
de ferramentas de análise destes logs está disponível. O CentOs utiliza uma ferramenta
chamada sarg (Squid Analysis Report Generator). Se você quiser usar esta ferramenta, ela
deve ser instalada à parte do servidor, ou seja, ela é disponibilizado em outro pacote, chamado
SARG.
O SARG gera uma saída HTML que pode ser analisada pelo administrador da rede de
forma mais clara. A figura ilustra a página principal dos logs.
Na figura ilustrada acima, podemos visualizar que, para este log específico, as
informações foram classificadas como:
Topsites: Relação dos sites mais acessados.
Sites & Users: Relação dos sites e dos usuários que acessaram eles.
Denied: Informações sobre os sites que foram negados.
Authenticatioin Failures: Dados sobre as tentativas de autenticação que não
puderam ser concluídas com sucesso pelo servidor Squid.
A figura acima nos mostra os sites mais acessados pelos usuários do servidor proxy.
Com base nestas informações, o administrador é capaz de saber, por exemplo, as
características dos usuários de seu proxy, além, é claro, de encontrar sites muito utilizados e
que deveriam estar na black list.
7.6. SAMBA
Foi assim nasceu o nome “Samba”. Irônicamente, Tridgell, nunca tinha ouvido falar
nesta palavra antes e, muito menos, a associará com o nome de nosso País. O Samba é um
conjunto de aplicação para os sistemas Unix e Unix -Like que utilizam o protocolo SMB (Server
Message Block). Os sistemas operacionais Windows e OS/2 usam o SMB para compartilhar
arquivos e impressoras pela rede baseado na arquitetura cliente / servidor. Suportando este
protocolo, o Samba permite que computadores Linux também utilizem esses
compartilhamentos.
Ou seja, através do Samba é possível fazer o Linux passar-se por um sistema
Windows na rede, garantindo as sim que todas as operações feitas por um sistema Windows
verdadeiro sejam feitas pelo sistema Linux utilizando o Samba.
Ainda que você esteja disposto a pagar pelas licenças dos servidores Windows, cada
cliente Windows necessita de uma licença de acesso, camada CAL (Client Acess
Licenses). O custo destas licenças é extremamente elevado.
Se você deseja prover uma área comum de dados, ou diretórios, para a transição de
um servidor Windows para um Linux e vice-versa.
Se você deseja compartilhar impressoras entre estações Windows e Linux.
Se você deseja integrar a autenticação Linux e Windows, mantendo apenas uma base
de dados com as contas dos usuários para ambos os sistemas.
A rede ilustrada na figura acima exemplifica uma das utilizações do Samba. A rede é
composta por três estações clientes, sendo duas delas Windows e uma Linux, um servidor
Samba e uma impressora.
A impressora encontra-se ligada diretamente ao servidor. Este servidor disponibiliza o
compartilhamento da impressora para todos os clientes da rede, a través do protocolo SMB.
Desta forma, os clientes Windows e Linux poderão acessar e utilizar a impressora.
Este é um exemplo básico. Conforme dito anteriormente, o Samba permite que
diversos recursos sejam compartilhados na rede além de outras funcionalidades.
Instalando o Samba
No CentOs, versão 6.2, a instalação do Samba, abordada nesta seção, poderá ser
feita através do gerenciador “yum”. Para isso, os seguintes pacotes deverão ser instalados:
rpm -qa | grep samba
samba-common-3.5.10-114.el6.i686
samba-3.5.10-114.el6.i686
samba-client-3.5.10-114.el6.i686
samba-winbind-clients-3.5.10-114.el6.i686
Configurando o Samba
Nesta seção veremos a configuração do arquivo smb.conf, o principal arquivo de
configuração do samba.
O arquivo de configuração do Samba é chamado smb.conf e pode ser encontrado no
diretório /etc/samba/. Este arquivo pode ser muito simples ou extremamente complexo de se
configurar, tudo vai depender das funcionalidades esperadas do Samba.
Por enquanto, veremos como configurar um simples servidor de arquivos, que irá
permitir a você visualizar a inicialização dos processos do Samba e ver o serviço sendo
utilizado.
O processo de instalação não cria o arquivo de configuração automaticamente,
entretanto, diversos exemplos de configuração para ele estão disponíveis nos pacotes de
documentação do Samba. Como o arquivo de configuração não é criado automaticamente,
iremos criar ele com um editor de texto qualquer.
vim /etc/samba/smb.conf
Após isso, iremos então adicionar algumas linhas de configuração para vermos o
nosso servidor Samba rodando:
[global]
workgroup = workgroup
[public]
comment = Primeiro servidor SMB
path = /home/samba/public
read only = no
guest ok = yes
Esta simples configuração está dizendo para o servidor Samba oferecer o diretório
/home/samba/public, como um diretório compartilhado chamado “public”. Além disso, o
servidor irá fazer parte do grupo de trabalho chamado workgroup.
Testes
Depois de editarmos o arquivo de configuração, precisamos então, iniciar o servidor
Samba. Na versão 6.2 do CentOS, os serviços “smbd” e “nmbd” são ativados separadamente,
portanto, para ativar o samba, precisamos executar os comandos abaixo:
service smb start
service nmb start
Na parte superior da figura existe uma seta. Esta seta está indicando o endereço do
servidor que está rodando o Samba, 192.168.0.7.
Existem duas formas para chegarmos ao compartilhamento que criamos com o
Samba: a primeira é através da utilização do endereço explícito do servidor, como é indicado
pela seta superior.
A segunda forma é através da navegação pelas redes do Windows, conforme é
indicado pela seta mais abaixo e a esquerda, onde podemos ver o grupo de trabalho
workgroup, definido na configuração do arquivo /etc/samba/smb.conf.
Por fim, podemos visualizar o compartilhamento criado, chamado teste. A seta
encontrada mais à direita da tela está indicando ele. Também podemos ver a descrição do
compartilhamento que definimos no arquivo de configuração do Samba.
[homes]: Configurações para os diretórios pessoais (home) dos usuários do Linux, que
serão compartilhados pelo Samba.
Arquivo smb.conf
[global]
netbios name = Linux
workgroup = sisnema
passdb backend = smbpasswd
os level = 33
preferred master = auto
domain master = yes
local master = yes
security = user
domain logons = yes
logon path = \\%N\profiles\%U
logon drive = H:
logon home = \\linux\%U\winprofile
logon script = logon.bat
[netlogon]
path = /var/lib/samba/netlogon
read only = yes
[homes]
browseable = no
writeable = no
available = yes
public = no
only user = yes
[profiles]
path = /var/lib/samba/profiles
read only = no
create mask = 0600
directory mask = 070
Nota: Deve ser setado na estação o endereço wins, apontando para o endereço ip do
servidor samba.
A estação deve ser criada no servidor, assim como o usuário. Então, temos que criar
a estação no sistema e depois no samba. Por exemplo, para criar a estação devemos digitar
os seguintes comandos: useradd –c winxp -s /bin/false winxp$; smbpasswd –m –a winxp$.
Devemos ainda, criar o usuário root no samba, pois é ele o usuário administrador que deve
ser usado para inserir uma estação no domínio, para isso, usamos o seguinte comando:
smbpasswd –a root; smbpasswd –e root.
Definindo Diretório
De modo simples e direto o termo “Diretório”, significa simplesmente um “catálogo de
índices”, portanto, um “Serviço de Diretório”, nada mais é do que um banco de dados
especializado, utilizado nos processos de autenticação de serviços de rede.
“Especializado”, porque, ao contrário de um banco de dados “SQL”, as informações
contidas neste banco, devem ser frequentemente lidas e só mais raramente alteradas
(exemplo: nomes de usuários, senhas, e-mails, etc). Além disso, e, novamente, ao contrário
de um banco de dados tradicional, um “serviço de diretório” não trabalha com tabelas, mas
sim com “objetos”:
Cada objeto possui atributos e propriedades que os definem. Dizemos, portanto, que
um “serviço de diretórios” é “orientado a objetos”. Um banco de dados utilizado em um “serviço
de diretório”, deve ser muito veloz para operações de leitura, embora não importe muito se
não possuir a mesma performance para operações de escrita, visto que seu conteúdo é pouco
alterado.
Podemos tranquilamente afirmar, que toda Empresa ou Organização que ainda não
faça parte de um “serviço de diretório”, terminará fazendo parte de algum, mesmo que não o
implemente, pois acabará integrando o banco de alguma outra organização.
Por se tratar de um serviço homologado Internacionalmente através de “RFCs”, não
corremos o risco de ficarmos “escravos” de algum banco de dados “proprietário”. Existem
numerosas implementações de terceiros deste serviço, todas obedecendo aos parâmetros
estabelecidos em suas RFCs. Alguns dos mais utilizados são:
O “NDS” (NetWare Directory Services), da Novell; A Microsoft inclui ele como parte do
que eles chamam de AD (Active Directory).
Como dito anteriormente, um “serviço de diretório”, organiza seus dados sob forma de
“objetos” e, cada objeto possui “propriedades”, que são os atributos que o definem. Estes
“objetos” são referenciados através de um número de formato especial, chamado de “OID”
(Object Identifier), um “OID”, descreve perfeitamente um objeto e seus atributos, sem
possibilidade de erro. Abaixo, um exemplo de um “OID”:
1.3.6.1.4.1.2
Schema
Podemos definir o “schema”, como um “mapa”, que informa o banco de dado s do
“serviço de diretório”, sobre como compreender o objeto e seus atributos. Como dito
anteriormente, um “serviço de diretório” pode armazenar muitos tipos diferentes de dados,
cada dado possuindo seus próprios atributos. Sendo assim deve existir um modo de se instruir
o banco de dados, sobre como “funciona” o objeto. Este meio é o “schema”, que é um arquivo
texto, que descreve o objeto e seus atributos. Sem o “schema”, os objetos, não têm significado
útil para o banco. Abaixo, um pequeno fragmento de um arquivo de “schema”:
...
attributetype ( 0.9.2342.19200300.100.1.2 NAME 'textEncodedORAddress'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )
...
Fragmento do arquivo /etc/openldap/esquema, “cosine.schema”
Indivíduos (que podem ser pessoas ou recursos como impressoras, por exemplo). Um
diretório LDAP pode ser distribuído também entre muitos servidores. Cada servidor
pode ter uma versão replicada de todo o diretório que é sincronizado periodicamente.
Este protocolo utiliza uma base de dados em árvore, no formato de “árvore invertida”,
similar ao “DNS”, ou então a um sistema de arquivos: No topo desta árvore existe o objeto
base, que é o nome da organização. Abaixo, existem as pastas, que contém os objetos
contidos no banco. No ldap, estas pastas recebem o nome de “OUs” ou “unidade
organizacional (organizational unit)”. No exemplo, a figura abaixo ilustra o diagrama
organizacional de uma empresa:
Quando você pensar no LDAP, não pense no nível tecnológico e sim no nível
organizacional. O LDAP deve seguir o formato de como a organização armazena seus dados.
No exemplo ilustrado pela figura acima, nós temos um diagrama fictício da empresa
SISNEMA. A SISNEMA, assim como a maioria das empresas, possui direções para tratar de
assuntos relacionados com vendas, contabilidade e ensino.
Além disso, podemos perceber que a direção de vendas é responsável pelo setor de
vendas, assim como a direção de ensino é responsável pelos instrutores.
Todas as pessoas desta empresa pertencem a algum setor, que pertence a alguma
direção. Esta é a forma como você deve enxergar o LDAP. Você pode ver que a estrutura de
árvore permite uma ótima organização dos dados da empresa.
Portanto e, idealmente, o LDAP deve obedecer tanto quanto possível a estrutura
contida no organograma da empresa. Por exemplo, se uma pessoa chamada “Michel Alves”
for hipoteticamente, contratada para trabalhar na empresa SISNEMA como instrutor, podemos
Podemos ver, então, que o funcionário Michel Alves está na empresa SISNEMA, da
Direção de Ensino e do setor de Instrutores. Esta pessoa é única sendo instrutor, da mesma
forma como é única no diretório LDAP. Este identificador único é chamado dn ( Distinguished
Name) ou “nome distinto” e identifica perfeitamente um objeto dentro de um banco Ldap, não
permitindo dúvidas ou ambiguidades a esse respeito.
Onde:
O = Organização (geralmente, o nome da empresa);
Dc = Domain Component, é uma forma de descrição criada pela Empresa Microsoft,
que segue a estrutura de uma árvore “DNS.
Qual dos formatos será utilizado depende, sobretudo, do formato empregado pelas
aplicações que serão usadas: Se utilizadas muitas aplicações “Novell”, torna-se mais prático
descrever a base do primeiro modo. Por outro lado, a grande difusão de aplicações
“Microsoft”, torna o segundo método mais usual hoje em dia. Este último padrão também será
usado no decorrer deste capítulo.
Pacotes OpenLDAP
python-ldap-2.3.10-1.el6.i686
apr-util-ldap-1.3.9-3. el6_0.1.i686
ldapjdk -4.18-6.el6.i686
pam_ldap-185-11.el6.i686
krb5-server-ldap -1.9 -22. el6_2.1.i686
nss-pam-ldapd-0.7.5-14.el6_2.1.i686
php-ldap-5.3.3-3.el6_2.6.i686
openldap-devel -2.4.23- 20.el6.i686
openldap-servers -2.4.23-20.el6.i686
openldap-2.4.23-20.el6.i686
openldap-clients-2.4.23- 20.el6.i686
Caso esteja faltando algum pacote, basta instalá-lo através do “yum”, conforme já
mostrado anteriormente.
Procedimentos de Configuração
Uma vez instalados os pacotes referidos acima, precisamos agora configurar o
openldap. A configuração deste serviço mudou bastante a partir da versão 2.4. Na Distribuição
CentOS 62, para configurar o servidor openldap, execute os passos abaixo:
Passo 3: Adicione direitos de posse ao usuário “ldap”, para que o daemon “slapd”
possa gerenciar essa base:
chown -R ldap:ldap /var/lib/ldap
Passo 4: Gere a senha de acesso do usuário manager do banco ldap. Esta senha
precisar ser mais tarde, colada dentro do arquivo de configuração do ldap:
slappasswd
slappasswd
New password:
Re- enter new password:
{SSHA}IMHnms2zHiIFbM5LYnlacTshL5e4SjTm
Modifique para:
olcSuffix: dc=sisnema,dc=com,dc=br
Modifique para:
olcRootDN: cn=Manager,dc=sisnema,dc=com,dc=br
Salve e feche o arquivo “cn=config” e passe para o próximo arquivo a ser editado.
Altere a linha:
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=externa
l,cn=auth" read by dn.base="cn=manager,dc=my - domain,dc=com" read by * none
Para:
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=externa
l,cn=auth" read by dn.base="cn=manager, dc=sisnema,dc=com ,dc=br " read by * none
Uma vez mais, salve e abandone o arquivo.
Se a mensagem obtida for similar à acima mostrada, então podemos passar a etapa
seguinte. Do contrário, precisaremos rever a edição dos arquivos configurados, pois,
provavelmente, algum erro de configuração deve ter ocorrido.
Caso ocorra tudo conforme o esperado, deve aparecer a porta 389/TCP em “LISTEN”
Onde:
“-W”: Informa que será fornecido a senha do administrador (“manager”) do banco;
“-D”: Informa que será fornecido o “rootdn” (“cn=manager,dc=sisnema...”);
“-f”: Informa que será passado o nome do arquivo “.ldif”;
“-x”: Informa que a senha será enviada em “Plain Text”;
O arquivo “base.ldif”
dn: dc=sisnema,dc=com,dc=br
objectclass: top
O arquivo “base.ldif”
objectclass: domain
dc: sisnema
O arquivo “containers.ldif”
dn: ou=people,dc=sisnema,dc=com,dc=br
ou: people
objectclass: top
objectclass: organizationalunit
dn: ou=group,dc=sisnema,dc=com,dc=br
ou: group
objectclass: top
objectclass: organizationalunit
Estes arquivos serão fornecidos pelo Instrutor e poderão ser copiados para qualquer
diretório como, por exemplo o “/root”.
Para cada um dos comandos acima, será pedida a senha do manager. É a senha
gerada anteriormente através do comando “slapasswd” (“secret”). A saída dos comandos
executados deverá ser similar a mostra abaixo:
Passo 10: Podemos ainda conferir diretamente o conteúdo adicionado ao banco Ldap,
através do comando abaixo:
ldapsearch -x -b dc=sisnema,dc=com,dc=br
Onde:
“-x”: Sem criptografia;
“-b”: O nome da base ldap, a ser consultada;
Saída do comando:
Generating a 2048 bit RSA private key
.......................+++
..............................................+++
writing new private key to '/etc/openldap/cacerts/slapdkey.pem'
-----You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----Country Name (2 letter code) [XX]:BR
State or Province Name (full name) []:RS
Finalmente, a tela a seguir nos ilustra as opções que devem estar ativadas na aba
“Opções Avançadas”:
Habilitar Controle de Acesso Loca l: Ativado
Algoritmo Hash da Senha : MD5
Criar diretórios home, no primeiro login: Ativado
Configuração do “phpldapadmin”
Como visto anteriormente, o gerenciamento de um banco de dados via interface “CLI”
é trabalhoso e cansativo. Embora o “yum”, possa nos poupar algum trabalho, ele ainda, não
pode fazer todo o “trabalho sujo”, para nós. Para resolver este problema, utilizaremos uma
interface em php, de nome “phpldapadmin”. Esta será fornecida pelo Instrutor, mas pode ser
obtida a partir da “url” a seguir: http://sourceforge.net/projects/phpldapadmin. A versão que
utilizaremos (0.9.6c), não é a mais recente, mas já foi extensivamente testada, atendendo às
nossas necessidades. Para proceder a sua configuração, execute os passos abaixo:
$servers[$i]['name'] = 'Aluno5-5'; 23
$servers[$i]['host'] = '127.0.0.1'; 26
$servers[$i]['base'] = 'dc=sisnema,dc=com,dc=br'; 33
$servers[$i]['login_dn'] = 'cn=Manager,dc=sisnema,dc=com,dc=br'; 52
$servers[$i]['auto_uid_number_search_base'] = 111
'ou=People,dc=sisnema,dc=com,dc=br';
$servers[$i]['auto_uid_number_uid_pool_dn'] = 118
'cn=uidPool,dc=sisnema,dc=com,dc=br';
Passo 5: Ativar o web-server “apache”, abrir o browser e apontar para a url do servidor
ldap (http://localhost/phpldapadmin):
service httpd start
Caso todas as configurações acima, tenham sido bem sucedidas, a tela a abaixo,
deverá aparecer no seu Web Browser:
Passo 6: Adicionado o novo usuário, este deverá ser visível na lateral esquerda do
“phpldapaadmin”. Também deverá ser exibido através do comando “ldapsearch”:
ldapsearch -h 127.0.0.1 -b dc=sisnema,dc=com,dc=br -x
Configurar o Samba
Configurar o Kerberos
Efetuar o Join no AD
Inicializar o daemon winbind, do Samba
Pré-requisitos:
Para executar as tarefas propostas aqui, consideram-se os seguintes pré-requisitos:
Servidor Windows 2008 com o AD configurado.
Nome do Domínio: ADDOMAIN.LOCAL;
Inicialmente, vamos instalar e configurar o cliente Kerberos, necessário para efetuar o
“Join” no Domínio do Active Directory.
Arquivo /etc/krb5.conf
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = ADDOMAIN.LOCAL
[realms]
ADDOMAIN.LOCAL = {
kdc = aluno3-15.addomain.local:88
}
[domain_realm]
.kerberos.server = ADDOMAIN.LOCAL
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
Onde:
default_realm: Nome do Domínio do Kerberoskdc: Nome/Endereço IP do Servidor
Kerberos
Arquivo /etc/samba/smb.conf
winbind use default domain = yes
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
ONDE:
workgroup: No caso o nome do Domínio Windows, ao qual o Samba irá fazer o
“Join”;realm: O nome do Domínio (“reino”) do kerberos;
Importante notar ainda que a opção “;passdb backend“, se encontra COMENTADA
com um “;” (“ponto e vírgula”), pois a autenticação agora será por conta do servidor LDAP (no
caso o “AD”).
Passo 3: É necessário fazer com que o Linux resolva o endereço do Servidor PDC da
rede Windows (isto é, aponte para a máquina onde fica o “AD”). Para isto, edite os arquivos
indicados adicionando a estes o conteúdo conforme mostrado abaixo:
vim /etc/resolv.conf
nameserver 192.168.3.52
Onde:
nameserver: Aponta para o endereço IP do Active Directory, o qual também agrega as
funções de servidor DNS para o Domínio:
vim /etc/hosts
192.168.3.52 winsrv.addomain.local winsrv
Onde:
192.168.3.52: É o endereço IP do Active Directory, onde o Samba irá efetuar o “Join”.
Passo 4: Ative o serviço “winbind” do Samba, pois este serviço será usado para o
Samba, para validar usuários do Domínio Windows, que não possuam conta local no Samba:
service winbind restart
Onde:
-u: Pesquisa por usuários existentes no domínio.
-g: Pesquisa por grupos existentes no domínio.
O que é um Firewall
"Firewall é um conjunto de hardware e software cujo o objetivo é rotear pacotes de
dados entre duas ou mais redes, através de um conjunto de regras estabelecidas e
conhecidas como regras de filtragem. Um Firewall adiciona um grau de segurança variável a
uma rede de computadores contra acessos indesejados por parte de terceiros. Firewalls são
para as redes, o que os esquemas de privilégio de usuário são para os sistemas operacionais.
Tipos de Firewall
Os sistemas de Firewall podem ser classificados em dois tipos básicos:
Pontos Fortes: Muito rápido, consome poucos recursos (ex. memória, cpu,
etc,) é um firewall “genérico” (protege qualquer serviço), muito confiável (tecnologia
muito testada).
Firewall de Aplicações: Esse tipo de Firewall não permite que nenhum pacote passe
diretamente entre a rede externa e a rede corporativa. Os pacotes de dados são enviados ao
Firewall que determina quando se deve ou não estabelecer a conexão, passando depois os
resultados ao hosts cliente (que originou o pedido de conexão). Este sistema é mais lento que
o filtro de pacotes e mais inflexível (o Firewall tem que conhecer a aplicação e se uma nova
aplicação for necessária na rede, deve-se obter com o fornecedor desta um novo código que
a contemple). Também chamado de Proxy ou de Firewall de Gateway de aplicativo, este tipo
de Firewall opera na camada 7 do modelo OSI.
Assim, quando um usuário remoto entra em contato com uma rede executando um
gateway de aplicativo, o gateway gerencia (proxies) a conexão. Nesse caso, pacotes de IP
não são encaminhados à rede interna. Em vez disso, um tipo de tradução ocorre, com o
gateway agindo como canal e intérprete.
Packed Filter: Sua forma mais simples de emprego é um router que possui habilitadas
as regras de filtragem de pacotes. Quando empregada nesta disposição, também é chamado
de "Filtro de Perímetro", porque os roteadores são dispositivos externos, então eles eliminam
a necessidade de interromper a operação normal da rede. Se você utiliza um Firewall baseado
em roteador, você não tem de configurar várias máquinas (ou vários serviços) para fazer
interface com ele.
Packet Filter
Screened Host: Esta arquitetura utiliza uma camada de segurança primária (um router
com um "packed filter" configurado) e uma segunda camada de proteção que é o "bastion
host". O packed filter do router, é configurado de tal maneira que o bastion host é a única
máquina com a qual os hosts na Internet podem iniciar uma conexão com as máquinas da
rede interna. Por outro lado os hosts internos podem iniciar uma conexão diretamente, sem
passar pelo "bastion host".
Screned Host
Nesta solução, além das cadeias INPUT, OUTPUT e FORWARD, existem as cadeias
de PREROUTING e POSTROUTING. Além disso, o funcionamento das cadeias de INPUT,
OUTPUT e FORWARD foram modificados de tal maneira que cada um funciona de modo
independente dos demais. Isto possibilita um nível ainda maior de segurança no projeto final
de Firewall que utilize o Iptables. O IPTABLES é uma ótima ferramenta de Filtro de pacotes
com características de STATEFUL. Um filtro de pacotes STATEFUL, é capaz de controlar
(negar/permitir) os pacotes IP, baseado no tipo de SOCKET.
Como pode ser observado no diagrama acima, os pacotes tanto de entrada quanto de
saída não passaram pelas regras de INPUT e OUTPUT, porque essas regras só dizem
respeito a pacotes direcionados ao Firewall. Qualquer pacote cujo destino seja o Firewall,
passará pelas regras de INPUT do Firewall e todo pacote que sair do Firewall passa pelas
regras de OUTPUT do mesmo.
Desta forma temos como proteger ainda mais o Firewall, pois podemos usar DENY
para qualquer regra INPUT, pois isso não afetará o acesso ao servidor HTTP mostrado acima.
Para todos os pacotes de dados que passam de uma rede para outra através do
Firewall, passam pelas regras de FORWARD e agora com o iptables, podemos especificar
regras que controlem pacotes que entrem por uma interface em específico e saiam por outra
interface.
Uso do IPTABLES:
A ferramenta IPTABLES, é a ferramenta de firewall padrão do Linux, nas versões de
kernel 2.4 e atual (2.6), e foi desenvolvida por Rusty Russell, tendo como base a ferramenta
IPFILTER do Unix BSD. Abaixo vamos desenvolver o seu uso, começando pelo diagrama em
blocos de seu funcionamento:
O Básico de Iptables
Política de um Firewall:
Denominamos de “Política de um Firewall”, o comportamento default que um Firewall,
como por exemplo, o Iptables, apresenta, na ausência de regras, quando recebe um pacote
IP. Existem duas políticas possíveis:
DROP: Descarta por default, um pacote IP, caso não exista uma regra em contrário.
O Iptables só assume este estado se existir um comando específico para isto, normalmente,
no início do “script” ou arquivo de regras de Firewall. Pode ser um pouco mais trabalhoso de
se configurar um Firewall neste modo, mas, sem dúvida, é o mais seguro.
Utilizando uma ferramenta específica para este fim: A maioria das distribuições Linux
modernas possui alguma instalada, como no caso da Distribuição CentOS (Yast). Existem
também, muitas ferramentas de terceiros, como é o caso da ferramenta FwBuilder. Este
método, não será abordado, devido à diversidade das ferramentas e aos seus diferentes
métodos de funcionamento.
Criando-se um “bash script”, que é um arquivo executável, similar (em princípio) aos
arquivos “.bat” do DOS e Windows, o qual contém as regras de Firewall e, que, normalmente
é carregado durante a inicialização do LINUX através de um dos arquivos abaixo:
No CentOS: /etc/rc.d/rc.local
################################################################
# ATENCAO: #
# - Nao se esqueca, que, quando trabalhamos com uma cadeia #
# negada (DROP), devemos tambem dizer qual tipo de socket sera #
# permitido. #
# - Para executa-lo durante o boot, voce pode usar o arquivo #
# /etc/rc.d/rc.local #
################################################################
### Passo 3: Agora, vamos definir o que pode passar e o que nao ###
# Cadeia de Entrada. Esta cadeia, no iptables, soh vale para o proprio host
### Passo 4:
# No iptables, temos de dizer quais sockets são validos em uma conexao
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Pop
/sbin/iptables -A FORWARD -p tcp -s 192.168.3.0/24 --dport 110 -d 0/0 -j ACCEPT
# DNS
/sbin/iptables -A FORWARD -p udp -s 192.168.3.0/24 --dport 53 -d 0/0 -j ACCEPT
# WWW
/sbin/iptables -A FORWARD -p tcp -s 192.168.3.0/24 --dport 80 -d 0/0 -j ACCEPT
Nosso primeiro passo, sempre deve ser descobrir quais aplicações devem ser
acessadas, bem como seu método de acesso (portas x protocolos). Por exemplo, do Script
acima, podemos extrair as seguintes informações úteis:
Uma vez, sabendo-se quais (e quantas) serão as aplicações, bem como seu método
de acesso (portas x serviços), devemos adotar um comportamento padrão para o Firewall.
Como regra geral e para maior segurança, sempre trabalhe com as cadeia “fechadas”, a não
ser em caso de situações muito específicas (ex. um número muito grande de portas).
CADEIA POLÍTICA
INPUT DROP
OUTPUT ACCEPT
FORWARD DROP
Política Default
Esta é uma política bem restritiva. Costuma-se deixar a cadeia OUTPUT em ACCEPT,
porque esta cadeia controla apenas o que sai do Firewall, sendo assim, não existe uma
implicação direta com a segurança da rede e, ao mesmo tempo, ocorre uma simplificação
maior das regras. Quando trabalhamos com uma cadeia em DROP, devemos especificar
todos os serviços que devem ser aceitos pela cadeia.
Por exemplo: No exemplo acima, não previmos o protocolo “icmp” (ping), portanto, não
será possível, na configuração atual do Firewall proposto saber se o Firewall ou o Link estão
ativos, a não ser indiretamente (abrindo o browser e testando a navegação, por exemplo).
ONDE:
1) iptables: Nome do executável que cria as regras de Firewall;
2) –t: Tabela usada. No caso, como é a tabela default (filter) poderia ser omitido;
3) Comando: “–A”, adiciona uma nova regra ao Firewall ( cria uma nova regra);
4) FORWARD: Cadeia a qual a regra se refere;
5) –p: Protocolo utilizado. Pode ser: tcp, udp, icmp, ou all (todos os três);
6) –s: Endereço Ip/máscara de origem do pacote;
COMANDO SIGNIFICADO
"-A" anexa regra à cadeia escolhida
"-D" apaga uma regra da cadeia escolhida
"-I" insere regras em uma cadeia existente
"-P" a política padrão ou default, para a cadeia escolhida
"-F" ou apaga todas as regras de uma cadeia
"-L" lista todas as regras de uma cadeia
Como mencionamos antes, a tabela “filter é a default, então podemos omiti-la na regra
acima, ficando está assim:
Além da política default para a cadeia, e a própria cadeia na qual esta será
implementada, uma regra depende fundamentalmente do modo de funcionamento do serviço
a ser controlado. Para ilustrar esta afirmação, seguem 3 exemplos:
DNS: O serviço de DNS utiliza a porta 53/UDP, para escutar as requisições dos
clientes e a porta 53/TCP para efetuar transferências de zonas DNS, entre servidores, logo,
uma rede que disponha também de servidores DNS, deverá prever regras de acesso também
para porta 53/TCP;
FTP: O Serviço de FTP utiliza a porta 21/TCP, para comandos entre Cliente/Servidor
e a porta 20/TCP, para o tráfego de dados;
ICMP: O protocolo ICMP, foi desenvolvido para teste de redes, sendo assim, existe
um tipo de pacote ICMP, para cada tipo de teste. A título de exemplo, um simples “ping”,
envolve dois tipos de pacotes icmp diferentes: tipo “0”, ou “echo response” , é a reposta do
host remoto a um ping recebido e tipo “8” ou echo request” é o “ping” propriamente dito. No
mínimo, caso a cadeia esteja “dropada” deve existir uma regra para os tipos “8” (ida) e “0”
(volta).
Para liberar o “ping” para os Clientes na rede interna, devemos adicionar a cadeia
FORWARD às regras:
Como definimos que nosso Firewall irá negar (drop) os pacotes nas cadeias INPUT e
FORWARD, precisaremos de regras específicas para cada cadeia:
Cadeia INPUT:
iptables -A INPUT-m state --state ESTABLISHED,RELATED -j ACCEPT
Cadeia FORWARD:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Para que um Firewall possa também funcionar como roteador, permitindo a passagem
de pacotes IP entre as redes envolvidas, precisamos ativar o NAT. Sem o NAT, o acesso as
redes Interna e Externa (ex: Internet), só será possível a partir do console do próprio Firewall,
o que não prático. Com o NAT, o Firewall atua como um intermediário, trocando os endereços
Ip de Origem ou destino por outro endereço, conforme o caso (daí o nome NAT: Tradução de
Endereço de Rede). Se o objetivo final é apenas prover acesso Internet aos clientes da Rede
Interna, usamos o nat “Dinâmico”. Por outro lado, se desejamos que Clientes na Internet,
possam se conectar a um servidor nosso, mesmo que este esteja configurado com um
endereço IP não roteável (“invalido”), utilizamos o nat “reverso”, também chamado de
“redirecionamento de portas”. As regras são as seguintes:
A regra acima substitui o endereço original do pacote que vêm do Cliente interno
(endereço inválido), trocando-o pelo endereço externo do firewall (endereço Internet).
A regra acima direciona os pacotes que vem para o firewall, para o servidor interno.
A regra acima direciona todos os pacotes que vem do servidor interno, de volta ao IP
externo do firewall.
Onde:
“$firewall”: É o endereço externo (endereço Internet) do Firewall, o único acessível ao
Cliente externo.
“$server”: É o endereço IP do servidor de aplicação (visível pelo firewall), que
desejamos contatar externamente.
Após esta última regra, o Firewall estará ativo e os Clientes deverão estar acessando
normalmente suas aplicações.
Um log é um arquivo texto que tem por finalidade registrar tudo o que ocorre no
sistema.
O destino dos registros pode ser qualquer arquivo em qualquer file system, ou até
mesmo um pc remoto.
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none /var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
Arquivo /etc/syslogd.conf
mail.* -/var/log/mail.log
user.* -/var/log/user.log
uucp.* /var/log/uucp.log
#
# Logging for the mail system. Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
#
# Some `catch-all' logfiles.
#
*.=debug;
auth,authpriv.none;
news.none;mail.none -/var/log/debug
*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none /var/log/messages
#
# Emergencies are sent to everybody logged in.
#
*.emerg *
#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;
# news.=crit;news.=err;news.=notice;
# *.=debug;*.=info;
# *.=notice;*.=warn /dev/tty8
# The named pipe /dev/xconsole is for the `xconsole' utility. To use it,
# you must invoke `xconsole' with the `-file' option:
#
# $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
# busy site..
#
daemon.*;mail.*;
news.crit;news.err;news.notice;
*.=debug;*.=info;
*.=notice;*.=warn |/dev/xconsole
Caractere Descrição
* Todos os níveis ou recursos
= É usado para montar esquemas de logging de maneira a
restringir o registro apenas a determinado nível ou recurso
- Indica uma exceção para um recurso ou nível
! Sinal de negação, utilizado para montar esquemas de logging
de maneira a especificar níveis ou recursos que não devem ser
registrados.
Exemplo:
auth,authpriv.* /var/log/auth.log
Essa linha acima pede para o syslog grava todas as informações da instrução auth
(autenticação) no /var/log/auth.log.
Arquivo Messages
Agora vamos entender como funciona o arquivo messages, é a partir dele que
começamos a investigação de qualquer problema do sistema, pois ele é o que contém mais
informações genéricas do sistema. Abaixo veremos um trecho do arquivo messages.
Dec 11 06:47:02 localhost syslogd 1.4.1#17: restart.
Conforme podemos observar o próprio syslog utiliza esse arquivo para logar as
informações de seu início.
Dec 12 07:38:01 localhost kernel: CPU: Intel(R) Pentium(R) 4 CPU 2.80GHz (2799.70-MHz
686-class CPU)
8.3. RELATÓRIOS
O Sarg ou “Gerador automático de relatórios do Squid”, é uma ferramenta em PHP,
que permite a geração de relatórios em páginas WEB, do conteúdo do arquivo de logs do
squid (access.log), através desta ferramenta, podemos claramente verificar dados
importantes para o bom funcionamento dos serviços bem como o controle do que os usuários
estão acessando na Internet. Abaixo podemos visualizar um “screenshot” de um relatório de
acesso utilizando o Sarg:
Instalação e Configuração:
A Instalação e rápida e simples. “Algumas distribuições possuem inclusive pacotes
“.rpm” mas, caso isto não ocorra com a sua distribuição, nem por isso sua configuração será
difícil ou cansativa. Para instalar e configurar o Sarg a partir dos seus fontes, proceda
conforme indicado abaixo:
Passo 4: Concluídos com sucesso os passos acima, será criado um diretório base do
Sarg em ‘/usr/local/sarg”. Agora, tudo o que precisamos é editar um único arquivo de
configuração (sarg.conf). Para isso execute o comando abaixo:
vim /usr/local/sarg/etc/sarg.conf
Passo 7: Ative o “apache”. Isto dependerá de qual distribuição está utilizando. No caso
específico do CentOS, execute o comando abaixo:
service httpd restart
• Planejamento
• Tipos dos testes de penetração
• Ataques de ambiente
• Ataques de entrada
• Ataques de dados e lógica
• Cuidados com serviços
• Ferramentas para testes de Intrusão
Atualmente, os testes de penetração são realizados de maneira muito mais metódica. Isso
é necessário porque o SDL (Security Development Lifecycle), além do projeto de segurança
com carregamento frontal e do foco no desenvolvimento, está reduzindo o número de defeitos
latentes, o que torna muito mais difícil a tarefa de encontrar vulnerabilidades durante os testes.
Os testes de segurança de software são muito importantes. Eles devem ser metódicos,
podendo ser ensinados e repetidos, para que todos possam ser aplicados em uma ampla
gama de circunstâncias.
Isso sem mencionar que os testes de penetração são uma ciência. Todos os testes têm
aspectos exploratórios; os testadores aplicam entradas, que alteram os dados dentro do
software, fazendo com que eles reajam de várias formas. A complexidade é tamanha para
que haja uma previsão precisa.
Planejamento
Com os testes tradicionais, especificações, documentações do usuário, casos de uso e
outras documentações de design estão abundantemente disponíveis. Essas informações
podem ser usadas para criar um conjunto de casos de teste que verificarão a funcionalidade
especificada. Mas as fontes de informações disponíveis a respeito do planejamento são muito
limitadas. Testes de penetração não significam verificar funcionalidade; trata-se de verificar a
ausência de funcionalidade sem segurança. Infelizmente, ninguém definiu nenhum artefato
de desenvolvimento de software para esses comportamentos, e os testadores são obrigados
a procurá-los por si.
O primeiro lugar para colher informações a respeito dos testes de penetração são as
interfaces entre o software e o ambiente externo. Interfaces do usuário, interfaces de rede,
APIs e qualquer outro lugar em que entradas sejam processadas são claros vetores de ataque
para hackers. Caso alguma destas interfaces esteja mal projetada ou implementada, elas
podem permitir entradas criadas de maneira mal-intencionada e a destruição causada por
elas.
Identificar e documentar essas interfaces são um bom lugar para começar os testes de
penetração.
A segunda área que exige atenção especial são as mensagens de erro e as caixas de
diálogo de alerta do usuário, que comunicam informações do software para usuários externos.
Como esses usuários podem ter más intenções, é importante compreender quais
informações são reveladas a eles e como essas informações são comunicadas.
Ataques de ambiente
O software não é executado isoladamente. Ele conta com um número qualquer de binários
e módulos equivalentes a códigos como, por exemplo, scripts e plug-ins. Ele também pode
usar informações de configuração do Registro ou do sistema de arquivos, bem como bancos
de dados e serviços que podem residir em qualquer lugar. Cada uma dessas interações
ambientais pode ser a fonte de uma violação de segurança e, por isso, deve ser testada.
Também existem algumas perguntas importantes que você deve fazer a respeito do nível
de confiança que o aplicativo tem nessas interações, algumas delas:
Qual é o nível de confiança que o aplicativo tem no ambiente local e nos recursos
remotos?
Ele confia em todos os arquivos ou bibliotecas que carrega sem verificar o conteúdo?
Um invasor pode explorar essa confiança para forçar o aplicativo a aceitar sua oferta?
Ataques de entrada
Em testes de penetração, o subconjunto de entradas provenientes de fontes não
confiáveis é o mais importante. Elas incluem caminhos de comunicação como, por exemplo,
protocolos de rede e soquetes, funcionalidades remotas expostas como DCOM, RPCs
(chamadas de procedimento remoto) e Web services, arquivos de dados (binários ou de
texto), arquivos temporários criados durante a execução e arquivos de controle como scripts
e XML, todos eles sujeitos à violação. Por fim, a interface do usuário que controla a permissão
da entrada do usuário direta, inclusive telas de logon, front-ends da Web e similares, também
deve ser verificada.
Você precisará testar e ver se a entrada perigosa pode ser inserida nos controles da
interface do usuário e descobrir o que ocorre quando isso acontece. Isso inclui caracteres
especiais, entrada codificada, fragmentos de script, cadeias de caractere de formato,
sequências de escape. Você precisará determinar se cadeias de caracteres longas
incorporadas a campos de pacotes ou arquivos e que são capazes de causar estouro de
memória passarão sem problemas. Os pacotes corrompidos em fluxos de protocolo também
são uma preocupação. Você deve procurar falhas e paralisações e verificar a pilha em busca
de danos na memória explorável.
Por fim, você deve verificar se coisas como mensagens de validação e de erro acontecem
no local certo (no lado do cliente, e não no lado do servidor) como uma defesa apropriada
contra uma entrada incorreta.
Os ataques de entrada são bem parecidos como lançar granadas contra um aplicativo.
Alguns deles serão abortados apropriadamente e outros farão com que o software exploda. É
de responsabilidade da equipe de penetração determinar qual é o que e iniciar as correções
apropriadas.
Por exemplo, a divulgação das informações pode acontecer quando as entradas que
controlam mensagens de erro e outras entradas geradas revelam informações exploráveis a
um invasor. Um exemplo prático desses dados que você deve sempre remover são as contas
de teste codificadas ou as APIs de teste (que são normalmente incluídas em compilações
internas para auxiliar na automação do teste). Eles podem fornecer acesso fácil a um invasor.
Mais dois testes que você deve executar são inserir credenciais falsas para determinar se os
mecanismos de autorização internos são eficientes e escolher as entradas que variam os
caminhos de código. Normalmente, um caminho de código é seguro, mas a mesma
funcionalidade pode ser acessada de maneira diferente, o que poderia ignorar
inadvertidamente alguma verificação crucial.
Não se intimide
Os testes de penetração são muito diferentes dos testes funcionais tradicionais; os
testadores de penetração não apenas se ressentem da falta de documentação apropriada,
mas também devem ser capazes de pensar como usuários que pretendem provocar danos.
Esse ponto é muito importante – os desenvolvedores normalmente operam com a
pressuposição de que nenhum usuário razoável executaria um determinado cenário,
negando, assim, a correção de bug. Mas você não pode, efetivamente, dar chances como
essa.
Servidores de Autenticação/Proxy
Um servidor proxy fornece vários aprimoramentos de segurança. Ele permite aos
administradores concentrar serviços através de um host específico para permitir
monitoração, esconder a estrutura interna, etc. Esta concentração dos serviços cria um
alvo atraente para um intruso potencial.
Correio Eletrônico
Os sistemas de correio eletrônico (e-mail) foram, por um longo tempo, uma fonte para
intrusos porque os protocolos de e-mail estão entre os mais antigos e os serviços mais
amplamente utilizados. Também, por sua natureza, um servidor de e-mail requer acesso
ao mundo externo; a maioria dos servidores de e-mail aceita entrada de qualquer origem.
Existem algumas implementações disponíveis que permitem uma separação dos dois
agentes. Tais implementações são geralmente consideradas mais seguras, mas ainda
exigem instalação cuidadosa para evitar a criação de um problema de segurança.
WWW aceita algum tipo de direção e ação de pessoas acessando seus serviços. O
exemplo mais comum é enviar um pedido de um usuário remoto e passar a informação
fornecida para um programa executando no servidor para processar o pedido.
Alguns desses programas não são escritos com segurança em mente e podem criar
furos de segurança. Se um servidor Web está disponível para a comunidade Internet, é
especialmente importante que informações confidenciais não sejam colocadas no mesmo
host que o servidor. De fato, é recomendado que o servidor tenha um host dedicado que
não é confiável pelos outros hosts internos.
Muitos sites podem querer colocar serviço FTP com seu serviço WWW. Mas isto
deveria ocorrer somente para servidores de ftp-anônimo que apenas fornecem
informações (ftp-get). Operação put no ftp-anônimo, em combinação com WWW, pode ser
perigoso (por exemplo, elas poderiam resultar em modificações para as informações que
seu site está publicando para a rede) e eles mesmos fazem as considerações de
segurança para cada serviço diferente.
NFS
O Serviço de Arquivo de Rede (Network File System) permite aos hosts compartilhar
discos comuns. NFS é frequentemente usado por hosts sem disco que dependem de um
Sistemas de arquivos não deveriam ser exportados para qualquer host externo à rede
local, uma vez que isso irá necessitar que o serviço NFS seja acessível externamente.
Idealmente, o acesso externo ao serviço NFS deveria ser bloqueado por um firewall.
Firewalls
Uma das medidas de segurança mais amplamente empregada e publicada em uso
na Internet é um "firewall".
Firewalls não são sempre, ou mesmo tipicamente, uma única máquina. Firewalls são
frequentemente uma combinação de roteadores, segmentos de rede, e computadores
host. Portanto, para o propósito desta discussão, o termo "firewall" pode consistir em mais
de um dispositivo físico. Firewalls são tipicamente construídos usando dois diferentes
componentes, roteadores de filtragem e servidores proxy.
Existem benefícios de segurança significantes que podem ser obtidos pelo uso de
servidores proxy. É possível adicionar listas de controle de acesso para protocolos, exigir
que usuários ou sistemas forneçam algum nível de autenticação antes do acesso ser
concedido. Servidores proxy mais espertos, algumas vezes chamados Gateways da
Camada de Aplicação, podem ser escritos de modo que entendam protocolos específicos
e podem ser configurados para bloquear somente subseções do protocolo. Por exemplo,
um Gateway de Aplicação para FTP pode reconhecer a diferença entre o comando "put"
e o comando "get"; uma organização pode desejar permitir aos usuários realizar "get" de
arquivos da Internet, mas não permitir "put" de arquivos internos no servidor remoto. Em
contraste, um roteador de filtragem poderia ou bloquear todo acesso ao FTP, ou não, mas
não um subconjunto.
Servidores proxy também podem ser configurados para criptografar fluxos de dados
baseado em uma variedade de parâmetros. Uma organização pode usar esta
característica para permitir conexões criptografadas entre duas localizações interligadas
via Internet.
Nessus:
O Nessus é um software de auditoria de redes e varredura de vulnerabilidades que
pode ser utilizado para descobrir falhas de segurança em sistemas UNIX e Windows. É
possível ajustar o aplicativo para reproduzir a política de segurança de sua empresa, dos
relatórios públicos das agências de segurança NSA, CERT e CIS, dentre outras.
Nmap:
Nmap é um software livre que realiza port scan desenvolvido pelo auto-proclamado
hacker Fyodor. É muito utilizado para avaliar a segurança dos computadores, e para descobrir
serviços ou servidores em uma rede de computadores.
Metasploit:
Metasploit é uma ferramenta utilizada, em sua maior parte, por Pen Testers, para
a realização de testes de penetração (penetration test), podendo ser usada pelas mais
variadas áreas, para fins de testes, análises, conhecimento etc.
Scanmetender Standart:
Scanmetender Standart é um scanner de rede multifuncional e suíte de
segurança, que não só é capaz de mostrar-lhe abrir as portas do seu computador,
também para fechá-las.
Superscan:
SuperScan é um scanner de portas gratuito voltado para utilizadores Windows.
Com ele é possível fazer um scan em diversas portas em uma rede, gerando reports,
estatísticas e informações sobre a rede. De fácil utilização, ele pode ser utilizado
facilmente por um utilizador mais leigo.
Unicornscan:
Unicornscan é uma reunião de informação e mecanismo de correlação
construída para e pelos membros da investigação sobre segurança e as comunidades
de testes. Ele foi projetado para fornecer um motor que é escalável, flexível e eficiente.
Ele é liberado para a comunidade a utilizar nos termos da licença GPL.