Instituto Superior Tcnico, Taguspark Gesto de Redes e Servios 3 Ano, 2 Semestre 2007/2008

LERC Data: 29-05-2008

Actividade 3 Fase de Integrao

Grupo 1
Nome: Antnio Lages Nome: Daniel Silvestre Nome: Hugo Freire Nmero: 57441 Nmero: 57442 Nmero: 57476

1. Objectivo
A presente etapa tinha como objectivo integrar as vrias componentes da rede, montadas individualmente na fase anterior. Nesta fase foram crticos certos procedimentos para garantir o sucesso da interaco de cada parte com a restante rede. Os prximos tpicos descrevero as medidas tomadas durante a fase de planeamento, as configuraes finais necessrias integrao dos routers e as metodologias adoptadas para garantir o cumprimento tanto dos prazos como dos objectivos.

2. Requisitos de negcio, tcnicos e funcionais

A empresa Alfa & mega dedica-se venda de produtos on-line atravs de um site de vendas na Internet. Dada a sua expanso decidiu criar uma delegao em Oeiras que ter um cybercafe com intuito de fortalecer as relaes com os clientes. A projeco da rede para a empresa Alfa & mega tinha alguns requisitos que seguidamente mencionaremos. As regras de negcio para esta empresa so: 1. Pontos de acesso diferenciados para clientes e funcionrios que se encontrem no cybercafe; 2. Comunicao interna realizada atravs de email; 3. Informao da empresa presente numa intranet; 4. Site pblico para vendas on-line; 5. Distribuio de vdeos promocionais pelos funcionrios de marketing e clientes do cybercafe; 6. Acesso remoto aos emails; 7. Acesso remoto intranet; 8. Ligao da delegao de Oeiras para a sede no Porto atravs de um ISP (Internet Service Provider); 9. Pontos de acesso diferenciados para clientes e funcionrio do cybercafe. Existem caractersticas tcnicas que a soluo deveria respeitar. Estes requisitos de rede so: 1 / 22

1. 2. 3. 4. 5. 6.

Utilizao de proxies para reduo dos acessos Internet; Cobertura WiFi na loja de Oeiras para os funcionrios a presentes; Garantir o suporte IPv4; Usar apenas o domnio alfaomega.pt disponvel; Utilizar o nmero reduzido de IPs pblicos existentes. O sistema telefnico existente no para ser alterado.

Alm destes requisitos de negcio e de tecnologia convm mencionar os que resultaram do nosso levantamento inicial e que so funcionais: 1. Segurana na rede contra ataques externos; 2. Segurana interna (cybercafe); 3. Bom desempenho e monitorizao nos pontos crticos da rede; 4. Escalabilidade da soluo; 5. Redundncia. 6. Proteco contra contedos indesejados; 7. A alterao do servidor web e servio de nomes para a delegao de Oeiras no dever demorar mais de 48 horas.

3. Caracterizao da rede
Comeando a anlise da rede com uma perspectiva de alto nvel a nossa soluo pode ser apresentada conceptualmente como:

Figura 1 Representao de alto nvel da rede pretendida. Podemos considerar que a rede se resume a duas redes de menores dimenses ligadas Internet. Existe uma VPN para possibilitar a comunicao entre ambas de forma segura. A rede da sede no Porto no est no mbito do projecto. Seguidamente analisaremos com mais detalhe a delegao de Oeiras, foco do nosso trabalho.

2 / 22

A rede da delegao de Oeiras representa-se conceptualmente pela figura seguinte:

Figura 2 Representao lgica da rede da delegao de Oeiras. O desenho da rede teve em conta os requisitos levantados na fase inicial do trabalho. A Figura seguinte ilustra detalhadamente a rede desenhada.

Figura 3 Representao detalhada da rede de Oeiras. 3 / 22

A rede ento dividida em 3 VLANs (cybercafe, office e datacenter) feitas num switch de nvel 3 e uma outra VLAN que ter todos os servidores pblicos, representada por um switch de nvel 2. Os switches so ligados a dois routers que logicamente so apenas um. Usando o software keepalived foi possvel construir esta estrutura de redundncia. Nos sub-pontos seguintes avaliaremos em que medida o desenho escolhido satisfaz os requisitos.

3.1. Avaliao dos requisitos de negcio

A nossa soluo assentou num conceito de separar os utilizadores por locais onde se podem encontrar, embora existam algumas reas s quais s possvel aceder atravs de autenticao (exemplo dos Access Points -AP). O cybercafe uma zona onde so permitidos dois tipos de acesso: por cabo e wireless. A escolha permite que existam acessos Internet atravs dos APs para funcionrios devidamente autenticados e aos clientes que a se desloquem atravs dos terminais instalados. Tanto clientes como funcionrios de marketing presentes deveriam conseguir aceder aos vdeos promocionais disponibilizados para fortalecer a relao com o cliente. Realizamos este objectivo colocando um Streaming Server que se encontra no Datacenter e que poder ser acedido por ambos os tipos de utilizadores. Um dos pontos crticos da organizao da empresa o facto de usarem o email como forma de comunicao e ser necessrio aceder-lhes em qualquer local onde se encontrem, dado este facto colocmos um servidor de email tanto na zona interior (denotada por INT na Figura 3) como na DMZ (DeMilitarized Zone). Esta escolha apresenta ainda razes de funcionalidade que sero abordadas mais adiante neste relatrio. A exigncia de ter a informao interna empresa acessvel para todos os funcionrios atravs de uma intranet, partilhada pelas duas delegaes exigia que se estabelecesse um caminho lgico seguro, bem como uma poltica de restries de acessos s pginas. Para tal ser possvel, temos um servidor de VPN (Virtual Private Network) na VLAN (Virtual Local rea Network) do Office da Figura 3 e uma fase de autenticao aquando do acesso pgina pretendida. Por ltimo, a empresa para o seu negcio precisa de ter uma pgina web disponvel para as suas vendas on-line que se encontra alojada no servidor web do Datacenter.

3.2. Avaliao dos requisitos tcnicos

O projecto de criar uma nova delegao e correspondente rede em Oeiras obedecia obviamente a certas restries e impunha alguns requisitos de ordem tcnica. A meta de diminuir os acessos Internet foi conseguida atravs da colocao de um proxy. Qualquer computador que pretenda aceder Internet dever antes contactar o proxy e esta que faz os acessos todos. A necessidade de cobertura WiFi com autenticao levou-nos a colocar um servidor de Radius na VLAN do cybercafe. Dois requisitos relacionados eram o facto de a empresa dispor de poucos endereos IP pblicos e de ter um domnio apenas. A utilizao de NAT (Network Address Translation) tornou possvel que tivssemos IPs pblicos apenas nas mquinas que comunicam directamente com a Internet. Garantimos a utilizao do domnio da 4 / 22

empresa tanto para o email como para o Web Server. O DNS (Domain Name System), atravs do uso de alias, consegue resolver os nomes e desta forma temos um uso mais eficiente do domnio da empresa. Resta apenas referir que a rede deveria, toda ela, suportar IPv4, dado que a delegao do Porto tambm usa. Desta forma no h nenhum servio ou componente que apenas permitia IPv6. Alm disso o sistema telefnico e a sua integrao com a rede digital no estavam no mbito deste projecto pelo que nada deveria ser mudado.

3.3. Avaliao dos requisitos funcionais

Os requisitos funcionais resultaram de uma anlise por parte da equipa sobre quais as caractersticas que a rede deveria ter para alm das tcnicas e das respeitantes ao modelo de negcio. Neste ponto inclumos a segurana interna e externa. Foram concretizadas com uma firewall para distinguir o trfego e evitar ataques externos nossa rede e com a autenticao nos APs, impossibilitando os clientes de terem acessos privilegiados e estabelecendo polticas de segurana para funcionrios. Alm disso o uso da VPN para acesso remoto a servios (como a intranet) garante que existe segurana nessas comunicaes. Dado a rede ter ndole profissional indesejado que toda e qualquer informao possa circular. Nesse sentido existem filtros instalados no proxy para filtrar informao e acessos no autorizados. Uma preocupao constante foi a escalabilidade da soluo pelo que se recorreu a gamas de IP privado para as VLAN suficientemente grandes para que no sejam precisas mudanas num futuro prximo. A redundncia, enquanto garantia de disponibilidade, foi um requisito importante e aplicado em vrias componentes das quais se destacam: os routers, o DNS e o email (atravs do uso de um servidor pblico para garantir o funcionamento no caso de falhar o interno e vice-versa). Finalmente a rede no deveria estar indisponvel por mais de 48 horas enquanto se processava a transferncia do DNS e do Web Server para as instalaes de Oeiras. Posto isto, o nosso grupo optou por (em caso real) manter a delegao do Porto funcional enquanto se montava e experimentava a rede de Oeiras. Quando tudo estava pronto desligaram-se os servidores do Porto e ligaram-se os de Oeiras. Durante a nossa montagem tivemos a possibilidade de simular este facto porque conseguimos colocar a rede funcional antes de a ligar Internet. Este facto foi considerado no planeamento pelo que foi assumido um tempo de montagem no superior a 48 horas.

4. Descrio dos servios da rede

A nossa rede suporta alguns servios com funcionalidades que interessa referir. O email usa um servidor que executa o exim para armazenar as mensagens das vrias contas. O courrier imap serve para interligar o servio de email interno e o externo (executado pelo webmail squirrelmail). As principais componentes so: antivrus, anti-spam e a separao dos dois servios. O proxy usa o software squid que tem a possibilidade de usar cache de memria, de disco e de nomes. Possibilita bloquear sites e palavras, o que especialmente til no mundo empresarial. O web server usa apache e estende as funcionalidades de bloqueio de sites.

5 / 22

O streaming tem como principais funcionalidades poder bloquear IP, restringir a qualidade por gamas de IP e especificar o servidor de DNS e proxy a utilizar. O DNS utiliza um master, um caching e um slave. O servio tem como qualidades principais o maior isolamento da informao garantindo menor dependncia de uma mquina. O uso do caching aumenta a performance da soluo. O servidor de DHCP permite estabelecer um tempo para as sesses (cybercafe tem sesses de 1 hora e para o office so 24horas). Os endereos MAC (Media Access Control) a que so atribudos os IP so guardados para permitir atribuir sempre o mesmo IP, quando possvel. Por fim, a VPN usa o protocolo poptop com protocolo de encriptao mppe. Oferece comunicao em trs semnticas diferentes (cliente cliente, cliente lan e lan lan).

5. Configurao final dos routers

Devido a alguns contratempos, os routers da rede foram substitudos por computadores com o sistema operativo Kubuntu. A configurao final pode ser obtida da seguinte forma: 1. Crie um directrio mkdir firewall 2. Crie os ficheiros firewall.sh, interfaces e keepalived.conf atravs de um editor de texto. O cdigo correspondente encontra-se no Anexo 1 dado o seu tamanho 3. Abrir uma linha de comandos e fazer o login como root # sudo -s Password: lab021 4. Obter o pacote keepalived apt-get install keepalived 5. Obter o pacote iptables apt-get install iptables 6. Correr o script de configurao firewall.sh que ser apresentado a seguir ./firewall.sh No final desta fase poder executar os cartes de teste no Anexo 2 e confirmar que a sua configurao est correcta. A configurao dos routers e da redundncia (baseada no software keepalived) baseada apenas em definir os papis que cada computador vai assumir e as suas interfaces. Em relao firewall necessrio justificar algumas das escolhas. No incio optmos por uma soluo restritiva onde bloquevamos tudo e colocvamos excepes. Provou no ser a melhor teoria dado o grande nmero de protocolos usados pelos servios implementados pelos colegas. Mudmos de estratgia e optmos por uma poltica permissiva onde bloqueamos certos tipos de trfego e ataques conhecidos. de 6 / 22

destacar o syn flooding, o ip spoofing e o tcp fragments attack. Definimos regras de restrio para as comunicaes entre a zona interna e a DMZ. A firewall faz NAT e marca pacotes com o objectivo de lhes dar maior prioridade na rede ( sada e entrada), sendo o QoS (Quality of Service) garantido pela mesma.

6. Plano de integrao
O plano de integrao definido pelo grupo foi o presente na figura abaixo:

Figura 4 Grfico de PERT referente ao planeamento da integrao. Decidimos que deveriam existir gestores de projecto (Daniel e Lus) e que uma das pessoas de cada grupo deveria ser o porta-voz do grupo a cada momento (existiria sempre uma pessoa por grupo que dominava a sua componente para esclarecimento de dvidas com outros grupos e para reportar aos gestores). Dado alguns problemas a configurar o servidor de Radius terem surgido durante a fase de integrao com os APs, o Lus no pode assumir esse cargo, tendo focado a sua ateno a resolver esse problema. A partir deste momento o Daniel ficou responsvel por organizar a integrao segundo o plano estipulado pela equipa. Para apoiar o processo de gesto da integrao e dar ao gestor de projecto meios de guiar o seu trabalho, a equipa construiu um grafo de dependncias. Na imagem seguinte ele apresentado.

7 / 22

Figura 5 Grfico de dependncias das tarefas de integrao. O processo de integrao contava com um modelo de dois fluxos de integrao em paralelo (zona pblica e privada) e dentro de cada um s se avanava para a fase seguinte quando se tivesse resultado positivo em todos os testes para essa fase e anteriores. Nvel de integrao Sem integrao Milestone Cartes de teste Configurao individual Para os routers so os dos equipamentos cartes de teste: 1, 2 e 3 Routers + Switches Ter a rede principal Carto de teste n 4 + Servidores Ter servios disponveis Carto de teste n 5 + DNS Conseguir resolver nomes Carto de teste n 6 + VPN Comunicao segura com a Carto de teste n 7 sede do Porto + APs + DHCP + Radius Ter autenticao nos APs Carto de teste n 8 e atribuio dinmica de endereos na rede Tabela 1 Testes e Milestones para cada fase de integrao. 8 / 22

A tabela supra indicada revela o que era esperado no final de cada tarefa de integrao, bem como os cartes de teste correspondentes. No decorrer da montagem optmos por correr todos os testes que precediam cada milestone e no apenas o seu correspondente. Desta forma, garantimos que aps integrarmos mais um componente toda a integrao anterior continuava a funcionar. Avaliando o planeamento, detectamos que dois pontos eram optimistas demais. A fase de integrao dos routers com os switches falhou claramente as 2 horas previstas, bem como a fase de integrao da DMZ com a zona interna. A falha do DNS verificou-se nesta altura e a tarefa excedeu as 7 horas previstas. Estes atrasos comprometeram a preparao da apresentao e so algo a ter em quanto em futuras demonstraes. No final do prazo estava tudo funcional excepo do DNS porque no foi possvel resolver os problemas resultantes da integrao. O nosso grupo decidiu dividir o trabalho pelas trs pessoas da seguinte forma: o Antnio ficaria com a parte do routing, o Hugo com a redundncia e o Daniel com a Firewall. Durante o processo de integrao foi preciso auxiliar outros colegas (exemplo dos switches) e houve parte do tempo dispendido tanto pelo Hugo como pelo Daniel neste sentido.

7. Plano de testes de integrao

Os testes de integrao dos routers dividem-se em dois grupos: testes com os servios e testes com o hardware. Os testes com os servios so os testes de integrao normais a cada servio e que se realizam entre dois pontos de tal forma a que a informao tenha de passar pelos routers. Os testes com o hardware esto descritos no Anexo 2. Todos os restantes componentes devem ser testados individualmente antes da integrao com os cartes de teste fornecidos pelas respectivas sub-equipas antes da integrao.

9 / 22

8. Demonstrao
A demonstrao das funcionalidades assentou num guio que se encontra na prxima figura:

Tabela 2 Guio usado na apresentao. A escolha da sequncia de apresentao foi um best-effort porque tivemos restries ao nvel da presena dos elementos da equipa. Sendo assim escolheu-se um sequncia que apresentasse alguma lgica mas que libertasse os membros da equipa que tinham de sair mais cedo. Desta forma optou-se por comear pelo baixo nvel at chegar aos servios.

9. Bibliografia
[1] http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm [2] http://tools.ietf.org/html/draft-ietf-vrrp-spec-v2-10 [3] http://www.keepalived.org/ [4] http://www.netfilter.org/

10 / 22

Anexo 1 Ficheiros de configurao

firewall.sh !/bin/sh echo -e "\n\nSETTING UP IPTABLES FIREWALL..." EXTIF="eth2" INTIF="eth3" DMZIF="eth1" echo "Copying network configuration files..." /bin/cp -r interfaces /etc/network /bin/cp -r keepalived.conf /etc/keepalived/ echo "Restarting network interfaces..." /etc/init.d/networking restart /sbin/ifup $EXTIF /sbin/ifup $INTIF /sbin/ifup $DMZIF echo "Setting routes..." /bin/ip route flush table main /sbin/route add -net 192.168.0.0 netmask 255.255.255.0 dev $INTIF /sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.1 dev $INTIF /sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.0.1 dev $INTIF /sbin/route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.0.1 dev $INTIF /sbin/route add -net 192.168.4.0 netmask 255.255.255.0 dev $DMZIF /sbin/route add -net 0.0.0.0 netmask 0.0.0.0 dev $EXTIF /etc/init.d/keepalived restart EXTIP="`/sbin/ifconfig $EXTIF | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`" INTIP="`/sbin/ifconfig $INTIF | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`" DMZIP="`/sbin/ifconfig $DMZIF | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`" EXTNET="${EXTIP%.*}.0/24" INTNET="${INTIP%.*}.0/24" DMZNET="${DMZIP%.*}.0/24" echo "Loading required stateful/NAT kernel modules..." /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc

11 / 22

/sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp echo "Enabling IP forwarding" echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "External interface: $EXTIF" echo "External interface IP address is: $EXTIP" echo "Loading firewall server rules..." # Clear any existing rules and setting default policy to ACCEPT iptables iptables iptables iptables iptables iptables iptables -P -F -P -F -P -F -t INPUT ACCEPT INPUT OUTPUT ACCEPT OUTPUT FORWARD ACCEPT FORWARD nat -F

# Flush the user chain.. if it exists if [ "`iptables -L | grep drop-and-log-it`" ]; then iptables -F drop-and-log-it fi # Delete all User-specified chains iptables -X # Reset all IPTABLES counters iptables -Z #Creating an external chain iptables -N external # Creating a DROP chain iptables -N drop-and-log-it iptables -A drop-and-log-it -j LOG --log-level info --log-prefix "PACKET_REJECTED: " iptables -A drop-and-log-it -j REJECT echo -e "Loading INPUT rule sets" # Bloquear todos os acessos a web que venham da int mas no do proxy iptables -A FORWARD ! -d 192.168.1.7 -o $EXTIF -p tcp --sport 80 -j drop-and-log-it iptables -A FORWARD ! -d 192.168.1.7 -o $EXTIF -p tcp --sport 3128 -j drop-and-log-it # Bloquear o interior sem ser a VPN e DMZ iptables -A INPUT -i $EXTIF -d 192.168.3.2 -j ACCEPT iptables -A INPUT -i $EXTIF -d 192.168.4.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.3.2 -j ACCEPT iptables -A FORWARD -d 192.168.4.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -j DROP iptables -A FORWARD -d 192.168.1.0/24 -j DROP

12 / 22

iptables -A FORWARD -d 192.168.2.0/24 -j DROP iptables -A FORWARD -d 192.168.3.0/24 -j DROP # SYN-Flooding Protection chain iptables -N syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j drop-and-log-it ###chain #ping da iptables 2/s external### morte -A external -p icmp --icmp-type echo-request -m limit --limit -j ACCEPT

#syn flood iptables -A external -i $EXTIF -p tcp --syn -j syn-flood # Make sure that new TCP connections are SYN packets iptables -A external -p tcp ! --syn -m state --state NEW -j drop-andlog-it # Drop fragments iptables -A external -f -j drop-and-log-it # Refuse spoofed packets claiming to be the loopback iptables -A external -d 127.0.0.0/8 -j drop-and-log-it # Remote interface, claiming to be local machines, IP spoofing, get lost #iptables -A external -s $INTNET -d 0.0.0.0/0 -j drop-and-log-it #handler do exterior iptables -A INPUT -i EXTIF -j external # Windows NetBIOS iptables -A INPUT DROP iptables -A INPUT DROP iptables -A INPUT DROP noise, drop -i $EXTIF -p udp -s 0.0.0.0/0 --sport 137:139 -j -i $DMZIF -p udp -s 0.0.0.0/0 --sport 137:139 -j -i $INTIF -p udp -s 0.0.0.0/0 --sport 137:139 -j

# outgoing to local net on remote interface, stuffed routing, deny iptables -A OUTPUT -o $EXTIF -s 0.0.0.0/0 -d $INTNET -j drop-and-logit # Enable SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP #Tabela mangle iptables -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -p udp --dport 53 -j TOS --set-tos 0x10 iptables -t mangle -A FORWARD -p tcp --dport 80 -j TOS --set-tos 0x10 iptables -t mangle -A FORWARD -p udp --dport 53 -j TOS --set-tos 0x10 echo -e "Firewall server rules loading complete\n\n"

13 / 22

interfaces # lo auto lo iface lo inet loopback # DMZIF iface eth1 inet static address 192.168.1.2 netmask 255.255.255.0 # INTIF iface eth2 inet static address 192.168.0.2 netmask 255.255.255.0 # EXTIF iface eth3 inet dhcp keepalived.conf vrrp_instance int { state MASTER interface eth2 virtual_router_id 1 priority 100 authentication { auth_type PASS auth_pass monday } track_interface { eth2 eth3 } virtual_ipaddress { 192.168.0.1/24 brd 192.168.1.255 dev eth2 } } vrrp_instance dmz { state BACKUP interface eth1 virtual_router_id 1 priority 50 authentication { auth_type PASS auth_pass monday } track_interface { eth1 eth3 } virtual_ipaddress { 192.168.1.1/24 brd 192.168.1.255 dev eth1 } }

14 / 22

Anexo 2 Testes para os routers

CARTO DE TESTE N1
Objectivo do teste Testar a conectividade dos routers.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios
A montagem dever corresponder ao desenho da rede.

Montagem

Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.

Procedimentos de teste
Lista de procedimentos

Seguir 5.Configurao final dos routers Executar o comando ping <ip destino> desde a origem e destino em que se pretende verificar a conectividade.

Resultados
Resultados esperados O comando ping retornar sempre o tempo que levou a executar-se e nunca dar host unreachable ou timeout.

Resultados obtidos Os resultados obtidos foram os esperados.

15 / 22

CARTO DE TESTE N2
Objectivo do teste Testar redundncia dos routers.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios
A montagem dever corresponder ao desenho da rede.

Montagem

Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.

Procedimentos de teste
Lista de procedimentos

Seguir 5.Configurao final dos routers Executar o comando ping <ip destino>. Retirar o cabo que liga a origem ao router master. Executar o comando ping <ip destino>.

Resultados
Resultados esperados No ecr dos logs do router dever aparecer que o router master est down e passado alguns segundos o router que estava em slave state dever assumir o papel de master.

Resultados obtidos Os resultados obtidos foram os esperados.

16 / 22

CARTO DE TESTE N3
Objectivo do teste Testar a firewall dos routers.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios
A montagem dever corresponder ao desenho da rede.

Montagem

Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.

Procedimentos de teste
Lista de procedimentos

Seguir 5.Configurao final dos routers Gerar trfego que no cumpra as regras. Exemplo: ping f <ip destino>.

Resultados
Resultados esperados No ecr dos logs do router dever aparecer a descrio dos pacotes de ICMP ou outros que esto a ser descartados.

Resultados obtidos Os resultados obtidos foram os esperados.

17 / 22

Anexo 3 Testes de integrao

CARTO DE TESTE N4
Objectivo do teste Testar o encaminhamento certo das VLAN do switch para o router.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2)
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN.

Montagem

Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.

Procedimentos de teste
Lista de procedimentos

Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch descrito no relatrio da sub-equipa correspondente. Executar o comando ping <ip destino> desde a origem e destino em que se pretende verificar a conectividade. Repetir este ltimo passo para vrios pares de origem-destino, de preferncia a passar por todas as combinaes de VLANs possveis.

Resultados
Resultados esperados O comando ping retornar sempre o tempo que levou a executar-se e nunca dar host unreachable ou timeout.

Resultados obtidos Os resultados obtidos foram os esperados.

18 / 22

CARTO DE TESTE N5
Objectivo do teste Testar os vrios servios.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores (streaming, email, proxy e web server)
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede.

Montagem

Topologia da rede Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ.

Procedimentos de teste
Lista de procedimentos

Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch e servidores descrito no relatrio da sub-equipa correspondente. Tentar aceder aos vrios servios de cada servidor.

Resultados
Resultados esperados Resultados obtidos Os resultados obtidos foram os esperados. Obter a execuo correcta do servio.

19 / 22

CARTO DE TESTE N6
Objectivo do teste Testar resoluo de nomes.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores - Clientes e servidor de VPN - Computadores na rede com o software de packet sniffing wireshark - Vrios computadores com os servidores de DNS necessrios
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os clientes da VPN nos locais correspondentes. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede. Ligar o DNS.

Montagem

Topologia da rede Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ. Rede do Porto ligada por VPN rede de Oeiras.

Procedimentos de teste
Lista de procedimentos

Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch, servidores, DNS e VPN descrito no relatrio da sub-equipa correspondente. Tentar aceder a todos os servios anteriores, mas desta vez especificando nomes em vez de endereos IP.

Resultados
Resultados esperados Resultados obtidos Os resultados obtidos mudaram ao longo do tempo. Inicialmente foram obtidos os resultados esperados depois deixou de o ser possvel. Uma mensagem de erro era passada para os clientes dos servios. Dever ser possvel executar correctamente os servios.

20 / 22

CARTO DE TESTE N7
Objectivo do teste Testar o normal funcionamento da VPN na rede montada.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores - Clientes e servidor de VPN - Computadores na rede com o software de packet sniffing wireshark
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os clientes da VPN nos locais correspondentes. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede

Montagem

Topologia da rede Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ. Rede do Porto ligada por VPN rede de Oeiras.

Procedimentos de teste
Lista de procedimentos

Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch, servidores e VPN descrito no relatrio da sub-equipa correspondente. Executar comunicao ligando os clientes VPN e passando informao entre eles. Ligar software de captura dos pacotes em vrios pontos da rede.

Resultados
Resultados esperados O software de captura dos pacotes mostra que passam por l os pacotes que tm a informao mas esta ininteligvel.

Resultados obtidos Os resultados obtidos foram os esperados.

21 / 22

CARTO DE TESTE N8
Objectivo do teste Testar a ligao autenticada ao cybercafe por wireless e a atribuio de endereos dinamicamente.

Cenrio de teste
Lista de material

- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores - Clientes e servidor de VPN - Computadores na rede com o software de packet sniffing wireshark - Vrios computadores com os servidores de DNS necessrios - Servidor Radius e AP da Nortel - Servidores DHCP
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os clientes da VPN nos locais correspondentes. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede. Ligar o DNS. Ligar o AP VLAN do cybercafe Ligar o Radius VLAN do datacenter Ligar um servidor de DHCP ao office e outro ao cybercafe Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ. Rede do Porto ligada por VPN rede de Oeiras.

Montagem

Topologia da rede

Procedimentos de teste
Lista de procedimentos

Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch, servidores, DNS, DHCP, Radius, APs e VPN descrito no relatrio da subequipa correspondente. Tentar ligar-se rede wireless sem uma autenticao vlida. Repetir o processo para uma autenticao vlida. No final ligar-se por cabo s VLANs com .

Resultados
Resultados esperados A tentativa de autenticao no bem sucedida. Depois de trocar as credenciais para uma autenticao vlida deve ser possvel. A ligao por cabo deve receber um IP atribudo dinamicamente. Os resultados obtidos foram os esperados.

Resultados obtidos

22 / 22