AUTARQUIA EDUCACIONAL DO VALE DO SO FRANCISCO -AEVSF FACULDADE DE CINCIAS SOCIAIS E APLICADA DE PETROLINA - FACAPE CENTRO DE ENGENHARIAS E CINCIAS TECNOLGICAS

Projeto de Infraestrutura em TI Alfa Mangas

PETROLINA 2009

AUTARQUIA EDUCACIONAL DO VALE DO SO FRANCISCO - AEVSF FACULDADE DE CINCIAS SOCIAIS E APLICADA DE PETROLINA - FACAPE CENTRO DE ENGENHARIAS E CINCIAS TECNOLGICAS

Projeto de Infraestrutura em TI Alfa Mangas

THIAGO MEDEIROS CAVALCANTI SANT ANNA

Projeto entregue para avaliao da terceira etapa do Microsoft Student Gondim. to Business, sob superviso do Prof Vanderley

PETROLINA 2009

SUMRIO:

1. INTRODUO 2. A EMPRESA 3. VISO GERAL 4. REDE PROPOSTA 5. DOS OBJETIVOS 6. DESENVOLVIMENTO 6.1. servidor matriz 6.2. servidor filial 7. CRONOGRAMA 8. PROCEDIMENTOS 8.1. INSTALAO DOS SERVIDORES 8.1.1. servidor matriz 8.1.2. servidor filial 8.2. CONFIGURAO DO ACTIVE-DIRECTORY 8.2.1. sevidor matriz 8.2.2. servidor filial 8.3. CONFIGURAO DAS GPOS 8.3.1. servidor matriz 8.3.2. servidor filial 8.4. CONFIGURAO DO DFS 8.4.1. servidor matriz 8.4.2. servidor filial 8.5. CONFIGURAO DA REA DE TRABALHO REMOTA 8.6. CONFIGURAO DO SERVIDOR DE APLICATIVO E WEB 8.6.1. servidor matriz 8.6.2. servidor filial 8.7. CONFIGURAO DO MICROSOFT SHAREPOINT 8.7.1. servidor matriz 8.7.2. servidor cliente 8.8. CONFIGURAO DO SERVIDOR FTP

6 7 8 9 10 11 11 12 13 14 14 14 14 15 15 16 17 17 19 21 21 22 23 24 24 24 25 25 26 27

8.8.1. servidor matriz 8.8.2. servidor filial 8.9. CONFIGURAO DE ROTAS, NAT, FIREWALL E VPN 8.9.1. servidor matriz 8.9.2. servidor filial 8.10. 8.11. 8.12. 8.13. CONFIGURAO DO WSUS CONFIGURAO DO MSBA CONFIGURAO DO BACKUP OUTRAS CONFIGURAES DE SEGURANA

27 27 28 28 28 32 34 36 37 39 40

9. CONCLUSO 10. BIBLIOGRAFIA

Sumrio de tabelas e figuras:

Figura 1: Rede Atual Figura 2: Rede Proposta Figura 3: Componentes do servidor Matriz Figura 4: Componentes do servidor Filial Tabela 1: Cronograma. Figura 5: Instalao dos servidores Figura 6: Active Diretory Figura 7: GPO Matriz Figura 8: GPO Filial Figura 9: Instalao do servidor de aplicativos e ISS Figura 10: SharePoint Figura 11: SharePoint (Documentos Compartilhados) Figura 12: Instalado o Servio FTP dentro do Servidor WEB IIS Figura 13: FTP Ativo Figura 14: Roteamento e Acesso Remoto Figura 15: Inicio de uma conexo virtual privada (VPN). Figura 16: Autenticando Figura 17: Registrando o computador na rede Figura 18: Autenticao, Criptografia e Compactao de dados Figura 19: Cliente de acesso remoto (VPN) conectado ao servidor Matriz Figura 20: Servidor de atualizaes rodando no Servidor da Matriz e Filia 8 9 11 12 13 14 15 17 19 24 25 26 27 27 28 29 29 30 30 31 32

Figura 21: Computador recebendo atualizao do servidor WSUS pela rede local 33 Figura 22: Inicio da varredura no servidor Matriz e Filial Figura 23: Estado dos servidores aps as correes Figura 24: Status do Backup no Servidor Zango (Matriz) Figura 25: Eventos Auditados Figura 26: Regras de auditoria aplicadas 34 35 36 37 38

1. Introduo:

O projeto abordar a implementao e reestruturao da rede fsica e lgica da empresa Alfa Mangas. O seu crescimento natural e de mercado trouxe diversos problemas, como comunicaes lentas, falhas ou at mesmo a parada de todos os setores que necessitam estar interligados entre si. O foco principal est em criar uma rede na qual suporte a comunicao de sua filial a matriz, melhorando sua segurana no controle de arquivos, funcionrios, departamentos, e que permita acessos descentralizados por conexes privadas a distncia em geral.

2. A Empresa:

A Empresa Alfa Mangas atua no ramo de exportao de frutas na regio do Vale do So Francisco desde a dcada de 90. Petrolina um municpio brasileiro do estado de Pernambuco, de localizao privilegiada, pois se encontra a margem esquerda do Rio So Francisco, no qual faz a divisa entre o estado de Pernambuco e Bahia. Sua populao estimada em 2007 segundo o IBGE era de 268.339 habitantes, dos quais mais de 60 mil moram na zona rural e quase 200 mil vivem na cidade (zona urbana do municpio). A regio do Vale do So Francisco devido aos altos investimentos tem um desenvolvimento populacional relevante que aumenta de forma marcante a economia da regio. Devido necessidade da prpria empresa que possui grandes clientes na Europa e na Amrica, fez-se necessrio a ampliao a nvel fsico e lgico. Na sua primeira rede interna foram utilizados equipamentos com o melhor custo/beneficio que a empresa poderia dispor, como hubs, no qual ficaram defasados com o tempo.

3. Viso Geral:

A empresa Alfa Mangas possui na sua Matriz trinta computadores, e na sua filial quinze computadores. Com a sua expanso houve a necessidade de implantar melhorias assim como suporte a sistemas proprietrios.

Figura 1: Rede Atual

Principais problemas encontrados:

Vrus Conflitos de IPs Nenhum tipo de Backup Rede extremamente lenta Arquivos compartilhados sem segurana Usurios com controle total do sistema operacional No h comunicao entre a Matriz e a Filial

4. Rede Proposta:

A nova rede contar com conectividade Wireless interligando sua matriz a filial. Os hubs sero substitudos por switchs gigabit e cabos de categoria 6.

Figura 2: Rede Proposta

Principais Vantagens:

Segurana Unificao da rede Maior controle das maquinas clientes Rede estruturada de alto desempenho Baixo custo de suporte ou manuteno Arquivos compartilhados com polticas de segurana e centralizados no servidor de arquivos.
9

5. Dos Objetivos:

Objetivo geral:

Desenvolver um trabalho com investimento em tecnologia, melhorando de forma significativa a comunicao entre os setores que compe a empresa, tendo isto como estratgia para vencer a concorrncia, a fim de atender a demanda dos clientes que so o foco principal da empresa, reduzindo consideravelmente custos e estabelecendo segurana com respeito a informaes confidenciais.

Objetivos especficos:

Utilizar tecnologia como diferencial competitivo. Atender a demanda de forma rpida e precisa, reduzindo custos para a empresa e em conseqncia a satisfao e fidelizao do cliente. Melhorar consideravelmente a comunicao entre os setores, que precisam estar interligados para troca de informao, obtendo segurana mesmo se as informaes forem confidenciais.

10

6. Desenvolvimento:

6.1 Servidor Matriz: A matriz contar com um servidor central com as seguintes configuraes:

Figura 3: Componentes do servidor Matriz

Servidor de Arquivos Servidor FTP Servidor WEB Servidor de Banco de Dados Servidor de Aplicativos Controlador de Domnio Servidor de Rotas, NAT e VPN Servidor DNS Servidor DHCP Sharepoint WSUS Terminal Service

11

6.2 Servidor Filial: A Filial contar com um servidor central com as seguintes configuraes:

Figura 4: Componentes do servidor Filial

Servidor de Arquivos Controlador de Domnio Servidor de Rotas, NAT e VPN Servidor DNS Servidor DHCP WSUS Terminal Service

12

7. Cronograma:

Fases do projeto Planejamento Instalao do Windows 2003 servidores Instalao das Estaes Instalao do servidor de DHCP Instalao do servidor de DNS Servidor de roteamento e acesso remoto e VPN Teste de conectividade das redes e estaes Instalao do IIS, Servidor de Aplicativos Instalao do Active Directory Polticas de segurana Polticas de diretiva de grupo Implantao de sistemas de arquivos distribudos Polticas e rotinas de Backup e restaurao Teste de Operacionalidade

Data de incio 07/02/09 12/02/09 12/02/09 13/02/09 13/02/09 13/02/09 14/02/09 14/02/09 14/02/09 14/02/09 15/02/09 15/02/09 15/02/09 15/02/09

Data de trmino 09/02/09 12/02/09 13/02/09 13/02/09 13/02/09 13/02/09 14/02/09 14/02/09 14/02/09 14/02/09 15/02/09 15/02/09 15/02/09 17/02/09

Tabela 1: Cronograma.

13

8. Procedimentos:

8.1 Instalao dos Servidores:

Figura 5: Instalao dos servidores

8.1.1 Servidor Matriz: IP do servidor: 192.168.0.1 Nome atribudo: Zango Servidor DHCP com escopo de 192.168.0.20 a 192.168.0.99. Endereos reservados: 192.168.0.2 a 192.168.0.19.

8.1.2 Servidor Filial: IP do servidor: 192.168.0.2 Nome atribudo: Zorro Servidor DHCP com escopo de 192.168.0.100 a 192.168.0.199. Endereos reservados: 192.168.0.2 a 192.168.0.19.
14

8.2 Configurao do Active-Directory:

8.2.1 Servidor Matriz:

Criao do domnio matriz.intranet. Habilitar o servio Conexo de rea de trabalho remota. Autorizar somente os usurios Administrador e o Suporte para esse servio. Cadastrar os usurios definindo as polticas de senha e bloqueio de conta, a saber: i. Senhas com requisito de complexidade ii. Alterao da mesma no primeiro login (senha padro 123@qwe) iii. Memorizar as ltimas 10 alteraes iv. Poltica de troca a cada 45 dias v. Comprimento de 7 caracteres vi. Bloqueio com 3 tentativas invlidas por 1 hora Criar Unidades Organizacionais para as trs principais divises da matriz e incluir os usurios dentro dessas UO: Diretoria Marketing Financeiro

Figura 6: Active Diretory

Importante: por padro, na ausncia do funcionrio por (trs dias), a conta dever ser bloqueada manualmente para impedir que outra pessoa no autorizada tenha acesso s informaes internas da empresa.
15

8.2.2 Servidor Filial:

Criao do domnio filial.matriz.intranet. (Domnio Filho). Habilitar o servio Conexo de rea de trabalho remota. Autorizar somente os usurios Administrador e o Suporte para esse servio. Cadastrar os usurios definindo as polticas de senha e bloqueio de conta, a saber: vii. Senhas com requisito de complexidade viii. Alterao da mesma no primeiro login (senha padro 123@qwe) ix. Memorizar as ltimas 10 alteraes x. Poltica de troca a cada 45 dias xi. Comprimento de 7 caracteres xii. Bloqueio com 3 tentativas invlidas por 1 hora Criar Unidades Organizacionais para as trs principais divises da filial e incluir os usurios dentro dessas UO: Gerencia Vendas Suporte

16

8.3 Configurao das GPOs:

8.3.1 Servidor Matriz:

Figura 7: GPO Matriz

17

As unidades organizacionais Marketing e Financeiro:

Proibio do acesso ao painel de controle, desabilitar do prompt de comando, desabilitar do gerenciador de tarefas, inicializao automtica do internet explorer aps o logon, carregando a pgina de avisos do SharePoint, proibido acesso aos drives contidos em "Meu Computador", Proibido o uso Aplicativo MSN Messenger, O usurio desses grupos pertencem ao grupo de usurios do domnio, que est adicionado localmente no grupo de usurios sem privilgio, sendo assim o mesmo tem proibido automaticamente acesso ao registro do sistema, instalao de aplicativos, dentre outros. GPO WSUS.

A unidade organizacional Diretoria:

Utilizada a GPO padro e WSUS.

18

8.3.2 Servidor Filial:

Figura 8: GPO Filial

19

A unidade organizacional Vendas:

Proibio do acesso ao painel de controle, desabilitar do prompt de comando, desabilitar do gerenciador de tarefas, inicializao automtica do internet explorer aps o logon, carregando a pgina de avisos do SharePoint, proibido acesso aos drives contidos em "Meu Computador", Proibido o uso Aplicativo MSN Messenger, O usurio desses grupos pertencem ao grupo de usurios do domnio, que est adicionado localmente no grupo de usurios sem privilgio, sendo assim o mesmo tem proibido automaticamente acesso ao registro do sistema, instalao de aplicativos, dentre outros. GPO WSUS.

A unidade organizacional Gerencia e Suporte:

Utilizada a GPO padro e WSUS.

20

8.4 Configurao do DFS:

8.4.1 Servidor Matriz:

Haver cinco pastas: Pastas pessoais: Esta pasta conter os nomes de cada funcionrio e somente arquivos pessoais de cada um deles. Assim, quem ter acesso a cada pasta com o nome do funcionrio ser o prprio funcionrio, a diretoria e o setor de Suporte. Cada pasta tem uma cota de 50 MB, mas o sistema ir avisar quando forem usado 30 MB ou mais. Pasta Troca: Todos os usurios tero acesso a esta pasta e controle total nos arquivos e pastas contidos na pasta descrita. Marketing: Sero disponibilizadas s pastas a todos os usurios do grupo Marketing. Utilizaremos o recurso de arquivos off-line a fim de melhorar o desempenho do sistema de arquivos.

Diretoria: Sero disponibilizadas s pastas a todos os usurios do grupo Diretoria. Utilizaremos o recurso de arquivos off-line a fim de melhorar o desempenho do sistema de arquivos. Financeiro: Sero disponibilizadas s pastas a todos os usurios do grupo financeiro. Utilizaremos o recurso de arquivos off-line a fim de melhorar o desempenho do sistema de arquivos.

21

8.4.2 Servidor Filial:

Haver cinco pastas: Pastas pessoais: Esta pasta conter os nomes de cada funcionrio e somente arquivos pessoais de cada um deles. Assim, quem ter acesso a cada pasta com o nome do funcionrio ser o prprio funcionrio, a gerencia e o setor de Suporte. Cada pasta tem uma cota de 50 MB, mas o sistema ir avisar quando forem usado 30 MB ou mais. Pasta Troca: Todos os usurios tero acesso a esta pasta e controle total nos arquivos e pastas contidos na pasta descrita. Vendas: Sero disponibilizadas s pastas a todos os usurios do grupo Vendas. Utilizaremos o recurso de arquivos off-line a fim de melhorar o desempenho do sistema de arquivos.

Gerencia: Sero disponibilizadas s pastas a todos os usurios do grupo Gerencia. Utilizaremos o recurso de arquivos off-line a fim de melhorar o desempenho do sistema de arquivos. Suporte: Sero disponibilizadas s pastas a todos os usurios do grupo Suporte. Utilizaremos o recurso de arquivos off-line a fim de melhorar o desempenho do sistema de arquivos.

22

8.5 Configurao da rea de Trabalho Remota:

Servidor Matriz e Filial:

Configurado um nico acesso por vez e somente aos administradores Desconectar em caso de perda da sesso ou sesso ociosa por mais de 15 minutos

23

8.6 Configurao do Servidor de Aplicativo e WEB:

8.6.1 Servidor Matriz:

Figura 9: Instalao do servidor de aplicativos e ISS.

Instalados os Componentes:

ASP.NET Console do servidor de aplicativos (Por padro essa opo no vem instalada, dificultando a configurao no console do servidor). Instalado o Servidor WEB (IIS).

Com esses servios, podemos dar continuidade na instalao do SharePoint, WSUS, e servidor FTP.

8.6.2 Servidor Filial: Utiliza o recurso como cliente.

24

8.7 Configurao do Microsoft SharePoint:

O SharePoint Server um conjunto integrado de recursos de servidor que oferece gerenciamento de contedo abrangente e pesquisa empresarial, acelera os processos comerciais compartilhados e ainda facilita o compartilhamento ilimitado de informaes. . .

8.7.1 Servidor Matriz: . . . ..

Figura 10: SharePoint

Utilizando o SharePoint a matriz pode exibir avisos a todos os funcionrios, inclusive aos funcionrios localizados na filial.

25

Figura 11: SharePoint (Documentos Compartilhados)

Podemos publicar e compartilhar documentos, fotos, em geral. Um exemplo acima a publicao da Cartilha de Segurana e a relao de Telefones teis.

8.7.2 Servidor Filial: Utiliza o recurso como cliente.

26

8.8 Configurao do Servidor FTP:

Outra forma bastante rpida e verstil de transferir arquivos, sendo uma das mais usadas em redes intranet e extranet.

8.8.1 Servidor Matriz:

Figura 12: Instalado o Servio FTP dentro do Servidor WEB IIS.

Figura 13: FTP Ativo.

8.8.2 Servidor Filial: Utiliza o recurso como cliente.

27

8.9 Configurao de Rotas, NAT, Firewall e VPN:

Com o servidor de acesso remoto podemos adicionar rotas e estabelecer configuraes de segurana entre outros.

8.9.1 Servidor Matriz:

Figura 14: Roteamento e Acesso Remoto.

Configurada uma rede NAT atravs da conexo 2 (conexo com a internet). Compartilhada a conexo com os usurios da rede interna (conexo local 1).

Ativado o servidor de conexes privadas (VPN) para um acesso descentralizado.

8.9.2 Servidor Filial: Utiliza o recurso como cliente.

28

Figura 15: Inicio de uma conexo virtual privada (VPN).

Figura 16: Autenticando.

29

Figura 16: Registrando o computador na rede.

Figura 17: Autenticao, Criptografia e Compactao de dados.

30

Figura 18: Cliente de acesso remoto (VPN) conectado ao servidor Matriz.

31

8.10 Configurao do WSUS:

O Microsoft Windows Server Update Services (WSUS) fornece uma soluo detalhada para o gerenciamento de atualizaes dentro da rede. Com o WSUS podemos reduzir o tempo gasto durante o download das atualizaes de seguranas, agrupando todas as disponveis e armazenando em um espao no servidor.

Servidor Matriz e Filial:

Figura 19: Servidor de atualizaes rodando no Servidor da Matriz e Filial

Com o WSUS podemos reduzir a carga e o consumo de banda excessiva da rede internet.

O WSUS foi aplicado via GPO a todos os computadores do diretrio.

32

Figura 20: Computador recebendo atualizao do servidor WSUS pela rede local.

33

8.11 Configurao do MSBA:

O Microsoft Baseline Security Analyzer (MBSA) uma ferramenta de fcil uso voltada para profissionais de TI que ajuda empresas a determinarem o estado da segurana de acordo com as recomendaes da Microsoft e oferece orientaes sobre como remediar as falhas.

Servidor Matriz e Filial:

Figura 21: Inicio da varredura no servidor Matriz e Filial.

34

Figura 22: Estado dos servidores aps as correes.

35

8.12 Configurao do Backup:

Servidor Matriz e Filial:

O backup dos dados da empresa ser feito em duas etapas: Backup local e dirio. Ser feito o backup dos dados diariamente. Ser utilizada a ferramenta de backup do prprio sistema operacional - Windows Server 2003. Os Backups locais sero feitos manualmente por pessoa(s) especfica(s). Os dados sero gravados no s nos HDs como tambm em mdias e armazenados em locais especficos fora da empresa. Backup completo a cada semana.

Figura 23: Status do Backup no Servidor Zango (Matriz).

36

8.13 Outras configuraes de Segurana:

Servidor Matriz e Filial:

Auditoria: Configurado uma auditoria para eventos de logon e identificao de contas de usurios ao serem acessadas todas as pastas compartilhadas. Os eventos auditados so: Excluso de arquivos e modificao de permisses. No se faz necessrio a criao de auditoria para criao, modificao e leitura dos arquivos tendo em vista que a propriedade de cada arquivo menciona estas informaes (Data de Criao, ltima Modificao).

Figura 24: Eventos Auditados.

37

Figura 25: Regras de auditoria aplicadas.

38

9. Concluso:

Houve alguns problemas na criao das rotas entre o compartilhamento da internet (NAT) e a VPN, entretanto os dois foram sanados. Ocorreram erros ao tentar criar um domnio filho no qual foi resolvido mudando o nome do domnio principal. Todos os demais processos funcionaram com plena satisfao. O projeto em si trouxe bastante aproveitamento, no qual o conhecimento das ferramentas e a unificao da teoria com a pratica resultou em plena eficincia.

39

10. Bibliografia:

Microsoft Office Online - Ajuda e Instrues do SharePoint Server Disponvel em: < http://office.microsoft.com/pt-br/sharepointserver/default.aspx>

Microsoft TechNet - Microsoft Baseline Security Analyzer (MSBA) Disponvel em: < http://technet.microsoft.com/en-us/security/cc184924.aspx>

Centro de Inovao - Programa Students to Business S2B Disponvel em: < http://proform.msdnbrasil.tempsite.ws/public/Default.aspx> Microsoft TechNet - Microsoft Windows Server Update Services (WSUS) Disponvel em: < http://technet.microsoft.com/en-us/wsus/default.aspx> Josu Vidal - Introduo a Auditoria - Parte 1 de 2 Disponvel em: < http://technet.microsoft.com/pt-br/library/cc668438.aspx>

40

41