View
219
Download
0
Category
Preview:
Citation preview
Ilha SolteiraIlha Solteira
UNIVERSIDADE ESTADUAL PAULISTA
“JÚLIO DE MESQUITA FILHO”
Câmpus de Ilha Solteira - SP
Ápio Carnielo e Silva
GERENCIAMENTO INTEGRADO DE REDE LOCAL COM
SOFTWARE LIVRE
Ilha Solteira
2014
ÁPIO CARNIELO E SILVA
GERENCIAMENTO INTEGRADO DE REDE LOCAL
COM SOFTWARE LIVRE
Dissertação apresentada à Faculdade deEngenharia do Câmpus de Ilha Solteira- UNESP como parte dos requisitos paraobtenção do título de Mestre em Engen-haria Elétrica.Especialidade: Automação.
Prof. Dr. Sérgio Azevedo de Oliveira
Orientador
Ilha Solteira
2014
FICHA CATALOGRÁFICA
Elaborada pela Seção Técnica de Aquisição e Tratamento da InformaçãoServiço Técnico de Biblioteca e Documentação da UNESP - IlhaSolteira.
Silva, Ápio Carnielo e.S586p Gerenciamento integrado de rede local com software livre-
/ Apio Carnielo e Silva. - Ilha Solteira : [s.n.], 2014142 f.:il.
Dissertação (mestrado) - Universidade Estadual Paulista.Faculdade deEngenharia de Ilha Solteira. Área de Conhecimento: Automação, 2014
Orientador: Sérgio Azevedo de Oliveira
Inclui bibliografia
1. Rede de computadores. 2. Interface gráfica. 3. Gerenciamento integrado.4. Software livre.
À minha família, em especial aos meus pais Marinho e Ondina, ao meu irmão
Álvaro por todo amor, apoio, confiança e incentivo em todos osmomentos.
AGRADECIMENTOS
Agradeço a Deus por estar sempre ao meu lado, me dando forças para superar todos os
obstáculos com muita saúde.
Ao Professor Sérgio Azevedo de Oliveira, pela orientação, dedicação, paciência e incentivo.
À minha família, em especial aos meus pais Marinho e Ondina e ao meu irmão Álvaro pelo
amor e apoio incondicional para que este trabalho fosse concluído.
Aos amigos do Departamento de Engenharia Elétrica da UNESP Câmpus de Ilha Solteira,
por suas amizades e apoio, em especial ao amigo Ricardo Frangiosi de Moura, que foi um
grande irmão para mim.
A todos os funcionários do Departamento de Engenharia Elétrica da UNESP Câmpus de
Ilha Solteira, em especial à Luzinete Maria de Oliveira, Marcos Renato da Silva Junior, Rafael
Estéfano Vicentini e Deoclécio Mitsuiti Kosaka pelo suporte técnico e pela amizade.
Aos meus amigos de trabalho, não menos importantes, João Iron, Adriano, Vlademir, Pe-
dro, Edilson, Domisley, Shigueo, Edilton, Fernando (Animal), Andréa, Marcão, Marcos Furini,
Carlos Febres, Cuiabá, Max, Maria Eliza, Renan, Pedro, Curintinha e todos aqueles que con-
viveram dia-a-dia com as dificuldades encontradas em meu trabalho além de propiciar bons
momentos em nossa convivência.
Ao Programa de Pós Graduação em Engenharia Elétrica, da UNESP Câmpus de Ilha Solteira,
pelo suporte técnico e de infraestrutura para realização deste trabalho.
Meus agradecimentos a todos os familiares, amigos, professores e funcionários da UN-
ESP Câmpus de Ilha Solteira, que direta ou indiretamente contribuíram para a realização deste
trabalho.
RESUMO
Neste trabalho foi desenvolvido uma interface gráfica denominadaSilent Security Monitor(SSM) para uso via web, utilizando-se as linguagensshell scripte PHP, com o objetivo dedescentralizar o gerenciamento da rede em subdomínios, delegando responsabilidades parausuários previamente autorizados e que tenham um mínimo de conhecimento técnico sobreo assunto. A interface SSM foi feita com a integração de diferentes recursos computacionaisde domínio público para facilitar a configuração e monitoração dos serviços necessários emum servidor de rede, tais como:firewall, DHCP,squid/proxy, DNS, e-mail, dentre outros. Nodesenvolvimento da ferramenta utilizou-se uma estratégiamodular, que facilita o uso e permitea inclusão de novos módulos posteriormente. Cada módulo desenvolvido apresenta ícones, queacionados, executam embackgroundgatilhos em forma descripts. Estes por sua vez, executamcomandos apropriados para as finalidades específicas de cadaserviço associado ao ícone. To-das os serviços disponíveis na ferramenta possuem um texto auto-explicativo que detalha a suaforma de utilização. A ferramenta foi totalmente desenvolvida com software livre e o acesso aoseu código permite alterações de acordo com as necessidadesdo usuário.
Palavras-chave:Redes de computadores. Interface gráfica. Gerenciamento integrado. Soft-ware livre.
ABSTRACT
We have developed a graphical interface called Silent Security Monitor (SSM) for use by theweb using the PHP languages and shell script, with the aim of decentralizing the managementof the network into subdomains, delegating responsibilities to pre-authorized users and havea minimum of technical knowledge on the subject. The SSM interface was made with theintegration of different computational resources in the public domain for easy configuration andmonitoring necessary services on a network server, such as firewall, DHCP, squid/proxy, DNS,email, among others. In developing the tool we used a modularstrategy that facilitates theuse and allows the addition of new modules later. Each moduledeveloped displays icons thattriggered, running in the background triggers in the form ofscripts. These in turn performingappropriate for the specific purposes of each service associated with the icon commands. Allservices available in the tool have a self explanatory text detailing the method of use. Thetool was developed entirely with open source software and allows access to your code changesaccording to user needs.
Keywords: Computer networks. GUI. Integrated management. Free software.
LISTA DE FIGURAS
Figura 1 Ilustração do sistema operacional como interface entre o usuário e os recursos
do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Figura 2 Esquema genérico de um servidorproxy. . . . . . . . . . . . . . . . . . 23
Figura 3 Visão do sistema SARG. . . . . . . . . . . . . . . . . . . . . . . . . . 25
Figura 4 Visão da tela de Acesso Negado.. . . . . . . . . . . . . . . . . . . . . 33
Figura 5 Visão da tela de configuração doproxyno SO Linux. . . . . . . . . . . . . 35
Figura 6 Visão da tela de configuração doproxyno SO Windowsc©. . . . . . . . . . 35
Figura 7 Tela de configuração gerada pelo MRTG.. . . . . . . . . . . . . . . . . 38
Figura 8 Gráficos gerados pelo MRTG.. . . . . . . . . . . . . . . . . . . . . . . 40
Figura 9 Funcionamento do servidor DHCP.. . . . . . . . . . . . . . . . . . . . 47
Figura 10 Esquema das etapas de uma gerência de rede.. . . . . . . . . . . . . . . 57
Figura 11 Quatro elementos que devem estar presentes na rede.. . . . . . . . . . . . 58
Figura 12 Elementos de uma rede com SNMP.. . . . . . . . . . . . . . . . . . . . 63
Figura 13 Funcionamento da relação de um agente com o objeto a ser gerenciado. . . . 64
Figura 14 Árvore MIB parcial a partir da raiz. . . . . . . . . . . . . . . . . . . . . 65
Figura 15 Modelo de comunicação entre gerente e agente usando SNMP.. . . . . . . 67
Figura 16 Esquema da visão geral do NRPE.. . . . . . . . . . . . . . . . . . . . . 69
Figura 17 Esquema da checagem direta.. . . . . . . . . . . . . . . . . . . . . . . 70
Figura 18 Esquema da checagem indireta.. . . . . . . . . . . . . . . . . . . . . . 70
Figura 19 Ilustração de umfirewall. . . . . . . . . . . . . . . . . . . . . . . . . . 71
Figura 20 Diagrama do funcionamento doiptables . . . . . . . . . . . . . . . . . . 77
Figura 21 Diagrama de blocos ilustrativo da ferramenta SSM.. . . . . . . . . . . . 85
Figura 22 Tela login para acessar a interface SSM.. . . . . . . . . . . . . . . . . . 86
Figura 23 Tela principal da interface SSM.. . . . . . . . . . . . . . . . . . . . . . 86
Figura 24 Tela de serviços dofirewall. . . . . . . . . . . . . . . . . . . . . . . . . 88
Figura 25 Tela de configuração dos endereços de IP’s das placas de redes, gatewaye
DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Figura 26 Tela de configuração dos endereços de IP das placas de redes externa e in-
terna. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Figura 27 Tela de configuração do endereço de IP da placas de rede interna. . . . . . . 91
Figura 28 Tela de configuração do endereço de IP da placa de rede externa. . . . . . . 91
Figura 29 Tela de configuração do endereço degateway. . . . . . . . . . . . . . . . 92
Figura 31 Funcionamento do servidor DHCP.. . . . . . . . . . . . . . . . . . . . 94
Figura 32 Tela de configuração das funcionalidades dosquid. . . . . . . . . . . . . . 96
Figura 30 Tela de configuração dos endereços de DNS.. . . . . . . . . . . . . . . . 101
Figura 33 Tela de Relatórios internet, rede local, memória e processamento, status do
disco rígido. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Figura 34 Gráfico gerado pelo MRTG.. . . . . . . . . . . . . . . . . . . . . . . . 102
Figura 35 Tela de configuração do serviçobandlimit. . . . . . . . . . . . . . . . . . 103
Figura 36 Tela de teste de velocidade dolink de internet. . . . . . . . . . . . . . . . 104
Figura 37 Testando a velocidade da conexãoDownload. . . . . . . . . . . . . . . . 105
Figura 38 Testando a velocidade da conexãoUpload. . . . . . . . . . . . . . . . . . 105
Figura 39 Tela do módulo de monitoramento da rede.. . . . . . . . . . . . . . . . 106
Figura 40 Tela das informações do computador cadastrado no Nagios.. . . . . . . . 107
Figura 41 Tela com informações gerais do computador monitorado.. . . . . . . . . . 107
Figura 42 Tela com mais detalhes sobre o computador monitorado.. . . . . . . . . . 108
Figura 43 Tela de cadastro do computador no Nagios.. . . . . . . . . . . . . . . . 109
Figura 44 Tela de cadastro de roteador,switchou impressora no Nagios. . . . . . . . 110
Figura 45 Tela de monitoramento do Nagvis.. . . . . . . . . . . . . . . . . . . . . 115
Figura 46 Tela de monitoramento do Cacti. . . . . . . . . . . . . . . . . . . . . . 116
Figura 47 Tela para mudar a senha do usuário admin.. . . . . . . . . . . . . . . . . 117
Figura 48 Tela com os botões para reiniciar ou desligar o servidor remotamente. . . . 118
Figura 49 Tela delogin do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . 126
Figura 50 Tela de alteração do endereço das placas de redes interna e externa. . . . . . 127
Figura 51 Tela configuração da placa de rede.. . . . . . . . . . . . . . . . . . . . 127
Figura 52 Tela em que o usuário irá preencher os valores dos endereços IP, máscara de
rede e classe de IP.. . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Figura 53 Acessando a opção para configurar os endereços de DNS.. . . . . . . . . 128
Figura 54 Tela de configuração das opções dofirewall. . . . . . . . . . . . . . . . . 130
Figura 55 Tela de configuração para cadastrar um computador na rede atrelado ao en-
dereço MAC da placa. . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Figura 56 Tela Principal do Sistema.. . . . . . . . . . . . . . . . . . . . . . . . . 133
Figura 57 Tela de Monitoramento.. . . . . . . . . . . . . . . . . . . . . . . . . . 134
Figura 58 Tela de cadastro do computador no Nagios.. . . . . . . . . . . . . . . . 135
LISTA DE TABELAS
Tabela 1 Comparativo de preços de instalação e mão de obra. . .. . . . . . . . 52
Tabela 2 Operações do SNMP - Códigos da PDU.. . . . . . . . . . . . . . . . . . 67
Tabela 3 Operações do SNMP - Códigos de erros.. . . . . . . . . . . . . . . . . . 68
Tabela 4 Tabela de tratamento dos pacotes.. . . . . . . . . . . . . . . . . . . . . 72
Tabela 5 Tabela de regras das cadeias doiptables. . . . . . . . . . . . . . . . . . . 73
Tabela 6 Tabela de ações a serem realizadas nos pacotes analisados.. . . . . . . . . 73
Tabela 7 Tabela de comandos para manipular regras dofirewall. . . . . . . . . . . . 74
Tabela 8 Parâmetros para utilizar as regras nos comandos:add, delete, insert, replace
eappend. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
LISTA DE SIGLAS E ABREVIAÇÕES
CPU Central Process Unit
CUGA Central Unificada de Gerenciamento de Ameaças
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
FTP File Transfer Protocol
GNU General Public License
GPL Gnu Public License
HD Hard Disk
HTML HyperText Markup Language
HTTP Hyper Text Transfer Protocol
HTTPS Hyper Text Transfer Protocol Secure
IAB Internet Activities Board
ICMP Internet Control Message Protocol
IP Internet Protocol
ISO International Organization for Standardization
kB Kilobytes
MAC Media Access Control
MB MegaBytes
MIB Management Information Base
MRTG Multi Router Traffic Grapher
NAT Network Address Translation
NOC Network Operation Center
NRPE Nagios Remote Plugin Executor
OID Object Identifier
PPOE Point-to-Point Protocol over Ethernet
PDU Protocol Data Unit
RAM Randon Access Memory
RPC Remote Procedure Call
SGMP Simple Gateway Management Protocol
SNMP Simple Network Management Protocol
SO System Operation
SSL Secure Socket Layer
UDP User Datagram Protocol
SUMÁRIO
1 INTRODUÇÃO 16
2 SISTEMA OPERACIONAL LINUX E OUTROS SOFTWARES LIVRES 18
2.1 CARACTERÍSTICAS DO LINUX 18
2.1.1 Kernel do Linux 20
2.1.2 Licença do Linux 21
2.1.3 Distribuições Linux 22
2.2 SERVIDORES LINUX 22
2.2.1 ServidorProxy/Squid 23
2.2.1.1 Criando o arquivo de configuração básica 27
2.2.1.2 Configurando a função cache do squid 29
2.2.1.3 Configurando a cache 30
2.2.1.4 Configurando as restrições de acesso 31
2.2.1.5 Configurando o proxy transparente 34
2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 36
2.4 CONFIGURANDO E INSTALANDO O SARG 41
2.5 BANDLIMIT 44
2.6 CONFIGURAÇÃO DO SERVIDOR DHCP 46
2.6.1 Detalhes da Configuração do Servidor DHCP 48
2.7 EXEMPLO DE UMFIREWALLUSANDO IPTABLES 49
2.8 LINUX E SERVIDORES 51
3 GERÊNCIA DE SERVIÇOS E DE REDES 55
3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE 56
3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 58
3.2.1 A Relevância do Gerenciamento de uma Rede 59
3.3 PROTOCOLO SNMP -SIMPLE NETWORK MANAGEMENT PROTOCOL 62
3.3.1 Funcionamento do Protocolo SNMP 63
3.3.2 Operações Realizadas pelo Protocolo SNMP 66
3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR 68
3.4.1 Características do NRPE 68
3.4.2 Formas de Checagens do NRPE 69
3.5 FERRAMENTAIPTABLES 70
3.5.1 Funcionamento doIptables 72
3.5.2 Cadeias /Chainsdo Iptables 73
3.5.3 Políticas de Trabalho doIptables 73
3.5.4 Listando as Regras doIptables 75
3.5.5 Bloqueando Portas 76
3.5.6 Apagando uma Regra noIptables 76
3.5.7 Funcionamento doIptables 77
3.5.8 Estratégia para Montagem de umFirewall Eficiente 78
4 FERRAMENTA PROPOSTA PARA UM GERENCIAMENTO INTEGRADO 81
4.1 FERRAMENTAS EXISTENTES 81
4.1.1 Sistema IPCOP 81
4.1.2 Sistema Endian Firewall 82
4.1.3 Sistema pfSense 82
4.1.4 Sistema Smoothwall 83
4.2 FERRAMENTA PROPOSTA 84
4.2.1 Firewall 87
4.2.2 Alteração de IP 89
4.2.3 Configuração DHCP 94
4.2.4 Configuração doSquid/Proxy 95
4.2.5 Relatórios 100
4.2.6 Controle Largura da Banda 103
4.2.7 Medidor de Velocidade 104
4.2.8 Monitoramento da Rede 105
4.2.9 Cadastrando Equipamentos no Nagios 108
4.2.10 Nagvis 114
4.2.11 Cacti 115
4.2.12 Alterar Senha 116
4.2.13 Desligar/Reinicializar 117
4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRA-
MENTA SSM 118
4.3.1 Roteiro para Instalação da SSM. 119
5 RESULTADOS E DISCUSSÕES 123
5.1 ESTUDO DE CASO 1 123
5.2 ESTUDO DE CASO 2 129
5.3 ESTUDO DE CASO 3 131
6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS 136
REFERÊNCIAS 138
16
1 INTRODUÇÃO
De acordo com Freitas (2010), atualmente com a evolução da tecnologia, é totalmente
desnecessário ressaltar a importância de uma estratégia para as empresas, no que diz respeito
à agilidade no fluxo de informações. Essa agilidade tem relação direta com a produtividade e
com a tomada de decisões. As organizações que possuem acessoàs informações de uma forma
privilegiada, consequentemente conhecem a melhor forma deusá-las, e por isso têm maiores
chances de ganhar o jogo na competição pelo mercado.
Por exemplo, pode-se citar a internet que com seu surgimento, aumentou também o fluxo
de informação gerada nas empresas. O cenário da internet nosdias de hoje inspira e possibilita
a criação de diversas tecnologias, atendendo as mais diversas necessidades, o que contribui para
que a rede mundial ganhe cada vez mais importância nas soluções para o mundo computa-
cional e que as novas tecnologias utilizem essa gama de possibilidades que o uso da internet
proporciona.
Com a popularização da internet, há uma grande preocupação de como manter segura a
informação, e existem vários programas voltados para a segurança da informação, sejam eles
proprietários ou livres. Muitos administradores de rede usam o Sistema Operacional Linux para
realizar a proteção da informação, uma vez que com este sistema, pode-se configurar diversos
serviços necessários na administração de uma rede, além da vantagem do código ser aberto
(livre), diferente dos sistemas proprietários.
Além do acesso às informações e de como essa informação é trabalhada, é ainda necessário,
possuir mecanismos eficientes para distribuição das mesmas, de forma rápida e segura através
da internet. Logo, com isso, ocorre uma simplificação e uma melhor interação do usuário,
tornando fácil o acesso a aplicações e informações, sem importar o seu local de armazenamento.
A internet auxilia no processo de descentralização das informações, na distribuição de dados e
no desenvolvimento de aplicações.
De acordo com Ball e Duff (2004), para controlar todo o tráfego da informação pode-se
utilizar computadores que fazem a função de servidores; seja servidores de alta disponibilidade,
de internet, de arquivos, de DNS, deproxy, dentre outros. Para controlar esses tipos de servi-
dores, pode-se utilizar o sistema operacional Linux, que por muitos usuários, é considerado
muito difícil de ser usado, além de ser pouco conhecido, sendo mais utilizado por empresas de
grande porte, provedores de internet e órgãos governamentais.
Um dos problemas existente é que para configurar um servidor,normalmente, é necessário
1 INTRODUÇÃO 17
utilizar longas linhas de comandos, o que acaba sendo difícil para um usuário que não tem
muita experiência em configurar servidores com Linux, ou seja, exige-se do administrador de
rede um bom conhecimento de comandos avançados. Fato este que poderia ser facilitado com
a utilização de um ambiente gráfico amigável para a realização desta tarefa.
Por isso, este trabalho tem como objetivo criar uma interface gráfica para centralizar a
configuração e monitoração dos principais tipos de serviçosem um servidor Linux, via web, ao
invés de utilizar extensas linhas de comandos via terminal.
Neste trabalho foram utilizadas as linguagensshell script Jargas (2008) ePHP Tucows
(2013) para automatizar a configuração de serviços configurados no servidor, tais como:Fire-
wall, DHCP,squid/proxy, DNS, e-mail, dentre outros serviços. Como exemplo, pode-se citar
a configuração do serviço DHCP que pode ser automatizada através de umscript que é execu-
tado embackgroundquando o administrador preenche campos com informações prévias numa
interface gráfica.
Outras aplicações desenvolvidas são diferentesscriptspara cada configuração de serviço,
ou seja:Firewall (bloqueio/desbloqueio e redirecionamento de IP’s e portas), squid/proxy(cache,
bloqueio/desbloqueio de páginas), DNS, configuração de IP’s, monitoramento da máquina via
MRTG Oetiker (2006), dentre outros serviços.
Neste trabalho serão abordados os seguintes tópicos:
a) no capítulo 2 é feita uma análise histórica sobre o surgimentos e as características do sis-
tema operacional Linux; além da apresentação de todossoftwareslivres utilizados neste
trabalho;
b) no capítulo 3 é feita uma abordagem sobre os conceitos, os tipos de gerências e serviços
de redes, módulos funcionais de gerência e os protocolos queserão utilizados no sistema;
c) no capítulo 4 é apresentado a interface gráficaSilent Security Monitore suas funcionali-
dades;
d) no capítulo 5 são apresentados resultados e discussões dedois estudos de casos, ambos
utilizando a configuração de serviços por linhas de comandose também utilizando a in-
terface gráfica proposta;
e) no capítulo 6 são apresentadas as conclusões e sugestões para trabalhos futuros.
18
2 SISTEMA OPERACIONAL LINUX E OUTROS SOFTWARES LIVRES
Neste capítulo são abordados as principais características do sistema operacional (SO)
Linux, bem como apresentadas as caractrísticas de alguns outros softwaresutilizados neste
trabalho.
2.1 CARACTERÍSTICAS DO LINUX
De acordo com Bokhari (1995), em pesquisas realizadas em diversos provedores de serviços
e datacentersmundiais, constatou-se que o Linux é o SO para servidor mais popular e mais
usado no mundo. O servidor Linux, que antes era apenas uma segunda opção, passou a ser a
primeira opção de escolha no provimento de muitos serviços para tecnologia da informação.
Mas, o crescimento no uso do Linux possui relação direta com ocrescimento da internet,
e isto não é por acaso. As características deste SO criado porLinus Torvalds, fazem com que
ele seja extremamente seguro e a escolha preferida para o fornecimento de serviços de internet.
Há muito tempo, os usuários que desejam criar um servidor de internet,squid, proxy, DNS ou
e-mail nem cogitam em usar outro sistema operacional que nãoseja o Linux, uma vez que hoje,
a gama de serviços fornecidos por ele cresceu muito em quantidade e qualidade.
Segundo Machado e Maia (2007), um SO, possui diversas funções mas que podem ser
resumidas em duas:
a) facilidade de acesso aos recursos:consiste em ser totalmente transparente ao usuário a
maneira como funciona um computador, ou seja, para um usuário não importa como um
arquivo que está em umpendriveserá lido, mas sim que o mesmo será lido. Resumindo,
um usuário não precisa saber como será realizada essa ação e suas inúmeras etapas.
Logo, pode-se resumir que um SO é uma interface entre o usuário e os recursos disponíveis
no sistema (Figura 1), sendo totalmente transparente ao usuário e tornando o trabalho do
mesmo mais eficiente e com menor chance de ocasionar erros;
2.1 CARACTERÍSTICAS DO LINUX 19
Figura 1 -Ilustração do sistema operacional como interface entre o usuário eos recursos do sistema.
Usuários
Sistema Operacional
Hardware
programadorese analistas
usuários programassistemas eaplicativos
memória
monitores
pendrive
discos
impressoras
UCP
Fonte: Adaptado de Machado e Maia (2007)
b) compartilhamento de recursos de forma organizada e protegida: Consiste na pos-
sibilidade de vários usuários poderem compartilhar os mesmos recursos de um sistema,
como por exemplo memória, discos ou outros periféricos presentes na máquina de forma
protegida e segura, necessário para que um usuário ao ter acesso a um recurso da máquina
não interfira no trabalho do outro que está compartilhando o recurso.
Além disso o compartilhamento de recurso permite dentre outras possibilidades a diminuição
de investimento em recursos, pois a medida que vários usuários possam acessar um re-
curso de forma concorrente, não será necessário a aquisiçãode novos produtos, como
por exemplo, em um escritório, caso haja dez computadores e uma impressora, basta
compartilhá-la na rede, e todos os usuários poderão imprimir seus documentos, não neces-
sitando da compra de uma impressora para cada computador do escritório (MACHADO;
MAIA, 2007);
Ainda segundo Machado e Maia (2007), um SO nunca faz nada sozinho, ele apenas está
esperando pelos programas requisitarem certos recursos, acessarem um certo arquivo em disco
ou conectarem-se à internet.
2.1 CARACTERÍSTICAS DO LINUX 20
Segundo Bokhari (1995), o Linux foi criado em agosto de 1991,por um jovem estudante
da Universidade de Helsinki localizado na Finlândia chamado Linus Benedict Torvalds que
anunciou em uma lista de discussão na internet que estava criando um sistema operacional
livre. Ele dizia modestamente que seu trabalho era “apenas um passa-tempo”. Em 5 de outubro
de 1991, Linus anunciou a primeira versão “oficial” do Linux.Após alguns anos, este se tornou
um dos mais populares sistemas operacionais disponíveis, sendo continuamente desenvolvido
pelo próprio Linus e por pessoas do mundo inteiro. Desde então, surgiram várias empresas para
dar suporte ao Linux, como a Red Hat Software, a Caldera Systems, a Debian Linux, entre
outras.
O Linux foi inicialmente concebido como uma alternativa aosmais caros sistemas Unix da
época. A primeira versão pública do kernel do Linux (versão 0.02) foi distribuída em 1991 pela
internet juntamente com seu código fonte.
Mesmo sendo um projeto já real, ele ainda não tinha um nome. Inicialmente Torvalds
atribuiu ao projeto o nome deFreax, uma junção de duas palavras do inglêsfree (livre) com
freak(monstruoso, esquisito) e a letraX para indicar que veio do Unix.
Mas foi após o programador Ari Lemmke sugerir a Torvalds que disponibilizasse o projeto
em uma rede de compartilhamento para torná-lo mais acessível ele o hospedou em uma pasta
chamada “Linux” (uma mistura de Linus com Unix), uma vez que Ari não havia gostado do
apelidoFreax, e até hoje essa denominação LINUX é utilizada. Assim como seu mascote, que
foi escolhido em 1996 em uma lista de discussãoLinux-Kernelapós uma sugestão de Linus
Torvalds, acabou sendo acatado a figura de um pinguim com o nome de Tux.
2.1.1 Kernel do Linux
De acordo com Jones (2007), okernelpode ser entendido como um núcleo do SO, o qual
cabe fazer o canal entre ohardwaree ossoftwaresexecutados pelo computador. O que significa
que a junção dokernelmais os softwares (drivers, protocolos de comunicação, dentre outros),
de acordo com suas aplicações, é que forma o SO.
O kernelnão é necessariamente um software de fácil manipulação por um usuário, ou seja,
não se trata de algo tão simples que possa ser instalado e em poucos minutos estar pronto para
o uso, como um programa que para instalá-lo é necessário apenas clicar em avançar, avançar e
fim; o kernelé sim uma base complexa que serve de estrutura para o sistema,atuando sempre
embackground, sendo totalmente transparente ao usuário.
Ainda hoje, novas versões dokernelLinux são lançadas de tempos em tempos, já que o
mesmo é atualizado constantemente pelas melhorias e correções debugs(falhas) e no caso do
SO, para adicionar novos recursos importantes aokernel, principalmente compatibilidade aos
novossoftwaresehardwares(JONES, 2007).
2.1 CARACTERÍSTICAS DO LINUX 21
Segundo Jones (2007), cada versão dekernelé representada por quatro números distintos
separados por ponto, como por exemplo a versão 2.6.20-1.2962 em que o primeiro número
indica a versão dokernel, o segundo indica a atualização da versão realizada até o momento,
enquanto que o terceiro número corresponde as revisões menores como a incorporação de drives
e o último número representa as correções de pequenos erros ou patchesde segurança. Anteri-
ormente, a nomenclatura utilizada era da seguinte forma: caso o segundo número fosse ímpar,
significava que aquela distribuição ainda estava em desenvolvimento, ou seja, era uma versão
instável e que estava em fase de testes. Se o número fosse par,indicava que aquela distribuição
já estava estável e pronta para ser disponibilizada para o uso.
2.1.2 Licença do Linux
O Linux foi criado seguindo a licença GPL (Gnu Public License), que consiste em um tipo
de licença que garante que umsoftwarepossa ser distribuído e copiado livremente, juntamente
com seu código fonte, o que possibilita ao usuário realizar mudanças em seu código de acordo
com sua necessidade, levando uma verdadeira legião de programadores a contribuir na criação,
manutenção e atualização do Linux através da internet.
Em outras palavras, no que se refere a programas de código-fonte aberto, há vários tipos de
licenças disponíveis, no entanto, o Linux utiliza a GPL.
Inicialmente ao criar o Linux, Linus Torvalds aplicou uma licença própria, a qual continha
restrições para uso comercial, onde mais tarde, no ano de 1992 foi adotada a licença GPL,
uma vez que o Linux já era utilizado comsoftwareGNU, ou seja, muitos dos aplicativos que
acompanham okernel, como compiladores e editores de textos, foram criados pelaGNU (sigla
recursiva que significa “Gnu is not Unix”; organização dedicada a criação desoftwarelivre), em-
bora o termo mais correto a ser utilizado é Linux, para se referir apenas aokernel(BOKHARI,
1995).
A GPL foi criada pelaFree Software Foundation(organização fundada por Richard Stall-
man) no ano de 1989, mas foi revisada em 1991 para atender determinadas necessidades, resul-
tando na GPLv2, e posteriormente foi atualizada em 2.007 surgindo a GPLv3. Ela é baseada
em algumas formas de liberdade que a entidade defende (GANDI, 1996). São essas:
a) liberdade de executar o programa, para qualquer propósito (liberdade zero);
b) liberdade de estudar como o programa funciona e adaptá-loàs suas necessidades (liber-
dade 1), sendo o acesso ao código-fonte um pré-requisito para este aspecto;
c) liberdade de distribuir cópias de forma que se possa ajudar ao seu próximo (liberdade 2);
d) liberdade de melhorar o programa e liberar os seus aperfeiçoamentos, de modo que toda
2.2 SERVIDORES LINUX 22
a comunidade se beneficie (liberdade 3). Novamente, aqui o acesso ao código-fonte é um
pré-requisito.
Um softwareque não se enquadra em todos estes quesitos, não pode utilizar a GPL.
2.1.3 Distribuições Linux
O Linux é composto por um grande número de programas, logo surgiu a necessidade de
agrupar esses de forma coerente e funcional, e de criar mecanismos que permitissem o seu
gerenciamento, surgindo então a nomenclatura de distribuições Linux, que nada mais é do que
um conjunto de programas que compõem o Linux: okernel, um sistema gerenciador de pro-
gramas e um instalador. Esse conjunto de programas pode ser tão pequeno ao ponto de caber
em um disquete (como por exemplo a distribuiçãocoyote) ou grandes e completas ao ponto
de caber em mais de um CD ou até mais de um DVD (como por exemplo Fedora, Mandriva,
Debian, dentre outros) (BALL; DUFF, 2004).
Por ser distribuído de forma gratuita e com o código-fonte aberto, okernelpossui a van-
tagem de outros programadores poderem modificá-los, criando um sistema operacional cus-
tomizado. E foi isso que aconteceu ao longo dos últimos anos,em que vários grupos ou mesmo
empresas se organizaram e criaram seu próprio sistema operacional baseado em Linux, onde
cada uma delas receberam o nome de “distribuição Linux” ou “distribuição GNU/Linux”.
Atualmente existem várias distribuições Linux, para os mais diversos fins, onde muitas
vezes fazem parte de negócios rentáveis, em que as empresas fornecem por exemplo o sistema
operacional de graça, mas obtém lucro a partir do suporte técnico. Eventualmente que as dis-
tribuições que se destinam ao segmento de usuários domésticos são os mais populares, como
por exemplo tem-se a distribuição Ubuntu (UBUNTU, 2004), Fedora (HAT, 2004), Mandriva
(ISTEAM, 2000), dentre outras.
Por essa grande vantagem de ser um SO aberto, ter o acesso ao seu código fonte, e ter
contribuições de grandes empresas de TI no seu desenvolvimento, como por exemplo a IBM,
Sun Microsystems, Hewlett-Packard e Novell, foi possível transformar o Linux no principal SO
para servidores.
2.2 SERVIDORES LINUX
Como foi dito na seção 2.1, na página 18, o Linux é amplamente utilizado como servidores
nos principais provedores de internet, visto que não se necessita de licença “paga"para poder
usufruir de todas as suas funcionalidades.
Todos os procedimentos que serão explicados abaixo, foram retirados de diversos sítios de
2.2 SERVIDORES LINUX 23
foruns, como por exemplo o sítiohttp://www.vivaolinux. om.br, onde são encontrados
vários artigos e tutoriais para a configuração de diversos tipos de serviços no Linux.
A seguir, será explicado o funcionamento de alguns módulos do Linux utilizados para in-
stalar e configurar um servidor.
(OBS: No decorrer da configuração de alguns módulos, aparecerá o símbolo # que serve
para se colocar comentários no arquivo de configuração.)
2.2.1 ServidorProxy/Squid
Um servidorproxy/squidé um serviço de rede que atua como intermediário na comunicação
entre clientes e servidores de serviços, e geralmente costuma rodar em um servidor que também
tenha serviço defirewall (relacionado com a segurança do sistema). O serviço deproxyserve
basicamente para controlar a navegação em uma rede, recebendo as requisições de um ou mais
clientes e as repassando para os servidores de destino. Esteservidor também tem a função
de realizar o armazenamento dos sítios navegados, tornandodesta forma a navegação mais
rápida e dinâmica (sítios acessados com frequência ficam pré-carregados no servidor e quando
são requisitados abrem-se com maior velocidade, pois já estão armazenados na rede interna
da empresa), além de poder filtrar as requisições realizadaspelos clientes através de palavras-
chaves.
A Figura 2 mostra um modelo genérico de uso dos servidoresproxy. Vale salientar que os
servidoresproxynão irão definir novos protocolos de aplicação, mas sim utilizar as funcionali-
dades dos já existentes.
Figura 2 -Esquema genérico de um servidorproxy.
Internet
ServidorProxy
Hub/Switch
ADSL
RedeInterna
Fonte: Adaptado de Ball e Duff (2004)
2.2 SERVIDORES LINUX 24
Um servidorproxy também pode implementar o NAT (Network Address Translation-
Tradução de Endereço de Rede). O NAT permite que o endereço interno de rede de uma em-
presa seja ocultado na internet. A empresa é representada nainternet como um endereço de IP
(Internet Protocol) não relacionado com os endereços internos.
Segundo Ball e Duff (2004), existem três vantagens em utilizar um servidorproxyna rede.
1. É possível configurar restrições de acesso à internet baseado em horários,login, endereço,
IP do computador, além de bloquear páginas com conteúdos indesejados como: bate
papo, Orkut, sítios pornográficos, dentre outros;
2. Como foi dito anteriormente, a possibilidade da criação de umcache, tornando o acesso
aos sítios mais rápido, postergando investimento em uma conexão mais rápida;
3. A criação delogsde todos os acessos realizados à internet, podendo ser visualizado poste-
riormente usando o sistema SARG(Squid Analysis Report Generator), um programa que
possibilita a visualização doslogsgerados pelosquid, sendo possível saber quem acessou
quais páginas e em que horário. Na Figura 3 é mostrado um exemplo desta visualização
com o uso do SARG.
De acordo com Squid-cache (2013), osquidé um servidorproxyque tem suporte HTTP,
HTTPS, FTP dentre outros tipos de protocolos. Sua função é dereduzir a utilização da conexão,
melhorando assim os tempos de respostas de acesso, através da criação decachedos sites já
acessados, acelerando assim seus tempos de acessos. Ele é composto por apenas um único
pacote, o que torna a sua instalação muito simples. Para instalá-lo, basta seguir os seguintes
passos:1
1. Comoroot, em um SO Ubuntu, use o seguinte comando:
apt-get install squid
Dependendo da distribuição que o usuário estiver usando, o comando pode variar. Por
exemplo, em um S.O. Fedora, um comando análogo é o que segue:
yum install squid
Toda configuração dosquidé realizada no arquivo texto chamadosquid.conf, que é local-
izado em/et /squid.
2. Depois de instalar o pacotesquid, comece renomeando o arquivo original comobackup
com o seguinte comando:
mv /et /squid/squid. onf squid. onf.old
1Neste trabalho, será adotado o editor de texto chamadovim.
2.2 SERVIDORES LINUX 26
3. O próximo passo é criar um arquivo novo com o comando abaixo:
vim squid. onf
e digitar o seguinte texto:
http_port 3128
visible_hostname server
a l all sr 0.0.0.0/0.0.0.0
http_a ess allow all
4. Após salvar o arquivo/et /squid/squid. onf, basta utilizar o seguinte comando para
inicializar o serviço:
servi e squid start
Apenas essas quatro linhas digitadas no novo arquivo de configuração já são suficientes
para que osquid funcione. É a mesma função do primeiro arquivo que foi renomeado, com
uma diferença, o primeiro arquivo contém linhas de comentários de como utilizar e configurar
o squid, além de mais algumas configurações que podem ser ativadas nomesmo. Essas linhas
de comentários são todas ignoradas pelosquid, uma vez que osquidapenas utiliza os valores
defaultdo sistema.
Por isso é mais fácil e aconselhável criar um arquivo vazio e ir inserindo aos poucos as
opções que o usuário deseja trabalhar.
As quatro linhas que foram inseridas no arquivo, fazem as seguintes funções:
a) http_port 3128: indica a porta em que o servidorsquid irá ficar disponível. Essa porta
utilizada, 3128, é a porta definida por padrão, mas pode ser trocada por outra, caso o
usuário necessite. Muitos administradores de redes, utilizam a porta 8080;
b) visible_name server: disponibiliza o nome do servidor, o mesmo que foi definido na
configuração do computador na rede. O nome do computador na rede pode ser visualizado
utilizando o seguinte comando:
hostname
Após utilizar este comando, é retornado na tela o nome do computador.
c) acl all src 0.0.0.0/0.0.0.0e http_access allow all: Estas duas linhas criam regras ou
política de acesso. A linhaacl cria uma política de acesso chamadaall (todos) para todos
os IPs que se seguem, e a segunda linha finaliza por liberar todos os endereços de IP’s
possíveis, a qual permite qualquer computador que esteja nesta rede a utilizar oproxysem
limitações.
2.2 SERVIDORES LINUX 27
Para que seja possível testar oproxy, é necessário realizar uma configuração no navegador
que o usuário está utilizando se não houver nenhumfirewallna rede. Caso haja algumfirewallna
rede, terá de adicionar a seguinte linha de comando a qual iráabrir a porta 3128 na configuração
dofirewall, possibilitando que osquidreceba as conexões da rede.
iptables -A INPUT -i eth0 -p t p --dport 3128 -j ACCEPT
Sendo que a placa de rede eth0, é a placa de rede que distribui ainternet para a rede local
(rede interna).
2.2.1.1 Criando o arquivo de configuração básica
O problema em se utilizar a configuração realizada anteriormente, é que com apenas as qua-
tro linhas oproxynão tem nenhuma segurança, ou seja, ele não teria nenhuma funcionalidade.
Caso utilize o servidorproxyno mesmo servidor de internet, e não tenha nenhumfirewall
configurado, qualquer computador poderá utilizar a internet através doproxy já configurado, o
que em relação a segurança não seria nada aceitável. Logo, oproxydeve ficar acessível apenas
na rede local.
Para melhorar a configuração já criada, será apresentado a seguir algumas implementações
que são feitas no arquivo/et /squid/squid. onf, criando assim uma segurança pela liber-
ação e bloqueio de portas específicas, ao invés de liberar tudo.
http_port 3128
visible_hostname gdh
a l all sr 0.0.0.0/0.0.0.0
a l manager proto a he_obje t
a l lo alhost sr 127.0.0.1/255.255.255.255
a l SSL_ports port 443 563
a l Safe_ports port 80 # http
a l Safe_ports port 21 # ftp
a l Safe_ports port 443 563 # https, snews
a l Safe_ports port 70 # gopher
a l Safe_ports port 210 # wais
a l Safe_ports port 280 # http-mgmt
a l Safe_ports port 488 # gss-http
a l Safe_ports port 591 # filemaker
a l Safe_ports port 777 # multiling http
a l Safe_ports port 901 # swat
a l Safe_ports port 1025-65535 # portas altas
2.2 SERVIDORES LINUX 28
a l purge method PURGE
a l CONNECT method CONNECT
http_a ess allow manager lo alhost
http_a ess deny manager
http_a ess allow purge lo alhost
http_a ess deny purge
http_a ess deny !Safe_ports
http_a ess deny CONNECT !SSL_ports
a l redelo al sr 192.168.1.0/24
http_a ess allow lo alhost
http_a ess allow rede_lo al
http_a ess deny all
Para entender melhor, faz-se a seguir uma breve explicação sobre as modificações realizadas
no arquivo.
As acl’sSSL_ports e Safe_ports servem para limitar as portas de comunicação que po-
dem ser utilizadas através doproxy, que pode ser visto no bloco de comando anterior, no qual
podem ser utilizados vários protocolos e algumas portas altas de comunicação, acima de 1024.
Esse intervalo de portas é muito grande, por isso deve ser especificado em linhas diferentes.
Pode-se também, ao invés de utilizar uma linha para cada porta, agrupar um intervalo de portas
em uma única linha, o que deixará o arquivo de configuração muito menor, como pode ser visto
logo abaixo:
a l Safe_ports port 21 80 443 563 70 210 280 1025-65535
A acl lo alhost que contém o endereço 127.0.0.1 é utilizada para se navegar localmente
no servidor, e a aclrede_lo al, é onde está especificado a faixa de IP juntamente com a
máscara de subrede da rede local.
As duas linhashttp_a ess allow lo alhost ehttp_a ess allow rede_lo al servem
para especificar que os computadores que estiverem na rede especificada, poderão utilizar o
proxy, e a linhahttp_a ess deny all, indica que os computadores que não estiverem rela-
cionados nas regras anteriores não poderão utilizar oproxy.
A sequência das linhas de comando devem ser respeitadas, umavez que osquidas interpreta
na ordem em que são colocadas no arquivo. Se existe uma regra permitindo que um determinado
computador utilize oproxye em seguida tenha uma outra regra bloqueando seu acesso, esta não
terá efeito algum, pois a primeira regra é a que será respeitada, ou seja, o computador terá
acesso aosquid. Como pode ser indicado no exemplo abaixo.
a l redelo al sr 192.168.1.0/24
2.2 SERVIDORES LINUX 29
http_a ess allow rede_lo al
http_a ess deny rede_lo al
Para alguns sítios oproxypode não funcionar, como por exemplo o sítio da Caixa Econômica
Federal - Conectividade Social, que é utilizado por muitas empresas para o recolhimento do
FGTS. Por isso, deve-se criar regras para que as requisiçõesdirecionadas ao sítio da Caixa
Econômica Federal, seja redirecionada para fora dosquid. Deve ser criada uma acl no arquivo
de configuração dosquid, indicando o sítio que deve ser “liberado” dosquid. Logo, essa linha
de comando deve vir antes das regras que liberam os acessos que venham da rede local, como
mostrado abaixo:
a l site dstdomain sitesliberados
always_dire t allow sites
a l redelo al sr 192.168.1.0/24
http_a ess allow rede_lo al
http_a ess deny rede_lo al
http_a ess deny all
Onde o arquivositesliberados deve conter o nome dos sítios que devem passar fora do
squid, como por exemplo o sítio da Caixa Econômica Federal.
Todas as modificações realizadas no arquivo de configuração do squid, deve ser reinicial-
izado com o seguinte comando:
servi e squid stop
servi e squid start
Ou pode ser utilizado também o seguinte comando:
servi e squid restart
2.2.1.2 Configurando a função cache do squid
A funçãocachedo squidé muito importante, pois ela otimiza o tráfego da conexão através
de caches, onde as páginas acessadas e os arquivos já acessados são guardados de forma a
fornecer um acesso rápido quando solicitado novamente. Osquid pode ser configurado na
funçãocachede duas maneiras:
a) cacherápida, que utiliza a memória RAM;
b) cachemais lenta, que utiliza o disco rígido como forma de armazenamento.
2.2 SERVIDORES LINUX 30
A cacheda primeira opção é excelente para armazenar arquivos pequenos, como sítios que
serão devolvidos aos usuários quando os mesmos acessarem. Já a cacheutilizando o disco
rígido, é usada para armazenar arquivos maiores, comodownloads, arquivos de atualizações do
Windowsou pacotes de instalação do próprio Linux.
2.2.1.3 Configurando a cache
Para configurar ocache, basta seguir os seguintes passos:
1◦ passo: Configuração da quantidade de memória RAM que será utilizadapara a função
cache, adicionando a seguinte linha no arquivo de configuração dosquid, que irá reservar
por exemplo 60 MB de espaço de memória.
a he_mem 60 MB
Dependendo da quantidade de usuários que irá utilizar oproxy, essa quantidade deverá ser
modificada. A nível de regra, alguns administradores de redes utilizam a seguinte lógica:
caso o servidor não seja dedicado e atenda apenas alguns usuários, pode-se utilizar de
30 a 60 MB da memória RAM, mas se for um servidor dedicado, passa-se a utilizar 1/3
da memória RAM.
2◦ passo: A linha de comandomaximum_obje t_size_in_memory vai determinar o tamanho
máximo do arquivo a ser armazenado nacacheutilizando a memória RAM, e caso o
tamanho exceda, o arquivo será armazenado nacacheutilizando o disco rígido. Por ser
mais rápida acacheque utiliza a memória RAM, os administradores utilizam estacache
para armazenar sítios, figuras e arquivos com o tamanho máximo de 64 kB.
maximum_obje t_size_in_memory 64 KB
3◦ passo: A linha de comandomaximum_obje t_size 16 MB realiza a configuração dacache
utilizando parte do disco rígido, que armazenará os arquivos com tamanhos acima de
64 kb. Por padrão, o tamanho máximo dos arquivos que serão armazenados nacache, são
de 16 MB e o tamanho mínimo é de0 bytes, ou seja, todos os arquivos neste intervalo
serão armazenados. Caso se deseja armazenar arquivos maiores, basta mudar o valor
da linha de16 MB para o valor desejado. Caso seja necessário armazenar um arquivo
de atualização que tenha um tamanho de512 MB, basta utilizar as seguintes linhas de
comandos:
maximum_obje t_size 512 MB
minimum_obje t_size 0 KB
2.2 SERVIDORES LINUX 31
Para evitar que o espaço reservado paracachefique cheio, por padrão, já é configurado
para que quando ela atingir 95% de seu uso, a mesma começa a descartar os arquivos
armazenados até que volte a ter a porcentagem de 90% de uso, como pode ser visto
abaixo:
a he_swap_low 90
a he_swap_high 95
4◦ passo: A cachefísica, que utiliza parte do disco rígido comocache. Essa configuração pode
ser realizada através da opção a he_dir, que é composta por quatro valores. O primeiro
valor/var/spool/squid indica onde será armazenado os arquivos em forma decache.
O segundo valor2048 indica o espaço que será reservado para acacheem disco, medido
em MB. Dependendo do tamanho do disco rígido utilizado, e se ocomputador for um
servidor dedicado, alguns administradores de servidores costumam aumentar esta opção.
O terceiro e o quarto valor são16 e256, que indicam a quantidade de diretório e subpastas
que serão criadas respectivamente. Juntando tudo, a linha de comando fica da seguinte
forma:
a he_dir ufs /var/spool/squid 2048 16 256
Mesmo que não se coloque essa linha, por padrão, uma configuração automática que
utiliza o caminho/var/spool/squid, utilizando um espaço em disco de100 MB para
cache, é configurada.
5◦ passo: Definir onde será armazenado o arquivo delogque será utilizado posteriormente para
verificar as estatísticas de acesso. Para configurar essa opção, é utilizada a seguinte linha
de comando:
a he_a ess_log /var/log/squid/a ess.log
Configurado toda a parte decachedo sistema, é necessário adicionar algumas regras para
limitar o acesso a alguns sítios, aumentando assim a segurança na rede.
2.2.1.4 Configurando as restrições de acesso
Algumas empresas trabalham a ideia de que os funcionários usem a internet apenas para
comunicação, pesquisa e outras atividades relacionadas aoserviço.
Com osquid, é possível bloquear alguns sítios por palavras ou domínios, através de um
parâmetro chamadourl_regex, que permite a criação de regras já vistas anteriormente chamadas
dea l's que podem conter endereços de sítios que podem ser liberadosou bloqueados.
2.2 SERVIDORES LINUX 32
Para se bloquear ou liberar um sítio, é necessário realizar duas etapas. A primeira é a criação
de uma regra chamada -a l - na qual vai especificar os sítios que serão liberados ou bloqueados
através de um arquivo chamadobloqueados ouliberados que conterá os domínios desejados,
e em seguida usa-se o parâmetrohttp_a ess para bloquear ou liberar o acesso a eles, como
demonstrado abaixo:
a l bloqueados url_regex -i "/et /squid/bloqueados"
http_a ess deny bloqueados
Cria-se um arquivo de texto denominadobloqueados com todos os sítios desejados, da
seguinte forma:
orkut. om
www.orkut. om
playboy.abril. om.br
www.fa ebook. om
Uma outra forma de restrição do acesso, é utilizando o parâmetro dstdom_regex, respon-
sável pelo bloqueio de uma forma mais geral, através de palavras chaves, ou seja, caso a palavra
chave seja “terra”, qualquer sítio que contenha esta palavra chave na URL (endereço), será blo-
queado.
Essa forma de bloqueio pode ser feita através da seguinte linha de comando:
a l palavras dstdom_regex "/et /squid/palavras"
http_a ess deny palavras
Cria-se um arquivo denominadopalavras com as palavras chaves que deseja bloquear, da
seguinte forma:
sexo
hat
terra
orkut
vivo
filmes
O grande problema deste tipo de bloqueio, é que ele não realiza nenhuma distinção do sítio
a ser bloqueado, ou seja, ele bloqueará todos os sítios que contenha a palavra armazenada no
arquivopalavras.
2.2 SERVIDORES LINUX 33
Caso o usuário tente acessar algum sítio que esteja bloqueado, o navegador retornará a tela
de aviso apresentada na Figura 4.
Figura 4 -Visão da tela de Acesso Negado.
Fonte: Ball e Duff (2004)
Depois de realizar todas as configurações mencionadas anteriormente, o arquivo de config-
uração ficará da seguinte forma:
http_port 3128
visible_hostname server
error_dire tory /usr/share/squid/errors/Portuguese/
a he_mem 64 MB
maximum_obje t_size_in_memory 64 KB
maximum_obje t_size 512 MB
minimum_obje t_size 0 KB
a he_swap_low 90
a he_swap_high 95
a he_dir ufs /var/spool/squid 2048 16 256
a he_a ess_log /var/log/squid/a ess.log
a l all sr 0.0.0.0/0.0.0.0
a l manager proto a he_obje t
a l lo alhost sr 127.0.0.1/255.255.255.255
a l SSL_ports port 443 563
2.2 SERVIDORES LINUX 34
a l Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
a l purge method PURGE
a l CONNECT method CONNECT
http_a ess allow manager lo alhost
http_a ess deny manager
http_a ess allow purge lo alhost
http_a ess deny purge
http_a ess deny !Safe_ports
http_a ess deny CONNECT !SSL_ports
a l bloqueados url_regex -i "/et /squid/bloqueados"
a l palavras dstdom_regex "/et /squid/palavras"
http_a ess deny bloqueados
http_a ess deny palavras
a l redelo al sr 192.168.1.0/24
http_a ess allow lo alhost
http_a ess allow rede_lo al
http_a ess deny all
2.2.1.5 Configurando o proxy transparente
Na maioria dos que utilizam um servidorproxy, estão empresas que possuem uma grande
quantidade de computadores, e para auxiliar o administrador de rede nesta “árdua” tarefa, existe
o proxytransparente. O mesmo consiste em configurar osquide ofirewall da rede de forma que
o servidorproxyfique “escutando” todas as conexões na porta de comunicação 80. Isto evita
que o administrador tenha que configurar computador por computador ou que algum usuário
tente desabilitar oproxymanualmente.
Caso o administrador queira configurar manualmente os computadores, terá de colocar o IP
do servidorsquidna configuração de rede de cada navegador utilizado pelo usuário, como pode
ser visto nas Figuras 5 e 6, que representam as telas de configuração do sistema operacional
Linux e Windowsc©respectivamente.
2.2 SERVIDORES LINUX 35
Figura 5 -Visão da tela de configuração doproxyno SO Linux.
Fonte: Adaptada de Ball e Duff (2004).
Figura 6 -Visão da tela de configuração doproxyno SO Windowsc©.
Fonte: Adaptada de Ball e Duff (2004).
A função doproxytransparente é interceptar todas as conexões pela porta de comunicação
80 obrigando todos os usuários a passar pelas regras de controle de acesso.
2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 36
Para que se possa configurar a função deproxytransparente, é necessário que já esteja ativo
o compartilhamento da internet através do módulo NAT, que pode ser ativado, através de três
comandos:
modeprobe iptable_nat
e ho 1 > /pro /sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
O primeiro comando serve para ativar a funçãoiptable_nat, módulo responsável por criar
o roteamento da conexão proveniente da placa que recebe a conexão da internet para as outras
placas de redes locais.
A segunda linha de comando ativa a funçãoip_forward, responsável por encaminhar os
pacotes utilizados pelo móduloiptable_nat
A terceira e última linha de comando, é responsável por direcionar para a internet todos
os pacotes recebidos dos usuários, ou seja, ele passa a ser uma ponte para a conexão externa,
recebendo a função chamada degatewayda rede.
O termoeth0 é a placa de rede que receberá a internet no servidor. Este comando com-
partilhará a conexão que está chegando no servidor com as outras placas de redes que estão
conectadas ao servidor, por isso não é necessário especificar as placas de redes locais.
Já configurado, o servidor está pronto para ser habilitado a função deproxy transparente,
bastando apenas digitar a seguinte linha de comando:
iptables -t nat -A PREROUTING -i eth0 -p t p --dport 80 -j \
REDIRECT --to-port 3128
Para ativar o suporte ao módulo doproxy transparente, dentro do arquivo de configuração
do squid, é necessário apenas adicionar a linha de comandohttp_port 3128 transparent
no lugar dehttp_port 3128.
Feito isso, basta apenas reiniciar o serviço com o seguinte comando:
servi e squid reload
2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER
Segundo Oetiker (2006) o MRTG (Multi Router Traffic Grapher) é uma ferramenta de
monitoramento que gera páginas HTML com gráficos de dados coletados a partir do protocolo
SNMP e é amplamente conhecido, principalmente pelos administradores de redes.
2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 37
Algumas características do MRTG são:
a) medição de dois valores, no caso de tráfego podem ser entrada e saída;
b) leitura via SNMP ou através descript que retorne um formato padrão;
c) coleta de dados a cada cinco minutos por padrão, mas o tempopode ser aumentado de
acordo com a necessidade do administrador de rede;
d) criação de uma página HTML com quatro gráficos (diário, semanal, mensal e anual);
e) o MRTG pode avisar se o gráfico atingir um valor pré-estabelecido; por exemplo, se
determinado servidor atinge 95% do espaço do disco, o MRTG pode encaminhar um
e-mailpara o administrador informando o ocorrido;
f) possui uma ferramenta para gerar os arquivos de configuração, chamadocfgmaker;
g) possui uma ferramenta para gerar uma página de índice paraos casos em que muitos itens
são monitorados, chamadoindexmaker;
h) o MRTG é software livre e é distribuído nos termos GNU -General Public License.
Para se instalar e configurar o módulo MRTG, basta seguir os seguintes passos:
1◦ passo: Comoroot, digite o seguinte comando:
apt-get install mrtg
Durante a instalação e configuração do pacote, aparecerá umajanela em que o usuário
deverá acionar oYes, como indicado na Figura 7.
2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 38
Figura 7 -Tela de configuração gerada pelo MRTG.
Fonte: Oetiker (2006)
2◦ passo: Após o término da configuração, deve-se editar o arquivo de configuraçãomrtg.cfg
que se encontra dentro da pasta/et . Neste arquivo será criado uma configuração para
monitorar todo o tráfego na interfaceeth0. O conteúdo do arquivo é como segue.
###################################################################
# ARQUIVO DE CONFIGURA�O DO MRTG #
###################################################################
# Configura ao Global
WorkDir: /var/www/mrtg
Htmldir: /var/www/mrtg
i ondir: images/
Refresh: 300
Interval: 5
Language: portuguese
RunAsDaemon: Yes
###################################################################
# Monitorando pla a de rede eth0 #
###################################################################
# Esses omandos são utilizados para apturar as informações #
# ne essárias para gerar o gráfi o do MRTG. #
2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 39
###################################################################
Target[eth0℄: ` at /pro /net/dev | grep eth0 | awk -F':' ' \
{print $2}' | awk '{print $1}'; at /pro /net/dev | eth0 | \
awk -F':' '{print $2}' | awk '{print $9}';
e ho-e; e ho -e`
MaxBytes[eth0℄: 1250000
Title[eth0℄:eth0 - Utiliza ao eth0
PageTop[eth0℄: <h1>Estatisti a das interfa es<br>Utiliza ao da
interfa e externa(eth0)</h1>
Options[eth0℄: growright
Salve e saia do arquivo.
3◦ passo: Crie no diretório/var/www/, o subdiretório mrtg, com o seguinte comando:
mkdir /var/www/mrtg
em seguida, digite o seguinte comando:
env LANG=C /usr/bin/mrtg
4◦ passo: Para acessar a tela de monitoramento do SARG, basta abrir um navegador e digitar
o seguinte endereço:http://lo alhost/mrtg/eth0.html
Após digitar o endereço, aparecerá a tela da Figura 8:
2.3 MRTG - MULTI ROUTER TRAFFIC GRAPHER 40
Figura 8 -Gráficos gerados pelo MRTG.
Fonte: Oetiker (2006)
2.4 CONFIGURANDO E INSTALANDO O SARG 41
2.4 CONFIGURANDO E INSTALANDO O SARG
O SARG (VOLKOV et al., 2009), é um módulo do Linux utilizado para realizar a interpre-
tação doslogsgerados pelosquid, quando este monitora os acessos realizados pelos usuários
na rede. Oslogscontém informações como:
a) As páginas acessadas;
b) Tempo gasto em cada acesso;
c) Tentativas de acesso bloqueados pelos filtros de conteúdo, dentre outras informações de
acordo com a configuração dosquid.
Os logs são organizados por período, sendo que os relatórios antigos são mantidos, e de
tempo em tempo são atualizados. Com isso acaba-se armazenando um volume muito grande
de informações. Dentro do relatório de cada período, tem-sea lista dos endereços IP’s e/ou dos
usuários autenticados que utilizaram oproxye, dentro do relatório referente a cada um, pode-se
acompanhar olog das páginas acessadas e outras informações, de forma bastante detalhada.
Para que o SARG possa funcionar, osquidjá tem que estar instalado e configurado.
Para instalar o SARG, basta seguir os seguintes passos:
1◦ passo: Primeiro, tem-se que instalar o servidorapache, para que o usuário tenha acesso as
informações do MRTG via web. Para instalar, basta usar o seguinte comando:
apt-get install apa he2
2◦ passo: Após instalar o apache, tem-se que instalar o SARG com o seguinte comando:
apt-get install sarg
3◦ passo: Após a instalação do SARG, deve-se editar o arquivo de configuraçãosarg.confque
fica localizado no seguinte caminho:/et /squid/sarg. onf.
vim /et /squid/sarg. onf
Toda a configuração será feita neste arquivo, onde a linha mais importante é a que indica
o arquivo delog do squid, e que geralmente fica em/var/log/squid/a ess.log .
O arquivo do SARG deve ficar assim, depois de configurado:
# sarg. onf
#
# A linguagem do relatório
2.4 CONFIGURANDO E INSTALANDO O SARG 42
language Portuguese
# Caminho do arquivo de log do squid
a ess_log /var/log/squid/a ess.log
# O título do seu relatório
title "Relatório Rede Unesp"
# A fonte do relatório
font_fa e Tahoma,Verdana,Arial
header_ olor darkblue
header_bg olor blan hedalmond
# Tamanho da fonte
font_size 9px
# Definição das ores do relatório
ba kground_ olor white
text_ olor #000000
text_bg olor lavender
title_ olor green
# Lo alização do arquivo temporário do sarg
temporary_dir /tmp
# Diretório dos relatórios.#
output_dir /var/www/squid-reports
# Quando habilitado resolve IP em Nome
resolve_ip
# Obtém IP do usuário
user_ip no
# TAG: topuser_sort_field field normal/reverse
# Sort field for the Topuser Report.
# Allowed fields: USER CONNECT BYTES TIME
topuser_sort_field BYTES reverse
# A LINHA ABAIXO DIZ RESPEITO AO ARQUIVO ONDE CONSTAM
# OS USUÁRIOS QUE N�O TER�O RELATÓRIOS
user_sort_field BYTES reverse
ex lude_users /et /squid/sarg.users
ex lude_hosts /et /squid/sarg.hosts
# Formtato de data
date_format u
lastlog 0
# Remove arquivos temporários
remove_temp_files yes
# Configura o tipo de exibição
2.4 CONFIGURANDO E INSTALANDO O SARG 43
index yes
index_tree file
# Sobrepõe arquivos antigos aso existam
overwrite_report yes
# Grava os arquivos sem identifi ação
re ords_without_userid ip
# Usa virgula no lugar de ponto
use_ omma yes
# Módulo utilizado p/ enviar e-mails
mail_utility mail
# O número de sites que irá exibir no relatório.
topsites_num 100
topsites_sort_order CONNECT D
index_sort_order D
ex lude_ odes /et /squid/sarg.ex lude_ odes
max_elapsed 28800000
# Reduzindo onteúdo a ser exibido.
report_type topusers topsites sites_users users_sites date_time
denied auth_failures site_user_time_date
downloads
# Identifi ação de ada relatorio por nome e IP.
usertab /et /squid/sarg.usertab
# Habilita longas url
long_url yes
date_time_by bytes
harset Latin1
# Mostra mensagens no final de ada relatorio gerado.
show_su essful_message yes
show_read_statisti s no
# Quais ampos devem ser exibidos
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES
IN-CACHE-OUT
USED_TIME MILISEC %TIME TOTAL AVERAGE
user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME
MILISEC %TIME
TOTAL AVERAGE
topuser_num 0
site_user_time_date_type table
# Arquivos que serão onsiderados omo download.
2.5 BANDLIMIT 44
download_suffix "zip,arj,bzip,gz,a e,do ,iso,adt,bin, ab, om,dot,drv$,
lha,lzh,mdb,mso,ppt,rtf,sr ,shs,sys,exe,dll,mp3,avi,mpg,mpeg"
4◦ passo: Depois de configurado o arquivo, basta reiniciar osquidcom o seguinte comando:
servi e squid stop
servi e squid start
5◦ passo: Para gerar o relatório delog de acesso, basta usar o seguinte comando:
sarg
Após digitar o comando acima, será retornado uma mensagem deque o relatório do
SARG foi gerado com sucesso no seguinte caminho:/var/log/squid/squid-reports.
6◦ passo: De qualquer computador na mesma rede, o usuário conseguirá visualizar os re-
latórios. É só digitar o IP do computador que está rodando o SARG e osquidno naveg-
ador com o seguinte comando:
http://192.168.x.x/squid-reports
Após entrar com o endereço acima, aparecerá uma tela análogaaquela anteriormente apre-
sentada na Figura 3, na página 25.
2.5 BANDLIMIT
O módulobandlimitserve para controlar olink dedownloadeuploadde cada computador
que acessa o servidor e que usa a rede, pois sem isso qualquer usuário poderia baixar um arquivo
muito grande e usar toda a banda, fazendo com que a rede fique muito lenta para os outros
usuários.
Esta parte do trabalho foi baseada no projeto do sítio do UnderLinux Bandlimit e que tem
como objetivo prover uma fácil solução para o controle de banda baseado nas ideias de Fran-
cisco Antonello e Marcus Maciel (ANTONELLO; MACIEL, 2004).
Para instalar e configurar obandlimit, basta seguir os seguintes passos comoroot:
1◦ passo: Baixe o arquivo rc.bandlimit-v0.4 no seguinte sítio:http://underlinux. om.br/
downloads/bandlimit/
2◦ passo: Após baixar o arquivo, crie um diretório chamadobandlimit dentro de/et e
dentro do diretório que foi criado, crie um arquivo de texto chamadoIP, salvando nele o
primeiro IP e as velocidades que serão controlados, no seguinte formato:
2.5 BANDLIMIT 45
<ip>:ratein:rateou
Onde<ip> é o endereço IP do computador que se deseja limitar a velocidade,ratein
significa a taxa dedownloade orateout a taxa deupload, como pode ser mostrado no
exemplo:
192.168.1.2:128:256
3◦ passo: No mesmo diretório, crie um arquivo chamadointerfacese salve dentro dele as in-
terfaces usadas no servidor no seguinte formato:
ethx
Em quex simboliza o número da interface de rede que vai de 0 a n, como pode ser
mostrado no seguinte exemplo:
eth0
eth1
4◦ passo: Configure o arquivo de configuração dobandlimit, chamador .bandlimit.
Procure por esta parte no arquivo:
IPTABLES=`whi h iptables`
TC=`whi h t `
IPCHAINS=`whi h ip hains`
GREP=`whi h grep`
CUT=`whi h ut`
EXPR=`whi h expr`
Comente a terceira linha com uma # (cerquilha), como mostrado abaixo:
IPTABLES=`whi h iptables`
TC=`whi h t `
# IPCHAINS=`whi h ip hains`
GREP=`whi h grep`
CUT=`whi h ut`
EXPR=`whi h expr`
2.6 CONFIGURAÇÃO DO SERVIDOR DHCP 46
5◦ passo: Agora é a parte da configuração das interfaces, ou seja, das placas de redes. É onde
se configura em qual placa de rede o servidor irá receber olink de internet e qual placa
irá distribuir olink de internet na rede interna. Isso pode ser visto no exemplo abaixo:
#############
# Interfa es
redelo al=eth0
#redelo al2=eth0
redelo al2=inexistente
internet=eth1
#############
De acordo com o código acima, pode-se verificar que a rede local está configurada para a
placa de rede eth0 e a internet para a placa eth1, podendo ser modificada de acordo com
a necessidade do usuário.
6◦ passo: Após configurar o arquivo de configuração dobandlimit, é necessário mover o ar-
quivor .bandlimit para o diretório/et /init.d/, através do comando:
mv r .bandlimit /et /init.d
Depois, basta executar o seguinte comando para inicializaro bandlimit:
hmod +x r .bandlimit
servi e bandlimit start
Para testar, basta verificar no computador através de umdownloadouuploadde um arquivo.
2.6 CONFIGURAÇÃO DO SERVIDOR DHCP
O servidorDynamic Host Configuration Protocol(DHCP) consiste em uma configuração
automática e dinâmica realizada em um servidor de rede de computadores ligados a uma rede
TCP/IP (DROMS, 1997).
O serviço DHCP, é hoje um protocolo recomendado, em vias de ser padronizado peloInter-
net Activities Board(IAB), pois o mesmo viabiliza a gerência de grandes redes de IP’s. Sendo
assim, para o perfeito funcionamento de um computador ligado a uma rede internet, não ape-
nas precisa-se configurar o seu endereço IP de forma automática ou manual, mas também uma
série de outros parâmetros de rede. Já um cliente DHCP busca encontrar um ou mais servidores
2.6 CONFIGURAÇÃO DO SERVIDOR DHCP 47
DHCP que possam fornecer os parâmetros desejados de uma forma automática na rede, para que
o computador possa ser automaticamente configurado. A Figura 40, resume o funcionamento
de um servidor DHCP.
Figura 9 -Funcionamento do servidor DHCP.
Fonte: Próprio autor.
Mesmo não sendo o parâmetro mais importante, o endereço IP é importante, pois um
mesmo endereço não deve ser utilizado por mais de um cliente ao mesmo tempo. Caso con-
trário pode-se acarretar o chamado “conflito de IP”. Por issoo DHCP possibilita a criação de
uma política de alocação de endereços IP’s de uma forma dinâmica, o que possibilita a reuti-
lização de endereços disponíveis ao longo do tempo.
O funcionamento do protocolo DHCP é estabelecido de uma forma bastante interessante,
pois inicialmente a estação (computador) não sabe quem é, não possui um endereço IP e não
sabe sequer qual é o endereço do servidor DHCP da rede. O computador cliente envia um pa-
cote debroadcastendereçado ao IP255.255.255.255, que é transmitido pelo equipamento
utilizado na rede, que pode ser desde umhuba umswitch, e esse replica para todos os micros
da rede. O servidor DHCP recebe este pacote e responde com um pacote endereçado ao en-
dereço IP0.0.0.0, que também é transmitido para todas as estações. Logo, apenas a estação
que enviou a solicitação receberá o pacote, enquanto as demais irão descartá-los, pois ele é en-
dereçado ao endereço MAC da placa de rede. Dentro deste pacote enviado pelo servidor DHCP
estão especificados o endereço IP, máscara,gatewaye servidores DNS que serão usados pela
estação.
2.6 CONFIGURAÇÃO DO SERVIDOR DHCP 48
2.6.1 Detalhes da Configuração do Servidor DHCP
No geral, sua configuração não é difícil, bastando seguir as seguintas etapas:
1◦ etapa: Nas distribuições derivadas do Debian, o pacote correspondente ao servidor DHCP
se chamadhcp3-servere pode ser instalado com o seguinte comando:
apt-get install dh p3-server
2◦ etapa: Com o pacote já instalado pode-se ativá-lo ou desativá-lo usando os seguintes co-
mandos:
/et /init.d/dh p3-server start
/et /init.d/dh p3-server stop
3◦ etapa: Como nos módulos anteriores, também existe um arquivo textode configuração,
denominadodhcpd.conf, que pode ser encontrado no caminho:/et /dh p3/.
Editando-se o arquivo, pode-se configurar o DHCP com o seguinte exemplo:
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.100 192.168.1.199;
option routers 192.168.1.1;
option domain-name-servers 208.67.222.222,208.67.220.220;
option broad ast-address 192.168.1.255;
}
Neste arquivo de exemplo existem algumas funções que serão explicadas logo a seguir:
a) a opçãodefault-lease-time controla o tempo de renovação dos endereços IP’s;
b) o 600 indica que a cada dez minutos o servidor verifica se a estação cliente está
ativa;
c) o max-lease-time determina o tempo máximo que uma estação pode usar um
determinado endereço IP;
d) o range determina a faixa de endereços IP que será usada pelo servidor, podendo
ser mudada de acordo com a faixa de IP que está sendo utilizadana rede, podendo
ser dinâmico ou estático;
2.7 EXEMPLO DE UM FIREWALL USANDO IPTABLES 49
e) option routers especifica o endereço dodefault gatewayda rede, ou seja, o en-
dereço do servidor que está compartilhando a conexão;
f) o option domain-name-servers contém os servidores DNS que serão usados
pelas estações.
Após terminar a configuração do arquivo, pode-se testar se o serviço está funcionando em
computadores com o SO Linux, usando o seguinte comando:
dh lient eth0
que retornará as seguintes informações:
Internet Systems Consortium DHCP Client V3.0.4
Copyright 2004-2006 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.is .org/sw/dh p/
Listening on LPF/eth1/00:15:00:4b:68:db
Sending on LPF/eth1/00:15:00:4b:68:db
Sending on So ket/fallba k
DHCPREQUEST on eth1 to 255.255.255.255 port 67
DHCPACK from 192.168.1.1
bound to 192.168.1.199 -- renewal in 245 se onds.
É importante ressaltar que quando se for utilizar um servidor com duas placas de rede,
deve-se configurar o servidor DHCP para “escutar” apenas na placa da rede local, modificando
o arquivo de configuração na linha:
INTERFACES=""
Adicionando a placa de rede que o servidor DHCP deve “escutar”, como em:
INTERFACES="eth0"
Não se deve esquecer de que todas as vezes que se realizar alguma modificação no arquivo
de configuração, deve-se reinicializar o serviço para que asmodificações entre em vigor.
2.7 EXEMPLO DE UMFIREWALLUSANDO IPTABLES
Utilizando-se apenas um arquivo texto, pode-se criar umfirewall com os comandos expli-
cados na seção 3.5, pagina 70. Nomeando o arquivo comofirewall, segue-se a listagem do
mesmo, com as principais regras mais utilizadas, comentadas passo a passo.
2.7 EXEMPLO DE UM FIREWALL USANDO IPTABLES 50
#!/bin/bash
###CARREGANDO MODULOS ####
modprobe iptable_nat
### LIMPANDO AS TABELAS E REGRAS #####
iptables -F
iptables -t nat -F
iptables -X
## Liberando FTP
iptables -A INPUT -p t p --dport 21 -j ACCEPT
##Habilitando IP Forward
e ho "1" > /pro /sys/net/ipv4/ip_forward
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Proxy transparente
iptables -t nat -A PREROUTING -i eth1 -p t p --dport 80 -j \
REDIRECT --to-port 3128
#Syn-floods
iptables -A FORWARD -p t p --syn -m limit --limit 1/s \
-j ACCEPT
#Port s anners o ultos
iptables -A FORWARD -p t p --t p-flags SYN,ACK,FIN,RST RST -m \
limit --limit 1/s -j ACCEPT
#Ping da morte
iptables -A FORWARD -p i mp --i mp-type e ho-request -m limit \
--limit 1/s -j ACCEPT
###########################
## Virus, Trojans e Afins ##
###########################
# -> Input
iptables -A INPUT -p t p --dport 135:139 -j DROP
# -> Forward ->
iptables -A FORWARD -p t p --dport 135:139 -j DROP
# -> Output
iptables -A OUTPUT -p t p --dport 135:139 -j DROP
############ NAT ############
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
##Protege ontra Spoof de IP
e ho "1" > /pro /sys/net/ipv4/ onf/all/rp_filter
2.8 LINUX E SERVIDORES 51
#-----------------------------------------------------------
e ho ""
e ho "..:: FIREWALL ATIVADO SISTEMA PREPARADO ::.."
e ho ""
#----------------------------------------------------------
Todas as linhas que começarem com # indica que a linha está comentada, ou seja, não é
interpretada pelo sistema, e esse caracter é usado para comentar trechos de códigos no próprio
arquivo.
A primeira linha serve para saber o caminho completo do interpretador que se deseja utilizar
para execução dos comando que serão realizados em sequência, uma vez que pordefaulto shell
do Linux executashell-scripts.
Isso pode ser visto como exemplo, já que o código está todo comentado, facilitando muito
o entendimento.
Após digitar todo o código no arquivo, salve-o e saia do editor de texto. Posteriormente dê
permissão de execução ao arquivo com o seguinte comando:
hmod +x firewall
Pronto, o arquivo defirewall já esta finalizado. Para executá-lo basta usar o comando:
./firewall
O computador já está seguro e compartilhando a conexão de internet entre as outras máquinas
da rede. Caso seja feita alguma modificação em seu código, basta executar o comando citado
anteriormente para que as modificações sejam aplicadas.
2.8 LINUX E SERVIDORES
Estima-se hoje que 80% das melhores empresas de hospedagensno mundo utilizem alguma
distribuição Linux como sistema operacional de seus servidores, devido a sua licença ser de
graça e a possibilidade de configurar vários serviços desde ocompartilhamento de impressora
a um servidor de internet e de segurança.
De acordo com a Tabela 1, pode-se fazer uma comparação dos custos associados e de outras
características, quando da utilização de um SO proprietário e um outro de domínio público, para
a configuração de alguns serviços.
2.8 LINUX E SERVIDORES 52
Tabela 1 - Comparativo de preços de instalação e mão de obra.
Modelo de LicenciamentoLicenças Microsoft Licenças Linux
EconomiaPROPRIETÁRIO GPL
Versão do ServidorWindows 2008 Server Debian/Ubuntu
Standard
Custo da Licença Inicial (R$) R$ 2.000.00 R$ 0,00 R$ 2.000,00
Custo da Licença Adicional
por usuário (R$)R$ 100,00 R$ 0,00 R$ 100,00
Mão de Obra de Instalação
(Técnico): Custo médio (R$)R$ 1.200,00 R$ 1800,00 R$ - 600,00
Observação: Não Inclui anti-vírus Inclui anti-vírus
Comparativos de Custo INICIAL + LICENÇAS USUÁRIOS
Rede com 20 usuários R$ 3.600.00 R$ 0,00 R$ 3.600,00
Rede com 30 usuários R$ 4.500.00 R$ 0,00 R$ 4.500,00
Rede com 50 usuários R$ 6.500.00 R$ 0,00 R$ 6.500,00
Comparativos Técnicos
Níveis de segurança à áreaALTO ALTO
protegida
Incidência de vírus ALTA BAIXO
Integração de WindowsSIM SIM
XP/VISTA
Recuperação em caso deBAIXA ALTA
falha (Software)
Outros Comparativos
Antivirus Free para Servidor NÃO TEM CLAMAV
Custo Antivirus para Servi-
dor (R$)
mínimo R$ 500.00 R$ 0,00
Máquina mínima para fun-
cionar com 50 usuários
Dual Core 4 e 1 GB RAM Pentium IV 2.8
Ghz e 1 GB RAM
Fonte: Adaptado de DMN Eletrônica (2013), Duarta (2009) e SMART UNION (2012).
Como exemplo, na hipótese da instalação de uma rede local comum servidor e vinte
usuários (instalação típica de um laboratório computacional de pesquisa em uma universidade),
tem-se um custo total deR$ 7.400,00 com a utilização desoftwaresproprietários, enquanto
o custo total cai paraR$ 1.800,00 com o uso desoftwareslivres.
2.8 LINUX E SERVIDORES 53
Com todas essas informações pode-se concluir que o Linux é umsistema operacional com-
pleto, e que tem inúmeras vantagens sobre outros sistemas operacionais para uso em servidores,
tais como (BALL; DUFF, 2004):
a) estabilidade: Capacidade de funcionar anos initerruptamente sem qualquer tipo de falha,
fato esse que faz com que muitos usuários de Linux nunca tenham ouvido falar a respeito
de uma manutenção do sistema, uma vez que isso acaba sendo primordial para sistemas
operacionais de servidores, pois cada minuto parado gera prejuízo para inúmeros sítios e
clientes.
Outro detalhe é o fato do Linux conseguir trabalhar com grande volume de acesso simultâ-
neos, outra característica fundamental para servidores, característica essa que é um dos
grandes problemas do Windows, o que pode gerar lentidão e atépossíveis travamentos do
SO;
b) segurança: Por ser nativamente mais seguro que o Windows, seja como servidor ou
comodesktop, é possível que o Linux também possa sofrer ataques, mas as suas vul-
nerabilidades tendem a serem descobertas muito antes, e corrigidas em um tempo muito
pequeno, devido ao grande número de programadores espalhados pelo mundo cooperando
na sua manutenção;
c) hardware: Pelo fato de ser um sistema leve, ele não necessita de grandes equipamentos
para suportá-lo, nem de constantes atualizações de hardware, como acontece com sis-
temas baseados em Windows. Ele pode ainda ser configurado de forma a somente serem
utilizados os recursos necessários, tornando-o ainda maisleve e acelerando ainda mais o
seu desempenho;
d) liberdade: Por não existir um único fornecedor para o Linux, o usuário não fica preso a
certas características e protocolos, uma vez que ele tem a liberdade para escolher a versão
ou distribuição que melhor atende as suas necessidades, isso tudo sem contar o custo total
dessa operação, que é muito inferior aos outros SO.
O SO Linux pode ser utilizado como servidor de rede, o que facilita muito a vida de um
administrador de rede.
Neste trabalho utilizou-se a distribuição Ubuntu para configurar:
a) um dispositivo de rede de computadores que tem por objetivo criar uma barreira de pro-
teção que por uma política de segurança controla o tráfego dedados entre o computador
e a rede;
2.8 LINUX E SERVIDORES 54
b) um servidorproxyque suporta os protocolos: HTTP, HTTPS, FTP, dentre outros,que em
conjunto com acache, reduz a utilização da conexão e melhora o tempo de resposta das
requisições solicitadas de páginas web’s;
c) uma ferramenta de monitoração que através de arquivos delogs gera páginas HTML
com gráficos de dados de acesso, memória utilizada, capacidade de armazenamento do
servidor, dentre outros tipos de gráficos;
d) uma ferramenta de monitoramento de sites acessados pelosusuários;
e) uma ferramenta para limitar olink dedownloadeuploadde cada usuário;
f) um servidor que forneça IP (Internet Protocol) para cada máquina da rede de forma au-
tomática.
Na sequência será apresentado conceitos de gerência de serviços e de redes, utilizados na
ferramenta proposta.
55
3 GERÊNCIA DE SERVIÇOS E DE REDES
O aumento da competitividade no mercado empresarial tem obrigado as empresas dos mais
variados segmentos e portes, a uma busca incansável pela redução de custos, aumento da efi-
ciência operacional, novos mercados, maior lucratividade, racionalização de investimentos e
mais agilidade na tomada decisões.
Sendo assim, deixar de monitorar e gerenciar estes ambientes, pode significar muitas perdas
e prejuízos, uma vez que os dados e informações que trafegam nas redes corporativas são, em
última análise, valores monetários.
Neste contexto, a gerência e monitoramento dos serviços nasredes corporativas, tornam-se
imprescindíveis, pois mais importante que saber quais os problemas que estão relacionados à
rede corporativa, é conhecer o impacto deles nos lucros das empresas (SOUZA, 2009).
Segundo Tanenbaum (2011), as redes de computadores foram concebidas como meio para
compartilhar dispositivos periféricos tais como impressoras, drivers de alta velocidade, entre
outros, existindo inicialmente apenas em ambientes acadêmicos, governamentais e algumas
empresas de grande porte. Entretanto a rápida evolução das tecnologias de redes, aliada à
grande redução de custos dos recursos computacionais, motivou a proliferação das redes de
computadores por todos os segmentos da sociedade.
À medida que essas redes foram crescendo e tornando-se integradas às organizações, o com-
partilhamento dos dispositivos tomou aspecto secundário em comparação às outras vantagens
oferecidas. As redes passaram então a fazer parte do cotidiano das pessoas como uma ferra-
menta que oferece recursos e serviços que permitem uma maiorinteração entre os usuários
e um consequente aumento de produtividade. Também ocorreu uma grande mudança nos
serviços oferecidos, pois além do compartilhamento de recursos, novos serviços tais como cor-
reio eletrônico, transferência de arquivos, internet, aplicações multimídia, dentre outros, foram
acrescentados, aumentando ainda mais a complexidade das redes. Não bastassem esses fatos, o
mundo da interconexão de sistemas ainda passou a conviver com a grande heterogeneidade de
padrões, sistemas operacionais, equipamentos, etc.
Considerando este quadro, torna-se cada vez mais necessário o gerenciamento do ambiente
de redes de computadores para mantê-lo funcionando corretamente. Surge então a necessidade
de buscar uma maneira consistente de realizar o gerenciamento de redes para, com isso, manter
toda a estrutura funcionando de forma a atender as necessidades dos usuários e às expectativas
dos administradores.
3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE 56
O gerenciamento de rede pode ser definido como a coordenação (controle de atividades e
monitoração de uso) de recursos materiais (modems, roteadores, etc.) e ou lógicos (protocolos),
fisicamente distribuídos na rede, visando maximizar sua eficiência e produtividade além de
assegurar, na medida do possível, confiabilidade, tempos deresposta aceitáveis e a segurança
das informações (TANENBAUM, 2011).
A gerência em redes de computadores torna-se uma tarefa complexa em boa parte, por con-
sequência do crescimento acelerado das mesmas, tanto em desempenho quanto em suporte à
um grande conjunto de serviços. Além disso, os sistemas de telecomunicações, parte impor-
tante e componente das redes, também adicionam maior complexidade, estando cada vez mais
presentes, mesmo em pequenas instalações.
Admitindo-se que as ferramentas para gerência de redes não abrangem toda a gama de
problemas de uma rede e que estas nem sempre são usadas nas organizações que possuem
redes, se faz necessário que outros mecanismos de gerência sejam utilizados para suprir suas
carências mais evidentes.
As informações que circulam em uma rede de computadores devem ser transportadas de
modo confiável e rápido. Para que isso aconteça é importante que os dados sejam monitorados
de maneira que os problemas que por ventura possam existir sejam detectados rapidamente e
sejam solucionados eficientemente. Uma rede sem mecanismosde gerência pode apresentar
problemas que irão afetar o tráfego dos dados, bem como sua integridade, como problemas
de congestionamento do tráfego, recursos mal utilizados, recursos sobrecarregados, problemas
com segurança entre outros.
O gerenciamento está associado ao controle de atividades e ao monitoramento do uso dos
recursos da rede. A tarefa básica que uma gerência de rede deve executar envolve a obtenção
de informações da rede, tratar estas informações possibilitando um diagnóstico seguro e en-
caminhar as soluções dos problemas. Para cumprir estes objetivos, funções de gerência devem
ser embutidas nos diversos componentes da rede, possibilitando descobrir, prever e reagir a
problemas.
3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE
De acordo com Freitas (2010), um sistema de gerenciamento consiste de alguns itens de
hardwaree softwareadicionais, implementados entre os equipamentos de rede existentes. O
softwareusado para auxiliar neste gerenciamento é instalado em servidores, estações e proces-
sadores de comunicação, tais como, roteadores, concentradores de acesso eswitches, uma vez
que é projetado para oferecer uma visão de toda a rede como umaarquitetura unificada, com
endereços e rótulos associados a cada ponto da rede e atributos específicos de cada elemento e
link conhecido do sistema de gerenciamento.
3.1 DISTRIBUIÇÃO DA GERÊNCIA NA REDE 57
Com o crescimento das redes de computadores, em tamanho e complexidade, sistemas de
gerência baseados em um único gerente são inapropriados, ouseja, não se deve centralizar
o gerenciamento em apenas um único gerente, devido ao volumedas informações que de-
vem ser tratadas e que podem pertencer a localizações geograficamente distantes do gerente,
evidenciando-se então a necessidade da distribuição da gerência na rede, através da divisão das
responsabilidades entre gerentes locais que controlem domínios distintos e da expansão das
funcionalidades dos agentes.
Os modelos de gerência diferenciam-se nos aspectos organizacionais envolvendo a dis-
posição dos gerentes na rede, bem como no grau da distribuição das funções de gerência. Cada
gerente local de um domínio pode prover acesso a um gerente responsável (pessoa que interage
com o sistema de gerenciamento) local e/ou ser automatizadopara executar funções delegadas
por um gerente de mais alto nível, geralmente denominado de Centro de Operações da Rede
(Network Operation Center- NOC). O NOC é responsável por gerenciar os aspectos inter-
domínios, tal como um enlace que envolva vários domínios, ouaspectos específicos de um
domínio, devido à inexistência de gerente local.
Segundo Comer (2007), a gerência de rede é dividida em três etapas como pode ser visto
na Figura 10 a seguir:
Figura 10 -Esquema das etapas de uma gerência de rede.
Fonte: Adaptado de Comer (2007).
a) coleta de dados: Processo automático que consiste na monitoração dos recursos geren-
ciados e armazenados em arquivos de logs;
b) diagnóstico: Consiste no tratamento e análise realizados a partir dos dados coletados
onde também é realizado a detecção da causa do problema no recurso gerenciado através
de um computador de gerenciamento que executa uma série de procedimentos manuais
ou automáticos (por intermédio de um operador ou não) com o intuito de determinar a
causa do problema representado no recurso gerenciado;
3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 58
c) ação: Uma vez diagnosticado o problema cabe uma ação ou controle sobre o recurso,
caso o evento não tenha sido passageiro.
3.2 MODELO GERAL DE GERENCIAMENTO DE REDE
Para que ocorra as etapas de coleta de dados, diagnóstico e por fim a ação a ser tomada,
é preciso que esteja presente na rede em questão, quatro elementos básicos que auxiliará no
monitoramento da rede, conforme a Figura 11.
Figura 11 -Quatro elementos que devem estar presentes na rede.
Gerente Agente
Solicitações
Respostas e Notificações
Troca de mensagens entre Gerente e Agente
MIBMIB
Protocolo
Fonte: Adaptado de Galstad (2010).
• Gerente: Um computador conectado a rede que executa o software de protocolo de geren-
ciamento que solicita informações aos agentes, também chamado de console de gerenci-
amento, que abrange pelo menos quatro ítens:
1. Conjunto de aplicações de gerenciamento que irá analisare recuperar as falhas en-
contradas;
2. Uma interface pela qual o administrador irá interagir como sistema, facilitando o
seu controle, gerenciamento e monitoramento do mesmo;
3. Forma de interpretar as solicitações do administrador para realizar as tarefas dese-
jadas;
4. Uma base de dados com informações obtidas de todos os elementos gerenciados na
rede conhecida como MIB.
• Agente: Um processo (software) que roda em um recurso, elemento ou sistema gerenci-
ado, que exporta uma base de dados de gerenciamento (MIB) para os que o gerente possa
3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 59
ter acesso aos mesmos. Esse agente responde às solicitaçõesde informações feitas pelo
gerente e executa algumas ações; podendo até mesmo forneceralgumas informações ao
gerente sem mesmo ter sido solicitado por este;
• Management Information Base- MIB (Base de dados de gerenciamento): Uma tabela
onde são armazenados os dados de gerenciamento coletados que serão enviados ao ger-
ente;
• Protocolo de gerenciamento: Fornece os mecanismos de comunicação entre o gerente e
o agente.
Todos os elementos citados acima, serão tratados com mais detalhes nas seções 3.3, 3.4 e
3.5.
3.2.1 A Relevância do Gerenciamento de uma Rede
Por menor e mais simples que seja, uma rede de computadores precisa ser gerenciada a fim
de garantir, aos seus usuários, a disponibilidade de serviços a um nível de desempenho aceitável.
À medida que a rede cresce, aumenta a complexidade de seu gerenciamento, forçando a adoção
de ferramentas automatizadas para a sua monitoração e controle, por isso a adoção de umsoft-
ware de gerenciamento não resolve todos os problemas da pessoa responsável pela adminis-
tração da rede, visto que geralmente o usuário de um softwarede gerenciamento espera muito
dele e, consequentemente, fica frustrado quanto aos resultados que obtém; por outro lado, esses
mesmos softwares quase sempre são sub-utilizados, isto é, possuem inúmeras características
inexploradas ou utilizadas de modo pouco eficiente (SOULA, 2013).
Para gerenciar um recurso, é necessário conhecê-lo muito bem e visualizar claramente o
que este recurso representa no contexto da rede, por isso, o investimento em um software de
gerenciamento pode ser justificado pelos seguintes fatores:
a) as redes e recursos de computação distribuídos estão se tornando vitais para a maioria
das organizações, e sem um controle efetivo destes recursos, os não é possível garantir o
retorno que a corporação necessita;
b) o contínuo crescimento da rede em termos de componentes, usuários, interfaces, proto-
colos e fornecedores ameaçam o gerenciamento com perda de controle sobre o que está
conectado na rede e como os recursos estão sendo utilizados;
c) os usuários esperam uma melhoria dos serviços oferecidos(ou no mínimo, a mesma qual-
idade), quando novos recursos são adicionados ou quando sãodistribuídos;
3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 60
d) os recursos computacionais e as informações da organização geram vários grupos de apli-
cações de usuários com diferentes necessidades de suporte nas áreas de desempenho,
disponibilidade e segurança, por isso o gerente da rede deveatribuir e controlar recursos
para balancear estas várias necessidades, sem que uma interfira na outra;
e) à medida que um recurso fica mais importante para a organização, maior fica a sua neces-
sidade de disponibilidade, por isso o sistema de gerenciamento deve garantir esta disponi-
bilidade, evitando que quando solicitado, o mesmo esteja indisponível;
f) a utilização dos recursos deve ser monitorada e controlada para garantir que as necessi-
dades dos usuários sejam satisfeitas a um custo razoável ou como mencionado anterior-
mente, no mínimo de mesma qualidade.
Além desta visão qualitativa, uma separação funcional de necessidades no processo de
gerenciamento foi apresentada pelaInternational Organization for Standardization(ISO), como
parte de sua especificação de Gerenciamento de Sistemas, divisão esta que representa os recur-
sos de rede e protocolos para a transferência de informaçõessobre as gerências da rede. A partir
desta divisão, foi criado o modelo dividido em cinco áreas funcionais denominadas FCAPS uma
sigla vem vem do inglês:Fault, Configuration,Accounting,Performance eSecurity, formada
a partir das iniciais de cada área de gerenciamento, a qual foi adotada pela maioria dos fornece-
dores de sistemas de gerenciamento de redes para descrever as necessidades de gerenciamento
de Falhas, Configuração, Contabilidade ou Contabilização,Desempenho e Segurança, que serão
detalhados a seguir (MAGALHÃES; PINHEIRO, 2007):
a) falha: compreende as facilidades que permitem a detecção, o isolamento e a correção
de operações anormais no ambiente de rede, necessitando mesmo assim de que em uma
configuração de rede, haja uma manutenção apropriada para que todo o ambiente esteja
funcionando de acordo com o desejado, e caso ocorra alguma falta no sistema, seja pos-
sível ser detectado onde a mesma ocorreu, de modo que seja corrigida o mais rápido
possível, seguindo as seguintes premissas:
1. isolar o problema do resto da rede;
2. reconfigurar a rede para evitar o uso do componente que veioa falhar;
3. consertar o elemento que apresentou a falha.
Deve-se tomar muito cuidado, pois as vezes o conceito de falha pode ser confundido com
erro, uma vez que uma falha é considerada falha quando ocorreem uma situação anormal
e que necessita de uma intervenção para ser reparada, por outro lado, um erro ocorre de
uma forma esporádica e pode ser tratado através de uma rotinaautomática;
3.2 MODELO GERAL DE GERENCIAMENTO DE REDE 61
b) configuração e nomes: Visa prover facilidades como a inicialização/shutdownde sis-
temas, a distribuição e a atualização de pacotes desoftwarepara os elementos de uma
rede, ou seja, possui a função de controlar a identificação dos componentes na rede que
visa sua configuração apropriada;
c) contabilidade: Provê o gerenciamento da contabilização do uso dos objetos, ou seja,
em uma organização é necessário que os custos relativos ao uso do ambiente seja com-
putado para os diversos centros de custo da corporação. Comoexemplo pode-se avaliar
o custo de configuração de rede de uma corporação, que com o usoda contabilização, é
possível auxiliar na tomada de decisão para onde o ambiente de rede deve ser expandido,
mostrando além disso onde é que os recursos estão sendo mal aproveitados;
d) desempenho: Neste nível deve existir uma avaliação do comportamento dos objetos
gerenciados e sua eficiência quanto às atividades de comunicação, ou seja, em outras
palavras ela se preocupa com os limites de desempenho necessário para o perfeito fun-
cionamento dos objetos em uma configuração de rede, monitorando e controlando as
atividades da rede, permitindo assim alguns ajustes no desempenho para que o mesmo se
torne aceitável para o ambiente. Alguns itens que deve serervados pelo gerenciamento
de desempenho são: percentual do uso da capacidade de transmissão da rede, odelaydo
ambiente, possíveis congestionamentos e gargalos na rede;
e) segurança: Sua função é tratar dos aspectos relacionados à segurança dos componentes
que estão sendo gerenciados, como por exemplo a distribuição e armazenamento de
chaves de segurança, controle e autorização de acesso aos computadores da rede como
um todo, monitoramento e controle de acesso.
Com esse grande crescimento das redes, conhecida como sistemas de gerenciamento de
serviços e de redes, tornou-se de grande importância para ascorporações e organizações.
Esse sistema é composto por um conjunto de ferramentas que tem como objetivo controlar
e monitorar toda a rede de forma integrada. Segue algumas características desejáveis de um
sistema de gerenciamento:
a) interface: amigável, única, mas com um grande potencial para executar vários comandos
para gerenciar a rede;
b) independência de Plataforma: desejável que haja uma independência dehardwareesoft-
ware, aproveitando-se todo o ambiente computacional da corporação;
c) pacote deSoftwarede Gerenciamento das Tarefas: deve residir de maneira distribuída nos
computadores e elementos de comunicação da rede;
3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 62
d) sistema de Gerenciamento: deve ser projetado para que o ambiente dehardwaree soft-
wareda corporação seja uma arquitetura unificada.
Neste trabalho será trabalhado apenas as áreas funcionais de gerenciamento de configu-
ração, contabilização e segurança. Para isso, foi utilizado os protocolos SNMP (Simple Net-
work Management Protocol), NRPE (Nagios Remote Plugin Executor) e o iptablespara que
seja realizado as trocas de mensagens e tratado a parte de segurança, respectivamente.
3.3 PROTOCOLO SNMP -SIMPLE NETWORK MANAGEMENT PROTOCOL
De acordo com Cisco (2010), com a necessidade de novos mecanismos que possibilitasse
o gerenciamento das redes baseadas no protocolo TCP/IP, foicriado o padrão SNMP, o qual foi
associado com uma base de dados chamada MIB (Management Information Base).
O órgão identificado comoInternet Activities Board(IAB), o qual rege a política da internet
e o protocolo, o qual requisitou um comitê para rever as opções de gerenciamento de rede,
concluiu que o protocolo baseado noSimple Gateway Management Protocol(SGMP), que foi
desenvolvido para administrar redes, deveria ser adotado.
A criação do SNMP, baseou-se em alguns objetivos e algumas especificações a seguir:
a) gerenciamento integrado de rede: a capacidade de gerenciar redes incorporando com-
ponentes de arquiteturas heterogêneas através de uma simples aplicação;
b) interoperabilidade: é a capacidade de qualquer equipamento de qualquer marca seja
gerenciado por outros equipamentos;
c) padronização: facilitam o método de comunicação e as estruturas de dados de forma que
as redes não similares possam ser integradas no gerenciamento;
Segundo RFC1157 (2009), este protocolo tem como premissa a flexibilidade e a facilidade
de implementação, também em relação aos produtos futuros. OSNMP é um protocolo de
gerência definido a nível de aplicação, é utilizado para obter informações de servidores SNMP
- agentes espalhados em uma rede baseada na pilha de protocolos TCP/IP. Os dados são obtidos
através de requisições de um gerente a um ou mais agentes utilizando os serviços do protocolo
de transporteUser Datagram Protocol(UDP) para enviar e receber suas mensagens através da
rede. Dentre as variáveis que podem ser requisitadas, serãoutilizadas as MIB’s; podendo fazer
parte da MIB II, da experimental ou da privada.
O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil
do estado em tempo real da rede, podendo ser utilizado para gerenciar diferentes tipos de sis-
3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 63
temas. Este gerenciamento é conhecido como modelo de gerenciamento SNMP, ou simples-
mente, gerenciamento SNMP, o qual também é o nome do protocolo no qual as informações
são trocadas entre a MIB e a aplicação de gerência como tambémé o nome deste modelo de
gerência.
3.3.1 Funcionamento do Protocolo SNMP
Seu funcionamento é baseado em dois dispositivos, o agente eo gerente, em que cada
máquina gerenciada é vista como um conjunto de variáveis querepresentam informações refer-
entes ao seu estado atual; e estas informações ficam disponíveis ao gerente através de consulta
e que podem ser alteradas por ele.
Cada máquina gerenciada pelo SNMP deve possuir um agente e uma base de informações
MIB como pode ser visto na Figura 12.
Figura 12 -Elementos de uma rede com SNMP.
MIB
SNM
P
AGENTE
GERENTE
Fonte: Adaptado de??)
a) agente: É um processo executado na máquina gerenciada (ou próximo aela), responsável
pela manutenção das informações de gerência da máquina. Cada máquina gerenciada
pelo SNMP deve possuir um agente e uma base de informações de gerência, por isso
a máquina que será gerenciada é vista como um conjunto de variáveis que representam
informações referentes ao seu estado atual. Essas variáveis ficam disponíveis ao gerente
através de consultas e podem ser alteradas por ele, se assim as variáveis foram definidas.
Ao disponibilizar essas variáveis à leitura, a máquina permite seu monitoramento e, ao
3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 64
receber novos valores do gerente, a máquina estará sendo monitorada. As funções princi-
pais de um agente são:
– responsável por atender as requisições enviadas pelo gerente;
– responsável por enviar automaticamente informações de gerenciamento ao gerente,
quando previamente programado;
– ele utiliza assystem callspara realizar o monitoramento das informações da máquina
e utiliza as RPC(Remote Procedure Call)para o controle das informações da máquina.
b) gerente: É um programa executado em uma estação um computador servidor o qual
permite a obtenção e o envio de informações de gerenciamentojunto aos dispositivos
gerenciados mediante a comunicação com um ou mais agentes, como pode ser visto na
Figura 13.
Figura 13 -Funcionamento da relação de um agente com o objeto a sergerenciado.
Gerente Agente
Gerenciamento
Protocolo de Gerenciamento
Notificação deobjetos ou
eventos
MIB
ObjetosGerenciados
Notificações degerenciamento
Açõ
es
de
ge
ren
cia
me
nto
Fonte: Adaptado de Breitgand, Raz e Shavitt (2002).
Logo, pode-se resumir a função de cada um da seguinte maneira:
a) o gerente fica responsável pelo monitoramento, relatórios e decisões na ocorrência
de problemas;
a) o agente fica responsável pelas funções de envio e alteração das informações e tam-
bém pela notificação da ocorrência de eventos específicos ao gerente.
c) base de informação gerencial (MIB): é um arquivo codificado no qual são relacionadas
as informações que o gerente deve repassar ao agente quando solicitadas através das con-
sultas SNMP, como também as informações de alerta (traps) que poderão ser enviadas do
agente para o gerente.
3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 65
Figura 14 -Árvore MIB parcial a partir da raiz.
Fonte: Mauro e Schmidt (2005).
Constituída por uma estrutura em árvore como pode ser visto na Figura 14, contendo as
variáveis de gerência de um determinado equipamento, a MIB define para cada variável
um identificador único denominadoObject Identifier(OID), formado por um número
inteiro não negativo.
Em princípio, todos os objetos definidos em todos os padrões oficiais podem ser exclu-
sivamente identificados. Para localizar uma determinada informação, o identificador da
variável que será acessada pelo SNMP é representado com o IP do equipamento em con-
junto com o identificador do objeto (OID) na árvore MIB.
O OID de um nodo da árvore descrita por uma MIB é composto pelo OID do seu pai
mais seu próprio identificador relativo. Logo, o uso de números dos OIDs dificulta a
compreensão dos nodos da MIB, e por isso o OID pode ser substituído por um nome
(OID Name), que pode ser usado em conjunto com o OID “numérico”, como pode ser
visto no exemplo do seguinte OID 1.3.6.1.2.1.1, o qual pode ser representado pelo OID
Name “system”. Um outro exemplo é osysUpTimecujo OID 1.3.6.1.2.1.1.3 que também
pode ser representado porsystem.3.
Para cada objeto são definidos o nome, um identificador, uma sintaxe, uma descrição e
um controle de acesso. As instâncias dos objetos são chamadas de variáveis. O nome do
objeto (Object Name) é composto por umastring de texto curto. O OID é formado por
números separados por pontos. A sintaxe (syntax) descreve o formato ou valor e define
3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 66
o tipo do objeto. A descrição é umastring que informa o que a variável representa. O
acesso é o tipo de controle que se pode ter sobre o objeto (somente leitura, leitura e escrita
ou não acessível).
3.3.2 Operações Realizadas pelo Protocolo SNMP
Por ser um protocolo de gerenciamento de rede e trabalhar no nível de aplicação, de acordo
com Breitgand, Raz e Shavitt (2002), o SNMP utiliza o UDP comoprotocolo de transporte, ou
seja, ele pode apenas ler ou alterar o conteúdo das variáveispor meio de algumas operações
básicas: (SETeGET) e suas derivações (GET-NEXT, TRAP), as quais são descritas a seguir:
a) a operaçãoSET é utilizada para alterar o valor da variável dos agentes, umavez que
para cadaSetRequestexecutado pelo gerente, o agente responde com umGetResponse,
alterando assim o valor da variável;
b) a operaçãoGET é utilizada pelo gerente para ler o valor da variável dos agentes, podendo
ser de dois tipos:GetRequesto qual recupera a primeira informação da lista de infor-
mação de um objeto e oGetNextRequestque recupera a próxima informação disponível
na lista a partir da última informação solicitada. Lembrando que para cadaGetRequest
ouGetNextRequestenviado pelo gerente aos agentes, o mesmo retornará com umGetRe-
sponse.
c) a operaçãoTRAPé utilizada pelo agente para comunicar um evento ao gerente,mesmo
que não o tenha solicitado. São sete tipos básicos detrap determinados:
– coldStart: a entidade que a envia foi reinicializada, indicando que a configuração do
agente ou a implementação pode ter sido alterada;
– warmStart: a entidade que a envia foi reinicializada, porém a configuração do agente
e a implementação não foram alteradas;
– linkDown: o enlace de comunicação foi interrompido;
– linkUp: o enlace de comunicação foi estabelecido;
– authenticationFailure: o agente recebeu uma mensagem SNMP do gerente que não
foi autenticada;
– egpNeighborLoss: um parEGPparou;
– enterpriseSpecific: indica a ocorrência de uma operaçãoTRAPnão básica.
Na Figura??, é mostrado como são trocadas as informações entre um gerente e um agente
utilizando as mensagens SNMP, a qual é formada peloProtocol Data Unit(PDU), cujo con-
3.3 PROTOCOLO SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL 67
teúdo é formado por: um número que indica a versão do protocolo SNMP, um nome de comu-
nidade que serve como uma senha para autenticação da mensagem e um código de acordo com
a Tabela 2.
Figura 15 -Modelo de comunicação entre gerente e agente usando SNMP.
Fonte: Adaptado de Mauro e Schmidt (2005)
Tabela 2 -Operações do SNMP - Códigos da PDU.
PDU Interação Descrição
0 - GetRequest Gerente-agenteSolicitação de leitura sobre conteúdo dos objetivos: apenas
uma instância de objeto.
1 - GetNextRequestGerente-agenteSolicitação de leitura sobre conteúdo dos objetivos: próx-
imo na lista.
2 - SetRequest Gerente-agenteAltera o valor de um objeto.
3 - GetResponse Agente-gerenteRetorna o valor de um objeto ao pedido do gerente.
4 - Trap Agente-gerenteNotifica o gerente da ocorrência de um evento excepcional.
Fonte: (MAURO; SCHMIDT, 2005).
3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR 68
Se o agente e o gerente em questão for da mesma versão do SNMP e ogerente enviar o
nome da comunidade correta, a PDU da mensagem será processada. A PDU é formado por
um código que identifica o tipo da mesma, o nome do objeto envolvido na operação e o código
de erro. Como explicado anteriormente, a PDU do tipoGetRequesté enviada por um gerente,
contendo o nome dos objetos cujo valores são consultados, tornando-se uma operação atômica,
ou seja, ou todos os valores consultados são devolvidos, ou nenhum é desenvolvido. Já a PDU
do tipo GetNextRequesttambém é enviada por um gerente contendo as informações de um
ou mais objetos que serão consultados. A PDU do tipoSetRequesté enviada por um gerente
solicitando os valores alterados das variáveis monitoradas.
Resumindo, o agente responde com uma PDU do tipoGetResponse, contendo os valores
das variáveis em questão, juntamente com um código de erro associado que por sua vez indica
se a operação foi realizado com sucesso ou falha; e caso seja retornado com um código de falha,
os valores solicitados não serão enviados, como pode ser visto na Tabela 3.
Tabela 3 -Operações do SNMP - Códigos de erros.
status de Erro Descrição0 - noError Operação bem sucedida.1 - tooBig PDUGetResponseextrapola limite local2 - noSuchNameNão existe objeto com o nome solicitado.3 - BadValue Uma PDU SetRequestcontém uma variável de tipo,
tamanho ou valor inconsistente.4 - readOnly Compatibilidade SNMP.5 - genErr Erro Genérico.
Fonte: (MAURO; SCHMIDT, 2005).
3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR
De acordo com Galstad (2007), este complemento é desenhado para permitir que sejam ex-
ecutados ospluginsdo Nagios em computadores remotos com SO Linux, possibilitando assim
que o Nagios monitore recursos “locais”, como carga da CPU, uso de memória, etc. Uma vez
que recursos públicos não são expostos para máquinas externas, é necessário um agente, como
o NRPE, instalado diretamente nos computadores Linux remotos.
3.4.1 Características do NRPE
O NRPE é composto por dois complementos, onde o primeiro é oplugin check_nrpeque
está localizado nohostde monitoramento e o segundo complemento é odaemon NRPE, o qual
vai estar presente nas máquinas remotas. Na Figura 16 é mostrada a visão geral do NRPE.
3.4 PROTOCOLO NRPE - NAGIOS REMOTE PLUGIN EXECUTOR 69
Figura 16 -Esquema da visão geral do NRPE.
Servidor de Monitoramento
Nagios check_nrpe
SSL
NRPE
Máquina Linux/Unix Remota
check_disk
check_load
check_ftp
check_http
Recursose
ServiçosLocais
ServiçosRemotos
emoutros Hosts
Fonte: Adaptado de Galstad (2007).
Seu funcionamento é baseado nas seguintes etapas:
1◦ passo: É executado umplugin chamadocheck_nrpe, o qual retorna que um serviço deve ser
checado;
2◦ passo: O plugin realiza uma comunicação com odaemonNRPE do computador remoto através
de uma conexão protegida por SSL;
3◦ passo: O daemoné responsável por rodar umpluginque checa o serviço ou o recurso desejado;
4◦ passo: As informações obtidas nas etapas anteriores, são repassadas aoplugin check_nrpepelo
daemonNRPE, retornando assim ao processo do Nagios. Lembrando quepara que ocorra
todas as etapas, é necessário que oplugin do Nagios esteja instalado em todos os com-
putadores da rede.
3.4.2 Formas de Checagens do NRPE
Nesta seção será explicado os dois tipos de checagens que o módulo NRPE realiza:
• Direta: Consiste em monitorar recursos “locais” e “privados”, na máquina Linux/Unix
remota. Isto inclui recursos como carga da CPU, uso de memória, uso deswap, usuários
conectados atualmente, uso de disco, estado de processos, etc. Na Figura 17 é mostrado
o esquema.
3.5 FERRAMENTA IPTABLES 70
Figura 17 -Esquema da checagem direta.
Servidor de Monitoramento
Nagios check_nrpe
SSL
NRPE
check_disk
check_load
Recursose
ServiçosLocais
Máquina Linux/Unix Remota
Fonte: Galstad (2007).
• Indireta : Consiste em checar serviços e recursos “públicos” de servidores remotos, que
podem não estar diretamente visíveis ao servidor de monitoramento (Nagios). Isso pode
ser visto na Figura??, a seguir.
Figura 18 -Esquema da checagem indireta.
Servidor de Monitoramento
Nagios check_nrpe
SSL
NRPE
check_disk
check_load
Máquina Linux/Unix RemotaServidor Web
Remoto
HTTP
FTP
Fonte: Adaptado de Galstad (2007).
3.5 FERRAMENTAIPTABLES
De acordo com Purdy (2004), quando se fala emfirewall, pensa-se em um dispositivo ded-
icado ou um equipamento que é colocado entre o servidor e a internet (Figura 19), entretanto,
firewalls dedicados também estão entre os mais utilizados pelos administradores em grandes
redes, onde o investimento é justificável.
Pode-se também obter um nível de segurança similar ou até superior, simplesmente usando
os recursos nativos do sistema, utilizando o móduloiptables. O firewall trabalha como um
fiscal, que vai analisar todos os pacotes que chegam, decidindo qual deve passar e qual deve
ficar retido, através de um conjunto de regras definidas em suaconfiguração.
3.5 FERRAMENTA IPTABLES 71
Figura 19 -Ilustração de umfirewall.
Fonte: NETO (2004).
PAREI AQUI
Existem vários tipos de servidores, dentre eles o destinadoa compartilhar a conexão com
a internet e proteger os computadores da rede local, que utilizam regras de compartilhamento
da conexão através do módulo NAT, combinadas com regras de acesso ou bloqueio para os
computadores da rede local e tráfego proveniente da internet; e os destinados a abrir ou fechar
portas de comunicações ou redirecionar alguma porta específica para um computadores dentro
da rede local executando algumsoftwareque necessite de portas de entrada, deixando bloqueada
todas as demais.
Em um servidor de internet, por sua vez, não se pode simplesmente bloquear todas as
portas, pois senão o usuário não conseguiria acessar o ambiente externo de sua rede. Ou seja,
se o administrador de redes fechasse todas as portas de comunicação, o usuário não navegaria
na internet; uma vez que, por definição, o servidor deve receber requisições dos usuários e
disponibilizar as páginas hospedadas, entre outros recursos solicitados pelos mesmos.
Para que o usuário consiga acessar a rede, o administrador então, deverá fazer uma con-
figuração mais cuidadosa, listando os serviços que devem ficar disponíveis, abrindo as portas
referentes a eles e fechando todas as demais. As portas básicas para um servidor web, por
exemplo, são:
• portas 22 (SSH);
3.5 FERRAMENTA IPTABLES 72
• porta 53 (DNS);
• portas 80 e 443 (WEB).
Atualmente existem váriosfirewalls gráficos para Linux, como oShorewall Endian Fire-
wall, Smoothwall, Firestarterdentre outros. Todos variam em nível de facilidade e recursos,
oferecendo uma interface de fácil manipulação e gerando as regras doiptablesde acordo com a
configuração feita.
Alguns administradores de rede escolhem usar um programa muitas vezes de código fechado
que melhor atenda as necessidades, mas muitos preferem configurar diretamente usando oipt-
ablescom as regras que definem condições onde os pacotes serão aceitos ou recusados.
De acordo com NETO (2004),Netfilteré um módulo doKerneldo Linux responsável pelo
controle da rede e das funções do módulo NAT,Firewall e log do sistema.Iptablesé o nome
da ferramenta que controla o móduloNetfilter, e é o termo utilizado para se referenciar as
funcionalidades doNetfilter.
O pacoteiptablesjá vem instalado na maioria das distribuições Linux por padrão, porém,
se não tiver o módulo instalado basta utilizar o seguinte comando:
apt-get install iptables
3.5.1 Funcionamento doIptables
De acordo com Lobo, Marchi e Provetti (2012), seu funcionamento é baseado em pares
de regras que filtram pacotes de determinadas redes, gerandouma ação que define qual atitude
deve ser tomada quando um pacote se enquadrar em uma determinada regra, como por exemplo
a ação de recusar, ou seja, bloquear pacotes duvidosos da rede.
O nomeiptablesvem do fato de que esta ferramenta trabalha baseada em tabelas, em que
cada tabela possui uma função específica para o tratamento dos pacotes de acordo com a Tabela
4.
Tabela 4 -Tabela de tratamento dos pacotes.
Tabela DescriçãoRAW Faz pequenas mudanças nos pacotes. Geralmente utilizada para colocar marcas.NAT Muda os cabeçalhos dos pacotes, usado para realizar o NAT.MANGLE Realiza alterações específicas nos pacotes.FILTER Utilizado para filtragem dos pacotes.
Fonte: (NETO, 2004).
3.5 FERRAMENTA IPTABLES 73
3.5.2 Cadeias /Chainsdo Iptables
No iptablesexiste o conceito de cadeias ouchains(regras) que auxilia no entendimento
de como oNetfiltermonitora os pacotes, que já foi implementado noipchainse melhorado no
iptables(NETO, 2004).
Na Tabela 5 são apresentadas as principais regras e descrições das cadeias.
Tabela 5 -Tabela de regras das cadeias doiptables.
Cadeia DescriçãoINPUT Tráfego que tem como destino a própria máquina.FORWARD Consultado os dados que são redirecionados para outra in-
terface de rede ou outra máquina.OUTPUT Tráfego gerado localmente, tanto como destino local
quanto remoto.PREROUTING Utilizado no tráfego que chega no servidor.POSTROUTINGUtiliza em todo o tráfego que sai do servidor.
Fonte: (NETO, 2004).
3.5.3 Políticas de Trabalho doIptables
O iptablestrabalha com algumas configurações padrão ou como é conhecida na informática,
configuraçõesdefault. O mais comum é quando um pacote que está sendo analisado não se
enquadra em nenhuma das regras estabelecidas, a política padrão utilizada é a DROP, ou seja,
o pacote será descartado (FANG; HAN; LI, 2009).
Toda regra que é criada, tem umtarget, ou seja, tem uma lista de ação que pode ser real-
izada, como apresentado na Tabela 6.
Tabela 6 -Tabela de ações a serem realizadas nos pacotes analisados.
Target DescriçãoACCEPT O pacote que está sendo analisado é aceito na rede.DROP O pacote que está sendo analisado é descartado.REJECT O pacote analisado é rejeitado e uma mensagem
ICMP é enviada à origem.USER_CHAIN O pacote analisado será enviado para outrachain.
Fonte: (NETO, 2004).
Para se utilizar oiptablesnecessita-se de algumas regras que devem ser manipuladas como
root. Nas Tabelas 7 e 8 são apresentados alguns comandos e parâmetros para especificar as
regras trabalhadas nofirewall.
3.5 FERRAMENTA IPTABLES 74
Tabela 7 -Tabela de comandos para manipular regras dofirewall.
Comando Descrição-N [regra] Cria uma regra.-X [regra] Apaga uma regra.-P [regra] [ação] Muda a política padrão de uma regra.-L [regra] Lista as regras dos módulos usados para configurar ofire-
wall que estão ativos.-F [regra] Apaga todas as regras ativas.-A [regra] Acrescenta uma regra.-I [regra] [num linha] Insere uma regra numa posição.-R [regra] [num linha] Troca de posição a regra.-D [regra] Apaga a regra.
Fonte: (NETO, 2004).
Tabela 8 -Parâmetros para utilizar as regras nos comandos:add, delete, insert, replaceeappend.
Parâmetros Descrição
-s [endereço] Especifica o endereço de origem.
-d [endereço] Especifica o endereço de destino.
-p [ptotocolo] Especifica o protocolo que será trabalhado.
-i [interface] Especifica a interface de entrada dos pacotes.
-o [interface] Especifica a interface de saída dos pacotes.
-f Indica que a regra deve ser aplicada somente a frag-
mentos, a partir do segundo pacote.
-j [alvo] Indica qual a ação que deve ser tomada caso a regra
seja ativada.
Fonte: (NETO, 2004).
Como explicado anteriormente as regras deiptablesdevem ser executadas somente como
root e os mesmo podem ser feita viashell-script.
O shellé um programa interativo que serve como interpretador de linha de comando. Ele
pesquisa por um comando e executa o programa a ele associado,substitui os valores das var-
iáveis doshell pelo conteúdo a ela associado, executa substituição de comandos, completa
nomes de arquivos a partir de caracteres de geração de nomes de arquivos (curingas), manipula
redirecionamento de entrada, saída epipelines. Ele é responsável pela interface entre o usuário
e o SO, traduzindo os comandos por ele digitados para ohardwareexecutar. Oshell contém
uma interface de programação interpretada, incluindo testes, desvios eloops. Aos programas
criados usando a interface programada do Linux dá-se o nome deshell script(JARGAS, 2008).
3.5 FERRAMENTA IPTABLES 75
Através doshell scripté possível criarscript com linhas de comandos que facilita a ma-
nipulação doiptables, visto que todas as vezes que um computador for configurada como um
firewall e for desligado, ao reiniciar, terá de ser digitado todas as regras doiptablesnovamente.
Para evitar todo esse trabalho, basta criar um arquivo de texto com todas as regras doiptablese
configurar para ser executado na inicialização do computador.
3.5.4 Listando as Regras doIptables
A principal tabela doiptablesé a tabelafilter; portanto para mostrar as regras que estão
ativas nofirewall, basta executar o seguinte comando:
iptables -L
que retornará os seguintes dados:
Chain INPUT (poli y ACCEPT)
target prot opt sour e destination
Chain FORWARD (poli y ACCEPT)
target prot opt sour e destination
Chain OUTPUT (poli y ACCEPT)
target prot opt sour e destination
Caso queira-se listar as opções de cada regra de uma outra tabela específica, basta usar o
seguinte parâmetro:-t.
iptables -L -t mangle
que retornará as cinco opções que a tabelamangleimplementa:
Chain PREROUTING (poli y ACCEPT)
target prot opt sour e destination
Chain INPUT (poli y ACCEPT)
target prot opt sour e destination
Chain FORWARD (poli y ACCEPT)
target prot opt sour e destination
Chain OUTPUT (poli y ACCEPT)
target prot opt sour e destination
Chain POSTROUTING (poli y ACCEPT)
target prot opt sour e destination
3.5 FERRAMENTA IPTABLES 76
3.5.5 Bloqueando Portas
Uma das principais funcionalidades doiptablesé o bloqueio de portas que pode ser real-
izado, como por exemplo, caso se deseja bloquear a porta 22 doserviçosshdemonstrado a
seguir:
iptables -A INPUT -p -dport 22 -j DROP
ou também pode-se utilizar o seguinte comando:
iptables -A INPUT -p t p -dport 22 -j REJECT
Onde ambos comandos realizam a mesma finalidade que é de bloquear a porta 22, no en-
tanto, quando se utiliza o parâmetroDROP, ele simplesmente descarta o pacote quando o mesmo
chega ao servidor, já com o parâmetroREJECT, além de descartar o pacote, ainda envia uma
notificação a origem informando que o pacote não foi aceito.
3.5.6 Apagando uma Regra noIptables
As duas formas mais utilizadas para apagar regras que são inseridas nofirewall são:
• Apagando as regras de uma única vez;
• Apagar uma regra especifica de uma determinada tabela.
Para se apagar todas as regras, basta usar o seguinte comando:
iptables -t [tabela℄ -F
OBS: Se não for especificado uma tabela, a tabela padrão a ser utilizada é afilter. Como
exemplo, será utilizada a tabelafilter, que aparece da seguinte maneira:
Chain INPUT (poli y ACCEPT)
target prot opt sour e destination
DROP t p -- anywhere anywhere t p dpt:smtp
DROP t p -- anywhere anywhere t p dpt:http
DROP t p -- anywhere anywhere t p dpt:ssh
Chain FORWARD (poli y ACCEPT)
target prot opt sour e destination
Chain OUTPUT (poli y ACCEPT)
target prot opt sour e destination
Caso o usuário necessite remover a regraDROPreferente a porta 80 utilizado para navegar
na internet (http), basta usar a regra com a seguinte sintaxe:
3.5 FERRAMENTA IPTABLES 77
iptables -t [tabela℄ -D [regra℄ [ruleid℄
onde oruleid indica qual linha dentro da tabela que o usuário deseja eliminar, contando
de cima para baixo. Exemplo:
iptables -t filter -D INPUT 2
3.5.7 Funcionamento doIptables
Como se sabe, okernelguarda as regras em tabelas. Uma delas em especial, afilter, ar-
mazena as regras em listas, que são conhecidas comofirewall chainsou simplesmenteFOR-
WARD. Cada vez que um pacote chega a um computador-destino, o mesmo é analisado e en-
caminhado de acordo com a regra criada. Isto é efeito consultando cadachaindesta, sucessiva-
mente, até que seja decidido o que fazer. Tem-se na Figura 20,um exemplo:
Figura 20 -Diagrama do funcionamento doiptables
Entrada Decisãode Roteamento
FORWARD SAÍDA
OUTPUT
Processamento Local
INPUT
Fonte: Autoria própria.
Esse diagrama pode ser explicado da seguinte forma:
1. Quando o pacote chega (por uma placa de rede, por exemplo),o kernelexecuta a análise
do destino do pacote, realizando o que chamamos de roteamento (routing).
2. Se o pacote tem como destino o próprio computador, é direcionado para achain INPUT.
Se passar pelachain INPUT, então o computador recebe o pacote.
3. Se okernelnão tem suporte aoforwardingou não sabe como repassar (forward) o pacote,
este é descartado. Se há suporte aforwardinge o pacote é destinado a outra interface de
rede (caso exista outra), o pacote vai para achain FORWARD. Se o mesmo for aceite
(ACCEPT), ele será enviado.
3.5 FERRAMENTA IPTABLES 78
4. Finalmente, um programa rodando no computadorfirewall pode enviar pacotes. Esses
pacotes passam pelachain OUTPUTimediatamente: se ela aceitar o pacote, ele continua
seu caminho, caso contrário, ele é descartado (DROP).
3.5.8 Estratégia para Montagem de umFirewall Eficiente
De acordo com Marcelo (2003), antes de decidir implementar um firewall, é importante ter
o conhecimento de algumas estratégias básicas empregadas na construção destes. Visando uma
maior segurança dofirewall, o mesmo será dividido em métodos que serão analisados a seguir:
1. Menor Privilégio
O princípio do menor privilégio, é aquele que preza por delegar somente os privilégios
necessários para que um determinado objeto possa realizar sua função na organização,
mas é preciso tomar muito cuidado para não atribuir privilégios menores que o necessário,
pois desta forma, tal objeto não conseguirá realizar suas tarefas. Esse método é larga-
mente utilizado, sendo importante para eliminar ou amenizar os danos causados por pes-
soas mal intencionadas.
Como exemplo, têm-se os fabricantes de automóveis que configuram suas fechaduras de
forma que uma única chave sirva para as portas e a ignição e umachave diferente sirva
para o porta luvas e o porta malas; isto é, pode-se impor o menor privilégio dando ao
manobrista do estacionamento a possibilidade de estacionar o carro sem ter acesso ao que
está guardado no porta-malas. Muitas pessoas utilizam chaveiros separados pela mesma
razão. O usuário também pode impor o menor privilégio dando aalguém a chave de seu
carro, mas não a chave da casa.
Um sistema de filtragem de pacotes projetado para permitir apenas a entrada de pacotes
para serviços necessários é outro exemplo do princípio do menor privilégio. Ele é muito
utilizado em grande escala, por sua simplicidade e eficiência.
No contexto de internet, existem vários exemplos:
a) todo usuário não precisa acessar todos os serviços de internet existentes;
b) todo usuário não precisa modificar todos os arquivos em seusistema;
c) todo usuário não precisa saber da senha deroot (administrador) do computador;
d) todo administrador de sistema não precisa conhecer as senhas deroot de todos os
sistemas;
e) todo sistema não precisa acessar todos os arquivos de outro sistema;
f) o princípio do menor privilégio sugere que se devem explorar meios para reduzir os
privilégios necessários para diversas operações. Por exemplo:
3.5 FERRAMENTA IPTABLES 79
– não dê a um usuário direitos administrativos de um sistema, se tudo que ele
precisa é executar oapache;
– não faça um programa ser executado como membro de um grupo altamente
privilegiado, se tudo que ele precisa é fazer uma gravação emum arquivo, em
vez disso, agrupe o arquivo em um grupo e faça o programa ser executado como
um membro deste grupo;
– não faça sua rede interna confiar em um dosfirewall, mas sim ofirewall confiar
na sua rede interna.
Muitos dos problemas de segurança na internet podem ser evitados com a utilização deste
princípio. Por exemplo, oSendmail1 é um alvo muito visado pelos atacantes, pelo fato de
funcionar acoplado aoroot e de seu alto nível de complexidade, que aumenta a ocorrência
debugs. Por isso, programas privilegiados devem ser tão simples quanto possíveis. Caso
um programa complexo exija privilégios acentuados, deve-se procurar meios de separar
e isolar as partes que necessitam destes privilégios das quenão precisam.
2. Defesa em Profundidade
Este princípio de segurança é destinado a prevenção dos acidentes e a minimização das
respectivas consequências, evitando assim que um problemaisolado se alastre pelo sis-
tema, instituindo múltiplos, redundantes e independentesníveis de proteção. A ideia aqui
é não depender de um único método de defesa, instalando vários níveis de proteção, tor-
nando a tentativa de invasão arriscada ou cansativa demais para os atacantes. Isto porque
as chances de violar um nível de proteção do sistema são muitomaiores do que a chance
de violar um sistema com vários níveis de segurança.
3. Ponto de Estrangulamento
Existem muitos exemplos fáceis de citar para se entender este princípio: o guichê do pedá-
gio, o caixa de supermercado ou do banco. O ponto de estrangulamento (Choke Point)
força as pessoas a usarem um meio estreito, para que o administrador possa monitorar
o que está ocorrendo. Normalmente, ofirewall em sua rede é esse ponto de estrangula-
mento; qualquer atacante que desejar entrar na rede deve passar obrigatoriamente pelo
firewall. O administrador deve estar preparado para responder a taisataques.
O planejamento e utilização desse método não compensam se houver uma outra maneira
de um atacante acessar a rede, que não seja ponto de estrangulamento. Afinal de contas,
de que adianta travar uma batalha contra ofirewall se pode-se dar a volta, buscando uma
outra maneira de acessar a rede?
Por isso deve-se garantir um ponto de estrangulamento eficiente.
1Tipo de servidor de e-mail Linux.
3.5 FERRAMENTA IPTABLES 80
4. Simplicidade
É uma estratégia de segurança, pois, manter as coisas mais simples, as torna mais fáceis
de se entender. Se algo não é compreendido, não se pode realmente saber se o mesmo
é ou não seguro. Programas complexos têm maisbugs, sendo que cada um deles pode
constituir um problema de segurança.
Apenas deve-se tomar cuidado de não sacrificar a segurança para conseguir simplicidade,
já que a segurança efetiva é complexa por natureza. O importante é manter um sistema
que possa compreender sem perder a segurança e a confiabilidade.
5. Obscuridade
Manter a segurança pela obscuridade é um princípio nada confiável, pois consiste unica-
mente em ocultar as coisas. Exemplos práticos deste método são:
a) colocar um computador na internet e achar que ninguém tentará invadí-lo, simples-
mente porque ninguém sabe sobre ele;
b) abrir um servidor apache2 em outra porta diferente para que ninguém a utilize, a não
ser as pessoas que o administrador informou sobre sua existência;
c) configurar a rede de forma que usuários internos vejam informações de uma maneira
e usuários externos - (internet) - não consigam ver tais informações, como portas e
serviços prestados nos servidores.
Deve-se observar alguns pontos:
a) sempre utilizar esta técnica em conjunto de outras, pois manter a segurança apenas
através da obscuridade é muito ruim;
b) não anunciar algo não é o mesmo que ocultá-lo;
c) utilizar um sistema de criptografia desconhecido não garante segurança nenhuma.
De acordo com os protocolos, módulos e conceitos apresentados, foi criado um módulo
para facilitar a administração remota de servidores e serviços da rede.
Os detalhes do módulo estão apresentados na Capítulo 4 seguinte.
2Tipo de servidor web Linux
81
4 FERRAMENTA PROPOSTA PARA UM GERENCIAMENTO INTEGRADO
Neste capítulo, é apresentado uma nova ferramenta desenvolvida para o gerenciamento
integrado de redes locais com o uso de software livre, composta de uma interface gráfica que
integra diversos serviços de redes, além de incorporar a documentação na própria ferramenta.
4.1 FERRAMENTAS EXISTENTES
Atualmente existem no mercado diversas ferramentas que sãoutilizadas para o gerencia-
mento, administração e monitoramento de redes corporativas. Nesta seção faz-se um levanta-
mento das principais características de algumas ferramentas que existem para estas finalidades.
As ferramentas analisadas são:
a) IPCOP;
b)
• Endian Firewall;
c) PFSENSE;
d) SMOOTHWALL.
4.1.1 Sistema IPCOP
Segundo Beglinger (2013), este sistema é baseado em uma distribuição Linux distribuída
sob GPL, semelhante aoEndian Firewallque será discutido na sequência, com o objetivo de
proporcionar um elevado nível de segurança em redes de pequena e média empresa.
O sistema possui umkernelpróprio, ou seja, ele por si só é uma distribuição Linux; com
kernel2.6, suporte a RAID, arquiteturaAlpha, Power PCe Sparc.
Além disso o sistema possui algumas ferramentas integradascomoOpen Virtual Private
Network - OpenVPN,proxy, firewall, proxy/squid, serviço SSH, monitoramento de tráfego,
serviço DHCP, dentre outras.
Seu acesso é realizado por um navegador web com conexãoSecure Socket Layer(SSL) e
criptografada. Sua desvantagem é por possuir o código fontecomo uma “caixa fechada”, ou
4.1 FERRAMENTAS EXISTENTES 82
seja, não se tem o acesso ao código fonte, além do que, para quepossa ser instalado obrigatori-
amente tem que ter pelo menos duas placas de redes, instaladas no computador.
Requisitos mínimos dehardware:
• Processador de no mínimo 1 GHz ou superior;
• 20 GB de espaço em disco;
• 512 MB memóriaRAM;
• 2 placas de redes.
4.1.2 Sistema Endian Firewall
Segundo Vallazza (2004), ele é um SO Linux, ou seja já possui um kernelpróprio, baseado
no sistema IPCOP. Trata-se de uma ferramenta de monitoramento de redes que contempla várias
funcionalidades de segurança comofirewall, proxye que trabalha com vários protocolos como
HTTP, FTP, POP3, SMTP. Tem controle de conteúdo por usuário,Intrusion Prevention, an-
tivirus, filtragem despam, VPN; e que também foi baseado no conceito de Central Unificada de
Gerenciamento de Ameaças - CUGA.
Sua administração é realizada através de um navegador web.
Sua desvantagem é de possuir algumas limitações principalmente referentes a suporte e
garantia. O exemplo que pode ser tomado, é referente ao gerenciamento, pois na versão com-
ercial existe a assistência, monitoração e atualização porparte da Endian, enquanto na versão
gratuita estes devem ser efetuados pela própria empresa queo utiliza. Além disso, para que
possa ser instalado obrigatoriamente tem que ter pelo menosduas placas de redes instaladas no
computador.
Requisitos mínimos dehardware:
• Processador de no mínimo 1 GHz ou superior;
• 20 GB de espaço em disco;
• 512 MB memóriaRAM;
• 2 placas de redes.
4.1.3 Sistema pfSense
Segundo Buechler (2013), o sistema pfSense é um projeto que foi iniciado em 2004, baseado
na então conhecida plataforma UNIX. O sistema possui um servidor web que suporta aplicações
4.1 FERRAMENTAS EXISTENTES 83
em PHP, proporcionando uma interação amigável entre usuário e sistema, chamada deDash-
board. Esse conceito de configuração em modo gráfico utiliza os mesmos recursos de um
serviço web. Essa ideia foi aproveitada do sistema m0n0wall(KASPER, 2012), que foi o
primeiro sistema criado, o qual deu origem ao pfSense.
A criação do pfSense, foi motivada pelo fato de que a UNIX era oúnico que dominava a
tecnologiawirelessde forma bastante avançada, possuindo até mesmo suporte à criptografia do
tipo WPA2, o que não era possível em outros sistemas na época.
O pfSense possui umkernelpróprio, o que o torna um sistema operacional. Também possui
os módulos defirewall, redundância defirewall, balanceamento de carga, monitoramento grá-
fico, servidor PPPOE, DNS dinâmico, servidor DHCP, suporte aNAT; mas todos com algumas
limitações. Por exemplo no balanceamento de carga a limitação presente é que nem todos os
recursos do OpenVPN são suportados, ou seja, a filtragem do tráfego do OpenVPN ainda não é
suportado.
Atualmente ele está em fase de tradução. Seu acesso é realizado somente através de um
navegador web. Uma outra desvantagem é que para que possa serinstalado obrigatoriamente
tem que ter duas placas de redes instaladas no computador para que seja possível inicializar a
instalação do sistema.
Requisitos mínimos dehardware:
• Processador de no mínimo 1 GHz ou superior;
• 20 GB de espaço em disco;
• 512 MB memóriaRAM;
• 2 placas de redes.
4.1.4 Sistema Smoothwall
Segundo Manning e Morrel (2012), o sistema Smoothwall também possui umkernelpróprio,
por isso é tratado como uma distribuição. Essa ferramenta possui algumas configurações como:
firewall, proxy, NAT, servidor DHCP suporte a redeswireless, antivirus. Também há a ne-
cessidade de se instalar no mínimo duas placas de redes no computador para a instalação e o
funcionamento do sistema. Ele é acessado também por um navegador.
Requisitos mínimos dehardware:
• Processador de no mínimo 1 GHz ou superior;
• 20 GB de espaço em disco;
4.2 FERRAMENTA PROPOSTA 84
• 512 MB memóriaRAM;
• 2 placas de redes;
• Sistema 64 bits.
4.2 FERRAMENTA PROPOSTA
Pela análise das ferramentas citadas nas sub-seções anteriores, constatou-se que para instalá-
las é necessário que estejam instaladas duas placas de rede para que seja possível realizar as
configurações de rede durante a instalação do sistema, além do que o único acesso à ferra-
menta que o administrador teria, seria através de um navegador, onde realizaria apenas algumas
configurações específicas. Não se tem o acesso ao código fonte, caso deseje realizar algumas
mudanças que sejam necessária.
Considerando a ideia de Freitas (2010), discutido na seção 3.1 na página 56, afirmando
que o crescimento das redes de computadores, em tamanho e complexidade, faz com que os
sistemas de gerência baseados em um único gerente sejam inapropriados; teve-se o intuito de
criar uma ferramenta para desmembrar a gerência de rede, facilitando assim seu monitoramento.
Como exemplo pode-se citar o câmpus Unesp de Ilha Solteira, em que a Reitoria monitora todo
o tráfego de informações da Universidade a partir da cidade de São Paulo. No câmpus de Ilha
Solteira, por se ter uma enorme quantidade de computadores,também há um controle realizado
pelo Serviço Técnico de Informática (STI) local que gerencia todo o parque computacional do
câmpus. Particularmente, o Departamento de Engenharia Elétrica possui uma quantidade con-
siderável de computadores (acima de 400), possuindo cerca de vinte laboratórios de pesquisa.
Cada câmpus através do seu STI gerencia os laboratórios didáticos e outros computadores
que por ventura se contectam na rede. Logo a ideia é descentralizar o gerenciamento da rede,
caso por ventura algum administrador ou professor responsável de laboratório didático queira
monitorá-lo separadamente, como por exemplo o Laboratóriode Linux de Processamento Par-
alelo (LLPP) do Departamento de Engenharia Elétrica. Com o uso da ferramenta SSM é pos-
sível gerenciá-la bem como gerenciar as regras de segurançaseparadamente dos outros labo-
ratórios, promovendo assim a distribuição da gerência da rede pela divisão das responsabilidade
com gerentes locais.
Para isso, utilizou-se o SO Ubuntu, como comentado na seção 2.8, página 51 para imple-
mentação de alguns serviços centralizados em uma úinica ferramenta o gerenciamento da rede
local do LLPP, em que os computadores permanecem estar ligados ineterruptamente.
Com o objetivo de melhorar a administração e agilizar o gerenciamento de rede, foi de-
senvolvida uma ferramenta que integra várias ferramentas de forma gráfica com os seguintes
recursos:firewall (bloqueio/desbloqueio de portas TCP e UDP, endereços IP’s), configuração
4.2 FERRAMENTA PROPOSTA 85
das placas de redes internas e externas, serviço DHCP, configuração das opções doproxy, acesso
a relatóriosSargeMRTG, controle de banda, teste de velocidade de conexão, monitoramento da
rede com serviços Nagios, Nagvis e Cacti, alteração de senhae a possibilidade de reinicializar
e desligar o servidor. A ferramenta foi idealizada de forma modular, o que permite a inclusão
de novos módulos a posteori. Esta ferramenta foi denominadaSilent Security Monitor(SSM).
Na criação da ferramenta foram utilizadas as linguagensPHP 1 (TUCOWS, 2013) eshell
script (JARGAS, 2008) para a utilização descriptpara automatizar em configuração de serviços
no servidor, os quais são executados embackground. Na Figura 21 é apresentado um diagrama
de blocos que ilustra o funcionamento da ferramenta.
Figura 21 -Diagrama de blocos ilustrativo da ferramenta SSM.Firewall
Configuração DHCP
Alteração de IPConfiguração de Proxy
Relatório da Máquina
Relatório de Acesso
Controle de BandaTeste de Conexão
Monitoramento da RedeAlteração de Senha
RebootDesligar
Tela de Login Tela Principal Shell Script
Fonte: Próprio autor.
Para que o administrador possa utilizar a ferramenta, é necessário que o mesmo abra um
navegador, de preferência oFirefox, e no lugar em que se digita os endereços do sítio deve-se
digitar o endereço IP do computador em que a ferramenta está instalada da seguinte forma:
http://192.168.1.103/default/index.php
ou
http://lo alhost/default/index.php
Aparecendo a seguir a tela apresentada na Figura 22, em que sedigitará umlogin e senha
préviamente cadastrados, e após escolherá a opçãoEntrar se terá acesso a tela mostrada na
Figura 23.
1Para a montagem das páginas web
4.2 FERRAMENTA PROPOSTA 86
Figura 22 -Tela login para acessar a interface SSM.
Fonte: Próprio autor.
Figura 23 -Tela principal da interface SSM.
Fonte: Próprio autor.
4.2 FERRAMENTA PROPOSTA 87
A partir da tela mostrada na Figura 23, o administrador poderá acessar e configurar os
seguintes serviços:
• Firewall
– Configurar bloqueio e liberação de portas UDP e TCP;
– Bloqueio e desbloqueio de endereços IP’s;
– Liberação ou bloqueio de IP’s atrelado ao endereço MAC da placa de rede.
• Alteração dos endereços IP’s das placas de redes interna e externa;
• Configuração de um servidor DHCP;
• Configuração do serviço deproxy;
• Relatórios de acesso estatusdo servidor;
• Controle de banda;
• Teste de Conexão;
• Monitoramento da rede com Nagios, Nagvis e Cacti;
• Alteração de senha do usuárioadmin;
• Reinicialização do computador;
• Desligamento do computador.
Nas seções seguintes, detalhar-se-á todos estes serviços.
4.2.1 Firewall
Para configurar ofirewall pela interface SSM, não há a necessidade de se utilizar longas
linhas de comandos, pois foram criados algunsscriptsque farão a função de bloquear e liberar
IP’s, portas de comunicações e controle de IP atrelado comMAC, tudo centralizado em uma
única interface gráfica, em que se encontram vários serviçosque podem ser configurados em
um firewall, facilitando e muito a vida de um administrador de rede, comopode ser visto na
Figura 24.
4.2 FERRAMENTA PROPOSTA 88
Figura 24 -Tela de serviços dofirewall.
Fonte: Próprio autor.
O funcionamento desta etapa do serviço consiste em diversasopções de configuração de
umfirewall, já criado emscripts, que aparecerão no navegador em forma de campos. Variáveis
serão alimentadas conforme o administrador preenche os dados nos respectivos campos e poste-
riormente, acionando-se o botãoAplicar, ativam-se osscriptsembackground, sendo totalmente
transparente ao usuário.
Nesta unificação de serviços, é possível configurar:
a) bloqueio e desbloqueio de portas UDP;
b) bloqueio e desbloqueio de portas TCP;
c) bloqueio e desbloqueio de IP’s;
a) redirecionamento de IP;
4.2 FERRAMENTA PROPOSTA 89
a) controle de IP+MAC.
Para todas estas opções são apresentadas, na própria ferramenta, uma descrição de cada
serviço a ser realizado.
4.2.2 Alteração de IP
Para que um servidor possa funcionar em qualquer rede, ele precisa de algumas configu-
rações primordiais, tais como: endereço IP das placas de redes (interna2 e externa3), endereço
degatewaye endereços de DNS.
Na tela apresentada na Figura 25, encontram-se as opções referentes a configurações necessárias
para a alteração de IP.
Figura 25 -Tela de configuração dos endereços de IP’s das placas de redes,gatewaye DNS.
Fonte: Próprio autor.
Ao acionar o íconeConfiguração de IP, aparecerá a tela da Figura 26, em que o admin-
istrador optará pela configuração das placas de rede internaou externa.
2Utilizada para enviar as informações para a rede interna.3Utilizada para realizar a comunicação externa com a rede local.
4.2 FERRAMENTA PROPOSTA 90
Figura 26 -Tela de configuração dos endereços de IP das placas de redesexterna e interna.
Fonte: Próprio autor.
Ao acionar a opçãoConfiguração de IP Rede Interna, poderá configurar ítens como:
a) endereço IP;
b) máscara de rede;
c) classe de rede.
Para configurar os itens citados acima, basta acionar o íconena forma de lápis e digitar as
informações necessárias conforme é apresentado na Figura 27. Posteriormente basta acionar a
opçãoApli ar para se ter configurada a placa de rede interna.
Voltando à Figura 26 com a escolha deConfiguração de IP no menu superior, e ao
acionar a opçãoConfiguração de IP Rede Externa, poder-se-á configurar as opções:
a) endereço IP;
b) máscara de rede.
Na tela mostrada na Figura 28, após digitar as informações solicitadas nos campos cor-
respondentes, com o acionamento prévio do ícone na forma de lápis, basta acionar a opção
Apli ar para se ter configurada a placa de rede externa.
Na sequência, com a escolha da opçãoAlteração de IP no menu superior, volta-se a
tela da Figura 25. Acionando-se agora a opçãoGateway, será possível configurar o endereço
de gatewayacionando o lápis e preenchendo o respectivo campo, conforme é mostrado na
4.2 FERRAMENTA PROPOSTA 91
Figura 27 -Tela de configuração do endereço de IP da placas de rede in-terna.
Fonte: Próprio autor.
Figura 28 -Tela de configuração do endereço de IP da placa de rede externa.
Fonte: Próprio autor.
4.2 FERRAMENTA PROPOSTA 92
Figura 29. Este endereço é conhecido como “portão de entrada”, ou seja, ele é responsável por
interligar duas redes que utilizam protocolos diferentes ecompartilhar a conexão com a internet
entre várias estações.
Figura 29 -Tela de configuração do endereço degateway.
Fonte: Próprio autor.
Para finalizar a alteração de IP é necessário ainda especificar os endereços de DNS respon-
sável por relacionar o nome do sítio ao IP do mesmo. Isto é feito acionando-se inicialmente a
opção Configuração DNS conforme apresentada na Figura 25. Assim, se terá acesso a tela
mostrada na Figura??, em que, após o acionamento da opção lápis poderão ser alterados as
informações apresentadas automaticamente do arquivoresolv. onf.
Para isto, digita-se o endereço DNS no campoDNS e aciona-se o botãoCadastrar.
Por tanto, com o uso da ferramenta SSM e de modo conversacional, é possível configurar
todas as premissas de rede necessárias para que um servidor possa se conectar a rede.
A seguir, para efeitos de comparação, será realizada a alteração de IP, de forma manual, ou
seja, sem a utilização da ferramenta. Para isso, são necessários os seguintes passos:
1◦ passo: O administrador terá de logar comoroot para que possa ter acesso privilegiado ao
Linux. Todos os comandos devem ser executado em umpromptde um terminal de texto.
Para configurar o endereço IP e a máscara de rede da placa de rede interna deve-se digitar
o seguinte comando:
if onfig eth1 192.168.1.1 netmask 255.255.255.192
Apenas o comandoif onfig é utilizado para listas as interfaces de rede instaladas no
computador, mas em conjunto com outros comandos, é utilizado para configurar uma
4.2 FERRAMENTA PROPOSTA 93
placa de rede e sua máscara de rede, como foi usado neste exemplo, em que foi configu-
rado uma placa de rede com o endereço IP192.168.1.1, juntamente com sua máscara
de rede255.255.255.192. Para identificar qual placa de rede está sendo configurada
tem-se que especificar pela opçãoeth?, onde o? pode variar de 0 a um valor N inteiro.
Por padrão, adota-seeth1 como a interface (placa de rede) que será redirecionado paraa
rede interna, também conhecida como interface de rede interna.
2◦ passo: Para configurar o endereço IP e a máscara de rede da placa de rede externa deve-se
digitar o seguinte comando:
if onfig eth0 189.47.158.140 netmask 255.255.255.0
Neste caso foi utilizado a opçãoeth0, pois foi configurado o endereço IP e a máscara
de rede da placa de rede que irá receber olink de uma conexão de internet, também
conhecida como placa de rede externa.
3◦ passo: Para configurar o endereço degatewayda rede deve-se digitar o seguinte comando:
route add default gw 189.47.158.1
Como explicado anteriormente, ogatewayé o endereço de rede que é utilizado para ter o
acesso externo, ou seja, é o endereço IP que a informação utiliza para se ter acesso a rede
externa. Por isso se utiliza a linha de comando citada acima que consiste em: configurar
uma rota padrão do tipogatewaycujo endereço é 189.47.158.1.
4◦ passo: Para configurar os endereços de DNS, basta editar o arquivoresolv. onf, local-
izado em/et / e adicionar as seguintes linhas:
nameserver domain dee2.feis.unesp.br
sear h dee2.feis.unesp.br
nameserver 172.21.0.2
Essas três linhas de comandos são utilizadas para gerenciara navegação da internet. A
primeira linha, nameserver domain dee2.feis.unesp.br, faz uma busca direta no
endereço IP do computador responsável por ser o DNS (ou servidor de nomes) da rede;
a segunda linha,sear h dee2.feis.unesp.br, faz uma busca pelo nome do servidor
DNS, ou seja, verifica quais são os servidores de nome que devem ser buscados, mas por
padrão costuma ser um único, o local. A terceira e última linha, nameserver 172.21.0.2,
busca o servidor DNS através do endereço IP.
4.2 FERRAMENTA PROPOSTA 94
Uma observação a ser feita, com a apresentação desta comparação entre o uso da ferramenta
proposta e o uso convencional, é que pela última forma o administrador tem que conhecer previ-
amente os comandos e suas respectivas opções, além dos arquivos a serem alterados. Enquanto
que, com o uso da ferramenta proposta, isto não é necessário,pois os comandos já estão implíc-
itos nosscriptsque são executados embackground.
4.2.3 Configuração DHCP
Através da tela apresentada na Figura 31 é possível configurar o serviçoDynamic Host
Configuration Protocol(DHCP), responsável por atribuir endereços IP automaticamente aos
computadores que estão conectados a rede.
Para configurar esse serviço, basta apenas especificar o intervalo de endereço IP que será
utilizado pelo serviço, escolher a opçãoAtivar o Serviço e acionar o botãoApli ar.
Figura 31 -Funcionamento do servidor DHCP.
Fonte: Próprio autor.
A seguir será realizada a mesma configuração, através de linhas de códigos e com o auxilio
de um terminal de texto, sem a utilização da ferramenta com osseguintes passos:
1◦ passo: Inicialmente é necessário estar logado comoroot para que se possa configurar o
serviço DHCP que consiste em editar as seguintes informações: endereço de rede, más-
cara de rede, intervalo de endereço IP,gateway, endereço de DNS e o debroadcast. É
necessário editar o seguinte arquivo:dh pd. onf, localizado em/et /dh p3/.
4.2 FERRAMENTA PROPOSTA 95
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
subnet 192.168.1.0 netmask 255.255.255.192 {
range 192.168.1.2 192.168.1.100;
option routers 192.168.1.1;
option domain-name-servers 172.21.0.2;
option broad ast-address 192.168.1.255;
}
Neste arquivo as quatro primeiras linhas são configurações padrão, ou seja, não há a
necessidade de serem modificadas. Neste mesmo arquivo foi especificado o endereço
da rede, que como exemplo foi utilizado o endereço192.168.1.0, com a máscara de
rede255.255.255.192. Além disso, é necessário especificar o intervalo de endereços
IPs que será utilizado no serviço (192.168.1.2 - 192.168.1.100), o endereço de
gateway(192.168.1.1), o endereço de DNS (172.21.0.2) e o endereço debradcast
(192.168.1.255). Para inserir estas informações, é encessário utilizar umeditor de texto
que funcione via terminal; logo ao sair do arquivo, se faz necessário salvá-lo para que as
informações digitadas não se percam.
2◦ passo: Feito isso, deve-se digitar o seguinte comando para inicializar o serviço:
servi e dh pd stop
servi e dh pd start
Aqui, observa-se também a facilidade da configuração do DHCPvia ferramenta gráfica,
quando comparada com a forma convencional, em que o administrador tem que ter conheci-
mento právios de inúmeros comandos e respectivas opçoes.
4.2.4 Configuração doSquid/Proxy
Através da tela apresentada na Figura 32, é possível configurar os serviços de bloqueio de
sítio por:
4.2 FERRAMENTA PROPOSTA 96
a) palavras: consiste em bloquear os sítios que contenham as palavras-chave que foram
indicadas na configuração; por exemplo, caso deseja-se bloquear o sítio cujo endereço é
http:\\wwww.fa ebook. om basta cadastrar a palavrafacebookque quando o usuário
tentar acessar o sítio cujo endereço contenha a palavrafacebook, a mesma retornará uma
tela de acesso negado.
b) domínio: consiste em bloquear todo o sítio, ou seja, caso um sítio seja um subsítio de
um sítio, ele também será bloqueado; como por exemplo, caso oadministrador tenha blo-
queado o domíniowww.terra. om.br e deseja-se acessar um site que esteja hospedado
dentro deste domínio, o mesmo não será possível acessar.
c) extensão de um arquivo: consiste em bloquear uma extensão de um arquivo, como por
exemplo em que o administrador queira bloquear odownloadde um arquivo de música,
basta ele bloquear a extensão*.mp3e todas os arquivos.mp3serão bloqueados;
d) limitar tamanho de arquivo : consiste em limitar o tamanho do arquivo que será real-
izado odownload, ou seja, caso seja especificado um arquivo com tamanho de 3 MB, e o
usuário desejar baixar um arquivo maior, o sistema bloqueará essedownload.
Figura 32 -Tela de configuração das funcionalidades dosquid.
Fonte: Próprio autor.
Essa configuração é toda facilitada, pois não se depende de longas linhas de códigos: as
mesmas já estão previstas nos correspondentesscriptse após o preenchimento de campos es-
pecíficos, as linhas de códigos serão executadas embackground.
4.2 FERRAMENTA PROPOSTA 97
Como explicado anteriormente na seção 2.2.1,na página 23, passo 3, é possivel configurar
o serviçoproxy/squidcom apenas quatro linhas. No entando, a configuração a ser realizada
aqui é mais avançada, por se tratar de uma monitoria mais segura da rede. O que será tratado
nesta configuração utilizando linhas de códigos com o auxilio do terminal de texto relaciona-se
apenas aos itens: configuração doproxytransparente, bloqueio de palavras, sítios e extensões.
A seguir será realizada a mesma configuração, mas de forma manual, sem a utilização da
ferramenta com os seguintes passos:
1◦ passo: Inicialmente deve-se editar o arquivosquid. onf localizado em/et /squid/,
conforme a seguir:
# Configuração Squid
# Modifi ado por Apio Carnielo e Silva
# Mensagens de erro em Português
error_dire tory /usr/share/squid/errors/Portuguese
# Porta do Squid
http_port 3128 transparent
# Nome do servidor
visible_hostname apio
# Ca he
a he_mem 700 MB
maximum_obje t_size_in_memory 32 KB
maximum_obje t_size 1024 MB
minimum_obje t_size 0 KB
a he_swap_low 90
a he_swap_high 95
a he_dir diskd /var/ a he/squid/ 30000 16 256
# Logs de a esso
a he_a ess_log /var/log/squid/a ess.log
# Regras a l padrão
a l all sr 0.0.0.0/0.0.0.0
a l manager proto a he_obje t
a l lo alhost sr 127.0.0.1/255.255.255.255
4.2 FERRAMENTA PROPOSTA 98
a l SSL_ports port 443 563 873
a l Safe_ports port 80 # http
a l Safe_ports port 21 # ftp
a l Safe_ports port 443 563 873 # https, snews
a l Safe_ports port 70 # gopher
a l Safe_ports port 210 # wais
a l Safe_ports port 280 # http-mgmt
a l Safe_ports port 488 # gss-http
a l Safe_ports port 591 # filemaker
a l Safe_ports port 777 # multiling http
a l Safe_ports port 901 # swat
a l Safe_ports port 1025-65535 # portas altas
a l purge method PURGE
a l CONNECT method CONNECT
####################################################################
# ACL'S DO USUARIO
####################################################################
a l network sr "/var/www/default/firewall/rede/txt/n_zero_rede.txt"
a l fora_da_regra sr "/var/www/default/firewall/proxy/vip.txt"
####################LIMITANDO DOWNLOAD##############################
a l html rep_mime_type text/html
reply_body_max_size 0 allow html
reply_body_max_size ` at "/var/www/default/firewall/proxy/limite.txt`
allow all !fora_da_regra
####################################################################
a l p_sites dstdomain "/var/www/default/firewall/proxy/ \
proibir_sites.txt"
a l p_exten url_regex "/var/www/default/firewall/proxy/ \
proibir_extensao.txt"
a l p_palav url_regex "/var/www/default/firewall/proxy/ \
proibir_palavras.txt"
####################################################################
http_a ess deny network p_sites
http_a ess deny network p_exten
http_a ess deny network p_palav
http_a ess allow lo alhost
####################################################################
# Only allow a hemgr a ess from lo alhost
4.2 FERRAMENTA PROPOSTA 99
http_a ess allow manager lo alhost
http_a ess deny manager
# Deny requests to unknown ports
http_a ess deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_a ess deny CONNECT !SSL_ports
# Bloqueio de usuários fora da rede
http_a ess deny all
Todos estes comandos, referentes aos acl’s do usuário, foram explicados detalhadamente
nas seções 2.2.1.1 até 2.2.1.4, páginas 27 a página 34.
2◦ passo: Para ativar oproxytransparente, há a necessidade de executar o comando abaixo. O
comando é responsável por configurar oproxy transparente, ele faz redirecionamento de
toda a navegação que passa pelaporta 80 passar automáticamente pelaporta 3128 .
iptables -t nat -A PREROUTING -i eth0 -p t p --dport 80 -j \
REDIRECT --to-port 3128
3◦ passo: Para bloquear algum sítio utilizando palavras chaves, deve-se editar o arquivoproibir_palavras.txt
colocando as palavras chave como abaixo:
terra
sexo
globo
4◦ passo: Para bloquear algum domínio de um sítio utilizando palavraschave, deve-se editar o
arquivoproibir_sites.txt colocando as palavras chave como abaixo:
terra. om
globo. om
5◦ passo: Para bloquear odownloadde algum arquivo com uma extensão especial, deve-se
editar o arquivoproibir_extensao.txt colocando as palavras chave como abaixo:
4.2 FERRAMENTA PROPOSTA 100
.jpg
.mp3
.gif
6◦ passo: Feito isso, deve-se digitar no promtp do SO o seguinte comando para inicializar o
serviço:
servi e squid stop
servi e squid start
4.2.5 Relatórios
Através da tela apresentada na Figura 33, é possível visualizar relatórios para facilitar o
serviço do administrador de rede, tais como:
a) internet: mostra quanto foi o tráfego gerado na placa de rede externa;
b) rede local: mostra quanto foi o tráfego gerado na placa de rede local;
c) memória e processamento: mostra como está sendo utilizado a memória e o processador
da máquina, verificando assim se a mesma está sobrecarregadaou não;
d) disco rígido: Neste relatório o administrador monitora o espaço ocupadono Hard Disk
(HD);
e) relatórios de acesso: possibilita ao administrador monitorar todo o acesso dos usuários
na internet, facilitando assim quaisquer auditorias internas.
Outros relatórios, que podem auxiliar os administradores no monitoramento da rede, podem
ser inseridos de forma modular, acrescentando um novo íconenesta tela, que ao ser acionado
apresenta o novo relatório.
A fim de exemplificar, na Figura 34, é apresentado o relatório de tráfego gerado na placa de
rede que recebe olink de internet. Na sequência dos gráficos da Figura 34, são apresentados os
dados referentes a taxa de transferência de entrada e saída:diário, semanal, mensal e anual.
4.2 FERRAMENTA PROPOSTA 101
Figura 30 -Tela de configuração dos endereços de DNS.
Fonte: Próprio autor.
Figura 33 -Tela de Relatórios internet, rede local, memória e processa-mento, status do disco rígido.
Fonte: Próprio autor.
4.2 FERRAMENTA PROPOSTA 103
4.2.6 Controle Largura da Banda
Através da tela apresentada na Figura 35, o administrador é capaz de controlar olink de
navegação, ou seja, neste caso o administrador especifica o valor máximo dedownloadeupload
relacionando-o a um endereço de IP previamente selecionado. Ao acionar o botãoApli ar as
mudanças preestabelecidas são aplicadas.
Figura 35 -Tela de configuração do serviçobandlimit.
Fonte: Próprio autor.
No exemplo da Figura 35 o endereço IP 192.168.1.4 teve suas larguras de banda dedown-
load e uploadambas limitados a 128 kB.
A seguir será realizada a mesma configuração, mas de forma manual, sem a utilização da
ferramenta, com os seguintes passos:
1◦ passo: Editar o arquivoips.txt, localizado em/var/www/default/firewall/s ript/txt/,
colocando a seguinte informação:
192.168.1.4:128:128
Essas informações consistem em: endereço IP, velocidade dedownloadeuploadrespec-
tivamente.
2◦ passo: Após editar o arquivo, é necessário digitar no promtp do SO, oseguinte comando para
inicializar o serviço:
servi e bandlimit stop
servi e bandlimit start
4.2 FERRAMENTA PROPOSTA 104
Veja que quando não se usa a ferramenta SSM, o administrador tem que saber em qual
arquivo deve colocar a informação, além de conhecer a sintaxe correta, precisa saber inicializar
o serviço. Com o uso da ferramenta isto é feito de maneira automática.
4.2.7 Medidor de Velocidade
Neste módulo é possível medir a velocidade dolink de internet que está chegando no servi-
dor. Basta acionar o botãoteste sua onexão, como pode ser visto na Figura 36, e será
apresentado o valor da velocidade da conexão em kB.
Figura 36 -Tela de teste de velocidade dolink de internet.
Fonte: Próprio autor.
Após acionar o botãoteste de onexão, o mesmo irá verificar a taxa de transferência
de downloade upload como pode ser visto nas Figuras 37 e 38, respectivamente. Após o
acionamento inicial, são apresentados, alternadamente, na mesma tela, estas informações.
4.2 FERRAMENTA PROPOSTA 105
Figura 37 -Testando a velocidade da conexãoDownload.
Fonte: Próprio autor.
Figura 38 -Testando a velocidade da conexãoUpload.
Fonte: Próprio autor.
4.2.8 Monitoramento da Rede
A partir da tela principal, Figura 23, acionando a opçãoMonitoramento da Rede, tem-se
o acesso a tela da Figura 39, onde é possível utilizar três ferramentas: o Nagios, o Nagvis e o
Cacti.
4.2 FERRAMENTA PROPOSTA 106
Estas ferramentas são utilizadas para monitorar serviços tais como: ping, ssh, quantidade
de processos e taxa de utilização de alguns componentes do computador (espaço no HD, quan-
tidade de usuários conectados, etc.).
Figura 39 -Tela do módulo de monitoramento da rede.
Fonte: Próprio autor.
Ao acionar a opçãoNagios, será solicitado o nome de usuário e senha previamente, cadastra-
dos. Acionando-se a opçãoMap, no frame lateral esquerdo, é possível verificar os computadores
que estão conectados na rede, podendo monitorar alguns serviços e processos. Para verificar os
serviços que estão sendo monitorados, basta posicionar o mouse sobre algum computador já
cadastrado, que irá aparecer uma tela com as informações, mostradas na Figura 39.
4.2 FERRAMENTA PROPOSTA 107
Figura 40 -Tela das informações do computador cadastrado no Nagios.
Fonte: Próprio autor.
Figura 41 -Tela com informações gerais do computador monitorado.
Fonte: Próprio autor.
4.2 FERRAMENTA PROPOSTA 108
Acionando-se o mouse uma única vez em cima do ícone do computador cadastrado, con-
forme mostrado na Figura 41, aparecerá algumas informaçõessobre o mesmo.
Ao acionar o mouse duas vezes no ícone do computador escolhido, será exibido uma tela
com informações mais detalhadas dos itens que estão sendo monitorados, conforme é mostrado
na Figura 42.
Figura 42 -Tela com mais detalhes sobre o computador monitorado.
Fonte: Galstad (2010).
Para que se possa realizar o monitoramento, é possível cadastrar tanto os computadores
como os dispositivos de rede, tais como: roteador,switch, impressora ou qualquer outro equipa-
mento que contenha endereço IP e que possa ser conectado na rede.
4.2.9 Cadastrando Equipamentos no Nagios
Para cadastrar os equipamentos, basta acionar o íconeCadastro de Máquinas a partir
da tela da Figura 39, caso deseja-se cadastrar um computador; ou Roteadores, Swit hes e
Impressoras, caso deseja-se cadastrar os demais componentes de rede. Estes cadastramentos
podem ser vistos nas Figura 58 e 44, respectivamente.
4.2 FERRAMENTA PROPOSTA 109
Ao se cadastrar um computador na rede será necessário entrarcom as informações solici-
tadas, conforme mostrado na Figura 58.
Figura 43 -Tela de cadastro do computador no Nagios.
Fonte: Próprio autor.
Após o preenchimento de todos os campos deve-se acionar a opção Salvar para que o
computador seja cadastrado. Nesta mesma tela tem-se a opçãoEx luir, pela qual se pode
retirar qualquer configuração.
Para cadastrar equipamentos tais como uma impressora, um roteador ou umswitch, é
necessário entrar com as informações apresentadas na Figura 44, a seguir.
4.2 FERRAMENTA PROPOSTA 110
Figura 44 -Tela de cadastro de roteador,switchou impressora no Nagios.
Fonte: Próprio autor.
Após o preenchimento de todos os campos deve-se acionar a opção Salvar para que o
roteador seja cadastrado.
A seguir será realizado o cadastramento de um computador e uma impressora de forma
manual, sem a utilização da ferramenta, com os seguintes passos:
1◦ passo: Para realizar o cadastro de um computador, criar um arquivo com onome_da_maquina
e com a extensão. fg, localizado em/et /nagios3/servers colocando as seguintes
informações que se seguem: Como exemplo, foi criado o arquivo pigeotto. gf.
### Defini oes do Host ###
define host{
use generi -host
host_name pigeotto
alias pigeotto
address 172.21.1.22
parents apio
he k_ ommand he k-host-alive
max_ he k_attempts 2
he k_interval 1
notifi ation_interval 1
4.2 FERRAMENTA PROPOSTA 111
notifi ation_period 24x7
notifi ation_options d,u,r
onta t_groups admins
i on_image linux40.png
statusmap_image linux40.png
}
### PING ###
define servi e{
host_name pigeotto
servi e_des ription PING
he k_ ommand he k_ping!5000.0,80%!8000.0,100%
max_ he k_attempts 2
normal_ he k_interval 1
retry_ he k_interval 1
he k_period 24x7
notifi ation_interval 30
notifi ation_period 24x7
notifi ation_options w, ,r
onta t_groups admins
}
### SSH ###
define servi e{
host_name pigeotto
servi e_des ription SSH
he k_ ommand he k_ssh! -t 50
max_ he k_attempts 2
normal_ he k_interval 1
retry_ he k_interval 1
he k_period 24x7
notifi ation_interval 30
notifi ation_period 24x7
notifi ation_options w, ,r
onta t_groups admins
}
4.2 FERRAMENTA PROPOSTA 112
2◦ passo: Para cadastrar, um roteador, criar um arquivo comnome_do_router com a extensao
. fg, localizado em/et /nagios3/routers, colocando as informações que se seguem:
Como exemplo foi utilizado o arquivorouter1. fg.
### Defini oes do Host ###
define host{
use generi -host
host_name router1
alias router_sala_prof
address 172.21.1.20
parents apio
he k_ ommand he k-host-alive
max_ he k_attempts 2
he k_interval 1
notifi ation_interval 1
notifi ation_period 24x7
notifi ation_options d,u,r
onta t_groups admins
i on_image router.png
statusmap_image router.png
}
### PING ###
define servi e{
host_name router1
servi e_des ription PING
he k_ ommand he k_ping!5000.0,80%!8000.0,100%
max_ he k_attempts 2
normal_ he k_interval 1
retry_ he k_interval 1
he k_period 24x7
notifi ation_interval 30
notifi ation_period 24x7
notifi ation_options w, ,r
4.2 FERRAMENTA PROPOSTA 113
onta t_groups admins
}
3◦ passo: Para realizar o cadastro de impressora, edite o arquivonome_da_impressora. fg local-
izado em/et /nagios3/printers, colocando as seguintes informações:
### Defini oes do Host ###
define host{
use generi -host
host_name printer1
alias printer_sala_prof
address 172.21.1.10
parents apio
he k_ ommand he k-host-alive
max_ he k_attempts 2
he k_interval 1
notifi ation_interval 1
notifi ation_period 24x7
notifi ation_options d,u,r
onta t_groups admins
i on_image printer.png
statusmap_image printer1.png
}
### PING ###
define servi e{
host_name printer1
servi e_des ription PING
he k_ ommand he k_ping!5000.0,80%!8000.0,100%
max_ he k_attempts 2
normal_ he k_interval 1
retry_ he k_interval 1
he k_period 24x7
notifi ation_interval 30
notifi ation_period 24x7
4.2 FERRAMENTA PROPOSTA 114
notifi ation_options w, ,r
onta t_groups admins
}
4◦ passo: Para finalizar os cadastros dos equipamentos, basta executar no prompt do SO so seguintes
comandos:
servi e nagios3 stop
servi e nagios3 start
Percebe-se claramente que com o uso da ferramenta, pode-se cadastrar os equipamentos no
Nagios de forma mais prática.
4.2.10 Nagvis
É uma ferramenta que auxilia o Nagios na verificação e monitoramento dos equipamentos
conectados na rede. Nesta ferramenta pode-se usar, por exemplo, uma planta baixa ou uma foto
de uma sala com todos os equipamentos previamente cadastrados no Nagios e que através de
ícones informa ostatusdos mesmos, como pode ser observado na Figura 45.
4.2 FERRAMENTA PROPOSTA 115
Figura 45 -Tela de monitoramento do Nagvis.
Fonte: Husch (2010).
Com este recurso, pode-se subdividir redes com grandes quantidades de computadores
monitorados, particularizando grupos específicos de computadores em forma de diagramas
menores.
4.2.11 Cacti
Ferramenta que também monitora todos os equipamentos que estão conectados na rede
através de gráficos de alguns ítens previamente cadastrados, como por exemplo quantidade de
usuários conectados ao computador, quantidade de processos sendo realizados, taxa de proces-
samento do processador, dentre outros, como pode ser visto na Figura 46.
4.2 FERRAMENTA PROPOSTA 116
Figura 46 -Tela de monitoramento do Cacti.
Fonte: Urban (2013).
Nesta figura, são apresentados como exemplo, os seguintes gráficos referentes ao servidor:
carga média, usuários conectados no servidor, memória utilizada e processos.
4.2.12 Alterar Senha
Na interface SSM também há a possibilidade de se alterar a senha posteriormente, visto que
devido a segurança, sempre há a necessidade de se trocar as senhas.
Por isso, na Figura 47, é apresentada uma tela que é possível trocar a senha do usuário
predefinidoadmin.
4.2 FERRAMENTA PROPOSTA 117
Figura 47 -Tela para mudar a senha do usuário admin.
Fonte: Próprio autor.
O descritivo na tela, informa os procedimentos para alterara senha.
4.2.13 Desligar/Reinicializar
Uma outra possibilidade existente na ferramenta proposta éa reinicialização ou o desliga-
mento do servidor remotamente, através de duas opções presentes na parte gráfica, identificadas
como:Reboot eDesligar, como realçado na Figura 48.
4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 118
Figura 48 -Tela com os botões para reiniciar ou desligar o servidor remota-mente.
Fonte: Próprio autor.
Ao acionar o íconeReboot o computador será reinicializado e ao acionar o íconeDesligar
o computador será desligado.
Assim a interface gráfica SSM vem atender de uma forma muito mais fácil e acessível as
necessidades de um administrador de redes, pois caso haja algum problema, ele pode realizar o
acesso ao servidor a distância ou se for necessário orientaruma pessoa para que possa realizar
o monitoramento ou a administração dos serviços de uma formabem prática.
4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTASSM
Para instalar o SSM, é necessário um computador com as seguintes especificações mínimas:
• Processador: Pentium 4 1 GHz;
• 512 MB de memória RAM;
• 5 GB de espaço no HD;
• Uma unidade de CD/DVD.
4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 119
4.3.1 Roteiro para Instalação da SSM.
Nesta subseção, será apresentado o roteiro utilizado para instalar a ferramentaSilent Secu-
rity Monitor no servidor.
1. Instale o apache2 e o php5 com o seguinte comando:
apt-get install apa he2 php5$
2. Copiar a pastadefault para dentro de/var/www e mudar o dono da mesma com o
comando:
hown -R www-data:www-data default
3. Instale o módulo squid com o seguinte comando:
apt-get install squid
e posteriormente copie o arquivosquid. onf da pasta/var/www/default/tudo/squid. onf
para a pasta/et /squid/, com o seguinte comando:
p /var/www/default/tudo/squid. onf /et /squid/
4. Instale o módulo do seviço DHCP com o seguinte comando:
apt-get install is -dh p-server
5. Instale o módulo Sarg com o seguinte comando:
apt-get install sarg
e em seguida copie o arquivosarg. onf dentro da pastatudo e cole dentro de/et /sarg
com o comando:
4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 120
p /var/www/default/tudo/sarg. onf /et /sarg
6. Instale o módulobandlimitdigitando o conteúdo abaixo ou copiando o arquivor .bandlimit
de/var/www/default/tudo/ para/et /init.d/.
##################
#INSTALACAO
# rie o diretorio bandlimit dentro do seu /et
# mkdir /et /bandlimit
# dentro deste diretorio rie os arquivos ips e interfa es
# tou h /et /bandlimit/ips
# tou h /et /bandlimit/interfa es
# depois edite o ips e o interfa es
# olo ando dentro do ips
# os ips que v deseja limitar 1 por linha no seguinte formato
# ip:ratein:rateout ex: 10.0.1.2:97:33
# e no interfa es as interfa es que v usa na sua maquina
# no formato ethx ex: eth0
# 1 por linha tambem ))
#
# Para rodar oloque o s ript dentro do seu r .lo al
# Para remover as regras digite r .bandlimit stop
#
##################
Após gerar o arquivo, se faz necessário dar permissão de execução para o mesmo com o
comando:
hmod +x 777 /et /init.d/r .bandlimit
7. Instale os módulos Nagios e Nagvis, respectivamente, comos seguinte comandos:
apt-get install nagios3
apt-get install graphviz
4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 121
Após realizar a instalação dos módulos também, é necessáriobaixar o arquivomk-livestatus
através do comando:
wget http://www.mathias-kettner.de/download/mk-livestatus-1.2.0p2.tar.gz
Descompacte o arquivo com o seguinte comando:
tar xvfz mk-livestatus-1.2.0p2.tar.gz
e logo após instale-o com o comando:
./ onfigure &&make install
Edite o arquivonagios. fg, localizado em/usr/lo al/nagios/et /nagios. fg, e
adicione a seguinte linha de comando:
broker_module=/usr/lo al/lib/mk-livestatus/livestatus.o
/var/lib/nagios3/rw/live
8. Baixe o arquivonagvis com a seguinte linha de comando:
wget http://sour eforge.net/settings/mirro_ hoi es?proje tname=nagvis&
filename=NagVis\2012.6/nagvis-1.6.6.tar.gz
e descompacte o mesmo usando:
tar xvfz nagvis-1.6.6.tar.gz
e com o comando:./install instale o Nagvis.
9. Instale os módulos Cacti, SNMP e SNMPD com o seguinte comando:
apt-get install snmp snmpd a ti
Ao término da instalação é necessário editar o arquivosnmpd. onf, mas antes é necessário
parar o serviço em execução com o comando:
4.3 REQUISITOS MÍNIMOS E ROTEIRO PARA A INSTALAÇÃO DA FERRAMENTA SSM 122
/et /init.d/snmpd stop
Será apresentado no terminal as informaçõe abaixo:
# Listen for onne tions from the lo al system only
#agentAddress udp:127.0.0.1:161
# Listen for onne tions on all interfa es (both IPv4 *and* IPv6)
agentAddress udp:161,udp6:[::1℄:161
Após editar o arquivo é necessário reinicializar o serviço com o comando:
servi e snmpd start
Com os precedimentos de 1 a 9 do roteiro, tem-se disponível noservidor a ferramenta SSM,
instalada e configurada.
123
5 RESULTADOS E DISCUSSÕES
Neste capítulo serão abordados três estudos de caso testados no escopo da interface gráfica
SSM relacionados as áreas funcionais de gerenciamento de configuração, segurança e contabi-
lização:
a) Estudo de caso 1: Descreve como o administrador de rede configura uma placa derede
utilizando apenas linhas de códigos e utilizando a interface desenvolvida;
b) Estudo de caso 2: Descreve como o administrador de rede libera um computadorna
rede atrelado aoMAC Addressutilizando linhas de códigos e utilizando a interface desen-
volvida;
c) Estudo de caso 3: Descreve como realizar o cadastro de um computador da rede para ser
monitorado pelo sistema.
Além disso, neste capítulo analisa-se os resultados da utilização da ferramenta proposta
frente a abordagem convencional.
5.1 ESTUDO DE CASO 1
Neste primeiro estudo de caso, será mostrado como um administrador faz para configurar
a placa de rede presente no servidor, que será utilizada parareceber enviar o sinal de internet e
controlar os computadores da rede local, utilizando apenaslinhas de códigos com os seguinte
itens:
a) endereço IP da placa de rede;
b) máscara de rede;
c) endereços de DNS.
Os dados referentes aos itens anteriores, são os que se seguem.
a) endereço IP –> 192.168.1.1;
a) endereço de mácara de rede –> 255.255.255.0;
5.1 ESTUDO DE CASO 1 124
a) endereço de DNS1 –> 8.8.8.8;
a) endereço de DNS2 –> 8.8.4.4 .
Para realizar todos os comandos relacionados a configuraçãodo sistema, se faz necessário
logar comoroot (administrador) do Linux.
Primeiramente o administrador configura o IP da placa com o seguinte comando:
if onfig eth1 192.168.1.1 netmask 255.255.255.0
Após configurar o endereço de IP e a máscara da placa de rede, é necessário configurar
os endereços de DNS para que o servidor possa navegar na internet. Para isso basta editar
o arquivo de configuraçãoresolv. onf, que está localizado no diretório/et , podendo ser
utilizado qualquer editor de texto ASCII. Neste estudo de caso, será utilizado o editor chamado
vim, com o seguinte comando:
vim /et /resolv. onf
Dentro deste arquivo, basta adicionar os dois endereços de DNS mencionado acima, para
que seja possível navegar na internet.
nameserver 8.8.8.8
nameserver 8.8.4.4
Feito isso, deve-se salvar o arquivo e sair, utilizando o seguinte conjunto de teclas:
es + : + x + ! (Com esta sequência de comandos no vim grava-se o conteúdo do
arquivo.)
Na sequência, para testar se a máquina está com a placa configurada, pode-se utilizar o
comandopingpara mandar “pingar” o sítio, por exemplo do UOL, com o seguinte comando:
ping www.uol. om.br
Caso tenha alguma resposta como mostrado abaixo:
apio�silen er:~$ ping www.uol. om.br
PING www.uol. om.br (200.221.2.45) 56(84) bytes of data.
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=1 ttl=55 time=55.5 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=2 ttl=55 time=56.0 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=3 ttl=55 time=55.2 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=4 ttl=55 time=54.9 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=5 ttl=55 time=57.2 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=6 ttl=55 time=54.4 ms
5.1 ESTUDO DE CASO 1 125
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=7 ttl=55 time=64.1 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=8 ttl=55 time=56.8 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=9 ttl=55 time=55.8 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=10 ttl=55 time=54.6 ms
64 bytes from home.uol. om.br (200.221.2.45): i mp_req=11 ttl=55 time=66.5 ms
--- www.uol. om.br ping statisti s ---
11 pa kets transmitted, 11 re eived, 0% pa ket loss, time 10012ms
rtt min/avg/max/mdev = 54.458/57.407/66.537/3.858 ms
apio�silen er:~$
indica que o computador já está navegando na internet.
Pelo que pôde ser visto, esta primeira etapa do estudo de casoem que o administrador
configura o servidor utilizando apenas linhas de comando, mostra-se um pouco trabalhosa, além
do que é necessário se ter uma boa memória para gravar todos oscomandos utilizados.
Pois com o uso da ferramenta SSM, basta o administrador seguir as etapas descritas abaixo,
sem a necessidade de utilizar longas linhas de comandos.
A partir da tela inicial mostrada na Figura 49, têm-se:
Etapa 1: Nesta etapa, basta o administrador entrar com o usuário e senha pré-definidos.
5.1 ESTUDO DE CASO 1 126
Figura 49 -Tela delogin do sistema.
Fonte: Próprio autor.
Etapa 2: Na tela apresentada na Figura 50, acione a opçãoAlteração de IP para ter
acesso as duas interfaces de rede, apresentada na Figura 51.
5.1 ESTUDO DE CASO 1 127
Figura 50 -Tela de alteração do endereço das placas de redes interna e ex-terna.
Fonte: Próprio autor.
Etapa 3: Em seguida, basta acionar o ícone referente a configuração da placa de rede interna,
indicada na Figura 51.
Figura 51 -Tela configuração da placa de rede.
Fonte: Próprio autor.
Etapa 4: Nesta etapa, basta preencher o endereço IP acionando o icone do lápis, com o
valor 192.168.1.1, a máscara de rede255.255.255.0 e a classe de rede192.168.1.0, não
esquecendo de sempre que finalizar o preenchimento, acionaro o botão aplicar, para que as
5.1 ESTUDO DE CASO 1 128
alterações sejam efetivadas, conforme a Figura 52.
Figura 52 -Tela em que o usuário irá preencher os valores dos endereços IP,máscara de rede e classe de IP.
Fonte: Próprio autor.
Etapa 5: Para configurar os endereços de DNS, basta acionar o íconeConfiguração DNS
na Figura 50, obtendo-se a a tela apresetnada na Figura 53.
Figura 53 -Acessando a opção para configurar os endereços de DNS.
Fonte: Próprio autor.
5.2 ESTUDO DE CASO 2 129
Etapa 6: Finalizando a configuração, basta entrar com os endereços de DNS desejados, um
por um, acionando o o botãocadastrarapós digitar cada endereço.
Essas são as etapas para se realizar a configuração de uma placa de rede sem utilizar co-
mando algum, apenas com a parte gráfica do projeto.
Nota-se que todos os comandos são executados embackgroundatravés descriptsespecífi-
cos.
5.2 ESTUDO DE CASO 2
Neste segundo estudo de caso, será mostrado como um administrador faz para configurar
um computador na rede atrelado ao endereço MAC da placa de rede utilizando apenas linhas de
códigos. O seguinte arquivo será alterado:
• Arquivo liberados: onde é cadastrado o computador juntamente com o endereço MAC
de sua placa de rede, para ser liberado seu acesso à rede interna.
Os dados referentes ao arquivo, são os seguintes:
• Endereço IP do computador: 192.168.1.2;
• Endereço MAC do computador: 00:02:78:e6:34:8f
Etapa 1: Primeiramente tem-se que editar o arquivoliberados que pode ser armazenado
dentro de uma pasta chamadafirewall. Este arquivo contém todos os endereços IP’s e endereços
MAC’s dos computadores que terão autorização para utilizara rede. Dentro do arquivo, basta
adicionar as informações citadas no início do estudo de caso2, que consiste no endereço IP e o
endereço MAC da placa de rede.
192.16.0.1;00:02:78:e6:34:8f
(OBS: Não se deve esquecer as informações devem ser colocadas na sequência acima, ou
seja,<IP>; <Endereço MAC>, pois somente assim o sistema irá liberar o computador para o
uso da rede.)
Etapa 2: Feito isso, é necessário ainda reiniciar oscriptdofirewallcom o seguinte comando:
./firewall
Assim, a máquina já se encontra liberada na rede para navegar.
5.2 ESTUDO DE CASO 2 130
Pelo que pôde ser visto nesta segunda etapa do estudo de caso,em que o administrador tem
que liberar um computador na rede utilizando apenas linhas de comando, a mesma mostra ser
também trabalhosa.
Já utilizando a interface gráfica SSM, basta seguir as etapasseguintes descritas:
Etapa 1: Nesta etapa basta acionar a opçãofirewall na tela apresentada na Figura 23 e, logo
após, na opçãoControle de IP+MAC conforme apresentado na Figura 54.
Figura 54 -Tela de configuração das opções dofirewall.
Fonte: Próprio autor.
Etapa 2: Agora basta entrar com as mesmas informações utilizadas neste estudo de caso
como o IP do computador, o MAC da placa de rede, além de poder identificar através de um
nome ou apelido o dono do computador; não esquecendo de mudaro dropboxpara A eito ,
para que assim o computador possa ser habilitado a navegar narede interna. Um exemplo deste
cadastro pode ser visto na Figura 55.
5.3 ESTUDO DE CASO 3 131
Figura 55 -Tela de configuração para cadastrar um computador na redeatrelado ao endereço MAC da placa.
Fonte: Próprio autor.
Como no estudo de caso anterior, também se faz necessário acionar o botãoCadastrar e
posteriormente no botãoApli ar, para que as alterções sejam efetuadas no sistema.
Neste estudo de caso 2, foi verificado que também há uma facilidade na realização da tarefa
de cadastramento utilizando a parte gráfica do que com o uso das linhas de comando.
5.3 ESTUDO DE CASO 3
Neste terceiro estudo de caso, será mostrado como um administrador faz para cadastrar
um computador da rede para ser monitorado pelo módulo Nagios, utilizando apenas linhas de
códigos. Para fazer isso, deverá seguir os seguintes passos:
1◦ passo: Logado comoroot, dentro da pasta/et /nagios3/servers, criar um arquivo com
nome_do_ omputador e com a extensão. fg. Dentro do arquivo deve-se colocar o
seguinte conteúdo:
### Defini oes do Host ###
define host{
use generi -host
host_name robim
alias robim
address 172.21.1.21
5.3 ESTUDO DE CASO 3 132
parents apio
he k_ ommand he k-host-alive
max_ he k_attempts 2
he k_interval 1
notifi ation_interval 1
notifi ation_period 24x7
notifi ation_options d,u,r
onta t_groups admins
i on_image linux40.png
statusmap_image linux40.png
}
### PING ###
define servi e{
host_name robim
servi e_des ription PING
he k_ ommand he k_ping!5000.0,80%!8000.0,100%
max_ he k_attempts 2
normal_ he k_interval 1
retry_ he k_interval 1
he k_period 24x7
notifi ation_interval 30
notifi ation_period 24x7
notifi ation_options w, ,r
onta t_groups admins
}
### SSH ###
define servi e{
host_name robim
servi e_des ription SSH
he k_ ommand he k_ssh! -t 50
max_ he k_attempts 2
normal_ he k_interval 1
retry_ he k_interval 1
5.3 ESTUDO DE CASO 3 133
he k_period 24x7
notifi ation_interval 30
notifi ation_period 24x7
notifi ation_options w, ,r
onta t_groups admins
}
2◦ passo: Abrir um navegador e digitar o seguinte endereço:
http://192.168.1.103/nagios3/
que consiste nos serviços a serem monitorados, como oping para verificar se o com-
putador está ligado e ossh, para verificar se o serviço que possibilita acesso remoto está
habilitado no computador que está sendo monitorado.
Já utilizando a interface gráfica SSM, basta seguir as etapasseguintes passos:
1◦ passo: Abra a interface da ferramenta e acione a opçãoMonitoramento da Rede con-
forme realçado na Figura 56
Figura 56 -Tela Principal do Sistema.
Fonte: Próprio autor.
5.3 ESTUDO DE CASO 3 134
2◦ passo: Para cadastrar um novo computador, acione a opçãoCadastro de Máquinas con-
forme mostrado na Figura??.
Figura 57 -Tela de Monitoramento.
Fonte: Próprio autor.
3◦ passo: Após preencher os campos com as informações como nome do computador, apelido,
endereço IP, dentre outras informações conforme a Figura 58, acione o botãoSalvar
após o término do preenchimento.
5.3 ESTUDO DE CASO 3 135
Figura 58 -Tela de cadastro do computador no Nagios.
Fonte: Próprio autor.
Feito isso, considera-se já realizado o cadastro do computador para ser monitorado pelo
Nagios.
Com a interface gráfica desenvolvida, como visto nestes trêsestudos de casos, o admin-
istrador de rede apenas terá de acessar a tela gráfica correspondente e realizar a configuração
necessária, preenchendo campos e/ou acionando opções do menu, tornando assim a adminis-
tração mais simplificada e amigável, na medida que não é mais necessário o uso de longos
comandos Linux para a configuração do servidor.
Ou seja, tem-se agora uma ferramenta integrada em uma única página web, que executa os
principaisscriptspara a configuração de um servidor, de forma transparente para o usuário, pois
as funções de tela transferem os respectivos comandos para os scripts, facilitando e agilizando
o serviço de um administrador de rede.
136
6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS
Com o crescimento do parque computacional das empresas de grande porte como conces-
sionárias de energia elétrica, indústrias e também universidades, torna-se cada vez mais difícil
o gerenciamento dos equipamentos das redes de informática.
Na tarefa de gerenciar esses equipamentos são utilizados inúmeras ferramentas com difer-
entes características entre si e que também são proprietárias, com código restrito, ou de domínio
público, com o código aberto.
Com a proposta de um gerenciamento descentralizado, do ponto de vista da aplicação para
pequenas redes locais de departamentos e laboratórios computacionais, e de um gerenciamento
unificado, com a integração de diversas ferramentas em uma única interface gráfica, foi desen-
volvida a ferramenta gráficaSilent Security Monitor(SSM). Para tal, utilizou-se a linguagem
PHP na implementação da interface gráfica, como tambémshell scriptpara criar os gatilhos
que irão executar os comandos embackgroundno sistema.
Com o uso da SSM o trabalho de um administrador de rede torna-se muito mais fácil e
rápido, pois a mesma auxilia-o no gerenciamento de diferentes serviços em um servidor de rede
sem a necessidade de se conhecer todos os comandos e respectivos parâmetros para a execução
desses serviços. Uma outra vantagem é que, por ter sido construído de forma modular, de
acordo com a necessidade, o administrador poderá modificar ocódigo fonte adicionando novos
serviços quando necessário.
Além de algumas ferramentas de gerencimento de rede, comofirewall, proxy, limitador
de banda, dentre outros, também foram adicionadas algumas ferramentas de monitoramento
da rede, como o Nagios, Nagvis, e o Cacti. Estas ferramentas realizam o monitoramento de
equipamentos que possuem endereço IP como computadores, roteadores,switches, dentre out-
ros. Além disso, para facilitar o cadastro dos equipamentos, também foi criado alguns gatilhos
que automatizam essa tarefa.
Os resultados dos testes realizados até o momento indicam que um usuário, previamente au-
torizado e que tenha conhecimento em administração de redes, pode sem problemas administrar
e configurar serviços de um servidor Linux com o uso da ferramenta SSM. Isto foi comprovado
através do uso da ferramenta no Laboratório de Linux e Processamento Paralelo (LLPP), da
UNESP Câmpus de Ilha Solteira, e também no servidor central do Instituto Federal do Mato
Grosso do Sul (IFMS), do Câmpus de Três Lagoas.
Para trabalhos futuros, pode-se criar o serviço de autenticação de usuário através dos módu-
6 CONCLUSÕES E SUGESTÕES PARA FUTUROS TRABALHOS 137
los Samba e LDAP, centralizando desta forma o acesso ao sistema com apenas uma única senha
por usuário. Também pode-se automatizar a instalação da ferramenta através de um programa
inicializador.
Novos módulos relacionados ao controle e desempenho da redee ao gerenciamento de
falhas podem ser incorporados àaferramenta, completando-se assim os aspectos funcionaisdo
gerenciamento da rede.
138
REFERÊNCIAS
ANTONELLO, F.; MACIEL, M. Bandlimit. Resende: Under-linux.org, 2004. Disponível em:<http://underlinux.com.br>. Acesso em: 10 mar. 2012.
BALL, B.; DUFF, H. Dominando Linux Red Hat e Fedora. São Paulo: LTC, 2004.
BEGLINGER, J.IPCop: the bad packets stop here. Georgetown: Jack Beglinger, 2013.Disponível em:<http://www.ipcop.org/index.php>. Acesso em: 11 jul. 2013.
BOKHARI, S. H. The linux operation system.IEEE Computer Society, Hampton, v. 28, n. 8,p. 74–79, 1995.
BREITGAND, D.; RAZ, D.; SHAVITT, Y. SNMP getprev: an efficient way to browse largeMIB tables.IEEE Journal on Selected Areas in Communications, Piscataway, v. 20, n. 4, p.656–667, 2002.
BUECHLER, C.Project PfSense. Austin: Chris Buechler, 2013. Disponível em:<http://www.pfsense.org/>. Acesso em: 12 abr. 2013.
CISCO.Network management system: best practices white paper. San Jose: Cisco Technology,2010. Disponível em:<http://www.cisco.com>. Acesso em: 10 maio 2013.
COMER, D. E.Redes de computadores e internet. 4. ed. São Paulo: Bookman, 2007.
DMN Eletrônica.Alcance Digital. São Paulo: DMN Eletrônica, 2013. Disponível em:<http://www.alcancedigital.com.br/site/index.php/tabela-de-precos>. Acesso em: 12 abr.2013.
DROMS, R.Dynamic host configuration protocol. Lewisburg: Bucknell University, 1997.Disponível em:<http://tools.ieff.org/html/rfc2131>. Acesso em: 10 mar. 2012.
DUARTA, J. N. M.Sistart: tecnologia e sistema. São Paulo: José Ney Meirelles Duarte, 2009.Disponível em:<http://sistart.com.br>. Acesso em: 12 abr. 2013.
FANG, Y.; HAN, B.; LI, Y. The design and realization of the packet filter firewall based onLinux. In: INTERNATIONAL CONFERENCE ON INDUSTRIAL AND INFORMATIONSYSTEMS, 9., Haikou, 2009.Proceedings...Washington, DC: IEEE Computer Society, 2009.
FREITAS, M. A. S.Fundamentos do gerenciamento de serviços de TI. São Paulo: Brasport,2010.
GALSTAD, E. Nagios NRPE documentation. New York: Host Master, 2007. Disponível em:<http://nagios.sourceforge.net/docs/nrpe/NRPE.pdf>. Acesso em: 12 abr. 2013.
GALSTAD, E.Nagios NRPE documentation. Saint Paul: Nagios Enterprises, 2010. Disponível
REFERÊNCIAS 139
em:<http://www.nagios.org/documentation>. Acesso em: 12 abr. 2013.
GANDI, S. Portal GNU. Boston: Gandi SAS, 1996. Disponível em:<www.gnu.org/licenses/gpl.html>. Acesso em: 25 mar. 2012.
HAT, R. Fedora. Raleigh: Red Hat., 2004. Disponível em:<http://fedoraproject.org/>. Acessoem: 10 mar. 2013.
HUSCH, A.Nagvis documentation. Pruemzurlay: Andreas Husch, 2010. Disponível em:<http://www.nagvis.org/doc>. Acesso em: 12 abr. 2013.
ISTEAM, M. Mandriva. Paris: Mandriva ISTeam, 2000. Disponível em:<http://www.mandriva.com>. Acesso em: 10 mar. 2012.
JARGAS, A. M.Shell script profissional. Joinville: Novatec, 2008.
JONES, M. T.Anatomia do kernel Linux: histórico e decomposição arquitetural. Armonk:IBM, 2007. Disponível em:<http://www.ibm.com/developerworks/br/library/l-linux-kernel/#author1>. Acesso em: 14 maio 2012.
KASPER, M. M0n0wall. Switzerland: Kasper Manuel, 2012. Disponível em:<http://m0n0.ch/wall/>. Acesso em: 14 abr. 2013.
LOBO, J.; MARCHI, M.; PROVETTI, A. Firewall configuration policies for the specificationand implementation of private zones. In: IEEE INTERNATIONAL SYMPOSIUM ONPOLICIES FOR DISTRIBUTED SYSTEMS AND NETWORKS (POLICY), 13., Carolina doNorte, 2012.Proceedings...Washington, DC: IEEE Computer Society, 2012.
MACHADO, F. B.; MAIA, L. P. Arquitetura de sistemas operacionais. 4. ed. Rio de Janeiro:LTC, 2007.
MAGALHÃES, I. L. M.; PINHEIRO, W. B.Gerenciamento de serviços de TI na prática. SãoPaulo: Novatec, 2007.
MANNING, L.; MORREL, R. SMOOTWALL: Open source community. Leeds: ASCIOTechnologies, 2012. Disponível em:<http://www.smoothwall.org/>. Acesso em: 22 jul. 2013.
MARCELO, A. Firewalls em Linux. [S.l.]: Brasport, 2003.
MAURO, D. R.; SCHMIDT, K. J.Essential SNMP. 2. ed. Sebastopol: O Reilly & Associates,2005.
NETO, U.Dominando Linux firewall iptables. Rio de Janeiro: Ciencia Moderna, 2004.
OETIKER, T.MRTG: the multi router traffic grapher. Olten: Zaucker Fritz, 2006. Disponívelem:<http://oss.oetiker.ch/mrtg/index.html>. Acesso em: 09 fev. 2012.
PURDY, G. N.Linux iptables pocket reference. New York: O’Reilly Media, 2004.
RFC1157.RFC 1157: simple network management protocol (SNMP). Flossmoor: Advameg,2009. Disponível em:<http://www.faqs.org/rfcs/rfc1157.html>. Acesso em: 25 maio 2013.
REFERÊNCIAS 140
SMART UNION. Consultoria e soluções em tecnologia Ltda.São Paulo: Smart Union, 2012.Disponível em:<http://www.smartunion.com.br/>. Acesso em: 12 abr. 2013.
SOULA, J. M. F.Gerenciamento de serviços de tecnologia da informação: teoria e prática.[S.l.]: São Paulo, 2013.
SOUZA, L. B. d.Redes de computadores: guia total. São Paulo: [s.n.], 2009.
SQUID-CACHE. Squid-cache. Moscow: Duane Wessels, 2013. Disponível em:<http://www.squid-cache.org/>. Acesso em: 20 ago. 2013.
TANENBAUM, A. Redes de computadores. 5. ed. São Paulo: Campus, 2011.
TUCOWS.The PHP group. Cary: TUCOWS, 2013. Disponível em:<http://www.php.net/>.Acesso em: 12 abr. 2013.
UBUNTU. Portal Ubuntu. São Paulo: Canonical, 2004. Disponível em:<http://www.ubuntu-br.org/>. Acesso em: 14 abr. 2013.
URBAN, T. Cacti: the complete rrdtool-based graphing solution. Ann Arbor:Cacti, 2013.Disponível em:<http://www.cacti.net/>. Acesso em: 10 maio 2013.
VALLAZZA, R. Project endian firewall. Appiano: Network Solutions, 2004. Disponível em:<http://www.endian.com>. Acesso em: 10 mar. 2013.
VOLKOV, P.; WIEERS, D.; GANGITANO, L.; SANTOS, V. H. d.; MICHEL, H.;REDOSCHI, M.Squid analysis report generator. New York: TUCOWS, 2009. Disponível em:<http://sarg.sourceforge.net/>. Acesso em: 10 mar. 2012.
Recommended