SlideShare una empresa de Scribd logo

Tcc rss guilherme e vandro

Luciana Falcão
Luciana Falcão
1 de 14
Descargar para leer sin conexión
Implantação de uma Intranet na empresa Informática S.A Guilherme Simões Lima, Vandro Borges Pós Graduação em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, maio de 2009 Resumo Este trabalho tem a finalidade de apresentar os procedimentos e tecnologias utilizadas para a implantação de uma intranet totalmente funcional na empresa Informática S.A. Essa intranet foi o resultado dos estudos realizados durante todo o curso de pós- graduação que nos deu a base necessária para implementar todo o ambiente de rede que hoje é utilizado na empresa. Cada serviço de rede presente nesta intranet foi utilizado baseado na necessidade dos funcionários e clientes da empresa de modo que houvesse uma integração mais eficiente entre eles. 1 Introdução. Uma intranet pode ser definida como um conjunto de serviços de rede que atendem a uma rede privada (rede particular de uma organização). Assim como a internet, uma intranet oferece diversos serviços tais como: acesso a web sites, e-mails, chat online, download de arquivos e etc. A diferença está na autorização de acesso a estes serviços. Enquanto na internet o acesso é público, na intranet o acesso é exclusivo da empresa, onde os níveis de permissões de cada acesso são definidos com base na hierarquia (organograma) da empresa, comumente dividida em departamentos. Além de fornecer serviços, a intranet possui um caráter de organização, padronizando e criando políticas sobre a correta utilização dos equipamentos disponibilizados pela empresa. Outro fator muito importante é a segurança. Uma intranet deve ser capaz de implementar procedimentos de segurança para que a integridade de seus sistemas (e arquivos) não seja prejudicada devido a um acesso indevido, que pode partir de dentro da própria intranet ou mesmo da internet. Atualmente existem dois servidores na empresa informática S.A que garantem o ambiente da intranet em questão. Os Sistemas Operacionais utilizados foram o Microsoft Windows Server 2003 e o Linux Debian Etch 4.0. Esses servidores são responsáveis por garantir os seguintes serviços: servidor de arquivos/impressão, acesso web, web proxy, DNS (resolução de nomes), firewall, e-mail, Banco de Dados (MYSQL), CFTV, FTP, SSH, QoS, acesso remoto (via WTS), XMPP e VPN. O objetivo deste trabalho é mostrar como alguns destes serviços foram implantados na empresa levando em consideração as várias tecnologias existentes hoje no mercado, bem como o motivo que nos levou a utilizar uma determinada tecnologia em detrimento de outra. Este trabalho possui a seguinte organização. Na seção 2 descrevemos a topologia da
rede e disposição física dos equipamentos. Na seção 3 descrevemos os serviços de rede proporcionados pelo servidor Linux Debian Etch 4.0 (codinome “Thunder”). Resolvemos falar de alguns dos serviços mais importantes que o compõe. Na seção 4 falaremos um pouco sobre os serviços de rede proporcionados pelo servidor Microsoft Windows 2003 (codinome “Titan”), que, juntamente com o servidor “Thunder” são responsáveis pelo ambiente da intranet. Na seção 5, por fim, apresentamos a conclusão sobre o trabalho. 2 Topologia da Rede. A rede na empresa Informática S.A foi definida com base na figura 1 abaixo. Essa rede é composta basicamente por um link ADSL de 2MB fornecido pela operadora Brasil Telecom com o ip fixo (válido) 187.5.19.192 (domínio informaticasa.com.br). O servidor Linux Debian Etch 4.0 (codinome “Thunder”) é responsável pelo roteamento da rede interna, criando uma segunda faixa de endereçamento ip que será fornecida para as estações de trabalho, para o servidor Windows Server 2003 (codinome “Titan”) para o servidor de câmeras (CFTV) e para os servidores de impressão. A faixa de ip atribuída à rede interna pelo servidor “Thunder” é distribuída através de um Switch Micronet 10/100 de 24 portas (gerenciável). Figura 1: Topologia da Intranet na empresa Informática S.A 2.1 Endereçamento da Rede. O servidor “Thunder” possui duas interfaces de rede, de modo que ele opera tanto na classe de endereçamento do modem ADSL (D-link), quanto na classe de endereçamento da rede interna. Dessa maneira foi possível segmentar a rede em duas faixas diferentes. Além da organização, a segmentação em redes distintas é importante, pois provê um mecanismo de segurança realizando o “mascaramento” da conexão protegendo a rede interna. Abaixo apresentamos um resumo do endereçamento ip que foi definido na empresa.
Servidor Thunder (Linux Debian Etch 4.0) Rede IP Máscara Gateway DNS 10.1.1.0 10.1.1.3 /8 10.1.1.1 localhost 192.168.254.0 192.168.254.254 /24 10.1.1.1 localhost Servidor Titan (Microsoft Windows Server 2003) IP Máscara Gateway DNS1 DNS2 192.168.254.100 /24 192.168.254.254 localhost 192.168.254.254 Servidor de Câmeras (CFTV) IP Máscara Gateway DNS1 DNS2 192.168.254.100 /24 192.168.254.254 192.168.254.100 192.168.254.254 Servidor de Impressão 1 IP Máscara Gateway DNS1 DNS2 192.168.254.253 /24 192.168.254.254 192.168.254.100 192.168.254.254 Servidor de Impressão 2 IP Máscara Gateway DNS1 DNS2 192.168.254.252 /24 192.168.254.254 192.168.254.100 192.168.254.254 Estações de Trabalho IP Máscara Gateway DNS1 DNS2 192.168.254.* (1 - 253) /24 192.168.254.254 192.168.254.100 192.168.254.254 3 Servidor Thunder (Linux Debian Etch 4.0). O Servidor thunder, é na verdade, um conjunto de servidores que atualmente funcionam no mesmo hardware. Os principais serviços são: servidor de nomes (DNS), servidor de e-mail, servidor web proxy, servidor web, servidor FTP, servidor SSH e Firewall. A seguir detalharemos o processo de configuração destes serviços. 3.1 Servidor DNS (Domain Name Server). Existem dois servidores DNS implantados, um externo e um interno. O servidor de nomes interno é responsável pelas consultas de nomes (caching) que são feitas pelas estações de trabalho para endereços externos e internos. Para isso foi utilizado o daemon bind (servidor DNS para Linux). Naturalmente o servidor escuta na porta UDP 53 e as estações de trabalho são configuradas para apontar o DNS para o ip 192.168.254.254. O servidor de nomes externo é utilizado para resolução de nomes a partir de um host externo com destino à nossa rede, com a finalidade de resolver para os domínios hospedados no servidor. Isso significa que tanto a consulta direta e reversa dos nomes são “resolvidos” por esse servidor externo. Atualmente existem três domínios hospedados no servidor Thunder, são eles: informaticasa.com.br (principal), tecredes.com.br e oappr.com.br. Para a implantação do servidor de nomes externo foi utilizada uma ferramenta gratuita
oferecida pelo zoneedit [1]. Essa ferramenta nada mais é do que um servidor de nomes com as mesmas opções do daemon bind sendo configurado pelo browser. Após efetuar o cadastro, o usuário pode logar-se em sua conta e configurar o seu servidor de acordo com as suas necessidades (figura 2 e figura 3 abaixo). Figura 2 – Editando as zonas pelo Zoneedit. Figura 3 – Configurando um domínio. Essa ferramenta foi utilizada após problemas que encontramos para atribuir os servidores de nomes aos nossos domínios registrados. Como o registro.br (site do comitê gestor da internet no brasil – CGI.br) solicita dois servidores de nomes distintos (ns1 e ns2 para master e slave respectivamente) achamos viável a utilização do zoneedit. O zoneedit oferece gratuitamente dois servidores de nomes (master e slave) que são necessários para serem delegados no registro.br, para que assim, o domínio possa ser publicado com sucesso. Até cinco zonas (domínios) podem ser configuradas gratuitamente. A configuração é simples e rápida. Em apenas um minuto as modificações serão armazenadas e o zoneedit disponibilizará dois servidores para serem atribuídos ao seu domínio no registro.br (figura 4).
Figura 4 – Configuração da zona informaticasa.com.br. Isso significa que ns15.zoneedit.com (master) e ns9.zoneedit.com (slave) serão encarregados de resolver o domínio informaticasa.com.br que corresponde ao ip fixo 187.5.19.192. A configuração desse serviço é de extrema importância para o funcionamento de serviços como servidor web e servidor de e-mail. 3.1.1 DNS Reverso. O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS [5]. Para a configuração do DNS reverso foi necessário entrar em contado com a operadora que nos fornece o serviço de internet, no caso, a Brasil Telecom (www.brasiltelecom.com.br). Para testar as configurações, utilizamos o comando nslookup e o comando ping. Non-authoritative answer: 192.19.5.187.in-addr.arpa name = mail.informaticasa.com.br. PING www.informaticasa.com.br (187.5.19.192) 56(84) bytes of data. 64 bytes from mail.informaticasa.com.br (187.5.19.192): icmp_seq=1 ttl=56 time=33.1 ms 64 bytes from mail.informaticasa.com.br (187.5.19.192): icmp_seq=2 ttl=56
3.2 Servidor Web. Atualmente estamos utilizando a versão 2.2.3 do Apache Web Server (http://www.apache.org). Ele está configurado com múltiplos hosts (virtual hosts) para atender todos os domínios hospedados em nosso servidor. Isso significa que o servidor é capaz de hospedar vários domínios diferentes que possuem o mesmo ip de destino, onde todos eles são acessados através da porta padrão TCP 80. Além disso, o servidor possui suporte a conexão com banco de dados (Mysql 5.0), possui o módulo OpenSSL (para conexão segura do webmail) e possui suporte a PHP5.2. 3.3 Servidor WebProxy Cache. O conceito de proxy refere-se a um software que atua como gateway de aplicação entre o cliente e o serviço a ser acessado, interpretando as requisições e repassando-as ao servidor de destino [2]. A utilização deste software é de extrema importância, pois através dele é possível criar políticas de acesso à internet dentro da empresa, restringindo um determinado acesso considerado indevido, além da economia de banda proporcionada pelo cache. O WebProxy utilizado foi o já bastante difundido squid, (http://www.squid-cache.org) pela sua facilidade de configuração e pela vasta documentação existente. Atualmente optamos pela utilização da versão 2.5 STABLE 12. Alguns outros plugins foram adicionados ao squid para gerar maior controle, fornecer estatísticas e gerar mecanismos de auditoria. 3.3.1 Filtro de Conteúdo. O filtro de conteúdo é uma importante ferramenta que ao invés de trabalhar apenas com bloqueio de palavras utiliza o conceito de bloqueio por perfil de acesso. Podemos exemplificar um perfil de acesso como, por exemplo, o de sites pornográficos. Seria inviável para qualquer administrador de rede, bloquear cada site pornográfico com base apenas no seu nome. Isso seria demasiadamente custoso visto que existem milhões de sites pornográficos em todo o mundo e milhares que são criados todos os dias. Primeiramente é criado um modelo (perfil) do acesso proibido com base em palavras- chave comuns a este perfil. O segundo passo é bloquear este perfil. Quando o usuário faz uma requisição a uma página web, o servidor primeiramente faz uma análise do conteúdo do site. Com base em palavras-chave e frases pontuadas contidas em seu banco de dados, o servidor determina se o site acessado possui ou não palavras proibidas. Se a quantidade de palavras proibidas ultrapassarem o limite permitido, o site é automaticamente bloqueado e uma mensagem de erro informará ao usuário do ocorrido. Para utilizar essa solução foi implantada uma ferramenta chamada DansGuardian que funciona juntamente com o squid. O DansGuardian é uma premiada ferramenta open-source para filtro de conteúdo web, este permite obter uma grande flexibilidade pois oferece recursos como comparação de palavras, expressões regulares e substituição de palavras. Todos esses recursos associados ao webproxy squid permitem a criação de um controle de alto nível totalmente personalizado [2]. Atualmente utilizamos dois bloqueios de perfil de acesso. O bloqueio de perfil pornográfico, e o bloqueio por perfil de proxy. O perfil de proxy tem como objetivo bloquear os sites destinados a burlar a utilização do webproxy. Com esses dois perfis bloqueados, juntamente com bloqueios individuais realizados sob urls específicas e o acompanhamento através de relatórios de acesso pudemos obter um resultado expressivo com relação aos acessos indevidos.
3.3.2 Relatórios. Os relatórios possuem uma importância vital para os administradores de rede da empresa, pois através dele é possível obter várias informações técnicas a respeito do acesso à internet. Utilizamos para esse fim, três plugins para o webproxy squid. São eles: Sarg, Calamaris e Squid-Graph. 3.3.3 SARG. O Squid Analysis Report Generator (SARG - http://sarg.sourceforge.net) é uma ferramenta open-source brasileira bastante conhecida, utilizada para auditar o acesso a internet de seus usuários Esses relatórios são gerados automaticamente todos os dias e são disponibilizados para o administrador. Nele estão contidas as seguintes informações: estação de trabalho e site acessado, tempo de permanência no site, quantidade de vezes que o usuário acessou o site e o tempo total que o usuário permaneceu na internet e a tentativa de acessar um site bloqueado. 3.3.4 Calamaris. Assim como o sarg, o calamaris fornece várias informações de auditoria, porém as informações geradas por ele possuem um caráter genérico disponibilizando várias estatísticas sobre o comportamento do webproxy. Veja na figura 3 abaixo. Figura 5: Relatório gerado pelo Calamaris.
3.3.5 Squid-Graph. O squid-graph utiliza as informações contidas nos arquivos de log do webproxy para montar um relatório gráfico sobre o tráfego gerado pelo squid. Bastante útil, pois com ele é possível analisar o consumo de banda da rede, sabendo exatamente o total de transferências efetuadas, sendo disponibilizada em intervalos de 5 minutos. Veja na figura 6 abaixo Figura 6: Squid-Graph 3.4 MSN-Proxy. O msn-messenger é uma excelente ferramenta de comunicação, que pode ser muito útil no ambiente de trabalho. Muito popular, várias empresas inclusive já o adotam como uma das formas de contato oficial com seus clientes/distribuidores. O grande problema é quando o seu foco é desviado para uma utilização que não condiz com o escopo de trabalho definido pela empresa. Conversas particulares com amigos, por exemplo, desviam a atenção do funcionário tornando-o improdutivo. Por esse motivo foi implantada uma ferramenta chamada MSN-Proxy (http://sourceforge.net/projects/msn-proxy/) que tem a finalidade de monitorar o msn, gravando as conversas com auxílio do banco de dados Mysql. Esta ferramenta é bastante flexível, pois permite ao administrador acompanhar em tempo real quais usuários estão logados no msn-messenger, acompanhar as conversas (chats), bloquear funcionalidades como: envio de arquivos, imagens, pedidos de atenção, winks e contatos. Também é possível ao administrador avisar aos usuários que o msn dentro da empresa está sendo monitorado. Além disso, é possível bloquear as diversas versões existentes do msn com a finalidade de manter um padrão dentro da empresa (figura 7):
Figura 7: Tela inicial do MSN-Proxy 3.5 Firewall. Apesar de não existir uma solução 100% eficaz contra ameaças, ataques e invasões, um firewall bem construído hoje em dia é essencial para a segurança de uma empresa. Existem diversas soluções em firewall no mercado, como por exemplo, produtos da CheckPoint (http://www.checkpoint.com/) e Sonicwall (http://www.sonicwall.com/br/) que são robustos porém muito caros. O iptables é hoje considerado uma solução de firewall (na verdade o iptables é considerado um filtro de pacotes juntamente com a função de NAT sendo ele um firewall statefull) open source bastante segura. O iptables, conforme dito acima, trata-se na verdade de uma ferramenta Front-End para lhe permitir manipular as tabelas Netfilter, embora o mesmo seja constantemente confundido com um firewall por si só [3]. Por estas razões temos implementado um conjunto de regras que visa a segurança, tanto da rede interna (FORWARD) como dos acessos externos que visam a entrada do próprio servidor (INPUT). Abaixo está descrito quais serviços e conexões podem ser realizadas a partir de qualquer estação de trabalho. Acessos liberados a partir da rede interna (chain forward) Email (SMTP e POP3) Protocolo XMPP (Jabber) FTP (File Transfer Protocol) SSH (Secure Shell) Conexão Remota (WTS) MSN Internet (porta 8081) – Inclui os protocolos HTTP e HTTPS Consultas DNS Tráfego VOIP Porta 9091 (Administração do protocolo XMPP) Porta 443 (Acesso web seguro sem proxy – Apenas para máquinas de clientes e chefes de departamento).
Porta 80 (Acesso web sem proxy - Apenas para máquinas de clientes e chefes de departamento) Acessos e portas liberadas para estabelecimento de conexão no servidor (chain input). E-mail (SMTP, POP3, IMAP) Spamassassin (TCP 783) Squid (TCP 3128) DansGuardian (TCP 8081) XMPP (TCP 5222 – Segura) HTTP (TCP 80) HTTPS (TCP 443) FTP (TCP 21) SSH (TCP 22) DNS (UDP 53) Mysql (TCP 3306). 3.6 E-mail. Após muito tempo utilizando um serviço de e-mail pago, decidimos nos aventurar na instalação, configuração e manutenção de um servidor de e-mail open source. Começamos a estudar o QuickMail (qmail – http://www.qmail.org). Constatamos a facilidade na configuração e gerenciamento do Qmail com relação a concorrentes já consagrados como Postfix e Sendmail, além de ser seguro e rápido. Por essas razões decidimos utilizar o qmail como MTA. A nossa idéia foi implantar um sistema de serviço de e-mail que atendesse os seguintes requisitos: serviços de correio – SMTP (MTA) / POP3 (MDA) / IMAP (MDA), um painel de controle para a gerência das contas de usuário via web, um webmail para acesso e a possibilidade da utilização do Microsoft Outlook como MUA. O qmail possui uma solução completa de MTA e MDA no mesmo pacote o que facilitou bastante todo o processo de implantação. Para o MDA, utilizamos o vpopmail. Bastante fácil de configurar ele possui suporte a domínios virtuais (que é o nosso caso) e é totalmente compatível com o MTA qmail. Para facilitar a administração destes domínios virtuais utilizamos uma interface web chamada qmailadmin (figura 7 abaixo) Figura 7 – Administração das contas no qmail.
Com o ambiente em produção juntamente com o DNS direto e reverso funcionando corretamente somos capazes de enviar e-mails para qualquer domínio na internet. Exemplo: @4000000049fb3844003d60e4 starting delivery 7450: msg 98627 to remote jamhour@ppgia.pucpr.br @4000000049fb3844003d68b4 status: local 0/10 remote 1/255 @4000000049fb3851387d633c delivery 7450: success: 200.192.112.141_accepted_message./Remote_host_said:_250_OK_id=1Lzwxf-0005Qt-OW/ @4000000049fb3851387d76c4 status: local 0/10 remote 0/255 @4000000049fb3851387d7aac end msg 98627 A mensagem partiu de nosso webmail que está disponível através da url segura https://mail.informaticasa.com.br. Foi utilizado foi o Squirrelmail 1.4.16 (http://squirrelmail.org/). Veja abaixo, na figura 8. Figura 8: Webmail 3.6.1 Spam e Anti-Vírus. Administrar um servidor de e-mail sem suporte de alguma ferramenta anti-spam e anti-vírus seria abrir completamente as portas para os spammers proliferarem seus spams e vírus. Dessa maneira o qmail utiliza uma ferramenta chamada qmail-scanner. Essa ferramenta tem a função de analisar cada e-mail que entra e sai de qualquer host da rede e aplicar regras sobre as mensagens, classificando-as de acordo com regras estabelecidas. Essas regras definem se as mensagens estão limpas (clean) ou possui alguma irregularidade, ou seja, se é um spam e/ou vírus.
Entretanto o qmail-scanner apenas libera ou não a mensagem. A classificação propriamente dita é dada por algum software anti-spam e anti-vírus. Para anti-spam utilizamos uma ferramenta chamada Spamassassin (http://spamassassin.apache.org/). Ele funciona de maneira semelhante ao software DansGuardian, classificando as mensagens em spams ou não de acordo com uma base de dados que pode ser atualizada constantemente. Uma ferramenta interessante do spamassassin é a possibilidade do software “aprender” com o usuário. Para isso, nós disponibilizamos o endereço spam@informaticasa.com.br onde o usuário envia os e-mails “suspeitos”. O Spamassassin lê os e-mails que chegam a esta conta e os adiciona em sua base de dados de spam. Para anti-vírus, utilizamos o Clamav (http://www.clamav.net/). Sua base de dados de novas assinaturas de vírus é atualizada todos os dias. Em resumo podemos dizer que o qmail-scanner só libera um e-mail se tiver a aprovação das duas ferramentas citadas acima. Todos os dias o qmail-scanner envia automaticamente por e-mail um relatório ao administrador contendo várias informações sobre o serviço de e-mail. Como exemplo, mostramos abaixo as mensagens geradas sobre um spam e um vírus detectado Exemplo 1: O qmail-scanner informa a quantidade de Spam detectados no servidor de e-mail em um dia. SPAM deleted (msgs): 1565 SPAM detected (msgs): 0 SPAM quarantined (msgs): 0 SPAM rejected (msgs): 0 Exemplo 2: Um exemplo de vírus capturado pelo Clamav e informado pelo qmail-scanner Attention: c_nw@photos.yahoo.com A virus was found in an Email message you sent. This Email scanner intercepted it and stopped the entire message reaching its destination. The virus was reported to be: Worm.Bagle.BB-gen É importante frisar que mesmo com as ferramentas funcionando corretamente não é possível obter 100% de eficácia no combate ao spam. A criação de uma política interna de utilização de e-mais explicando e determinando aos usuários que cumpram as regras é vital para o combate ao spam. Muitas das políticas e procedimentos que estamos adotando, estão sendo baseadas no documento de Chris Hardie [4]. 4 Servidor Titan (Microsoft Windows Server 2003). O servidor “Titan” é responsável pela autenticação dos usuários e pelas políticas de segurança local de cada estação de trabalho, tais como restrições no acesso a determinadas funcionalidades do sistema operacional. Isso é importante para padronização das máquinas da empresa e limitar o acesso a configurações específicas do sistema operacional. Com a utilização do AD (Active Directory), ferramenta de diretório pode-se criar
níveis de acessos e comunidades organizacionais, aplicando políticas e implementando compartilhamentos conforme as próprias unidades organizacionais são criadas, facilitando a gerencia de usuários e de grupos de usuários [6]. Além destas funcionalidades, o servidor Titan desempenha a função de servidor de arquivos, onde cada usuário possui pastas e documentos com permissões distintas de acesso a cada compartilhamento (diretório ou árvore de diretórios) no servidor. Cada usuário possui cotas de espaço em disco e este espaço destinado aos usuários são “limpos” através de um script que compara os arquivos desnecessários e possíveis arquivos que não condizem com a política da empresa, preservando informações relevantes e deletando as que ocupam espaço não essencial [6]. As permissões de acesso foram definidas pelo administrador de rede com base na hierarquia da empresa, onde, por exemplo, um funcionário não pode ter acesso a documentos do chefe de um setor ou mesmo acesso a documentos confidenciais de outro funcionário, a não ser que os dois possuam as mesmas permissões de acesso ao arquivo em questão. Com a ferramenta de GPO (group police manager) é possível aplicar políticas de restrição de acesso a locais de configuração do sistema operacional e local da estação de trabalho do usuário, evitando que o mesmo possa fazer mal uso do sistema. Além disso, é possível manter a padronização de papeis de paredes e acesso a determinados locais do sistema operacional. Essa ferramenta depois de implementada, facilita a administração favorecendo e criando padrões de usuários que garantem que a necessidade de formatações seja praticamente nula ou zero. O servidor Titan também é responsável pela infra-estrutura necessária para que cada máquina tenha acesso ao sistema interno de automação da empresa (sistema da loja) além de controlar a fila de impressão do servidor de impressão. O sistema de backup do Windows Server 2003 (ntbackup) é uma ferramenta leve e prática, de fácil uso e bem eficiente podendo implementar soluções de backup do sistema operacional e de partes do sistema que são vitais. A ferramenta ainda possui várias funções de implementação de backup como backup diferencial, backup incremental e backup total. Ainda é possível agendar estes backups de forma semanal, diário entre outras. A restauração do backup também é bem tranqüila e rápida não sendo necessário um especialista para desempenhar tal função [6]. Esta ferramenta de backup por ser nativa do próprio sistema operacional nos traz uma resposta positiva quanto a custo com ferramentas de terceiros, pois oferece recursos eficazes e não há investimentos com compras de softwares, licenciamento de uso e homologação do produto, sendo assim mais fácil e com certeza mais barato a sua implementação. 5 Conclusão. Este trabalho teve a finalidade de apresentar os serviços de rede que são utilizados hoje na empresa Informática S.A, que juntos formam a estrutura da intranet da empresa. Os softwares foram escolhidos com base na facilidade de configuração e manutenção, sendo implantados nos sistemas operacionais Microsoft Windows 2003 Server e Linux Debian ETCH 4.0. Com a implantação desta intranet foi possível colocar em prática vários assuntos que foram ministrados pelos professores durante o curso de pós-graduação dando ênfase à segurança dos serviços disponibilizados. Como uma empresa prestadora de serviços de informática nos foi vital a implantação destes serviços em nosso próprio ambiente de rede como para termos condições de oferecê- los aos clientes, garantindo confiabilidade e prezando a segurança.
6 Bibliografia. [1] Zoneedit. The industry standard in internet domain name management. Acessado em Abril de 2009. Disponível em: http://www.zoneedit.com. [2] Ricci, Bruno. Mendonça Nelson. Squid: Solução Definitiva.2006. Editora Ciência Moderna, Rio de Janeiro [3] Neto, Urubatan. Dominando Linux Firewall Iptables. 2004. Editora Ciência Moderna, Rio de Janeiro, 26p. [4] Chris Hardie. Qmail Anti-Spam HOWTO. Acessado em Abril de 2009. Disponível em: http://www.chrishardie.com/tech/qmail/qmail-antispam.html. [5] Guia Foca GNU/Linux. Acessado em abril de 2009. Disponível em http://focalinux.cipsga.org.br/ [6] Academias Microsoft Tech Net. Acessado em Maio de 2009. Disponível em: http://www.microsoft.com/brasil/technet/academia/default.aspx

Recomendados

Guia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresaGuia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresaSoftD Abreu
 
Conceitos associado às redes
Conceitos associado às redesConceitos associado às redes
Conceitos associado às redesAgrupamento de Escolas da Batalha
 
Sistema operativo de rede
Sistema operativo de redeSistema operativo de rede
Sistema operativo de redeAndré bogas
 
Sistemas operativos servidor
Sistemas operativos servidorSistemas operativos servidor
Sistemas operativos servidorsimoesflavio
 
Redes De Computadores Internet
Redes De Computadores InternetRedes De Computadores Internet
Redes De Computadores InternetMario Bittencourt
 
funcionamento da internet
funcionamento da internetfuncionamento da internet
funcionamento da internetMarco Pinheiro
 
Redes de computadores 2 - Protocolos
Redes de computadores 2 - ProtocolosRedes de computadores 2 - Protocolos
Redes de computadores 2 - ProtocolosJosé Ronaldo Trajano
 
Redes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos GeraisRedes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos GeraisJosé Ronaldo Trajano
 

Recomendados

Guia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresaGuia de configuração de um servidor linux para utilização em uma pequena empresa
Guia de configuração de um servidor linux para utilização em uma pequena empresaSoftD Abreu
 
Conceitos associado às redes
Conceitos associado às redesConceitos associado às redes
Conceitos associado às redesAgrupamento de Escolas da Batalha
 
Sistema operativo de rede
Sistema operativo de redeSistema operativo de rede
Sistema operativo de redeAndré bogas
 
Sistemas operativos servidor
Sistemas operativos servidorSistemas operativos servidor
Sistemas operativos servidorsimoesflavio
 
Redes De Computadores Internet
Redes De Computadores InternetRedes De Computadores Internet
Redes De Computadores InternetMario Bittencourt
 
funcionamento da internet
funcionamento da internetfuncionamento da internet
funcionamento da internetMarco Pinheiro
 
Redes de computadores 2 - Protocolos
Redes de computadores 2 - ProtocolosRedes de computadores 2 - Protocolos
Redes de computadores 2 - ProtocolosJosé Ronaldo Trajano
 
Redes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos GeraisRedes de computadores 1 - Conceitos Gerais
Redes de computadores 1 - Conceitos GeraisJosé Ronaldo Trajano
 
NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)
NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)
NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)Ministério Público da Paraíba
 
Tutorial completo montando uma lan house
Tutorial completo montando uma lan houseTutorial completo montando uma lan house
Tutorial completo montando uma lan housejulioblogger
 
Redes e Servidores
Redes e ServidoresRedes e Servidores
Redes e Servidores0711199746bb55
 
Protocolo FTP e DNS
Protocolo FTP e DNSProtocolo FTP e DNS
Protocolo FTP e DNSMarcos Pessoa
 
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"Ponce Edition
 
Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1SoftD Abreu
 
Configuracao liberar portas_pp_po_edslink260e
Configuracao liberar portas_pp_po_edslink260eConfiguracao liberar portas_pp_po_edslink260e
Configuracao liberar portas_pp_po_edslink260eLuiz Alberto Franco
 
Capítulo 19 camada de rede - end lógico
Capítulo 19 camada de rede - end lógicoCapítulo 19 camada de rede - end lógico
Capítulo 19 camada de rede - end lógicoFaculdade Mater Christi
 
Samba, Squid, FTP, DHCP3
Samba, Squid, FTP, DHCP3Samba, Squid, FTP, DHCP3
Samba, Squid, FTP, DHCP3SoftD Abreu
 
Vantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidoresVantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidoresTudosbinformatica .blogspot.com
 
Módulo 08 o que é tcp-ip
Módulo 08 o que é tcp-ipMódulo 08 o que é tcp-ip
Módulo 08 o que é tcp-ipMarília Simões
 
NAT - Windows Server 2003 (Adição de nova conexão)
NAT - Windows Server 2003 (Adição de nova conexão)NAT - Windows Server 2003 (Adição de nova conexão)
NAT - Windows Server 2003 (Adição de nova conexão)Ministério Público da Paraíba
 
O que é necessário para montar uma lan house
O que é necessário para montar uma lan houseO que é necessário para montar uma lan house
O que é necessário para montar uma lan houseJease Bernardo
 
Asterisk central ipbx debian [artigo]
Asterisk central ipbx debian [artigo]Asterisk central ipbx debian [artigo]
Asterisk central ipbx debian [artigo]Carlos Melo
 
Implatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxAlvaro Gomes
 
Servidores de E-mail: Qmail, Sendmail e Postfix
Servidores de E-mail: Qmail, Sendmail e PostfixServidores de E-mail: Qmail, Sendmail e Postfix
Servidores de E-mail: Qmail, Sendmail e PostfixAlvaro Oliveira
 
Nat Mikrotik
Nat MikrotikNat Mikrotik
Nat MikrotikCelso Luiz Domingues
 
Sos final
Sos finalSos final
Sos finalWallacy Felipe De Paulo
 
projeto-manager_i_t_
projeto-manager_i_t_ projeto-manager_i_t_
projeto-manager_i_t_Adriano Silva
 
Implementandoservidordnsnowindows2003
Implementandoservidordnsnowindows2003Implementandoservidordnsnowindows2003
Implementandoservidordnsnowindows2003fernandomeschini
 
Curso de redes wi telecom.ppt
Curso de redes wi telecom.pptCurso de redes wi telecom.ppt
Curso de redes wi telecom.pptElismar Oliveira
 
722
722722
722Pelo Siro
 

Más contenido relacionado

La actualidad más candente

NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)
NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)
NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)Ministério Público da Paraíba
 
Tutorial completo montando uma lan house
Tutorial completo montando uma lan houseTutorial completo montando uma lan house
Tutorial completo montando uma lan housejulioblogger
 
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"Ponce Edition
 
Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1SoftD Abreu
 
Configuracao liberar portas_pp_po_edslink260e
Configuracao liberar portas_pp_po_edslink260eConfiguracao liberar portas_pp_po_edslink260e
Configuracao liberar portas_pp_po_edslink260eLuiz Alberto Franco
 
Capítulo 19 camada de rede - end lógico
Capítulo 19 camada de rede - end lógicoCapítulo 19 camada de rede - end lógico
Capítulo 19 camada de rede - end lógicoFaculdade Mater Christi
 
Samba, Squid, FTP, DHCP3
Samba, Squid, FTP, DHCP3Samba, Squid, FTP, DHCP3
Samba, Squid, FTP, DHCP3SoftD Abreu
 
Módulo 08 o que é tcp-ip
Módulo 08 o que é tcp-ipMódulo 08 o que é tcp-ip
Módulo 08 o que é tcp-ipMarília Simões
 
O que é necessário para montar uma lan house
O que é necessário para montar uma lan houseO que é necessário para montar uma lan house
O que é necessário para montar uma lan houseJease Bernardo
 
Asterisk central ipbx debian [artigo]
Asterisk central ipbx debian [artigo]Asterisk central ipbx debian [artigo]
Asterisk central ipbx debian [artigo]Carlos Melo
 
Implatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxAlvaro Gomes
 
Servidores de E-mail: Qmail, Sendmail e Postfix
Servidores de E-mail: Qmail, Sendmail e PostfixServidores de E-mail: Qmail, Sendmail e Postfix
Servidores de E-mail: Qmail, Sendmail e PostfixAlvaro Oliveira
 

La actualidad más candente (17)

NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)
NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)
NAT - Windows Server 2003 (Instalação com placas de rede pré-configuradas)
 
Tutorial completo montando uma lan house
Tutorial completo montando uma lan houseTutorial completo montando uma lan house
Tutorial completo montando uma lan house
 
Redes e Servidores
Redes e ServidoresRedes e Servidores
Redes e Servidores
 
Protocolo FTP e DNS
Protocolo FTP e DNSProtocolo FTP e DNS
Protocolo FTP e DNS
 
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"
Planejamento de uma Rede para uma Lan House + Custo Benefício..."AMD vs INTEL"
 
Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1Samba, Squid, FTP, DHCP1
Samba, Squid, FTP, DHCP1
 
Configuracao liberar portas_pp_po_edslink260e
Configuracao liberar portas_pp_po_edslink260eConfiguracao liberar portas_pp_po_edslink260e
Configuracao liberar portas_pp_po_edslink260e
 
Capítulo 19 camada de rede - end lógico
Capítulo 19 camada de rede - end lógicoCapítulo 19 camada de rede - end lógico
Capítulo 19 camada de rede - end lógico
 
Samba, Squid, FTP, DHCP3
Samba, Squid, FTP, DHCP3Samba, Squid, FTP, DHCP3
Samba, Squid, FTP, DHCP3
 
Vantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidoresVantagens__Desvantagens_Tipos_de_servidores
Vantagens__Desvantagens_Tipos_de_servidores
 
Módulo 08 o que é tcp-ip
Módulo 08 o que é tcp-ipMódulo 08 o que é tcp-ip
Módulo 08 o que é tcp-ip
 
NAT - Windows Server 2003 (Adição de nova conexão)
NAT - Windows Server 2003 (Adição de nova conexão)NAT - Windows Server 2003 (Adição de nova conexão)
NAT - Windows Server 2003 (Adição de nova conexão)
 
O que é necessário para montar uma lan house
O que é necessário para montar uma lan houseO que é necessário para montar uma lan house
O que é necessário para montar uma lan house
 
Asterisk central ipbx debian [artigo]
Asterisk central ipbx debian [artigo]Asterisk central ipbx debian [artigo]
Asterisk central ipbx debian [artigo]
 
Implatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com LinuxImplatação de Sistemas de Segurança com Linux
Implatação de Sistemas de Segurança com Linux
 
Servidores de E-mail: Qmail, Sendmail e Postfix
Servidores de E-mail: Qmail, Sendmail e PostfixServidores de E-mail: Qmail, Sendmail e Postfix
Servidores de E-mail: Qmail, Sendmail e Postfix
 
Nat Mikrotik
Nat MikrotikNat Mikrotik
Nat Mikrotik
 

Similar a Tcc rss guilherme e vandro

projeto-manager_i_t_
projeto-manager_i_t_ projeto-manager_i_t_
projeto-manager_i_t_Adriano Silva
 
Implementandoservidordnsnowindows2003
Implementandoservidordnsnowindows2003Implementandoservidordnsnowindows2003
Implementandoservidordnsnowindows2003fernandomeschini
 
Curso de redes wi telecom.ppt
Curso de redes wi telecom.pptCurso de redes wi telecom.ppt
Curso de redes wi telecom.pptElismar Oliveira
 
Sistemas operacionais arquitetura proprietários ui
Sistemas operacionais arquitetura proprietários uiSistemas operacionais arquitetura proprietários ui
Sistemas operacionais arquitetura proprietários uiJoão Freire Abramowicz
 
Introdução ao windows server
Introdução ao windows serverIntrodução ao windows server
Introdução ao windows serverGuiTelmoRicardo
 
Servidores Virtuais
Servidores VirtuaisServidores Virtuais
Servidores VirtuaisDiego Zilli
 
S.o. windows server2008
S.o. windows server2008S.o. windows server2008
S.o. windows server2008teacherpereira
 
Sistema Operacional - Aula006
Sistema Operacional - Aula006Sistema Operacional - Aula006
Sistema Operacional - Aula006Cláudio Amaral
 
Configuracao liberar portas_pp_po_e
Configuracao liberar portas_pp_po_eConfiguracao liberar portas_pp_po_e
Configuracao liberar portas_pp_po_eSilvio Smith
 
Windows 2003 guia_completo
Windows 2003 guia_completoWindows 2003 guia_completo
Windows 2003 guia_completocleanrail
 
Configurando rede local
Configurando rede localConfigurando rede local
Configurando rede localFelipe Pereira
 
Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011Carlos Melo
 
Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003andrefrois2
 
Instalação do Windows Server 2003
Instalação do Windows Server 2003Instalação do Windows Server 2003
Instalação do Windows Server 2003andrefrois2
 
Cluster de Alta disponibilidade
Cluster de Alta disponibilidadeCluster de Alta disponibilidade
Cluster de Alta disponibilidadeMarcelo Garcia
 

Similar a Tcc rss guilherme e vandro (20)

Sos final
Sos finalSos final
Sos final
 
projeto-manager_i_t_
projeto-manager_i_t_ projeto-manager_i_t_
projeto-manager_i_t_
 
Implementandoservidordnsnowindows2003
Implementandoservidordnsnowindows2003Implementandoservidordnsnowindows2003
Implementandoservidordnsnowindows2003
 
Curso de redes wi telecom.ppt
Curso de redes wi telecom.pptCurso de redes wi telecom.ppt
Curso de redes wi telecom.ppt
 
722
722722
722
 
Sistemas operacionais arquitetura proprietários ui
Sistemas operacionais arquitetura proprietários uiSistemas operacionais arquitetura proprietários ui
Sistemas operacionais arquitetura proprietários ui
 
Linux ad
Linux adLinux ad
Linux ad
 
Jorge conceitos internet
Jorge conceitos internetJorge conceitos internet
Jorge conceitos internet
 
Introdução ao windows server
Introdução ao windows serverIntrodução ao windows server
Introdução ao windows server
 
Servidores Virtuais
Servidores VirtuaisServidores Virtuais
Servidores Virtuais
 
S.o. windows server2008
S.o. windows server2008S.o. windows server2008
S.o. windows server2008
 
Sistema Operacional - Aula006
Sistema Operacional - Aula006Sistema Operacional - Aula006
Sistema Operacional - Aula006
 
Dynamips, Dynagen e GNS3
Dynamips, Dynagen e GNS3Dynamips, Dynagen e GNS3
Dynamips, Dynagen e GNS3
 
Configuracao liberar portas_pp_po_e
Configuracao liberar portas_pp_po_eConfiguracao liberar portas_pp_po_e
Configuracao liberar portas_pp_po_e
 
Windows 2003 guia_completo
Windows 2003 guia_completoWindows 2003 guia_completo
Windows 2003 guia_completo
 
Configurando rede local
Configurando rede localConfigurando rede local
Configurando rede local
 
Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011Prova sistemaso redes1-1-red-23032011
Prova sistemaso redes1-1-red-23032011
 
Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003Instalação e configuração do windows server 2003
Instalação e configuração do windows server 2003
 
Instalação do Windows Server 2003
Instalação do Windows Server 2003Instalação do Windows Server 2003
Instalação do Windows Server 2003
 
Cluster de Alta disponibilidade
Cluster de Alta disponibilidadeCluster de Alta disponibilidade
Cluster de Alta disponibilidade
 

Más de Luciana Falcão

Tcc rss guilherme e vandro
Tcc rss guilherme e vandroTcc rss guilherme e vandro
Tcc rss guilherme e vandroLuciana Falcão
 
Scc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigoScc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigoLuciana Falcão
 
60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao poster60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao posterLuciana Falcão
 
Políticas Públicas e Gestão
Políticas Públicas e GestãoPolíticas Públicas e Gestão
Políticas Públicas e GestãoLuciana Falcão
 

Más de Luciana Falcão (9)

Apostila graficos
Apostila graficosApostila graficos
Apostila graficos
 
Tcc rss guilherme e vandro
Tcc rss guilherme e vandroTcc rss guilherme e vandro
Tcc rss guilherme e vandro
 
Seg redes 1
Seg redes 1Seg redes 1
Seg redes 1
 
Scc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigoScc0207 graca grupo1-artigo
Scc0207 graca grupo1-artigo
 
Tcc0020
Tcc0020Tcc0020
Tcc0020
 
Artigo ead
Artigo eadArtigo ead
Artigo ead
 
60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao poster60 logistica e a tecnologia da informacao poster
60 logistica e a tecnologia da informacao poster
 
Evolucao da marca dove
Evolucao da marca doveEvolucao da marca dove
Evolucao da marca dove
 
Políticas Públicas e Gestão
Políticas Públicas e GestãoPolíticas Públicas e Gestão
Políticas Públicas e Gestão
 

Tcc rss guilherme e vandro

  • 1. Implantação de uma Intranet na empresa Informática S.A Guilherme Simões Lima, Vandro Borges Pós Graduação em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, maio de 2009 Resumo Este trabalho tem a finalidade de apresentar os procedimentos e tecnologias utilizadas para a implantação de uma intranet totalmente funcional na empresa Informática S.A. Essa intranet foi o resultado dos estudos realizados durante todo o curso de pós- graduação que nos deu a base necessária para implementar todo o ambiente de rede que hoje é utilizado na empresa. Cada serviço de rede presente nesta intranet foi utilizado baseado na necessidade dos funcionários e clientes da empresa de modo que houvesse uma integração mais eficiente entre eles. 1 Introdução. Uma intranet pode ser definida como um conjunto de serviços de rede que atendem a uma rede privada (rede particular de uma organização). Assim como a internet, uma intranet oferece diversos serviços tais como: acesso a web sites, e-mails, chat online, download de arquivos e etc. A diferença está na autorização de acesso a estes serviços. Enquanto na internet o acesso é público, na intranet o acesso é exclusivo da empresa, onde os níveis de permissões de cada acesso são definidos com base na hierarquia (organograma) da empresa, comumente dividida em departamentos. Além de fornecer serviços, a intranet possui um caráter de organização, padronizando e criando políticas sobre a correta utilização dos equipamentos disponibilizados pela empresa. Outro fator muito importante é a segurança. Uma intranet deve ser capaz de implementar procedimentos de segurança para que a integridade de seus sistemas (e arquivos) não seja prejudicada devido a um acesso indevido, que pode partir de dentro da própria intranet ou mesmo da internet. Atualmente existem dois servidores na empresa informática S.A que garantem o ambiente da intranet em questão. Os Sistemas Operacionais utilizados foram o Microsoft Windows Server 2003 e o Linux Debian Etch 4.0. Esses servidores são responsáveis por garantir os seguintes serviços: servidor de arquivos/impressão, acesso web, web proxy, DNS (resolução de nomes), firewall, e-mail, Banco de Dados (MYSQL), CFTV, FTP, SSH, QoS, acesso remoto (via WTS), XMPP e VPN. O objetivo deste trabalho é mostrar como alguns destes serviços foram implantados na empresa levando em consideração as várias tecnologias existentes hoje no mercado, bem como o motivo que nos levou a utilizar uma determinada tecnologia em detrimento de outra. Este trabalho possui a seguinte organização. Na seção 2 descrevemos a topologia da
  • 2. rede e disposição física dos equipamentos. Na seção 3 descrevemos os serviços de rede proporcionados pelo servidor Linux Debian Etch 4.0 (codinome “Thunder”). Resolvemos falar de alguns dos serviços mais importantes que o compõe. Na seção 4 falaremos um pouco sobre os serviços de rede proporcionados pelo servidor Microsoft Windows 2003 (codinome “Titan”), que, juntamente com o servidor “Thunder” são responsáveis pelo ambiente da intranet. Na seção 5, por fim, apresentamos a conclusão sobre o trabalho. 2 Topologia da Rede. A rede na empresa Informática S.A foi definida com base na figura 1 abaixo. Essa rede é composta basicamente por um link ADSL de 2MB fornecido pela operadora Brasil Telecom com o ip fixo (válido) 187.5.19.192 (domínio informaticasa.com.br). O servidor Linux Debian Etch 4.0 (codinome “Thunder”) é responsável pelo roteamento da rede interna, criando uma segunda faixa de endereçamento ip que será fornecida para as estações de trabalho, para o servidor Windows Server 2003 (codinome “Titan”) para o servidor de câmeras (CFTV) e para os servidores de impressão. A faixa de ip atribuída à rede interna pelo servidor “Thunder” é distribuída através de um Switch Micronet 10/100 de 24 portas (gerenciável). Figura 1: Topologia da Intranet na empresa Informática S.A 2.1 Endereçamento da Rede. O servidor “Thunder” possui duas interfaces de rede, de modo que ele opera tanto na classe de endereçamento do modem ADSL (D-link), quanto na classe de endereçamento da rede interna. Dessa maneira foi possível segmentar a rede em duas faixas diferentes. Além da organização, a segmentação em redes distintas é importante, pois provê um mecanismo de segurança realizando o “mascaramento” da conexão protegendo a rede interna. Abaixo apresentamos um resumo do endereçamento ip que foi definido na empresa.
  • 3. Servidor Thunder (Linux Debian Etch 4.0) Rede IP Máscara Gateway DNS 10.1.1.0 10.1.1.3 /8 10.1.1.1 localhost 192.168.254.0 192.168.254.254 /24 10.1.1.1 localhost Servidor Titan (Microsoft Windows Server 2003) IP Máscara Gateway DNS1 DNS2 192.168.254.100 /24 192.168.254.254 localhost 192.168.254.254 Servidor de Câmeras (CFTV) IP Máscara Gateway DNS1 DNS2 192.168.254.100 /24 192.168.254.254 192.168.254.100 192.168.254.254 Servidor de Impressão 1 IP Máscara Gateway DNS1 DNS2 192.168.254.253 /24 192.168.254.254 192.168.254.100 192.168.254.254 Servidor de Impressão 2 IP Máscara Gateway DNS1 DNS2 192.168.254.252 /24 192.168.254.254 192.168.254.100 192.168.254.254 Estações de Trabalho IP Máscara Gateway DNS1 DNS2 192.168.254.* (1 - 253) /24 192.168.254.254 192.168.254.100 192.168.254.254 3 Servidor Thunder (Linux Debian Etch 4.0). O Servidor thunder, é na verdade, um conjunto de servidores que atualmente funcionam no mesmo hardware. Os principais serviços são: servidor de nomes (DNS), servidor de e-mail, servidor web proxy, servidor web, servidor FTP, servidor SSH e Firewall. A seguir detalharemos o processo de configuração destes serviços. 3.1 Servidor DNS (Domain Name Server). Existem dois servidores DNS implantados, um externo e um interno. O servidor de nomes interno é responsável pelas consultas de nomes (caching) que são feitas pelas estações de trabalho para endereços externos e internos. Para isso foi utilizado o daemon bind (servidor DNS para Linux). Naturalmente o servidor escuta na porta UDP 53 e as estações de trabalho são configuradas para apontar o DNS para o ip 192.168.254.254. O servidor de nomes externo é utilizado para resolução de nomes a partir de um host externo com destino à nossa rede, com a finalidade de resolver para os domínios hospedados no servidor. Isso significa que tanto a consulta direta e reversa dos nomes são “resolvidos” por esse servidor externo. Atualmente existem três domínios hospedados no servidor Thunder, são eles: informaticasa.com.br (principal), tecredes.com.br e oappr.com.br. Para a implantação do servidor de nomes externo foi utilizada uma ferramenta gratuita
  • 4. oferecida pelo zoneedit [1]. Essa ferramenta nada mais é do que um servidor de nomes com as mesmas opções do daemon bind sendo configurado pelo browser. Após efetuar o cadastro, o usuário pode logar-se em sua conta e configurar o seu servidor de acordo com as suas necessidades (figura 2 e figura 3 abaixo). Figura 2 – Editando as zonas pelo Zoneedit. Figura 3 – Configurando um domínio. Essa ferramenta foi utilizada após problemas que encontramos para atribuir os servidores de nomes aos nossos domínios registrados. Como o registro.br (site do comitê gestor da internet no brasil – CGI.br) solicita dois servidores de nomes distintos (ns1 e ns2 para master e slave respectivamente) achamos viável a utilização do zoneedit. O zoneedit oferece gratuitamente dois servidores de nomes (master e slave) que são necessários para serem delegados no registro.br, para que assim, o domínio possa ser publicado com sucesso. Até cinco zonas (domínios) podem ser configuradas gratuitamente. A configuração é simples e rápida. Em apenas um minuto as modificações serão armazenadas e o zoneedit disponibilizará dois servidores para serem atribuídos ao seu domínio no registro.br (figura 4).
  • 5. Figura 4 – Configuração da zona informaticasa.com.br. Isso significa que ns15.zoneedit.com (master) e ns9.zoneedit.com (slave) serão encarregados de resolver o domínio informaticasa.com.br que corresponde ao ip fixo 187.5.19.192. A configuração desse serviço é de extrema importância para o funcionamento de serviços como servidor web e servidor de e-mail. 3.1.1 DNS Reverso. O DNS reverso é um recurso que permite que outros servidores verifiquem a autenticidade do seu servidor, checando se o endereço IP atual bate com o endereço IP informado pelo servidor DNS [5]. Para a configuração do DNS reverso foi necessário entrar em contado com a operadora que nos fornece o serviço de internet, no caso, a Brasil Telecom (www.brasiltelecom.com.br). Para testar as configurações, utilizamos o comando nslookup e o comando ping. Non-authoritative answer: 192.19.5.187.in-addr.arpa name = mail.informaticasa.com.br. PING www.informaticasa.com.br (187.5.19.192) 56(84) bytes of data. 64 bytes from mail.informaticasa.com.br (187.5.19.192): icmp_seq=1 ttl=56 time=33.1 ms 64 bytes from mail.informaticasa.com.br (187.5.19.192): icmp_seq=2 ttl=56
  • 6. 3.2 Servidor Web. Atualmente estamos utilizando a versão 2.2.3 do Apache Web Server (http://www.apache.org). Ele está configurado com múltiplos hosts (virtual hosts) para atender todos os domínios hospedados em nosso servidor. Isso significa que o servidor é capaz de hospedar vários domínios diferentes que possuem o mesmo ip de destino, onde todos eles são acessados através da porta padrão TCP 80. Além disso, o servidor possui suporte a conexão com banco de dados (Mysql 5.0), possui o módulo OpenSSL (para conexão segura do webmail) e possui suporte a PHP5.2. 3.3 Servidor WebProxy Cache. O conceito de proxy refere-se a um software que atua como gateway de aplicação entre o cliente e o serviço a ser acessado, interpretando as requisições e repassando-as ao servidor de destino [2]. A utilização deste software é de extrema importância, pois através dele é possível criar políticas de acesso à internet dentro da empresa, restringindo um determinado acesso considerado indevido, além da economia de banda proporcionada pelo cache. O WebProxy utilizado foi o já bastante difundido squid, (http://www.squid-cache.org) pela sua facilidade de configuração e pela vasta documentação existente. Atualmente optamos pela utilização da versão 2.5 STABLE 12. Alguns outros plugins foram adicionados ao squid para gerar maior controle, fornecer estatísticas e gerar mecanismos de auditoria. 3.3.1 Filtro de Conteúdo. O filtro de conteúdo é uma importante ferramenta que ao invés de trabalhar apenas com bloqueio de palavras utiliza o conceito de bloqueio por perfil de acesso. Podemos exemplificar um perfil de acesso como, por exemplo, o de sites pornográficos. Seria inviável para qualquer administrador de rede, bloquear cada site pornográfico com base apenas no seu nome. Isso seria demasiadamente custoso visto que existem milhões de sites pornográficos em todo o mundo e milhares que são criados todos os dias. Primeiramente é criado um modelo (perfil) do acesso proibido com base em palavras- chave comuns a este perfil. O segundo passo é bloquear este perfil. Quando o usuário faz uma requisição a uma página web, o servidor primeiramente faz uma análise do conteúdo do site. Com base em palavras-chave e frases pontuadas contidas em seu banco de dados, o servidor determina se o site acessado possui ou não palavras proibidas. Se a quantidade de palavras proibidas ultrapassarem o limite permitido, o site é automaticamente bloqueado e uma mensagem de erro informará ao usuário do ocorrido. Para utilizar essa solução foi implantada uma ferramenta chamada DansGuardian que funciona juntamente com o squid. O DansGuardian é uma premiada ferramenta open-source para filtro de conteúdo web, este permite obter uma grande flexibilidade pois oferece recursos como comparação de palavras, expressões regulares e substituição de palavras. Todos esses recursos associados ao webproxy squid permitem a criação de um controle de alto nível totalmente personalizado [2]. Atualmente utilizamos dois bloqueios de perfil de acesso. O bloqueio de perfil pornográfico, e o bloqueio por perfil de proxy. O perfil de proxy tem como objetivo bloquear os sites destinados a burlar a utilização do webproxy. Com esses dois perfis bloqueados, juntamente com bloqueios individuais realizados sob urls específicas e o acompanhamento através de relatórios de acesso pudemos obter um resultado expressivo com relação aos acessos indevidos.
  • 7. 3.3.2 Relatórios. Os relatórios possuem uma importância vital para os administradores de rede da empresa, pois através dele é possível obter várias informações técnicas a respeito do acesso à internet. Utilizamos para esse fim, três plugins para o webproxy squid. São eles: Sarg, Calamaris e Squid-Graph. 3.3.3 SARG. O Squid Analysis Report Generator (SARG - http://sarg.sourceforge.net) é uma ferramenta open-source brasileira bastante conhecida, utilizada para auditar o acesso a internet de seus usuários Esses relatórios são gerados automaticamente todos os dias e são disponibilizados para o administrador. Nele estão contidas as seguintes informações: estação de trabalho e site acessado, tempo de permanência no site, quantidade de vezes que o usuário acessou o site e o tempo total que o usuário permaneceu na internet e a tentativa de acessar um site bloqueado. 3.3.4 Calamaris. Assim como o sarg, o calamaris fornece várias informações de auditoria, porém as informações geradas por ele possuem um caráter genérico disponibilizando várias estatísticas sobre o comportamento do webproxy. Veja na figura 3 abaixo. Figura 5: Relatório gerado pelo Calamaris.
  • 8. 3.3.5 Squid-Graph. O squid-graph utiliza as informações contidas nos arquivos de log do webproxy para montar um relatório gráfico sobre o tráfego gerado pelo squid. Bastante útil, pois com ele é possível analisar o consumo de banda da rede, sabendo exatamente o total de transferências efetuadas, sendo disponibilizada em intervalos de 5 minutos. Veja na figura 6 abaixo Figura 6: Squid-Graph 3.4 MSN-Proxy. O msn-messenger é uma excelente ferramenta de comunicação, que pode ser muito útil no ambiente de trabalho. Muito popular, várias empresas inclusive já o adotam como uma das formas de contato oficial com seus clientes/distribuidores. O grande problema é quando o seu foco é desviado para uma utilização que não condiz com o escopo de trabalho definido pela empresa. Conversas particulares com amigos, por exemplo, desviam a atenção do funcionário tornando-o improdutivo. Por esse motivo foi implantada uma ferramenta chamada MSN-Proxy (http://sourceforge.net/projects/msn-proxy/) que tem a finalidade de monitorar o msn, gravando as conversas com auxílio do banco de dados Mysql. Esta ferramenta é bastante flexível, pois permite ao administrador acompanhar em tempo real quais usuários estão logados no msn-messenger, acompanhar as conversas (chats), bloquear funcionalidades como: envio de arquivos, imagens, pedidos de atenção, winks e contatos. Também é possível ao administrador avisar aos usuários que o msn dentro da empresa está sendo monitorado. Além disso, é possível bloquear as diversas versões existentes do msn com a finalidade de manter um padrão dentro da empresa (figura 7):
  • 9. Figura 7: Tela inicial do MSN-Proxy 3.5 Firewall. Apesar de não existir uma solução 100% eficaz contra ameaças, ataques e invasões, um firewall bem construído hoje em dia é essencial para a segurança de uma empresa. Existem diversas soluções em firewall no mercado, como por exemplo, produtos da CheckPoint (http://www.checkpoint.com/) e Sonicwall (http://www.sonicwall.com/br/) que são robustos porém muito caros. O iptables é hoje considerado uma solução de firewall (na verdade o iptables é considerado um filtro de pacotes juntamente com a função de NAT sendo ele um firewall statefull) open source bastante segura. O iptables, conforme dito acima, trata-se na verdade de uma ferramenta Front-End para lhe permitir manipular as tabelas Netfilter, embora o mesmo seja constantemente confundido com um firewall por si só [3]. Por estas razões temos implementado um conjunto de regras que visa a segurança, tanto da rede interna (FORWARD) como dos acessos externos que visam a entrada do próprio servidor (INPUT). Abaixo está descrito quais serviços e conexões podem ser realizadas a partir de qualquer estação de trabalho. Acessos liberados a partir da rede interna (chain forward) Email (SMTP e POP3) Protocolo XMPP (Jabber) FTP (File Transfer Protocol) SSH (Secure Shell) Conexão Remota (WTS) MSN Internet (porta 8081) – Inclui os protocolos HTTP e HTTPS Consultas DNS Tráfego VOIP Porta 9091 (Administração do protocolo XMPP) Porta 443 (Acesso web seguro sem proxy – Apenas para máquinas de clientes e chefes de departamento).
  • 10. Porta 80 (Acesso web sem proxy - Apenas para máquinas de clientes e chefes de departamento) Acessos e portas liberadas para estabelecimento de conexão no servidor (chain input). E-mail (SMTP, POP3, IMAP) Spamassassin (TCP 783) Squid (TCP 3128) DansGuardian (TCP 8081) XMPP (TCP 5222 – Segura) HTTP (TCP 80) HTTPS (TCP 443) FTP (TCP 21) SSH (TCP 22) DNS (UDP 53) Mysql (TCP 3306). 3.6 E-mail. Após muito tempo utilizando um serviço de e-mail pago, decidimos nos aventurar na instalação, configuração e manutenção de um servidor de e-mail open source. Começamos a estudar o QuickMail (qmail – http://www.qmail.org). Constatamos a facilidade na configuração e gerenciamento do Qmail com relação a concorrentes já consagrados como Postfix e Sendmail, além de ser seguro e rápido. Por essas razões decidimos utilizar o qmail como MTA. A nossa idéia foi implantar um sistema de serviço de e-mail que atendesse os seguintes requisitos: serviços de correio – SMTP (MTA) / POP3 (MDA) / IMAP (MDA), um painel de controle para a gerência das contas de usuário via web, um webmail para acesso e a possibilidade da utilização do Microsoft Outlook como MUA. O qmail possui uma solução completa de MTA e MDA no mesmo pacote o que facilitou bastante todo o processo de implantação. Para o MDA, utilizamos o vpopmail. Bastante fácil de configurar ele possui suporte a domínios virtuais (que é o nosso caso) e é totalmente compatível com o MTA qmail. Para facilitar a administração destes domínios virtuais utilizamos uma interface web chamada qmailadmin (figura 7 abaixo) Figura 7 – Administração das contas no qmail.
  • 11. Com o ambiente em produção juntamente com o DNS direto e reverso funcionando corretamente somos capazes de enviar e-mails para qualquer domínio na internet. Exemplo: @4000000049fb3844003d60e4 starting delivery 7450: msg 98627 to remote jamhour@ppgia.pucpr.br @4000000049fb3844003d68b4 status: local 0/10 remote 1/255 @4000000049fb3851387d633c delivery 7450: success: 200.192.112.141_accepted_message./Remote_host_said:_250_OK_id=1Lzwxf-0005Qt-OW/ @4000000049fb3851387d76c4 status: local 0/10 remote 0/255 @4000000049fb3851387d7aac end msg 98627 A mensagem partiu de nosso webmail que está disponível através da url segura https://mail.informaticasa.com.br. Foi utilizado foi o Squirrelmail 1.4.16 (http://squirrelmail.org/). Veja abaixo, na figura 8. Figura 8: Webmail 3.6.1 Spam e Anti-Vírus. Administrar um servidor de e-mail sem suporte de alguma ferramenta anti-spam e anti-vírus seria abrir completamente as portas para os spammers proliferarem seus spams e vírus. Dessa maneira o qmail utiliza uma ferramenta chamada qmail-scanner. Essa ferramenta tem a função de analisar cada e-mail que entra e sai de qualquer host da rede e aplicar regras sobre as mensagens, classificando-as de acordo com regras estabelecidas. Essas regras definem se as mensagens estão limpas (clean) ou possui alguma irregularidade, ou seja, se é um spam e/ou vírus.
  • 12. Entretanto o qmail-scanner apenas libera ou não a mensagem. A classificação propriamente dita é dada por algum software anti-spam e anti-vírus. Para anti-spam utilizamos uma ferramenta chamada Spamassassin (http://spamassassin.apache.org/). Ele funciona de maneira semelhante ao software DansGuardian, classificando as mensagens em spams ou não de acordo com uma base de dados que pode ser atualizada constantemente. Uma ferramenta interessante do spamassassin é a possibilidade do software “aprender” com o usuário. Para isso, nós disponibilizamos o endereço spam@informaticasa.com.br onde o usuário envia os e-mails “suspeitos”. O Spamassassin lê os e-mails que chegam a esta conta e os adiciona em sua base de dados de spam. Para anti-vírus, utilizamos o Clamav (http://www.clamav.net/). Sua base de dados de novas assinaturas de vírus é atualizada todos os dias. Em resumo podemos dizer que o qmail-scanner só libera um e-mail se tiver a aprovação das duas ferramentas citadas acima. Todos os dias o qmail-scanner envia automaticamente por e-mail um relatório ao administrador contendo várias informações sobre o serviço de e-mail. Como exemplo, mostramos abaixo as mensagens geradas sobre um spam e um vírus detectado Exemplo 1: O qmail-scanner informa a quantidade de Spam detectados no servidor de e-mail em um dia. SPAM deleted (msgs): 1565 SPAM detected (msgs): 0 SPAM quarantined (msgs): 0 SPAM rejected (msgs): 0 Exemplo 2: Um exemplo de vírus capturado pelo Clamav e informado pelo qmail-scanner Attention: c_nw@photos.yahoo.com A virus was found in an Email message you sent. This Email scanner intercepted it and stopped the entire message reaching its destination. The virus was reported to be: Worm.Bagle.BB-gen É importante frisar que mesmo com as ferramentas funcionando corretamente não é possível obter 100% de eficácia no combate ao spam. A criação de uma política interna de utilização de e-mais explicando e determinando aos usuários que cumpram as regras é vital para o combate ao spam. Muitas das políticas e procedimentos que estamos adotando, estão sendo baseadas no documento de Chris Hardie [4]. 4 Servidor Titan (Microsoft Windows Server 2003). O servidor “Titan” é responsável pela autenticação dos usuários e pelas políticas de segurança local de cada estação de trabalho, tais como restrições no acesso a determinadas funcionalidades do sistema operacional. Isso é importante para padronização das máquinas da empresa e limitar o acesso a configurações específicas do sistema operacional. Com a utilização do AD (Active Directory), ferramenta de diretório pode-se criar
  • 13. níveis de acessos e comunidades organizacionais, aplicando políticas e implementando compartilhamentos conforme as próprias unidades organizacionais são criadas, facilitando a gerencia de usuários e de grupos de usuários [6]. Além destas funcionalidades, o servidor Titan desempenha a função de servidor de arquivos, onde cada usuário possui pastas e documentos com permissões distintas de acesso a cada compartilhamento (diretório ou árvore de diretórios) no servidor. Cada usuário possui cotas de espaço em disco e este espaço destinado aos usuários são “limpos” através de um script que compara os arquivos desnecessários e possíveis arquivos que não condizem com a política da empresa, preservando informações relevantes e deletando as que ocupam espaço não essencial [6]. As permissões de acesso foram definidas pelo administrador de rede com base na hierarquia da empresa, onde, por exemplo, um funcionário não pode ter acesso a documentos do chefe de um setor ou mesmo acesso a documentos confidenciais de outro funcionário, a não ser que os dois possuam as mesmas permissões de acesso ao arquivo em questão. Com a ferramenta de GPO (group police manager) é possível aplicar políticas de restrição de acesso a locais de configuração do sistema operacional e local da estação de trabalho do usuário, evitando que o mesmo possa fazer mal uso do sistema. Além disso, é possível manter a padronização de papeis de paredes e acesso a determinados locais do sistema operacional. Essa ferramenta depois de implementada, facilita a administração favorecendo e criando padrões de usuários que garantem que a necessidade de formatações seja praticamente nula ou zero. O servidor Titan também é responsável pela infra-estrutura necessária para que cada máquina tenha acesso ao sistema interno de automação da empresa (sistema da loja) além de controlar a fila de impressão do servidor de impressão. O sistema de backup do Windows Server 2003 (ntbackup) é uma ferramenta leve e prática, de fácil uso e bem eficiente podendo implementar soluções de backup do sistema operacional e de partes do sistema que são vitais. A ferramenta ainda possui várias funções de implementação de backup como backup diferencial, backup incremental e backup total. Ainda é possível agendar estes backups de forma semanal, diário entre outras. A restauração do backup também é bem tranqüila e rápida não sendo necessário um especialista para desempenhar tal função [6]. Esta ferramenta de backup por ser nativa do próprio sistema operacional nos traz uma resposta positiva quanto a custo com ferramentas de terceiros, pois oferece recursos eficazes e não há investimentos com compras de softwares, licenciamento de uso e homologação do produto, sendo assim mais fácil e com certeza mais barato a sua implementação. 5 Conclusão. Este trabalho teve a finalidade de apresentar os serviços de rede que são utilizados hoje na empresa Informática S.A, que juntos formam a estrutura da intranet da empresa. Os softwares foram escolhidos com base na facilidade de configuração e manutenção, sendo implantados nos sistemas operacionais Microsoft Windows 2003 Server e Linux Debian ETCH 4.0. Com a implantação desta intranet foi possível colocar em prática vários assuntos que foram ministrados pelos professores durante o curso de pós-graduação dando ênfase à segurança dos serviços disponibilizados. Como uma empresa prestadora de serviços de informática nos foi vital a implantação destes serviços em nosso próprio ambiente de rede como para termos condições de oferecê- los aos clientes, garantindo confiabilidade e prezando a segurança.
  • 14. 6 Bibliografia. [1] Zoneedit. The industry standard in internet domain name management. Acessado em Abril de 2009. Disponível em: http://www.zoneedit.com. [2] Ricci, Bruno. Mendonça Nelson. Squid: Solução Definitiva.2006. Editora Ciência Moderna, Rio de Janeiro [3] Neto, Urubatan. Dominando Linux Firewall Iptables. 2004. Editora Ciência Moderna, Rio de Janeiro, 26p. [4] Chris Hardie. Qmail Anti-Spam HOWTO. Acessado em Abril de 2009. Disponível em: http://www.chrishardie.com/tech/qmail/qmail-antispam.html. [5] Guia Foca GNU/Linux. Acessado em abril de 2009. Disponível em http://focalinux.cipsga.org.br/ [6] Academias Microsoft Tech Net. Acessado em Maio de 2009. Disponível em: http://www.microsoft.com/brasil/technet/academia/default.aspx