UTILIZE A PESQUISA!

Tabelas de Vizinhos

Ao descobrir um novo vizinho, o roteador registra os respectivos endereço e interface como uma entrada na tabela de viznhos. Quando um vizinho envia um pacote hello, ele anuncia um tempo de ocupação, correspondente à quantidade de tempo que um roteador considerará que um vizinho está operacional e pode ser alcançado. Se um pacote helllo não for recebido durante esse tempo de ocupação, o tempo expirará e a máquina DUAL, será informada sobre a mudança de topologia.
A entrada da tabela de vizinhos também inclui as informações exigidas pelo protocolo RTP. Números consecutivos são empregados para oncincidir os reconhecimentos co os pacotes de dados e o último número sequencial recebido do vizinho é registrado, o que permitirá a identificação de pacotes fora de ordem. Uma lista de transmissão é utilizada para a cruação de uma fila de pacotes uma possível transmissão par cada vizinho. Registros de tempos de ida-e-volta são mantidos na entrada da tabela de vizinhos para calcular uma estimativa do melhor intervalo de transmissão.


Extraído das páginas 384 e 385 do livro Internet Working Technologies Handbook - Tradução da Segunda Edição.

RIP (Routing Information Protocol)

O RIP foi desenvolvido pela Xerox Corporation no início dos anos 80 para ser utilizado nas redes Xerox Network Systems (XNS), e, hoje em dia, é o protocolo intradominio mais comum, sendo suportado por praticamente todos os fabricantes de roteadores e disponível na grande maioria das versões mais atuais do sistema operacional UNIX.

Um de seus beneficios é a facilidade de configuração. Além disso, seu algoritmo não necessita grande poder de computação e capacidade de memória em roteadores ou computadores.

O protocolo RIP funciona bem em pequenos ambientes, entretanto apresenta sérias limitações quando utilizado em redes grandes. Ele limita o numero de saltos (hops) entre hosts a 15 (16 é considerado infinito). Outra deficiência do RIP é a lenta convergência, ou seja, leva relativamente muito tempo para que alterações na rede fiquem sendo conhecidas por todos os roteadores. Esta lentidão pode causar loops de roteamento (por exemplo um mesmo pacote fica passando entre os roteadores A, B e C até acabar o TTL), por causa da falta de sincronia nas informacões dos roteadores.

O protocolo RIP é também um grande consumidor de largura de banda, pois, a cada 30 segundos, ele faz um broadcast de sua tabela de roteamento, com informações sobre as redes e sub-redes que alcanca.

Por fim, o RIP determina o melhor caminho entre dois pontos, levando em conta somente o numero de saltos (hops) entre eles. Esta técnica ignora outros fatores que fazem diferença nas linhas entre os dois pontos, como: velocidade, utilização das mesmas (tráfego) e toda as outras métricas que podem fazer diferenca na hora de se determinar o melhor caminho entre dois pontos.

Tabela de Roteamento

Quando um pacote chega em uma das interfaces do roteador, ele analisa a sua tabela de roteamento, para verificar se na tabela de roteamento, existe uma rota para a rede de destino. Pode ser uma rota direta ou então para qual roteador o pacote deve ser enviado. Este processo continua até que o pacote seja entregue na rede de destino, ou até que o limite de 16 hopes (para simplificar imagine um hope como sendo um roteador da rede) tenha sido atingido.

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

Cada linha é uma entrada da tabela. Por exemplo, a linha a seguir é que define o Default Gateway da ser utilizado:

0.0.0.0 0.0.0.0 200.175.106.54 200.175.106.54 1

Na imagem abaixo vemos uma tabela de roteamento onde mostra por quais gateways é necessário passar para ir de uma Lan a outra:
podemos ver que por exemplo para ir da Lan1(10.0.0.0) até a Lan3 (30.0.0.0) é preciso passar pelo roteamento do Gateway 1 e Gateway 2.

Segurança do Bluetooth

O Bluetooth tem três modos de segurança, variando desde nenhuma segurança até total criptografia de dados e controle de integridade. Se a segurança for destivada, não haverá nenhuma segurança. Grande parte dos usuários mantéma segurança desativada até ocorrer uma séria violação, depois eles a ativam. No mundo agrícola, essa abordagem é conhecida como trancar a porteira depois que o cavalo escapou.

O Bluetooth fornece segurança em várias camadas. Na camada física, os saltos de frequência oferecem um nível mínimo de segurança mas, como qualquer dispositivo Bluetooth que se desloca em uma piconet tem de ser informado da sequência de saltos de frequencia, é óbvio que essa frequência não é um segredo. A segurança real começa quando o escravo recém-chegado solicita um canal ao mestre. Supõe-se que os dois dispositivos compartilham uma chave secreta configurada com antecedência.

Para estabelecer um canal, o escravo e o mestre verificam se a outra máquina conhece a chave de passagem. Nesse caso, eles negociam para ver se esse canal será criptografado, terá sua integridade controlada ou ambos. Em seguida, eles selecionam uma chave de sessão aleatória de 128 bits, na qual alguns bits podem ser públicos. A razão para permitir o enfraquecimento dessa chave é obedecer a algumas restrições do governo de vários países, criadas para impedir a exportação ou o uso de chaves mais longas do que o governo pode violar.

O Bluetooth efetua a autenticação apenas de dispositivos, não de usuários. Desse modo, quando um ladrão rouba um dispositivo Bluetooth ele pode ter acesso às finanças e às contas do usuário. No entento, o Bluetooth também implementa segurança nas camadas superiores do que a do enlace. Assim mesmo se houver violação da segurança no nível de enlace, deve restar alguma segurança, especialmente para aplicações que exigem a digitação de um código PIN em algum tipo de teclado para completar a transação.

Protocolo de gateway de borda (BGP)

O roteamento envolve duas atividades básicas: a determinação dos melhores caminhos de roteamento e o transporte de grupos de informação (tipicamente chamados de pacotes) em uma internetwork. O transporte de pacotes pela internetwork é relativamente direto. Por outro lado, a determinação do caminho pode se tornar muito complexa. Um protocolo destinado à tarefa de determinação do caminho nas redes atuais é o Protocolo de Gateway de Borda (BGP).
O Protocolo BGP executa o roteamento entre domínios em redes TCP/IP. O BGP é um protocolo de gateway externo (EGP), siginificando que executa o roteamento entre vários domínios ou sistemas autônomos e faz o intercâmbio com outros sistemas de BGP de informações sobre roteamento e sobre a capacidade de determinados destinos.
O protocolo BGP foi desenvolvido para substituir seu antecessor, o agora obsoleto Protocolo de Gateway externo (EGP), como padrão de protocolo de roteamento de gateway externo utilizado na Internet global. O BGP soluciona, de maneira mais eficaz, sérios problemas com o EGP e asescalas para um crescimento mais eficiente na Internet.

Extraído da página 373 do livro INTERNET WORKING MANUAL DE TECNOLOGIAS - Tradução da Segunda Edição

AWStats

AWStats é uma ferramenta open source de relatórios de análise site, apta para analisar dados de serviços de Internet( como um servidor site, streaming, mail e FTP). AWstats analisa os arquivos de log do servidor, e com base a eles produz relatórios HTML. Os dados são apresentados visualmente em relatórios de tabelas e gráficos de barra. Podem criar-se relatórios estáticos mediante uma interface de linha de comando, e podem-se obter relatórios on-demand através de um navegador site, graças a um programa CGI.

AWStats suporta a maioria dos formatos de arquivos log de servidor site conhecidos, entre eles Apache (formato de log NCSA combinado/XLF/ELF ou formato comum/CLFt), WebStar, IIS (formato de log do W3C) e muitos outros formatos comuns de Internet. Os programadores podem contribuir com o projecto AWStats através de SourceForge.

Escrito em Perl, AWStats pode ser utilizado na maioria dos sistemas operacionais. É uma aplicação muito popular como ferramenta de administração de servidores, com pacotes disponíveis para a maioria das distribuições Linux, o AWStats também pode ser utilizado em Sistemas operacionais Windows e Mac OS.

Para instalar no Linux (distribuições como o Ubuntu) basta colocar o seguinte comando no terminal: apt-get install awstats

Segurança de Rede - Linux

Introdução
A cada dia novos usuários de Linux surgem todos os dias, e graças à facilidade de acesso à Internet nos dias atuais a maior parte deles conecta suas máquinas pessoais a redes abertas sem maiores dificuldades.

Sabendo que o Linux é um sistema capaz de ser administrado remotamente, e que muitas configurações default de distribuições habilitam muitos processos servidores para iniciar automaticamente após a instalação, estes novos usuários acabam se transformando em uma ameaça a si próprios, pois expõem à Internet uma máquina aberta, devido à sua falta de conhecimento técnico.

Para piorar a situação, há abundância de textos sobre "segurança" disponíveis na internet, "ensinando" que para garantir uma configuração segura da sua máquina, tudo o que você tem a fazer é "comentar as linhas do inetd.conf", um conselho enganoso.

Primeiros passos

A segurança começa pela instalação do seu sistema Linux. Se você tem uma máquina sem configurações especiais de segurança e quer torná-la segura, uma opção interessante é reinstalá-la completamente, suprimindo assim qualquer erro que tenha sido cometido no passado; lembre-se que uma máquina invadida e onde estranhos obtiveram privilégios de superusuário jamais poderá ser considerada segura novamente, exceto se totalmente reinstalada a partir de uma mídia original (e se você corrigir as falhas que permitiram a invasão original).

Ao instalar o sistema, lembre-se dos seguintes itens:

*Só exponha o sistema à Internet após completar todos os procedimentos de segurança. Há muitos relatos de máquinas invadidas durante o processo de configuração inicial, graças a administradores que preferem confiar na sorte;
*Se a sua distribuição permitir, opte por uma instalação personalizada, e escolha apenas os pacotes que você sabe que irá usar. É muito fácil adicionar pacotes posteriormente, e será sempre um alívio quando você receber e-mail do seu fornecedor recomendando um upgrade urgente de segurança do servidor de Real Audio, e em seguida perceber que não precisa fazer nada a respeito pois não o instalou;
*Monte seu esquema de partições adequadamente. Se você for rodar algum serviço que gere armazenamento de dados em disco (uma proxy web, um servidor de mail, um servidor de news...), certifique-se de criar uma partição separada para o /var, evitando assim que os arquivos dos seus processos servidores possam lotar o espaço de armazenamento da máquina, tirando-a de operação (coisa que normalmente só pode ocorrer em caso de má configuração dos servidores, mas não há por que não levar a sério esta possibilidade);
*Após instalar todos os pacotes, instale todas as atualizações de segurança disponíveis no web site do seu fornecedor. Assine a lista de divulgação de novas atualizações, se disponível;
*Habitue-se a visitar sites de segurança para saber as novas vulnerabilidades a que você pode estar exposto.

Serviços desnecessários

Uma instalação padronizada de sistema operacional costuma habilitar uma série de serviços dos quais você não precisa, e que podem vir a servir como ponto de acesso para um invasor. Removê-los é relativamente fácil, e um passo essencial.

Editar corretamente o arquivo /etc/inetd.conf é básico. Este arquivo define quais os serviços básicos de internet estarão habilitados na sua máquina, e portanto acessíveis a partir de outras máquinas. Verifique atentamente quais destes serviços estão habilitados, e retire os que você não tiver uma boa justificativa para manter. Na dúvida, retire!

Retirar um serviço do inetd.conf é simples, basta acrescentar um caracter # no início da linha, transformando-a em um comentário. Se posteriormente você precisar habilitar novamente o serviço, basta retirar o #.

Máquinas domésticas em geral não precisam de nenhum serviço habilitado no inetd.conf, e podem até mesmo deixar de carregar o serviço inetd (inetd) na inicialização. Usuários de serviços online (como o irc) podem querer habilitar apenas o serviço auth. Não se deixe enganar pela ilusão de rodar servidores telnet, ftp e finger na sua máquina doméstica, exceto se você realmente tiver uma boa justificativa.

Após definir a sua configuração do inetd.conf, reinicie o processo do inetd, comandando killall -HUP inetd

Em seguida, você precisa verificar os serviços de rede standalone, que não são gerenciados pelo inetd.conf, mas sim pelos init scripts, de modo geral localizados abaixo do diretório /etc/rc.d. Cada distribuição de Linux lida com estes scripts de uma maneira um pouco diferente, então você terá que ler um pouco da documentação da sua preferida. Ferramentas como o ntsysv, o ksysv e o tksysv podem ajudar, e a sua distribuição pode ter oferecido algum outro pacote adicional que permita selecionar os scripts facilmente.

De modo geral, os init scripts definem quais serviços serão inicializados no momento do boot. Alguns serviços são aparentemente inócuos do ponto de vista de uma possível invasão (e.g. sound, random, apmd), enquanto outros claramente oferecem algum raio de ação para o potencial invasor (e.g. portmap, xntpd, netfs, rstatd, rusersd, rwalld, rwhod, bootparamd, squid, yppasswd, ypserv, dhcpd, snmpd, named, routed, lpd, gated, httpd, xfs, linuxconf e muitos outros).

Ao definir quais scripts você executará no boot, use o mesmo critério da seleção dos serviços do inetd; na dúvida, retire - se mais tarde você precisar, adicione novamente (após avaliar o impacto sobre a segurança). Particularmente evite rodar o servidor do linuxconf, rstatd, rusersd, rwalld, rwhod, os serviços do NIS (yp*) e os daemons de roteamento (como o gated). Se você for rodar um servidor web para uso interno, ou para testes, certifique-se de configurá-lo para aceitar requests apenas da sua rede interna, ou de sua máquina pessoal - segurança de servidores não será coberta neste texto.

Cuidado ao mexer nos scripts de inicialização

Leia sempre a documentação antes, e tenha à mão um disquete de inicialização completa, como o tomsrtbt para emergências, já que provavelmente o disquete de boot gerado durante a sua instalação do Linux não resolverá o problema. Outra boa dica é aprender a iniciar o sistema em modo monousuário quando tudo falhar.

Detalhes

*Desenvolva uma estratégia de backups confiável;
*Instale ferramentas de análise e rotação de logs;
*Instale ferramentas de garantia de integridade, como o tripwire (principalmente nos servidores);
*Certifique-se de estar usando shadow passwords (nada de senhas criptografadas visíveis no /etc/passwd - este recurso já vem habilitado como default em algumas das distribuições);
*Se você estiver com o servidor de ftp habilitado, configure-o adequadamente; não permita o acesso de root, restrinja a árvore de diretórios, reveja os direitos de acesso anônimos, considere a possibilidade de as senhas de acesso estarem sendo monitoradas em sua rede local;
*Desabilite o telnet e o ftp. Se você precisar deste tipo de serviço, use o ssh (tanto para login quanto para transferência de arquivos);
*Habilite os tcp wrappers (tcpd) e configure adequadamente os arquivos de restrição e permissão de acesso (em geral, /etc/hosts.deny e /etc/hosts.allow);
*Habilite filtros de pacotes (usando ipfwadm, ipchains ou a ferramenta que estiver disponível na sua versão);
*Não permita que outras máquinas iniciem conexões com a sua, exceto para as portas que você explicitamente definir;
*Bloqueie o acesso às portas dos seus serviços locais (xfs, X, servidor web utilizado para testes...).

Monitoração remota (RMON)

A monitoração emota (RMON) é uma especificação padrão de monitoração, que habilita vários sistemas e console e monitores de rede para o intercâmbio de dados de monitoração de rede. A RMON proporciona aos administradores de rede maior liberdade para seleção de consoles e sondas de monitoração com características que satisfaçam às necessidades específicas de suas redes.

A especificação RMON define um conjunto de estatísticas e funções que podem ser permutadas entre sondas de rede e gerentes de console compatíveis com a RMON. Dessa maneira a RMON, proporciona aos administradores uma diagnose abrangente de falhas na rede, planejamento e informações para o ajuste de desempenho.

Grupos RMON

A RMON fornece informações em nove grupos RMON de elementos de monitoração, cada um oferecendo conjuntos específicos de dados para atender às necessidades de monitoração de rede. Cada grupo é opcional, permitindo que cada fabricante ão precise incluir na MIB (Base de informaçõe de administração) todos os grupos.

Alguns grupos de RMON precisam de suporte de outros grupos RMON para que possam funcionar de maneira correta.

Extraído das páginas 525 e 526 do livro INTERNET WORKING MANUAL DE TECNOLOGIAS - Tradução da Segunda Edição.