Páginas
Acesso Rápido
UTILIZE A PESQUISA!
Caneta detecta sinal wireless em raio de 10 metros
Qual placa de rede comprar
1) Verifique qual o slot disponível em seu computador, e compre uma adequada.
Os slots antigos são maiores, pretos, barramento ISA.
Os slots PCI são brancos, menores, com maior densidade. Use esse, se puder.
Para efeito de acesso residencial à internet, as duas são equivalentes.
2) Compre uma de 10/100 Mbps e instale no seu micro. Não precisam ser sofisticadas, tipo 3COM, Intel, etc...
3) As comuns, das marcas Jtec, Genius, Encore, Surecom etc. custam aproximadamente R$ 30,00, e funcionam muito bem com Internet.
Atualmente as placas de R$ 30,00 dão muito bem "conta do recado", a diferença entre as placas baratas e caras é muito pequena. Fica a teu critério pagar R$ 150,00 numa 3Com só para efeito de “grife”.
TCL shell - CISCO IOS - programando um roteador
Essa shell foi criada para permitir a execução de scripts TCL diretamente no IOS CISCO.
Estes scripts, claro, usam e interagem diretamente com os comandos disponíveis no IOS.
Um exemplo do uso dessa shell aparece na prova prática da CCIE RS onde, usualmente, pede-se conectividade total entre os equipamentos , isto é, cada IP da rede deve ser capaz de pingar qualquer outro IP.
Agora imaginem, testar conectividade de 10 equipamentos repletos de interfaces e IPs?
Pingar cada IP de cada equipamento, de dentro de cada equipamento?
E ainda verificar o que falhou e ir atrás do problema?
foreach -> cria uma loop de iteraçao com os IPs listados
[exec ping $ips timeout 3 ] -> pinga cada IP da lista e usa um timeout de 3 seg
string first "!!!" -> verifica se na string de saída do comando "ping IP" encontramos "!!!"
$result == -1 } { puts ".. $ips "}} verifica se o resultado for negativo (sem resposta do ping) imprimi na tela dois pontos (..) e o IP que não respondeu.
r1#tclsh
r1(tcl)#proc pingall {} {
+>(tcl)#foreach ips {
+>(tcl)#155.1.1.1
+>(tcl)#155.4.4.4
+>(tcl)#155.6.6.6}
+>(tcl)#{ set result [ string first "!!!" [exec ping $ips timeout 3 ] ]
+>(tcl)#if { $result == -1 } { puts ".. $ips " } }
+>(tcl)#}
r1(tcl)#pingall
.. 155.4.4.4
.. 155.6.6.6
Somente para relembrar a saída tipica de um ping e entender melhor o exemplo:
r1#ping 155.1.1.1 timeout 3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.1.1, timeout is 3 seconds:
!!!!!
Success rate is 100 percent (5/5)
Assim como o script verificou os "!!!" na saída do comando, nada foi impresso na tela
E para um ping que não recebeu resposta:
r1#ping 155.4.4.4 timeout 3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.4.4.4, timeout is 3 seconds:
.U.U.
Success rate is 0 percent (0/5)
TCL SCRIPT:
tclsh
proc pingall {} {
foreach ips {
172.16.16.1
172.16.123.1
172.16.14.1
172.16.50.25} { set result [ string first "!!!" [ exec ping $ips ] ]
if { $result == -1 } { puts ".. $ips " } }
}
Protocolo OSPF
O OSPF é um protocolo de roteamento feito para redes com protocolo IP; foi desenvolvido pelo grupo de trabalho de IGPs (Interior Gateway Protocol) da IETF (Internet Engineering Task Force). Este grupo de trabalho foi criado em 1988, para projetar um IGP baseado no algoritmo Shortest Path First (SPF, menor rota primeiro), voltado para uso na Internet. Similar ao Interior Gateway Routing Protocol (IGRP), protocolo proprietário da Cisco, o OSPF foi criado, pois, na metade dos anos 80, o Routing Information Protocol (RIP) mostrou-se cada vez menos capaz de atender redes largas e heterogêneas.
O OSPF resultou de diversas pesquisas: a de Bolt, Berenek e Newman (BBN), que desenvolveram o algoritmo SPF em 1978, para a ARPANET (o marco inicial das redes de comutação de pacotes, criada no início dos aos 70 por BBN); a de Radia Perlman, a respeito da tolerância a erros de transmissão no roteamento de informação (de 1988); e a de BBN sobre roteamento local (1986), uma versão inicial do protocolo de roteamento OSI entre camadas intermediárias.
Há duas características principais no OSPF. A primeira, é um protocolo aberto, o que significa que suas especificações são de domínio público; suas especificações podem ser encontradas na RFC (Request For Comments) número 1247. A segunda, é um protocolo baseado no algoritmo SPF, também chamado de algoritmo de Dijkstra, nome de seu criador.
OSPF é um protocolo de roteamento do tipo link-state, que envia avisos sobre o estado da conexão (link-state advertisements, LSA) a todos os outros roteadores em uma mesma área hierárquica. Informações sobre interfaces ligadas, métrica usada e outras variáveis são incluídas nas LSAs. Ao mesmo tempo em que o roteador OSPF acumula informações sobre o estado do link, ele usa o algoritmo SPF para calcular a menor rota para cada nó.
Diferenças RIP - BGP - OSPF
RIP - Só conhece o próximo passo na rede, limita saltos entre hosts à 15.
OSPF - Cada roteador só conhece sua própria AS*. Os roteadores de borda conhecem a sua própria rede mais o broadcast.
BGP - Reconhce até 6 níveis de profundidade, e prevê os próximos passos dele e dos seus vizinhos.
*AS é a sigla de autonomous system, também conhecido como um domínio de roteamento. É um conjunto de roteadores sob a mesma administração. Por exemplo a rede interna de uma empresa e a rede de um provedor de Internet.
Tabelas de Vizinhos
A entrada da tabela de vizinhos também inclui as informações exigidas pelo protocolo RTP. Números consecutivos são empregados para oncincidir os reconhecimentos co os pacotes de dados e o último número sequencial recebido do vizinho é registrado, o que permitirá a identificação de pacotes fora de ordem. Uma lista de transmissão é utilizada para a cruação de uma fila de pacotes uma possível transmissão par cada vizinho. Registros de tempos de ida-e-volta são mantidos na entrada da tabela de vizinhos para calcular uma estimativa do melhor intervalo de transmissão.
Extraído das páginas 384 e 385 do livro Internet Working Technologies Handbook - Tradução da Segunda Edição.
RIP (Routing Information Protocol)
Um de seus beneficios é a facilidade de configuração. Além disso, seu algoritmo não necessita grande poder de computação e capacidade de memória em roteadores ou computadores.
O protocolo RIP funciona bem em pequenos ambientes, entretanto apresenta sérias limitações quando utilizado em redes grandes. Ele limita o numero de saltos (hops) entre hosts a 15 (16 é considerado infinito). Outra deficiência do RIP é a lenta convergência, ou seja, leva relativamente muito tempo para que alterações na rede fiquem sendo conhecidas por todos os roteadores. Esta lentidão pode causar loops de roteamento (por exemplo um mesmo pacote fica passando entre os roteadores A, B e C até acabar o TTL), por causa da falta de sincronia nas informacões dos roteadores.
O protocolo RIP é também um grande consumidor de largura de banda, pois, a cada 30 segundos, ele faz um broadcast de sua tabela de roteamento, com informações sobre as redes e sub-redes que alcanca.
Por fim, o RIP determina o melhor caminho entre dois pontos, levando em conta somente o numero de saltos (hops) entre eles. Esta técnica ignora outros fatores que fazem diferença nas linhas entre os dois pontos, como: velocidade, utilização das mesmas (tráfego) e toda as outras métricas que podem fazer diferenca na hora de se determinar o melhor caminho entre dois pontos.
Tabela de Roteamento
Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:
Cada linha é uma entrada da tabela. Por exemplo, a linha a seguir é que define o Default Gateway da ser utilizado:
0.0.0.0 0.0.0.0 200.175.106.54 200.175.106.54 1
Na imagem abaixo vemos uma tabela de roteamento onde mostra por quais gateways é necessário passar para ir de uma Lan a outra:
podemos ver que por exemplo para ir da Lan1(10.0.0.0) até a Lan3 (30.0.0.0) é preciso passar pelo roteamento do Gateway 1 e Gateway 2.
Segurança do Bluetooth
O Bluetooth fornece segurança em várias camadas. Na camada física, os saltos de frequência oferecem um nível mínimo de segurança mas, como qualquer dispositivo Bluetooth que se desloca em uma piconet tem de ser informado da sequência de saltos de frequencia, é óbvio que essa frequência não é um segredo. A segurança real começa quando o escravo recém-chegado solicita um canal ao mestre. Supõe-se que os dois dispositivos compartilham uma chave secreta configurada com antecedência.
Para estabelecer um canal, o escravo e o mestre verificam se a outra máquina conhece a chave de passagem. Nesse caso, eles negociam para ver se esse canal será criptografado, terá sua integridade controlada ou ambos. Em seguida, eles selecionam uma chave de sessão aleatória de 128 bits, na qual alguns bits podem ser públicos. A razão para permitir o enfraquecimento dessa chave é obedecer a algumas restrições do governo de vários países, criadas para impedir a exportação ou o uso de chaves mais longas do que o governo pode violar.
O Bluetooth efetua a autenticação apenas de dispositivos, não de usuários. Desse modo, quando um ladrão rouba um dispositivo Bluetooth ele pode ter acesso às finanças e às contas do usuário. No entento, o Bluetooth também implementa segurança nas camadas superiores do que a do enlace. Assim mesmo se houver violação da segurança no nível de enlace, deve restar alguma segurança, especialmente para aplicações que exigem a digitação de um código PIN em algum tipo de teclado para completar a transação.
Protocolo de gateway de borda (BGP)
O Protocolo BGP executa o roteamento entre domínios em redes TCP/IP. O BGP é um protocolo de gateway externo (EGP), siginificando que executa o roteamento entre vários domínios ou sistemas autônomos e faz o intercâmbio com outros sistemas de BGP de informações sobre roteamento e sobre a capacidade de determinados destinos.
O protocolo BGP foi desenvolvido para substituir seu antecessor, o agora obsoleto Protocolo de Gateway externo (EGP), como padrão de protocolo de roteamento de gateway externo utilizado na Internet global. O BGP soluciona, de maneira mais eficaz, sérios problemas com o EGP e asescalas para um crescimento mais eficiente na Internet.
AWStats
AWStats suporta a maioria dos formatos de arquivos log de servidor site conhecidos, entre eles Apache (formato de log NCSA combinado/XLF/ELF ou formato comum/CLFt), WebStar, IIS (formato de log do W3C) e muitos outros formatos comuns de Internet. Os programadores podem contribuir com o projecto AWStats através de SourceForge.
Escrito em Perl, AWStats pode ser utilizado na maioria dos sistemas operacionais. É uma aplicação muito popular como ferramenta de administração de servidores, com pacotes disponíveis para a maioria das distribuições Linux, o AWStats também pode ser utilizado em Sistemas operacionais Windows e Mac OS.
Para instalar no Linux (distribuições como o Ubuntu) basta colocar o seguinte comando no terminal: apt-get install awstats
Segurança de Rede - Linux
A cada dia novos usuários de Linux surgem todos os dias, e graças à facilidade de acesso à Internet nos dias atuais a maior parte deles conecta suas máquinas pessoais a redes abertas sem maiores dificuldades.
Sabendo que o Linux é um sistema capaz de ser administrado remotamente, e que muitas configurações default de distribuições habilitam muitos processos servidores para iniciar automaticamente após a instalação, estes novos usuários acabam se transformando em uma ameaça a si próprios, pois expõem à Internet uma máquina aberta, devido à sua falta de conhecimento técnico.
Para piorar a situação, há abundância de textos sobre "segurança" disponíveis na internet, "ensinando" que para garantir uma configuração segura da sua máquina, tudo o que você tem a fazer é "comentar as linhas do inetd.conf", um conselho enganoso.
Primeiros passos
A segurança começa pela instalação do seu sistema Linux. Se você tem uma máquina sem configurações especiais de segurança e quer torná-la segura, uma opção interessante é reinstalá-la completamente, suprimindo assim qualquer erro que tenha sido cometido no passado; lembre-se que uma máquina invadida e onde estranhos obtiveram privilégios de superusuário jamais poderá ser considerada segura novamente, exceto se totalmente reinstalada a partir de uma mídia original (e se você corrigir as falhas que permitiram a invasão original).
Ao instalar o sistema, lembre-se dos seguintes itens:
*Só exponha o sistema à Internet após completar todos os procedimentos de segurança. Há muitos relatos de máquinas invadidas durante o processo de configuração inicial, graças a administradores que preferem confiar na sorte;
*Se a sua distribuição permitir, opte por uma instalação personalizada, e escolha apenas os pacotes que você sabe que irá usar. É muito fácil adicionar pacotes posteriormente, e será sempre um alívio quando você receber e-mail do seu fornecedor recomendando um upgrade urgente de segurança do servidor de Real Audio, e em seguida perceber que não precisa fazer nada a respeito pois não o instalou;
*Monte seu esquema de partições adequadamente. Se você for rodar algum serviço que gere armazenamento de dados em disco (uma proxy web, um servidor de mail, um servidor de news...), certifique-se de criar uma partição separada para o /var, evitando assim que os arquivos dos seus processos servidores possam lotar o espaço de armazenamento da máquina, tirando-a de operação (coisa que normalmente só pode ocorrer em caso de má configuração dos servidores, mas não há por que não levar a sério esta possibilidade);
*Após instalar todos os pacotes, instale todas as atualizações de segurança disponíveis no web site do seu fornecedor. Assine a lista de divulgação de novas atualizações, se disponível;
*Habitue-se a visitar sites de segurança para saber as novas vulnerabilidades a que você pode estar exposto.
Serviços desnecessários
Uma instalação padronizada de sistema operacional costuma habilitar uma série de serviços dos quais você não precisa, e que podem vir a servir como ponto de acesso para um invasor. Removê-los é relativamente fácil, e um passo essencial.
Editar corretamente o arquivo /etc/inetd.conf é básico. Este arquivo define quais os serviços básicos de internet estarão habilitados na sua máquina, e portanto acessíveis a partir de outras máquinas. Verifique atentamente quais destes serviços estão habilitados, e retire os que você não tiver uma boa justificativa para manter. Na dúvida, retire!
Retirar um serviço do inetd.conf é simples, basta acrescentar um caracter # no início da linha, transformando-a em um comentário. Se posteriormente você precisar habilitar novamente o serviço, basta retirar o #.
Máquinas domésticas em geral não precisam de nenhum serviço habilitado no inetd.conf, e podem até mesmo deixar de carregar o serviço inetd (inetd) na inicialização. Usuários de serviços online (como o irc) podem querer habilitar apenas o serviço auth. Não se deixe enganar pela ilusão de rodar servidores telnet, ftp e finger na sua máquina doméstica, exceto se você realmente tiver uma boa justificativa.
Após definir a sua configuração do inetd.conf, reinicie o processo do inetd, comandando killall -HUP inetd
Em seguida, você precisa verificar os serviços de rede standalone, que não são gerenciados pelo inetd.conf, mas sim pelos init scripts, de modo geral localizados abaixo do diretório /etc/rc.d. Cada distribuição de Linux lida com estes scripts de uma maneira um pouco diferente, então você terá que ler um pouco da documentação da sua preferida. Ferramentas como o ntsysv, o ksysv e o tksysv podem ajudar, e a sua distribuição pode ter oferecido algum outro pacote adicional que permita selecionar os scripts facilmente.
De modo geral, os init scripts definem quais serviços serão inicializados no momento do boot. Alguns serviços são aparentemente inócuos do ponto de vista de uma possível invasão (e.g. sound, random, apmd), enquanto outros claramente oferecem algum raio de ação para o potencial invasor (e.g. portmap, xntpd, netfs, rstatd, rusersd, rwalld, rwhod, bootparamd, squid, yppasswd, ypserv, dhcpd, snmpd, named, routed, lpd, gated, httpd, xfs, linuxconf e muitos outros).
Ao definir quais scripts você executará no boot, use o mesmo critério da seleção dos serviços do inetd; na dúvida, retire - se mais tarde você precisar, adicione novamente (após avaliar o impacto sobre a segurança). Particularmente evite rodar o servidor do linuxconf, rstatd, rusersd, rwalld, rwhod, os serviços do NIS (yp*) e os daemons de roteamento (como o gated). Se você for rodar um servidor web para uso interno, ou para testes, certifique-se de configurá-lo para aceitar requests apenas da sua rede interna, ou de sua máquina pessoal - segurança de servidores não será coberta neste texto.
Cuidado ao mexer nos scripts de inicialização
Leia sempre a documentação antes, e tenha à mão um disquete de inicialização completa, como o tomsrtbt para emergências, já que provavelmente o disquete de boot gerado durante a sua instalação do Linux não resolverá o problema. Outra boa dica é aprender a iniciar o sistema em modo monousuário quando tudo falhar.
Detalhes
*Desenvolva uma estratégia de backups confiável;
*Instale ferramentas de análise e rotação de logs;
*Instale ferramentas de garantia de integridade, como o tripwire (principalmente nos servidores);
*Certifique-se de estar usando shadow passwords (nada de senhas criptografadas visíveis no /etc/passwd - este recurso já vem habilitado como default em algumas das distribuições);
*Se você estiver com o servidor de ftp habilitado, configure-o adequadamente; não permita o acesso de root, restrinja a árvore de diretórios, reveja os direitos de acesso anônimos, considere a possibilidade de as senhas de acesso estarem sendo monitoradas em sua rede local;
*Desabilite o telnet e o ftp. Se você precisar deste tipo de serviço, use o ssh (tanto para login quanto para transferência de arquivos);
*Habilite os tcp wrappers (tcpd) e configure adequadamente os arquivos de restrição e permissão de acesso (em geral, /etc/hosts.deny e /etc/hosts.allow);
*Habilite filtros de pacotes (usando ipfwadm, ipchains ou a ferramenta que estiver disponível na sua versão);
*Não permita que outras máquinas iniciem conexões com a sua, exceto para as portas que você explicitamente definir;
*Bloqueie o acesso às portas dos seus serviços locais (xfs, X, servidor web utilizado para testes...).
Monitoração remota (RMON)
A monitoração emota (RMON) é uma especificação padrão de monitoração, que habilita vários sistemas e console e monitores de rede para o intercâmbio de dados de monitoração de rede. A RMON proporciona aos administradores de rede maior liberdade para seleção de consoles e sondas de monitoração com características que satisfaçam às necessidades específicas de suas redes.
A especificação RMON define um conjunto de estatísticas e funções que podem ser permutadas entre sondas de rede e gerentes de console compatíveis com a RMON. Dessa maneira a RMON, proporciona aos administradores uma diagnose abrangente de falhas na rede, planejamento e informações para o ajuste de desempenho.
Grupos RMON
A RMON fornece informações em nove grupos RMON de elementos de monitoração, cada um oferecendo conjuntos específicos de dados para atender às necessidades de monitoração de rede. Cada grupo é opcional, permitindo que cada fabricante ão precise incluir na MIB (Base de informaçõe de administração) todos os grupos.
Alguns grupos de RMON precisam de suporte de outros grupos RMON para que possam funcionar de maneira correta.
Extraído das páginas 525 e 526 do livro INTERNET WORKING MANUAL DE TECNOLOGIAS - Tradução da Segunda Edição.
IPTables
Um firewall é uma barreira inteligente entre duas redes, através do qual só passa tráfego autorizado.
Este tráfego é examinado pelo firewall em tempo real e a seleção é feita de acordo com a política de segurança estabelecida.
O IPTables composto por 3 tabelas:
¹filter: Tabela de filtros de pacotes;
²NAT (network address translation): Conexão de várias máquinas com endereço falso á internet através de poucos endereços IP ́s válidos;
³mangle: Altera o conteúdo dos pacotes.
O que são regras:
As regras são como comandos passados ao iptables
para que ele realize uma determinada ação (como bloquear ou deixar passar um pacote) de acordo com o endereço/porta de origem/destino, interface de origem/destino, etc. As regras são armazenadas dentro dos chains e processadas na ordem que são inseridas.
As regras são armazenadas no kernel, o que significa que quando o computador for reiniciado tudo o que fez será perdido. Por este motivo elas deverão ser gravadas em um arquivo para serem carregadas a cada inicialização.
Um exemplo de regra: iptables -A INPUT -s 123.123.123.1 -j DROP.
O que são chains:Os Chains são locais onde as regras do firewall definidas pelo usuário são armazenadas para operação do firewall. Existem dois tipos de chains: os embutidos (como os chains INPUT, OUTPUT e FORWARD) e os criados pelo usuário. Os nomes dos chains embutidos devem ser especificados sempre em maiúsculas (note que os nomes dos chains são case-sensitive, ou seja, o chain input é completamente diferente de INPUT).
Quando um pacote chega a uma table é verificado se alguma regra se aplica a ele. Caso não haja, é aplicada a política defaut.
Constituído por 3 chains:
INPUT – Pacote destinado a maquina de firewall.
OUTPUT – Pacote originado da maquina de firewall.
FORWARD – Pacote com destino e origem
separados pela maquina de firewall.
Quando um pacote entra numa interface de rede:
Se o pacote é para a máquina é enviado para o chain INPUT;
Se o destino não é esta máquina e o serviço de routing está ativo, o pacote vai para o chain FORWARD;
Se um processo da máquina envia um pacote para a rede o pacote vai para o chain OUTPUT.
Política Default:
A política default do firewall consiste na regra que será utilizada caso algum pacote não se encaixe em nenhuma das regras estabelecidas.
É altamente recomendado que a política default seja DROP, ou seja, tudo o que não for expressamente permitido será descartado (proibido).
Squid - proxy
Ele surgiu de um projeto entre o governo norte-americano e a a Universidade do Colorado.
Muitas das distribuições já vem com o squid instalado, mas caso sua distribuição não tenha o squid instalado visite o site www.squid-cache.org - e baixe a versão conforme a sua distribuição. Caso utilize Ubuntu, para instala-lo basta digitar no terminal: apt-get install squid
Proxy
Figura 1: Visão geral de um proxy
O proxy está rodando ou em um servidor firewall ou qualquer outro servidor interno que tenha acesso total a internet - ou em uma máquina dentro do firewall fazendo conexões com o mundo exterior através de SOCKS ou qualquer outro software firewall.
A habilidade que o proxy tem no uso do cache, o torna atrativo para aqueles que não estão dentro do firewall. Configurar um servidor proxy é fácil e os mais populares programas clientes Web já tem suporte a essa ferramenta. Sendo assim, torna-se simples a tarefa de configurar um grupo de trabalho inteiro para usar o serviço de cache do proxy. Isto reduz os custos com tráfego de rede porque muitos documentos que são requisitados são lidos do cache local.
A metodologia atual é baseada em um código de gateway escrito por Tim Berners-Lee como parte do libwww ( WWW commom Library). Kevin Altis, Ari Luotonen e Lou Montulli foram os principais contribuidores para a padronização do proxy.
Lou Montulli, autor de Lynx, fez as primeiras mudanças no libwww em colaboração com Kevin Altis. Ari Luotonen mantém o CERN httpd.
Porque proxy fica no nível de aplicação?
Um nível de aplicação proxy faz um firewall seguramente permeável para os usuários na organização sem criar um furo na segurança onde hackers poderiam entrar na rede da organização.
Para clientes Web, as modificações necessárias para suportar um nível de aplicação proxy são menores (leva-se apenas 5 minutos para adicionar suporte proxy para o Emacs Web Browser).
Não há necessidade de compilar versões especiais de clientes Web com bibliotecas firewall, o cliente "out-of-the-box" pode ser configurado para ser um cliente proxy. Em outras palavras, quando se usa proxy não necessitamos customizar cada cliente para suportar um tipo ou método especial de firewall: o proxy, em si, é um método padrão para acessar firewalls.
Usuários não têm que ter clientes FTP, Gopher e WAIS separados (muito menos modificados) para acessar um firewall - um simples cliente Web com um servidor proxy trata todos esse casos. O proxy também padroniza a aparência de clientes Gopher e FTP.
O proxy permite que os programadores esqueçam as dezenas de milhares de linhas de código necessárias para suportar cada protocolo e se concentrem em coisas mais importantes - é possível ter clientes "peso-leve" que somente compreendam HTTP (nenhum suporte nativo aos protocolos FTP, Gopher, etc) - outros protocolos são manuseados transparentemente pelo proxy. Usando HTTP entre o cliente e o proxy, nenhuma funcionalidade
Clientes sem DNS (Domain Name Service) também podem usar a Web. O endereço IP do proxy é a única informação realmente necessária. Organizações usando endereços, por exemplo, classe A (como 10.*.*.*), em suas redes particulares podem ainda acessar a internet contanto que o proxy seja visível tanto para a rede particular como para a Internet.
Proxy permite um alto nível de log das transações de clientes, incluindo endereço IP, data e hora, URL, contagem de bytes e código de sucesso. Qualquer campo (seja de meta-informação ou seja comum) em uma transação HTTP é um candidato para log. Isto não é possível com log no nível IP ou TCP.
Também é possível fazer a filtragem de transações de clientes no nível do protocolo de aplicação. O proxy pode controlar o acesso a serviços por métodos individuais, servidores e domínios, etc.
Outra feature interessante do proxy é a cache. O uso de cache é mais efetivo no servidor proxy do que em cada cliente. Isto salva espaço em disco, desde que somente uma cópia é guardada, como também permite um uso de "cache inteligente", onde os documentos frequentemente referenciados por muitos clientes são guardados por um periodo mais longo de tempo pelo cache manager.
O uso de cache também torna possível acessar algumas páginas mesmo que servidores estejam fora do ar. Essa facilidade torna o serviço melhor, visto que recursos remotos como um site FTP ocupado que são frequentemente inacessíveis remotamente podem ser agora acessíveis através do cache local. Pode-se citar uma infinidade de usos que podemos fazer com o cache: fazer uma demonstração de algum lugar com uma baixa velocidade de conexão, ler documentos com a máquina não-conectada (obviamente após colocar todos documentos no cache local), etc.
Clientes sem DNS (Domain Name Service) também podem usar a Web. O endereço IP do proxy é a única informação realmente necessária. Organizações usando endereços, por exemplo, classe A (como 10.*.*.*), em suas redes particulares podem ainda acessar a internet contanto que o proxy seja visível tanto para a rede particular como para a Internet.
Proxy permite um alto nível de log das transações de clientes, incluindo endereço IP, data e hora, URL, contagem de bytes e código de sucesso. Qualquer campo (seja de meta-informação ou seja comum) em uma transação HTTP é um candidato para log. Isto não é possível com log no nível IP ou TCP.
Também é possível fazer a filtragem de transações de clientes no nível do protocolo de aplicação.
O proxy pode controlar o acesso a serviços por métodos individuais, servidores e domínios, etc.
Outra feature interessante do proxy é a cache. O uso de cache é mais efetivo no servidor proxy do que em cada cliente. Isto salva espaço em disco, desde que somente uma cópia é guardada, como também permite um uso de "cache inteligente", onde os documentos frequentemente referenciados por muitos clientes são guardados por um periodo mais longo de tempo pelo cache manager.
O uso de cache também torna possível acessar algumas páginas mesmo que servidores estejam fora do ar. Essa facilidade torna o serviço melhor, visto que recursos remotos como um site FTP ocupado que são frequentemente inacessíveis remotamente podem ser agora acessíveis através do cache local. Pode-se citar uma infinidade de usos que podemos fazer com o cache: fazer uma demonstração de algum lugar com uma baixa velocidade de conexão, ler documentos com a máquina não-conectada (obviamente após colocar todos documentos no cache local), etc.
Em geral, autores de clientes Web não tem razão para usar versões de firewalls em seus códigos. O proxy é mais simples para configurar do que SOCKS e trabalha em todas as plataformas, não somente UNIX.
Componentes Básicos do SNMP
Um dispositivo administrado é um nó de rede que contém um agente SNMP e que se encontra em uma rede adiministrada. Os dispositivos administrados coletam e armazenam informações de administração e tornam essas informações disponíveis para os sistemas NMSs que utilizam o protocolo SNMP. Os dispositivos gerenciados, às vezes chamados de elementos de rede, podem ser roteadores e servidores de acesso, switches e bridges, hubs, l com o protocolo SNMPcomputadores hots ou impressora.
Um agente
Os sistemas NMS executam aplicações que monitoram e controlam os dispositivos administrados. Os NMSs fornecem o volume de recursos de processamento e de memória necessários para a administração de rede. É preciso haver um ou mais sistemas NMSs em qualquer rede que seja administrada.
Extraído da página 529 do Livro INTERNET WORKING TECHNOLOGIES HANDBOOK – Tradução da segunda edição.
Tunnelling
Em se tratando de um ramo do protocolo TCP/IP, o SSH e o Telnet, pode-se criar uma conexão entre dois computadores, intermediada por um servidor remoto, fornecendo a capacidade de redirecionar pacotes de dados.
Por exemplo, se alguém se encontra dentro de uma instituição cuja conexão à Internet é protegida por um firewall que bloqueia determinadas portas de conexão, não será possível, por exemplo, acessar e-mails via POP3, o qual utiliza a porta 110, nem enviá-los via SMTP, pela porta 25.
As duas portas essenciais são a 80, para HTTP e a 443, para HTTPS, as quais garantem uma navegação em páginas da Web sem restrições.
Não há necessidade do administrador da rede deixar várias portas abertas, uma vez que conexões indesejadas e que comprometam a segurança da instituição possam ser estabelecidas através mesmas.
Contudo, isso compromete a dinamicidade de aplicações na Internet. Um funcionário ou aluno que queira acessar painéis de controle de sites, arquivos via FTP ou amigos via Instant Messengers, por exemplo, não terá a capacidade de fazê-lo, uma vez que as respectivas portas para seus funcionamentos estão bloqueadas.
Para quebrar essa imposição rígida, porém necessária, o SSH oferece o recurso do Túnel.
O processo se caracteriza por duas máquinas ligadas ao mesmo servidor SSH, que faz apenas o redirecionamento das requisições do computador que está sob firewall.
O usuário envia para o servidor um pedido de acesso ao servidor pop.xxxxxxxx.com pela porta 443 (HTTPS), por exemplo. Então, o servidor acessa o computador remoto e requisita a ele o acesso ao protocolo, retornando um conjunto de pacotes referentes à aquisição.
O servidor codifica a informação e a retorna ao usuário via porta 443. Sendo assim, o usuário tem acesso a toda a informação que necessita.
É importante salientar que a prática do Tunnelling não é ilegal caso o fluxo de conteúdo esteja de acordo com as normas da instituição.
Criando um túnel SSH
# ssh -l usuário localhost -L2004:serviço a ser acessado:80 -f sleep 60
Isso basicamente redireciona o tráfego da porta 80 do servidor remoto para a porta 2004 do host local, com um timeout de 60 segundos.
Agora, no seu browser basta colocar o endereço:
http://localhost:2004
Assim sua navegação está encriptada.
Operações do SNMP
*Get - Utilizada para ler o valor de uma variável; o gerente solicita que o agente obtenha o valor da variável;
*Set - Utilizada para alterar o valor da variável; o gerente solicita que o agente faça uma alteração no valor de uma variável;
*Trap - Utilizada para comunicar um evento ; o agente comunica ao gerente o acontecimento de um evento previamente determinado.
Configuração de rede em Linux
O primeiro passo deste tutorial é para configurar uma rede no Linux. Identificar a placa de rede (ou mais) instaladas. Utilize o comando: sudo mii-tool
Um resultado desse comandopossível seria: eth0: negotiated 100baseTx-FD, link ok
Indicando que o sistema contém a placa (interface) denominada eth0, operando a 100 Mbps e com link operacional.
Configuração da interface de rede
Para configurar esta placa deve-se editar o arquivo /etc/network/interfaces. Um exemplo seria:
auto lo
# Configurar interface de loopback na inicialização
iface lo inet loopback# Definição da interface de loopback
auto eth0
#Configurar interface eth0 na inicialização
iface eth0 inet static
# Interface eth0 com endereço estático
address 192.168.1.1
# Endereço da interface
netmask 255.255.255.0
# Máscara de rede
broadcast 192.168.1.255
# Endereço de broadcast
gateway 192.168.1.254
# Gateway padrão
auto eth1
# Configurar interface eth1 na inicialização
iface eth1 inet dhcp
# Configurar por DHCP
Para fazer com que uma interface pare de funcionar temporariamente digite o comando:
sudo ifdown eth0
Para fazer com que uma interface entre em operação digite o comando:
sudo ifup eth0
Para verificar como está configurada uma interface digite o comando:
ifconfig eth0
Para configurar uma interface temporariamente (para definir um endereço, máscara e gateway) digite o comando:
sudo ifconfig eth0 192.0.0.1 netmask 255.255.255.0 gw 192.0.0.254 up
Gateway e roteamento
Para definir um gateway, é necessário estabelecer uma rota. Por exemplo:
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.0.0.254
irá criar uma rota para a rede 0.0.0.0 com máscara 0.0.0.0 (ou seja, a Internet) passando pelo gateway 192.0.0.254.
Nome do computador
O nome da máquina deve ser definido de duas formas. Primeiramente com o comando hostname:
sudo hostname PontodeRedesServer
E o arquivo /etc/hosts deve ter, no mínimo, linhas como as seguintes:
127.0.0.1 localhost
127.0.1.1 PontodeRedesServer
Servidores de DNS
Para definir o endereço dos servidores DNS a serem consultados, utiliza-se o arquivo /etc/resolv.conf. Um exemplo de arquivo seria:
nameserver 200.199.198.197
nameserver 197.198.199.200
Diferenças entre as versões SNMP
O SNMPv1 consiste de três documentos:
RFC 1155 define o Structure of Management Information (SMI). Ou seja, os mecanismos usados para descrever e nomear os objetos que serão gerenciados
>RFC 1212 define um mecanismo de descrição mais conciso mas é inteiramente consistente ao SMI.
>RFC 1157 define o Simple Network Management Protocol (SNMP)
Os dois primeiros documentos definem a linguagem de dados. O terceiro documento define as operações do protocolo SNMPv1 utilizando protocol data units (PDUs). Os operadores definidos no SNMPv1 são: get, get-next, get-response, set-request e trap.
Muitos dos conceitos de segurança e administração encontrados no SNMPv3 são encontrados no modelo do SNMPv1.
O SNMPv1 introduz o conceito serviço de autenticação suportando um ou mais métodos. No SNMPv3 o conceito de autenticação foi expandido para incluir serviços como privacidade.
O modelo SNMPv1 possui o controle de acesso baseado num conceito chamado SNMP MIB view. O SNMPv3 especifica um conceito fundamentalmente similar chamado view-based access control.
Apesar do SNMPv1 ter antecipado um serviço de autenticação suportando vários métodos, não foi criado nenhum método além de uma simples autenticação baseada em community strings. Essa foi a grande deficiência do SNMPv1. Como o conceito de "segurança" pode ser interpretado de modo bastante diferente por cada usuário, o serviço de autenticação do SNMPv1 ficou para ser definido em um outro bloco o qual nunca foi posto em prática. O modelo SNMPv3 já possui uma arquitetura para esse bloco.
SNMPv2
O SNMPv2 está descrito nas RFCs: 1902, 1903,1904, 1905, 1906, and 1907. A relação entre o SNMPv1 e o SNMPv2 está descrita no RFC 1908.
O SNMPv2 possui algumas vantagens sobre o SNMPv1. São elas:
*Mais um tipo de dados: 64 bit counter;
*Melhora na eficiência e na performance: operador get-bulk;
*Notificação de evento confirmado: operador inform;
*Maior detalhamento dos erros;
*Modos facilitados de criação e deleção de linhas na MIB;
*Melhorias na definição da linguagem de dados.
Apesar do modelo SNMPv2 estar descrito no RFCs 1902-1907, alguns objetivos iniciais do projeto não foram implementados. Os objetivos não alcançados incluem o fornecimento de segurança tais como:
*autenticação: identificação da origem, integridade da mensagem;
*privacidade: confidencialidade;
*autorização e controle de acesso.
SNMPv3
Os RFCs do SNMPv3 foram produzidos pelo SNMPv3 Working Group da Internet Engineering Task Force (IETF). Esse Working Group se baseou bastante nos documentos Draft Standard do SNMPv2. Como resultado o SNMPv3 é o SNMPv2 com blocos de segurança e administração.
O modelo SNMPv3 descrito nos RFCs 2570, 2571, 2572, 2573, 2574, e 2575, relaciona as deficiências no SNMPv2 em relação a segurança e admninistração. A co-existência do SNMPv1, SNMPv2 e SNMPv3 está descrita no RFC 2576 .
Novas ferramentas foram adicionadas no SNMPv3. São elas:
*Segurança;
*autenticação e privacidade ;
*autorização e controle de acesso;
*Modelo administrativo;
*nomeação das entidades;
*gerência das chaves;
*notificação dos destinos;
*relação dos proxys configuração remota através de operadores SNMP.
Protocolo de gerenciamento SNMP
O protocolo SNMP (Simple Network Management Protocol) tem como premissa à flexibilidade e a facilidade de implementação, também em relação aos produtos futuros.
O SNMP é um protocolo de gerência definido a nível de aplicação, é utilizado para obter informações de servidores SNMP - agentes espalhados em uma rede baseada na pilha de
protocolos TCP/IP. Os dados são obtidos através de requisições de um gerente a um ou mais
agentes utilizando os serviços do protocolo de transporte UDP - User Datagram Protocol para
enviar e receber suas mensagens através da rede. Dentre as variáveis que podem ser requisitadas utilizaremos as MIBs podendo fazer parte da MIB II, da experimental ou da privada.
O gerenciamento da rede através do SNMP permite o acompanhamento simples e fácil
do estado, em tempo real, da rede, podendo ser utilizado para gerenciar diferentes tipos de sistemas.
Este gerenciamento é conhecido como modelo de gerenciamento SNMP, ou
simplesmente, gerenciamento SNMP. Portanto, o SNMP é o nome do protocolo no qual as informações são trocadas entre a MIB e a aplicação de gerência como também é o nome deste
modelo de gerência.
Os comandos são limitados e baseados no mecanismo de busca/alteração. No mecanismo de busca/alteração estão disponíveis as operações de alteração de um valor de um objeto, de obtenção dos valores de um objeto e suas variações.
A utilização de um número limitado de operações, baseadas em um mecanismo de
busca/alteração, torna o protocolo de fácil implementação, simples, estável e flexível. Como
conseqüência reduz o tráfego de mensagens de gerenciamento através da rede e permite a
introdução de novas características.
O funcionamento do SNMP é baseado em dois dispositivos o agente e o gerente. Cada
máquina gerenciada é vista como um conjunto de variáveis que representam informações referentes ao seu estado atual, estas informações ficam disponíveis ao gerente através de consulta e podem ser alteradas por ele. Cada máquina gerenciada pelo SNMP deve possuir um agente e uma base de informações MIB.
O Agente
É um processo executado na máquina gerenciada, responsável pela manutenção das
informações de gerência da máquina. As funções principais de um agente são:
* Atender as requisições enviadas pelo gerente;
*Enviar automaticamente informações de gerenciamento ao gerente, quando previamente
programado.
O agente utiliza as chamadas de sistema para realizar o monitoramento das informações
da máquina e utiliza as RPC (Remote Procedure Call) para o controle das informações da máquina.
O Gerente
É um programa executado em uma estação servidora que permite a obtenção e o envio
de informações de gerenciamento junto aos dispositivos gerenciados mediante a comunicação com um ou mais agentes.
Esta figura mostra como funciona o relacionamento de um gerente com o objeto gerenciado
O gerente fica responsável pelo monitoramento, relatórios e decisões na ocorrência de problemas enquanto que o agente fica responsável pelas funções de envio e alteração das informações e também pela notificação da ocorrência de eventos específicos ao gerente.
Esta figura mostra o relacionamento entre gerente e agente baseado no modelo TCP/IP
Serviços e Protocolos Associados às portas TCP e UDP
NCP
O NCP é composto por uma família de protocolos de rede. Ele estabelece e configura os diferentes protocolos na camada de rede que serão utilizados pelo PPP.
Links ponto-a-ponto tendem a agravar alguns problemas comuns a diversas famílias de protocolos de rede. Por exemplo, atribuição e gerenciamento de endereços IP é especialmente difícil sobre circuitos comutados com links ponto-a-ponto. Estes problemas são tratados pela família de Network Control Protocols( NCPs ), onde é necessário um gerenciamento específico para cada problema.
O Protocolo PPP
Basicamente, ele tem recursos que permitem a detecção de erros de transmissão; um subprotocolo chamado LCP (Link Control Protocol - Protocolo de Controle de Enlace) que é usado para ativar e desativar linhas de transmissão, testá-las e negociar opções de funcionamento; e um subprotocolo chamado NCP (Network Control Protocol - Protocolo de Controle de Rede) que é usado para fazer com que a camada de enlace de dados "converse" com a camada de rede.
Quanto ao NCP, existem vários tipos dele, cada um sendo usado para trabalhar em conjunto com um determinado protocolo correspondente na camada de rede.
Assim, foram criados numerosos protocolos de modem. Os primeiros dentre eles permitiam uma simples transmissão de dados entre duas máquinas, seguidamente alguns foram dotados de um controlo de erro, e com o aumento da Internet, foram dotados da capacidade de dirigir máquinas. Desta maneira, existem doravante dois grandes protocolos de modem:
¹SLIP: um protocolo antigo, fraco em controlos
²PPP: o protocolo mais utilizado para os acessos à Internet por modem, autoriza um endereçamento das máquinas
Configurando uma rede local por shell script
#! /bin/bash
#*******************************************************************
#Autor: Eduardo dos Santos Monteiro
#Data: 22/04/2005
#Versão:1.0
#Cidade: Goiânia
#Estado: GO
#*******************************************************************
clear
echo "Digite o nome da Interface que deseja configurar? (Ex.: eth0)"
read INTERFACE
echo "Digite o IP Desejado (Ex.: 192.168.1.1):"
read IP
echo "Digite a Mascara (Ex.: 255.255.255.0):"
read MASCARA
echo "Digite o Gateway (Caso não tenha deixe em branco):"
read GW
echo "Digite os Servidor de DNS Primário:"
read DNS1
echo "Digite os Servidor de DNS Secundário:"
read DNS2
echo "Digite o Nome do Atalho (Ex.:"rede1". Vai ser criado um shell-script executavel na pasta /bin. Bastando apenas todas as vezes que desejar iniciar essa rede digitar o comando $rede1)"
read ATALHO
#---------------------------------------------------------------------
# VERIFICA AS CONFIGURAÇÕES APRESENTADAS
#---------------------------------------------------------------------
echo $INTERFACE
echo $IP
echo $MASCARA
echo $GW
echo $DNS1
echo $DNS2
echo /bin/$ATALHO
#Iniciando Scripts
ifconfig $INTERFACE down
ifconfig $INTERFACE $IP netmask $MASCARA up
route add default gw $GW
echo "nameserver $DNS1" > /etc/resolv.conf
echo "nameserver $DNS2" >> /etc/resolv.conf
#Criando o Script
echo "ifconfig $INTERFACE down" > /bin/$ATALHO
echo "ifconfig $INTERFACE $IP netmask $MASCARA up" >> /bin/$ATALHO
echo "route add default gw $GW" >> /bin/$ATALHO
echo "echo nameserver $DNS1 > /etc/resolv.conf" >> /bin/$ATALHO
echo "echo nameserver $DNS2 >> /etc/resolv.conf" >> /bin/$ATALHO
chmod +x /bin/$ATALHO
#---------------------------------------------------------------------
# FIM DO SCRIPT
#---------------------------------------------------------------------
Endereço MAC
Representa-se um endereço MAC escrevendo, exatamente, 12 dígitos hexadecimais agrupados dois a dois – os grupos são separados por dois pontos.
Os três primeiros octetos são destinados à identificação do fabricante, os 3 posteriores são fornecidos pelo fabricante. É um endereço único, i.e., não existem, em todo o mundo, duas placas com o mesmo endereço.
Para descobrir o endereço MAC no Windows digite no prompt getmac ou ipconfig/all e no Linux digite no terminal ifconfig.
Wireless - Configuração Mac OS X
1) Clicar no ícone do Wireless e escolher Join Other Network:
2) Preencher os campos e clicar em Join:
3) Colocar novamente o seu password e clicar em OK:
4) Clicar em Open Network Preferences:
5) Clicar em Advanced:
6)Ir para o separador 802.1X:
7)Em Authentication retirar o visto do PEAP e EAP-FAST:
8) A única opção que deve ficar selecionada é a TTLS:
9) Clique em Configure com a opção TTLS selecionada:
10) Escolher a opção PAP e clicar em OK:
11)Clicar em Apply:
Listas de Controle de Acesso – ACL’s
Objetivos
Neste tutorial será apresentado os conceitos de ACL’s para controlar o tráfego de rede não desejado, bem como utilizá-las para implementar um recurso mínimo de segurança no ambiente. Será abordado também como e onde posicionar uma ACL para que a rede se torne eficiente.
Pré-requisitos:
Conhecer os modos de configuração de um roteador, salvar um arquivo de configuração, bem como os conceitos básicos do protocolo TCP/IP, tais como, endereços de rede, máscaras de sub-rede, protocolos TCP/UDP e portas de conexão.
Parte 1 – Conceitos de ACL’s
Atualmente, um dos grandes desafios do administrador de redes de uma empresa é sem dúvida alguma manter seu ambiente seguro e principalmente estabelecer um controle de tráfego de pacotes nesta rede, daí a necessidade de utilizarmos as Listas de Controle de Acesso.
Os roteadores fornecem uma filtragem básica de pacotes, como por exemplo, o bloqueio de acesso a determinados recursos na internet. Uma ACL nada mais é que uma seqüência de instruções que permitem ou negam acesso a determinada rede ou recursos disponíveis noutras redes.
Toda Lista de Controle de Acesso é primeiramente criada e depois aplicada a uma determinada interface do roteador, ao processar o pacote o roteador verifica as instruções definidas numa ACL e com base nessas informações aceita ou recusa o pacote.
Podemos criar listas de acesso para vários protocolos da camada de rede,tais como, IPX e IP. Devemos sempre considerar a ordem de aplicação das ACL’s, o Cisco IOS analisa uma seqüência de cima para baixo, ou seja, assim que haja uma correspondência encontrada na lista, existirá uma permissão ou negação do pacote e as demais instruções na ACL não serão verificadas.
Se não existir correspondência em nenhuma das linhas de verificação da Lista de Acesso, automaticamente existirá no final da ACL uma instrução deny any implícita por padrão. Essa instrução tem por objetivo negar todo o trafego que passa por essa interface do roteador.
Vale a pena então lembrar que a partir do momento que criarmos uma linha de instrução, o equipamento passa a verificar essa ACL e logo após estará implícito um deny any no final, por exemplo, digamos que eu queira liberar o tráfego FTP para uma determinada rede, se apenas definir essa instrução o restante do tráfego será negado justamente por causa da negação implícita no final da regra. Para solucionar este problema devemos ter bem definidas todas as condições de tráfego da rede a ser liberado e especificá-los em cada linha da ACL.
Caso não seja definida nenhuma Lista de acesso ao roteador, todo tráfego que passará nas interfaces será devidamente liberado a todas redes, tanto de entrada quanto de saída.
A recomendação é que no início do aprendizado de ACL’s devemos sempre adicionar no final da lista a instrução deny any, isso reforçará a lembrança de que existe sempre um deny implícito no final. À medida que a prática na criação de ACL’s for aumentando automaticamente lembraremos desta negação.
Vejamos então os objetivos de utilizarmos ACL’S:
» Como mencionamos anteriormente para limitar o acesso de pacotes indesejados que entram ou saem da rede;
» Implementação mínima de segurança;
» Definir qual rede será liberada ou bloqueada;
» Controlar o fluxo de pacotes preservando largura de banda da rede;
Máscara Curinga
Outro conceito importante que devemos entender ao estudarmos Listas de Acesso é o que chamamos de máscara curinga.
Uma máscara curinga é composta de 32 bits também divididos em 4 octetos e estes octetos estão emparelhados com os 32 bits do endereço IP. A diferença da máscara curinga para a máscara de sub-rede é que o numero 0 da máscara curinga representa verificar o octeto correspondente e o 1 representa descartar o octeto.
Um exemplo seria:
No endereço 192.168.10.89 com a máscara curinga 0.0.0.255, significa verificarmos os três primeiros octetos e descartarmos o último,
Parte 2– Tipos de ACL’s
Existem especificamente três tipos de Listas de Acesso que são:
» Listas de Acesso IP Padrão
» Listas de Acesso IP Estendidas
» Listas de Acesso com Nome
Listas de Acesso IP Padrão
Este é um tipo de Lista de Acesso baseado no endereço IP de origem. Esta ACL permite ou nega o tráfego de um conjunto inteiro de protocolos a partir dos endereços da rede, sub-rede ou host.
Toda configuração de uma ACL num roteador é seguida de um número que corresponde a um intervalo. Este número indica o tipo de Lista de Acesso definida. Para Listas do tipo Padrão o intervalo vai de 1 a 99.
Na versão 12.0.1 do IOS foi adicionado mais um intervalo que vai de 1300 a 1999. Com esse adicional podemos ter até 798 Listas de Acesso IP Padrão.
Primeiramente devemos definir as instruções de uma ACL e logo em seguida aplicarmos numa interface definindo o seu destino. Conceitualmente as listas de acesso IP Padrão devem ser aplicadas mais próximo do destino.
Obs. Todo o processo de configuração será visto no tutorial “Criando Listas de Acesso”.
Listas de Acesso IP Estendidas
Este é um tipo de Lista de Acesso bem mais utilizado, ele baseia todo o controle em endereços de rede de origem e destino, sub-rede, host, conjunto de protocolos e portas. Isso torna este tipo de ACL bem mais flexível e completa que uma lista padrão.
É possível configurar várias instruções para uma mesma lista de acesso, basta para isso conservar o mesmo número da lista. A quantidade de instruções definidas numa lista de acesso é limitada pela capacidade de memória do roteador.
O intervalo de uma Lista de Acesso Estendida vai de 100 a 199, também existe um intervalo adicional para versões de IOS mais recentes que vai de 2000 a 2699.
No final da ACL estendida temos a opção de definirmos o tipo de porta a ser utilizada. É possível especificar operações lógicas na configuração destas portas, tais como:
eq – igual
neq – diferente
gt - Maior do que
lt – menor do que
Essas operações lógicas são utilizadas em determinados protocolos.
ACL’s com Nome
Este tipo de Lista de Acesso foi introduzido na versão 11.2 do Cisco IOS. Esta lista permite que sejam atribuídos nomes ao invés de números às listas de acesso. A principal vantagem deste tipo de configuração está na identificação da lista, ou seja, podemos atribuir um nome que seja relacionado diretamente a função desta lista. Mas além desta vantagem posso destacar:
» Quantidade ilimitada de listas de acesso, visto que não fica na dependência da quantidade de números disponíveis nos intervalos;
» Permite a inserção de instruções no final da lista;
Devemos, porém considerar que neste tipo de lista não deve existir nome repetido, nem se o tipo de lista for diferente. Por exemplo:
Não é possível existir uma lista de acesso padrão e uma lista de acesso estendida com o nome VENDAS.
Definimos uma lista de acesso com nome através do comando ip Access list.
Obs. Todo o processo de configuração será visto no tutorial “Criando Listas de Acesso”.
Considerações sobre o posicionamento das Listas de Acesso
Para o bom funcionamento de uma lista de acesso devemos saber exatamente como e onde posicioná-las, isso fará com que a rede seja muito mais eficiente.
No geral a documentação da Cisco diz o seguinte:
Para listas de Acesso IP Padrão posicione o mais próximo do destino, pois estas se baseiam nos endereços de origem. Para as Listas de Acesso IP Estendidas posicione mais próximo da origem, pois como esta lista se baseia em endereços de origem, destino, tipo de protocolo e porta, o tráfego é analisado antes de sair da rede.
Extraído de: http://www.juliobattisti.com.br/tutoriais/luisepedroso/acl001.asp
Configurando redes wireless no Linux
Por exemplo no Ubuntu, você pode se conectar a redes wireless rapidamente utilizando o networkmanager, que se propõe a oferecer uma ferramenta unificada para se conectar a redes wireless e redes cabeadas e chavear entre elas.
Clicando sobre o ícone ao lado do relógio, você tem acesso à lista das redes disponíveis. Clicando sobre a rede desejada você tem acesso à janela de autenticação, onde é fornecida a passphrase da rede. Existem opções para escolher o padrão de encriptação (WEP, WPA ou WPA2) e o algoritmo de criptografia usado (TKIP ou AES), mas eles são normalmente detectados automaticamente:
A passphrase da rede é salva de forma segura usando o gnome-keyring, que pode ser usado também para armazenar outras informações. Você define uma senha de acesso, que precisa ser digitada a cada boot para destravar o keyring e, a partir daí, você pode se conectar a qualquer uma das redes wireless já configuradas sem precisar digitar a passphrase novamente.
Para conectar a um ponto de acesso configurado para não divulgar o SSID, use a opção "Conectar-se a outra rede sem fio" e especifique o SSID da rede, juntamente com o sistema de encriptação usado no menu seguinte:
A opção "Criar nova rede sem fio" permite criar uma rede ad-hoc, o que é muito útil para criar redes temporárias entre vários notebooks no mesmo ambiente.
O networkmanager salva a configuração das redes a que você já se conectou e passa a monitorar as redes disponíveis de forma contínua, tentando se conectar a elas automaticamente, escolhendo sempre a rede mais rápida ou com o melhor sinal.
Ao conectar o cabo de rede, ele chaveia para a rede cabeada automaticamente, caso um servidor DHCP esteja disponível, e volta a procurar pelas redes wireless quando o cabo é desconectado.
Para alguém que carrega o notebook para cima e para baixo e se conecta a diversas redes diferentes ao longo do dia, este recurso é bastante prático, mas em diversos casos ele pode se tornar indesejável, como em casos em que o PC fica continuamente conectado a uma única rede ou caso você precise manter mais de uma interface de rede ativa continuamente (no caso de um PC que compartilha a conexão, por exemplo).
Para desativar o chaveamento automático, acesse a opção "Configuração manual..." no menu de seleção de redes, acesse as propriedades da placa wireless e desative a opção "Habilitar modo de roaming", definindo em seguida a configuração manual da rede:
A partir daí, o sistema fica conectado apenas à rede definida e o applet ao lado do relógio deixa de mostrar as redes disponíveis. Para se conectar a outra rede, você deve acessar a janela de configuração e alterá-la manualmente.
Para voltar ao comportamento padrão, acesse novamente a opção "Configuração manual" e volte a ativar a opção "Habilitar modo de roaming" nas propriedades da interface.
Apesar do networkmanager ser normalmente associado ao Ubuntu e ao Kubuntu (que usa o knetworkmanager), ele está disponível também para uso em outras distribuições. Ele é na verdade composto por dois pacotes: o "networkmanager" propriamente dito, que inclui o daemon que fica residente, monitorando as interfaces de rede (e atualizando a configuração) e o "networkmanager-gnome" (ou o "knetworkmanager", no caso do KDE), que é a interface de configuração, mostrada no desktop.
Nas versões recentes do Fedora, por exemplo, os dois pacotes vem instalados por padrão, prontos para serem usados, mas é necessário ativar o serviço manualmente, usando os comandos:
# service NetworkManager start # service NetworkManagerDispatcher start(note o uso dos caracteres maiúsculos)
Assim que o serviço é iniciado, você notará o surgimento do ícone ao lado do relógio, mostrando as redes disponíveis. Para que o serviço passe a ser ativado automaticamente durante o boot, ative-o na configuração do chkconfig:
# chkconfig --level 345 NetworkManager on# chkconfig --level 345 NetworkManagerDispatcher on
Fazer uma rede direta entre dois computadores
¹Conectar um cabo cross-over entre os dois computadores;
²Configurar as conexões TCP/IP (Coloque um IP diferente em cada computador e a uma máscara de rede igual nos dois, se não for utilizar a internet não é necessário configurar gateway e DNS).
Para acessar as pastas compartilhadas do outro computador na rede você pode digitar no navegador (por exemplo) \\endereçoip do outro computador
Sniffers de pacotes de rede
Um protocolo de rede especifica como os pacotes são identificados e rotulados, permitindo que um computador determine se o pacote está destinado a ele intencionalmente. Como as especificações para os protocolos de rede, como o protocolo TCP/IP, são amplamente divulgadas, pessoas estranhas podem interpretar os pacotes de rede facilmente e devolver um sniffer (literalmente, um farejador de pacotes. (Hoje a verdadeira ameaça é o resultado do grande número de pacotes de sniffers disponíveis como shareware e freeware, que não exigem qualquer conhecimento por parte do usuário em relação aos protocolos subjacentes.) Um sniffer de pacotes é uma aplicação de software que utiliza uma placa de rede de uma maneira promíscua (uma maneira em que a placa de rede envia todos os pacotes recebidos no cabeamento físico da rede a uma aplicação para o respectivo processamento) para capturar todos os pacotes que são enviados por uma rede local.
Conteúdo extraído das página 486 e 487 do livro INTERNET WORKING TECHONOLOGIES HANDBOOK - TRADUÇÃO DA SEGUNDA EDIÇÃO.
Algoritmo CSMA/CD
O algoritmo define que o host, antes de transmitir, deve ouvir o meio para constatar que ele não está em utilização. Após verificar se há ou não alguém transmitindo ele toma a decisão de aguardar ou seguir para o próximo passo. Esse algoritmo tem dois pontos muito importantes. O sub-algoritmo de colisão e a questão de ouvir durante a transmissão.
Quando o host está transmitindo ele ouve o meio para certificar-se que “o que está no meio é o que ele enviou”. Se por acaso houver uma colisão ele irá ouvir algo diferente do que ele transmitiu, detectando assim, uma colisão. “Mas como pode haver uma colisão se todos ouvem o meio antes de transmitir?”. A transmissão se propaga pelo meio com um certo retardo assim, a transmissão de um host na porta A de uma cabo pode levar um certo tempo para chegar na ponta B. Dessa forma se dois hosts distantes tentarem transmitir ao mesmo tempo, ou quase ao mesmo tempo, pode haver colisão.
O ponto mais interessante desse algoritmo é o sub-algoritmo de colisão. Esse sub-algoritmo define se esse será um algoritmo CSMA/CD ou CSMA/CA. Em um algoritmo CSMA/CD esse sub-algoritmo ira gerar um sinal de JAM (de 32 bits) durante um certo. Esse sinal de JAM serve para avisar a todos os hosts desse barramento que houve uma colisão e que eles devem parar de transmitir. Os causadores da colisão, origem e destino, irão esperar um tempo aleatório definido pelo algoritmo de backoff. Após o tempo aleatório eles tentarão transmitir novamente.
Aumentar o alcance do sinal wireless
Tudo que você precisa é uma folha de papel comum, um pedaço de cartolina (pode ser também o papelão da tampa de alguma caixa ou embalagem), tesoura, cola e um pedaço de folha de alumínio.
Os caras do vídeo relatam que um micro que ficava distante do seu ponto de acesso e recebia sinal de apenas 82% passou a receber 100% imediatamente, assim que foi colocada uma antena Windsurfer no ponto de acesso Linksys.
Vale lembrar que a vantagem do efeito é direcional, e que tem recíproca: o sinal na direção oposta fica bastante reduzido.
Microsoft Visio - Tutorial
Tutorial (inglês)
Divulgue o Ponto de Redes
Você pode colocar o banner abaixo em seu site com o link para http://pontoderedes.blogspot.com
MUITO OBRIGADO!
Microsoft Visio
O Microsoft Visio é muito utilizado para fazer mapeamento de rede, como pode ser visto na figura a seguir:
O produto foi desenvolvido pela Visio Corporation, uma empresa independente que foi adquirida em 2000 pela Microsoft. Desde então, o Visio foi incorporado ao pacote de ferramentas de produtividade.
Você pode fazer o download da versão de avaliação no seguinte link: http://office.microsoft.com/pt-br/visio/default.aspx