Administração Redes Informáticas 2ª ed

Page 1


1 - Introdução As redes informáticas fazem já parte do nosso dia-a-dia, mesmo quando não nos apercebemos de que elas estão lá. Tentemos imaginar um mundo sem redes de comunicação de dados e sem Internet, e depressa perceberemos que tal teria um impacto drástico na economia, na sociedade e, por conseguinte, nas nossas vidas. Mas para que as redes sejam constituídas e se mantenham operacionais, “exércitos” de administradores de redes trabalham diariamente, lutando contra os mais variados factores. O presente livro foi escrito a pensar nesses “exércitos”, nos quais os autores voluntariamente se alistaram há muitos anos. Neste capítulo introdutório, começa-se por identificar os principais desafios na administração das actuais infra-estruturas de redes. De seguida, explica-se os objectivos do presente livro, bem como a abordagem adoptada para os atingir, e identifica-se o público-alvo. Por fim, descreve-se a estrutura de capítulos utilizada, fazendo-se uma breve introdução a cada um deles.

1.1 Desafios da administração de redes O trabalho de um administrador – ou gestor – de redes informáticas abrange todas as fases da vida deste tipo de infra-estruturas: o planeamento e projecto, a operação e manutenção e, por fim, a melhoria e/ou substituição. Saindo o planeamento e projecto de redes informáticas fora do âmbito do presente livro (estes assuntos são extensamente tratados no livro Engenharia de Redes Informáticas, da mesma editora e colecção), há, no entanto, aspectos preparatórios com eles relacionados aos quais um administrador de sistemas deve dar especial atenção. Como em muitas outras infra-estruturas, a vida de uma infra-estrutura de redes compreende três fases: uma inicial, que denominaremos fase de preparação; uma fase de funcionamento, que denominaremos fase de exploração; e uma fase de melhoria e/ou substituição, que designaremos por fase de evolução. Em todas estas fases devem ser tidos em atenção aspectos como a escolha de tecnologias, o plano de endereçamento, as políticas e mecanismos de encaminhamento e, ainda, a operacionalização de serviços de suporte, dos quais os serviços de nomeação são peça fundamental. A disponibilidade de tecnologias de muito alto débito, a custos relativamente reduzidos, tem provocado uma evolução das instalações dos utilizadores. Mesmo os utilizadores individuais dispõem, nas suas casas, de redes informáticas interligando uma multiplicidade © FCA - Editora de Informática

1


ADMINISTRAÇÃO DE REDES INFORMÁTICAS

de dispositivos e equipamentos, tendo necessidades crescentes de largura de banda de acesso à Internet. Utilizadores institucionais como, por exemplo, empresas, instituições de ensino e investigação, ou organismos governamentais, são simultaneamente geradores e consumidores de grandes volumes de tráfego dependendo, por vezes, de forma crítica, da disponibilidade de comunicação. Por outro lado, os operadores têm ao seu dispor tecnologias que possibilitam débitos da ordem das centenas ou milhares de Gigabits por segundo nas suas redes de núcleo. Neste contexto, as redes de acesso, que ligam as redes de utilizadores às redes dos operadores, assumem um papel fundamental, não devendo constituir um ponto de estrangulamento. O plano de endereçamento é um instrumento essencial para um gestor de redes. Esse plano define, entre outros aspectos, as gamas de endereços a utilizar, quer na rede global quer nas suas sub-redes, tendo impacto na conectividade e visibilidade de sistemas para o exterior e, ainda, no encaminhamento. De facto, endereçamento e encaminhamento estão, inevitavelmente, relacionados, dado que, presentemente, o endereçamento serve simultaneamente para a identificação de sistemas e para a determinação (com base nos mecanismos de encaminhamento) da sua localização na rede. Este aspecto assume uma importância maior no actual ambiente de mobilidade de utilizadores. De referir, ainda, que o previsível esgotamento a curto prazo do espaço de endereçamento IPv4 coloca novos desafios aos administradores de redes, dado que têm que planear e concretizar, de imediato, a migração para endereçamento IPv6. A interligação de redes exige a adopção de políticas de encaminhamento que garantam que a comunicação entre duas quaisquer máquinas seja possível. São essas políticas que vão, em última análise, determinar os caminhos a utilizar pelas unidades protocolares de dados que circulam na rede. Dadas a dimensão e complexidade da actual Internet, várias abordagens podem ser seguidas em termos de encaminhamento, desde as mais simples – que recorrem a um encaminhamento estático – às mais complexas, baseadas em abordagens dinâmicas, que respondem automaticamente a modificações de topologia e estado da rede. Tecnologias, endereçamento e encaminhamento são fundamentais para a operacionalidade das redes, mas não são suficientes. De forma a possibilitar que os serviços de rede funcionem, é necessária a disponibilização de uma base de dados de nomeação, que permita a tradução de nomes de máquinas/servidores em endereços de rede e vice-versa. Tal base de dados – acessível através do serviço Domain Name System, DNS – deve ser dinâmica, extensível, escalável e robusta, de forma a não constituir entrave ao funcionamento das aplicações. Note-se que sem o serviço de DNS o funcionamento da generalidade das aplicações – das quais o WWW e o correio electrónico são exemplos comuns – é inviabilizado, na prática. Tratando-se de um serviço crítico, os administradores de redes devem assegurar que este se encontra operacional, através da concretização dos necessários mecanismos de segurança, redundância e escalabilidade. Para além dos aspectos acima referidos – a saber, tecnologias, endereçamento, encaminhamento e serviços de suporte –, outros desafios assumem crucial importância para a garantia da 2

© FCA - Editora de Informática


INTRODUÇÃO

operacionalidade das redes informáticas, devendo ser alvo de atenção constante por parte dos gestores de redes. Incluem-se nesses desafios a autenticação de utilizadores, a autorização de acesso a serviços, a contabilização da utilização de recursos, a segurança e a monitorização da rede. Actualmente, o número e tipo de utilizadores de uma rede caracterizam-se por forte dinamismo. A mobilidade de utilizadores possibilitada quer por tecnologias, quer por mecanismos de atribuição dinâmica de endereços quer, ainda, por mecanismos de encaminhamento vocacionados para o suporte de roaming entre redes, estão na base desse dinamismo. Neste cenário, é fundamental que um administrador de redes disponha de soluções que permitam a autenticação dos utilizadores (isto é, que garantam que o utilizador é quem diz ser), o controlo do acesso aos serviços (isto é, que garantam que quem acede aos serviços tem o direito de o fazer) e, ainda, a contabilização da utilização dos recursos. A implantação de soluções de AAA (authentication, authorisation, accounting) eficazes, flexíveis e abrangendo ambientes heterogéneos é crucial para um funcionamento controlado e adequado da rede e serviços. Apesar de ser perfeitamente possível operar uma rede isolada, isto é, uma rede sem qualquer ligação a outra rede, tal não é frequente. A esmagadora maioria das redes apresenta ligações a outras redes e, por conseguinte, os seus administradores devem garantir que todos os acessos de e para o exterior são efectuados de forma controlada. A implantação de soluções para redes seguras é, sem dúvida, um dos requisitos fundamentais de qualquer rede. Infelizmente, mais frequentemente do que aquilo que se pensa, as redes apresentam fragilidades, quer em termos de acesso externos quer internos, só reveladas após a ocorrência de incidentes de segurança mais ou menos graves. Compete aos administradores de redes, a adopção de soluções eficazes contra a grande diversidade de tipos de ataques aos quais as actuais redes estão sujeitas. Tal constitui, em regra, um dos principais desafios com que estes se deparam. Uma rede em fase de exploração não é, ao contrário do que poderia parecer, sinónimo de descanso para os seus gestores. Falhas de equipamentos ou serviços podem ocorrer a qualquer momento. Alterações de configuração podem ser necessárias, quer para optimizar o funcionamento, quer como resposta a alterações de equipamentos ou de versões de software. A utilização de recursos deve ser contabilizada, principalmente se esta for alvo de taxação. O desempenho da rede e serviços deve ser acompanhado, como forma de identificar estrangulamentos ou situações anómalas. A segurança da rede e serviços deve ser constantemente assegurada. Para levar a cabo todas estas funções, um administrador de redes deve socorrer-se, tanto quanto possível, de mecanismos de monitorização e medição automatizados, que o alertem para situações que necessitem de intervenção humana e que permitam recolher todo um conjunto de dados úteis a essa intervenção. Por fim, devem os administradores de redes, socorrer-se de ferramentas de inventário, que permitam um adequado controlo de todos os recursos de hardware e software existentes, bem como de ferramentas de interacção com – e suporte a – utilizadores. Afinal de © FCA - Editora de Informática

3


ADMINISTRAÇÃO DE REDES INFORMÁTICAS

contas, é para estes que as infra-estruturas de rede são planeadas, projectadas, postas em exploração e optimizadas.

1.2 Objectivos do livro e abordagem utilizada O assunto da administração de redes encontra-se já tratado – embora com ênfase na gestão de sistemas – em múltiplas monografias. Neste contexto, como se justifica a publicação do presente livro? Este livro tem por objectivos principais apresentar, analisar, discutir e apontar soluções para os principais desafios que se colocam aos administradores das modernas redes informáticas. Apesar de estarem identificados há bastante tempo, é para esses desafios que, paradoxalmente, existe uma maior carência de soluções eficazes e testadas, adaptadas às reais necessidades das actuais redes informáticas, justificando-se, por isso, a publicação do presente texto. Por outro lado, é de realçar a adopção de uma abordagem radicalmente diferente daquela que é seguida tradicionalmente. Não se pretende, neste livro, escalpelizar conceitos com recurso a um bisturi de carácter fortemente teórico, o que – sendo interessante para certos públicos – não o é para um administrador de redes confrontado com a necessidade da resolução urgente de problemas de gestão de uma rede e serviços, da qual depende, frequentemente, a actividade de toda uma organização. Por outro lado, também não se pretende simplesmente enunciar “receitas” estáticas e pré-concebidas, fortemente dependentes de ferramentas concretas ou da tecnologia do momento, limitando a aplicabilidade do texto a exemplo, ambientes e tempos específicos. A abordagem subjacente a todo o livro privilegia o equilíbrio entre a componente teórica e a prática. Por um lado, os conceitos são explicados com a profundidade estritamente necessária à sua compreensão, de forma a que um administrador de redes perceba os problemas, alternativas e soluções a adoptar. Por outro, são apresentadas e discutidas soluções e ferramentas testadas em ambientes reais, utilizáveis no dia-a-dia da gestão de redes. Sempre que possível, são apresentadas e/ou discutidas soluções, quer para ambientes open source quer para os ambientes proprietários mais comuns. Tendo em atenção os aspectos acima referidos, podem ser identificados vários públicos-alvo. Podem beneficiar deste livro docentes e estudantes de licenciatura e mestrado, em disciplinas na área das redes de computadores, redes de telecomunicações, gestão de sistemas e redes, segurança e, ainda, mobilidade. O livro é também adequado aos profissionais com responsabilidades na instalação e administração de redes informáticas em empresas de pequena, média e grande dimensão, em operadores de telecomunicações, em fornecedores de serviços IP e na administração pública.

4

© FCA - Editora de Informática


INTRODUÇÃO

1.3 Organização do presente texto Para além do Capítulo 1, onde são abordados o âmbito, objectivos e público-alvo, o livro é composto por seis capítulos adicionais que abordam, sucessivamente, as tecnologias e o endereçamento nas actuais infra-estruturas de rede, o DNS como serviço de suporte, as soluções para a autenticação de utilizadores, a constituição e operação de redes seguras, a monitorização e medição na rede e, por fim, algumas soluções simples para problemas comuns de gestão de redes. O Capítulo 2 – intitulado “As actuais infra-estruturas de rede” – encontra-se organizado em duas grandes secções. Na primeira, são abordadas as principais tecnologias de rede, a saber: Ethernet, Wi-Fi, MPLS, SONET/SDH, xDSL, cable modem, WiMAX e redes ópticas de subscritor. A segunda secção é dedicada ao endereçamento, quer IPv4 quer IPv6. O Capítulo 3 é dedicado ao encaminhamento. Começa-se por apresentar os conceitos fundamentais e uma abordagem dos principais aspectos envolvidos na implementação e escolha de routers. De seguida, descrevem-se os tipos de encaminhamento estático e dinâmico, sendo referidos os principais protocolos, ao nível do encaminhamento interior e exterior. Ao longo do capítulo são apresentados vários exemplos de aplicação. No Capítulo 4, é abordado o DNS como suporte dos serviços de rede. Para além de considerações relativas ao espaço de nomeação e à sua gestão, são abordados os princípios de funcionamento do DNS, tipos de servidores e sua configuração, configuração de clientes e suporte de serviços adicionais. São, ainda, abordadas questões fundamentais, como a segurança, a utilização em ambientes IPv6, o registo de domínios e a verificação do serviço de DNS. O Capítulo 5 é dedicado às soluções para a autenticação de utilizadores. Começa-se por apresentar as componentes lógicas de um sistema de AAA. Segue-se uma abordagem das soluções existentes para autorização e contabilização do acesso a recursos, bem como uma resenha dos protocolos de AAA existentes. Uma boa parte do capítulo é dedicada ao repositório de credenciais LDAP e aos protocolos de acesso a esse repositório, dos quais se destacam os protocolos LDAP e RADIUS. O capítulo termina com a apresentação de soluções mais comuns para diversos ambientes, à qual se segue uma abordagem de questões de redundância e escalabilidade. No Capítulo 6 – “Soluções para redes seguras” – começa-se por apresentar os principais conceitos de segurança e tipos de ameaças. Segue-se uma abordagem de um conjunto de soluções para o perímetro externo, que incluem as firewalls e a utilização de NAT. No que diz respeito ao perímetro interno, são detalhadas questões relativas à utilização do IEEE 802.1X, NAC appliances e VPN. No Capítulo 7, são abordadas as questões de monitorização e medição na rede. Para além de uma breve introdução ao SNMP e à arquitectura na qual este se enquadra, são © FCA - Editora de Informática

5


INTRODUÇÃO

1.3 Organização do presente texto Para além do Capítulo 1, onde são abordados o âmbito, objectivos e público-alvo, o livro é composto por seis capítulos adicionais que abordam, sucessivamente, as tecnologias e o endereçamento nas actuais infra-estruturas de rede, o DNS como serviço de suporte, as soluções para a autenticação de utilizadores, a constituição e operação de redes seguras, a monitorização e medição na rede e, por fim, algumas soluções simples para problemas comuns de gestão de redes. O Capítulo 2 – intitulado “As actuais infra-estruturas de rede” – encontra-se organizado em duas grandes secções. Na primeira, são abordadas as principais tecnologias de rede, a saber: Ethernet, Wi-Fi, MPLS, SONET/SDH, xDSL, cable modem, WiMAX e redes ópticas de subscritor. A segunda secção é dedicada ao endereçamento, quer IPv4 quer IPv6. O Capítulo 3 é dedicado ao encaminhamento. Começa-se por apresentar os conceitos fundamentais e uma abordagem dos principais aspectos envolvidos na implementação e escolha de routers. De seguida, descrevem-se os tipos de encaminhamento estático e dinâmico, sendo referidos os principais protocolos, ao nível do encaminhamento interior e exterior. Ao longo do capítulo são apresentados vários exemplos de aplicação. No Capítulo 4, é abordado o DNS como suporte dos serviços de rede. Para além de considerações relativas ao espaço de nomeação e à sua gestão, são abordados os princípios de funcionamento do DNS, tipos de servidores e sua configuração, configuração de clientes e suporte de serviços adicionais. São, ainda, abordadas questões fundamentais, como a segurança, a utilização em ambientes IPv6, o registo de domínios e a verificação do serviço de DNS. O Capítulo 5 é dedicado às soluções para a autenticação de utilizadores. Começa-se por apresentar as componentes lógicas de um sistema de AAA. Segue-se uma abordagem das soluções existentes para autorização e contabilização do acesso a recursos, bem como uma resenha dos protocolos de AAA existentes. Uma boa parte do capítulo é dedicada ao repositório de credenciais LDAP e aos protocolos de acesso a esse repositório, dos quais se destacam os protocolos LDAP e RADIUS. O capítulo termina com a apresentação de soluções mais comuns para diversos ambientes, à qual se segue uma abordagem de questões de redundância e escalabilidade. No Capítulo 6 – “Soluções para redes seguras” – começa-se por apresentar os principais conceitos de segurança e tipos de ameaças. Segue-se uma abordagem de um conjunto de soluções para o perímetro externo, que incluem as firewalls e a utilização de NAT. No que diz respeito ao perímetro interno, são detalhadas questões relativas à utilização do IEEE 802.1X, NAC appliances e VPN. No Capítulo 7, são abordadas as questões de monitorização e medição na rede. Para além de uma breve introdução ao SNMP e à arquitectura na qual este se enquadra, são © FCA - Editora de Informática

5


ENCAMINHAMENTO

Tipo de autenticação: se colocado a 0, significa que não é utilizada a autenticação; se contiver o valor 1, significa que é utilizado um mecanismo de autenticação simples, por password;

Autenticação: password, com oito caracteres.

3.5.2 Encaminhamento OSPF com routers Cisco A Figura 3.31 repete a rede da Figura 3.9, agora com as áreas OSPF que serão usadas para exemplificar o encaminhamento com routers Cisco. Dado que a configuração com routers Linux é bastante semelhante, esta é aqui omitida.

Figura 3.31 – Cenário de encaminhamento OSPF

Os routers R0 e R0b são routers de backbone, tendo todas as suas interfaces na área 0 (área de backbone, de existência obrigatória nas redes OSPF). Os routers R1, R2 e R3 são do tipo Area Border Router (ABR) tendo, por isso, uma interface na área de backbone e as restantes na outra área a que estão ligados. Considera-se que o router R4, da filial, apenas suporta encaminhamento RIP, pelo que a área 3 é uma not-so-stubby area (NSSA). © FCA - Editora de Informática

103


ADMINISTRAÇÃO DE REDES INFORMÁTICAS

A Figura 3.32 apresenta um excerto da configuração de encaminhamento OSPF do router R0 em Cisco IOS.

Figura 3.32 – Configuração de encaminhamento OSPF do router R0 em Cisco IOS

Utiliza-se o comando ‘router’ para estabelecer o protocolo e o número do processo correspondente, e o comando ‘network’ para identificar as redes abrangidas e as respectivas áreas OSPF. O número 100 que se segue ao comando ‘router ospf’ identifica apenas o processo OSPF dentro do router. Trata-se de um número local, ou seja, não se propaga a outros routers. Pode, portanto, tomar qualquer valor e não necessita de ser igual em todos os encaminhadores do sistema autónomo. O comando ‘default-information originate metric 100’ determina que o router se assuma como default gateway para os routers que lhe estão ligados. Além disso, esse comportamento é propagado pelo protocolo aos restantes routers na hierarquia da rede. É de salientar que o parâmetro ‘metric’ deste comando é utilizado para estabelecer um nível de precedência no caso de existirem vários routers a anunciar-se como default gateway. Neste exemplo concreto, este mecanismo pode ser explorado utilizando um valor superior para a métrica especificada na configuração do router R0b (por exemplo, ‘default-information originate metric 110’). Desta forma, em situação normal, o router R0 funcionará como default gateway, mas, em caso de falha deste, o router R0b passará a ser automaticamente reconhecido como o novo encaminhador de defeito pelos restantes routers. Tirando a diferença no valor do parâmetro de métrica e nas redes às quais se ligam, a configuração dos routers R0 e R0b é idêntica. A configuração de encaminhamento OSPF dos routers R1 e R2 resume-se aos comandos ‘router’ e ‘network’, com a devida adaptação às redes e áreas a que estão ligados. A ligação de zonas da rede que utilizem um protocolo de encaminhamento diferente do OSPF – como a zona acessível através do router R4, que corre o protocolo RIP – e a propagação dessas rotas usando este protocolo são possíveis, através do conceito de áreas do tipo NSSA. A Figura 3.33 apresenta a configuração de encaminhamento do router R3, por forma a que as rotas anunciadas pelo router R4 (em RIP) sejam redistribuídas pelo protocolo OSPF para o resto do sistema autónomo. Na Figura 3.34 apresenta-se o resultado da execução do comando ‘show ip route’ no router R0. Nesta figura são visíveis as rotas propagadas através do protocolo OSPF, identificadas pela flag O. A interpretação desta tabela pode ser efectuada com recurso ao exemplo apresentado na Figura 3.6. 104

© FCA - Editora de Informática


ADMINISTRAÇÃO DE REDES INFORMÁTICAS

Neste ambiente, a repartição do directório, não só permite o controlo departamental da informação, como distribui a carga pelos diversos servidores. Para melhorar a disponibilidade do acesso à informação, a repartição pode (e deve) coexistir com a réplica.

5.10.3

Redundância RADIUS

O protocolo RADIUS não define qualquer mecanismo de redundância. Em geral, o mecanismo mais simples para garantir a autenticação em caso de falha do servidor, consiste em configurar o cliente para aceder a um servidor alternativo em situação de falha do principal. Compete ao gestor do serviço de autenticação, assegurar que os dois servidores têm acesso ao mesmo repositório de informação.

5.10.4

Expansão da solução

Como anteriormente referido, a redundância e a escalabilidade estão entre os principais requisitos de um sistema de autenticação de utilizadores. A solução apresentada pode ser implementada sobre um único sistema, mas pode, também, evoluir gradualmente para cenários redundantes, com capacidade para suportar um elevado número de utilizadores, eventualmente dispersos por várias localizações geográficas. A Figura 5.38 representa uma evolução (quase) mínima da solução, em que uma organização começou por configurar um servidor LDAP/RADIUS (Servidor 1) para autenticar os utilizadores do serviço de correio electrónico, de computadores pessoais e de activos de rede. Posteriormente, instalou um segundo servidor (Servidor 2) para garantir o serviço de autenticação em caso de falha do master de LDAP/RADIUS. O directório que contém as credenciais de autenticação é replicado através do protocolo syncrepl. As linhas a tracejado representam as ligações a servidores alternativos. Neste caso, os equipamentos são configurados para usarem, preferencialmente, os servidores slave, recorrendo ao master apenas em caso de falha. Esta aproximação tem a vantagem de deixar o master mais livre para responder com eficácia às operações de escrita.

206

© FCA - Editora de Informática


AUTENTICAÇÃO

Figura 5.38 – Expansão do cenário

A figura representa, ainda, uma filial remota, eventualmente servida por uma ligação de menor débito, onde se instalou uma segunda réplica (Servidor 3). Os equipamentos desta filial remota recorrem, preferencialmente, à réplica local e, apenas em caso de falha, usam o master no centro de dados da organização. Neste caso, a réplica remota oferece diversas e importantes funcionalidades:

Garante aos utilizadores remotos um serviço de autenticação de elevado desempenho;

O serviço de autenticação dos utilizadores remotos é redundante, sendo assegurado por um servidor alternativo no centro de dados;

Os utilizadores da organização usam as mesmas credenciais de autenticação em qualquer local da empresa;

A solução contribui também para a salvagurada de dados, ao replicar remotamente os dados do directório.

5.11 Outras Alternativas Nesta secção, são brevemente apresentados dois sistemas de autenticação alternativos que, pela importância que têm em termos de divulgação no mercado, não podem deixar de ser referidos – o Kerberos e o Microsoft Active Directory (AD). É também apresentada uma descrição sumária do Shibboleth, um sistema de autenticação e autorização para utilização de aplicações Web entre organizações federadas. © FCA - Editora de Informática

207


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.