Adm_Redes_I

INSTITUTO DE TECNOLOGIAS AVANÇADAS PARA A FORMAÇÃO LDA.

3-1

ADMINISTRAÇÃO DE REDES I

Pedro Ramos Brandão

João Carriço


3-2

Administração de Redes I Indíce: Unidade 1 – Ferramentas de administração no Windows Server 2000 e 2003. Unidade 2 - Gestão de Discos. Unidade 3 – O Serviço Active Directory. Unidade 4 – Administração de Direitos e Perfis de Utilizadores. Unidade 5 - Gestão de Contas de Utilizadores. Unidade 6 – Redes TCP/IP em Windows. Unidade 7 – Implementação do DNS. Unidade 8 – DHCP. Unidade 9 - Conectividade de redes locais à Internet. Unidade 10 - Encaminhamento e acesso remoto. Unidade 11 - Segurança em redes Windows. Unidade 12 – Auditoria. Unidade 13 - Segurança do Protocolo IP. Unidade 14 – Instalação e configuração do Sistema Operativo Windows Server 2003.


1-1

Unidade 1 Ferramentas de administração do Windows Server Objectivos pedagógicos da unidade:

Conhecer e saber utilizar a MMC- Microsoft Managment Console.

Adicionar e remover snap-ins de uma consola.

Agendar e gerir tarefas com o Task Scheduler.

Saber definir as configurações do sistema.

Saber configurar opções de desempenho do sistema.

Saber definir as opções de arranque do sistema.

Saber trabalhar com o Event Viewer (Visualizador de eventos) e com os diferentes tipos de registos

Adicionar, remover e gerir dispositivos de hardware com o Gestor de dispositivos.

Sumário: A unidade tem por objectivo apresentar as principais ferramentas de administração do sistema operativo Windows Server. Após a conclusão desta unidade deverá conhecer o funcionamento da principal interface de configuração do sistema designada por MMC-Microsoft Managment Console. Serão igualmente abordadas algumas configurações fundamentais do sistema como a configuração da placa gráfica e visualização do ecrã, opções de optimização e arranque do sistema, agendamento automático de tarefas e gestão de registos de eventos. Finalmente, é apresentado o Gestor de dispositivos, uma ferramenta importante baseada na MMC, para a configuração e gestão de todos os dispositivos de hardware existentes no sistema.


1-2

A - Utilização da MMC – Microsoft Management Console

Microsoft Management Console

O que é a MMC A sigla MMC deriva de Microsoft Management Console. Trata-se de um utilitário que pode ser usado como um dos principais instrumentos de administração do Windows. Esse utilitário pode ser utilizado para criar e manter colecções de ferramentas de administração (administrative tools). Essas colecções de ferramentas de administração do sistema operativo são designadas por consoles.

O que são consoles As consoles são conjuntos de itens tais como snap-ins, monitor controls, tasks, wizards e documentação necessária para administrar o hardware, o software e os componentes de rede do Windows. O sistema MMC permite que o administrador do sistema crie novas consoles e adicione itens a consoles existentes. As consoles podem ser configuradas para executar tarefas específicas. A figura seguinte apresenta a imagem de uma console.


1-3

O que são snap-ins Os snap-ins são aplicações cuja finalidade é a de executar funções de administração. Os snap-ins podem ser integrados em consoles criadas com a MMC.

Tipos de snap-ins:

Stand-Alone Snap-ins Os stand-alone snap-ins também designados simplesmente por snap-ins são utilizados para executar diversas tarefas administrativas no Windows, sendo cada tipo de snap-in desenhado para executar uma ou um conjunto de tarefas relacionadas. O sistema operativo Windows XP Professional contém um conjunto de snap-ins standard. O Windows Server contem um conjunto mais vasto de snap-ins.

Extension Snap-ins Os extension snap-ins são igualmente designados simplesmente por extensions. As extensions têm por finalidade proporcionar funcionalidades adicionais a determinado snap-in. Em síntese, pode dizer-se que os snap-ins são ferramentas de administração e que as extensions são utilitários que proporcionam funcionalidades acrescidas aos snap-ins. Nota

A distinção entre snap-ins e extensions nem sempre é rigorosa. Existem utilitários que podem funcionar quer como stand-alone snap-ins quer como extensions (é, por exemplo, o caso do utilitário Event Viewer).

Adicionar um snap-in Para adicionar um snap-in, pode utilizar os seguintes procedimentos: 1.Clique no botão Start e escolha Run; 2.Na caixa de diálogo Run, escreva mmc na caixa de texto Open e, em seguida, clique OK; 3.O MMC apresenta a janela de uma console vazia.


1-4

4.No menu Console escolha Add/Remove snap-in; A caixa Add/Remove snap-in é apresentada.

Na caixa Add/Remove snap-in, clique no botão Add; A caixa Add Standalone snap-in é apresentada.


1-5

5. Na caixa Add Standalone snap-in escolha, por exemplo, Computer Management; Clique no botão Add;

A caixa Computer Management é apresentada.

6. Na caixa Computer Management marque a opção Local computer e clique no botãoFinish;


1-6

7. Clique no botão Close da caixa Add Standalone snap-in; 8. Clique no botão OK da caixa Add/Remove snap-in;

Na janela da Console surge o snap-in Computer Managment (Local).

Modo de Autor

O que são as Console Options Como a designação indica, as console options são opções ao dispor de quem cria a console. Essas opções são definidas quando a console é criada e determinam as funcionalidades acessíveis ao utilizador dessa console. Existem duas opções ou Console options: Author mode e User mode. Na opção User mode existem ainda três tipos diferentes. Quando uma console é criada e gravada em Author mode o utilizador tem acesso a todas as funcionalidades da console podendo, designadamente: acrescentar e remover snap-ins, criar novas windows, observar todas as partes da árvore de itens da console e gravar.

Como aceder às Options da Console Para definir o modo de criação e gravação das console, pode aceder à caixa Options através da opção Options... do menu Console, como é apresentado na seguintes sequência de imagens.


1-7

Modos de utilização Quando a console é criada e gravada em modo de utilização, o utilizador pode ficar limitado na sua capacidade de alterar a console. Existem três tipos de User mode: Full access, Multiple Windows e Single Window.

User mode: Full access O User mode: Full Access concede ao utilizador acesso completo ao comandos da janela e aos snap-ins da consola. No entanto impede o utilizador de adicionar ou remover snap-ins e alterar as propriedades da consola.

User mode:Multiple Windows O User mode: Multiple Windows concede acesso às janelas que estão visíveis quando a consola foi guardada. Permite aos utilizadores abrir novas janelas mas impede de fechar as existentes.

User mode:Single Window


1-8

O User mode: Single Window concede o acesso às janelas visíveis quando a consola foi guardada mas impede o utilizar de abrir novas janelas.


1-9

Guardar uma consola Para guardar a console criada, clique no menu Console e escolha Save as... A caixa Save as é apresentada. A pasta para gravação é a pasta Administrative Tools. No caso de o Windows ter sido instalado na drive C: , a pasta Administrative Tools encontra-se em C:\Documents and Settings\Administrator\Start Menu\Programas\Administrative Tools.

Na caixa de texto File Name, escreva Primeira Consola, e clique no botão Save;

Observe que o nome Primeira Consola aparece na barra de título da janela.

Encerre a janela Primeira Consola; Através do Windows Explorer pode observar que o ficheiro foi guardado na pasta Administrative Tools.


1-10

B - Utilização do Task Scheduler

O Task Scheduler

O que é o Task Scheduler O Windows 2000 disponibiliza um utilitário, designado por Task Scheduler, que permite executar programas, scripts, ou abrir documentos em determinado momento.

Tarefas que podem ser executadas com o Task Scheduler Apresentam-se exemplos de algumas tarefas que podem ser executadas com o Task Scheduler.

• Programar a execução de uma tarefa para que seja executada com uma determinada frequência ou num determinado momento no tempo. Por exemplo, uma tarefa pode ser programada para ser executada diariamente, ou semanalmente, por exemplo. Pode igualmente programar-se uma tarefa par que ela seja executada em determinado momento (um exemplo típico é o que consiste em usar o task scheduler para que determinada tarefa seja executada no arranque do sistema.

• Estabelecer especificações sobre o modo como uma tarefa será executada pelo Task Scheduler.

• Alterar as especificações de programação de execução de uma tarefa.

• Interromper a execução de uma tarefa iniciada pelo Task Scheduler.


1-11

Como iniciar o Task Scheduler

Os procedimentos para iniciar o Task Scheduler podem ser descritos do seguinte modo: Activar o menu Start, escolher Settings e, em seguida, Control Panel.

Na janela Control Panel, executar um duplo clique em Scheduled Tasks.


1-12

A janela Scheduled Tasks é apresentada.

Nesta janela podem ser criadas novas Scheduled Tasks e alterar as propriedades de Scheduled Tasks existentes.


1-13

Criar uma Scheduled Task

Vamos descrever os procedimentos para criar uma scheduled task que inicie o Outlook todos os dias, às 9 horas da manhã. Os procedimentos a executar podem ser descritos do seguinte modo:

Na janela Scheduled Tasks, execute um duplo clique no ícone Add Scheduled Task.

É apresentada a caixa Scheduled Task Wizard que guia o utilizador na criação da Scheduled Task. Nesta caixa, clique em Next.

Na caixa seguinte seleccione o programa Microsoft Outlook e, em seguida, clique no botão Next.


1-14

Nesta caixa, pode escolher um nome para a tarefa (neste caso o nome escolhido por defeito é Microsoft Outlook. Para que o programa seja executado diariamente, seleccione a opção Daily. Clique Next.

Na caixa seguinte, em Start time, seleccione ou escreva 9:00 para a tarefa ser executada às 9 horas.


1-15

Nesta caixa poderá escrever o user name e a password. Em seguida, clique Next.

Na caixa seguinte, execute um clique em Finish.


1-16

Se observar a caixa Scheduled Tasks, verificará que foi criada uma nova scheduled task, com o nome Microsoft Outlook.

Remover uma Scheduled Task


1-17

Vamos descrever os procedimentos para remover uma scheduled task.

Na janela Scheduled Tasks, execute um duplo clique com o botão direito no ícone da scheduled task que pretende eliminar e, no menu de contexto, escolha Delete.

Na caixa Confirm File Delete, clique no botão Yes.

Poderá observar que a task é removida da janela Scheduled Tasks.


1-18

Tarefas que podem ser executadas com o Task Scheduler Apresentam-se exemplos de algumas tarefas que podem ser executadas com o Task Scheduler.

• Programar a execução de uma tarefa para que seja executada com uma determinada frequência ou num determinado momento no tempo. Por exemplo, uma tarefa pode ser programada para ser executada diariamente, ou semanalmente, por exemplo. Pode igualmente programar-se uma tarefa par que ela seja executada em determinado momento (um exemplo típico é o que consiste em usar o task scheduler para que determinada tarefa seja executada no arranque do sistema.

• Estabelecer especificações sobre o modo como uma tarefa será executada pelo Task Scheduler.

• Alterar as especificações de programação de execução de uma tarefa.

• Interromper a execução de uma tarefa iniciada pelo Task Scheduler.


1-19

C – Definir configurações de sistema

Configurar o display

A caixa Display Properties Através da caixa Display Properties é possível definir vários aspectos de configuração do monitor. Na figura seguinte é apresentada a caixa Display Properties com o separador Settings seleccionado.


1-20

Como aceder à caixa Display Properties Para aceder ao separador Settings da caixa Display Properties, pode executar os seguintes procedimentos:

1. Execute um clique com o botão direito numa área livre no Desktop e, no menu de contexto, escolha Properties.

2. Na caixa Display Properties, seleccione o separador Settings.


1-21

Opções de configuração no separador Settings

Colors Em Colors é possível definir a profundidade de cores do monitor. Na imagem seguinte podem observar-se várias opções.

Screen area Em Screen area é definida a resolução utilizada pelo adaptador do monitor.

Performance options

O separador Advanced da caixa System Properties No separador Advanced da caixa System Properties podem ser definidas várias configurações de propriedades do sistema operativo. A imagem seguinte mostra esse separador.


1-22

Através de um clique no botão Performance Options... acede à caixa Performance Options. A imagem seguinte mostra a caixa Performance Options.

Na caixa Performance Options pode definir opções sobre a utilização do processador e da memória. Essas opções podem afectar a performance do computador.

Em Application response pode definir critérios de optimização da utilização dos recursos do processador.


1-23

Se seleccionar Applications são atribuídos maiores recursos de processador às aplicações em execução, que recebem inputs do utilizador. Se seleccionar Background services, os recursos do processador são equitativamente repartidos pelas aplicações com as quais o utilizador interage e as aplicações que são executadas em background.

Memória virtual

O conceito de memória virtual No Windows podem considerar-se dois conceitos de memória: Memória física

A memória física é constituída pelos dispositivos físicos da RAM instalados no computador. Cada byte de memória física é identificado por um endereço.

Memória virtual

A memória virtual é o processo através do qual o sistema operativo disponibiliza a memória física às aplicações. Cada byte de memória virtual é igualmente identificado por um endereço. Para gerir a memória virtual, o Windows utiliza um sistema designado por Virtual Memory Manager (VMM).

Descrição genérica do funcionamento do VMM (Virtual Memory Manager) O VMM mantém e gere uma tabela (memory-mapping table) que contém a informação sobre os endereços virtuais de cada processo e a correspondente localização na memória física. Assim, quando um processo requisita o acesso a um endereço, fornecendo o endereço virtual, o VMM usa esse endereço virtual para localizar o endereço físico onde os dados ou as instruções estão efectivamente armazenadas e retorna a informação requisitada.

Designa-se por paging o processo implementado pelo VMM para mover páginas da memória para o disco e vice-versa, quando necessário. Uma página tem um tamanho de 4 KB.


1-24

Quando a capacidade da memória física se esgota, e um determinado processo necessita de aceder a código ou dados que não se encontram na memória física, o VMM retira páginas da memória física e coloca-as numa área do disco designada por pagefile.

O código e os dados requisitados são transferidos do disco para a área libertada na memória física, por forma a que o pedido do processo possa ser atendido.

O virtual address space atribuído a um processo é em cada momento constituído por valid pages (as que estão disponíveis na memória física) e invalid pages (as que não estão disponíveis na memória física).


1-25

Quando uma invalid page é requisitada, o processador gera uma page fault. Esse sinal do processador é interceptado pelo VMM que se encarrega dos procedimentos necessários para recolher do disco e transferir para a memória física essa página.

Para cada processo em execução, o VMM mantém o registo das páginas que em cada momento se encontram em memória. Esse conjunto é designado por working set do processo. Para movimentar as páginas de um working set, o VMM utiliza um processo do tipo first-in first-out. As páginas que há mais tempo se encontram na memória física são as primeiras a ser removidas para o disco, se necessário. Fetching é o nome que se dá ao processo que consiste em transferir páginas do disco para a memória. O VMM usa um processo designado por demand paging with clustering. Isto significa que o VMM transfere para a memória não apenas a página requisitada mas mais algumas páginas contíguas. Este procedimento reduz provavelmente o número de page faults.

A memória virtual Quando o Windows é instalado, o programa de Setup cria um ficheiro para a memória virtual na partição onde o sistema operativo é instalado. O tamanho mínimo desse ficheiro é de 2 MB. O tamanho recomendado corresponde sensivelmente a uma vez e meia a capacidade de memória RAM.


1-26

Na imagem podemos observar que a capacidade total actualmente afecta a paging files é de 288 MB. Para alterar as configurações da memória virtual, clique em Change... para aceder à caixa Virtual Memory, como pode observar nas imagens seguintes.


1-27

Para cada drive, na caixa Initial size pode escrever o tamanho inicial para a memória virtual. Depois de escrever o valor deverá clicar no botão Set. Se o valor fixado for muito inferior ao mínimo recomendado, tal facto pode originar uma perda de performance quando várias aplicações são executadas. O Windows pode emitir a mensagem Virtual Memory Minimum Too Low e aumentar automaticamente o espaço reservado para paging. Na caixa Maximum size deverá escrever o valor máximo que deverá ser reservado para paging. Depois de alterar o valor, deverá clicar no botão Set. É necessário possuir privilégios de administrador para poder alterar as especificações de memória virtual.

Environment variables

O que são as environment variables As environment variables são variáveis cujo conteúdo pode ser utilizado pelo Windows para executar determinadas tarefas como, por exemplo, a definição do caminho (path) a utilizar para localizar ficheiros. Existem dois tipos fundamentais de environment variables:

System environment variables São variáveis de sistema que se aplicam a todos os utilizadores do computador. As variáveis fundamentais de sistema são criadas pelo Windows, através do programa de Setup, durante a fase de instalação. Apenas os administradores podem criar, modificar ou remover as variáveis de sistema.

User environment variables São variáveis cujo conteúdo se aplica apenas a cada utilizador do computador. As user environment variables podem conter informação sobre a costumização do Windows executada por determinado utilizador. Cada utilizador pode criar, modificar e remover as suas user environment variables.


1-28

Como aceder às user e system environment variables Em seguida é descrito o processo para aceder às user e system environment variables: Na caixa System Properties, executar um clique no botão Environment variables.


1-29

Na caixa Environment variables pode, consoante os privilégios que possuir, criar, alterar ou remover variáveis.

Opções sobre o sistema operativo de arranque


1-30

A caixa Startup and Recovery Quando existe mais do que um sistema operativo instalado no computador, na caixa Startup and Recovery podem definir-se especificações sobre o sistema operativo com que o computador é inicializado no arranque .


1-31

Como aceder à caixa Startup and Recovery Para aceder à caixa Startup and Recovery, basta executar um clique no botão Startup and Recovery na caixa System Properties.

Especificar o sistema operativo de arranque Em Default Operating System, pode escolher o sistema operativo que, por defeito, será o sistema operativo de arranque.


1-32

Especificar o tempo durante o qual a lista de sistemas operativos é apresentada Quando existe mais do que um sistema operativo que pode arrancar num computador, é apresentada uma lista desses sistemas operativos, com o sistema operativo definido como default assinalado. Pode marcar a caixa Display list of operating systems for e, na caixa seconds, indicar o tempo, em segundos que a lista ficará disponível para que o utilizador possa fazer outra opção. Findo esse período, o sistema operativo default é iniciado.

Relatório sobre falhas de sistema Na caixa Startup and Recovery, em System Failure, pode definir várias opções sobre as acções que o Windows deve executar no caso de se verificar uma falha de sistema.

Apresentam-se algumas dessas opções nas imagens seguintes.

Marque esta opção para que o Windows crie um ficheiro com informação sobre o acontecimento, quando, eventualmente, se verificar uma falha do sistema.

Marque esta opção para que o Windows envie um Administrative Alert sempre que se verifique uma falha de sistema.


1-33

Marque a opção Automatically reboot se pretender que o Windows arranque automaticamente após o crash.

Em Write Debugging Information poderá escolher o tipo de informação que será registado no ficheiro Memory.dump.


1-34

D - O Visualizador de eventos

Visualizador de eventos A utilização do registo de eventos no Visualizador de eventos permite a reunião de informações sobre os problemas de hardware, de software e do sistema e é possível controlar os eventos de segurança do Windows 2000.

O Windows regista os eventos em três tipos de registos predefinidos:

Registo de aplicações Registo de segurança

Registo de sistema

Os registos de aplicações e sistema podem ser visionados por todos os utilizadores, no entanto apenas os administradores podem ler o registo de segurança. O visualizador de eventos apresenta os seguintes tipos de eventos:

Erro Um problema significativo, tal como a perda de dados ou a perda de funcionalidades. Por exemplo, se um serviço tem uma falha ao carregar durante o arranque, será registado um erro.

Aviso Um evento que não seja necessariamente significativo, mas que possa indicar um possível problema futuro. Por exemplo, quando existe pouco espaço no disco, será registado um aviso.


1-35

Informações Um evento que descreve uma operação de uma aplicação, de um controlador ou de um serviço bem sucedida. Por exemplo, quando um controlador da rede efectua o carregamento com êxito, será registado um evento de informação.

Auditoria com êxito Uma tentativa de acesso de segurança auditada foi bem sucedida. Por exemplo, a tentativa bem sucedida de um utilizador iniciar a sessão no sistema vai ser registada como uma Auditoria a eventos efectuada com êxito.

Auditoria sem êxito Uma tentativa de acesso de segurança auditada que não teve êxito. Por exemplo, se um utilizador tentar aceder a uma unidade de rede e falha, a tentativa será registada como uma Auditoria a eventos sem êxito. O Serviço de registo de eventos inicia automaticamente quando inicia o Windows 2000. Todos os utilizadores podem visualizar uma aplicação e registos do sistema. Apenas os administradores podem obter acesso aos registos de segurança. Por predefinição, o registo de segurança é desligado. Pode utilizar a política de grupo para activar o registo de segurança. O administrador também pode definir as políticas de auditoria no registo que provocam a paragem do sistema quando o registo de segurança está completo. O Serviço de registo de eventos inicia automaticamente quando inicia o Windows 2000. Todos os utilizadores podem visualizar uma aplicação e registos do sistema. Apenas os administradores podem obter acesso aos registos de segurança. Por predefinição, o registo de segurança é desligado. Pode utilizar a política de grupo para activar o registo de segurança. O administrador também pode definir as políticas de auditoria no registo que provocam a paragem do sistema quando o registo de segurança está completo.

Registo de Aplicações O registo de aplicações contém eventos registados por aplicações ou programas. Por exemplo, um programa de base de dados pode registar um erro do sistema no registo de aplicações. O programador decide os eventos a registar.


1-36

Registo de Sistema O registo do sistema contém eventos registados por componentes do sistema do Windows 2000. Por exemplo, a falha de um controlador ou de outro componente do sistema ao carregar durante o arranque é registada no registo do sistema. Os tipos de eventos registados por componentes do sistema estão predeterminados pelo Windows .

Registo de Segurança O registo de segurança pode registar eventos de segurança, tais como, tentativas de início de sessão válidas e inválidas, bem como eventos relacionados com a utilização de recursos como, por exemplo, criar, abrir ou eliminar ficheiros. Um administrador pode especificar os eventos registados no registo de segurança. Por exemplo, se tiver activado a auditoria a inícios de sessão, as tentativas de iniciar sessão no sistema são registados no registo de segurança.


1-37


1-38

Configurar o registo de segurança Para definir parâmetros de registo para cada tipo de registo, na árvore da consola Visualizador eventos, clique com o botão direito do rato o tipo de registo e, em seguida, clique em Propriedades. No separador Geral, é possível definir o tamanho máximo do registo e especificar se os eventos são substituídos ou armazenados durante um determinado período de tempo.

A política de registos predefinida é a de substituição de registos de acordo com as necessidades, desde que os eventos tenham pelo menos 7 dias. É possível personalizar esta política para eventos diferentes.


1-39

As opções de Manutenção do registo de eventos são as seguintes: Substituir eventos, de acordo com as necessidades

Os novos eventos continuarão a ser escritos quando o registo estiver completo. Cada novo evento substitui o evento mais antigo do registo. Esta opção é uma boa escolha para os sistemas de baixa manutenção.

Substituir ficheiros mais antigos do que [x] dias

Retém o registo pelo número de dias especificado antes de substituir eventos. A predefinição é de 7 dias. Esta é a melhor opção se pretender arquivar ficheiros de registo semanalmente. Esta estratégia minimiza a probabilidade de perder entradas de registo importantes e ao mesmo tempo mantém o tamanho do registo razoável.

Não substituir eventos

Limpe a opção registar manualmente em vez de automaticamente. Seleccione esta opção apenas se não puder perder um evento (por exemplo, para o registo de segurança no local onde a segurança é extremamente importante).

Quando um registo está completo e não é possível registar mais eventos, é possível libertar o evento limpando-o. A redução do montante de tempo que mantém um evento também liberta o registo se permitir que o próximo registo seja substituído.

Cada ficheiro de registo tem um tamanho máximo inicial de 512 KB. É possível aumentar o tamanho máximo do registo para a capacidade do disco e memória ou pode diminuir o tamanho máximo do registo. Antes de diminuir o tamanho de um registo, tem de limpar o registo.

Filtrar eventos O Visualizador de eventos possuí uma funcionalidade que permite filtrar os eventos existentes no registo de segurança. No menu Ver escolha a opção Filtro.


1-40

A janela de propriedades do Registo de Segurança apresenta várias opções que permitem filtras as entradas do Registo de Segurança.


1-41

A filtragem não tem efeito no conteúdo real do registo, apenas altera a visualização. Todos os eventos são registados de forma contínua, independentemente do filtro estar activo. Se arquivar um registo de uma vista filtrada, todos os registos são guardados, mesmo que seleccione um ficheiro em formato de texto ou em formato de texto delimitado por vírgulas. A seguinte tabela descreve as opções disponíveis na caixa de diálogo Propriedades do registo do sistema. Utilizar Para filtrar Visualizar eventos de

Eventos depois de uma data e hora específicas. Por predefinição, é a data do evento mais antigo do ficheiro de registo.

Visualizar eventos para

Eventos até e incluindo uma data e hora específicas. Por predefinição, é a data do evento mais recente do ficheiro de registo.

Informações Eventos significativos esporádicos que descrevem operações com êxito de serviços principais. Por exemplo, quando uma base de dados carrega com êxito, é possível que


1-42

registe um Evento de informações.

Aviso Eventos que não são necessariamente significativos, mas que indicam possíveis problemas futuros. Por exemplo, um Evento de aviso pode ser registado quando existe pouco espaço no disco.

Erro Problemas significativos como, por exemplo, a perda de dados ou a perda de funções. Por exemplo, um Evento de erro pode ser registado se um serviço não estava carregado durante o arranque do Windows 2000.

Auditoria com êxito

Tentativas de acesso de segurança efectuadas com êxito auditadas. Por exemplo, a tentativa bem sucedida de um utilizador iniciar a sessão no sistema pode ser registada como uma Auditoria a eventos efectuada com êxito.

Auditoria sem êxito

Tentativas de acesso de segurança efectuadas sem êxito auditadas. Por exemplo, se um utilizador tentou aceder a uma unidade de rede e falhou, a tentativa poderá ser registada como uma Auditoria a eventos sem êxito.

Origem Uma origem para registar eventos, como uma aplicação, um componente do sistema ou uma unidade.

Categoria

Classificação de eventos definida pela origem. Por exemplo, as categorias de eventos de segurança são Iniciar sessão e Terminar sessão, Alteração de política, Utilização de privilégios, Eventos do sistema, Acesso a objectos, Rastreio detalhado e Gestão de contas.

Utilizador3 Um utilizador específico que corresponde a um nome de utilizador real. Este campo não é sensível a maiúsculas e minúsculas.

Computador3 Um computador específico que corresponde a um nome de computador real. Este campo não é sensível a maiúsculas e minúsculas.

ID do evento2 Um número específico que corresponde a um evento real.


1-43

E - O Gestor de dispositivos

O Gestor de dispositivos O Gestor de dispositivos é um snap-in da consola Gestão de computadores disponível na pasta Ferramentas Administrativas. Através do Gestor de dispositivos, é possível alterar a configuração do hardware e a forma como o hardware interage com o microprocessador do computador. O Gestor de dispositivos fornece uma visualização gráfica do hardware instalado no computador. Com este snap-in é possível efectuar as seguintes tarefas:

Determinar se o hardware do computador está a funcionar correctamente. Alterar as definições da configuração do hardware. Identificar os controladores de dispositivos carregados para cada dispositivo e obter informações

sobre cada controlador de dispositivo. Alterar as definições e propriedades avançadas dos dispositivos. Instalar controladores de dispositivo actualizados. Desactivar, activar e desinstalar dispositivos. Identificar conflitos entre dispositivos e configurar manualmente as definições do recurso. Imprimir um resumo dos dispositivos instalados no computador. O objectivo do Gestor de dispositivos é auxiliar os utilizadores a detectarem erros de configuração de

hardware e permitir a actualização dos controladores dos dispositivos instalados no sistemas.


1-44

Adicionar um dispositivo de hardware O Windows utiliza o assistente Adicionar e remover hardware para configurar os novos dispositivos de hardware. Ao instalar um novo componente no sistema o assistente é carregado para proceder à instalação do controlador apropriado para o dispositivo. O assistente Adicionar e remover hardware permite também solucionar problemas de configuração de hardware. Para instalar um novo dispositivo execute os seguintes passos:

Instale o novo hardware seguindo as instruções do fabricante. Ligue o computador e espere que o Windows inicie

Após o início de sessão o assistente Adicionar e remover hardware e carregado. Se o assistente não for iniciado escolha a opção Adicionar/remover hardware do Painel de controlo.

Seleccione a opção adicionar dispositivo e execute um clique no botão Seguinte.


1-45

O Assistente irá agora procurar novos dispositivos conectados ao computador.

Se novo hardware for encontrado e já existir um controlador para esse dispositivo no sistema, o componente é instalado automaticamente, passando a figurar no Gestor de dispositivos. Se o controlador não estiver instalado o Windows dá a possibilidade de copiar os ficheiros necessários de um CD-ROM ou de uma disquete fornecida pelo fabricante de hardware. EO gestor de dispositivos possui uma opção para verificar se existe novo hardware instalado no computador. Para isso escolha a opção Verificar se há alterações de hardware no menu Acção.

Os dispositivos que utilizam ligações USB (Universal Serial Bus) podem ser conectados ao computador quando este se encontra ligado. O Windows procura automaticamente um controlador para o novo dispositivo, configurando se for encontrado o software necessário.


1-46

Visualizar as propriedades de um dispositivo de hardware O Gestor de dispositivos contém uma opção que permite visualizar as propriedades de determinado hardware. Através da janela de propriedades é possível alterar as configurações do hardware, modificar os recursos de sistema utilizados e actualizar o controlador. Para visualizar as propriedades de um dispositivo escolha a opção Propriedades, do menu Acção.

De seguida é apresentada a caixa de propriedades do dispositivo. Os separadores e opções de configuração variam mediante o tipo de dispositivo. A figura seguinte mostra as propriedades de uma placa de rede instalada no computador.


1-47

Alterar o controlador de um dispositivo de hardware Um controlador de dispositivo (driver) é um programa que permite a comunicação entre o sistema operativo e um dispositivo de hardware. Todos os componentes de hardware necessitam de um controlador adequado ao sistema operativo do computador para puderem funcionar correctamente. A danificação dos ficheiros ou a disponibilização de um novo controlador pelo fabricante de hardware conduzem, por vezes, à necessidade de actualização do controlador de determinado dispositivo. A alteração do controlador pode ser efectuada na janela das propriedades do dispositivo. Para isso:

No separador Controlador, da janela Propriedades, seleccione a opção Actualizar controlador.


1-48


1-49

É apresentada a janela Assistente para actualizar controlador.


1-50

Escolha a opção procurar um controlador adequado para o dispositivo. Introduza a disquete ou CD-ROM com o controlador.

Conforme a localização do controlador marque a opção desejada e execute um clique no botão Seguinte. No caso do controlador ser um ficheiro existente no disco escolha a opção Especificar uma localização. Na janela seguinte introduza o caminho da directoria do ficheiro e clique em OK para continuar.


1-51

Após este procedimento, o assistente procura os ficheiros necessários e procede à actualização do controlador.

Clique em Seguinte para finalizar a actualização.


1-52

Desactivar um dispositivo de hardware

Os dispositivos podem ser apenas desactivados, tal como modems ou dispositivos USB, para serem posteriormente utilizados. Quando um dispositivo é desactivado, este permanece fisicamente ligado ao computador, mas o Windows 2000 actualiza o registo do sistema de modo a que os controladores não sejam carregados quando iniciar o computador. Os controladores estarão de novo disponíveis quando activar o dispositivo. A desactivação de controladores é útil quando pretende ter mais que uma configuração de hardware no computador. Para desactivar um dispositivo:

Seleccione o dispositivo

Escolha a opção Desactivar, do menu Acção.

O Gestor de dispositivos apresenta uma caixa de diálogo avisando-o que o dispositivo irá ser desactivado. Execute um clique no botão Sim.


1-53

Para proceder a activação de um dispositivo seleccione-o e escolha a opção Activar, do menu Acção.


1-54

Remover dispositivos Os dispositivos de hardware pode ser removidos dos computador. Antes de serem removidos há que proceder à sua desinstalação no sistema operativo. Quando desinstala um dispositivo, é removida a referencia ao dispositivo do registo do Windows. Existem dois processos para remover um dispositivo do sistema: utilizando o Gestor de dispositivos ou o Assistente para adicionar/remover hardware. Para desinstalar um dispositivo através do Gestor de dispositivos:

Seleccione o dispositivo Escolha a opção Desinstalar, do menu Acção

Em seguida, desligue o computador e remova fisicamente o hardware do computador.

O Gestor de dispositivos e o Assistente para adicionar e remover hardware não removem os controladores do disco rígido. Para efectuar este procedimento, terá que consultar a documentação do fabricante de hardware para determinar quais os ficheiros a remover do sistema.


2-1

Unidade 2 Gestão de discos Objectivos pedagógicos da unidade:

Conhecer as tarefas básicas de preparação de discos.

Conhecer os diferentes tipos de armazenamento e partições.

Distinguir entre primary, active e extended partitions.

Saber trabalhar com vários tipos de volumes.

Utilizar o utilitário Gestão de discos (Disk Managment) na gestão dos diferentes discos existentes no

sistema.

Saber identificar e resolver problemas relacionados com a instalação

Sumário: Nesta unidade serão apresentados conceitos teóricos fundamentais para a gestão de unidades de armazenamento do sistema. No final desta unidade deverá conhecer os diferentes tipos de partições e de volumes e as características de cada um deles. Finalmente, será utilizado o utilitário Gestão de discos, baseado na MMC, para a realização das tarefas mais comuns na gestão e manutenção de unidades de armazenamento.


A - Introdução à Gestão de discos

Tarefas básicas de preparação de discos

Definir um tipo de armazenamento A inicialização de um disco para determinado tipo de armazenamento define a estrutura fundamental do disco. No Windows 2000 é possível optar por dois tipos de armazenamento: Basic storage

O tipo de armazenamento designado por basic storage é o tipo tradicional de armazenamento. Os discos são designados por basic discs.

Dynamic storage

O tipo de armazenamento designado por dynamic storage permite criar dynamic discs que podem ser divididos em volumes.

Formatar o disco Após a criação de uma partição ou de um volume, é necessário formatar essa partição ou esse volume com um determinado sistema de ficheiros (file system).

O sistema de ficheiros que for escolhido para formatar a partição ou o volume determina o modo como os ficheiros são armazenados, as funcionalidades disponibilizadas e o tipo de sistemas operativos que podem aceder aos dados armazenados.

2-2


Tipos de armazenamento O Windows 2000 permite optar por dois tipos de armazenamento. Esses tipos são designados por basic storage e dynamic storage. Um disco físico pode possuir o tipo de armazenamento basic storage ou dynamic storage, mas não é possível utilizar ambos os tipos de armazenamento no mesmo disco físico.

Todavia, num sistema com múltiplos discos, é possível utilizar diferentes tipos de armazenamento em diferentes discos.

Basic storage O tipo basic storage é o tipo de armazenamento assumido por defeito no Windows 2000. Todos os discos são basic discs até que sejam eventualmente convertidos para dynamic discs.

2-3


O tipo basic storage permite a divisão de um disco em partições. Uma partição é uma parte de um disco que, perante o sistema operativo funciona como uma unidade de armazenamento autónoma.

As partições podem classificar-se em dois tipos: primary partitions e extended partitions. Um disco pode conter um máximo de quatro primary partitions. A imagem seguinte sugere um basic disc com quatro partições primárias.

Em alternativa, o disco pode conter até três primary partitions e uma extended partition, como é

sugerido na imagem seguinte.

2-4


Numa extended partition podem ser criadas logical drives. A imagem seguinte sugere a criação de três logical drives numa extended partition.

Dynamic storage O tipo dynamic storage apenas é suportado pelo sistema operativo Windows 2000. Um disco com dynamic storage é designado por dynamic disc. Os dynamic discs podem ser divididos em volumes. Um volume pode ser constituído por uma parte ou partes de um disco ou de vários discos.

Uma das características dos dynamic discs (e que os distingue dos basic discs) é o facto de um dynamic disc poder ser redimensionado sem necessidade de reinicializar o Windows.

2-5


Tipos de partições

Diferentes tipos e esquemas de partições em basic disks Um disco físico (um basic disc ) pode ser dividido num máximo de quatro partições.

Essas partições podem ser de dois tipos: primary partitions e extended partitions. As primary partitions podem ser utilizadas para iniciar o computador. As extended partitions podem ser criadas com o restante espaço livre. Em cada disco só pode existir uma extended partition.

As opções de partição de um basic disc são apresentadas nas imagens seguintes.

2-6


Criação de quatro primary partitions

Criação de três primary partitions e uma extended partition

Criação de duas primary partitions e uma extended partition

2-7


Criação de uma primary partition e uma extended partition

Em discos amovíveis, apenas podem ser criadas primary partitions. Não podem ser criadas extended partitions nem logical drives.

Primary partitions e active partition A partição designada como active partition é a partição onde o firmware do computador procura os ficheiros de arranque (boot files) para iniciar o sistema operativo. Uma primary partition criada num sistema de disco amovível não pode ser designada como active partition. Num disco físico com várias primary partitions, qualquer primary partition pode ser designada como active partition.

2-8


No entanto, em cada momento, só uma das primary partitions pode funcionar como active partition.

Para que seja possível o dual boot com Windows 2000 e os sistemas operativos do MS-DOS ao Windows 95, a active partition tem de ser formatada em FAT porque esses sistemas operativos não podem ler partições com FAT32 ou NTFS.

2-9


Para fazer o dual boot com o Windows 95 (com OSR2 – uma release que permite a leitura de partições com FAT32) ou com o Windows 98, a active partition pode ser formatada com FAT ou FAT32.

Extended partitions Num basic disc apenas pode existir uma extended partition. Uma extended partition pode ser dividida em segmentos e cada segmento constitui uma drive lógica. Pode atribuir-se uma letra a cada drive lógica. Cada drive lógica pode ser formatada com um file system.

2-10


Windows Server system partition e boot partition A partição Windows system partition é a active partition que contém os ficheiros necessários para o arranque do sistema operativo.

A Windows 2000 boot partition é a partição onde estão instalados os ficheiros do sistema operativo. A Windows 2000 boot partition pode ser uma primary partition ou uma logical drive.

A Windows system partition e a boot partition, podem ser a mesma partição, desde que essa seja a partição activa, porque o Windows 2000 system partition tem de ser a partição activa.

2-11


Tipos de volumes

Conversão de basic storage para dynamic storage O tipo de armazenamento default do Windows é basic storage. Para criar dynamic discs é necessário converter um basic disc para dynamic disc.

Após a conversão, podem ser criados volumes Windows em dynamic discs.

O Disc Management snap-in pode ser utilizado para converter um basic disc para um dynamic disc. A imagem seguinte mostra o Disk Management na secção Storage da janela Computer Management. Pode observar o Disk 0 e o Disk 1 ambos do tipo Basic.

2-12


Pode observar na imagem seguinte, a opção Upgrade to Dynamic Disk... no menu de contexto activado no Disk 0. Na prática, este é um processo para fazer o upgrade para dynamic storage.

2-13


Os vários tipos de volumes em dynamic disks

Tolerância a falhas Os vários tipos de volumes que podem ser implementados com o Windows 2000 Professional não são fault tolerant ( fault tolerant ou tolerância a falhas é uma característica do sistema operativo que permite recuperar informação em caso de falha do sistema). O Windows 2000 Server permite implementar sistemas de volumes em dynamic storage que podem ser qualificados como fault tolerant.

Simple volume Um simple volume contém o espaço de um só disco.

Spanned volume Um spanned volume pode conter o espaço de vários discos (até um máximo de 32).

No tipo spanned volume, a informação é distribuída pelos discos, um após outro. No caso de se verificar uma falha num dos discos do volume, toda a informação do volume será perdida. Este tipo de volume não é fault tolerant.

2-14


Mirrored volume Um mirrored volume consiste em criar duas cópias idênticas do mesmo volume, uma em cada disco. Um disco é o “espelho” do outro.

O tipo mirrored volume é fault tolerant proporcionando cópia de segurança no caso de falha de um dos discos. Este tipo de volume só pode ser implementado em sistemas Windows 2000 Server.

Striped volume Um striped volume implementa a técnica RAID-0 e consiste em utilizar vários discos nos quais o sistema operativo utiliza a técnica de escrever em paralelo, aumentando a performance das operações de acesso ao disco. No entanto, este modelo não pode ser considerado fault tolerant uma vez que a falha num dos discos compromete toda a informação do volume.

RAID-5 volume Um RAID-5 volume é um volume que utiliza a técnica de striped volume conjugada com uma técnica que permite a reconstrução dos dados no caso de falha de um dos discos. Para implementar volumes RAID-5 são necessários pelo menos três discos físicos.

O tipo RAID-5 volume é fault tolerant na medida em que permite a recuperação de dados em caso de falha de um dos discos. Este tipo de armazenamento só pode ser implementado em sistemas Windows 2000 Server.

2-15


B - O snap-in Gestão de discos

Aceder ao Disk Management snap-in O Disk Management snap-in é o utilitário fundamental para as operações de gestão dos sistemas de armazenamento. Para aceder ao Disk Management snap-in pode executar os passos descritos em seguida.

Activar o menu Start, escolher Programs, Administrative Tools e Computer Management. Na caixa Computer Management, escolha Disk Management para aceder ao utilitário que lhe permite executar todas as tarefas relacionadas com os sistemas de armazenamento.

Modos de visualização dos sistemas de armazenamento Através do menu View pode personalizar-se o modo de visualização das unidades de armazenamento. Apresentam-se visualmente algumas das opções de configuração através do menu View. O conteúdo da parte superior, pode ser configurado através da opção Top do menu View. As opções disponíveis são Disk list, Volume list e Graphical View.

2-16


A parte inferior pode ser configurada através da opção Bottom do menu View. As opções disponíveis são Disk list, Volume list, Graphical View ou Hidden.

2-17


3-1

Unidade 3 O serviço Active Directory Objectivos pedagógicos da unidade:

Saber o que é e para que serve o serviço Active Directory (AD)

Conhecer os diferentes objectos do serviço AD.

Conhecer a estrutura básica do serviço AD.

Saber quais os factores a considerar para o desenho da estrutura de domínios.

Conhecer os conceitos de Árvores e Florestas.

Saber em que consiste e como é estruturado o Domain Name System utilizado nas redes Windows e

na Internet.

Sumário: O objectivo desta unidade é dar a conhecer o serviço de directório do Windows Server designado por Active Directory. Este serviço tem como objectivo estruturar lógica e fisicamente os recursos existentes numa rede informática baseada em servidores Windows. Serão analisados alguns factores importantes no planeamento da estrutura lógica e física do Active Directory, bem como apresentados conceitos fundamentais como Árvores, Florestas e Unidades Organizacionais. No final desta unidade deverá ter um conhecimento geral sobre o modo de estruturação e funcionamento do serviço Active Directory.


3-2

A - Visão Geral do Active Directory

O que é e para que serve um Directory Service Numa rede de computadores, independentemente da sua dimensão, existe um conjunto de elementos, printers, computadores, utilizadores e outros recursos, que designaremos genericamente como objectos, e que necessitam de ser geridos. Para este efeito podemos utilizar uma base de dados designada por Directory. Esta base de dados armazena informação sobre todos os recursos de uma rede de computadores. Por vezes, o Directory é também identificado como data store. Num Directory, o tipo de informação que pode ser guardada pode ser classificada numa das seguintes categorias: Resources (Recursos), Services (Serviços) e Accounts (Contas). Os Recursos os são elementos ligados à rede e disponíveis para utilização. Um recurso pode ser o disco de um server, um endereço IP, uma aplicação, um fax/modem, um scanner, uma impressora, ... Os serviços são funções existentes na rede que tornam os recursos disponíveis para serem partilhados. Existe quase sempre uma relação entre serviços e recursos. Por exemplo, o serviço Printing Services disponibiliza o recurso Printer. Uma conta é normalmente um Id de logon e uma password usada para aceder à rede. Esta password é usada para garantir o direito a usar um serviço ou um recurso Os métodos quer para armazenar dados no Directory quer para tornar esses dados disponíveis, tanto a utilizadores como a administradores de rede, são designados por Directory Services. Os Directory Services garantem funções que são fundamentais para o sistema operativo, uma vez que permitem gerir os recursos da rede e manter as relações existentes entre esses recursos. Por isso, estão profundamente integrados com os mecanismos de segurança e têm um papel fundamental na definição e manutenção da infra-estrutura de rede da organização. Genericamente, as funções associadas a um Directory Service são:

Permitir aceder a recursos através do respectivo nome ou por intermédio de qualquer um dos seus atributos. Por exemplo, é possível interrogar a base de dados para obter a seguinte informação: “Quais as impressoras laser e a cores que existem no edifício”;

Reforçar a segurança de forma a proteger a informação existente no Directory do acesso exterior e

de utilizadores internos que não tenham permissões para isso;

Replicar o conteúdo do Directory de forma a facilitar o acesso e a torná-lo mais resistente a falhas;

Dividir o Directory em múltiplos data store e colocá-los em computadores diferentes na rede. Esta acção disponibiliza globalmente mais espaço e permite armazenar um maior número de objectos.


Duma forma mais geral, um Directory Service é o centro de operações de rede para:

• Todos os Servers – disponibilizando serviços e recursos;

• Todos os Clients - requisitando acesso a serviços e recursos; No Windows 2000 Server os Directory Services são designados por Active Directory. O Active Directory inclui o data store. Todos os recursos e serviços armazenados no Directory, como dados de utilizadores, printers, servers, bases de dados, grupos, computadores e definições de segurança, são designados por objectos.

Os objectos Active Directory Em Active Directory um objecto é um recurso da rede com um nome e com um conjunto de atributos associados. Estes atributos são características do objecto que o descrevem e o tornam único. Por exemplo, os atributos de um Server podem incluir o nome, o Sistema operativo instalado, o tipo de server e a localização (figura 1).

3-3


Os objectos, dentro do Active Directory, são organizados de forma hierárquica. A figura seguinte representa visualmente essa organização.

Em termos práticos, este modelo de organização, coincide com a organização dos objectos em classes. Estas classes são, naturalmente, agrupamentos lógicos de objectos. Exemplos de object classes são contas de utilizadores, computadores, grupos ou domínios. Nota Alguns objectos podem conter outros objectos. Por esse facto são designados como containers. Por exemplo, um domínio é um container que pode conter computadores, contas de utilizadores e outros objectos.

Active Directory Schema O schema do Active Directory contém a definição de todos os tipos de objectos e respectivos atributos que podem ser guardados. No schema existem dois tipos de definições possíveis: object classes e atributos. Por vezes, os atributos e as classes são referidos genericamente como schema objects ou metadata. Os object classes definem os tipos de objectos que podem ser guardados no Active Directory. Cada classe consiste de um class name e de um conjunto de atributos associados. Estes atributos permitem caracterizar os objectos criados a partir dessa classe. Cada objecto em Active Directory é sempre criado a partir de uma classe e constitui uma instância dessa classe. Por exemplo, a classe Users (Utilizadores) é composta de muitos atributos. Destes, podemos destacar o Nome, o Endereço de Rede, o Nome de Login, e por aí adiante. Os atributos são definidos independentemente das classes. Quer dizer, cada atributo é definido uma única vez e é utilizável em qualquer classe. Por exemplo, o atributo Descrição é usado em muitas classes. No entanto, no schema, só foi definido uma vez. Esta forma de organização da informação garante a consistência da mesma.

3-4


3-5

Com a instalação do Windows Server e do Active Directory é instalado um schema contendo um conjunto básico de classes e atributos. É, no entanto, possível criar novas classes e atributos e associar estes novos atributos a classes existentes. Estas operações são operações avançadas e com possíveis consequências sérias. Devem apenas ser executadas por pessoas com formação específica. Para prevenir qualquer tentativa de alteração do schema por utilizadores sem permissão para o efeito, cada objecto está seguro através de listas de controlo de acesso designadas por ACLs (Access Control Lists) A instalação do serviço poderá ser efectuada executando o seguinte procedimento:

No menu Iniciar escolher a opção Executar… Na caixa de diálogo escrever a expressão dcpromo.

Este procedimento activa o assistente de configuração de um novo controlador de domínio baseado no serviço Active Directory.

A estrutura do Active Directory O Active Directory é constituído por duas estruturas distintas: a estrutura lógica e a estrutura física. Os aspectos relativos à estrutura lógica são tratados quando se desenha a implementação do Active Directory. Os aspectos relativos à estrutura física estão relacionados com a colocação física dos vários componentes na rede. A estrutura lógica é representada pelos seguintes componentes Active Directory: Domains, Organizational Units (OUs), Trees e Forests. A estrutura física é representada pelos componentes: Sites e Domain Controllers (DCs).

Estrutura Lógica Em Active Directory, os recursos da rede devem ser organizados de forma a que reflictam tanto quanto possível a estrutura lógica da própria organização. Este agrupamento lógico torna a estrutura física transparente para o utilizador, o que permite que um recurso possa ser encontrado a partir do respectivo nome e não da sua localização física. A figura seguinte ilustra as relações entre os vários componentes Active Directory.


Domains O Domain é um dos elementos fundamentais da estrutura lógica do Active Directory. Qualquer objecto da rede está sempre associado a um Domain. Cada Domain guarda informação apenas sobre os objectos que lhe estão atribuídos. O Active Directory é composto por um ou mais Domains, podendo um Domain ocupar mais que uma localização física. Um Domain é uma zona de segurança de alguma forma isolada. Todas as definições de segurança existem dentro do Domain onde foram criadas. Os administradores de Domain têm controlo total sobre essas definições, dentro do Domain considerado. Para controlar o acesso aos objectos existentes num Domain existem as Access Control Lists (ACLs). Estas listas contêm as permissões de acesso associadas a cada objecto. Nelas estão definidos que utilizadores têm acesso e qual o tipo de acesso que cada um tem.

Organizational Units As Organizational Units (OU) são objectos do tipo container usados para organizar objectos dentro de um Domain. Normalmente, a estrutura das OUs é criada com base no modelo administrativo da organização. Esta forma de organização tem sentido porque, criar novos utilizadores ou definir pontualmente privilégios pode ser feito ao nível local. Duma maneira geral, objectos que sejam administrados por um administrador de rede, ou por um grupo de administradores, ou objectos que tenham permissões de acesso e definição de privilégios de administração atribuídos de uma forma uniforme, devem ser agrupados em OUs. Também é possível organizar as OUs por departamento ou por localização geográfica. Este tipo de organização, no entanto, não é tão vulgar como o baseado no modelo administrativo. As OUs contêm normalmente objectos do tipo Utilizadores, Grupos, Computadores, Impressoras e, eventualmente, outras OUs. A estrutura organizacional das OUs dentro de um Domain é independente da estrutura adoptada para organizar as OUs noutros Domains.

3-6


A administração de objectos dentro das OUs pode ser delegada. Na realidade, as OUs são a unidade de organização mais pequena, dentro do Active Directory, a que se pode delegar poderes de administração. Isto significa que, uma vez definidos os objectos pertencentes a determinada OU é possível atribuir permissões para gerir esses objectos a grupos que não os domain administrators.

Trees Uma Tree é um grupo de um ou mais domains organizados de forma hierárquica. O primeiro Domain instalado numa rede Windows 2000 corresponde ao root domain. Todos os Domains subsequentes são instalados abaixo deste root domain, estabelecendo uma relação child-parent. Quando existem vários Domains organizados em Trees, diz-se que eles partilham um contiguous namespace e uma estrutura hierárquica de nomes. Por exemplo, na implementação de um Active Directory é instalado um root domain chamado “winsoft.com”. Vamos supor que, em seguida, é instalado um segundo Domain, como child domain do primeiro. O nome atribuído a este segundo Domain é, por hipótese, “lisboa”. O nome completo deste último Domain é lisboa.winsoft.com. Como podemos observar, o Domain herda parte do seu nome do root domain. Este comportamento mantém a natureza hierárquica do Active Directory. A figura seguinte ilustra este processo de herança de nomes. winsoft.com é o parent domain e lisboa.winsoft.com e faro.winsoft.com são os seus child domains. O prod.lisboa.winsoft.com é child domain do lisboa.winsoft.com:

Este esquema de nomes reflecte o esquema usado no DNS (Domain Name System). O DNS é uma parte chave das redes Windows 2000. O nome dos Domains são baseados nos standards DNS: o nome de Domain de um child domain é o nome desse chid domain seguido do nome do parent domain. Todos os Domains dentro de uma Tree partilham um schema comum. Recordemos que o schema contém a definição de todos os tipos de objectos que podem ser guardados num Active Directory. Também todos os Domains dentro de uma Tree partilham um global catalog comum. Veremos, mais adiante, que o global catalogue é um repositório central de informações sobre os objectos numa Tree.

3-7


Forests Uma Forest é uma colecção de Trees. As Trees numa Forest não têm de partilhar um contiguous namespace. Contudo têm de partilhar um schema e um global catalog comuns. Por exemplo, vamos supor que existem duas Trees, uma chamada winsoft.com e outra chamada winhard.com. Estas duas Trees podem ser juntas, criando uma Forest, através da criação implícita de uma relação de confiança bidireccional (two-way trust relationship), ou seja, utilizadores registados em winsoft.com podem aceder a recursos existentes em winhard.com e vice-versa. Na figura seguinte, as Trees winsoft.com e winhard.com formam uma Forest. O namespace é contíguo apenas dentro de cada Tree.

Estrutura Física A estrutura física do Active Directory é usada para gerir o tráfego na rede. É constituída por dois componentes: Domain Controllers e Sites. O desenho físico da rede está separado e é distinto do desenho da camada lógica. No entanto, combinando ambos os elementos físicos e lógicos da rede, é possível optimizar a performance das redes Windows 2000.

Domain Controllers Um domain controller é um computador com Windows 2000 Server instalado, que contém uma réplica da base de dados Active Directory. Tem como função gerir o acesso aos dados existentes nessa base de dados assim como permitir a respectiva alteração sempre que necessário. Cada domain pode conter um ou mais domain controllers. Uma rede pequena pode conter apenas dois domain controllers, mas, por razões de tolerância a falhas, nunca menos do que dois, enquanto que uma rede grande pode conter centenas de domain controllers. Todos os domain controllers num domain contêm uma réplica da base de dados Active Directory. Quando um destes domain controllers aceita qualquer alteração à base de dados, ele tem de replicar essas alterações para todos os outros domain controllers existentes no domain. Em Active Directory todos os domain controller são iguais. Não existe um master domain controller. Cada domain controller tem a capacidade de aceitar alterações à base de dados. O processo de replicação no Active Directory garante que todos os domain controllers recebem cópias destas alterações. Como, obviamente, isto não pode suceder em tempo real, podem existir curtos períodos de tempo em que o conteúdo de uma réplica não coincide com o conteúdo de outras réplicas.

3-8


3-9

É possível controlar a frequência das replicações assim como a quantidade de dados replicados de cada vez. No entanto, existem determinadas alterações, como, por exemplo, o desactivar de uma conta de utilizador que é imediatamente replicada. Para além das tarefas referidas, os domain controllers também gerem todos os aspectos relacionados com as acções dos utilizadores, como, por exemplo, a respectiva validação quando do logon.

Sites Um Site pode ser definido como um grupo de um ou mais Internet Protocol (IP) subnets conectadas por linhas de alta velocidade. Os sites são usados numa rede para optimizar o tráfego das acções de replicação assim como a autenticação de utilizadores. As IP subnets colocadas dentro de um site são consideradas como tendo conexões rápidas. Ou seja, ao criar um site contendo um grupo de IP subnets está-se implicitamente a indicar ao Windows 2000 que as comunicações entre as subnets consideradas são rápidas e eficientes. A inversa também é verdadeira: colocando duas IP subnets em diferentes sites, está-se implicitamente a indicar ao Windows 2000 que essas IP subnets estão separadas por linhas lentas e ineficientes. Esta informação é usada pelo Active Directory nas acções de replicação.


B - Planeamento do Active Directory

Factores a considerar para o desenho da estrutura de domínios

A estrutura geográfica e funcional da organização Um dos primeiros factores a ter em consideração no desenho da estrutura de domínios para implementação dos serviços de Active Directory é a estrutura da própria organização. As imagens seguintes apresentam exemplos esquemáticos de organizações com diferentes estruturas funcionais e diferente dimensão geográfica.

3-10


A análise da infra-estrutura física em termos de postos de trabalho, de fluxo de tráfego e do tipo de ligações existentes, são factores importantes no desenho lógico da arquitectura de Active Directory para a organização.

Administração dos recursos de rede A administração dos recursos de rede depende da dimensão, estrutura e necessidades de cada organização. Vários modelos e combinações de modelos de administração são possíveis.

Administração centralizada Neste modelo existe um único grupo que se encarrega das tarefas de administração de toda a rede da organização.

3-11


Administração descentralizada Neste modelo, o sistema de administração de recursos de rede é descentralizado, quer por áreas geográficas quer por áreas funcionais.

Modelos mistos Num modelo misto, podem coexistir sistemas de administração centralizada com sistemas de administração descentralizada

3-12


A estrutura de domínios

Domínio único Um simples domínio pode abranger múltiplos sites (mesmo sites geograficamente dispersos) e conter milhões de objectos. Por seu lado, cada site pode conter utilizadores e computadores pertencentes a múltiplos domínios.

Um domínio único pode, por sua vez, criar sistemas de delegação e descentralização através da criação de OU (organizational units).

3-13


Árvores Tendo em conta os factores organizacionais, a criação de uma árvore de domínios pode ser a solução mais adequada para a implementação dos serviços de Active Directory numa organização.

Florestas Em determinadas circunstâncias, a organização lógica mais adequada é a criação de múltiplos domínios organizados numa floresta. Este tipo de organização pode justificar-se quando o sistema é um conjunto de organizações em parceria com modelos organizacionais diferentes.

3-14


Factores que justificam a criação de vários domínios

Administração descentralizada A necessidade de uma administração descentralizada, pode ser um dos factores que justifiquem a criação de múltiplos domínios.

Controlo de replicação A necessidade de controlar a replicação entre vários estabelecimentos pode ser um dos factores que podem justificar a criação de diferentes domínios.

Diferentes requisitos de passwords A existência de diferentes requisitos de passwords entre as unidades da organização, podem ser um dos factores que podem justificar a criação de diferentes domínios.

Diferentes nomes de domínios A existência de diferentes Internet domain names pode ser um factor que justifique a criação de múltiplos domínios, incluindo a criação de árvores e florestas.

Requisitos de internacionalização Em organizações internacionais, podem existir requisitos que impliquem a criação de múltiplos domínios, incluindo a sua organização em floresta.

3-15


Árvores, florestas e DNS

Os diferentes conceitos de domínio A palavra domínio pode ser utilizada com dois sentidos diferentes:

• Um domínio no contexto do sistema operativo Windows e Active Directory e que constitui um grupo de computadores e outros dispositivos centralmente administrados como uma unidade;

• Um domínio no contexto do DNS (Domain Name System) que representa um nó na hierarquia

do domain name space da estrutura hierárquica da base de dados DNS.

Domínios em Windows e Active Directory Na Active Directory do Windows, um domínio é um agrupamento lógico de computadores e outros dispositivos definido por um administrador de uma rede baseada em Windows Server.

Num domínio, os computadores participantes partilham uma base de dados de directório central.

Um domínio possui um nome único e proporciona o acesso a contas de utilizadores e grupos

centralizados e que são mantidos pelo administrador do domínio.

3-16


A Active Directory é constituída por um ou mais domínios. Cada domínio pode ser constituído por várias OU (organizational units) e abranger mais do que uma localização física.

Domínios do DNS (Domain Name System)

DNS (Domain Name System)

O domain name system (DNS) é um sistema hierárquico utilizado para identificar hosts na Internet e em internets privadas. As principais funcionalidades disponibilizadas pelo sistema DNS são as seguintes:

• O DNS proporciona um sistema que permite identificar os hosts de uma internet através de nomes simbólicos (como, por exemplo, abc.com) em vez do seu endereço IP.

• Uma base de dados distribuída implementada em name servers localizados em vários pontos da internet e destinada a manter listas de nomes simbólicos e dos respectivos endereços IP

• Um método de localização de hosts, através do processo de resolução (tradução) dos seus nomes simbólicos em endereços IP, por forma a que eles possam ser localizados na internet.

3-17


DNS Namespace O domain name system (DNS) é constituído por uma hierarquia de domínios, tendo, no topo, o domínio

designado por root domain (representado por um ponto). Abaixo do root domain surgem os top level domains e, abaixo, dos top level domains, os second level domains e assim sucessivamente até aos hosts. Esta estrutura hierárquica de nomes de domínios é designada por DNS namespace.

FQDN (Fully Qualified Domain Name)

FQDN - Fully Qualified Domain Name é o método de referenciar domínios e hosts na hierarquia do domain name space. Na imagem, podemos observar que o domínio abc é um subdomínio do domínio com. Para representar esse domínio através de um FQDN, utiliza-se a separação dos domínios e subdomínios através de pontos (.). No caso do subdomínio abc, o seu FQDN será abc.com.

3-18


Namespaces contíguos e não contíguos Num namespace contíguo, qualquer subdomínio contém sempre a referência ao domínio de nível mais elevado.

3-19


Árvores e florestas

Domain tree Uma árvore ou domain tree é um agrupamento de domínios Windows 2000 que são criados quando existe uma hierarquia de namespaces contíguos, através da criação de um ou mais domínios child (filhos) a partir de um domínio parent (pai). A organização dos domínios Windows 2000 em árvore, justifica-se quando é possível criar um conjunto de domínios com namespaces contíguos.

3-20


Floresta

Justifica-se a estruturação de domínios Windows 2000 em floresta, quando os domínios não partilham um namespace contíguo.

3-21


A estrutura de namespaces para domínios

Planeamento do DNS namespace para Active Directory

Os domínios em Active Directory utilizam o esquema de nomes DNS. O planeamento da implementação de um sistema de Active Directory torna necessário que se considerem os seguintes factores.

3-22


Namespace interno igual ao namespace externo A imagem seguinte sugere a utilização do mesmo nome de domínio abc.com quer para a componente externa de exposição pública na Internet, quer para a rede interna privada.

Na configuração da imagem seguinte deve existir uma zona DNS da parte de fora do firewall, destinada à resolução de nomes para os recursos publicamente expostos na Internet. Esta DNS zone não está configurada para a resolução dos endereços da rede privada interna, protegendo assim os recursos internos dos acessos exteriores.

3-23


Namespace interno diferente do namespace externo Neste caso, o namespace externo fora do firewall e em contacto com a Internet é abc.com. Internamente, o namespace do domínio tem como domínio principal xyz.com. Observe a figura seguinte.

3-24


A estruturação de OU-Organizational Units Dentro de um domínio pode ser criada uma estrutura hierárquica de OUs-Organizational Units.

A hierarquia das OUs pode ser criada de acordo com a estrutura funcional ou geográfica da

organização.

3-25


4-1

Unidade 4 Administração de direitos e perfis de utilizadores Objectivos pedagógicos da unidade:

Saber o que são perfis de utilizador.

Distinguir entre perfis locais e perfis remotos.

Saber criar perfis locais e perfis remotos.

Saber criar um perfil obrigatório.

Conhecer os direitos de utilizador existentes no sistema operativo.

Identificar os privilégios associados a grupos de utilizador.

Saber atribuir direitos de utilizador.

Sumário: Os perfis de utilizador são um mecanismo importante para associar um conjunto de preferências e configurações de um utilizador à sua conta. Nesta unidade, será apresentada a forma de criação destes perfis e o seu armazenamento no computador local ou num servidor na rede. Será também efectuada a criação de um perfil de utilizador obrigatório. Finalmente, os conceitos de direitos de utilizador e privilégios de utilizador serão apresentados bem como as tarefas de gestão e atribuição de direitos de utilizador e privilégios.


4-2

A - Perfis de utilizador

Perfis de utilizador Em computadores onde esteja a ser executado o Windows 2000, os perfis do utilizador são criados automaticamente e mantêm as definições do ambiente de trabalho para o ambiente de trabalho de cada um dos utilizadores no computador local. Um perfil de utilizador é criado sempre que este ou esta inicia a sessão num computador pela primeira vez. Os perfis de utilizador fornecem diversas vantagens aos utilizadores:

O mesmo computador pode ser acedido por um ou mais utilizadores de cada vez e cada um deles recebe definições do ambiente de trabalho quando inicia a sessão.

Quando os utilizadores iniciam a sessão na sua estação de trabalho, recebem as definições do ambiente de

trabalho tal como estas existiam antes de terminarem a sessão anterior.

A personalização do ambiente de trabalho efectuada por um dos utilizadores não afecta as definições de outro utilizador.

Os perfis de utilizador podem ser guardados um servidor por forma a estarem disponíveis para os utilizadores

em qualquer computador da rede que execute o Windows NT 4.0 ou Windows 2000. Estes são os chamados perfis de utilizador guardados no servidor.

Como uma ferramenta administrativa, os perfis de utilizador fornecem estas opções: Pode criar um perfil de utilizador predefinido apropriado às tarefas do utilizador. Pode definir um perfil de utilizador obrigatório que não guarde as alterações do ambiente de trabalho efectuadas pelo utilizador. Os utilizadores podem modificar as definições do ambiente de trabalho do computador enquanto quando a sessão é iniciada, mas nenhuma destas alterações é guardada uma vez terminada a sessão. As definições do perfil obrigatório são partilhadas com o computador local de cada vez que o utilizador inicia a sessão. Pode especificar as definições do utilizador predefinidas a ser incluídas em cada perfil de utilizador individual. Os perfis de utilizador inicialmente são uma cópia do Utilizador predefinido, que é um perfil de utilizador predefinido e armazenado em todos os computadores com o Windows 2000. O ficheiro NTuser.dat, localizado no Utilizador predefinido, mostra as definições de configuração do registo do Windows 2000. Os perfis de utilizador utilizam igualmente grupos de programas comuns, localizados na pasta Todos os utilizadores. Os perfis de utilizador contêm a seguinte informação:

Dados específicos de programas—por exemplo, um dicionário personalizado. Informações e preferências do utilizador.

Itens do ambiente de trabalho, incluindo ficheiros, atalhos e pastas.

Atalhos para as localizações preferidas na Internet.

O histórico e ficheiros temporários. documentos do utilizador.


4-3

Itens de imagem do utilizador.

Atalhos para itens de Os meus locais na rede.

Atalhos para os itens da pasta da impressora.

Atalhos para os documentos utilizados e as pastas acedidas mais recentemente. Entre outras...

Perfis locais Os perfis de utilizador locais são armazenados no computador onde o utilizador inicia a sessão. A informação sobre o perfil de utilizador local é armazenada na directoria \Documentos e definições\Nome_do_utilizador. Da primeira vez que inicia a sessão num computador, é criado um perfil de utilizador local que é armazenado no disco rígido do computador. Quaisquer alterações efectuadas no seu perfil de utilizador local são específicas do computador onde efectuou essas alterações.


4-4

Perfis remotos Os perfis de utilizador remoto são armazenados no servidor. Quando o utilizador inicia uma sessão em qualquer computador pertencente ao domínio em que se encontra o servidor com o seu perfil, visualiza as configurações que fazem parte do seu perfil de utilizador.

O administrador de sistema cria um perfil de utilizador que é armazenado no servidor. Este perfil está disponível de cada vez que inicia a sessão em qualquer computador da rede. As alterações ao perfil de utilizador guardado no servidor são actualizadas no servidor.


4-5

Criar um perfil de utilizador remoto

Para criar um perfil remoto é necessário em primeiro lugar criar uma pasta no servidor que contenha as pastas e ficheiros de perfil do utilizador.

Em seguida, no utilitário Computadores e utilizadores do Active Directory, seleccione a conta de utilizador para a qual deseja criar um perfil remoto e aceda às suas propriedades. O separador Perfil, da janela Propriedades, permite configurar os perfis de utilizador remotos.


4-6

Escolha o caminho onde devem ser guardadas as informações de perfil do utilizador. Da próxima vez que o utilizador iniciar uma sessão em qualquer computador pertencente ao domínio, o Windows irá à procura das informações do perfil no caminho especificado nas propriedades da conta. Como, no entanto se trata da primeira vez que o utilizador inicia uma sessão com o novo perfil, a directoria no servidor encontra-se vazia, pelo que o Windows copia para o servidor o perfil de Utilizador pré-definido. O perfil de Utilizador pré-definido serve de base para todos novos perfis de utilizador. Todos os perfis de utilizador começam como uma cópia do perfil de utilizador predefinido.


4-7

Criar um perfil de utilizador pré - definido

É possível criar um perfil num computador e depois utilizá-lo em várias contas existentes no domínio. Para isso é necessário fazer as configurações desejadas num posto de trabalho e posteriormente copiar o perfil para o servidor.

O separador Perfis de utilizador contém os perfis existentes no sistema. O botão Copiar para permite copiar o perfil criado no sistema local para o servidor.


4-8

Criar um Perfil obrigatório O ficheiro NTUser.dat contêm as definições dos perfis do utilizador e encontra-se na directoria principal do perfil no servidor. Para tornar o perfil obrigatório, a extensão do ficheiro deve ser alterada para .man (mandatory)


4-9

B - Direitos de utilizador

Direitos de utilizador Os direitos de utilizador autorizam os utilizadores a desempenhar acções específicas, tais como iniciar sessão num sistema interactivamente ou efectuar cópias de segurança de ficheiros e directórios. Os administradores podem atribuir direitos específicos a contas de grupos ou de utilizadores individuais. Estes direitos autorizam os utilizadores a desempenhar acções específicas, tais como iniciar sessão num sistema interactivamente ou efectuar cópias de segurança de ficheiros e directórios. Os direitos de utilizador são diferentes das permissões porque os direitos aplicam-se a contas de utilizador e as permissões estão ligadas a objectos. Os direitos de utilizador definem as capacidades ao nível local. Apesar dos direitos de utilizador poderem ser aplicados a contas de utilizador individual, estes são melhor administrados com base em contas de grupo. Isto garante que um utilizador que inicie sessão como membro de um grupo herde automaticamente os direitos associados a esse grupo. A atribuição de direitos de utilizador a grupos, em vez de utilizadores individuais, simplifica a tarefa de administrar contas de utilizador. Quando todos os utilizadores de um grupo requererem os mesmos direitos de utilizador, pode atribuir o conjunto de direitos de utilizador ao grupo de uma só vez, em vez de atribuir repetidamente o mesmo conjunto de direitos a cada conta de utilizador individual.

Os direitos de utilizador atribuídos a um grupo são aplicados a todos os membros do grupo enquanto estes forem membros. Se um utilizador for membro de vários grupos, os direitos de utilizador são cumulativos, o que significa que o utilizador tem mais do que um conjunto de direitos. A única situação em que os direitos atribuídos a um grupo poderão entrar em conflito com aqueles atribuídos a outro grupo será no caso de determinados direitos de início de sessão. No entanto, geralmente, os direitos de utilizador atribuídos a um grupo não entram em conflito os direitos atribuídos a outro grupo. Para remover os direitos a um utilizador, o administrador simplesmente remove o utilizador do grupo. Neste caso, o utilizador deixa de ter os direitos atribuídos a esse grupo.


4-10

O utilitário Definições de segurança permite-lhe visualizar os direitos de utilizador existentes.

Privilégios Os privilégios são acções que os utilizadores podem executar na rede.


4-11

EXEMPLOS DE PRIVILÉGIOS:

Privilégio Descrição

Actuar como parte do sistema operativo

Este privilégio permite que um processo seja autenticado como qualquer utilizador e, portanto, aceder aos mesmos recursos como qualquer utilizador. Apenas os serviços de autenticação de baixo nível deverão requerer este privilégio.

O acesso potencial não se limita ao que estiver associado ao utilizador por predefinição, dado que o processo de chamada pode requerer que acessos adicionais arbitrários sejam colocados no token de acesso. Um facto que requer maior atenção será o do processo de chamada poder criar um token anónimo que fornece todos os tipos de acesso. Além disso, este token não fornece uma identidade primária para localizar eventos no registo de auditoria.

Os processos que requerem este privilégio devem utilizar a conta LocalSystem, que já inclui este privilégio, em vez de utilizar uma conta de utilizador separada com este privilégio especialmente atribuído.

Adicionar estações de trabalho ao domínio

Permite ao utilizador adicionar um computador a um domínio específico. O utilizdor especifica o domínio através de uma interface de utilizador administrativa no computador a ser adicionado, criando um objecto no contentor Computador do Active Directory. O comportamento deste privilégio é duplicado no Windows 2000 através de outro mecanismo de controlo de acesso (permissões anexas ao contentor Computador ou unidade organizacional).

Efectuar cópias de segurança de ficheiros e directórios

Permite ao utilizador evitar permissões de ficheiros e directórios para que estes efectuem cópias de segurança. Especificamente, este privilégio equivale a conceder as seguintes permissões a todos os ficheiros e pastas no computador local: Atravessar pasta/Executar ficheiro, Listar pasta/Ler dados, Ler atributos, Ler atributos expandidos e Ler permissões.

Ignorar verificação de percurso

Permite ao utilizador atravessar directórios a que de outra forma não teria acesso, enquanto navega num caminho de objecto em qualquer sistema de ficheiros Windows ou no registo. Este privilégio não permite ao utilizador listar o conteúdo de um directório, mas apenas atravessar directórios.

Alterar a hora do sistema Permite ao utilizador definir a hora do relógio interno do computador.

Criar um objecto token

Permite que um processo crie um token que pode ser utilizado para aceder a quaisquer recursos locais, quando o processo utiliza NtCreateToken() ou outras APIs de criação de tokens.

Recomenda-se que os processos que requeiram este privilégio utilizem a conta LocalSystem, que já inclui este privilégio, em vez de utilizarem uma conta de utilizador separada com este privilégio especialmente atribuído.

Criar objectos partilhados permanentes

Permite que um processo crie um objecto de directório no gestor de objectos do Windows 2000. Este privilégio é útil para componentes de modo de kernel que planeiem expandir o espaço de nomes de objectos no Windows 2000. Dado que os componentes a executarem em modo de kernel já têm este privilégio atribuído, não é necessário atribuí-lo especificamente.

Criar um ficheiro de página

Permite ao utilizador criar e alterar o tamanho de um ficheiro de página. Isto é efectuado especificando o tamanho do ficheiro de página para uma determinada unidade nas Opções de desempenho das Propriedades do sistema.


4-12

Programas de depuração Permite ao utilizador anexar um depurador a qualquer processo. Este privilégio permite um poderoso acesso a componentes sensíveis e críticos do sistema operativo.

Activar a propriedade Fidedigno para delegaçãonas contas de utilizador e computador

Permite ao utilizador configurar a definição Fidedigno para delegação num objecto de utilizador ou computador. O utilizador ou objecto a quem é concedido este privilégio tem de ter acesso de escrita aos sinalizadores de controlo de conta no objecto de utilizador ou computador. Um processo de servidor a ser executado num computador fidedigno para delegação ou por um utilizador fidedigno para delegação pode aceder a recursos noutro computador. Isto utiliza as credenciais delegadas de um cliente, desde que a conta de cliente não tenha o sinalizador de controlo de conta A conta não pode ser delegada esteja definido. A má utilização deste privilégio ou das definições Fidedigno para delegação poderá tornar a rede vulnerável a ataques sofisticados utilizando programas de Cavalo de Tróia que assumem a identidade de clientes de entrada e utilizam as suas credenciais para acederem aos recursos da rede.

Forçar o encerramento de um sistema remoto

Permite ao utilizador encerrar um computador a partir de uma localização remota na rede.

Gerar auditorias de segurança

Permite que um processo efectue entradas no registo de segurança para auditar o acesso a objectos. O processo também pode gerar outras auditorias de segurança. O registo de segurança é utilizado para analisar o acesso não autorizado ao sistema.

Aumentar quotas

Permite que um processo com propriedade de escrita tenha acesso a outro processo para aumentar a quota de processador atribuída a este. Este privilégio é útil para optimizar o sistema, mas é susceptível a abusos, como, por exemplo, num ataque de recusa de serviços.

Aumentar prioridade de programação

Permite que um processo com propriedade de escrita tenha acesso a outro processo para aumentar a prioridade de execução deste. Um utilizador com este privilégio pode alterar a prioridade de programação de um processo através da interface de utilizador Gestor de tarefas.

Carregar e descarregar controladores de dispositivo

Permite a um utilizador instalar e desinstalar controladores de dispositivos Plug and Play. Os controladores de dispositivos que não sejam Plug and Play não são afectados por este privilégio e só pode ser instalado pelos administradores. Dado que os controladores de dispositivo são executados como programas fidedignos (altamente privilegiados), este privilégio pode ser utilizado de forma ilícita para instalar programas hostis e conceder a estes programas acesso destrutivo aos recursos.

Bloquear páginas na memória

Permite que um processo mantenha os dados na memória física, evitando que o sistema pagine os dados para a memória virtual no disco. O exercício deste privilégio pode afectar de forma significativa o desempenho do sistema. Este privilégio é obsoleto e, por conseguinte, nunca é seleccionado.

Gerir auditorias e registos de segurança

Permite a um utilizador especificar as opções de auditoria ao acesso a objectos para recursos individuais, tais como ficheiros, objectos do Active Directory e chaves de registo. A auditoria ao acesso a objectos não é efectuada, de facto, a menos que a tenha activado nas definições de política de auditoria do computador da Política de grupo ou política de grupo definida no Active Directory. Este privilégio não concede acesso à política de auditoria do computador.

Um utilizador com este privilégio também pode visualizar e limpar o registo de segurança do visualizador de eventos.

Modificar valores de Permite a alteração das variáveis de ambiente do sistema, quer por um


4-13

ambiente firmware utilizador através das Propriedades do sistema ou de um processo.

Traçar perfil de um único processo

Permite a utilização das ferramentas de monitorização do desempenho do Windows NT e Windows 2000 para que o utilizador monitorize o desempenho de processos que não pertençam ao sistema.

Traçar perfil do desempenho do sistema

Permite a utilização das ferramentas de monitorização do desempenho do Windows NT e Windows 2000 para que o utilizador monitorize o desempenho de processos do sistema.

Substituir um token de nível de processo

Permite que um processo substitua o token predefinido associado a um sub-processo que tenha sido iniciado.

Restaurar ficheiros e directórios

Permite ao utilizador evitar permissões de ficheiros e directórios quando restaurar ficheiros e directórios com cópias de segurança e definir qualquer membro de segurança principal válido como proprietário de um objecto. Consulte também o privilégio Efectuar cópias de segurança de ficheiros e directórios.

Encerrar o sistema Permite ao utilizador encerrar o computador local.

Obter propriedade de ficheiros ou outros objectos

Permite ao utilizador obter propriedade de qualquer objecto passível de ser protegido no sistema, incluindo os objectos, ficheiros e pastas do Active Directory, impressoras, chaves de registo, processos e threads.

Desbloquear um computador portátil

Permite ao utilizador desancorar um computador portátil com a interface de utilizador do Windows 2000.

Direitos de início de sessão


4-14

Os direitos de início de sessão determinam a forma como um utilizador pode iniciar uma sessão.

EXEMPLOS DE DIREITOS DE SESSÃO:

Direito de início de sessão Descrição

Aceder a este computador a partir de uma rede

Permite que um utilizador se ligue ao computador através da rede. Por predefinição, este privilégio é concedido a Administradores, Todos e Utilizadores avançados.

Iniciar a sessão como tarefa batch

Permite ao utilizador iniciar a sessão utilizando uma funcionalidade batch-queue. Por predefinição este privilégio é concedido aos Administradores.

Iniciar sessão como serviço

permite ao gestor de segurança iniciar a sessão como serviço, como forma de estabelecer o contexto de segurança. A conta de Sistema local retém sempre o início correcto como serviço. Este direito deve ser concedido a qualquer serviço que seja executado numa conta separada. Por predefinição, este direito não é concedido a ninguém.

Iniciar sessão localmente

Permite ao utilizador o início de sessão num teclado de computador. Por predefinição, este direito é concedido a Administradores, Operadores de contas, Operadores de cópias de segurança, Operadores de impressão e Operadores de serviço.

Atribuir direitos de utilizador O utilitário Políticas de segurança de domínio permite atribuir direitos de utilizador a grupos e utilizadores.


4-15

Para atribuir um direito a um utilizador ou a um grupo seleccione o direito a atribuir e escolha a opção Segurança do menu Acção.

Na janela Definição de política de segurança, seleccione Adicionar.

Na caixa Adicionar utilizador ou grupo execute um clique em Procurar para obter a lista de utilizadores e grupos disponíveis. A janela Seleccionar utilizadores e grupos permite-lhe adicionar grupos e utilizadores aos quais irão ser atribuídos os direitos.


4-16


5-1

Unidade 5 Gestão de contas de utilizador Objectivos pedagógicos da unidade:

Distinguir entre contas de utilizador local e contas de utilizador de domínio.

Conhecer as contas incorporadas do Windows.

Saber criar contas de utilizador e definir as suas propriedades.

Saber efectuar as tarefas básicas de gestão de contas de utlizador.

Utilizar a ferramenta Executar como para a realização de tarefas administrativas.

Sumário: A unidade Gestão de contas de utilizador tem por objectivo demonstrar as tarefas básicas da gestão de contas de utilizador do Windows Server. Nesta unidade serão apresentadas as principais configurações e propriedades de uma conta de utilizador. Quando trabalhamos com contas de utilizador de domínio, estas são um objecto muito importante do serviço Active Directory. São elas que identificam os utilizadores na rede e permitem ao sistema de segurança do Windows registar a sua actividade. As contas de utilizador podem também ser utilizadas como um registo na base central do directório para armazenar informações sobre os colaboradores de uma empresa podendo ser posteriormente integradas em sistemas de informação como o Microsoft Exchange. Finalmente, será utilizada a ferramenta Executar como… para demonstrar que as contas de administração de um computador ou de um domínio apenas deve ser utilizadas para realizar as tarefas que requerem o tipo de privilégios associados a essas contas..


5-2

A - Tipos de contas de utilizador

Contas de utilizador locais As contas de utilizador permitem a um utilizador iniciar uma sessão num domínio para aceder a recursos de rede ou num computador para aceder a recursos locais. Cada pessoa que utiliza regularmente um computador ou uma rede local deve possuir a sua própria conta de utilizador.

As contas de utilizador locais permitem a apenas iniciar uma sessão no computador onde é feita a autenticação e aceder aos recursos locais.

A conta de utilizador reside na base de dados de segurança local, que contem as contas de utilizadores para esse computador. Com uma conta de utilizador local não é possível aceder a recursos existentes num domínio.

Os administradores de domínio não podem administrar de uma forma centralizada as contas de utilizador locais


5-3

Contas de utilizador de domínio As contas de utilizador de domínio permitem ao utilizador iniciar uma sessão no domínio e aceder aos recursos existentes numa rede Windows 2000.

As contas de domínio fazem parte da base de dados da Active Directory.No caso de existir mais que um controlador de domínio as contas são actualizadas em todos os controladores. Quando o utilizador inicia a sessão e é autenticado pelo controlador de domínio é criado um bilhete de acesso (access token), que é utilizado até ao final da sessão.

O bilhete de acesso consiste num conjunto de dados de identificação emitido por um controlador de domínio para fins de autenticação do utilizador no acesso aos recursos de rede.


5-4

Contas incorporadas Quando o Windows é instalado num computador são criadas automaticamente contas incorporadas (Built-in accounts). Administrador (Administrator) A conta de administração é utilizada para gerir as configurações do computador ou do domínio como por exemplo a criação de contas de utilizadores e grupos, criação e implementação de políticas de segurança. Convidado (Guest) A conta de convidado possuí privilégios limitados. É utilizada por utilizadores que apenas pretendam iniciar uma sessão e aceder a recursos de rede. A conta de Convidado encontra-se desactivada por defeito.


5-5

B - Administração de contas de utilizador

Criar uma conta de utilizador local As contas de utilizador local são criadas através do utilitário Gestão de computadores, na pasta Ferramentas administrativas.

O utilitário Gestão de computadores efectuar alterações à configuração do computador. É possível criar, alterar ou eliminar grupos e utilizadores locais através deste utilitário. Para criar um novo utilizador escolha a pasta Grupos e utilizadores locais, no utilitário Gestão de computadores. De seguida escolha a pasta Utilizadores e efectue um clique no botão direito do rato para accionar o menu de contexto.Escolha finalmente a opção Novo Utilizador para criar uma nova conta de utilizador local.


5-6

Na caixa Novo utilizador, é possível escolher as várias opções para a nova conta criada.


5-7

Criar uma conta de utilizador de domínio As contas de utilizador de domínio são criadas no utilitário Computadores e utilizadores do Active Directory, situado nas Ferramentas administrativas. O utilitário Computadores e utilizadores do Active Directory permite criar, alterar e apagar contas de utilizador no controlador de domínio do Active Directory ou contas de utilizadores locais em qualquer computador do domínio. Para criar uma conta de domínio execute um clique no botão direito do rato, na pasta Users, para aceder ao menu de contexto.


5-8

Na caixa Novo Objecto – User é possível definir as propriedades da conta.

No ecrã seguinte é possível definir as opções da palavra passe.


5-9

Alterar as propriedades pessoais de uma conta Uma conta de utilizador corresponde normalmente a um utilizador do domínio. Como tal, é possível guardar na conta informações pessoais sobre os utilizadores. As informações sobre os utilizadores ficam guardadas no Active Directory e podem ser consultadas pelos utilizadores do directório. As informações pessoais são as seguintes: • Informações gerais (Nome do Utilizador, endereço de correio electrónico, etc...) • Endereços • Telefones • Informação sobre o utilizador na organização Para aceder às propriedades de um conta, seleccione o utilizador e escolha a opção Properties do menu Acção.A janela Propriedades, apresenta separadores com todas as propriedades e opções da conta de utilizador.

• No separador Geral é possível visualizar informações gerais sobre o utilizador. • No separador Endereço é apresentada informação sobre a morada, localidade e país do utilizadorNo

separador Telefones são visualizados os contactos do utilizador • No separador Empresa reside informação sobre o utilizador na organização


5-10

Alterar as propriedades de uma conta As propriedades de uma conta definem o comportamento da conta de utilizador no domínio.

O separador Conta, detêm as opções da conta que determinam a sua utilização no domínio.


5-11

Definir horas de utilização de contas As horas e dias da semana nos quais uma conta pode ser utilizada podem ser definidas na caixa de propriedades de uma conta. A caixa Horas de início de sessão apresenta opções que permitem definir se o início de uma sessão é ou não permitido a uma determinada hora.


5-12

Definir os computadores de início de sessão A utilização de uma conta pode ser limitada a alguns computadores apenas. O utilizador dessa conta apenas poderá iniciar uma sessão nos computadores pré definidos.


5-13

Alterar a palavra-passe Associada ao nome da conta a palavra passe, permite ao utilizador iniciar a sessão com uma conta de utilização. Este processo é designado por Autenticação. Para alterar a palavra-passe de uma conta já existente seleccione a conta e escolha Repor palavra-passe no menu Acção.

Desactivar contas Uma conta de utilizador contêm informações sobre um utilizador. Em certas circunstâncias é preferível desactivar a conta sem a eliminar do Active Directory. Enquanto a conta se encontrar desactivada, ela não poderá ser utilizada para iniciar uma sessão.


5-14

Eliminar contas Para eliminar uma conta seleccione a conta e escolha Eliminar no menu Acção.

Nota: Ao eliminar um conta todas as informações e propriedades armazenadas dentro deste objecto do Active Directory serão perdidas.


5-15

Utilizar a ferramenta Executar como As contas de administrador possuem privilégios que permite ao utilizador efectuar todas as operações de configuração e manutenção de um domínio ou de um computador. Estas contas devem ser utilizadas só para executar tarefas de administração que necessitam de privilégios de administração. Uma boa política de segurança será os administradores de domínio criarem para as suas tarefas de utilizador uma conta de utilizador normal e apenas utilizarem a conta de administrador através da ferramenta Executar como...

Para utilizar a ferramenta Executar como inicie a sessão como um utilizador normal. Seleccione o programa ou tarefa que pretende executar, pressione na tecla Shift e no botão direito do rato. Finalmente escolha Executar como.. Na caixa Executar como outro utilizador, escolha o nome do utilizador e a respectiva palavra-passe.


6-1

Unidade 6 Redes TCP/IP em ambiente Windows Objectivos pedagógicos da unidade:

Conhecer a arquitectura geral dos protocolos TCP/IP.

Saber instalar e configurar os protocolos TCP/IP.

Conhecer a estrutura e representação binária dos endereços IP.

Saber identificar as diferentes classes de endereços IP.

Conhecer o funcionamento dos protocolos ARP e ICMP.

Entender o conceito de IP Multicast

Saber definir várias subnets numa rede TCP/IP

Compreender os conceitos de direct delivery e inderect delivery no contexto dos serviços de routing.

Saber o que são as tabelas de routing

Sumário: Um protocolo de rede é o software que torna possível a comunicação entre computadores. Os protocolos TCP/IP são o software de rede mais utilizado nas redes locais. Este conjunto de protocolos é igualmente o standard de protocolos utilizados na Internet. Esta unidade dá a conhecer os conceitos básicos sobre as redes TCP/IP e a forma como este protocolo é implementado em redes Windows. São igualmente apresentados alguns conceitos sobre endereços IP e routing fundamentais para a configuração de uma infra-estrutura de rede em ambiente Windows.


6-2

A - Arquitectura dos protocolos TCP/IP em Windows

Os standards TCP/IP

Os RFC – Request for Comments O funcionamento da Internet, incluindo o funcionamento dos seus protocolos, é definido em documentos designados por RFC – Request for Comments. Cada documento RFC recebe um número. Depois de publicado, um documento já não é mais actualizado. No caso de revisões, é criado um outro documento, com outro número, destinado a substituir o anterior.

Os status dos RFC Os documentos RFC são classificados em cinco diferentes status, tal como é ilustrado nas figuras seguintes.


6-3


6-4

Os standards Os RFCs que constituem standards evoluem através de diversos estágios que são designados por maturity levels. Esse processo evolutivo é designado por Internet Standards Process. As imagens seguintes ilustram os vários estágios de evolução dos standards.


6-5


6-6

Visão geral da arquitectura TCP/IP

A arquitectura TCP/IP e o modelo OSI

Os protocolos TCP/IP consistem numa arquitectura composta por quatro camadas: Application, Transport, Internet e Network Interface. A figura seguinte mostra a comparação entre as camadas do modelo TCP/IP e as camadas do modelo OSI.

Application layer

A camada Application é a camada que proporciona às aplicações os meios de comunicação com as restantes camadas e define os protocolos que as aplicações usam para comunicar entre si. Ao nível desta camada existe um grande número de protocolos e, pela sua própria natureza, existe sempre um grande número de outros protocolos em desenvolvimento.

Actualmente, os protocolos mais conhecidos e utilizados ao nível desta camada são: HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple Mail Transfer Protocol) e Telnet (usado como protocolo para emulação de terminais e para logon em computadores remotos). Ao nível desta camada, podem ainda considerar-se ao nível desta camada protocolos como DNS (Domain Name System), utilizado para traduzir nomes em endereços IP, protocolos de routing e outros protocolos de gestão de redes e internet. Os principais interfaces de comunicação ao nível desta camada são Windows Sockets e NetBIOS.


6-7

Transport layer

A camada Transport é responsável pela prestação de serviços de transporte de dois tipos: connection-oriented (orientado à ligação) e connectionless (não orientado à ligação. Os protocolos desta camada são: TCP (Transmission Control Protocol) e UDP (User Datagram Protocol).

Internet layer

As funções de endereçamento e routing de packets são da responsabilidade da camada Internet que, no modelo TCP/IP é correspondente à camada designada por Network no modelo OSI.

Ao nível desta camada, existem vários protocolos: IP( Internet Protocolo), ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol) e IGMP (Internet Group Management Protocol).

Network Interface layer Esta camada é responsável por colocar os frames no meio de transmissão e por receber os frames desse meio de transmissão. A camada Network Interface do modelo TCP/IP corresponde às camadas Data Link e Physical do modelo OSI. Ao nível desta camada podem ser usadas várias tecnologias e protocolos quer para a comunicação em redes locais (por exemplo, Ethernet ou Token RIng) quer para ligações WAN (por exemplo Frame Relay ou ATM).

Interfaces para aplicações

O que são as interfaces para as aplicações Designam-se por Application Interfaces os conjuntos de funções e comandos que as aplicações devem invocar para aceder aos protocolos de rede. Por exemplo, quando um browser acede a um site necessita de usar os interfaces para estabelecer a comunicação com o protocolo TCP para a criação de uma conexão TCP.

O Windows 2000 disponibiliza dois tipos de Application Interfaces (API), para que as aplicações comuniquem com os protocolos: Windows Sockets (WinSock) e NetBIOS. Observe a figura seguinte.


6-8

Windows sockets interface O Windows Sockets Interface é uma API (Application Programming Interface) que pode ser utilizada pelas aplicações para aceder aos serviços dos protocolos TCP e UDP. Muitas aplicações e serviços são criadas com aplicações Windows Sockets, isto é, contêm o código necessário para aceder às funções e comandos disponibilizados pelo interface Windows Sockets.

Muitos utilitários que vêm com o Windows 2000 (como Ping, Tracert, FTP e Telnet) utilizam o Windows Sockets. Existem igualmente APIs de mais alto nível que utilizam o interface Winsock como é o caso da API Windows Internet API (WININET) utilizada pelo browser Internet Explorer.


6-9

A API Windows Sockets proporciona serviços que permitem ligar uma aplicação ligar-se a um determinado port e endereço IP num host, iniciar, aceitar e encerrar uma conexão, receber e enviar dados.

Existem dois tipos de sockets: stream sockets (utilizando o protocolo TCP) e datagram sockets (utilizando o protocolo UDP).

NetBIOS interface O interface NetBIOS, complementado com o NetBIOS over TCP/IP (também designado por NetBT) é uma outra interface que permite igualmente que aplicações sejam criadas usando esse interface para aceder aos serviços dos protocolos TCP e UDP.


6-10

B - Instalação e configuração dos protocolos TCP/IP

Instalação dos protocolos TCP/IP A instalação dos protocolos TCP/IP no Windows 2000 é necessária para que fiquem disponibilizados alguns dos serviços de rede, assim como os serviços de IIS (Internet Information Services) e Active Directory.

O processo de instalação dos protocolos TCP/IP A suite de protocolos TCP/IP é automaticamente instalada durante a fase de instalação do sistema operativo. Todavia, a instalação e desinstalação podem ser feitas posteriormente, podendo para tal utilizar os procedimentos descritos em seguida. Active o menu Start, escolha Settings e, em seguida, Network and Dial-up Connections. Na caixa Dial-up and Network Connections, execute um clique com o botão direito em Local Area Connection. No menu de contexto, escolha Properties.


6-11

Na caixa Local Area Connection Properties, pode instalar e desinstalar protocolos de comunicações.


6-12

Configuração dos protocolos TCP/IP Depois de instalada a suite de protocolos TCP/IP, é possível aceder à respectiva caixa de propriedades para efectuar a configuração desses protocolos. Para configurar os protocolos TCP/IP pode executar os seguintes procedimentos. Na caixa Local Area Connection Properties, seleccione Internet Protocol (TCP/IP) e, em seguida, clique no botão Properties, para aceder à caixa Internet Protocol (TCP/IP) Properties que é mostrada na imagem seguinte.


6-13

Endereços IP obtidos automaticamente. Numa internetwork, cada computador tem de possuir um endereço IP. Esse endereço IP pode ser obtido automaticamente a partir de um servidor na rede com a função de atribuir dinamicamente endereços IP (designado por DHCP Server-Dynamic Host Configuration Protocol Server) ou através de um Internet Service Provider, no caso de uma ligação à Internet. Para obter automaticamente um endereço IP deve marcar o botão Obtain an IP address automatically.

1. Endereços IP configurados manualmente. Na caixa Internet Protocol (TCP/IP) Properties

pode optar por escolher o endereço IP e a correspondente Subnet mask. Desta forma o computador figurará na rede com um endereço IP fixo e não com um endereço que é automática e dinamicamente atribuído de cada vez que o computador se conecta à rede.

2. Default gateway. O nome gateway é, na terminologia da Internet, muitas vezes utilizado como sinónimo de router. Na caixa Internet Protocol (TCP/IP) Properties pode escrever o endereço IP do router default para o qual serão enviados os packets que não se destinem à rede em que determinado computador está inserido.

3. DNS servers. Para efectuar a tradução dos nomes simbólicos em endereços IP é necessário

utilizar os serviços de um DNS (Domain Name System) server. Pode marcar o botão Use the following DNS server addresses para especificar o endereço de um Preferred DNS server e de um Alternate DNS Server.


6-14

Utilização do comando IPConfig O comando ipconfig é um comando que pode ser utilizado no Command prompt de uma janela de DOS. A finalidade desse comando é a de proporcionar informação sobre a configuração do TCP/IP no computador. Se apenas for digitado o comando, é apresentada a informação sobre o endereço IP, a Subnet mask e o default gateway para cada adaptador ligado ao sistema de protocolos TCP/IP.

A imagem seguinte mostra, um ecrã com a execução simples desse comando.

O comando pode ser usado com várias opções complementares. A título informativo apresentam-se algumas dessas opções:


6-15

ipconfig /?

Apresenta um help com as várias opções disponíveis. A imagem serguinte mostra o resultado da execução do comando com essa opção.

ipconfig /all

Se o comando for usado com a opção /all é apresentada toda a informação sobre a configuração.


6-16

Utilização do comando ping O comando ping pode ser utilizado no Comand para testar a conectividade com um determinado host. A título de ilustração, apresenta-se uma utilização do comando ping com o endereço do próprio computador em que é usado.


6-17

C - Estrutura e representação dos endereços IP

Prefixo e sufixo Numa rede que funciona através do stack de protocolos TCP/IP, o sistema de endereçamento é definido pelo protocolo IP (Internet Protocol). De acordo com as especificações do protocolo IP, a cada host da rede deverá ser atribuído um endereço único formado por um número de 32 bits. Esse endereço é designado por endereço IP. Os endereços IP são constituídos por duas partes: o prefixo e o sufixo. O prefixo identifica a rede física a que o computador pertence. O sufixo identifica cada um dos computadores dentro de uma rede física. Numa internet não pode haver dois computadores ou dois routers com o mesmo endereço IP. Os endereços IP têm ser únicos. Note-se todavia que os routers possuem em regra vários endereços IP. Inclusivamente, um computador, ligado a várias redes (um multihomed computer) pode possuir mais do que um endereço IP. O ponto a salientar, no entanto, é o seguinte: todos os endereços IP são diferentes. Isto todavia não significa necessariamente que a cada host ou router corresponda um só endereço IP. Na versão actual do protocolo IP, um endereço IP é constituído por um número de 32 bits. Com 32 bits pode ser criado o seguinte número máximo de endereços diferentes

232=4 294 967 296

Em teoria, este é o número máximo de endereços que podem ser criados numa internet. Na versão futura do protocolo IP (designada por IPv6) serão reservados 128 bits para cada endereço IP. Com 128 bits será possível criar o seguinte número de endereços diferentes:

2128

= 3,4028236692093846346337460743177e+38 O facto de um endereço IP ser constituído por um prefixo (que identifica a rede) e por um sufixo (que identifica o computador dentro da rede) garante a unicidade na atribuição dos endereços aos vários computadores que participam numa internet, pelas seguintes razões:

1. Os números que identificam cada uma das redes físicas são atribuídos por uma autoridade de supervisão global, garantindo que não existem duas redes com o mesmo número;

2. Dentro de cada rede física, a atribuição de números aos computadores deverá igualmente ser feita

por forma a que, dentro de uma mesma rede física, não existam dois computadores com o mesmo número.


6-18

A representação de um endereço IP Um endereço IP pode ser representado através de uma sequência de 32 bits em notação binária. Todavia, a forma mais prática de representar numericamente um endereço IP é através da representação designada por dotted decimal notation. Esse processo consiste em dividir o endereço em 4 grupos de 8 bits. Cada um desses grupos de 8 bits é representado em decimal. Os grupos são separados por um ponto (dot).

Exemplos Nos exemplos seguintes são apresentados endereços IP através da sua representação binária e da sua representação dotted decimal

Representação binária Dotted decimal 01111101 00100110 0011000 00001010 125.38.24.10

10000010 00101111 00001111 00000000 130.47.15.0

11000110 11111111 01001101 00001110 198.255.77.14

Tipos especiais de endereços

Endereços com significado especial No esquema de endereçamento IP existem endereços que têm um significado especial e que são utilizados para finalidades específicas. Adiante são apresentados alguns desses endereços especiais. Nos pontos seguintes serão apresentados os seguintes tipos especiais de endereços: endereço da própria rede, endereços directed broadcast, endereços limited broadcast, endereço 0.0.0.0 e loopback address.

Endereço da própria rede Cada uma das redes físicas que integram uma internet deve ter associado um endereço próprio. Este endereço é um endereço formado pelo prefixo da rede e por um sufixo com todos os bits a zero. Este endereço é reservado, serve para identificar a rede, e não deve ser atribuído a nenhum dos hosts dessa rede.

Exemplo Considere o endereço 129.230.0.0. Admita que 129.230 é o prefixo e que o sufixo é 0.0. O facto de o sufixo ter todos os bits a zero indica que esse é o endereço da rede. Esse endereço não deve ser atribuído a nenhum dos hosts da rede. A imagem seguinte apresenta o esquema dessa rede, com três hosts.


6-19

Endereços directed boadcast No sistema de endereçamento IP, um endereço directed broadcast é um endereço que contém todos os bits do sufixo com o valor 1. Trata-se de um endereço reservado, pelo que os administradores das redes físicas de uma internet não devem atribuir este endereço a nenhum dos hosts da rede. Este tipo de endereço é utilizado quando se pretende enviar um packet para todos os hosts da rede. Quando um packet com este endereço chega a uma rede física, o sistema de broadcast da rede encarrega-se de enviar uma cópia do packet a todos os hosts da rede.

Endereço limited broadcast Um endereço limited broadcast é um endereço IP em que todos os bits do endereço (quer no prefixo quer no sufixo) são colocados a 1. Este tipo de endereço é apenas utilizado dentro de cada uma das redes físicas. Quando um computador arranca e ainda não conhece o endereço da rede, pode necessitar de enviar mensagens broadcast a todos os computadores da sua rede física, utilizando esse tipo de endereço.

Endereço 0.0.0.0 Os datagramas IP possuem o endereço do emitente e o endereço do destinatário. Pode acontecer que, no arranque, um computador não conheça o seu endereço IP. Isso, todavia, não impede a comunicação. O sistema de endereçamento IP reserva o endereço especial que consiste em colocar todos os bits do endereço a 0 para indicar "este computador".


6-20

Loopback address O endereço que começa com o prefixo 127 é designado por loopback address. Os packets que levam este prefixo no endereço IP (independentemente do valor do sufixo) nunca chegam a ser enviados através da rede. Este tipo de endereço é fundamentalmente utilizado para a realização de testes.

Exemplo Imagine, por exemplo, que um programador pretende testar duas aplicações desenhadas para comunicar numa rede através do conjunto de protocolos TCP/IP. Uma das possibilidades consiste em correr essas aplicações em dois computadores distintos numa rede.

Todavia, usando o endereço especial designado por loopback address, o programador pode testar as duas aplicações na mesma máquina, simulando uma comunicação através da rede.

O loopback address envia os packets através da hierarquia dos protocolos TCP/IP e reenvia-os para a aplicação de destino, na mesma máquina, utilizando o mesmo conjunto de protocolos.

Endereços IP dos routers No esquema de endereçamento IP, cada router terá associado um endereço IP por cada uma das redes a que está conectado. Um endereço IP, através do seu prefixo e do seu sufixo, estabelece a relação entre uma rede e um computador. Nesta perspectiva, um router funciona como um computador ligado a várias redes.

Computadores multi-homed Um computador pode ter ligação a várias redes e, por esse facto, poderá ter mais do que um endereço IP, um por cada uma das redes a que se encontrar ligado. Um computador que possua várias ligações de rede é designado por multi-homed.


6-21

As classes de endereços IP

As várias classes de endereços Como um endereço IP é composto por 32 bits, quanto maior for o número de bits reservado para o prefixo menor será evidentemente o número de bits disponíveis para o sufixo. Um maior número de bits destinado a ser usado como prefixo, permite criar um maior número de redes distintas numa internet, mas limita, por outro lado, o número de computadores que cada uma das redes pode conter. Para fazer face à necessidade de criar um esquema de endereçamento que contemplasse internets formadas através de uma combinação de grandes e de pequenas redes, o esquema de endereçamento do protocolo IP começou inicialmente por dividir os endereços IP em classes. As classes de endereços IP distinguem-se pelo número máximo de redes distintas e pelo número máximo de hosts que podem existir em cada rede de determinada classe. São definidas cinco classes, designadas pelas letras A, B, C, D e E. As classes A, B e C são designadas por classes primárias e destinam-se a ser utilizadas para atribuição de endereços a hosts. A classe D é usada para multicasting. A classe E é não é actualmente utilizada, sendo reservada para uso futuro.

Classe A

Estrutura dos endereços Nos endereços da classe A, são reservados 8 bits para o prefixo e 24 bits para o sufixo. O primeiro bit é sempre 0. Assim, qualquer endereço cujo primeiro bit seja igual a 0 é identificado como um endereço da classe A.

O software que analisa o endereço pode utilizar essa informação para ficar a saber que os primeiros oito bits desse endereço representam a classe, e que os 24 bit s restantes constituem o sufixo.

Número máximo de redes Em teoria, o valor decimal do primeiro byte de um endereço da classe A poderia variar entre 0 e 127. Isto deve-se ao facto de, os endereços da classe A começarem sempre pelo bit 0 e de existirem 7 bits disponíveis para o prefixo e consequentemente um máximo de 128 (27 = 128) valores distintos, precisamente os valores compreendidos entre 0 e 127. Na prática, os valores do primeiro byte do endereço variam entre 1 e 126, pelas seguintes razões:

1. Os endereços em que todos os bits são zero devem ser excluídos por terem uma utilização especial; 2. O endereço em que todos os 7 bits disponíveis do prefixo estão a 1, corresponde ao valor 127

(1111111 em binário corresponde a 127) e este endereço é reservado para loopback address.


6-22

Número máximo de hosts Nos endereços da classe A, o sufixo utiliza 24 bits, pelo que, em teoria, o número máximo de hosts nas redes desta classe é de 16777216 (224 = 16777216). Mas a este número há que retirar os dois casos seguintes: o caso em que todos os bits do sufixo são 0 e o caso em que todos os bits do sufixo são 1 pois, como se referiu, estes endereços têm um significado especial e não devem ser atribuídos a nenhum host. Assim, na prática, o número total de hosts é de 16777214.

Identificação da classe a partir do primeiro byte do endereço A identificação da classe a que um endereço pertence pode ser feita a partir do valor decimal do primeiro byte desse endereço. No caso das redes da classe A, o primeiro byte varia entre 1 e 126. Na notação dotted decimal, os endereços que começam com números entre 1 e 126 pertencem à classe A.

Classe B

Estrutura dos endereços Nos endereços da classe B, são reservados 16 bits para o prefixo e 16 bits para o sufixo. Os dois primeiros bits do prefixo são sempre formados pela sequência 10. Ao analisar um endereço em que os dois primeiros bits são 10, o software identifica imediatamente esse endereço como um endereço da classe B. Fica a saber, desse modo, que os primeiros 16 bits constituem o prefixo de que os 16 bits restantes constituem o sufixo.

Número máximo de redes Para as redes da classe B, o prefixo utiliza 14 bits. Dessa forma, o número máximo de redes da classe B é de 16384 (=214).

Número máximo hosts Para o sufixo são destinados 16 bits, pelo que o número máximo de hosts nas redes da classe B é de 65536 (=216). Excluindo os casos de todos os bits do sufixo a 0 e a 1, ficam 65534 hosts.


6-23

Identificação da classe a partir do primeiro byte do endereço A identificação da classe pode igualmente ser feita a partir do valor decimal do primeiro byte do endereço. Para a classe B, o prefixo começa sempre pela sequência 10. Assim os valores possíveis do primeiro byte de um endereço da classe B vão de 10000000 (o equivalente ao número decimal 128) até 10111111 (o equivalente ao número decimal 191). Na notação dotted decimal, os endereços que começam com os números entre 128 e 191 pertencem à classe B.

Classe C

Estrutura dos endereços Nos endereços da classe C, os primeiros 24 bits são reservados para prefixo e os 8 bits seguintes para sufixo. Um endereço da classe C é identificado pela seguinte sequência dos seus primeiros três bits: 110. Quando esta sequência é encontrada num endereço, o software identifica os primeiros 24 bits como constituindo o prefixo do endereço e os restantes 8 bits como constituindo o sufixo.

Número máximo de redes Nas redes da classe C, o prefixo utiliza 21 bits, pelo que o número máximo de redes da classe C é de 2097152 (221).

Número máximo de hosts O sufixo dos endereços desta classe utiliza 8 bits, pelo que o número máximo de hosts em redes da classe C é de 256 (=28). Excluindo os dois casos, correspondentes aos bits do sufixo todos a zero ou a um, ficam 254 hosts.


6-24

Identificação da classe a partir do primeiro byte do endereço Na classe C existem 24 bits para o prefixo. Desses 24 bits, três são reservados para a sequência inicial 110. Temos assim que os valores possíveis para o primeiro byte de um endereço da classe C vão de 11000000 (o equivalente ao número decimal 192) até 11011111 (o equivalente ao número decimal 223) Na notação dotted decimal, os endereços que começam com os números entre 192 e 223 pertencem à classe B.

Síntese para as classes A, B e C A tabela seguinte apresenta um sumário dos valores acima referidos, mostrando, para cada classe, o número máximo de redes, o número máximo de hosts e os limites dos valores do primeiro byte do endereço quando representado em dotted decimal.

Classe Número máximo de

redes Número máximo de

hosts Identificação a partir do

primeiro byte do endereço

Classe A 126 16777214 1-126

Classe B 16384 65534 128-191

Classe C 2097152 254 192-223

Endereços da classe D A classe D é utilizada para multicasting. Um endereço da classe D é identificado pela seguinte sequência dos seus quatro primeiros bits: 1110. Nos endereços da classe D, o prefixo começa pela sequência 1110. Nesta classe, o primeiro byte do endereço pode ir de 11100000 (o equivalente ao número decimal 224) até 11101111 (o equivalente ao número decimal 239).

Endereços da classe E Um endereço da classe E é identificado pela seguinte sequência dos seus quatro primeiros bits: 1111. Os valores do primeiro byte dos endereços desta classe podem ir de 11110000 (o equivalente ao número decimal 240) até 11111111 (o equivalente ao número decimal 255). A classe E não é actualmente utilizada.


6-25

Resolução de endereços

O que é a resolução de endereços A tradução de um endereço IP num endereço de hardware é designada por resolução de endereços (address resolution). A resolução de endereços é um processo executado apenas dentro de uma mesma rede física. Por exemplo, se um host ou um router precisam de enviar um packet para um computador dentro da mesma rede física, utilizam técnicas de resolução de endereços, para identificar o endereço de hardware do destino. No entanto, para enviar um packet para uma rede remota, utilizam os endereços IP.

Técnicas de resolução de endereços Existem três técnicas básicas para executar o processo de resolução de endereços:

Tabelas em memória Utilização de tabelas em memória que relacionam os endereços de protocolo com os endereços de hardware. Esta técnica é fundamentalmente utilizada em redes WAN.

Utilização de algoritmos Utilização de um algoritmo que transforma endereços de software em endereços de hardware. Esta técnica é utilizada em redes em que os endereços de hardware são configuráveis.

Troca de mensagens entre os computadores da rede Troca de mensagens entre os computadores da rede. Esta técnica é usada fundamentalmente em LANs com endereçamento estático.

Resolução de endereços através de tabelas Esta técnica de resolução de endereços consiste na criação de uma tabela em memória para cada rede física. Essa tabela relaciona cada endereço IP com o correspondente endereço de hardware. A utilização desta tabela é evidente. Admita que é necessário determinar o endereço de hardware de um determinado endereço IP. Uma simples consulta à tabela permite determinar o endereço de hardware correspondente a esse endereço IP.

Resolução de endereços através de algoritmos Nalgumas redes, o endereço de hardware de cada computador pode ser configurado. Em redes deste tipo, é possível atribuir endereços de hardware que possam ser derivados do endereço IP através de simples operações matemáticas.


6-26

Resolução de endereços através de troca de mensagens Esta técnica pode ser sumariamente descrita do seguinte modo: quando um computador necessita de conhecer o endereço de hardware correspondente a um determinado endereço IP, envia uma mensagem aos computadores da rede e aguarda uma resposta. A mensagem contém, no essencial, a seguinte pergunta: qual é o endereço de hardware deste endereço IP? A implementação desta técnica pode ser feita de duas formas:

• Na rede existe um ou mais servidores dedicados para a resolução de endereços. Quando um computador necessita de resolver um endereço, envia uma mensagem a um dos servidores que se encarrega de enviar a resposta;

• Na rede não existem servidores dedicados para a resolução de endereços. Cada computador

pode aceitar pedidos de resolução de endereços. O computador que necessita de obter o endereço de hardware correspondente a um determinado endereço IP envia uma mensagem broadcast a todos os computadores da rede. Essa mensagem contém, no essencial, a seguinte pergunta. "Agradecia que aquele que tem este endereço IP me enviasse o seu endereço de hardware". Todos recebem a mensagem, mas só o computador visado envia a resposta.

O protocolo ARP

O funcionamento do protocolo ARP O protocolo ARP (Address Resolution Protocol) é um protocolo incluído na suite TCP/IP. Este protocolo pode ser usado para transformar endereços de protocolo em endereços de hardware, com grande generalidade. Todavia, ele é fundamentalmente utilizado para efectuar a resolução de endereços IP de 32 bits em endereços de hardware Ethernet de 48 bits. O funcionamento deste protocolo pode ser descrito da seguinte forma:

• O computador que necessita de conhecer o endereço de hardware correspondente a um determinado endereço IP, faz o broadcast de uma mensagem para todos os computadores da rede;

• Apenas o computador a que o mencionado endereço IP corresponde, envia uma mensagem

directa ao computador que efectua o pedido, indicando o valor do seu endereço de hardware.


6-27

Encapsulamento de mensagens ARP As mensagens ARP são encapsuladas em frames de hardware, como a imagem seguinte sugere.

Para indicar aos computadores que esta frame contém uma mensagem ARP, utiliza-se o campo frame type do HEADER. Nas frames Ethernet utiliza-se o valor hexadecimal 806 para indicar que a frame transporta uma mensagem ARP. Observe a imagem seguinte.

Formato das mensagens ARP em frames Ethernet As mensagens ARP em frames de hardware contêm os campos descritos na tabela seguinte.

Segue-se uma explicação dos vários campos da figura.

Hardware Adress Type Este campo contém a identificação do tipo de endereço de hardware. Quando o tipo de endereço de hardware é o de um endereço de uma rede Ethernet, o valor deste campo é 1.


6-28

Protocolo Address Type Este campo contém a identificação do tipo de endereço de protocolo. Quando a mensagem ARP é utilizada com endereços de protocolo IP, o valor deste campo é 800 (hexadecimal).

Haddr Len Especifica o número de bytes usado em endereços de hardware.

Paddr Len Especifica o número de bytes usado em endereços de protocolo.

Operation Este campo é utilizado para indicar se a mensagem contém um pedido (valor 1) ou a resposta a um pedido (valor 2).

Sender Haddr Este campo ocupa 6 bytes, pelo que, na figura, corresponde a três linhas. Contém o endereço de hardware do computador que envia a mensagem (sender). Se a mensagem contém um pedido (valor 1 no campo OPERATION), o endereço de hardware é o endereço do computador que faz o pedido. Se a mensagem é uma resposta, este campo contém o endereço de hardware previamente solicitado.

Sender Paddr Este campo ocupa 4 bytes e corresponde a duas linhas contíguas na figura. Contém o endereço de protocolo do computador que envia a mensagem.

Target Haddr Este campo ocupa 6 bytes e está representado por três linhas contíguas na figura. Contém o endereço de hardware do computador de destino (target) da mensagem. Quando a mensagem é um pedido, o valor deste campo é evidentemente desconhecido e vai preenchido a zeros.

Target Paddr Este campo ocupa 4 bytes e é representado pelas duas últimas linhas no esquema da figura. É utilizado para armazenar o endereço de protocolo do computador de destino da mensagem.

A cache ARP O software ARP mantém uma tabela em memória, designada por cache, que associa endereços de protocolo a endereços de hardware. Um pedido só é enviado à rede quando a informação não existe nessa cache.


6-29

O protocolo ICMP

O que é o protocolo ICMP O protocolo ICMP (Internet Control Message Protocol) tem por finalidade reportar erros que possam ocorrer durante o percurso que um packet percorre da origem até ao destino. Esse protocolo define o formato das mensagens que os routers enviam ao host de origem quando ocorre uma circunstância que impede o envio do packet para o destino. As mensagens do protocolo ICMP são incorporadas na parte relativa a dados dos datagramas IP. Por outras palavras, uma mensagem do protocolo ICMP é um datagrama IP em que a área de dados contém o header e os dados do protocolo ICMP.

Fig. X.1. Encapsulamento dos packets do protocolo ICMP. A área de dados e o header do protocolo ICMP são incluídos na área de dados de um datagrama IP, sendo, posteriormente encapsulado numa frame de hardware.

Nota O facto de o protocolo ICMP proporcionar um sistema de report de erros de transmissão, não significa que a sua actuação conjugada com o protocolo IP faça deste protocolo um protocolo fiável. De facto, as mensagens do protocolo ICMP são transportadas sob a forma de datagramas IP, ou seja, são, elas próprias, transportadas através de um serviço não fiável.

Estrutura das mensagens ICMP

O formato das mensagens ICMP Existem vários tipos de mensagens ICMP e cada uma dessas mensagens possui o seu próprio formato. No entanto, todas possuem uma característica comum: todas elas começam com os três campos seguintes:

• Um campo de 8 bits que identifica o tipo de mensagem (o campo type);

• Um campo de 8 bits que contém informação adicional sobre o tipo de mensagem (o campo code);

• Um campo de 16 bits usado para checksum.

Fig. 6.5. Campos iniciais das mensagens ICMP. Os campos iniciais das mensagens ICMP identificam o tipo de mensagem, o código complementar e a área de checksum.


6-30

Tipos de mensagens. O campo TYPE O protocolo ICMP utiliza vários tipos de mensagens. Cada mensagem é identificada por um número correspondente ao campo TYPE. Os números do campo TYPE e o tipo de mensagem correspondente podem ser observados na tabela seguinte.

Fig. 6.6. Códigos do campo Type. Esta tabela mostra os valores que o campo Type pode assumir, bem como o tipo de mensagem que lhe corresponde.

Echo Request e Echo Reply

A finalidade destas mensagens As mensagens do tipo Echo Request e Echo Reply são frequentemente utilizadas para testar a operacionalidade de uma ligação através da Internet. O programa ping é utilizado para enviar mensagens ICMP do tipo Echo Request tendo em vista testar se determinado destino na Internet pode ser acedido. Uma vez que a mensagem circula na Internet sob a forma de um datagrama IP, o sistema permite verificar a operacionalidade da ligação, proporcionando, ao mesmo tempo, indicações estatísticas importantes sobre a própria ligação. Quando uma máquina recebe um Echo Request, responde enviando um Echo Reply para o emissor. Quando o emissor recebe o Echo Reply adquire a garantia de que a máquina de destino se encontra em operação e que os routers ao longo do percurso permitem estabelecer a ligação.

A estrutura das mensagens do tipo Echo Request e Echo Reply A estrutura das mensagens Echo Request e Echo Reply é apresentada na figura. A distinção entre uma mensagem Echo Request e uma mensagem Echo Reply é definida pelo valor do campo Type, que será 8 no primeiro caso e 0 no segundo. O campo Code terá o valor 0. Os campos Identifier e Sequence Number são utilizados pelo emissor para poderem associar cada reply a cada request. O campo Dados Opcionais é de tamanho variável e conterá informação a ser enviada para o emissor.


6-31

Fig. 6.7. Estrutura das mensagens Echo Request e Echo Reply. A imagem mostra o formato genérico das mensagens Echo Request e Echo Reply. No caso de se tratar de uma mensagem Echo Request, o campo Type possuirá o valor 8. Se for uma mensagem Echo Reply, conterá o valor 0.

Destination Unreachable Uma mensagem do tipo Destination Unreachable é enviada ao emissor quando um router não consegue fazer o envio de um datagrama. Esta mensagem é enviada antes de o router se descartar do datagrama. O campo code utiliza um número que especifica o tipo de problema encontrado. Esse número pode variar de 0 a 12. A figura mostra os números de código e o correspondente significado.

Fig. 6.8. Código das mensagens Destination Unreachable. Como se pode observar existe uma variedade de causas que podem originar a necessidade de um router enviar uma mensagem indicando a causa pela qual determinado datagrama teve de ser descartado.

Apresenta-se em seguida uma breve explicação do significado de alguns dos códigos utilizados nas mensagens Destination Unreachable.

Network unreachable Quando um router não consegue encontrar um caminho para o destino do packet, envia uma mensagem do tipo NETWORK UNREACHABLE para o host de origem.

Host unreachable


6-32

Quando um host de destino não pode ser localizado na rede de destino do packet, o router pode enviar uma mensagem host unreachable, para informar desse facto o host de origem. Esta técnica é apenas utilizada pelos routers em comunicações orientadas à ligação.

Protocol unreachable Este tipo de mensagem é enviado pelo host de destino quando não existe nenhum protocolo em execução que coincida com o protocolo indicado no header de um packet IP.

Port unreachable Mensagem enviada pelo host de destino quando não existe um processo associado ao port indicado no header de um datagrama UDP.

Fragmentation needed and DF set Um router detecta a necessidade de fragmentar um packet mas depara com a indicação DF (Don´t fragment) no cabeçalho do datagrama IP.

Source Quench

O problema do congestionamento dos routers Os routers podem ficar congestionados e incapacitados de fazer o delivery de todos os datagramas que recebem quando o fluxo de chegada de datagramas é superior à capacidade de processamento do próprio router. Nessas circunstâncias, os routers usam o protocolo ICMP para enviar mensagens Source Quench (Type=4) reportando a ocorrência do congestionamento antes de começarem a descartar os datagramas. A origem dos datagramas levará em consideração estas mensagens reduzindo a velocidade do fluxo de envio de datagramas.

A estrutura das mensagens Source Quench Como se mostra na figura, a estrutura de uma mensagem Source Quench contém a indicação do tipo de mensagem no campo Type e inclui igualmente a informação que indica qual o datagrama que foi descartado.

Fig. 6.9. Formato genérico das mensagens Source Quench. A figura mostra alguns dos campos utilizados nas mensagens do tipo Source Quench.


6-33

Redirect

A finalidade das mensagens Redirect As mensagens do tipo Redirect são trocadas entre um router e um host numa rede directamente conectada. A finalidade dessas mensagens é a de informar o host de que existe um melhor caminho para o encaminhamento do packet para um determinado endereço. Apesar do envio da mensagem ICMP, o router envia o packet para o destino. A mensagem tem por finalidade informar o host no sentido de escolher um melhor caminho para enviar futuras mensagens.

A estrutura das mensagens Redirect A estrutura das mensagens Redirect contém um campo com a indicação do endereço do router que o host deve utilizar para enviar esses packets.

Fig. 6.10. Formato genérico das mensagens Redirect. A figura mostra alguns dos campos utilizados nas mensagens do tipo Redirect.

Time Exceeded for a Datagram

A finalidade das mensagens Time Exceeded Numa internet com uma topologia dinâmica pode acontecer que, em certas circunstâncias, as tabelas de routing não reflictam correctamente a topologia da internet, gerando situações de loop. Em termos simples, gera-se um loop quando, por exemplo, o router A envia um packet para o router B e, devido a uma deficiente configuração das tabelas, o router B reenvia o packet para o router A que, por sua vez o envia de novo para o router B. O packet entra assim num ciclo de onde não sai. O ciclo não se prolonga indefinidamente visto que o campo Time-to-Live é decrementado de uma unidade de cada vez que o packet passa por um dos routers. Quando o valor do campo Time-to-Live atinge o valor 0 o packet é descartado. Quando um router descarta um datagrama pelo facto de o campo Time-to-Live ter atingido o valor 0, envia uma mensagem Redirect com um código indicando o motivo pelo qual o packet foi descartado.


6-34

Uma outra situação pode ocorrer e dar origem à emissão de uma mensagem do mesmo tipo. Tal acontece quando um datagrama tem de ser fragmentado. Quando o primeiro fragmento de um datagrama chega, o host receptor inicia um contador de tempo. Se, ao fim de um intervalo de tempo previamente fixado, o último fragmento não chegar, isso é considerado um erro e dá origem ao envio de uma mensagem reportando o erro. Na mensagem, o campo Code pode conter o valor 0 ou o valor 1. O valor 0 indica que o erro se deve ao facto de o campo Time-to-Live ter atingido o valor 0; o valor 1 indica que foi excedido o tempo fixado para reagrupar os fragmentos.

A estrutura das mensagens Time Exceeded for a Datagram A figura mostra a estrutura de uma mensagem Time Exceeded for a Datagram.

Fig. 6.11. Formato genérico das mensagens Time Exceeded for a Datagram. Pode observar alguns dos campos utilizados nas mensagens do tipo Redirect.

Parameter Problem for a Datagram

A finalidade das mensagens Parameter Problem for a Datagram As mensagens ICMP do tipo Parameter Problem for a Datagram, podem ser originadas quando é detectada uma situação anómala ao nível do conteúdo do próprio datagrama. Esta mensagem só é enviada nas situações mais severas que impliquem que o packet tenha de ser descartado.

A estrutura das mensagens Parameter Problem for a Datagram A estrutura deste tipo de mensagens é apresentada na figura. O campo Pointer pode ser utilizado para indicar o byte onde é detectada a anomalia.


6-35

Fig. 6.12. Formato genérico das mensagens Parameter Problem for a Datagram. Pode observar alguns dos campos utilizados nas mensagens do tipo Parameter Problem for a Datagram. O campo pointer pode ser utilizado para indicar o byte onde se detectou a anomalia.

Timestamp Request e Timestamp Reply

A finalidade das mensagens As mensagens Timestamp Request e Timestamp Reply são usadas para efeitos de sincronização dos relógios internos. Através da troca de mensagens ICMP do tipo Timestamp Request e Timestamp Reply é possível (em termos de estimativa mais ou menos aproximada) estabelecer um certo grau de sincronismo entre duas máquinas que comunicam através da Internet. O emissor envia uma mensagem com o valor 13 no campo Type e o receptor envia a resposta com o valor 14 no campo Type.

A estrutura das mensagens A figura mostra o esquema das mensagens Timestamp Request e Timestamp Reply. O código no campo Type indica de que tipo de mensagem se trata. Os campos Identifier e Sequence Number são utilizados para identificar cada pedido e cada resposta.

Fig. 6.13. Formato genérico das mensagens Timestamp Request e Timestamp Reply. Pode observar alguns dos campos utilizados nas mensagens do tipo Timestamp Request e Timestamp Reply. O campo pointer pode ser utilizado para indicar o byte onde se detectou a anomalia.

O sincronismo dos relógios entre os dois extremos da comunicação é feito num base de estimativa tendo em conta o tempo (contado em milisegundos desde a meia-noite Universal time). O campo Originate Timestamp é criado pelo emissor imediatamente antes de o packet ser transmitido. O campo Receive Timestamp é criado imediatamente após a recepção. O campo Transmit Timestamp é criado imediatamente antes de a resposta ser transmitida. O emissor original pode, com base nestes valores efectuar uma estimativa da deriva dos relógios internos dos dois hosts. Deve notar-se, no entanto, que a


6-36

utilidade prática desta estimativa é severamente afectada pelas circunstâncias que ditam a comunicação de dados através da Internet, o que limita a utilidade prática deste mecanismo em termos de sincronização.

Address Mask Request e Address Mask Reply

A finalidade das mensagens As mensagens do tipo Address Mask Request e Address Mask Reply têm origem no facto de nalgumas redes ser utilizada uma técnica designada por subnet. Nesses casos, o endereço IP têm de ser interpretado com o auxílio de uma subnet mask que identifica os bits do endereço que identificam a rede. Quando for o caso, os hosts necessitam de conhecer a subnet mask da rede local e, para esse efeito, podem utilizar mensagens do protocolo ICMP do tipo Address Mask Request dirigidas a um router, recebendo como resposta uma mensagem do tipo Address Mask Reply. O host que necessita de conhecer a subnet mask pode enviar uma mensagem broadcast ou dirigir directamente a mensagem a um router.

A estrutura das mensagens A figura seguinte mostra a estrutura das mensagens Address Mask Request e Address Mask Reply. O campo Type permite identificar se se trata de um Request (17) ou de um Reply (18).

Fig. 6.13. Formato genérico das mensagens Address Mask Request e Address Mask Reply. Os campos Identifier e Sequence Number servem para associar os pedidos às respostas. O campo Address Mask contém a subnet mask requerida.


6-37

IP Multicast

Em que consiste a técnica de multicasting A técnica de multicasting difere do normal processo de unicasting no seguinte sentido: enquanto as mensagens unicast são enviadas de host para host, as mensagens multicast são enviadas de um host para um seleccionado grupo de hosts. Estabelecendo uma analogia: o sistema unicast é comparável a uma conversa entre duas pessoas enquanto o sistema multicast é comparável a uma conferência.

Fig. 6.14. Unicast. No sistema unicast existe a comunicação entre dois hosts. A imagem sugere que diferentes datagramas enviados a partir de um host devem ter, cada um, como destino, um host diferente.

O sistema multicasting é especialmente adequado para a transmissão de áudio, vídeo e outro tipo de apresentações para determinados públicos na Internet ou mesmo em redes locais. A vantagem do modelo multicasting é a de que basta transmitir uma simples mensagem e ela será distribuída por todos os participantes no grupo, enquanto, para atingir o mesmo objectivo no sistema unicasting seria necessário enviar uma mensagem para cada um dos receptores.


6-38

Fig. 6.15. Multicast. No sistema multicast um só datagrama originado de um host pode ser replicado para vários hosts na rede.

A classe D (Multicasting) No sistema de endereçamento IP, a classe D é reservada para multicasting. Os primeiros 4 bits dessa classe são constituídos pela sequência 1110. Os restantes 28 são utilizados para identificar o grupo multicast.


6-39

A estrutura da classe D permite concluir que os endereços expressos em dotted decimal notation podem variar entre

224.0.0.0 e 239.255.255.255

A razão para estes limites é a seguinte: • O número inicial dos endereços da classe D, em binário é

11100000.00000000.00000000.00000000, traduzindo para dotted decimal, vem 224.0.0.0;

• Em binário, o último dos endereços da classe D é 11101111.11111111.11111111.11111111 o que, traduzindo para dotted decimal dá 239.255.255.255

Deve ter-se em conta que existem alguns limites à utilização destes endereços.

• O endereço 224.0.0.0 é reservado e não pode ser atribuído a nenhum grupo multicast;

• O endereço 224.0.0.1 (designada por all hosts) é reservado para utilização multicast em redes locais e encontra-se permanentemente atribuído a todos os hosts do grupo:

• Os endereços multicast apenas podem ser utilizados como endereços de destino;

• Para os endereços multicast não são geradas mensagens de erro do protocolo ICMP.

O protocolo IGMP O protocolo IGMP (Internet Group Management Protocol) é utilizado para estabelecer numa internet as relações de pertença de hosts a um determinado grupo multicast. Este protocolo é considerado como um componente do próprio protocolo IP. Existem duas fases na execução do protocolo IGMP.

1. Quando um host decide participar num grupo multicast envia uma mensagem IGMP com o endereço all hosts para declarar a sua pertença ao grupo. Os routers locais recebem essa informação e encarregam-se de a propagar a todos os restantes routers multicast na internet;

2. Os routers locais enviam periodicamente mensagens para confirmar quantos hosts permanecem

ligados a que grupo multicast. Um host pode ser membro de mais do que um grupo multicast. Em rigor, os únicos limites são ditados pelos limites dos endereços da classe D e pela capacidade da placa de rede NIC para a recepção de datagramas multicast.


6-40

D- Subnetting e supernetting

O que é uma subnet

Redes físicas e internets Uma internet é uma rede lógica criada através da interligação de diferentes redes físicas através, fundamentalmente, dos routers e do software do protocolo TCP/IP.

Fig.7-1-Redes físicas e internets. A figura mostra em esquema a rede da classe B 143.15.0.0 e, dentro dessa rede, duas das redes físicas que eventualmente fazem parte dessa internet. A figura sugere ainda que as duas redes físicas possuem tecnologias diferentes.

A comunicação entre hosts numa rede física A comunicação de dados entre computadores localizados dentro de uma rede física é comparável à comunicação verbal ou escrita que é possível estabelecer entre pessoas que residam na mesma casa ou que trabalhem no mesmo local. A mensagem (verbal ou escrita) pode ser entregue directamente.

Fig.7.2-Comunicação directa numa mesma rede física. Nesta rede física, o compu-tador B pode comunicar directamente com o computador D. Trata-se de uma rede de tipo broadcast pelo que as mensagens trocadas entre os dois


6-41

computadores são “ouvidas” por todos os outros. Mas o ponto importante a enfatizar é que se trata de uma comunicação directa através do meio de comunicação partilhado por todos os computadores da rede.

O objectivo das subnets A comunicação entre hosts de uma internet, pertencentes a redes físicas distintas é possível, através da utilização dos routers. No entanto, quando um host de uma rede física pretende comunicar com outro host pertencente a uma outra rede física na mesma internet, a questão que se pode colocar é a seguinte: como é que o protocolo IP sabe que os dois hosts se encontram em redes físicas distintas e que, portanto, os packets têm de ser enviados através dos routers na internet?

Exemplo Para concretizar através de um exemplo, vamos admitir que o host B (pertencente à rede física X) pretende comunicar com o host E (pertencente à rede física Y). Embora se trate de redes físicas distintas, porventura situadas em diferentes cidades, vamos admitir que pertencem a uma mesma internet, com o endereço de rede 143.15.0.0.

Para que essas diferentes redes possam ser identificadas no protocolo IP, o administrador da internet tem de dividir o endereço da rede (vamos supor que se trata do endereço de rede 143.15.0.0) em dois blocos distintos, atribuindo cada um desses blocos a cada uma das duas hipotéticas redes que fazem parte desta internet.

Cada um desses blocos correspondente a cada uma das redes físicas, constitui uma subnet. Uma hipótese possível seria atribuir à rede física X a subnet 143.15.20.0 e à rede física Y a subnet 143.15.30.0. Note-se que, em ambos os casos, o terceiro byte a contar da esquerda passaria a identificar a subnet e que apenas o último byte serviria para identificar cada host dentro de cada subnet.

Fig.7.3-Criação de subnets. A figura sugere a divisão do endereço IP 143.15.0.0 em duas subnets: a subnet 143.15.20.0 e a subnet 143.15.30.0.


6-42

A hierarquia criada pelas subnets As classes de endereços A, B e C criam uma hierarquia composta por duas partes: o endereço da rede e o endereço de um host dentro da rede. O endereço da rede é atribuído por uma autoridade de supervisão externa à organização que utiliza a rede. A criação das subnets é da responsabilidade dos administradores da rede e é, portanto, localmente administrada.

Exemplo Imagine-se a situação seguinte. A uma determinada organização foi atribuída a rede da classe B 130.48.0.0. A estrutura original da rede, antes de se criar qualquer subnet é a seguinte:

Mantendo esta estrutura, o administrador pode criar numa única rede um máximo de 65534 hosts (excluindo os dois extremos em que os bits são todos colocados a 0s ou a 1s).

Admita, no entanto, que o administrador desta rede decide criar 2 subnets, utilizando para isso 2 bits da parte localmente administrável do endereço.

Nesse caso, passaríamos a ter a seguinte hierarquia:

Convém chamar a atenção para o facto de teoricamente, com dois subnet bits, ser possível criar quatro subnets, pois, como se sabe, com dois bits, é possível criar quatro sequências diferentes de bits (00, 01, 10, 11). Excluindo, no entanto, os extremos 00 e 11, na prática, utilizando dois subnet bits na parte localmente administrável, podem ser criadas duas subnets.


6-43

Um exemplo Imagine um sistema composto por várias redes físicas. Admita que esse sistema dispõe apenas de um endereço de rede da classe B , por exemplo, o endereço 134.14.0.0. O administrador do sistema pode criar uma nova estrutura hierárquica, dividindo a parte do endereço reservada a hosts, em duas novas partes: uma parte destinada a identificar cada uma das redes físicas do sistema, e a outra destinada a identificar cada um dos hosts dessa rede física. Admitindo, por exemplo, que o sistema é composto por três redes físicas, poderia fazer-se a seguinte atribuição:

1. A uma das redes seria atribuído o endereço 134.14.1.0;

2. A outra, o endereço 134.14.2.0;

3. Finalmente, à terceira rede, o endereço 134.14.3.0. O último byte do endereço de cada uma das redes físicas, seria então utilizado para identificar os hosts dessa rede. Com esta partição da parte do endereço IP, seria possível criar 256 subnets e atribuir 256 hosts a cada subnet (em rigor não são 256, uma vez que determinados endereços não podem ser atribuídos). O princípio é o seguinte: quanto maior for o número de bits reservado para identificar subnets, maior é o número de subnets que podem ser criadas e, consequentemente, menor o número de hosts em cada subnet. Se for atribuído um menor número de bits para identificar subnets, será menor o número máximo de subnets que podem ser criadas e maior o número de hosts em cada subnet.

Subnet masks

O que é uma subnet mask A implementação de uma estrutura de subnets torna necessária a utilização de um novo valor que permita, face a um endereço IP, determinar qual a porção do endereço que identifica uma rede e qual a parte que é utilizada para identificar hosts. Esse valor é designado por subnet mask. Uma subnet mask é um valor de 32 bits definido em correspondência com o endereço IP. Os bits da subnet mask são atribuídos da seguinte forma. Os bits correspondentes à parte do endereço que identifica a rede são colocados a "1". Os bits que identificam hosts são colocados a "0". Desta forma, cada endereço IP passa a ter associada uma subnet mask. Naturalmente, cada uma das classes de endereços IP possui uma máscara natural ou máscara default. Nessa máscara natural, os bits correspondentes à parte do endereço que identifica a rede são colocados a “1” e os bits correspondentes à parte que identifica os hosts, são colocados a “0”. Neste caso, não existe subnetting e a existência da máscara apenas confirma aquilo que está definido em termos de número de bits para o prefixo e o sufixo de cada uma das classes de redes A, B e C. A tabela seguinte mostra as subnet masks naturais para cada uma das classes A, B e C.


6-44

Classe Subnet mask

Classe A 255.0.0.0

Classe B 255.255.0.0

Classe C 255.255.255.0

Quando se criam subnets, a subnet mask tem de ser costumizada servindo para distinguir os bits que são usados para identificar redes, dos bits que são utilizados para indicar hosts.

Representação de subnet masks

Representação dotted decimal e binário Tal como os endereços IP, as subnet masks podem ser representadas sob a forma dotted decimal ou em binário. No entanto, é preciso ter presente que uma subnet mask não é um endereço IP, mas sim um valor que serve para interpretar o significado da estrutura de um endereço IP.

Representação com indicação do comprimento do prefixo Uma representação abreviada da subnet mask consiste em indicar o número de bits destinados ao prefixo sob a forma seguinte

<endereço IP>/<# bits>.

Neste sistema de representação, a seguir ao endereço IP é colocado o símbolo / seguido do número de bits utilizado para indicar quantos bits do endereço são utilizados para identificar a rede.

Exemplos 1. Por exemplo, a subnet mask default para o endereço 143.48.0.0 da classe B pode ser representada, conjuntamente com o endereço da seguinte forma

143.48.0.0/16

indicando, assim, que os primeiros 16 bits do endereço identificam a rede.

2. Para o caso de uma subnet mask costumizada, considere-se, por exemplo, o endereço da classe B

135.16.10.0

em que os primeiros 8 bits do sufixo são utilizados para definir uma subnet. Neste caso, o endereço e a subnet mask podem ser representados da seguinte forma:

135.16.10.0/24

indicando que os primeiros 24 bits de endereço são utilizados para representar a rede.

Nota


6-45

Este tipo de representação assume que quando se estabelece um sistema de subnetting, os bits do sufixo são sempre utilizados em sequência.

Identificação da rede a partir do endereço IP Dado um endereço IP e uma subnet mask, utiliza-se a operação lógica AND (bitwise logical AND) entre o endereço IP e a subnet mask obtendo-se como resultado o endereço da rede. Desta forma, um router pode determinar o endereço da rede a que um packet se destina pela análise do seu endereço IP e da sua subnet mask.

A operação lógica AND Para que se possa compreender o modo como um router utiliza os endereços IP de destino contidos nos datagramas para consultar a routing table e fazer o forward dos datagramas, é necessário compreender o modo como funciona a operação AND entre os bits de dois números.

O modo como essa operação funciona vai ser apresentado através de dois exemplos.

Exemplo 1 Admita que se pretende efectuar a operação AND entre os bits correspondentes aos números 5 e 7. Essa operação efectua-se do seguinte modo:

1. Começa-se por escrever em binário os números 5 e 7:

Decimal Binário

5 = 101

5 (decimal) = 101 (binário) 7 (decimal) = 111 (binário)

b. Os números binários são colocados um sobre o outro e o resultado da operação obtém-se do seguinte modo: se na mesma posição figurarem dois “1”, o resultado é “1”; de contrário, o resultado é “0”. Aplicando esta regra aos dois números acima, temos:

101

111

101

Exemplo 2 Considere-se o endereço IP 35.50.10.12 na representação dotted decimal. A este endereço corresponde a seguinte representação binária:

00100011 00110010 00001010 00001100

Considere-se agora o valor 255.0.0.0 com a representação decimal seguinte

11111111 00000000 00000000 00000000 Efectuando a operação AND entre estas duas sequências de bits, obtém-se:

00100011 00110010 00001010 00001100

11111111 00000000 00000000 00000000

00100011 00000000 00000000 00000000


6-46

O resultado 00100011 00000000 00000000 00000000 corresponde ao valor 35.0.0.0 expresso na notação dotted decimal.

Quando se utilizam valores como 255 (correspondente a oito bits 1), pode seguir-se a seguinte regra prática: os valores correspondentes do outro operando permanencem inalterados.

Voltando de novo aos dados do exemplo anterior, mas agora utilizando notação dotted decimal:

35. 50. 10. 12

255. 0. 0. 0

35. 0. 0. 0

Exemplo 3 Considere-se por exemplo o endereço 130.48.125.12 com a subnet mask 255.255.140.0. A operação AND entre o endereço e a máscara permite determinar o endereço da rede:

Subnets em redes das várias classes

Subnets em rede da classe A O estabelecimento de subnets numa rede da classe A pode ser feita através da utilização dos 24 bits do endereço reservados para hosts. Quanto maior for o número desses bits utilizados para definir subredes, maior é o número de subredes que podem ser formadas, mas menor o número de hosts em cada uma das subredes. As possibilidades que se podem explorar são apresentadas na tabela seguinte:


6-47

Subnets da classe A

Subnet mask Bits

usados

Número de subnets

Número de hosts

11111111.10000000.0000000.0000000

255.128.0.0 1 2 8388606

11111111.11000000.00000000.00000000

255.192.0.0 2 4 4194302

11111111.11100000.00000000.00000000

255.224.0.0 3 8 2097150

11111111.11110000.00000000.00000000

255.240.0.0 4 16 1048574

11111111.11111000.00000000.00000000

255. 248.0.0 5 32 524286

11111111.11111100.00000000.00000000

255. 252.0.0 6 64 262142

11111111.11111110.00000000.00000000

255. 254.0.0 7 128 131070

11111111.11111111.00000000.00000000

255. 255.0.0 8 256 65534

11111111.11111111.10000000.00000000

255. 255.128.0 9 512 32766

11111111.11111111.11000000.00000000

255. 255.192.0 10 1024 16382

11111111.11111111.11100000.00000000

255. 255.224.0 11 2048 8190

11111111.11111111.11110000.00000000

255. 255.240.0 12 4096 4094

11111111.11111111.11111000.00000000

255. 255.248.0 13 8192 2046

11111111.11111111.11111100.00000000

255. 255.252.0 14 16384 1022

11111111.11111111.11111110.00000000

255. 255.254.0 15 32768 510

11111111.11111111.11111111.00000000

255. 255.255.0 16 65536 254

11111111.11111111.11111111.10000000

255. 255.255.128 17 131072 126

11111111.11111111.11111111.11000000

255. 255.255.192 18 262144 62

11111111.11111111.11111111.11100000

255. 255.255.224 19 524288 30

11111111.11111111.11111111.11110000

255. 255.255.240 20 1048576 14

11111111.11111111.11111111.11111000

255. 255.255.248 21 2097152 6

11111111.11111111.11111111.11111100

255. 255.255.252 22 4194304 2


6-48

Subnets em redes da classe B Numa rede da classe B, existem 16 bits destinados aos hosts. Um sistema de subnetting pode utilizar uma parte desses bits para criar subnets. O quadro seguinte mostra as combinações possíveis desde que os bits dos hosts sejam utilizados sequencialmente para a criação de subnets.

Subnets da classe B

Subnet mask Bits

usados

Número de subnets

Número de hosts

11111111.11111111.1000000.0000000

255.255.128.0 1 2 32766

11111111.11111111.11000000.00000000

255.255.192.0 2 4 16382

11111111.11111111.11100000.00000000

255.255.224.0 3 8 8190

11111111.11111111.11110000.00000000

255.255.240.0 4 16 4094

11111111.11111111.11111000.00000000

255.255.248.0 5 32 2046

11111111.11111111.11111100.00000000

255.255.252.0 6 64 1022

11111111.11111111.11111110.00000000

255.255.254.0 7 128 510

11111111.11111111.11111111.00000000

255. 255.255.0 8 256 254

11111111.11111111.11111111.10000000

255.255.255.128 9 512 126

11111111.11111111.11111111.11000000

255.255.255.192 10 1024 62

11111111.11111111.11111111.11100000

255.255.255.224 11 2048 30

11111111.11111111.11111111.11110000

255.255.255.240 12 4096 14

11111111.11111111.11111111.11111000

255.255.255.248 13 8192 6

11111111.11111111.11111111.11111100

255.255.255.252 14 16384 2


6-49

Subnets em redes de classe C Nas redes da classe C existem 8 bits destinados a hosts. Esses 8 bits podem igualmente ser utilizados para a criação de subnets. A tabela seguinte mostra as subnets que podem ser criadas numa rede de classe C.

Subnets da classe C

Subnet mask Bits

usados

Número de subnets

Número de hosts

11111111.11111111.11111111.10000000

255.255.255.128 1 2 126

11111111.11111111.11111111.11000000

255.255.255.192 2 4 62

11111111.11111111.11111111.11100000

255.255.255.224 3 8 30

11111111.11111111.11111111.11110000

255.255.255.240 4 16 14

11111111.11111111.11111111.11111000

255.255.255.248 5 32 6

11111111.11111111.11111111.11111100

255.255.255.252 6 64 2

Determinar o endereço das subnets Considere-se uma rede da classe B com o endereço 189.18.0.0 e admita-se que nesta rede foi criado um conjunto de quatro subnets através da utilização de dois bits dos hosts da rede. A máscara da subnet é

255.255.192.0

(em binário: 11111111.11111111.11000000.00000000). Os endereços de cada uma das subnets resultam das possíveis combinações dos dois bits de hosts que foram utilizados para definir as subnets. As combinações possíveis desses dois bits são as seguintes: 00, 01, 10, 11. A identificação de cada uma das subnets pode ser feita com base nas várias combinações de endereços e na correspondente máscara de subnet. Cada subnet poderá conter 16382 hosts. Não se torna prático listar os endereços possíveis dos hosts de cada subnet, mas pode definir-se o intervalo de endereços em cada uma. Para definir os endereços de cada subnet podem considerar-se como extremos o endereço em que todos os bits destinados a hosts são colocados a “0” (com excepção do último) e o endereço correspondentes a todos os bits colocados a “1”, também com excepção do último. (Excluem-se assim os endereços de hosts em que todos os bits são colocados a “0” ou a “1”).


6-50

A tabela seguinte mostra os extremos dos endereços IP de hosts para cada subnet. A tabela seguinte mostra como são formados os endereços das quatro subnets.

Subnet Identificação subnet

Endereços de hosts em representação binária

Endereços de hosts em

representação decimal

1 189.18.0.0/18 10111101.00010010.00000000.00000001

-

10111101.00010010.00111111.11111110

189.18.0.1

-

189.18.63.254

2 189.18.64.0/18 10111101.00010010.01000000.00000001

-

10111101.00010010.01111111.11111110

189.18. 64.1

-

189.18. 127.254

3 189.18.128.0/18 10111101.00010010.10000000.00000001

-

10111101.00010010.10111111.11111110

189.18.128.1

-

189.18. 191.254

4 189.18.192.0/18 10111101.00010010.11000000.00000001

-

10111101.00010010.11111111.11111110

189.18.192.1

-

189.18.255.254


6-51

E - Conceitos fundamentais sobre routing

Direct delivery e indirect delivery

Direct delivery Designa-se por direct delivery a situação em que um datagrama IP é enviado directamente para o host de destino.

Na situação evidenciada na figura seguinte, o envio do packet é feito de host para host, sem intervenção de um router, uma vez que o endereço de destino se encontra na mesma rede física do host de origem.

Uma outra situação de direct delivery é ilustrada na imagem seguinte. Um router faz o direct delivery de um packet que recebeu, e que é destinado a um host de uma rede física à qual se encontra directamente ligado.

Indirect delivery

O indirect delivery ocorre quando um nó da rede (quer se trate do host que envia quer se trate de um router) tem de enviar o packet para um nó intermédio (um router), porque o host de destino não se encontra na mesma rede física.


6-52

Routing ao nível de hosts

Resolução de nomes em endereços Para que, numa internet, um host possa comunicar com outro host, necessita de conhecer o endereço IP desse host na internet. Quando o endereço IP não é conhecido, o host necessita de obter esse endereço. Nas redes TCP/IP é utilizado o DNS (Domain Name System). Tipicamente o host contacta um DNS Server para obter o endereço IP do host de destino. A imagem seguinte sugere um host cliente que necessita de obter o endereço IP do host abc.com. O sistema de bases de dados DNS está organizado de forma a poder fornecer o endereço IP do host (caso o host com esse nome exista).

Direct ou indirect routing

Quando o endereço IP é obtido, o host que pretende enviar dados confronta o endereço de rede de origem com o endereço de rede de destino.


6-53

Se o host de destino pertence à mesma rede, é executado o processo designado por direct delivery: o host de origem envia directamente a informação para o host de destino.

Se o host de destino não pertence à mesma rede, é executado o processo designado por indirect

delivery: o host de origem envia a informação para um router para que essa informação possa chegar à rede e ao host de destino.


6-54

Default gateway Uma rede pode estar ligada a vários routers. Uma das opções de configuração dos hosts consiste em definir um default gateway com a indicação do endereço do router para o qual devem ser dirigidos os packets que não se destinam a essa rede física.

Na imagem seguinte pode observar-se a caixa de configuração de propriedades dos protocolos TCP/IP. Nessa imagem encontra-se assinalada a área onde deve ser colocado o endereço do default gateway.


6-55

Routing ao nível dos routers

Análise de packets ao nível dos routers Quando um router recebe um packet, podem dar-se, pelo menos, três casos: o packet é destinado ao próprio router, o packet é destinado a um host de uma rede a que o router se encontra fisicamente ligado, o packet é destinado a uma rede a que o router não se encontra fisicamente ligado.

Packets destinados ao próprio router Os routers trocam entre si mensagens para implementar os protocolos de routing e para manterem actualizadas as suas tabelas de routing. Alguns packets recebidos pelos routers não se destinam a ser enviados para outro destino: têm como destino o próprio router. O router processa o conteúdo desse package.

Packets para redes físicas a que o router está ligado Quando recebe um packet, o router verifica se o endereço de destino pertence a uma rede física a que o router se encontra ligado. Nesse caso, o router encaminha o packet para o host de destino. O router executa um direct delivery do packet.


6-56

Packets para redes físicas a que o router não está ligado Quando o packet se destina a uma rede à qual o router não se encontra directamente ligado, este consulta a sua tabela de routing para determinar o router para o qual o packet deverá ser enviado. O router executa um indirect delivery do packet.

Tabelas de routing

O que são as routing tables

Uma routing table é um conjunto de registos utilizados pelos routers (e, eventualmente, pelos hosts) para as decisões de encaminhamento de packets. Uma tabela de routing possui uma entrada para cada rede que pode constituir o destino de uma datagrama. Uma tabela de routing pode possuir uma default route para onde são enviados todos os packets para os quais não foi encontrado nenhum caminho específico.


6-57

Estrutura básica de uma tabela de routing De forma muito simplificada, a estrutura de uma tabela de routing pode ser considerada como sendo formada por três campos fundamentais: Destino, Máscara e Próximo hop.

Nesta tabela hipotética e simplificada, o significado dos campos seria aquele que é evidenciado através das imagens seguintes.


6-58


6-59

Um exemplo simplificado

Na imagem seguinte podemos observar a estrutura de uma internet. Essa internet é composta por 4 redes A, B, C e D.

As redes A e B são redes da classe A.


6-60

A rede C é uma rede da classe B.

A rede D é uma rede da classe C.


6-61

Para compreender o exemplo simplificado, vamos observar as imagens seguintes e as caixas de texto que acompanham cada imagem.


6-62


6-63


7-1

Unidade 7 Implementação do DNS Objectivos pedagógicos da unidade:

Saber instalar o serviço DNS.

Saber utilizar o comando NSLOOKUP para operações de teste.

Saber adicionar zonas e domínios.

Saber criar zonas delegadas.

Saber configurar uma zona para actualização dinâmica.

Saber implementar um servidor DNS caching-only.

Sumário: Nesta unidade será implementado um servidor DNS instalando o correspondente serviço no Windows Server. Após a instalação do servidor DNS é necessário configurar zonas e domínios bem como outras opções relevantes para o bom funcionamento deste sistema. Finalmente, será apresentado o procedimento necessário à criação de servidores caching-only.


A - Instalação e configuração do serviço DNS

Instalar o serviço DNS Para instalar um servidor DNS, no Windows Server: Abra o Assistente de componentes do Windows. Em Componentes, clique em Serviços de rede e, em seguida, clique em Detalhes.

Em Subcomponentes dos serviços de rede, seleccione a caixa de verificação Sistema de nomes de domínio (DNS), clique em OK e, em seguida, clique em Seguinte.

Em Copiar ficheiros de, indique o caminho completo para os ficheiros de distribuição do Windows 2000 e, em seguida, clique em OK.

7-2


Os ficheiros pedidos são copiados para o disco rígido e o software do servidor pode ser utilizado depois de reiniciar o sistema.

Utilizar o comando NSLOOKUP O comando NSLOOkUP é um utilitário da linha de comandos que pode ser utilizado para testar o correcto funcionamento do serviço DNS. Na linha de comandos, escreva:

nslookup endereço_ip_do_servidor 127.0.0.1 onde o endereço_ip_do_servidor é o endereço IP do servidor DNS no qual está a verificar a capacidade de resposta. Por exemplo, se o endereço IP para o servidor DNS é 10.0.0.1, escreveria: nslookup 10.0.0.1 127.0.0.1 Se o servidor responder, o nome do host é devolvido. Se não for obtida resposta será necessário verificar as opções de configuração do servidor DNS.

7-3


Adicionar Zonas Para adicionar uma zona de pesquisa directa: Abra a consola de DNS Abra o servidor DNS Na árvore da consola, clique em Zonas de Pesquisa directa.

7-4


No menu Acção clique em Nova zona. No Assistente para nova zona, siga as instruções para criar a nova zona de forward lookup.

7-5


7-6


Com este procedimento uma nova zona é criada no servidor DNS.

7-7


Adicionar domínios Na árvore da consola, clique na zona aplicável. No menu Acção clique em Novo domínio.

Em Novo domínio, escreva o nome do novo domínio sem utilizar pontos finais. Clique em OK para adicionar o novo domínio à zona.

Adicionar hosts Na árvore da consola, clique na zona de forward lookup aplicável. No menu Acção clique em Novo anfitrião.

7-8


Na caixa de texto Nome, escreva o nome DNS de computador para o novo anfitrião. Na caixa de texto Endereço IP, escreva o endereço IP para o novo anfitrião.

7-9


Como opção, seleccione a caixa de verificação Criar registo PTR associado para criar um registo PTR adicional numa zona de reverse para este anfitrião, baseado na informação que introduziu em Nome e Endereço IP. Clique em Adicionar anfitrião para adicionar o registo do novo anfitrião à zona.

Configurar uma zona de Reverse lookup Na árvore da consola, clique em Zonas de pesquisa inversa No menu Acção, clique em Nova zona.

No Assistente para nova zona, siga as instruções para criar a nova zona de reverse lookup.

7-10


7-11

B-Trabalhar com servidores DNS e zonas

Criar zonas delegadas O DNS fornece a opção de dividir os espaços do nome em uma ou mais zonas, que podem depois ser armazenadas, distribuídas e replicadas para outros servidores DNS. Ao decidir a divisão dos espaços do nome DNS para ter zonas adicionais, considere as seguintes razões para utilizar zonas adicionais: A necessidade de delegar a gestão de parte do espaço do nome DNS para outras localizações ou departamentos dentro da organização. A necessidade de dividir uma zona grande em pequenas zonas para distribuir as cargas de tráfego entre vários servidores, melhorar o desempenho da resolução de nomes DNS ou criar um ambiente DNS mais tolerante a falhas. A necessidade de estender o espaço do nome ao adicionar vários subdomínios de uma única vez, tal como para receber a abertura de um novo ramo ou site. Se, por algum destes motivos, pudesse beneficiar da delegação de zonas, faria sentido reestruturar o espaço do nome ao adicionar zonas adicionais. Quando escolher como estruturar as zonas, deve utilizar um plano que reflicta a estrutura da organização. Quando delegar zonas dentro do espaço do nome, esteja atento a cada zona nova que criar, irá precisar de registos de delegação noutras zonas que apontem para os servidores DNS autoritários para a nova zona. Isto é necessário para transferir autoridade e para fornecer a referência correcta para outros servidores e clientes DNS dos novos servidores tornados autoritários para a nova zona. Quando é criada primeiro uma zona primária padrão, esta é armazenada como um ficheiro de texto que contem todas as informações do registo de recursos num único servidor DNS. Este servidor funciona como o mestre primário para a zona. As informações da zona podem ser replicadas para outros servidores DNS para melhorar a tolerância a falhas e o desempenho do servidor.


Para delegar uma zona: Na árvore da consola, clique no subdomínio. No menu Acção, clique em Nova delegação.

Siga as instruções fornecidas no Assistente de nova delegação para acabar de criar o domínio delegado.

Configurar uma zona para actualização dinâmica A actualização dinâmica activa os computadores cliente DNS para registar e actualizar dinamicamente os respectivos registos de recursos com um servidor DNS sempre que se verificarem alterações. Isto reduz a necessidade de administração manual de registos de zona, principalmente para clientes que se movem ou alteram as localizações e utilizam o DHCP para obter endereços IP. O Windows 2000 fornece suporte de cliente e servidor para a utilização de actualizações dinâmicas, tal como se descreve no RFC 2136. Para servidores DNS, o serviço DNS permite que a actualização dinâmica seja activada ou desactivada numa base por zona em cada servidor configurado para carregar uma zona primária padrão ou integrada num directório. Por predefinição, os computadores cliente a executar com qualquer versão do Windows 2000 actualizam dinamicamente os registos de recursos (RR) do host (A) no DNS, quando configurados para TCP/IP. Para activar a actualização dinâmica: Na árvore da consola, clique na zona aplicável.

7-12


No menu Acção, clique em Propriedades. No separador de propriedades Geral, verifique se o tipo de zona é Primário ou Integrado no Active Directory.

Na lista Permitir actualizações dinâmicas?, clique em Sim.

Servidores DNS caching-only Apesar de todos os servidores de nomes de DNS coloquem em cache as consultas que resolveram, os servidores apenas de colocação em cache são servidores de nomes de DNS que apenas efectuam consultas, colocam em cache as respostas e devolvem os resultados. Não são autoritários para nenhuns domínios e as informações que contêm são limitadas àquilo que foi colocado em cache enquanto estão a resolver consultas. Para determinar quando utilizar este tipo de servidor, note que quando este servidor foi iniciado pela primeira vez, ela não possui informações guardadas na cache. Estas informações são obtidas com o tempo à medida que os pedidos dos clientes são respondidos. No entanto, se estiver a lidar com uma ligação de rede alargada de baixa velocidade entre sites, esta opção pode ser ideal porque, após a cache estar constituída, o tráfego diminui. Além disso, os servidores apenas de colocação em cache não efectuam transferências de zonas, o que pode intensificar as redes num ambiente de rede alargada.

7-13


Implementar um servidor DNS caching-only Um servidor DNS caching-only pode ser muito útil numa localização onde a funcionalidade DNS seja localmente necessária, mas que não seja desejada administrativamente para criar um domínio separado ou zona para essa localização. Ao implementar um computador como servidor DNS, configure manualmente o TCP/IP e utilize um endereço IP estático. Para instalar um servidor DNS caching-only, instale um servidor DNS com computador servidor.

Verifique se as sugestões raiz do servidor estão correctamente configuradas ou actualizadas. Os servidores DNS Caching-only não hospedam zonas e não são autoritários para um determinado domínio. São servidores DNS que criam uma cache do servidor local de nomes obtidos durante a execução de consultas repetitivas em nome dos respectivos clientes. Esta informação fica, então, disponível na cache ao responder às subsequentes consultas dos clientes.

7-14


8-1

Unidade 8 Dynamic Host Configuration Protocol Objectivos pedagógicos da unidade:

Conhecer o funcionamento do protocolo DHCP-Dynamic Host Configuration Protocol.

Saber instalar o serviço DHCP.

Configurar âmbitos DHCP num servidor

Saber identificar e resolver problemas de configuração do servidor DHCP..

Sumário: O DHCP-Dynamic Host Configuration Protocol é um serviço de atribuição automática de configurações IP numa rede TCP/IP. Este serviço pode ser instalado num servidor Windows e configurado para atribuir endereços IP a computadores. Nesta unidade irá aprender a configurar um servidor desta natureza bem como activar as configurações automáticas TCP/IP dos computadores de uma rede. Finalmente, serão apresentadas algumas configurações específicas do serviço DHCP.


A - Introdução ao DHCP

O que é o DHCP O Protocolo dinâmico de configuração de host (DHCP) é um padrão TCP/IP concebido para simplificar a gestão da configuração IP do host. O DHCP padrão permite a utilização de servidores DHCP como forma de gerir a atribuição dinâmica de endereços IP e outros detalhes relacionados com a configuração a clientes que utilizam o DHCP na rede.

Adicionalmente a um endereço IP, os servidores DHCP podem ser configurados para fornecer dados opcionais de modo a configurar TCP/IP totalmente aos clientes. Alguns dos tipos de opções DHCP mais frequentemente configuradas e distribuídas pelo servidor DHCP durante uma concessão são os seguintes:

Gateways (routers) predefinidos, utilizados para ligar um segmento de uma rede a outros segmentos de rede.

Outros parâmetros opcionais de configuração para atribuir clientes DHCP, tais como endereços IP para os servidores DNS ou servidores WINS que os clientes possam utilizar na resolução de nomes de host de rede.

Cada computador numa rede TCP/IP tem de ter um único nome e endereço IP de computador. O endereço IP (em conjunto com a máscara de rede) identifica o computador anfitrião e a sub-rede aos quais está ligado. Quando move um computador para uma sub-rede diferente, o endereço IP tem de ser alterado. O DHCP permite-lhe atribuir dinamicamente um endereço IP a um cliente da base de dados de endereços IP do servidor DHCP na rede local.

8-2


Configuração dinâmica dos protocolos TCP/IP O protocolo TCP/IP pode ser configurado para obter as definições de forma dinâmica utilizando o protocolo DHCP. Com a configuração dinâmica activada os computadores procuram as definições do protocolo TCP/IP num servidor DHCP existente na rede, quando o computador é iniciado. Para implementar a configuração dinâmica do TCP/IP, efectue os seguintes passos: 1. Seleccione a opção Ligações de acesso telefónico e de rede, da pasta Definições, no menu Iniciar. 2. Execute um clique no botão direito do rato sobre o ícone Ligações de área local e escolha a opção Propriedades. 3. No separador Geral, escolha o protocolo TCP/IP e execute um clique em Propriedades.

4. Escolha as opções Obter automaticamente um endereço IP e Obter automaticamente o endereço do servidor DNS.

8-3


Esquema de funcionamento do DHCP O processo de atribuição das configurações IP através da utilização do serviço DHCP começa quando um cliente é iniciado. O host efectua os seguintes passos para tentar obter o endereço IP do servidor DHCP:

O cliente DHCP difunde uma mensagem de identificação DHCP para a sub-rede local. Um servidor DHCP pode responder com uma mensagem de oferta DHCP (DHCPOFFER) que

contém um endereço IP para conceder ao cliente. Logo que uma mensagem de oferta DHCP seja recebida, o cliente selecciona o endereço oferecido

respondendo ao servidor com um pedido DHCP. Normalmente, o servidor que oferece o endereço envia uma mensagem de confirmação DHCP

(DHCPACK), aprovando a concessão. Para além do endereço e máscara de subrede, são enviadas também as restantes configurações IP

definidas no servidor DHCP. Uma vez recebida a confirmação, o cliente configura as propriedades TCP/IP utilizando as informações fornecidas na resposta e adere à rede.

8-4


B - Instalar e configurar um servidor DHCP

Instalar o serviço DHCP A instalação do serviço DHCP num servidor Windows 2000 configura esse computador para actuar como servidor DHCP Para instalar o serviço de DHCP: Aceda ao utilitário Adicionar e remover programas, do Painel de controlo e escolha a opção Componentes. Na janela Componentes do Windows, seleccione Serviços de funcionamento em rede e execute um clique em Detalhes...

8-5


Seleccione a opção Protocolo de configuração dinâmica de anfitrião(DHCP) e execute um clique em OK.

Finalmente execute um clique em Seguinte para instalar o serviço. Se o servidor onde foi instalado o DHCP, não for um controlador de domínio é necessário autoriza-lo para funcionar na rede como servidor DHCP.

8-6


Para autorizar um servidor DHCP: Na árvore da consola, clique em DHCP.

8-7


No menu Acção, clique em Gerir servidores autorizados. Aparece a caixa de diálogo Gerir servidores autorizados.

Clique em Autorizar.

8-8


Quando lhe for pedido, escreva o nome ou o endereço IP do servidor DHCP a ser autorizado e, em seguida, clique em OK.

Utilizar o comando IPConfig Ao nível dos clientes DHCP o utilitário IPConfig pode ser utilizado para verificar a configuração IP do cliente e efectuar tarefas relacionadas com a concessão de endereços e informações IP. Para verificar, libertar ou renovar a concessão de endereço de um cliente: Num computador cliente com o DHCP activado a executar o Windows, abra uma linha de comandos. Utilize o utilitário de linha de comandos Ipconfig para verificar, libertar ou renovar a concessão do cliente com um servidor DHCP, da seguinte maneira: Para verificar uma concessão de cliente DHCP, escreva ipconfig para visualizar as informações de estado da concessão, ou ipconfig /all para que sejam apresentadas todas as configurações IP do computador.

8-9


Para libertar uma concessão de cliente, escreva ipconfig /release.

Para renovar uma concessão de cliente, escreva ipconfig /renew.

Criar um novo âmbito Um âmbito é o intervalo completo de endereços IP consecutivos de uma rede. Normalmente, os âmbitos definem uma única sub-rede física na rede, à qual são fornecidos serviços DHCP. Os âmbitos constituem também a forma principal de gerir a distribuição e atribuição de endereços IP e quaisquer parâmetros de configuração relacionados com clientes na rede.

8-10


Para criar um novo âmbito de atribuição de configurações TCP/IP, abra a consola DHCP das Ferramentas administrativas. Seleccione o servidor DHCP, e no menu de contexto escolha a opção Novo âmbito.

Na caixa de Assistente para um novo âmbito comece por atribuir um nome para o âmbito e uma descrição.

8-11


No ecrã seguinte defina o Endereço IP Inicial e Final do âmbito a atribuir e a respectiva máscara de rede.

8-12


A utilização deste assistente permite-lhe ainda determinar qual o conjunto de endereços IP a excluir da concessão.

A apresentada a janela que permite definir o tempo de concessão dos endereços.

8-13


Na janela seguinte escolha a opção Definir configurações mais tarde. As opções de configuração de servidores DNS e router poderão ser configuradas posteriormente na consola DNS.

8-14


Depois deste processo é criado um novo âmbito que permite ao servidor DHCP atribuir endereços IP aos clientes que efectuarem pedidos de concessão.

Excluir um conjunto de endereços IP de um âmbito Em determinadas situações pode ser necessário excluir um endereço ou conjunto de endereços IP de um âmbito. A exclusão pode ser justificada pelo facto de ser necessário reservar endereços IP fixos para determinados hosts da rede (tais como routers ou servidores DNS), ou pela existência de vários servidores DHCP. No caso de existi mais do que um servidor DHCP, na mesma subrede, cada servidor deve possuir um intervalo distinto de endereços que pode atribuir. Ao criar um novo âmbito, o Assistente para um novo âmbito dá-lhe a possibilidade de escolher qual o conjunto de endereços que são excluídos da concessão . No entanto esta configuração pode ser efectuada e alterada posteriormente.

8-15


Para excluir um conjunto de endereços IP: Na consola administrativa do DHCP seleccione o âmbito e Conjunto de endereços. No menu Acção, clique em Novo intervalo de exclusão.

Na caixa de diálogo Adicionar exclusão, escreva o Endereço IP inicial que pretende excluir deste âmbito.

8-16


Para excluir um intervalo de mais do que um endereço IP, escreva um Endereço IP final. Clique em Adicionar.

A figura anterior revela a lista de endereços para distribuição e os intervalos de exclusão de endereços.

Determinar o tempo de concessão Os endereços IP são concedidos pelo servidor DHCP aos seus clientes. Cada concessão tem uma data de validade, que o cliente tem de renovar se for continuar a utilizar esse endereço. Para determinar o tempo de concessão de endereços: Na consola administrativa do DHCP seleccione o âmbito No menu Acção, clique em Propriedades Na secção Duração da concessão para clientes DHCP, determine o tempo de concessão de endereços.

8-17


As definições determinadas por este processo aplicam-se apenas ao âmbito seleccionado.

8-18


Determinar o endereço de routers Numa rede local podem existir routers que estabelecem a conectividade com outras redes. Para que os postos de trabalho possam comunicar com outras redes é necessário que na sua configuração IP figure o endereço IP dos routers existentes na rede e quais as redes que estes interligam. O servidor DHCP contém , na sua base de dados essa informação que pode ser transmitida aos clientes quando estes iniciam o processo de pedido de concessão. Para determinar o endereço de routers: Seleccione Opções de servidor No menu Acção, escolha a opção Configurar opções

8-19


Na caixa Opções disponíveis marque a opção 003 Router

Na caixa Endereço IP introduza o endereço do router.

Utilizando este processo pode configurar mais do que um router. Pode também estabelecer uma hierarquia, utilizando os botões Para cima e Para baixo, ao seleccionar um dos endereços. Para servidores que funcionem como router (Multihomed computer), pode introduzir o nome do computar e executar um clique em Resolver, para obter o endereço IP do computador. No entanto, esta opção apenas funciona se existir um servidor de nomes configurado na rede.

8-20


Determinar o endereço de servidores DNS Os servidores de nome DNS devem conter um endereço fico num rede IP. O servidor DHCP pode ser configurado para enviar a informação sobre os servidores DNS existes na rede, juntamente com a configuração IP. O processo é semelhante ao utilizado para a determinação de routers. Para determinar o endereço de servidores DNS: Seleccione Opções de servidor No menu Acção, escolha a opção Configurar opções Na caixa Opções disponíveis marque a opção 006 Servidor DNS

Na caixa Endereço IP introduza o endereço do servidor DNS. Após este procedimento, a localização dos servidores de nomes DNS é enviada para os clientes DHCP.

8-21


Eliminar um âmbito Para eliminar um âmbito de concessão de endereços IP, execute os seguintes procedimentos: Na consola administrativa do DHCP seleccione o âmbito a eliminar

No menu Acção, clique em Eliminar

8-22


9-1

Unidade 9 Conectividade de redes locais à Internet Objectivos pedagógicos da unidade:

Compreender o conceito de private addressing.

Descrever o funcionamento do protocolo NAT-Network Address Translation.

Conhecer o funcionamento da técnica Port Address Translation.

Configurar um router e clientes para o acesso à Internet por encaminhamento.

Configurar o router e clientes para o acesso à Internet por conversão de endereços NAT

Sumário: A conectividade das redes locais à Internet pode ser assegurada de várias formas. A forma mais comum é a utilização de um servidor proxy que encaminha os pedidos feitos pelos clientes para os servidores existentes na Internet. Nesta unidade será apresentada a tecnologia NAT-Network Address Translationque permite fazer face à possível escassez de endereços IP na Internet. Serão explicadas duas formas de configuração de um servidor Windows para o acesso à Internet. A primeira é o acesso por encaminhamento, onde o sistema actua como um router encaminhando tráfico entre a rede local e a Internet. A segunda recorre à tecnologia NAT para estabelecer o acesso à Internet.


9-2

A- Conceitos básicos sobre o estabelecimento da conectividade de redes locais à Internet

O problema da possível “escassez” de endereços É um facto que o número de computadores ligados à Internet tem crescido exponencialmente nos últimos anos e, como tudo indica, essa evolução terá tendência a prosseguir. Daí que se comece a colocar o problema da possível exaustão do número de endereços disponíveis. No entanto, é preciso ter em consideração o seguinte: cada endereço IP (na sua versão actual, a versão 4) possui 32 bits. Ora bem, com 32 bits é possível em teoria criar 232 endereços diferentes, ou seja 4 294 967 296, isto é, muito mais do que 4 biliões de endereços. Ainda é cedo para que existam mais de 4 biliões de máquinas ligadas directamente à Internet e com necessidade de um endereço IP que seja único em toda a Internet. O problema reside na forma como a estrutura de endereços foi inicialmente criada, particularmente, a divisão do espaço de endereços nas classes A, B e C. Evidentemente, na altura em que o esquema foi criado, pensava-se, talvez, em dezenas ou centenas de redes, e talvez nalguns milhares de hosts. Talvez ninguém estivesse em condições de prever o crescimento exponencial que a Internet viria a ter. O problema está no facto de que, através da atribuição de classes de endereços A e B a algumas organizações, existe um efectivo desperdício de endereços. Tornou-se, assim, necessário, encontrar estratégias alternativas para evitar o possível colapso do crescimento da Internet. Dentre essas estratégias, há três que importa compreender e estudar:

CIDR (Classless Interdomain Routing) – Breve apresentação A técnica designada pela sigla CIDR (Classless Interdomain Routing) foi introduzida em 1993. Trata-se de uma estratégia para eliminar progressivamente a técnica original de atribuição de classes de endereços (designada por classfull).

As necessidades de endereços das várias organizações são muito diversificadas, muito para além das três classes inicialmente definidas. Por exemplo, se uma organização necessita de 1000 endereços, uma classe C é insuficiente, mas uma classe B levaria ao desperdício de mais de 64000 endereços.

A técnica CIDR, aqui sumariamente apresentada e posteriormente desenvolvida, consiste em atribuir blocos de endereços que permitam cobrir as necessidades actuais e futuras da organização, sem se incorrer em desperdício excessivo de endereços.

VLSM (Variable-Lenght Subnet Mask) – Breve apresentação A técnica designada pela sigla VLSM (Variable Lenght Subnet Mask) consiste em dividir a área localmente administrável em subnets de comprimento variável. Dessa forma, uma organização pode atribuir um maior ou menor número de subnet bits, criando, dentro da mesma rede, subnets com diferentes capacidades em termos de número de hosts que podem ser suportados.

PV (Private Addressing) – Breve apresentação A solução designada por PV (Private Addresing) leva em consideração o facto de os endereços IP terem de ser únicos dentro de cada internet. Por esse motivo, nada impede que uma organização utilize endereços IP privados dentro da


sua própria rede ou internet. Esses endereços privados não utilizam directamente os endereços publicamente disponíveis para a Internet global.

Para que os hosts possam comunicar através da Internet, utiliza-se uma técnica designada por NAT (Network Address Translation). Esta técnica, para além de permitir implementar mecanismos de segurança, permite igualmente traduzir endereços IP internos em endereços IP públicos.

Private addressing

Proxy servers

O que é um proxy server Um proxy server é essencialmente um computador que actua em nome de outros computadores (em português, poderia dizer-se que é uma espécie de “procurador”) numa rede. Para além dos aspectos ligados ao significado das palavras e à sua possível tradução para a língua portuguesa, o que realmente importa é compreender as funções que geralmente são atribuídas aos proxy servers.

Fig.7.4-Proxy servers. Um proxy server pode ser configurado para aceder à Internet a “pedido” de outros computadores da rede.

Para além de representar outros computadores, um proxy pode igualmente ser configurado com funções de segurança e controle de acesso quer de acessos provenientes do exterior de uma rede quer do acesso dos computadores da rede interna ao exterior.

Acesso a servidores Web

O papel dos proxies Um proxy pode ser utilizado por qualquer dos computadores da rede interna para aceder a serviços na Internet. Por exemplo, um proxy pode ser configurado para aceder a servidores Web, a pedido de um dos computadores da rede interna. Numa primeira fase, um computador da rede interna requisita o acesso, por exemplo, a uma página HTML localizada num determinado servidor Web na Internet. O pedido não é directamente dirigido ao servidor Web através da Internet. Em vez disso, o pedido é direccionado para o proxy da rede.

9-3


Fig.7.5-Pedido de acesso a um web server através de um proxy. Esta figura sugere que os host A requisita a página a.htm ao servidor abc.com na Internet, através do servidor proxy.

Em princípio, o proxy dirige o pedido ao servidor Web através da Internet. Quando se diz que em princípio o proxy dirige o pedido ao servidor Web, pretende chamar-se a atenção para o facto de, por vezes, os proxies poderem ser configurados para manter numa cache interna páginas HTML frequentemente requisitadas pelos computadores da rede. Nesses casos, se a página ainda mantiver a sua validade, o proxy satisfaz imediatamente o pedido do cliente interno, sem necessidade de aceder à Internet.

Caching Os proxy servers são frequentemente configurados para criar uma cache interna que permita minimizar o tráfego na Internet. Imagine-se que os utilizadores de uma determinada rede acedem com frequência à página www.abc.com/frequent.htm. Dependendo das características das próprias páginas, incluídas em parâmetros fixados pelo Web server, que podem determinar um determinado prazo de validade para a página, o proxy poderá criar uma cache interna mantendo nessa cache uma cópia das páginas mais solicitadas. Assim, quando um computador cliente requisitar uma página que ainda esteja validamente na cache, o proxy satisfaz directamente o pedido do cliente, sem aceder ao servidor Web na Internet.

9-4


Em condições normais, o Web server envia ao proxy a página solicitada. Note-se que, o Web server não tem qualquer conhecimento sobre qual foi o computador que originalmente solicitou a página. Para o Web server a página é requisitada pelo computador que funciona como proxy. Esta é uma das formas de esconder a estrutura interna da rede a partir da visão que se tem do exterior.

A Internet apenas “vê” o endereço IP do proxy. Mesmo que na rede interna seja utilizado um sistema privado de endereçamento IP, esses endereços são invisíveis fora da rede interna e, por esse motivo, não podem ser directamente acedidos do exterior. Depois de obter a página, o proxy satisfaz o pedido original do cliente A, enviando-lhe a página (ou, eventualmente, qualquer outro tipo de recurso) solicitado. Para o computador cliente A, tudo se passou de forma relativamente transparente, como se o pedido tivesse sido dirigido directamente ao Web server.

9-5


A arquitectura proxy e a economia de endereços As organizações que utilizam uma arquitectura baseada em proxies, necessitam de relativamente poucos endereços. Esses endereços podem ser facilmente obtidos através dos ISP (Internet Service Providers). Aliás, nos últimos anos, a maior parte dos endereços públicos da Internet têm sido atribuídos às organizações através dos ISP.

NAT – Network Address Translation

As finalidades da técnica NAT A principal finalidade da técnica designada por NAT (Network Address Translation) é a de conseguir utilizar de forma relativamente eficiente um pequeno número de endereços públicos IP (no limite apenas um) para um número relativamente elevado número de máquinas de uma rede. Uma outra finalidade é a de utilizar técnicas de segurança que permitam evitar a intrusão numa rede a partir do exterior, escondendo os endereços internos privados de cada uma das máquinas da rede.

9-6


Em que consiste a técnica NAT Em que consiste a técnica NAT No essencialmente, a técnica NAT consiste em alterar alguns elementos dos headers dos packets da rede interna para o exterior e do exterior para a rede interna. Essas funções são em regra desempenhadas por routers (ou, nalguns casos, por firewalls).

No essencialmente, a técnica NAT consiste em alterar alguns elementos dos headers dos packets da rede interna para o exterior e do exterior para a rede interna. Essas funções são em regra desempenhadas por routers (ou, nalguns casos, por firewalls). As transformações operadas nos headers dos packets estão em regra relacionadas com a alteração do source address, do destination address ou de ambos os endereços. As transformações operadas nos headers dos packets estão em regra relacionadas com a alteração do source address, do destination address ou de ambos os endereços.

Exemplo Exemplo O exemplo que vamos apresentar em seguida é muito simples e pode ser descrito sumariamente da seguinte forma: O exemplo que vamos apresentar em seguida é muito simples e pode ser descrito sumariamente da seguinte forma:

• Um host de um determinada rede possui um endereço IP privado, por exemplo, o endereço 20.0.0.1. Esse

endereço é um endereço interno privado, conhecido apenas no interior da rede.

• Um host de um determinada rede possui um endereço IP privado, por exemplo, o endereço 20.0.0.1. Esse

endereço é um endereço interno privado, conhecido apenas no interior da rede. • Esse host pretende comunicar (estabelecendo, por exemplo, uma conexão TCP) com um Web server na

Internet. • Esse host pretende comunicar (estabelecendo, por exemplo, uma conexão TCP) com um Web server na

Internet. • A comunicação é feita através de um router com funcionalidades NAT. Ao enviar o primeiro packet, o

router transforma o endereço IP interno num endereço IP externo e público. • A comunicação é feita através de um router com funcionalidades NAT. Ao enviar o primeiro packet, o

router transforma o endereço IP interno num endereço IP externo e público. O endereço interno 20.0.0.1 é transformado pelo router no endereço público 192.125.137.5, como se pode observar na figura seguinte, através da modificação do conteúdo do campo source address do header do packet. O endereço interno 20.0.0.1 é transformado pelo router no endereço público 192.125.137.5, como se pode observar na figura seguinte, através da modificação do conteúdo do campo source address do header do packet.

9-7


Na imagem seguinte pode observar o envio do pedido através do proxy para o web server.

Ao enviar a resposta, o web server envia a resposta para o endereço público 192.125.137.5, como se pode observar no campo DESTINATION ADDRESS. Observe a imagem seguinte.

Finalmente, o router executa a transformação do endereço público 192.125.137.5 no endereço privado 20.0.0.1, através da modificação do valor do campo DESTINATION ADDRESS. Observe o processo na imagem seguinte.

O exemplo que se acabou de apresentar é um exemplo muito simples, servindo apenas para ilustrar a técnica básica utilizada pelos sistemas NAT. Todavia, como facilmente se compreende, este simples esquema não permite realizar qualquer economia de endereços, pois, para cada endereço interno, será necessário utilizar um endereço externo. O tipo de situação apresentada no exemplo, é referida como 1-to-1 porque não é realizada qualquer economia de endereços. O exemplo seguinte, mostra como uma técnica idêntica (mas designada por Double NAT) que permite transformar simultaneamente os endereços source e destination de um packet. Esta técnica pode revelar-se de interesse em várias circunstâncias e, uma delas, é a seguinte. Imaginemos que duas redes utilizam internamente endereços IP privados. Assim sendo, pode ocorrer um conflito resultante do facto de em cada uma das redes haver máquinas com o mesmo endereço IP. A técnica

9-8


designada por Double NAT consiste em modificar quer o endereço de origem quer o endereço de destino de um packet.

Exemplo A técnica Double NAT consiste no fundo na utilização da técnica de 1-to-1 só que executada duas vezes, através da utilização de dois routers NAT.

Vamos admitir que, em duas redes distintas existe um sistema de endereçamento privado e que, por coincidência, existem duas máquinas, a máquina X e a máquina Y, que têm precisamente o mesmo endereço. Vamos admitir que esse endereço é o endereço 192.201.123.5.

A técnica consiste em fazer com que os routers A e B efectuam a tradução de endereços, fazendo com que a máquina X julgue que está a comunicar com a máquina Y com endereço 192.201.98.8 e que a máquina Y julgue que está a comunicar com a máquina X com endereço 192.201.135.16. Os routers devem possuir tabelas internas que lhes permitam efectuar essas conversões;

1. Admita-se que a máquina X envia um packet para o router A, com destino à máquina Y. O endereço de origem é o verdadeiro endereço da máquina X, mas o endereço de destino é o endereço fictício da máquina Y (192.201.98.8). Observe a imagem seguinte.

2. O router A executa a transformação do endereço de origem para o endereço fictício da máquina X (192.201.135.16) e mantém o endereço fictício de destino da máquina Y (192.201.98.8) enviando em seguida o packet para o router B. Esse processo pode ser observado na imagem seguinte.

9-9


3. O router B executa em seguida a transformação do endereço fictício 192.201.98.8 no endereço real 192.201.123.5 da máquina Y. Observe a próxima imagem.

O ponto que importa salientar depois da apresentação destes exemplos é o de que, as técnicas NAT que forma apresentadas, permitem utilizar endereços privados e podem inclusivamente lidar com situações em que haja endereços privados iguais. Mas o facto é que não reduzem o número de endereços IP necessários. Estas técnicas são designadas por STATIC NAT. A técnica que vai ser apresentada em seguida é designada por DYNAMIC NAT.

Dynamic NAT A técnica DYNAMIC NAT tem por objectivo traduzir um grande número de endereços IP internos, num número menor de endereços IP públicos.

Um problema típico que a técnica de DYNAMIC NAT permite resolver é o seguinte: admita que possui uma rede com cerca de 100 hosts mas que dispõe apenas de 16 endereços IP fornecidos pelo seu ISP. Uma das formas de resolver este problema seria o de criar um servidor proxy e utilizar apenas um endereço IP. Mas a técnica DYNAMIC NAT poderá ser útil em determinadas circunstâncias. Para concretizar, vamos apresentar um exemplo.

9-10


9-11

Exemplo Vamos admitir o seguinte cenário. Uma rede interna possui cerca de 100 hosts. O ISP disponibilizou um bloco de 16 endereços IP. Vamos admitir que esse bloco de endereços IP é o seguinte:

192.125.143.0/28

isto significa que o bloco de endereços vai de 192.125.143.0 a 192.125.143.15. A explicação é a seguinte:

O endereço

192.125.143.0/28

corresponde a uma máscara de 28 bits. Escrevendo o bloco de endereços em binário teremos:

11000000.01111101.10001111.00000000 11111111.11111111.11111111.11110000 - Prefixo

Os endereços disponíveis são os seguintes:

Dotted decimal: 192.125.143.0 Binário: 11000000.01111101.10001111.00000000 Dotted decimal: 192.125.143.1 Binário: 11000000.01111101.10001111.00000001 Dotted decimal: 192.125.143.2 Binário: 11000000.01111101.10001111.00000010 Dotted decimal: 192.125.143.3 Binário: 11000000.01111101.10001111.00000011 Dotted decimal: 192.125.143.4 Binário: 11000000.01111101.10001111.00000100 Dotted decimal: 192.125.143.5 Binário: 11000000.01111101.10001111.00000101 Dotted decimal: 192.125.143.6 Binário: 11000000.01111101.10001111.00000110 Dotted decimal: 192.125.143.7 Binário: 11000000.01111101.10001111.00000111 Dotted decimal: 192.125.143.8 Binário: 11000000.01111101.10001111.00001000 Dotted decimal: 192.125.143.9 Binário: 11000000.01111101.10001111.00001001 Dotted decimal: 192.125.143.10 Binário: 11000000.01111101.10001111.00001010


9-12

Dotted decimal: 192.125.143.11 Binário: 11000000.01111101.10001111.00001011 Dotted decimal: 192.125.143.12 Binário: 11000000.01111101.10001111.00001100 Dotted decimal: 192.125.143.13 Binário: 11000000.01111101.10001111.00001101 Dotted decimal: 192.125.143.14 Binário: 11000000.01111101.10001111.00001110 Dotted decimal: 192.125.143.15 Binário: 11000000.01111101.10001111.00001111

Na prática, porém, o bloco de endereços

192.125.143.0/28 restringe-se a apenas 12 endereços utilizáveis, uma vez que:

• Os endereços 0 e 15 não podem ser utilizados;

• O endereços 1 e 2 podem, por exemplo, ser atribuídos ao router do ISP e ao router da rede;

• Restam portanto 12 endereços utilizáveis.

Os routers devem possuir tabelas dinâmicas que lhes permitem efectuar a tradução de endereços. O processo desenrola-se como adiante esquematicamente se descreve:

• Se uma máquina interna pretende contactar com a Internet, o router procura uma endereço externo disponível e associa na sua tabela o endereço privado interno com o endereço público. Ao criar essa associação, o router inicia um timer para essa ligação;

• Quando uma ligação termina, o router elimina a associação estabelecida na tabela;

• Se entretanto outras máquinas internas pretenderem estabelecer conexões externas, o router

irá criando associações na sua tabela interna dinâmica entre os endereços internos privados e os endereços públicos disponíveis.

Evidentemente que se pode colocar um problema: que acontece quando existem mais máquinas do que o número de endereços públicos disponíveis existem para comunicar ao mesmo tempo com a Internet? A solução consiste em encontrar uma técnica que permita várias máquinas internas possam partilhar o mesmo endereço público externo. Essa técnica é designada por PAT (Port Address Translation).


PAT – Port Address Translation A questão de utilizar o mesmo endereço IP para pedidos feitos por duas máquinas diferentes é a seguinte: como é que, quando chegasse a resposta (vindo ela para o mesmo endereço IP externo) poderia o router decidir a qual das máquinas essa resposta era dirigida. A sigla PAT deriva de Port Address Translation. Isto significa que, ao traduzir os endereços IP, o router efectua igualmente a tradução dos port numbers de cada packet. Esta técnica permite que uma grande número de máquinas internas partilhem o mesmo endereço IP externo. Esta técnica funcionará bem pelo menos para os packets que utilizam os protocolos TCP e UDP.

Exemplo 1. Vamos considerar o seguinte cenário. Uma aplicação numa máquina cliente, com o endereço privado 20.0.0.1 e

com o port number 1250 contacta o web server com endereço 205.134.98.123 para o port number 80, através de um router NAT. Observe a imagem seguinte.

2. O router efectua a tradução do endereço interno (20.0.0.1) para o endereço externo 192.125.137.5, e efectua também a tradução do port number 1250 para 5128.

3. Na resposta, o web server envia o packet para o endereço IP (192.125.137.5) e para o port number fictício (5128).

9-13


4. Antes de enviar a resposta para a máquina interna, o router usa as suas tabelas internas para efectuar as conversões necessárias.

9-14


9-15

B – Acesso à Internet por encaminhamento (routing)

O que é o Acesso por encaminhamento Existem duas opções quando é necessário ligar uma rede local à Internet: o acesso encaminhado e o acesso por conversão de endereços. O acesso encaminhado exige que um ISP (Internet Service Provider) fornece um intervalo de endereços IP para utilizar em hosts da rede local e o endereço IP de um servidor DNS para a resolução de nomes de host. O router do Windows tem de ser configurado manualmente com uma configuração de endereços IP e, se o DHCP não estiver a ser utilizado, todos os hostd da rede local têm igualmente de ser configurados com uma configuração de endereços IP. Se o DHCP estiver a ser utilizado, tem de ser configurado um servidor DHCP da rede com um âmbito e opções de âmbito atribuídos pelo ISP . Os protocolos de encaminhamento não são necessários para propagar informações de encaminhamento IP na rede local. Os computadores na rede são configurados manualmente com o endereço IP do gateway predefinido do router do Windows 2000 ou recebem um endereço IP do gateway predefinido através do DHCP. O router do Windows não é configurado com o gateway predefinido, mas sim com uma rota predefinida. Uma ligação encaminhada para a Internet significa que a comunicação pode ocorrer com qualquer host na Internet. Também significa que os host da rede localestão expostos a possíveis utilizadores de má fé na Internet. Para maior segurança, são configurados filtros de pacotes no router do Windows para prevenir tráfego da Internet indesejado na rede local.

Configuração do router Para configurar uma ligação encaminhada para a Internet numa rede local é necessário efectuar duas operações:

A configuração do router do Windows A configuração do computadores da rede local.

Para configurar o router do Windows , efectue os seguintes passos: O protocolo TCP/IP no router do Windows para a interface da rede, é configurado com:

Endereço IP (do intervalo de endereços obtido através do ISP). Máscara da sub-rede (do intervalo de endereços obtido através do ISP). Servidor DNS (do endereço IP recebido do ISP).

O TCP/IP é configurado através das propriedades do protocolo TCP/IP para a ligação de área local em Ligações de acesso telefónico e de rede. O serviço de encaminhamento e acesso remoto é instalado e activado. Se a ligação à Internet for uma ligação permanente, que aparece no Windows como uma interface de rede local (tais como DDS, T-Carrier, Frame Relay, RDIS permanente, xDSL ou modem por cabo) ou se o computador com o Windows 2000 estiver ligado a outro router com ligação à Internet, é apenas necessário configurar uma rota estática predefinida.


9-16

No caso de se tratar de uma ligação de marcação a pedido efectue a seguinte operação. Crie uma interface de marcação a pedido activada para o encaminhamento IP e utilizada o equipamento de acesso telefónico e as credenciais utilizadas para ligar ao ISP. Se a ligação à Internet for uma ligação permanente, que aparece no Windows 2000 como uma interface de rede local (tais como DDS, T-Carrier, Frame Relay, RDIS permanente, xDSL ou modem por cabo) ou se o computador com o Windows 2000 estiver ligado a outro router antes da ligação à Internet tem apenas que configurar uma rota estática prédefinida no router. Estabeleça uma rota estática predefinida no router Para uma rota estática predefinida, é seleccionada a interface de marcação a pedido (para ligações de acesso telefónico) ou a interface de rede local (para ligações de router permanentes ou temporárias) utilizada para ligação à Internet. O destino é 0.0.0.0 e a máscara de rede é 0.0.0.0. Para uma interface de marcação a pedido, o endereço IP do gateway não é configurável. Para uma interface de rede local que seja uma ligação ponto-a-ponto ao ISP, o endereço IP do gateway é 0.0.0.0.

Configuração dos clientes A configuração dos computadore s clientes numa rede local com acesso à Internet só é necessária se não existir um serviço de DHCP instalado na rede local com as informações obtidas pelo ISP. Para configurar manualmente cada posto de trabalho da rede para o acesso à Internet através da rede local: Aceda à propriedades da rede de área local em Ligações de acesso telefónico e de rede. Visualize a janela das propriedades do protocolo TCP/IP e efectue a seguinte configuração: Endereço IP (do intervalo de endereços obtido através do ISP). Máscara de sub-rede (do intervalo de endereços obtido através do ISP). Gateway predefinido (o endereço IP atribuído à placa de rede local do router do Windows Server). Servidor DNS (do endereço IP recebido do ISP).


9-17

C - Acesso por conversão de endereços NAT

O que é o acesso por conversão de endereços O acesso à Internet por conversão de endereços é outra forma possivel de estabelecer a conectividade de uma rede local à Internet. Este cenário necessita que apenas um endereço IP seja atribuído à empresa pelo ISP. O processo consiste em configurar um computador que possua dois interfaces: um para a rede local (placa de rede) e outro dispositivo de conectividade para a Internet (modem, adaptador RDIS, etc...). Este tipo de acesso pode ser implementado com ligações dedicadas ou marcações a pedido. O componente de endereçamento da conversão de endereços da rede no computador onde se encontra implementado o NAT, atribui automaticamente endereços únicos a todos os outros computadores da rede local, a partir do IP da rede privada InterNIC de 192.168.0.0 com uma máscara de sub-rede de 255.255.255.0. No Windows Server, é possível configurar um ligação convertida para a Internet, através da utilização da partilha da funcionalidade da ligação à Internet das Ligações de acesso telefónico e de rede ou do protocolo de encaminhamento Conversão de endereços de rede (NAT) fornecidos com o serviço de Encaminhamento e acesso remoto. Quer a partilha da ligação à Internet, quer a conversão de endereços da rede fornecem serviços de conversão, endereçamento e resolução de nomes para hosts de uma rede local.

Implementar a conversão de endereços de rede para o acesso à Internet Para implementar a conversão de endereços de rede para a conectividade à Internet numa rede local, é necessário configurar: O computador de conversão de endereços de rede. Outros computadores na rede do pequeno escritório ou na rede doméstica. O primeiro passo será configurar o computador que irá estabelecer a conversão de endereços privados no endereço IP público para a Internet. Este computador deverá possuir dois dispositivos: um de ligação à rede local e outro de ligação à Internet, através do ISP. No caso de o serviço de Encaminhamento e acesso remoto ainda não se encontrar instalado e activado, é apenas necessário recorrer ao Assistente de configuração do servidor de encaminhamento e acesso remoto. No Assistente de configuração do servidor de encaminhamento e acesso remoto, escolha as opções para o servidor de ligação à Internet e para configurar um router com o protocolo de encaminhamento NAT (Conversão de endereços de rede). Após concluído o assistente, estará completa toda a configuração para NAT.


9-18

Configurar o computador de conectividade à Internet Para configurar o computador de conectividade à Internet, onde é efectuada a conversão de endereços, efectue o seguinte procedimento: Configure os endereços IP da interface da rede doméstica. Para os endereços IP da placa de rede local, necessita de configurar os seguintes elementos: Endereço IP: 192.168.0.1 Máscara de sub-rede: 255.255.255.0 Nenhum gateway predefinido O endereço IP na configuração anterior para a interface da rede local baseia-se no intervalo de endereços predefinido de 192.168.0.0 com uma máscara de sub-rede de 255.255.255.0, configurado para o componente de endereçamento da conversão de endereços de rede. Se o intervalo de endereços predefinido for alterado, deve alterar o endereço IP da interface privada para que o computador de conversão de endereços de rede seja o primeiro endereço IP do intervalo configurado. A utilização do primeiro endereço IP no intervalo é uma prática recomendada e não um requisito dos componentes de conversão de endereços de rede. Active o encaminhamento na porta de acesso telefónico Nesta fase do processo varia conforme o tipo de ligação à Internet. Se a ligação à Internet utilizada for uma ligação permanente, que aparece no Windows 2000 como uma interface de rede local (tal como DDS, T-Carrier, Frame Relay, RDIS permanente, xDSL ou modem de cabo), ou se o computador com o Windows estiver ligado a outro router antes da ligação à Internet e a interface de rede local estiver configurada com um endereço IP, máscara de sub-rede e gateway predefinido estaticamente ou através do DHCP, proceda imediatamente à configuração do protocolo de encaminhamento NAT. Crie uma interface de marcação a pedido para ligar ao fornecedor de serviços Internet.

É necessário criar uma interface de marcação a pedido que esteja activada para o encaminhamento IP e utilize o equipamento de acesso telefónico e as credenciais utilizadas para ligar ao fornecedor de serviços Internet.

Crie uma rota estática que utilize uma interface da Internet.

Para uma rota estática predefinida, necessita de seleccionar a interface de marcação a pedido (para ligações de acesso telefónico) ou a interface de rede local (para ligações de router permanentes ou temporárias) utilizada para ligar à Internet. O destino é 0.0.0.0 e a máscara de rede é 0.0.0.0. Para uma interface de marcação a pedido, o endereço IP do gateway não é configurável.

Adicione o protocolo de encaminhamento NAT. Adicione as interfaces da Internet e da rede local ao protocolo de encaminhamento NAT. Active o endereçamento e a resolução de nomes da conversão de endereços de rede.


9-19

Configurar os computadores clientes É necessário configurar o protocolo TCP/IP em outros computadores na rede local para obter um endereço IP automaticamente e, em seguida, reiniciá-los. Quando os computadores na rede doméstica recebem a configuração do endereço IP do computador de conversão de endereços de rede, são configurados com: Endereço IP (do intervalo de endereços de 192.168.0.0 com uma máscara de sub-rede de 255.255.255.0). Máscara de sub-rede (255.255.255.0). Gateway predefinido (o endereço IP da interface para o computador de conversão de endereços de rede do pequeno escritório ou da rede doméstica). Servidor DNS (o endereço IP da interface para o computador de conversão de endereços de rede do pequeno escritório ou da rede doméstica).

Partilha da ligação à Internet A partilha de ligação à Internet é concebida para fornecer um único passo de configuração (uma única caixa de verificação) no computador a executar o Windows para fornecer uma ligação convertida à Internet para todos os hosts na rede local. No entanto, depois de activada, a partilha de ligação à Internet não permite configuração adicional para além da configuração de aplicações e serviços na rede local. Por exemplo, a partilha de ligação à Internet é concebida para um único endereço IP obtido de um fornecedor de serviços Internet (ISP) e não permite a alteração do intervalo de endereços IP atribuídos a hosts da rede local. Com a funcionalidade de partilha da ligação à Internet das Ligações de acesso telefónico e de rede, pode utilizar o Windows 2000 para ligar a rede doméstica ou a rede de um pequeno escritório à Internet. Por exemplo, pode ter uma rede doméstica que efectua uma ligação à Internet através de uma ligação de acesso telefónico. Ao activar a partilha de ligação à Internet no computador que utiliza a ligação de acesso telefónico, fornece a tradução de endereços de rede, o endereçamento e os serviços de resolução de nomes a todos os computadores na rede doméstica. Depois de activada a partilha de ligação à Internet e de os utilizadores terem verificado as opções de Internet e de funcionamento em rede, os utilizadores de redes domésticas ou redes para pequenos escritórios podem utilizar aplicações, tais como o Internet Explorer e o Outlook Express, como se estivessem ligados ao fornecedor de serviços Internet. O computador de partilha de ligação à Internet estabelece a ligação ao fornecedor de serviços Internet e cria a ligação para que o utilizador possa utilizar o recurso ou endereço na Web especificado. Para utilizar a funcionalidade de partilha de ligação à Internet, os utilizadores da rede de escritório doméstico ou da rede de um pequeno escritório têm que configurar o TCP/IP na ligação de rede local para obter automaticamente um endereço IP. A funcionalidade de partilha de ligação à Internet destina-se às redes locais cuja a configuração de rede e a ligação à Internet são geridas pelo computador com o Windows onde reside a ligação partilhada. Pressupõe-se que nesta rede, este computador seja a única ligação à Internet, o único gateway para a Internet e que configura todos os endereços de rede internos.


10-1

Unidade 10 Encaminhamento e acesso remoto Objectivos pedagógicos da unidade:

Saber trabalhar com tabelas de routing.

Identificar os problemas associados ao prcesso de routing.

Saber o que são sistemas autónomos.

Conhecer e descrever o funcionamento dos protocolos RIP, OSPF e BGP.

Saber instalar e configurar o serviço de encaminhamento e acesso remoto num servidor Windows.

Saber instalar e configurar interfaces e protocolos de encaminhamento.

Sumário: O encaminhamento IP(routing) é um tecnologia fundamental para o funcionamento de redes locais complexas e para o funcionamento da Internet. Os mecanismos implementados pelo protcolo IP bem como pelos protocolosde routing tornam possível o encaminhamento da informação divida em pacotes entre várias redes distintas. Nesta unidade serão desenvolvidos os conceitos básicos sobre encaminhamento e ensinados os procedimentos para a instalação do servido de encaminhamento e acesso remoto do Windows.


10-2

A - Routers e internetworking

O processo de routing Routing é o processo através do qual um packet é enviado de um host de origem para um host de destino através de uma internet. O processo de routing pode ser analisado ao nível do host de origem e ao nível dos routers que encaminham os packets através da internet.

O processo de routing ao nível de um host

Direct delivery ou direct routing Quando um host necessita comunicar com outro host tem de conhecer o endereço IP desse host. Antes de enviar a informação, o host verifica se o endereço de rede do host de destino pertence ou não à mesma rede física em que o host está integrado. Se o host de destino pertence à mesma rede, a informação pode ser enviada directamente para esse host. Este processo designa-se por direct delivery ou direct routing.

Contacto com um router Quando o host de origem verifica através do endereço IP que o host de destino é um host remoto, envia a informação para um router que, por sua vez, se encarregará de encaminhar a informação para o destino. O processo executado ao nível do host para enviar a informação para um router, depende da configuração do host e da rede em que esse host está integrado. Várias hipóteses podem ser consideradas:

Router default Um host pode ser configurado para canalizar toda a informação destinada a hosts remotos para um router default.

Tabela de routing no host O host pode possuir uma tabela de routing que lhe permite seleccionar o router para o qual uma mensagem deve ser enviada, tendo em conta o endereço do host de destino. As tabelas de routing nos hosts podem ser dinamicamente actualizadas. Por exemplo, as mensagens emitidas pelos routers através do protocolo ICMP podem ser usadas para informar um host de que existe um melhor caminho para atingir determinado destino.

Contacto com os routers na rede Antes de enviar informação, o host pode efectuar uma consulta aos routers da rede no sentido de obter informação sobre o melhor caminho para enviar uma mensagem. Isso pode ser feito através de uma mensagem broadcast ou multicast aos routers da rede. As respostas são analisadas e o melhor caminho é escolhido.


10-3

Source routing O processo designado por source routing pode descrever-se do seguinte modo: o host de origem determina todo o caminho até ao host de destino. A decisão sobre o caminho é tomada antecipadamente e não é decidida com base nas tabelas dos routers do percurso.

O processo de routing ao nível de um router Quando um router recebe um packet, podem dar-se duas situações:

O packet destina-se a uma rede à qual o router está directamente ligado Neste caso, o router envia directamente o packet para o host depois de obter o seu endereço físico, eventualmente utilizando o protocolos ARP.

O packet destina-se a uma rede à qual o router não está directamente ligado Neste caso, o router terá de consultar uma tabela interna para decidir qual o router para onde o packet deve ser remetido.

Tabelas de routing (routing tables)

O que são as routing tables Uma routing table é um conjunto de registos utilizados pelos routers (e, eventualmente, pelos hosts) para as decisões de encaminhamento de packets. Uma tabela de routing possui uma entrada para cada rede que pode constituir o destino de uma datagrama. Associado a cada rede, está o endereço IP do próximo hop (numa internet, a palavra hop pode ser utilizada para designar o caminho que um packet percorre entre dois routers, na sua viagem da origem para o destino, mas pode igualmente ser utilizada para designar os próprios routers ou outros sistemas intermédios utilizados para o encaminhamento dos packets) para o qual o datagrama deverá ser enviado. Cada linha da tabela de routing é constituída por três campos.

1. O primeiro campo contém o endereço de destino da rede;

2. O segundo campo, contém uma máscara de endereço, utilizada para indicar quais os bits do endereço de destino que correspondem ao prefixo da rede;

3. O terceiro campo contém o próximo hop. Se o próximo hop for um router, esse campo contém o

correspondente endereço IP.

Exemplo A figura seguinte mostra uma internet constituída por quatro redes distintas A, B, C e D. Essas redes estão ligadas através de três routers R1, R2 e R3. As redes A e B são redes da classe A. A rede C é uma rede da classe B e a rede D é uma rede da classe C.


10-4

Em cada router deverá existir uma tabela de routing, utilizada para encaminhar os datagramas. Vamos considerar a título de exemplo, a hipotética e simplificada tabela de routing existente no router R2.

Encaminhamento de datagramas através de routing tables Quando um router recebe um datagrama com determinado endereço no campo IP de destino, executa uma operação lógica AND entre os bits desse endereço e os bits da máscara. Se o resultado for igual a um dos valores do campo destino, o datagrama é enviado para o correspondente próximo hop.


10-5

Exemplo Considere-se de novo a routing table do router R2.

A esse router chega o datagrama com o seguinte endereço IP de destino: 193.10.8.15

Admita que o router investiga sequencialmente cada uma das linhas da tabela para encontrar o próximo hop para o datagrama.

Relativamente a cada linha, executa a operação AND entre o endereço IP de destino e a máscara correspondente a cada uma das linhas da tabela.

Ao consultar a primeira linha, executa a operação AND entre o valor do endereço de destino e a máscara 255.0.0.0.

193 10 8 15

255 0 0 0

193 0 0 0

O resultado obtido é comparado com o valor do endereço destino correspondente a essa linha da tabela. Uma vez que os valores não são coincidentes, o software do router investiga as linhas seguintes na tabela.

Quando chega à quarta linha da tabela, é executado o seguinte cálculo:

193 10 8 15

255 255 255 0

193 10 8 0

Neste caso, o resultado do cálculo corresponde exactamente ao valor do campo destino na routing table, ou seja

193.10.8.0

e, de acordo com a tabela, o próximo hop para onde o datagrama deve ser enviado é

134.4.0.9

Nestas condições, o datagrama é enviado para o próximo hop inscrito nessa linha da tabela, ou seja, 134.4.0.9.


10-6

Routers

Routers estáticos e dinâmicos No que diz respeito ao modo como as respectivas tabelas são criadas e actualizadas, os routers podem ser classificados em duas grandes categorias: os routers estáticos e os routers dinâmicos.

Routers estáticos Um router estático é um router cuja tabela de routing é criada e mantida manualmente pelo administrador da rede. Esta solução pode ser a solução adequada para internets de dimensão relativamente reduzida e estáveis no que diz respeito à topologia.

Routers dinâmicos Os routers podem ser configurados para trocar mensagens entre si e, através dessas mensagens actualizarem dinamicamente as suas tabelas de routing. A periódica troca de mensagens entre routers permite que, de forma automática, as tabelas sejam actualizadas e reflictam as alterações que eventualmente se verifiquem na topologia da internet. A utilização destes routers dinâmicos é a solução adequada para internets de grande dimensão.

Problemas de routing

Loops Um loop é uma situação em que se forma um círculo fechado entre routers para o encaminhamento de packets. Esta situação pode verificar-se devido a erros nas tabelas de routing. Esquematicamente, o problema pode descrever-se através do seguinte exemplo:

Exemplo A tabela do router A indica que os packets para a rede X devem ser encaminhados para o router B.

A tabela do router B indica que o melhor caminho para os packets destinados à rede X é através do router C.

A tabela do router C, indica que o caminho a seguir para a rede X é através do router A. Fecha-se um círculo. Um packet com destino à rede X que chegue ao router A, entra nesse círculo, de onde não sai.

Nota


10-7

Um loop não se prolonga indefinidamente porque, à medida que se vão sucedendo as várias passagens de router para router, o campo que estabelece o tempo de vida do packet acaba por chegar ao limite e o packet é descartado.

“Buracos negros” Verifica-se uma situação designada por “buraco negro” quando um determinado router ou uma ligação falha, sem que os routers que têm esse router como destino de packets detectem essa situação. Enquanto a situação não for detectada e as tabelas não forem actualizadas, esse router funciona como um “buraco negro”: os packets são enviados para lá, mas de lá não saem para lado nenhum.


10-8

B - Algoritmos e protocolos de routing

O que são os protocolos de routing Os protocolos de routing são utilizados pelos routers dinâmicos para trocar mensagens que permitam actualizar as suas tabelas de routing. Esses protocolos definem as regras que permitem a detecção de falhas nos routers ou nas linhas de comunicação e adaptar as tabelas de routing por forma a que elas possam reflectir a nova topologia. Quando se verifica uma falha, ou outro factor que determine a alteração da topologia, e enquanto essa situação não for adequadamente reflectida nas tabelas dos routers, a internet permanece instável, podendo ocorrer loops e buracos negros. A recuperação dessa instabilidade é designada por convergência e o tempo necessário para a obtenção da convergência é designado por convergence time.

Algoritmos vector distance Os algoritmos vector distance baseiam-se num procedimento que é implementado da seguinte forma. Cada router possui uma tabela. Nessa tabela começa por existir uma entrada para cada rede com a qual o router se encontra directamente ligado. Cada registo da tabela contém igualmente a distância medida em hops para a rede de destino. A distância para destinos pertencentes a uma rede com a qual o router esteja directamente ligado é zero (ou 1, dependendo do protocolo utilizado). O princípio fundamental subjacente a este algoritmo é o seguinte. Cada router deve contactar periodicamente com os routers com os quais possui um ligação directa, enviando uma cópia da sua tabela de routing. Esta troca de tabelas, permite que cada router possa actualizar a sua tabela, criando registos para novas redes ou substituindo registos existentes, quando verificar que existe um caminho melhor para atingir determinada rede. Se todos os routers participarem nesta troca de mensagens, a informação sobre o melhor caminho para cada rede é completamente disseminado na internet. Devido à grande quantidade de informação que tem de ser trocada entre os routers, este algoritmo não é o mais adequado para redes de grande dimensão.

Exemplo Admita que o router R1 possui em determinado momento os seguintes registos na sua tabela de routing

Destino Distância Caminho Rede 1 0 Direct delivery Rede 2 0 Direct delivery Rede 3 0 Direct delivery Rede 4 8 Router R2 Rede 5 10 Router R3 Rede 6 9 Router R4 Rede 7 12 Router R5

Em determinado momento, o router R1 recebe do router R2 uma tabela de routing, contendo, eventualmente entre outros, os seguintes registos


10-9

Destino Distância Caminho Rede 5 3 Router R9 Rede 6 4 Router R10 Rede 8 9 Router R11

Com base na informação desta tabela, o router R1 pode actualizar a sua tabela, da seguinte forma

Destino Distância Caminho Rede 1 0 Direct delivery Rede 2 0 Direct delivery Rede 3 0 Direct delivery Rede 4 8 Router R2 Rede 5 4 Router R2 Rede 6 5 Router R2 Rede 7 12 Router R5 Rede 8 10 Router R2

Os registos actualizados foram colocados em evidência (negrito). Depois de absorver a informação da tabela de routing do router R2, a tabela do router R1, sofre as seguintes modificações:

1. A Rede 5 passa a poder ser atingida com um distância 4 através do router R2 (1 hop para atingir o router R2 e mais 3 hops para, a partir do router R2, atingir o destino).

2. A Rede 6 passa a poder ser atingida com um distância 5 através do router R2 (1 hop para o router R2 e mais 4 hops do router R2 para o destino).

3. A Rede 8, para a qual o router R1 não possuía caminho, passa agora a poder ser atingida através de router R2 com uma distância 10.

Os algoritmos distance vector são assim designados devido ao facto de os routers trocarem mensagens sob a forma de um par constituído por um vector (o destino) e por uma distância.


10-10

Algoritmos Link State

Shortest Path First Os algoritmos link state ou SPF (Shortest Path First) baseiam-se no seguinte: cada router deve executar um algoritmo que lhe permita determinar o melhor caminho para qualquer rede de destino. Para que esse algoritmo possa ser executado, cada router tem de possuir informação completa sobre a topologia da internet, ou seja, de todos os routers e das redes a que esses routers estão ligados. Para manter essa informação actualizada, cada router deve periodicamente testar as conexões com os routers aos quais se encontra directamente ligado, determinando o estado de cada conexão. A informação obtida por cada router no teste das suas conexões deve ser difundida para todos os outros routers. Neste modelo não há troca de tabelas, mas apenas troca de mensagens sobre o estado da topologia da rede. Com base na informação que possui da topologia da rede, cada router deve executar um algoritmo (geralmente o algoritmo Dijkstra shortest path) para determinar o caminho mais curto para qualquer destino.

Funcionamento dos algoritmos Qual é o objectivo primário de um protocolo de routing? Esse objectivo é o de compreender a estrutura e a topologia da internet para que os routers possam decidir o melhor caminho para enviar um packet de um ponto para outro. Pode considerar-se que existem três fases através das quais os protocolos link state permitem que os routers criam a imagem do mapa da internet. Embora de forma simplificada, vamos criar um diagrama que nos permite compreender melhor o funcionamento do algoritmo e o modo como cada nó da rede (um router, por exemplo) pode ficar a conhecer o mapa da rede bem como os caminhos para atingir qualquer destino. A cada caminho está associado um custo que pode ter a ver com vários factores e critérios: a rapidez de transferência, o custo efectivo das comunicações, ou outros. A um nível esquemático e pedagógico interessa apenas ter em consideração que os administradores da internet podem atribuir um custo a determinada ligação, com base num critério relevante. A optimização da escolha dos caminhos será feita com base na atribuição dessas distâncias ou custos.


10-11

Vamos imaginar um gráfico que com ligações entre vários nós. Esses nós são representados na figura 8.u pelas letras A, B, C, D, E e F. Podem imaginar-se que se os nós são routers (ligados a redes físicas) e que o diagrama representa a topologia simplificada de uma internet.

Fig. 3 Diagrama de ligações. A figura apresenta uma esquema de ligações entres diferentes nós. Os nós podem ser considerados como representações de routers e as taços que os unem como ligações entres esses routers.

Pode considerar-se que os algoritmos do tipo link state funcionam em três fases. 1. Numa primeira fase, cada router “apresenta-se” aos seus vizinhos (través de um packet especial designado por hello packet). Por exemplo, o router A envia um hello aos routers com os quais se encontra directamente ligado (no exemplo da figura 8.3, o router A envia mensagens aos routers B, C e D. Da mesma forma, o router A recebe packets hello dos seus vizinhos. Nesta primeira fase, todos os routers passam a conhecer os seus vizinhos e a distância ou custo associado a cada ligação. Por exemplo, o router A possui a tabela de informação relativamente aos seus vizinhos que é apresentada na figura 8.4.

Fig. 4 Tabela de ligações do router A. Nesta tabela pode observar-se, relativamente ao router A, quais os routers com os quais possui uma ligação directa e a respectiva distância.

Todos os routers possuem uma tabela equivalente à tabela do router A, relativamente às ligações com os seus vizinhos directos. 2. Numa segunda fase, cada router comunica essa informação a todos os seus vizinhos enviando uma mensagem com a informação dessa tabela. Ao receber essa informação, cada router reenvia-a para todos os outros routers, excepto para aquele de quem a recebeu. Essas mensagens são genericamente designadas por link state advertisement (LSA). Assim, por exemplo, o router B, ao receber essa mensagem do router A fica a saber quais as ligações que A mantém (além daquela que tem com o router B). E o mesmo


10-12

acontece com todos os routers da topologia. Esta difusão de mensagens é designada por LSA flooding. No final desta fase, todos os routers possuem uma base de dados com o estado da topologia da rede, em termos de caminhos possíveis e custos associados. Essa base de dados é designada por link state database. No exemplo do diagrama da figura 8.u, a link state database seria a que é apresentada na figura 8.5.

Fig. 5 Base de dados link state. A tabela contém a base de dados que permite definir o mapa da topologia da rede. Pode observar-se na coluna corresponde a cada router qual a distância desse router a cada um dos seus vizinhos.

3. Na terceira fase é executado o algoritmo que permite calcular, para cada nó, qual o “melhor” caminho para qualquer outro nó da rede. O cálculo do melhor caminho baseia-se na distância ou custo associado às diversas ligações. O algoritmo utilizado é conhecido por algoritmo Dijkstra (do nome do matemático E. W. Dijkstra). Esse algoritmos é iterativo e executa uma série de cálculos até poder determinar, em relação a cada router qual o mapa óptimo de caminhos para atingir cada um dos outros routers. Tomando como exemplo o caso do router A, o algoritmo acabaria por permitir criar a seguinte estrutura como conjunto de melhores caminhos:

Fig. 6 Estrutura de caminhos para o router A. A figura mostra a estrutura optimizada de caminhos para o router A. A partir desta informação, o router “sabe” qual é a topologia da rede e pode fazer o forwarding de packets para qualquer router.

Evidentemente que a topologia de uma internet pode ser dinâmica e, nesse acaso, um alteração da topologia pode levar a alteração da tabela de caminhos óptimos calculada e armazenada nos routers.


10-13

A título de exemplo, pode considerar-se que, na topologia da figura 8.u ocorre a seguinte alteração: a ligação entre o router A e o router C deixa de existir (ou fica temporariamente desactivada). A figura 8.7 apresenta a nova topologia da rede.

Fig. 7 Nova topologia de rede. A figura apresenta a nova topologia da rede, depois de a ligação entre os routers A e D ter ficado inactiva.

Quanto mais dinâmica for a topologia de uma internet, mais frequente tem de ser a troca de mensagens entre os routers e a eventual recriação de tabelas com os caminhos para cada router. Tomando de novo como exemplo o router A, a nova tabela de caminhos óptimos para esse router passaria a ser a que é mostrada na figura 8.8.

Fig. 8 Nova estrutura de caminhos para o router A. A figura mostra a nova estrutura de caminhos para o router A, tendo em conta a alteração da topologia que resultou do facto de a ligação entre A e D ter ficado inoperacional.


10-14

Sistemas autónomos

O que é um sistema autónomo Um sistema autónomo (AS-Autonomous System) é um conjunto de redes e routers subordinados a uma política de routing comum, podendo essa política ser implementada através de um conjunto de IGP (Interior Gateway Protocols). Para além disso, um sistema autónomo existe sob o controlo administrativo de uma única autoridade e possui um número, que lhe é atribuído por uma autoridade de controlo. Tipicamente, um sistema autónomo é uma internetwork gerida por uma companhia, uma universidade, um departamento governamental ou um ISP. A criação de sistemas autónomos constitui uma forma de tornar mais fácil de gerir o complexo processo de routing na Internet. Cada sistema autónomo pode Implementar os seus próprios protocolos internos de routing (genericamente designados por IGP), de forma independente dos restantes sistemas autónomos. Do exterior, um AS é visto como uma única entidade. A informação de routing entre sistemas autónomos é executada através de protocolos genericamente designados por EGP (Exterior Gateway Protocols). Inicialmente, o protocolo utilizado para routing entre sistemas autónomos era precisamente o protocolo designado por EGP (Exterior Gateway Protocol). Actualmente, o protocolo utilizado como standard para routing entre sistemas autónomos é o protocolo designado por BGP (Border Gateway Protocol). Um IGP é implementado entre os routers pertencentes a um mesmo sistema autónomo. As suas tabelas de routing contêm referências a redes desse sistema autónomo. Um EGP, é executado entre routers situados na fronteira dos sistemas autónomos (esses routers são designados por border routers, boundary routers ou gateway routers. As tabelas dos EGP são constituídas por listas de sistemas autónomos. Observe a figura 8.9. A razão fundamental que preside à criação de sistemas autónomos e de diferentes tipos de protocolos (interiores e exteriores aos sistemas autónomos) tem a ver com a necessidade de organizar a informação relativa aos milhões de sistemas existentes na Internet. De outra forma, atendendo aos potenciais milhões de entradas nas suas tabelas de routing, não seria possível que cada router pudesse gerir a informação necessária para o funcionamento da Internet. Mesmo dentro de um mesmo sistema autónomo, alguns protocolos estabelecem uma subdivisão em áreas, de forma a sumariar a informação de routing, agrupando-a em grupos logicamente relacionados.


10-15

O conceito de domínio surge por vezes em ligação com o conceito de sistema autónomo. Em ambos os casos, quer um domínio quer um sistema autónomo, indicam um conjunto de routers. No entanto, o termo domínio é utilizado para designar um conjunto de routers que utilizam o mesmo protocolo de routing, tal como por exemplo, o protocolo RIP ou o protocolo OSPF. Um sistema AS pode representar um ou mais domínios, sob uma administração única, que possui uma politica unificada de routing relativamente a outros sistemas autónomos.

Fig. 9-Dois sistemas autónomos e um protocolo de routing para a ligação entre sistemas autónomos. A figura sugere a existência de dois sistemas autónomos. Dentro de cada sistema autónomo são utilizados protocolos designados por IGP - Interior Gateway Protocols.


10-16

Tipos de sistemas autónomos Os sistemas autónomos podem ser caracterizados pelo número de ligações que estabelecem como os provedores de serviços de acesso à Internet e pelo fato de permitirem ou não que por eles transite tráfego cuja origem e destino estão fora desse sistema autónomo. Podem ser considerados os seguintes tipos de sistemas autónomos.

Stub AS Um sistema autónomo é designado por stub AS quando está ligado a redes fora do seu domínio através de um único ponto de ligação.

Multihomed Nontransit AS Um sistema autónomo designado por Multihomed Nontransit AS caracteriza-se por:

1. Ter mais de que uma ligação a um único provider ou a mais do que um provider;

2. Não permitir que nele circule tráfego que não se destine a esse sistema autónomo.

Fig. 10-AS Nontransit Multihomed. O sistema autónomo AS mantém ligação a dois ISP (Internet Service Providers). No entanto, apenas o tráfego desse sistema autónomo para a Internet e o tráfego proveniente da Internet com destino a esse sistema autónomo são permitidos. Este sistema autónomo não admite funcionar como meio através do qual circule tráfego com origem e destino fora desse sistema autónomo.


10-17

Multihomed Transit AS Um sistema autónomo designado por multihomed transit AS, caracteriza-se por:

1. Estar ligado a mais de que um ISP;

2. Permitir que por ele transite tráfego com origem e destino exteriores a esse sistema autónomo.

Fig. 11-AS Transit Multihomed. Um AS Transit Multihomed pode funcionar como ponto de passagem para tráfego com origem e destino exteriores ao próprio sistema autónomo. Para além dos protocolos internos de routing, o sistema autónomo pode utilizar internamente um protocolo externo (BGP) para a condução desse tráfego. As conexões externas do tipo BGP são designadas por Internal BGP (IBGP). O IBGP funciona como um túnel, isolando o tráfego entre os sistemas autónomos externos e o tráfego interior a esse sistema autónomo. As conexões entres os sistemas autónomos são designadas por External BGP (EBGP).


10-18

O protocolo RIP

Routers activos e passivos O protocolo RIP (Routing Information Protocol) baseia-se no algoritmo vector distance. É utilizado para routing dentro de sistemas autónomos e, por isso, classificado como um IGP. Os dispositivos que funcionam como routers são classificados em dois tipos: activos e passivos (ou silenciosos). Os activos são os que comunicam as suas tabelas de routing a outros; os passivos são os que se limitam a actualizar as suas tabelas com base na informação fornecida por outros. Os host funcionam sempre em modo passivo, podem actualizar as suas tabelas internas, mas não enviam informação para outros.

Frequência das mensagens Cada router activo envia uma mensagem com a sua tabela de routing a todos os routers com os quais se encontra directamente ligado, em intervalos de 30 segundos. Cada mensagem contém uma lista de pares de valores. Cada par de valores contém um endereço IP de rede e uma distância medida em hops, de acordo com o critério de que um router directamente ligado à rede do host de destino, está a 1 hop desse destino.

Tempo de validade das entradas De cada vez que um router cria uma nova entrada nas suas tabelas em resultado de mensagens recebidas de outros routers, através do protocolo RIP, o router inicia um contador de tempo para essa entrada. Esse contador é reinicializado de cada vez que uma nova mensagem confirma esse caminho. Se decorrer um período de 180 segundos sem que esse caminho seja de novo confirmado, o router passa a considerar essa entrada inválida.

Hop counts e caminho óptimo A técnica utilizada no protocolo RIP para avaliar a distância baseia-se no critério de contagens dos hops (hop count) até ao destino. Todavia, como é evidente, este sistema de medida não leva em consideração as diferentes velocidades de transmissão que podem estar associadas a cada caminho.

Exemplo Por exemplo, uma distância de 4 hops feita através de redes de grande velocidade, pode ser um caminho preferível a um caminho com 2 hops através de linhas de comunicação muito mais lentas.

Para compensar este inconveniente intrínseco do algoritmo, algumas implementações permitem que os administradores considerem um número artificial de hops maior, quando a comunicação é feita através de linhas de comunicação mais lentas.


10-19

Estrutura das mensagens As mensagens do protocolo RIP são constituídas por um header de 32 bits seguido de uma conjunto variável de campos contendo informação sobre a família de redes relativamente à qual o endereço deve ser interpretado, bem como os pares de valores constituídos por um endereço IP de rede e por um distância a essa rede. Apresenta-se o esquema de uma mensagem RIP

0 8 16 31

Command Version Zero

Net Family 1 Zero

IP Address Net 1

Zero

Zero

Distance Net 1

Net Family 2 Zero

IP Address Net 2

Zero

Zero

Distance Net 2

... ...

Command O campo command indica se a mensagem é um pedido (1) de envio de informação ou se é uma resposta (2). O protocolo prevê que um router possa solicitar informação usando uma mensagem com o valor 1 no campo command, e que a resposta seja enviada com o valor 2 no campo command.

Todavia, os routers enviam periodicamente mensagens para os outros routers, mesmo quando essas mensagens não são solicitadas.

Net Family O campo net family é utilizado para indicar o tipo de rede e, consequentemente o modo como o endereço deve ser interpretado.

IP Address O campo ip address contém o endereço de uma rede.

Distance Net O campo distance net contém a distância em hops para essa rede. O protocolo RIP utiliza o valor 16 para indicar uma distância infinita, ou, por outras palavras, que não existe caminho através desse router.


10-20

Exemplo Por exemplo, se um router deixar de possuir ligação com uma determinada rede, deve anunciar esse facto colocando o valor 16 no campo DISTANCE NET para essa rede.

Problemas com o protocolo RIP O funcionamento do protocolo pode originar a criação de loops, devido ao facto de todos os routers difundirem apenas a intervalos o conteúdo das suas tabelas para todos os routers com os quais têm uma ligação directa.

Exemplo Imagine-se que um determinado router R1 tem uma ligação directa à rede N1. Essa ligação é comunicada ao router R2 que, por hipótese está directamente ligado ao router R1. O router R2 passa a ter na sua tabela uma ligação à rede N1 a uma distância 2. Cada vez que o router comunica ao router R1 essa sua ligação à rede R1, o router R1 ignora essa informação, uma vez que possui um caminho mais curto para a rede N1.

Admita-se no entanto que a ligação do router R1 à rede N1 cai. O router R1 actualiza a sua tabela, colocando na entrada correspondente à rede N1 o valor 16. No entanto, a difusão desta informação não é imediata e pode acontecer que chegue uma mensagem do router R2 informando que possui uma ligação com distância 2 para a rede N1. O router R1 actualiza a sua tabela, que passa a conter uma ligação à rede N1 através do router R2, com uma distância 3.

Evidentemente, esta ligação é um loop, uma vez que a informação fornecida pelo router R2 é baseada na convicção de que a ligação para a rede N1 através do router R1 continua válida.

Este problema pode ser resolvido em muitos casos, fazendo com que um router recorde a origem de uma informação e se abstenha de reenviar essa informação para a mesma fonte. Neste caso, o router R2 não retransmitiria a informação relativa ao caminho para a rede N1 ao router R1. Assim sendo, como router R1 não continuaria a anunciar a sua ligação à rede N1, o tempo de vida da informação no router R2 acabaria por expirar.


10-21

O protocolo OSPF

Descrição geral do protocolo

Interior Gateway Protocol O protocolo OSPF (Open Short Path First) baseia-se nos algoritmos link state e é utilizado pelos routers dentro de um mesmo sistema autónomo. É por isso classificado como um protocolo IGP (Interior Gateway Protocol). O protocolo é desenhado para rapidamente detectar alterações na topologia de um sistema autónomo e para calcular caminhos após um curto período de convergência que é atingido minimizando o tráfego de informação de routing. Cada router constrói uma árvore de caminhos tendo como base o próprio router. Essa árvore fornece o caminho para cada destino dentro de um sistema autónomo.

Áreas O protocolo OSFP pode ser utilizado em internets de pequena média e grande dimensão. As suas potencialidades tornam-se todavia mais evidentes nas internets de maiores dimensões. A existência de AS (Autonomous Systems) permite criar unidades que podem ser mais facilmente geridas pelos routers e protocolos de routing. No entanto, existem AS demasiado grandes para justificar uma divisão desses AS. O protocolo OSPF permite a criação de grupos de redes dentro de um sistema autónomo. Esses grupos são designados por áreas. Uma área é uma colecção arbitrária de redes ligadas entre si. A topologia de cada área não é visível a partir do resto do sistema autónomo. Uma área pode ser considerada como uma generalização do conceito de subnet e permite uma redução significativa do tráfego de routing. Num sistema autónomo com várias áreas, uma dessas áreas desempenha uma função especial. Essa área é designada por backbone area. A figura 8.13 mostra a topologia típica de uma rede OSFP num sistema autónomo. Existem, no exemplo da figura várias áreas e vários routers. Para uma topologia deste tipo são necessários vários tipos de routers.

Os vários tipos de routers utilizados com o protocolo OSPF Quando uma internetwork é composta por várias áreas, a utilização do protocolo OSPF torna necessária a utilização de vários tipos de routers. Esses routers desempenham diferentes funções na interligação entre as várias áreas, com a backbone área e na ligação com sistemas autónomos externos. Segue-se uma breve descrição dos principais tipos de routers.


10-22

Autonomous System Boundary router

Este é um tipo de router que troca mensagens com os routers ligados a outros sistemas autónomos. Observe a figura 14.

Fig. 13 Divisão de um sistema autónomo em áreas. A figura ilustra a estrutura inter-na de um sistema autónomo dividido em várias áreas. Uma dessas áreas funciona como backbone area.

Fig. 14 Autonomous System Boundary router. A figura põe em evidência o router que estabelece a ligação com outro ou outros sistemas autónomos. Esses routers são designados por autonomous system boundary routers.

Backbone router Um backbone router executa funções de interface com a área de backbone.


10-23

Area border router Trata-se de um router que estabelece o interface com várias áreas. Um router deste tipo também pode desempenhar funções de backbone router.

Fig. 15 Backbone router e area border router. A figura mostra um router que estabelece a ligação entre diferentes áreas e entre estas e a backbone area, desempenhando assim as funções de backbone router e de area border router.

Internal router Trata-se de um router que apenas estabelece ligações com routers pertencentes à mesma área.

Fig. 16 Internal routers. Os internal routers estabelecem ligações com redes pertencentes à mesma área.


10-24

Designated router Um designated router é um router com o qual todos os routers de uma área estabelecem uma conexão lógica, de tal forma que toda a informação respeitante à subnet é transferida através deste router.

Backup Designated router Um backup designated router é um router que, tal como a designação indica, funciona como backup do designated router para determinada área.

Fig. 17 Designated router e backup designated router. A imagem mostra um designated router e um backup designated router.

Tipos de routing Numa estrutura com várias áreas e uma área de backbone, existem três tipos de processos de routing. São os seguintes: intra area, inter area e inter sistemas autónomos.

Intra area Trata-se dos processos de routing que se desenvolvem dentro de uma mesma área.


10-25

Fig. 18 Intra area routing. Processos de routing que se desenvolvem dentro de uma mesma área.

Inter area São os processos de routing que se desenvolvem entre diferentes áreas.

Fig. 19 Inter area routing. A figura sugere os processos de routing que envolvem diferentes áreas.


10-26

Inter sistemas autónomos São os processos de routing que se desenvolvem entre diferentes sistemas autónomos.

Fig. 20 Routing entre sistemas autónomos. Na figura é esquematicamente apresentado o processo de routing inter AS, ou seja entre diferentes sistemas autónomos.

Estrutura das mensagens do protocolo OSPF

O header das mensagens OSPF Os packets do protocolo OSPF são (tal como os protocolos TCP, UDP e ICMP) encapsulados na área de dados de um packet IP. A figura 21 mostra em esquema o header do protocolo IP e o valor 89 no campo Protocol. Este valor indica que a área de dados contém uma mensagem OSPF.


10-27

Fig. 21 Uma mensagem OSPF na área de dados de um packet IP. Na figura pode observar-se uma mensagem OSPF inserida na área de dados de um packet IP. No header do packet IP, o valor 89 no campo Protocol indica que na área de dados circula uma mensagem OSPF.


10-28

Estrutura das mensagens OSPF As mensagens dos protocolos OSPF contêm um cabeçalho de 24 bytes, cuja estrutura é apresentada na figura 8.22. Apresenta-se uma explicação sumária de alguns dos campos do cabeçalho da mensagem.

version Indica a versão do protocolo utilizada.

type Identifica o tipo de mensagem que vai ser enviada. A figura 23 apresenta os números correspondentes aos vários tipos de mensagens dos protocolo OSPF.

Fig. 22 Estrutura do header do protocolo OSPF. Podem observar-se os vários cam-pos que constituem o header do protocolo OSPF. Importa chamar a atenção para o facto de, quer o header quer o conteúdo da mensagem OSPF ocuparem a área de dados de um packet IP.

Fig. 23 Número e tipo de mensagens do protocolo OSPF. A tabela mostra os valores do campo type do header de uma mensagem OSPF. Ao lado de cada número a descrição do tipo de mensagem. Apenas a título de ilustração, a mensagem Hello é utilizada para estabelecer o “conhecimento” com os routers vizinhos.


10-29

message length Indica o número de bytes da mensagem, incluindo o header.

source router IP address Identifica o router que envia o packet.

area ID É um número de 32 bits associado à área atribuída ao router que transmite o interface. Um valor igual a zero identifica a área de backbone. Os packets que utilizam um link virtual usam igualmente o valor 0.

checksum O checksum é calculado usando uma técnica designada por one’s complement sum. Todavia, se o packet utilizar algum sistema de encriptação por autenticação, o valor do campo é zero.

authentication type Se estiver a ser usada autenticação, este campo identifica o método de autenticação utilizado.

authentication data No caso de ser usado algum método de autenticação, os dois campos designados por authentication são usados para conter a informação de autenticação.

Tipos de autenticação O protocolo OSPF define três tipos de autenticação. Um desses tipos de autenticação deve ser usado pelos routers em cada um dos seus interfaces (embora não seja obrigatório utilizar o mesmo sistema de autenticação em todos os interfaces). A tabela seguinte apresenta os números e o tipo de autenticação que podem ser utilizados.

Apresenta-se uma breve descrição dos vários tipos de autenticação definidos na especificação do protocolo OSPF.

Autenticação nula Tal como a designação sugere, autenticação nula significa que não existe qualquer sistema de autenticação. Quando este valor é especificado, os 64 bits do campo authentication data podem conter qualquer valor, uma vez que nunca são analisados. Autenticação por password Neste modelo de autenticação, os campos authentication data contêm uma password que é conhecida e partilhada pelos routers comunicantes. Não se trata de um sistema muito seguro, uma vez que os packets circulam de forma não encriptada e a password pode ser obtida de forma relativamente fácil. Autenticação criptográfica Este tipo de autenticação usa uma função matemática designada por cryptographic digest e um algoritmo designado por MD5. Trata-se de um sistema que torna o processo de descodificação quase impraticável.


10-30

Mensagem Hello O protocolo OSPF envia periodicamente mensagens Hello a todos os seus links para testar a conectividade e para o estabelecimento e manutenção de relações de vizinhança. A mensagem Hello segue-se ao cabeçalho quando, nesse cabeçalho, o campo Type tem o valor 1.

Fig. 24 Mensagens Hello. A figura sugere a troca de mensagens Hello do protocolo OSPF entre os routers.

Database description As mensagens Database description são utilizadas para a inicialização das bases de dados de topologia dos routers e para descrever a topologia da rede. Na troca destes packets, um dos routers é designado como master e o outro como slave. O master envia packets que descrevem a estrutura da topologia. O slave comunica a recepção desses packets.

Link status request Quando um router descobre que algumas das componentes da base de dados da topologia se encontram desactualizadas, emite uma mensagem do tipo link state request para obter informação actualizada sobre esses links.

Link status update As mensagens link status update são mensagens broadcast emitidas pelos routers para a actualização das bases de dados da topologia dos seus vizinhos.


10-31

O protocolo BGP

Descrição geral do protocolo O protocolo BGP (Border Gateway Protocol) é um protocolo baseado num algoritmo distance vector. O BGP utiliza o protocolo TCP pelo que todo o sistema que garante a fiabilidade das transmissões é assegurado pelo software do protocolo TCP e não necessita de ser implementado ao nível do protocolo BGP. Dois routers BGP formam uma conexão TCP entre si. Esses routers são designados por peers ou vizinhos. Os routers peer trocam múltiplas mensagens para abrir e para confirmar parâmetros das conexões. Um dos parâmetros trocados é a versão do protocolo utilizado. Se não for possível compatibilizar os parâmetros a conexão não pode ser estabelecida. Inicialmente, todas as routes candidatas são trocadas. Informação de actualização é enviada à medida que a informação sobre a topologia muda. As routes são anunciadas entre um par de routers através de mensagens UPDATE. Essas mensagens contêm entre outras coisas uma lista de <length, prefix> que listam os destinos que podem ser atingidos através de cada sistema. Uma mensagem UPDATE contém igualmente os atributos dos caminhos que incluem informação tal como o grau de preferência por determinado caminho (route). No caso de haver alterações, como por exemplo uma route se tornar não acessível ou ter um melhor caminho, o BGP informa os seus neighbors (vizinhos) retirando as routes inválidas e injectando nova informação de routing. As routes retiradas são igualmente parte da mensagem UPDATE. Essas routes deixam de estar disponíveis. Quando não existem mudanças, os routers apenas trocam mensagens KEEPALIVE. As mensagens KEEPALIVE são enviadas periodicamente entre peers BGP para manter a conexão viva. Os packets KEEPALIVE têm 19 bytes cada um e consumem uma largura de banda mínima (cerca de 2,5 bps para uma taxa periódica de 60 segundos).

Formato do header de uma mensagem BGP O header de uma mensagem BGP é composto por MARKER de 16 bytes, um campo LENGTH de 2 bytes e um campo TYPE de 1 byte. A seguir ao header pode existir ou não uma área de dados, dependendo do tipo de mensagem. Por exemplo, as mensagens KEEPALIVE contêm apenas o header.


10-32

O campo MARKER é utilizado para autenticar mensagens que chegam ou para detectar falta de sincronização entre dois peers BGP. Este campo MARKER pode ter dois formatos:

• Se o tipo de mensagem é OPEN ou se a mensagem OPEN não tem informação de autenticação, o campo MARKER deve ser preenchido a zeros.

• De contrário, o campo MARKER é calculado com base em parte do mecanismo de

autenticação utilizado. O campo LENGTH indica o tamanho da mensagem, incluindo o header. A mais pequena mensagem BGP não poderá ter menos de 19 bytes e não poderá ser superior a 4096 bytes.

Tipos de mensagens

Mensagem OPEN Um dos passos básicos do protocolo BGP é o estabelecimento de vizinhança entre BGP peers. Sem que este passo de estabelecimento de relação de vizinhança, não poderá existir troca de mensagens de actualização. A negociação de uma vizinhança, baseia-se:

1. No estabelecimento de uma conexão TCP;

2. No processamento com sucesso de uma mensagem OPEN;

3. Na detecção periódica de mensagens KEEPALIVE.

Formato das mensagens OPEN Uma mensagem OPEN contém os seguintes campos:

Version (1 Byte) Indica a versão do protocolo. Durante a negociação de estabelecimento de vizinhança os peers BGP concordam na utilização de um número para a versão do protocolo (por exemplo a versão 3 ou a versão 4 do protocolo BGP). Quando a versão dos protocolos é conhecida, a versão é estaticamente estabelecidad em vez de ser dinamicamente negociada.

My Autonomous System (2 Bytes) Contém o número do sistema autónomo a que o router pertence.

HOLD TIME (2 bytes): O valor deste campo indica o tempo em segundos que pode decorrer entre a recepção consecutiva de duas mensagens do tipo KEEPALIVE ou UPDATE. De cada vez que é recebida uma mensagem KEEPALIVE ou UPDATE o contador é colocado a zero. Se o tempo para um determinado vizinho for excedido sem que seja recebida uma dessas mensagens, esse vizinho é considerado não operacional. O valor deste campo é negociado entre cada router e cada um dos seus vizinhos. Na negociação cada router propõe o seu valor para este campo. Se os valores escolhidos


10-33

forem diferentes, é seleccionado o menor dos dois valores. O tempo mínimo recomendado é de três segundos. Nalguns casos, o valor e fixado permanentemente em zero. Isto significa que a ligação se considera sempre operacional.

BGP Identifier (4 Bytes) Este campo contém a identificação do emissor.

Optional Parameters (Variável) Este campo, de comprimento variável, contém uma lista de parâmetros adicionais utilizados na negociação do estabelecimento da vizinhança.

Optional Parameters Length (1 Byte) Campo utilizado para indicar o comprimento do campo OPTIONAL PARAMETERS. Se contiver o valor zero, significa que não há parâmetros opcionais.


10-34

Mensagem NOTIFICATION Sempre que uma situação de erro é detectada, o router envia uma mensagem do tipo NOTIFICATION. Uma mensagem NOTIFICATION é composta pelos seguintes campos.

Error Code (1 Byte): Indica o código do erro. O valor deste campo pode ser complementado com o valor do campo ERROR SUBCODE.

Error Subcode (1 Byte): Contém (quando aplicável) um valor que constitui um subcódigo detalhando o tipo de erro do campo ERROR CODE. Os códigos e os subcódigos de erro são os seguintes:

ERROR CODE ERROR SUBCODE

1-Message Header Error 1-Connection Not Synchronized

2-Bad Message Length

3-Bad Message Type

2-OPEN Message Error 1-Unsupported Version Number

2-Bad Peer AS

3-Bad BGP Identifier

4-Unsupported Optional Parameter

5-Authentication Failure

6-Unacceptable Hold Time

3-UPDATE Message Error 1-Malformed Attribute List

2-Unrecognized Well-known Attribute

3-Missing Well-known Attribute

4-Attribute Flags Error

5-Attribute Length Error

6-Invalid Origin Attribute

7-AS Routing Loop

8-Invalide NEXT_OP Attribute

9-Optional Attribute Error

10-Invalid Network Field

11-Malformed AS-path

4-Hold Time Expired

5-Finite State Machine Error

6-Cease (erros fatais para

além dos anteriores)

Data Este campo contém informação adicional sobre o erro.


10-35

Mensagem KEEPALIVE As mensagens KEEPALIVE são constituídas apenas pelos 19 bytes do header. Essas mensagens são em regra enviadas com uma frequência igual a um terço do tempo definido através do campo HOLD TIME negociado entre os routers.

Nota Se for estabelecido um valor zero para o HOLD TIME os routers não trocarão mensagens KEEPALIVE.

Mensagem UPDATE As mensagens UPDATE são usadas pelos routers para permitir a construção de uma topologia da Internet isenta de loops.


10-36

C- Encaminhamento e acesso remoto em redes Windows

Criação de uma internet O cenário mais simples da utilização do encaminhamento é a junção de duas redes através de um router. Neste caso o router encontra-se directamente ligado às duas redes que constituem uma internet. Como a tabela de encaminhamento do router possuí todas as informações necessárias para direccionar os pacotes de uma rede para a outra, não são necessários protocolos de encaminhamento que indiquem qual a rota a seguir.

Encaminhamento entre várias redes locais Quando existe a junção de mais do que duas redes com a utilização de routers é necessário seleccionar uma de duas opções: Configurar rotas estáticas nas tabelas de encaminhamento dos routers existentes na internet. Utilizar protocolos de encaminhamento que possibilitam a descoberta das possíveis entre duas redes, na comunicação entre dois hosts. Para ilustrar esta situação recorremos a um pequeno exemplo: No cenário proposto, existem três redes (Redes A, B e C) e dois routers (Routers 1 e 2). Router 1 está nas redes A e B e o Router 2 está nas redes B e C. O Router 1 deverá notificar o Router 2 que a rede A poderá ser alcançada através do Router 1 e o Router 2 deverá notificar o Router 1 que a rede C poderá ser alcançada pelo Router 2. Esta informação será comunicada automaticamente através da utilização de protocolos de encaminhamento, tais como RIP ou OSPF. Quando um utilizador na rede A pretender comunicar com um utilizador na rede C, o computador do utilizador na rede A encaminha o pacote para o Router 1. O Router 1 reencaminha, em seguida, o pacote para o Router 2. O Router 2 reencaminha, em seguida, o pacote para o computador do utilizador na rede C. Sem a utilização de protocolos de encaminhamento, o administrador da rede terá de introduzir rotas estáticas nas tabelas de encaminhamento do Router 1 e Router 2. Durante o funcionamento das rotas estáticas, não se adaptam bem aos conjuntos de redes de maior porte, nem recuperam devidamente de alterações na topologia dos conjuntos de redes. A utilização de rotas estáticas nas tabelas de encaminhamento é impraticável em redes de grande dimensão e também na Internet.

Encaminhamento em redes alargadas (WAN) O encaminhamento em redes alargadas pode ser ilustrado, quando duas redes locais se encontram em pontos geograficamente distintos, e se torna necessário utilizar linhas de comunicação WAN para estabelecer a comunicação entre as duas redes. O encaminhamento através de redes alargadas pode ser ilustrado através do seguinte cenário: As redes A e B estão separadas geograficamente e, para o montante de tráfego transferido entre as redes, não é económica a utilização de uma ligação WAN dedicada. O Router 1 e o Router 2 poderão estabelecer ligação por linhas telefónicas analógicas através da utilização de modems em ambas as extremidades (ou outro tipo de conectividade, tal como RDIS). Quando um computador na rede A inicia a comunicação com


10-37

um computador na rede B, o Router 1 estabelece uma ligação telefónica com o Router 2. A ligação do modem será mantida, até que existam pacotes em transmissão. Quando a ligação estiver inactiva, o Router 1 desliga para redução de custos.


10-38

D - Interfaces e protocolos de encaminhamento

Interfaces de encaminhamento O software de router do Windows considera três tipos de entidades que representam os dispositivos de conectividade existentes no computador que são utilizados no processo de encaminhamento. Estes são os interfaces, os dispositivos e as portas Um interface de encaminhamento é um conexão lógica ou física por onde são enviados os pacotes redireccionados. Um dispositivo representa o hardware ou software que cria as ligações ponto a ponto, lógicas ou físicas. Uma porta representa um canal de comunicação que suporta uma única conexão ponto a ponto. O router do Windows utiliza um interface de encaminhamento para enviar pacotes IP. Existem três tipos de interfaces de encaminhamento: Interfaces de rede local Uma interface de rede local é uma interface física que representa normalmente uma ligação de área local que utiliza tecnologia de rede local como a Ethernet ou Token Ring. A interface de rede local reflecte uma placa de rede instalada. Uma placa de rede alargada instalada é por vezes representada como interface de rede local. Por exemplo, alguns adaptadores Frame Relay criam uma interface de rede local lógica separada para cada circuito virtual configurado. As interfaces de rede local estão sempre activadas e normalmente não requerem um processo de autenticação para se tornarem activas. Interfaces de marcação a pedido Uma interface de marcação a pedido é uma interface lógica que representa uma ligação ponto a ponto. A ligação ponto a ponto é baseada tanto numa ligação física, como por exemplo, dois routers ligados através de uma linha telefónica analógica que utiliza modems, como numa ligação lógica, como por exemplo, dois routers ligados através de uma ligação de rede privada virtual que utiliza a Internet. As ligações de marcação a pedido são tanto a pedido (a ligação ponto a ponto é apenas estabelecida quando necessário) ou persistente (a ligação ponto a ponto é estabelecida e mantém-se ligada). As interfaces de marcação a pedido requerem normalmente um processo de autenticação para se tornarem activas. O equipa mento necessário para uma interface de marcação a pedido é uma porta num dispositivo. Interfaces de túnel IP dentro de IP Uma interface de túnel IP dentro de IP é uma interface lógica que representa uma ligação ponto a ponto transmitida num túnel. As interfaces IP dentro de IP não requerem uma processo de autenticação para se tornarem activas.

Dispositivos Um dispositivo é o hardware ou o software que fornece portas utilizadas pelas ligações de acesso remoto de marcação a pedido para estabelecer ligações ponto a ponto. Os dispositivos podem ser físicos, como por exemplo, um modem, ou virtuais, como por exemplo, protocolos de rede privada virtual (VPN). Os dispositivos podem suportar uma única porta, como por exemplo, um modem, ou múltiplas portas, como por exemplo, hardware do banco de modem que pode terminar 64 chamadas telefónicas analógicas diferentes a receber.


10-39

Um exemplo de um dispositivo multiportas virtual é o Point-to-Point Tunneling Protocol (PPTP) ou o Layer Two Tunneling Protocol (L2TP). Cada um destes protocolos de túnel suporta ligações VPN múltiplas.

Portas Uma porta é um canal de um dispositivo que suporta uma única ligação ponto a ponto. Para dispositivos de uma única porta como os modems, o dispositivo e a porta são indistintos. Para dispositivos multiportas, a porta é a subdivisão do dispositivo através do qual é possível estabelecer uma ligação ponto a ponto separada. Por exemplo, placas RDIS Primary Rate Interface (PRI) suportam dois canais separados denominados canais B. A placa RDIS é um dispositivo. Cada canal B é uma porta porque ocorre uma ligação ponto a ponto em cada canal B.

O protocolo de encaminhamento RIP O Protocolo de informação de encaminhamento (RIP-Routing Information Protocol) é concebido para intercâmbio de informações de encaminhamento, dentro de um conjunto de redes de tamanho médio. A maior vantagem do RIP é ser extremamente simples de configurar e de implementar. A maior desvantagem do RIP é a incapacidade de conversão para conjuntos de redes grandes ou muito grandes. A contagem de saltos máxima utilizada por routers RIP é de 15. Redes que se encontrem a 16 saltos ou mais de distância serão consideradas inatingíveis. Uma vez que os conjuntos de redes aumentam em tamanho, anúncios periódicos por cada router RIP poderão provocar um tráfego excessivo. Outra desvantagem do RIP é o elevado tempo de recuperação. Quando a topologia do conjunto de redes alterar, poderá demorar vários minutos antes da reconfiguração dos routers RIP para a nova topologia do conjunto de redes. Durante a reconfiguração do conjunto de redes, os ciclos de encaminhamento podem formar esse resultado em dados perdidos ou não entregues. Inicialmente, a tabela de encaminhamento para cada router inclui apenas as redes ligadas fisicamente. O router RIP envia periodicamente anúncios, que contêm as entradas da tabela de encaminhamento correspondente, para informar os outros routers RIP locais das redes tangíveis. O RIP versão 1 utiliza pacotes de difusão IP para os respectivos anúncios. O RIP versão 2 utiliza pacotes de difusão e multicast para os anúncios correspondentes. Os routers RIP também poderão comunicar informações de encaminhamento através de actualizações accionadas. As actualizações accionadas ocorrem quando as alterações da topologia da rede e as informações de encaminhamento actualizadas são enviadas e reflectem essas alterações. Com as actualizações accionadas, a actualização é enviada imediatamente em vez de aguardar pelo anúncio periódico seguinte. Por exemplo, quando um router detecta uma ligação ou falha de router, actualiza a respectiva tabela de encaminhamento e envia as rotas actualizadas. Cada router que recebe a actualização accionada, modifica a respectiva tabela de encaminhamento e propaga a alteração.

O protocolo de encaminhamento OSPF O protocolo de encaminhamento Abrir o caminho mais curto primeiro OSPF- Open Shortest Path First (Abrir o caminho mais curto primeiro) é concebido para o intercâmbio de informações de encaminhamento dentro de um conjunto de redes grande ou muito grande. O protocolo OSPF utiliza o algoritmo Abrir o caminho mais curto primeiro (SPF, Shortest Path First) para calcular rotas na tabela de encaminhamento. O algoritmo SPF calcula o caminho mais curto (menor custo)


10-40

entre o router e todas as redes do conjunto de redes. Rotas calculadas com base em SPF são sempre isentas de ciclos. Em vez de trocar entradas da tabela de encaminhamento como routers RIP, os routers OSPF mantêm um mapa do conjunto de redes, actualizado depois de qualquer alteração à topologia da rede. Este mapa, chamado de base de dados do estado da ligação, é sincronizado entre todos os routers OSPF e é utilizado para calcular as rotas na tabela de encaminhamento. Routers OSPF vizinhos formam uma adjacência, que é uma relação lógica entre routers para sincronizar a base de dados do estado da ligação. As alterações à topologia da rede privada são propagadas de forma eficiente por todo o conjunto de redes, de modo a assegurar que a base de dados do estado da ligação, em cada router, está sempre sincronizada e precisa. A tabela de encaminhamento será recalculada, aquando da recepção de alterações à base de dados do estado da ligação. À medida que o tamanho da base de dados do estado da ligação aumenta, aumentam os requisitos de memória e tempo de cálculo da rota. Para tratar deste problema de dimensionamento, o OSPF divide o conjunto de redes em áreas (colecções de redes contíguas) ligadas entre si através de uma área backbone. Cada router mantém apenas uma base de dados do estado da ligação para as áreas que estão ligadas ao router. Os routers de limite de área (ABRs) ligam a área backbone a outras áreas.


10-41

E – Instalação do router

Requisitos para a configuração de um router Quando instala o Windows Server, o serviço de router é instalado automaticamente. Contudo, o serviço de encaminhamento e acesso remoto é instalado num estado desactivado. Para instalar e configurar o router do Windows , deve iniciar sessão como membro do grupo de administradores.

Requisitos do hardware Antes de instalar o router do Windows , é necessário instalar e estar a funcionar todo o hardware. Dependendo da rede e dos requisitos poderá ser necessário o seguinte hardware: Uma placa de rede local ou de rede alargada com um controlador com a certificação Network Driver Interface Specification (NDIS) Um ou mais modems compatíveis e uma porta COM disponível. Um dispositivo de conectividade WAN Uma placa RDIS (se estiver a utilizar uma linha RDIS).

Instalar o serviço de Encaminhamento e acesso remoto Para abrir o Encaminhamento e acesso remoto, clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e acesso remoto. Abra o utilitário Encaminhamento e acesso remoto Por predefinição, o computador local é listado como servidor. Para adicionar outro servidor, na árvore da consola, clique duas vezes em Estado do servidor e, em seguida, clique em Adicionar servidor. Na caixa de diálogo Adicionar servidor, clique na opção aplicável e, em seguida, clique em OK. Na árvore de consola, clique com o botão direito do rato no servidor que pretende activar e, em seguida, clique em Configurar e activar encaminhamento e acesso remoto. Escolha opção personalização do Encaminhamento e acesso remoto O serviço de Encaminhamento e acesso remoto, que para além de outras funcionalidades permite ao Windows funcionar como router, passa agora a estar activo. No entanto, é ainda necessário proceder às configurações necessárias mediante a configuração de rede e acesso ao exterior que se pretende implementar.


10-42

Activar o router para redes locais Para activar o serviço de Encaminhamento e acesso remoto apenas para ligações entre redes locais, execute o seguinte procedimento: Clique com o botão direito do rato no nome do servidor para o qual pretende activar o encaminhamento e, em seguida, clique em Propriedades. No separador Geral, seleccione a caixa de verificação Activar este servidor como router e, em seguida, efectue um dos seguintes procedimentos: Execute um clique em Apenas encaminhamento local (router LAN).

Activar o router para ligações WAN Para activar o router para ligações de redes locais e redes remotas WAN, execute o seguinte procedimento: Clique com o botão direito do rato no nome do servidor para o qual pretende activar o encaminhamento e, em seguida, clique em Propriedades. No separador Geral, seleccione a caixa de verificação Activar este servidor como router e, em seguida, efectue um dos seguintes procedimentos: Execute um clique em Encaminhamento local e remoto (router LAN e WAN).


10-1

Unidade 11 Segurança em redes Windows Objectivos pedagógicos da unidade:

Conhecer os conceitos básicos sobre segurança informática.

Conhecer a arquitectura de segurança em redes Windows.

Descrever o processo de autenticação

Conhecer o funcionamento do sistema de encriptação de ficheiros

Atribuir permissões NTFS e garantir a segurança dos recursos de rede

Estabelecer processo de auditoria de segurança

Gerir sistemas de segurança em servidores IIS

Sumário: A segurança informática em redes de computadores é talvez um dos aspectos mais importantes desta área da Informática. Nesta unidade serão apresentados os conceitos básicos sobre segurança informática e criptografia, bem como a arquitectura de segurança das redes Windows. No final desta unidade, deverá saber definir políticas de segurança para uma rede informática e implementar sistemas de segurança ao nível dos servidores da rede local e servidores Web.


A - Arquitectura de segurança em redes Windows

10-2

onceitos básicos sobre segurança

Segurança da informação

oje em dia, a informação vital existente nos sistemas informáticos e na Internet necessita de possuir três

uando a informação é acedida ou copiada por uma pessoa que não está devidamente autorizada dá-se

informação pode ser alterada quer inadvertidamente ou com intuito malicioso. Quando esta situação

informação pode ser alterada quer inadvertidamente ou com intuito malicioso. Quando esta situação

agine, por exemplo uma base de dados de uma empresa que vende produtos on-line onde são alteradas

C

Hcaracterísticas: confidencialidade, integridade e disponibilidade. Quma perda de confidencialidade da informação. Aacontece estamos perante uma perda de integridade da informação. Aacontece estamos perante uma perda de integridade da informação. Imas ordens de encomendas de alguns clientes. O resultado será prejudicial para a empresa, visto que os clientes para além de não verem o seu pedido satisfeito podem ainda reclamar que forma descontadas nas suas contas pessoais somas que não correspondem à compra que efectuaram.

os dias de hoje, as empresas que se que vende produtos ou serviços necessitam que os seus

situação em que utilizadores autorizados ficam impossibilitados de consultar informação é designada por

conservação da confidencialidade, integridade e disponibilidade de informação vital leva à necessidade de

Ncolaboradores e clientes possam aceder a determinada informação. Quando essa informação é apaga ou torna-se indisponível dá-se uma perda de disponibilidade da informação. Adenial of service. Ase estabelecerem mecanismos de segurança que protejam as organizações e a privacidade de dos utilizadores que utilizam os sistemas de informação dos nossos dias.


Políticas de segurança A política de segurança uma organização é o plano que esta adopta para proteger adequadamente a informação. Na definição de uma política de segurança devem ter-se em conta os seguintes factores:

Descrição pormenorizada das tecnologias de informação utilizadas na organização. Identificação da informação sensível e onde esta se encontra armazenada.

Práticas e procedimentos a serem utilizados pelos administradores de sistemas.

Práticas aceitáveis para os utilizadores normais do sistema.

Análise das possíveis ameaças à integridade e segurança da informação e planos de resposta a

esses ataques. Incidentes e Ataques Um incidente de segurança é um acontecimento contrário ás políticas de segurança estabelecidas para o sistema sistema de informação de uma organização. Os incidentes podem ser um prelúdio para ataques aos sistemas informáticos que têm em geralmente como consequência a perda de um ou mais atributos da informação crítica: confidencialidade, integridade e disponibilidade.

Tipos de incidentes de segurança: Utilização não autorizada de uma conta de utilizador Num sistema informático os utilizadores utilizam um conta que lhes permite aceder aos recursos em rede. Por vezes os piratas informáticos conseguem obter o nome da conta e a respectiva palavra passe, fazendo-se passar por esse utilizador. O risco para o sistema é maior mediante o tipo da conta comprometida. Denial of Service

10-3


Os ataques Denial of Service (DoS) têm por objectivo impedir o acesso à informação por parte de utilizadores autorizados. Um exemplo deste tipo de ataques é a utilização de programas de software que inundam os Web sites de empresas com milhares de pedidos, impossibilitando desta forma, o trafego normal nesse site. Vírus Este tipo de software têm como finalidade destruir programas e informação existente nos computadores. Os virus podem ser transmitidos facilmente por e-mail ou através da rede informática e constituem um ameaça à segurança dos sistemas. Cada um destes incidentes, apresentados a título de exemplo, pode implicar a perda de uma característica vital da informação crítica de uma organização.

Autenticação

Num sistema informático onde são implementadas políticas e esquemas de segurança, é necessário que cada utilizador se identifique por forma a ter acesso aos recursos existentes no sistema. O processo de autenticação consiste em verificar se a pessoa que utiliza uma conta de utilização é realmente quem afirma ser. O processo de autenticação de um utilizador utiliza dois elementos que em conjunto identificam unicamente um utilizador.

10-4


Cada conta de utilizador está autorizada a aceder a determinados recursos. A acto de autorização é a determinação por parte do sistema se determinado utilizador têm ou não privilégios suficientes para aceder a um determinado recurso.

A utilização de contas de utilização permite ao sistema registar todas as acções de um utilizador num sistema informático. Esta capacidade dos sistemas pode ser utilizada como medida de segurança.

10-5


Criptografia A criptografia é um sistema utilizado para codificar e descodificar informação com o objectivo de assegurar a privacidade dessa mesma informação. É um processo que se desenrola em duas fases: a encriptação e a desencriptação. Encriptação Numa primeira fase, designada por encriptação, uma mensagem aberta (por exemplo, um texto escrito em português) é transformado numa sequência de carateres ininteligível. A mensagem original é designada por plaintext e a mensagem que resulta da encriptação é designada por ciphertext.

Mensagem origin l a(plaintext)

Mensagem encriptada Encriptação (ciphertext) Desencriptação A desencriptação é o processo inverso da encriptação. Consiste na transformação de uma mensagem encriptada (ciphertext) na mensagem original (plaintext).

Mensagem encriptada Mensagem original Desencriptação (ciphertext) (plaintext)

Algoritmos e chaves Os processos de encriptação e desencriptação utilizam algoritmos e chaves para as transformações que operam. O algoritmo é o conjunto de procedimentos matemáticos aplicados. A chave é um argumento que o algoritmo da função recebe para efectuar a transformação. Para se compreender a diferença entre algoritmo e chave, considere-se o seguinte exemplo de simplicidade extrema (e que, evidentemente, só poderia ser utilizado num sistema de encriptação trivial). Imagine-se que o procedimento de encriptação consistia em somar um determinado valor inteiro ao código numérico de cada uma dos caracteres da mensagem incial e que o processo de desencriptação consistia em subtrair esse mesmo valor. O algoritmo, neste caso, é o procedimento que consiste em somar (ou subtrair) um determinado valor inteiro ao código de cada caracter. A chave é esse valor inteiro. O mesmo algoritmo poderia ser utilizado com diferentes chaves (2, 3, 4, ...). Os algoritmos de encriptação utilizados na prática são algoritmos que contêm um conjunto complexo de manipulações matemáticas. No entanto, trata-se de algoritmos conhecidos, pelo que, a garantia de confidencialidade reside na chave que é utilizada. Em princípio, uma chave é tanto mais segura (mais difícil de obter) quanto maior for o número de bits dessa chave. Por exemplo, se uma chave usar 56 bits, o número de combinações possíveis é de 256 = 72 057 594 037 927 936. Aumentando o número de bits da chave, aumenta-se enormemente o número de combinações, de tal forma que se podem criar chaves para as quais

10-6


os mais modernos computadores levariam muitos anos para gerar todas as combinações possíveis e, eventualmente, quebrar a inviolabilidade da chave. Evidentemente, quanto maior for o número de bits da chave, mais intenso e demorado será o processo de encriptação e desencriptação. Neste domínio, o princípio a ter presente é o seguinte: as protecções de software podem sempre, em teoria, ser removidas por software mas podem ser implementados mecanismos que inviabilizem na prática um ataque à chave em termos de "força bruta".

Sistemas de criptografia simétrica Um sistema de criptografia simétrica (ou de chave privada) caracteriza-se pelo facto de ser utilizada uma mesma chave quer na encriptação quer na desencriptação. A chave é apenas conhecida pelos dois extremos da comunicação. Para que A e B possam comunicar utilizando um sistema de criptografia simétrica, deve existir uma chave (só conhecida por ambos). Essa chave é utilizada na encriptação e na desencriptação.

Sistemas de criptografia assimétrica Um sistema de criptografia assimétrica caracteriza-se pela existência de duas chaves: uma chave pública e uma chave privada. Cada entidade que pretenda estabelecer comunicação segura com outras entidades possui duas chaves. A chave privada (só conhecida dessa entidade) e a chave pública que pode ser conhecida por todos, particularmente por aqueles que necessitam de comunicar com esssa entidade. Para ilustrar melhor o conceito, considere-se a entidade A que se relaciona com as entidades X, Y e Z. A entidade A possui uma chave privada e uma chave pública. A chave privada só é conhecida da entidade A, mas a chave pública é conhecida de todas as outras entidades. As duas chaves estão relacionadas da seguinte forma. A entidade A pode usar a sua chave privada para encriptar mensagens transmitidas aos destinatários X, Y e Z. Estes utilizam a chave pública de A para desencriptar essas mensagens. Da mesma forma, quando qualquer das entidades X, Y ou Z, pretende eviar mensagens para A, utiliza a chave pública de A para encriptar as mensagens. Por sua vez A utiliza a sua chave privada para desencriptar essas mensagens.

10-7


Para as suas comunicações, A dispõe de uma chave privada e de uma chave pública. A pode utilizar a sua chave privada para encriptar as mensagens que envia, e para desencriptar as mensagens que recebe.

A chave pública de A pode ser divulgada sem

restrições

Chave Chave Só A conhece a sua própria chave privada

pública de A

privada de A

Os destinatários utilizam a chave pública de A para

desencriptar as mensagens que recebem de A.

X A

A utiliza a sua chave privada para encriptar as mensagens que envia.

Plaintext Plaintext

10-8

Os exemplos apresentados evidenciam a relação que existe entre as duas chaves de uma entidade. Ambas podem ser utilizadas para encriptar e para desencriptar. Uma mensagem encriptada com a chave privada pode ser desencriptada com a correspondente chave pública. Do mesmo modo, uma mensagem encriptada com a chave pública pode ser desencriptada com a correspondente chave privada. Quando a entidade A encripta uma mensagem com a sua chave privada, essa mensagem pode ser desencriptada por qualquer outra entidade que tenha acesso à chave pública de A. No entanto, imagine-se que A pretende enviar uma mensagem para B, mas de tal forma que só B possa desencriptar essa mensagem. Nesse caso, A deve encriptar a mensagem utilizando a chave pública de B. A entidade B, por seu turno, utilizará a sua chave privada para desencriptar a mensagem. O algoritmo utilizado para gerar o par de chaves dá garantias de que é extremamente difícil, a partir da chave pública, deduzir a chave privada.

Assinaturas digitais Para além de garantir a confidencialidade, os sistemas de encriptação devem igualmente, em certos casos, garantir a autenticidade das mensagens. A autenticidade de uma mensagem deve ser entendida como a garantia de que o autor de uma mensagem é quem diz ser e que o conteúdo da mensagem não foi alterado durante o seu percurso entre a origem e o destino. O processo designado por assinatura digital permite garantir a autenticidade da mensagem e a sua integridade. Esse processo é implementado através das seguintes fases:

1. O emissor da mensagem utiliza um software especial que converte o texto da mensagem num determinado valor. A função que efectua essa conversão é designada por hash function. Uma hash

Chave privada Chave pública de A

de A

Ciphertext Ciphertext


function pode transformar uma mensagem de milhões de bits num valor representado por pouco mais de uma centena de bits. Esse valor é designado por message digest. A hash function é uma função que opera num só sentido, isto é, não é possível utilizar a função inversa para reconstituir a mensagem original a partir do valor message digest. Para além disso, a hash function possui a propriedade seguinte: se a mensagem inicial for alterada mesmo que num só bit, a message digest gerada pela hash function será diferente.

2. Depois de gerar o valor message digest, o programa encripta esse valor utilizando a chave privada do emissor e cria uma versão “assinada” do documento original. Essa versão contém informação sobre o programa utilizado para gerar a assinatura bem como o ponto em que começa e acaba o texto da mensagem.

3. O receptor usa o programa para desencriptar o valor message digest gerado na origem usando a chave pública do emissor. Em seguida aplica a hash function ao texto da mensagem e compara os dois valores obtidos. Se os valores forem forem iguais, a mensagem pode ser considerada autêntica.

10-9


Arquitectura de segurança em redes Windows

Modelo de segurança As funcionalidades principais do modelo de segurança do Windows são a autenticação do utilizador e o controlo de acesso. O conceito de autenticação refere-se à capacidade dos utilizadores iniciarem uma sessão num sistema e aceder aos recursos de rede.

O processo de autenticação confirma a identificação do utilizador quando este inicia uma sessão num posto de trabalho da rede. O Windows permite implementaro controlo de acesso aos recursos de rede através da atribuição de descritores de segurança.

Um descritor de segurança consiste numa lista de utilizadores e grupos a quem é concedido o acesso com as respectivas permissões específicas de acesso.

10-10


Exemplos de objectos são ficheiros, impressoras e serviços. Gerindo as propriedades nos objectos, os administradores podem definir permissões, atribuir propriedade e monitorar o acesso por utilizadores. Os administradores podem não só controlar o acesso a um objecto específico, como podem controlar o acesso a um atributo específico desse objecto. Por exemplo, através de uma configuração própria do descritor de segurança de um objecto, é possível permitir o acesso de um utilizador a um subconjunto de informação, como os nomes e números de telefone dos empregados, mas não às suas moradas. O Active Directory fornece o armazenamento protegido da conta do utilizador e da informação do utilizando o controlo de acesso em objectos e credenciais de utilizador. Uma vez que o Active Directory armazena não só as credenciais do utilizador mas também as informações do controlo de acesso, os utilizadores que iniciam a sessão na rede obtêm autenticação a autorização de acesso aos recursos do sistema.

Por exemplo, quando um utilizador inicia a sessão na rede, o sistema de segurança do Windows 2000 autentica o utilizador com o recurso a informações armazenadas no Active Directory. Então, quando o utilizador tenta aceder a um serviço da rede, o sistema verifica as propriedades definidas na lista de controlo de acesso discricionário (DACL) para esse serviço. Como o Active Directory permite que os administradores criem contas de grupo, os administradores podem gerir a segurança do sistema de modo mais eficiente. Por exemplo, ajustando as propriedades de um ficheiro, um administrador pode permitir a todos os utilizadores de um grupo a leitura desse ficheiro. Deste modo, o acesso a objectos do Active Directory é baseado na associação a grupos.

10-11


Arquitectura de domínio Um domínio é um agrupamento de objectos de rede: utilizadores, computadores, grupos e recursos. Os objectos de um domínio são armazenados no Active Directory.

Cada domínio é um limite de segurança, no sentindo de que as definições e políticas de segurança (como os direitos administrativos, as políticas de segurança e as listas de controlo de acesso) não são transferidas entre domínios. O administrador de um domínio específico tem direito a definir políticas apenas nesse domínio. Como um domínio é um limite de segurança, os diferentes administradores podem criar e definir domínios diferentes na organização. Alguns pontos chave para compreender os domínios são:

A política de segurança pode ser implementada através de um domínio.

O Active Directory, que inclui as informações de segurança, é replicado em intervalos regulares para

cada controlador de domínio no domínio, para que as bases de dados estejam sempre sincronizadas.

Os objectos no Active Directory podem ser organizados e geridos a nível da unidade organizacional.

10-12


Funções de servidor Numa rede Windows os servidores desempenham uma de duas funções:

Autenticação O processo de autenticação consiste em confirmar a identidade de um utilizador que esteja a tentar iniciar uma sessão num domínio ou a aceder a recursos de rede.

10-13


Autorização O controlo de acesso é o modelo de implementação da autorização.

Depois de uma conta de utilizador ter recebido uma autenticação e poder aceder a um objecto, o tipo de acesso concedido é determinado pelos direitos de utilizador que são atribuídos ao utilizador ou pelas permissões anexadas ao objecto. Para objectos num domínio, o gestor de objectos para esse tipo de objecto impõe o controlo de acesso. Por exemplo, o registo impõe o controlo de acesso às chaves de registo. Os objectos controlados por um gestor de objectos têm um proprietário, um conjunto de permissões que se aplicam a grupos ou utilizadores específicos e informações de auditoria. Ao definir as permissões de um objecto, o proprietário do objecto controla que utilizadores e grupos na rede têm permissão para aceder ao objecto. As definições de permissão também definem que tipo de acesso é permitido (como as permissões de leitura/escrita de um ficheiro). As informações sobre a auditoria definem que utilizadores ou grupos são auditados quando tentam aceder a esse objecto.

Auditoria A auditoria de segurança é uma função do Windows 2000 que monitoriza vários eventos relacionados com a segurança. O sistema de monitorização de eventos é necessário para detectar utilizadores estranhos e para detectar tentativas de comprometer os dados no sistema.

Para além de auditar eventos relacionados com a segurança, o Windows 2000 gera um registo de segurança e fornece uma forma de visualizar os eventos de segurança relatados no registo.

10-14


Protecção da informação A integridade e confidencialidade dos dados iniciam-se com a autenticação da rede. Com as credenciais adequadas (palavra-passe forte ou credenciais de chave pública), o utilizador pode iniciar sessão na rede e, no processo, obter permissão para aceder aos dados armazenados. Tipos de protecção de dados locais:

O sistema de encriptação de ficheiros (EFS) utiliza encriptação de chave pública para encriptar dados em volumes NTFS locais.

As assinaturas digitais assinam identificam o utilizador no acesso aos recursos do sistema. Protecção da comunicação de rede Os dados de rede no site (rede e sub-redes locais) são protegidos pelo protocolo de autenticação. Para um nível adicional de segurança, também é possível optar por encriptar dados de rede num site. Através da segurança do protocolo Internet, é possível encriptar todas as comunicações em rede de clientes específicos ou de todos os clientes num domínio. Os dados de rede transmitidos para o site e do site (através de intranets, extranets ou um gateway da Internet) podem ser protegidos utilizando os seguintes utilitários:

• Segurança do Protocolo IP. Encripta as comunicações TCP/IP de um cliente. • Encaminhamento e acesso remoto. Configura os protocolos de acesso remoto e encaminhamento. • Servidor proxy. Fornece um servidor proxy e firewall de um site.

10-15


Infra-estrutura de chave pública As redes informáticas já não são sistemas fechados em que a mera presença do utilizador na rede pode servir como prova de identidade. Nesta idade da interligação da informação, a rede de uma organização é constituída por intranets, sites da Internet e extranets--todas potencialmente susceptíveis de serem acedidas por indivíduos não autorizados que, maldosamente, pretendam ver ou alterar imobilizados de informação digital da organização. Existem muitas potenciais oportunidades de acesso não autorizado a informações contidas nas redes. É possível que alguém tente monitorar ou alterar sequências de informação, como o correio electrónico, transacções de comércio electrónico e transferências de ficheiros. A sua organização pode trabalhar com parceiros em projectos de âmbito e duração limitados, com empregados dos quais não se sabe nada, mas a quem, ainda assim, deve ser concedido o acesso a alguns dos recursos de informação. Se os utilizadores tiverem uma multitude de palavras-passe de que devem lembrar-se para acederem a diferentes sistemas de segurança, é possível que escolham palavras-passe fracas ou comuns, para mais facilmente se lembrarem delas. Isto não só fornece ao hacker uma palavra-passe que é fácil de quebrar, como permite também o acesso a múltiplos sistemas protegidos e a dados armazenados. Como pode um administrador de sistema estar seguro acerca da identidade da pessoa que acede à informação e, determinada essa identidade, controlar qual a informação a que essa pessoa tem acesso? Adicionalmente, como pode um administrador de sistema distribuir e gerir credenciais de identificação com facilidade e segurança numa organização? Existem questões que podem ser dirigidas com uma estrutura bem planeada de infra-estrutura de chave pública. Uma infra-estrutura de chave pública, muitas vezes abreviada para PKI, é um sistema de certificados digitais, autoridades de certificação e outras autoridades de registo que verificam e autenticam a validade de cada uma das partes envolvidas numa transacção electrónica através do uso da criptografia da chave pública.

10-16


Um certificado é uma declaração digital emitida por uma autoridade que atesta a identidade do possuidor do certificado. Um certificado liga uma chave pública à identidade da pessoa, computador ou serviço que detém a chave privada correspondente. Uma autoridades de certificação é a responsável pelo estabelecimento e garantia da identidade dos detentores dos certificados. Uma AC emite e revoga certificados. As políticas de chave pública são implementadas numa rede para distribuir automaticamente certificados a computadores utilizadores e grupos.

10-17


B- Autenticação

O processo de autenticação

Inicio de sessão interactivo O início de sessão interactivo confirma a identificação do utilizador tanto para uma conta do domínio como para um computador local. Este processo é diferente, dependendo da conta do utilizador. Início com uma conta de domínio:

Início com uma conta local:

10-18


10-19

Autenticação de rede A autenticação de rede confirma a identificação do utilizador em qualquer serviço de rede a que o utilizador tente aceder. Protocolos de segurança utilizados são os seguintes:

Kerberos V5 Secure Socket Layer/Transport Layer Security (SSL/TLS)

o NTLM (compatibilidade com o Windows NT 4.0)

Os utilizadores que utilizem uma conta de computador local devem fornecer credenciais (como o nome de utilizador e a palavra-passe) sempre que acederem a um recurso de rede. Com uma conta de domínio o utilizador possui credenciais que podem ser utilizadas para um início de sessão único.

O protocolo Kerberos v5 O mecanismo de autenticação Kerberos v5 emite bilhetes de acesso aos serviços de rede. Estes bilhetes contêm dados encriptados, incluindo uma palavra-passe encriptada que confirma a identidade do utilizador para o serviço pedido. Funcionamento do protocolo: 1. O utilizador identifica-se com o nome de utilizador e palavra-passe. 2. A informação é enviada para o controlador de domínio

3. O controlador de domínio possuí o serviço de Centro de distribuição de chaves que armazena as

palavras-passe e informações de conta. 4. É enviado um bilhete de acesso com as credenciais do utilizador.

5. O bilhete de acesso é utilizado para identificar o utilizador quando acede aos recursos de rede.


Utilizadores, computadores e grupos

Contas de utilizador Uma conta de utilizador do Windows permite que um utilizador inicie sessão em computadores e domínios com uma identidade que possa ser autenticada e autorizada para ter acesso a recursos de domínios. Cada utilizador que inicie sessão na rede deve ter a sua conta de utilizador exclusiva e respectiva palavra-passe. As contas de utilizador também podem ser utilizadas como contas de serviço para algumas aplicações. Contas de utilizador Utilizadores e Sistema O Windows fornece contas de utilizador predefinidas que pode utilizar para iniciar sessão num computador que esteja a executar o Windows 2000. Estas contas predefinidas são:

Conta de administrador Conta de convidado

Novas contas de utilizador podem ser criadas no utilitário Computadores e utilizadores do Active Directory.

10-20


Contas de computador Uma conta de computador representa um computador ligado à rede. Semelhantes às contas de utilizador, as contas de computador fornecem um meio de autenticação e de auditoria do acesso do computador à rede, para além do acesso aos recursos do domínio.

As contas de computador são criadas no utilitário Computadores e utilizadores do Active Directory.

Os grupos Os grupos são um objecto da Active Directory. Os grupos são compostos por utilizadores ou computadores.

Aos grupos podem ser atribuídas permissões facilitando a tarefa de administração de segurança. Os grupos são também uma associação lógica de objectos. Um grupo pode representar um determinado conjunto de utilizadores de um departamento de uma empresa ou utilizadores que desempenham determinadas funções na rede. Para ilustrar o primeiro caso temos um grupo composto pelos utilizadores do departamento de contabilidade, no segundo caso o grupo de administradores de uma empresa. Estas considerações aplicam-se inclusivamente aos grupos formador por contas de computadores. Os grupos pode juntar computadores que desempenham as mesma tarefas na rede (controladores de domínio), ou outro tipo de organização lógica ( como por exemplo a sua localização geográfica.

10-21


C – Sistema de encriptação de ficheiros

Funcionamento do sistema de encriptação de ficheiros

Sistema de encriptação de ficheiros (EFS) O EFS apenas encripta ficheiros. Embora o Windows possibilita a encriptação de pastas e subpastas, na realidade apenas são encriptados os ficheiros nelas contidos.

Cada ficheiro tem uma chave de encriptação de ficheiros exclusiva, a qual é posteriormente utilizada para desencriptar os dados do ficheiro. A chave de encriptação de ficheiros está, em si mesma, encriptada, protegida pela chave pública de utilizador correspondente certificado EFS do utilizador. A chave de encriptação de ficheiros está também protegida pela chave pública de um agente de recuperação autorizado.

Encriptação de ficheiros Os utilizadores podem encriptar um ficheiro ou uma pasta, através da definição da propriedade de encriptação para ficheiros e pastas, da mesma forma como são definidos outros atributos, tais como, só de leitura, comprimido ou oculto. Se um utilizador encriptar uma pasta, todos os ficheiros e subpastas criadas ou adicionadas à pasta encriptada são automaticamente encriptadas. Recomenda-se aos utilizadores que encriptem ao nível da pasta.

10-22


Não é possível encriptar ficheiros comprimidos. Além disso, as pastas marcadas para encriptação não estão na realidade encriptadas. Apenas os ficheiros contidos na pasta são encriptados. No Explorador do Windows aceda às propriedades do ficheiro . No separador Geral... Execute um clique em Avançadas... Na janela Atributos avançadas encontra várias opções para o ficheiro

10-23


10-24

Marque a opção Encriptar o conteúdo para proteger os dados. Execute um clique em OK para encriptar os dados.


Desencriptação de ficheiros Pode desencriptar um ficheiro limpando a caixa de verificação Encriptação na caixa de diálogo Propriedades do ficheiro. Uma vez desencriptado, o ficheiro permanece desencriptado até que volte a encriptá-lo.

Uma vez que um utilizador tenha encriptado um ficheiro, não será necessária a desencriptação deste desde que o utilizador seja o único a precisar de aceder ao ficheiro. O único motivo pelo qual um utilizador pode precisar de desencriptar um ficheiro é quando pretende partilhá-lo com outro utilizador ou tornar o ficheiro disponível para os utilizadores da rede.

Recuperação de dados A política de recuperação refere-se à política a que os utilizadores de um ambiente informático aderem quando recuperam dados encriptados. Uma política de recuperação é um tipo de política de chave pública. Quando o primeiro controlador de domínio é configurado é automaticamente implementada uma política de recuperação para o domínio .O administrador de domínio é designado como agente de recuperação Pode utilizar o snap-in da Política de grupo para definir a política de recuperação dos dados para servidores membros do domínio ou para servidores autónomos ou de grupo de trabalho. Tanto pode pedir um certificado de recuperação como exportar e importar os seus certificados de recuperação. Poderá pretender delegar a administração da política de recuperação a um administrador designado. Apesar de se aconselhar a limitação do número de pessoas autorizadas a recuperar dados encriptados, permitir a acção de múltiplos administradores como agentes de recuperação fornece uma fonte de recuperação alternativa, caso tal se torne necessário. Poderá necessitar de recuperar os dados recorrendo a um agente de recuperação se:

Um utilizador deixa a empresa. Um utilizador perde a chave privada. Uma agência de segurança efectuar um pedido.

10-25


10-26

ra recuperar um ficheiro, o agente de recuperação:

ros e a chave privada desse sistema. Restaure os ficheiros de cópia de segurança.

gentes de recuperação

de recuperação é um administrador autorizado a desencriptar dados encriptados por outro tilizador.

Pa

Efectue cópias de segurança dos ficheiros encriptados. Mova as cópias de segurança para um sistema seguro. Importe o certificado de recuperação dos fichei

A Um agenteu

O agente de recuperação tem um certificado especial e uma chave privada associada que permitem a

cuperação de dados no âmbito de influência da política de recuperação. re


D – Segurança dos recursos de rede

As permissões NTFS e a segurança dos recursos de rede

Permissões NTFS As permissões NTFS especificam quais os utilizadores e grupos que podem aceder a ficheiros e pastas e o tipo de acesso detêm sobre os mesmos. Quando configura permissões, especifica o nível de acesso para grupos e utilizadores. Por exemplo, pode permitir que um utilizador leia o conteúdo de um ficheiro, permitir que outro utilizador faça alterações ao ficheiro e impedir que todos os outros utilizadores tenham acesso ao ficheiro. Pode definir permissões semelhantes para impressoras, para que determinados utilizadores possam configurar a impressora e outros possam apenas imprimir nela.

Permissões de pastas

Cada pasta possuí um conjunto de permissões específicas que podem ser atribuídas a utilizadores ou grupos. Essas permissões aplicam-se às subpastas e ficheiros contidas dentro da pasta.

10-27


Permissões de ficheiros As permissões de ficheiros controlo o tipo de acesso que os utilizadores têm sobre os ficheiros.

Nota: As permissões de ficheiros sobrepõem-se às permissões de pastas.

10-28


10-29


Listas de Controlo de Acesso (Access Control Lists) Cada ficheiro ou pasta num volume NTFS possui uma Lista de controlo de acesso (ACL). As ACLs contêm uma lista de todos os utilizadores que têm acesso às pastas ou aos ficheiros e o tipo de controlo que têm sobre este.

As listas de controlo de acesso contêm registos, as entradas de controlo de acesso (ACE), que possuem as contas de utilizador e grupos. O tipo de acesso ou recurso está também especificado na entrada.

Propriedades das permissões NTFS A atribuição de diferentes permissões a grupos e utilizadores pode gerar algumas situações de conflito de permissões.

10-30


Em caso de conflito de permissões aplicam-se as seguintes directivas:

As permissões são comulativas As permissões de ficheiros anulam as permissões de pastas

As Permissões de acesso negado anulam as restantes permissões

Atribuir permissões Para atribuir permissões, seleccione o ficheiro ou directoria e aceda às suas propriedades. O separador Segurança contêm a lista de utilizadores e grupos e as respectivas permissões atribuídas.

10-31


10-32

Execute um clique em Adicionar para visualizar a lista de utilizadores e grupos. Seleccione um ou vários utilizadores da lista.


Na secção Permissões seleccione as permissões que pretende atribuir ou negar ao utilizador escolhido.

10-33


E –Auditoria

Auditoria O processo de auditoria consiste em registar a actividade de utilizadores e tarefas do sistema que ocorrem num computador num registo de segurança. Este tipo de actividades e tarefas são designados por eventos.

A auditoria de segurança é uma função do Windows 2000 que monitoriza vários eventos relacionados com a segurança. O sistema de monitorização de eventos é necessário para detectar utilizadores estranhos e para detectar tentativas de comprometer os dados no sistema. Um exemplo de um evento passível de ser auditado é uma tentativa de início de sessão falhada. Os tipos de eventos mais comuns que são auditados são:

Acesso a objectos, como ficheiros e pastas Gestão de contas de grupo e de utilizador

Quando os utilizadores iniciam e terminam a sessão no sistema

Para além de auditar eventos relacionados com a segurança, o Windows 2000 gera um registo de segurança e fornece uma forma de visualizar os eventos de segurança relatados no registo. A auditoria de um objecto local cria uma entrada no registo de segurança. As entradas de segurança que aparecem no registo de segurança dependem das categorias de auditoria seleccionadas para a política de auditoria. Para eventos que respeitam ao acesso a objectos, as entradas no registo de segurança dependem também das definições da auditoria definidas para cada objecto. Por exemplo, se a sua política e auditoria especificar a auditoria de ficheiros e pastas e as propriedades de um ficheiro especificarem que as eliminações falhadas desse ficheiro devem ser auditadas, cada tentativa falhada de um utilizador para apagar o ficheiro aparecerá no registo de segurança. Pode ver o registo de segurança utilizando o Visualizador de eventos.

10-34


10-35

É importante definir apropriadamente o tamanho do registo de segurança. Uma vez que o registo de segurança é limitado em tamanho, deve seleccionar as categorias de eventos a serem submetidos a uma auditoria atenta. Deve igualmente tomar em consideração a quantidade de espaço em disco que pretende disponibilizar para o registo de segurança. O tamanho máximo está definido no Visualizador de eventos. Os registos de segurança contêm entradas que contêm a seguinte informação:

O evento Origem do evento

O sucesso ou insucesso do acção praticada

A data e hora do evento

Finalmente, a função de auditoria do Windows 2000 gera uma pista de auditoria para ajudar a controlar todos os eventos de administração de segurança que ocorrem no sistema. Por exemplo, se um administrador alterar a política de auditoria para que as tentativas de início de sessão falhadas já não sejam auditadas, a pista de auditoria apresentará este evento.

Estabelecer uma política de auditoria

Ao criar uma política de auditoria o administrador define quais as categorias de eventos que devem ser documentados pelo Windows no registo de segurança. Antes de implementar a auditoria, deverá decidir-se sobre a política de auditoria. Uma política e auditoria especifica categorias de eventos relacionados com a segurança que deseja submeter a uma auditoria. Quando o Windows 2000 é instalado pela primeira vez, todas as categorias de auditoria são desligadas. Ligando as diferentes categorias de auditoria de eventos, é possível implementar uma política de auditoria que sirva as necessidades e segurança da sua organização. As categorias de auditoria são ligadas com o auxílio da Gestão do computador. As categorias e eventos que pode escolher para submeter a auditoria são:

Auditoria dos eventos da conta de início de sessão

Auditoria da gestão de conta

Auditoria dos serviços de acesso ao directório

Auditoria de eventos de início de sessão

Auditoria do acesso a objectos

Alteração da política de auditoria

Auditoria da utilização de privilégios

Auditoria dos processos de rasteio

Auditoria de eventos do sistema


Se escolher efectuar a auditoria do acesso a objectos como parte da política de auditoria, deverá ligar a categoria de auditoria do acesso aos serviços de directório (para efectuar a auditoria de objectos num controlador de domínio) ou a categoria de auditoria do acesso a objectos (para efectuar a auditoria de objectos num servidor membro). Uma vez ligada a categoria correcta de acesso ao objecto, pode utilizar cada uma das Propriedades de cada objecto individual para especificar o êxito ou falha da auditoria para as permissões concedidas a cada grupo ou utilizador.

Como estabelecer uma política de auditoria O administrador de sistema necessita de determinar quais os tipos de categorias de eventos que devem ser registados e os computadores onde deverá ser mantido o registo de segurança.

10-36


Implementação da auditoria O tipo de auditoria depende da função desempenhada pelo computador no qual é configurada a política de auditoria.

Nos servidores e postos de trabalho é definida uma política de auditoria que se aplica apenas a esse computador.

Nos controladores de domínio pode ser definida uma política que é implementada para todos os controladores do domínio. Os requisitos para implementar uma política de auditoria são os seguintes:

É necessário possuir o direito de utilizador de Gerir auditoria e registo de segurança. Os ficheiros e pastas necessitam de estar armazenados num volume NTFS.

O processo de implementação de auditoria é composto em duas partes:

1. Estabelecer a política de auditoria: Ao estabelecer uma política de auditoria são definidas as categorias de eventos a registar no registo de segurança.

2. Activar a auditoria em recursos específicos: Nos recursos pretendidos deve ser activado o processo

de auditoria

10-37


Definir uma política de auditoria Para definir uma política de auditoria execute o seguinte procedimento: No utilitário Computadores e utilizadores do Active Directory aceda às propriedades da pasta Domain Controlers.

No separador Política de grupo execute um duplo clique em Default Domain Controlers Policy.

10-38


No utilitário Política de grupo pode estabelecer quais os eventos a registar por parte dos controladores de domínio.

Execute um clique em Política de auditoria para visualizar as categorias de eventos. Escolha a categoria de eventos que pretende auditar. Na janela Definição de política de segurança escolha as opções pretendidas.

10-39


Registar o acesso a ficheiros e pastas Para implementar a auditoria em ficheiros e pastas aceda às propriedades do objecto no Explorador do Windows.

10-40


Em Segurança execute um clique em Avançadas...

Escolha um utilizador ou grupo de utilizadores da lista em Seleccionar Utilizadores, Computadores ou Grupo.

Seleccione da lista de acesso os eventos a registar.

10-41


F – Gestão de sistemas de segurança em servidores Web

Introdução O planeamento de sistemas seguros para Web sites em servidores Windows assenta em dois níveis de segurança: segurança ao nível do sistema operativo e segurança dos serviços de informação da Internet IIS. Ao nível do sistema operativo são criadas contas de utilizador e contas de grupo. Aos utilizadores e grupos são atribuídas diferentes permissões de acesso a pastas e ficheiros publicados num site. Para utilizadores e grupos são igualmente atribuídas políticas que definem a forma como os sistemas de segurança actuam para as operações desenvolvidas. No que diz respeito ao nível de segurança do servidor Web, são aqui configurados os direitos de acesso a conteúdos, os processos de autenticação de utilizadores e privilégios de operador para a gestão do web site.

O objectivo destes dois níveis de segurança é o de garantir que a informação existente nos web sites de um servidor seja apenas acessível aos utilizadores autorizados a consultar ou alterar a informação. Através destes mecanismos, é igualmente possível implementar sistemas de gestão remota de web sites para utilizadores autorizados. A segurança entre o servidor Windows e o Internet Information Services (IIS) é integrada. O modelo de segurança integrado dá a possibilidade de utilizar conjuntamente os mecanismos de autenticação do sistema operativo baseado em contas de utilizador e grupos e os métodos de autenticação disponibilizados pelo IIS. Antes de configurar os mecanismos de segurança do servidor web é necessário realizar algumas tarefas a nível do sistema operativo:

Criar contas de utilizador e grupos. Atribuir permissões para acesso a ficheiros e pastas. Definir políticas de grupo para utilizadores e grupos.

10-42


Contas de utilizador e grupos

Autenticação e autorização Na terminologia dos sistemas de segurança existem dois conceitos fundamentais relativos a contas de utilizador: autenticação e autorização. A autenticação é o processo de verificar a identidade de um determinado utilizador. As contas de utilizador são geralmente uma combinação entre o nome do utilizador (um identificador único dentro de um determinado sistema) e uma palavra-passe secreta só conhecida por essa pessoa. A utilização em simultâneo destes dois elementos no sistema comprova a identidade de uma pessoa. Em sistemas de segurança mais avançados pode ser utilizado outro meio de identificação que substitua a palavra-passe como o cartão magnético ou a impressão digital de uma pessoa. A autorização é um mecanismo do sistema de segurança para determinar o tipo de acesso que um utilizador tem em relação a determinado recurso. Por exemplo, quando um utilizador tenta modificar um ficheiro, o sistema de segurança verifica se esse utilizador dispõe das permissões necessárias para efectuar essa operação.

Relacionado como o conceito de autorização, esta o conjunto de acções permitidas a um utilizador a determinado recurso. Estas acções permitidas são designadas por permissões. As permissões são atribuídas a utilizadores e grupos. Cada recurso existente num computador ou rede Windows dispõe de um lista com os utilizadores e grupos que têm acesso ao recurso juntamente com as permissões em relação a esse recurso.

Contas locais e contas de domínio Utilizadores e grupos podem ser determinados a nível local ou com o âmbito de domínio. Contas locais são específicas de um determinado computador e não são válidas em outros computadores da rede ou no domínio sem que sejam especificamente criadas permissões especiais para essas contas. As contas de domínio, por seu turno, são válidas em todos os computadores que fazem parte desse domínio.

10-43


Quando se trata de configurar mecanismos de segurança num servidor web com o sistema operativo Windows há que ter em mente as seguintes considerações sobre as contas locais e contas de domínio:

As contas locais devem ser utilizadas quando os servidor web IIS não faz parte de um domínio específico ou quando é desejável limitar o acesso ao computador onde se encontra o servidor IIS instalado.

Quando os recursos partilhados pelo IIS estão disponíveis em vários computadores do domínio

torna-se necessário que as contas utilizadas tenham o âmbito de domínio. Existem três contas de utilizador importantes quando se instala o IIS. Local System: Todas as aplicações e serviços tem de ser executadas com base numa conta de utilizador. A conta Local System detêm permissões suficientes para executar aplicações ou iniciar serviços. Esta conta não corresponde a um utilizador em si, representa conceptualmente o sistema. IUSR_NomedoComputador: Conta de convidado utilizada pelos utilizador anónimos para consultarem os web sites disponíveis no servidor IIS. Se esta conta for desactivada, os utilizadores que não efectuem o processo de autenticação quando consultam um site não poderão visualizar o seu conteúdo. IWAM_NomedoComputador: Conta utilizada por aplicações web que não são executadas no mesmo processo do Internet Information Services. As aplicações que não são executadas no mesmo processo do IIS armazenadas noutra localização de memória. Se a esta conta for desactivada este tipo de aplicações não é iniciada. A conta IUSR_Nomedo computadore IWAM_NomedoComputador são membros do grupo Convidados do sistema operativo. A palavra passe destas contas nunca expira e estas não podem ser alteradas por

10-44


10-45

utilizadores normais. O administrador do sistema operativo pode efectuar, se for necessário, alterações a estas contas. O Internet Information Services pode ser configurado para utilizar contas diferentes.


Gerir a conta de execução do IIS Os Serviços de Informação da Internet (IIS) e o serviço de Indexação utilizam a conta de sistema local para utilizarem os recursos do sistema operativo. A conta de sistema possui os privilégios suficientes para que os serviços de Internet possam ser iniciados. É possível designar outra conta para a execução do IIS. Esta situação podem ocorrer quando o administrador de sistemas deseja manter um controlo específico sobre o conjunto de tarefas que o software de servidor web pode efectuar no sistema operativo. Este tipo de controlo justifica-se pela vulnerabilidade e exposição que estes serviços têm na Internet. É essencial, no entanto, conferir à nova conta, os privilégios suficientes para iniciar o IIS. Para alterar a conta utilizada pelo serviço IIS: 1. Aceda a consola Gestão de computadores, disponível e, Ferramentas administrativas, no painel de controlo. 2. Expanda a opção Serviços e aplicações.

3. Em Serviços, seleccione o serviço Administração do IIS e escolha a opção Propriedades do menu de contexto. 4. No separador Iniciar Sessão existem duas opções:

10-46


Iniciar sessão como conta do sistema local Iniciar como. Esta conta:

Se seleccionar a opção Esta conta será necessário escolher uma conta de utilizador do computador, para ser utilizada pelo serviço.

10-47


Gerir a conta de convidado da Internet Um determinado site configurado no Internet Information Services pode ao mesmo tempo ter vários visitantes. Os visitantes consultam páginas e informação. Cada visitante utiliza internamente um conta de utilizador onde estão definidas as permissões e direitos para utilizadores anónimos. A conta de convidado utilizada para os utilizadores anónimos da Internet é gerida ao nível da consola do Internet Information Services. No IIS podem ser definidas as seguintes tarefas: Especificar a conta a utilizar para o acesso anónimo. Especificar se a palavra passe deve ser ou não gerida pelo IIS. Para alterar a conta de utilizador anónimo do para todos os web sites e directórios do servidor web: 1. Na consola Serviços de Informação da Internet, escolha Web sites do servidor web. No menu de contexto seleccione a opção Propriedades.

2. No separador Segurança de directórios, escolha Editar, na secção Controlo de acesso anónimo.

10-48


3. Marque a opção Acesso anónimo e escolha a conta de utilizador para o acesso anónimo ao site.

A conta definida para acesso anónimo será utilizada por todos os sites existentes no servidor IIS. A opção Permitir o controlo de palavra-passe pelo IIS determina que a palavra-passe para esta conta é gerida pelo IIS sendo este responsável pela geração de um código para este campo. Se for utilizada uma conta diferente à pré-definida pelo Windows, IUSR_NomedoComputador, então o administrador de sistema deve seleccionar as pastas e ficheiros e o tipo de acesso aos recursos da conta de acesso anónimo. Dado que utilizando o acesso anónimo todo o tipo de visitantes utiliza esta conta, apenas deve ser alterada em casos muito específicos que envolvam uma diminuição e não um aumento de direitos e privilégios no acesso.

10-49


10-50

Gerir a conta de aplicações Web As aplicações Web independentes do processo do servidor web utilizam recursos do sistema não controladas pelo IIS, mas sim pelo próprio sistema operativo. Este tipo de aplicações é assim criada para que o seu funcionamento não prejudique a disponibilidade de outros web sites existentes no servidor. Como utilizam recursos de forma independente, é atribuída a estas aplicações uma conta específica com permissões suficientes para serem executadas. A conta pré-definida do Windows para esta situação específica tem o nome de utilizador IWAM_NomedoComputador. A conta de execução de aplicações web independentes pode ser alterada pelo administrador de sistema. A criação ou definição de diferentes permissões para esta conta deriva da necessidade da própria aplicação necessitar de um tipo especial de acesso a certos recursos do sistema. Esta conta pode ser gerida através do sistema operativo e do servidor web. No sistema operativo podem ser executadas as seguintes acções para esta conta:

Activar ou desactivar a conta. Desbloquear a conta depois desta ter sido bloqueada por razões de segurança. Alterar a pertença desta conta para outro grupo, alterando desta forma, os seus previlégios direitos e

permissões. Ao nível do IIS a conta das aplicações Web independentes pode ser alterada. Para isso efectue o seguinte procedimento: 1. No opção Executar, escreva MMC seguido de OK. É apresentada uma consola vazia. 2. No menu Ficheiro, escolha a opção Adicionar/Remover snap-in… 3. No separador Snap-ins autónomos, pressione o botão Adicionar. 4. Escolha a opção Serviços de Componentes e pressione o botão Adicionar.


5. Em seguida pressione no botão Fechar. 6. Na janela da consola escolha IIS Out-of-Process Pooled Applications. Esta opção representa a configuração das aplicações webs independentes do processo de execução do servidor IIS.

7. No menu de contexto, escolha Propriedades. 8. No separador Identidade escolha a conta de utilizador para estas aplicações-

10-51


Ao seleccionar esta opção todas as aplicações web utilizarão esta conta.

10-52


10-53

Trabalhar com permissões de ficheiros e pastas Os web sites publicados no servidor IIS são compostos por directorias virtuais e ficheiros. As directorias virtuais correspondem a pastas existentes no disco rígido do servidor ou num outro computador da rede local. Cada pasta e ficheiro contém uma lista de controlo de acessos onde constam os grupos e utilizadores e o tipo de acesso ao recurso. As permissões definem a forma como as pastas e os ficheiros podem ser acedidos pelo utilizador. No caso de directórios virtuais, as permissões para cada tipo de utilizador ou grupo são definidas ao nível do sistema operativo. Existem um conjunto básico de permissões que pode ser atribuído a utilizadores e grupos. Na tabela seguinte são apresentadas as permissões básicas e a forma como se manifestam quando atribuídas ao nível de pastas e ficheiros.

Permissão Forma como afecta o acesso a pastas

Forma como afecta o acesso a ficheiros

Read Permite visualizar e lista ficheiros e pastas

Permite visualizar o conteúdo de um ficheiro.

Write Permite adicionar ficheiros e pastas

Permite modificar e apagar o conteúdo de um ficheiro.

Read and Execute Permite visualizar e listar ficheiros e pastas e executar ficheiros. Esta permissão é transmitida aos ficheiros e pastas que se encontram na pasta à qual a permissão é atribuída.

Permite visualizar o conteúdo de um ficheiro e executar ficheiros.

List Folder Contents

Permite visualizar e listar os ficheiros e pastas.

Não disponível

Modify Permite visualizar e alterar ficheiros e pastas. É possível também apagar pastas.

Permite ler e escrever no ficheiro. É possível apagar o ficheiro.

Full Control Permite ler,escrever, alterar e apagar ficheiros e pastas.

Permite ler, escrever, alterar e apagar o ficheiro.

Na criação de um web site há que ter em conta os seguintes aspectos relativos às permissões de pastas e ficheiros:

• A permissão Read é a única necessária para executar scripts. A permissão Execute deve ser apenas utilizada no caso de existirem ficheiros executáveis.

• Ao conferir a permissão Write a um ficheiro, o utilizador pode ler e apagar o conteúdo do ficheiro.

• A permissão Full Control de um pasta dá a possibilidade ao utilizador de apagar ficheiros

independentemente das permissões existentes num ficheiro. Os seguintes utilizadores e grupos são utilizados pelo IIS para configurar o acesso a pastas e ficheiros. Administrators Os utilizadores deste grupo podem gerir os recursos do IIS.


10-54

Creator Owner Representa o utilizador que criou uma determinada pasta ou ficheiro. Este utilizador possui a permissão Full Control sobre o ficheiro. System Representa a conta de sistema. Ao atribuir permissões a esta conta, o sistema tem acesso ao recurso escolhido. Everyone Representa qualquer utilizador que aceda ao computador. Os vários tipos de acesso podem ser: dial-up(ligação remota), network(via rede local), interactive (computador local), authenticated user, (utilizadores previamente autenticados). Users Utilizadores normais de contas existentes no computador local. Este grupo é utilizado quando o servidor faz parte de um Workgroup. Este grupo incluí as contas de utilizador anónimo da Internet e a conta para as aplicações web. Quando a permissão Read é atribuída a estes grupos, todas as o pessoas com acesso local ou através da Internet podem visualizar as pastas e ficheiros onde conste esta permissão. Se for necessário restringir o acesso a determinadas pastas ou ficheiros publicados no IIS, devem então ser criados utilizadores e grupos especiais e a estes serem atribuídas as permissões necessárias para o acesso desejado a cada um dos recursos. A seguinte tabela mostra as permissões que devem ser atribuídas a pastas baseadas no tipo de informação que contêm. A tabela revela as permissões necessárias para que o conteúdo seja correctamente visualizado pelo utilizador. Tipo de ficheiro Extensão Permissão Aplicações Common Gateway Interface, scripts e ficheiros executáveis.

.exe, . DLL, .cmd Everyone (Execute) Administrators (Full Control) System (Full Control)

Conteúdo dinâmico .asp, .aspx, .js, .vbs, .pl Everyone (Read) Administrators (Full Control) System (Full Control)

Ficheiros Include .inc, .shtm, . stm , .shtml Everyone (Read) Administrators (Full Control) System (Full Control)

Conteúdo Estático Ficheiros de imagem, ficheiros de texto, ficheiros html.

Everyone Read) Administrators (Full Control) System (Full Control)


Atribuir permissões de ficheiros e pastas O estabelecimento de mecanismos de segurança num web site envolve a configuração de opções no sistema operativo e no Internet Information Services. O primeiro passo será determinar qual o conteúdo que deve ser público e o que deve ser de acesso reservado a utilizadores autenticados. O conteúdo publico pode ser acedido por qualquer utilizador que visite o Web site. Se este estiver disponível na Internet o grupo de possíveis utilizadores é bastante vasta. O conteúdo reservado é disponibilizado apenas a utilizadores autenticados. Os utilizadores autenticados são aqueles que introduzem o nome de utilizador e palavra-passe quando tentam aceder à área reservada do site. O tipo de acesso ao recurso é determinada pela lista de controlo de acesso para pastas ou ficheiros, definida pelo administrador. A lista de controlo de acessos é compostas por contas de utilizador e grupos com as respectivas permissões de acesso para o recurso em causa. A separação entre uma área pública de um site e uma área reservada é determinada, em primeiro lugar ao nível do sistema operativo. As permissões para a distinção do acesso devem ser atribuídas ao nível de pastas. No explorador do Windows, aceda à caixa Properties e execute um clique no separador Security:

O separador Security mostra os utilizadores e grupos que tem acesso à pasta que se pretende partilhar. Se é necessário restringir o acesso da pasta a utilizadores autenticados há que retirar o grupo Users da lista

10-55


Names. A conta de acesso anónimo IUSRNomedocomputador faz parte deste grupo permitindo assim que utilizadores não identificados possam aceder ao conteúdo existente na pasta. Depois é necessário escolher os utilizadores que estão autorizados a consultarem esta pasta. Para adicionar um utilizador ou grupo execute um clique no botão Add.

Na caixa Select Users,Computers or Groups, escolha as contas que devem ter acesso à pasta. Depois de escolhidas pressione o botão OK. No separador Security defina depois o tipo de acesso que pretende dar a cada conta utilizando a caixa Permissions.

Políticas de grupo As políticas de grupo são um conjunto de configurações que são aplicadas a computadores e utilizadores. As políticas de grupo permitem automatizar a tarefas de atribuição de configurações de segurança a um conjunto de contas de utilizador ou computador que desempenham o mesmo papel numa rede de baseada em Windows 2000. Quanto ao âmbito das políticas de grupo, estas podem ser dividas em dois tipos: política local e política de domínio. Tal como a própria designação indica as políticas de grupo são definidas para um grupo de utilizadores ou computadores existente num domínio. As contas às quais são aplicadas as definições estão armazenadas na base de dados do Active Directory no controlador, ou controladores de domínio. As políticas locais aplicam-se ao computador ou a um conjunto de utilizadores existente na base de dados de segurança local do sistema operativo.

10-56


O mesmo computador pode estar sujeito a mais do que uma política de grupo. As politicas determinadas ao nível do domínio precedem as políticas de grupo. As políticas de grupo são ainda divididas em duas categorias: as que afectam computadores e as que afectam utilizadores. As políticas de computador são aplicadas durante o início do sistema, enquanto as politicas de utilizador são aplicadas após o processo de autenticação durante o início de sessão. A seguinte figura mostra as duas categorias de políticas de grupo:

Computer Configuration A secção Computer Configuration contém as definições do computador entre elas as definições gerais de segurança. Esta politica de grupo pode aplicar-se a um computador, ou a vários computadores de um domínio. A figura ilustra um política geral do domínio. User Configuration A secção User Configuration contém as definições relativas aos utilizadores. Estas permitem entre outras tarefas, definir a aparência do desktop, as definições das aplicações, scripts a executar no início ou fim de uma sessão, etc… Estas definições são aplicadas durante o início de uma sessão. Para criar uma nova política de grupo para os computadores de um domínio, execute o utilitário Active Directory Users and Computers:

10-57


Seleccione o domínio e escolha a opção Properties. Deste modo poderá aceder à caixa de propriedades do domínio.

10-58


O separador da caixa Group Policy mostra as políticas definidas para o domínio. Com a configuração de um novo domínio é criada automaticamente um política geral para os computadores do domínio. Para criar uma nova política de grupo escolha a opção New.

A ordem pela qual são apresentadas as políticas na caixa Group Policies Object determina a prioridade na aplicação das definições das políticas de grupo.

10-59


10-60

G– Gestão de sistemas de segurança em servidores IIS

Tipos de autenticação no servidor IIS

Autenticação anónima A autenticação anónima permite que os utilizadores tenham acesso a áreas públicas do Web site ou site de FTP, sem pedir que introduzam um nome de utilizador ou palavra-passe. Quando um utilizador tenta ligar aos Web sites ou sites de FTP públicos, o servidor Web atribui o utilizador à conta de utilizador denominada IUSR_nome do computador, onde nome do computador é o nome do servidor no qual o IIS está instalado.

Por predefinição, a conta IUSR_nome do computador é incluída no grupo de utilizadores convidados do Windows. Este grupo tem restrições de segurança, impostas por permissões de NTFS, que designam o nível de acesso e o tipo de conteúdo disponível para os utilizadores públicos. Se tiver vários sites no servidor, ou se tiver áreas do site que requerem diferentes privilégios de acesso, pode criar várias contas anónimas, uma para cada site, directório ou ficheiro da Web ou de FTP. Ao conceder diferentes permissões de acesso ou ao atribuir estas contas a grupos diferentes de utilizadores do Windows, pode conceder aos utilizadores o acesso anónimo a áreas diferentes do conteúdo público da Web e de FTP.

O IIS utiliza a conta IUSR_nome do computador da forma seguinte:

1. A conta IUSR_nome do computador é adicionada ao grupo de convidados do computador.

2. Quando um pedido for recebido, o IIS irá representar a conta do IUSR_nome do computador, antes de executar qualquer código ou de aceder a quaisquer ficheiros. O IIS pode representar a conta IUSR_nome do computador porque o IIS tem conhecimento do nome de utilizador e da palavra-passe para esta conta.

3. Antes de devolver uma página a um cliente, o IIS verifica as permissões de ficheiro e de directório do NTFS, para conferir se a conta IUSR_nome do computador tem permissão de acesso para o ficheiro.

4. Se for permitido o acesso, a autenticação é concluída e os recursos são disponibilizados para o utilizador.

5. Se não for permitido o acesso, o IIS tentará utilizar outro método de autenticação. Se não for seleccionado nenhum, o IIS devolve uma mensagem de erro "HTTP 403 Acesso negado" ao browser.

O método de autenticação base é um método standard amplamente utilizado para recolher as informações de nome de utilizador e de palavra-passe. A autenticação base funciona do seguinte modo:

1. O Web browser do utilizador apresenta uma caixa de diálogo onde os utilizadores introduzem os nomes de utilizador e as palavras-passe de conta do Windows 2000 anteriormente atribuídos.

2. O Web browser tenta então estabelecer uma ligação utilizando essas informações. (A palavra-passe é codificada em antes de ser enviada através da rede).

3. Se o servidor rejeitar as informações, o Web browser apresenta repetidamente a caixa de diálogo até o utilizador introduzir um nome de utilizador e palavra-passe válidos ou até fechar a caixa de diálogo.


10-61

4. Quando o servidor Web confirmar que o nome e a palavra-passe correspondem a uma conta de utilizador do Windows válida, é estabelecida a ligação.

Autenticação de texto implícita A autenticação de texto implícita oferece as mesmas funções da autenticação base mas inclui uma forma diferente de transmitir credenciais de autenticação. As credenciais de autenticação passam por um processo unívoco, frequentemente denominado hashing. O resultado do processo é denominado hash ou mensagem de texto implícita, não sendo possível a desencriptação. Ou seja, o texto original não pode ser decifrado a partir do hash, estamos assim perante um tipo de encriptação irreversível.

A autenticação de texto implícita funciona do seguinte modo:

1. O servidor envia ao browser determinadas informações que serão utilizadas no processo de autenticação.

2. O browser adiciona estas informações ao nome de utilizador e palavra-passe, além de mais outras informações, executando um hash. As informações adicionais ajudarão a impedir que alguém copie o valor do hash e o utilizem novamente.

3. O hash resultante é enviado através da rede para o servidor, juntamente com as informações adicionais em texto simples.

4. O servidor adiciona as informações suplementares à cópia de texto simples da palavra-passe do cliente que possui e submete todas as informações a um hash.

5. O servidor compara então o valor do hash recebido com o que acabou de executar.

6. O acesso só é concedido se os dois números forem absolutamente idênticos.

As informações suplementares são adicionadas à palavra-passe antes da execução do hash, para que ninguém capture o hash da palavra-passe, utilizando-o para representar o verdadeiro cliente. São adicionados valores que ajudam a identificar o cliente, o computador do cliente ou o domínio ao qual o cliente pertence. É igualmente adicionada uma marca de hora para impedir que um cliente utilize uma palavra-passe depois de ter sido revogada.


10-62

Autenticação integrada do Windows A autenticação integrada do Windows (anteriormente denominada de NTLM ou autenticação Windows NT Challenge/Response) é uma forma protegida de autenticação porque o nome do utilizador e a palavra-passe não são enviados através da rede. Quando activar a autenticação integrada do Windows, o browser do utilizador demonstra o conhecimento da palavra-passe através de um intercâmbio criptográfico com o servidor Web, envolvendo hashing.

A autenticação integrada do Windows pode utilizar o protocolo de autenticação Kerberos v5 e o seu

próprio protocolo de autenticação de desafio/resposta. Se os serviços de directório estiverem instalados no servidor e o browser for compatível com o protocolo de autenticação Kerberos v5, é utilizado o protocolo Kerberos v5 e o protocolo de desafio/resposta; de outro modo, é utilizado apenas o protocolo de desafio/resposta.

O protocolo de autenticação Kerberos v5 é uma função da arquitectura de serviços distribuídos do Windows . Para a autenticação do Kerberos v5 ser bem sucedida, o cliente e o servidor têm ambos de ter uma ligação fidedigna a um KDC (Key Distribution Center) e ser compatíveis com o utilitário de serviços de directório. Para obter mais informações sobre o protocolo, consulte a documentação do Windows.

A autenticação integrada do Windows funciona do seguinte modo:

Ao contrário da autenticação base, não pede inicialmente a introdução de um nome de utilizador e de uma palavra-passe. As informações actuais do utilizador do Windows existentes no computador cliente são utilizadas para a autenticação integrada do Windows.

No entanto, se o intercâmbio de autenticação falhar inicialmente a identificação do utilizador, o browser pedirá ao utilizador que introduza um nome de utilizador e palavra-passe de conta de utilizador do Windows, que será processado utilizando a autenticação integrada do Windows.

O Internet Explorer repetirá o pedido ao utilizador até ele introduzir um nome de utilizador e palavra-passe válidos ou até fechar a caixa de diálogo do pedido.

Autenticação de certificados As funcionalidades de cetificado digitais podem igualmente ser utilizadas através da tecnologia SSL (Secure Sockets Layer) do servidor Web, para dois tipos de autenticação. Pode utilizar um certificado de servidor para permitir que os utilizadores autentiquem o Web site antes de transmitirem informações pessoais, como um número de cartão de crédito. Além disso, pode utilizar certificados de cliente para autenticar as informações dos utilizadores requerentes no Web site. O SSL procede à autenticação pela verificação do conteúdo de uma identificação digital encriptada submetida pelo Web browser do utilizador, durante o processo de início de sessão. (Os utilizadores obtêm certificados de cliente a partir de uma organização fidedigna de terceiros.) Os certificados do servidor normalmente contêm informações sobre a empresa e a organização que emitiram o certificado. Os certificados do cliente normalmente contêm informações de identificação sobre o utilizador e a organização que emitiram o certificado.


Activar a autenticação num servidor IIS Qualquer método de autenticação, ou conjunto de métodos, pode ser activado por qualquer Web site

1. No snap-in do IIS (Serviços de informação Internet - Internet Information Services), seleccione um site, directório ou ficheiro, e abra as respectivas folhas de propriedades.

2. Seleccione a folha de propriedades Directory Security Sob Acess Control , clique em Edit.

10-63


3. Na caixa de diálogo Authentication Methods seleccione um ou mais métodos apropriados.

10-64


12-1

Unidade 12 Auditoria Objectivos pedagógicos da unidade:

Compreender o conceito de auditoria num sistema informático.

Estabelecer uma política de auditoria.

Saber implementar uma política de auditoria.

Saber registar o acesso a ficheiros e pastas.

Sumário: O processo de auditoria informática permite identificar potenciais riscos de segurança ou registar acessos não autorizados a serviços ou a informação. Esta unidade tem por objectivo dar a conhecer o processo de implementação de uma política de auditoria e registo de acesso a pastas e ficheiros. Finalmente, será utilizado o Visualizador de Eventos para analisar os dados recolhidos de um processo de auditoria.


12-2

A - Conceitos básicos sobre auditoria

Auditoria O processo de auditoria consiste em registar as actividades dos utilizadores e tarefas do sistema que ocorrem num computador num registo de segurança. Este tipo de actividades e tarefas são designados por eventos.

A auditoria de segurança é uma função do Windows 2000 que monitoriza vários eventos relacionados com a segurança. O sistema de monitorização de eventos é necessário para detectar utilizadores estranhos e para detectar tentativas de comprometer os dados no sistema. Um exemplo de um evento passível de ser auditado é uma tentativa de início de sessão falhada. Os tipos de eventos mais comuns que são auditados são:

Acesso a objectos, como ficheiros e pastas Gestão de contas de grupo e de utilizador

Quando os utilizadores iniciam e terminam a sessão no sistema

Para além de auditar eventos relacionados com a segurança, o Windows 2000 gera um registo de segurança e fornece uma forma de visualizar os eventos de segurança relatados no registo. A auditoria de um objecto local cria uma entrada no registo de segurança. As entradas de segurança que aparecem no registo de segurança dependem das categorias de auditoria seleccionadas para a política de auditoria. Para eventos que respeitam ao acesso a objectos, as entradas no registo de segurança dependem também das definições da auditoria definidas para cada objecto. Por exemplo, se a sua política e auditoria especificar a auditoria de ficheiros e pastas e as propriedades de um ficheiro especificarem que as eliminações falhadas desse ficheiro devem ser auditadas, cada tentativa falhada de um utilizador para apagar o ficheiro aparecerá no registo de segurança. Pode ver o registo de segurança utilizando o Visualizador de eventos. É importante definir apropriadamente o tamanho do registo de segurança. Uma vez que o registo de segurança é limitado em tamanho, deve seleccionar as categorias de eventos a serem submetidos a uma


12-3

auditoria atenta. Deve igualmente tomar em consideração a quantidade de espaço em disco que pretende disponibilizar para o registo de segurança. O tamanho máximo está definido no Visualizador de eventos. Os registos de segurança contêm entradas que contêm a seguinte informação:

O evento Origem do evento

O sucesso ou insucesso do acção praticada

A data e hora do evento

Finalmente, a função de auditoria do Windows 2000 gera uma pista de auditoria para ajudar a controlar todos os eventos de administração de segurança que ocorrem no sistema. Por exemplo, se um administrador alterar a política de auditoria para que as tentativas de início de sessão falhadas já não sejam auditadas, a pista de auditoria apresentará este evento.

Políticas de auditoria Ao criar uma política de auditoria o administrador define quais as categorias de eventos que devem ser documentados pelo Windows no registo de segurança. Antes de implementar a auditoria, deverá decidir-se sobre a política de auditoria. Uma política e auditoria especifica categorias de eventos relacionados com a segurança que deseja submeter a uma auditoria. Quando o Windows 2000 é instalado pela primeira vez, todas as categorias de auditoria são desligadas. Ligando as diferentes categorias de auditoria de eventos, é possível implementar uma política de auditoria que sirva as necessidades e segurança da sua organização. As categorias de auditoria são ligadas com o auxílio da Gestão do computador. As categorias e eventos que pode escolher para submeter a auditoria são:

• Auditoria dos eventos da conta de início de sessão

• Auditoria da gestão de conta

• Auditoria dos serviços de acesso ao directório

• Auditoria de eventos de início de sessão

• Auditoria do acesso a objectos

• Alteração da política de auditoria

• Auditoria da utilização de privilégios

• Auditoria dos processos de rasteio

• Auditoria de eventos do sistema


12-4

Se escolher efectuar a auditoria do acesso a objectos como parte da política de auditoria, deverá ligar a categoria de auditoria do acesso aos serviços de directório (para efectuar a auditoria de objectos num controlador de domínio) ou a categoria de auditoria do acesso a objectos (para efectuar a auditoria de objectos num servidor membro). Uma vez ligada a categoria correcta de acesso ao objecto, pode utilizar cada uma das Propriedades de cada objecto individual para especificar o êxito ou falha da auditoria para as permissões concedidas a cada grupo ou utilizador.

Como estabelecer uma política de auditoria O administrador de sistema necessita de determinar quais os tipos de categorias de eventos que devem ser registados e os computadores onde deverá ser mantido o registo de segurança.


12-5

B - Implementação de auditorias

Implementação de auditorias O tipo de auditoria depende da função desempenhada pelo computador no qual é configurada a política de auditoria.

Nos servidores e postos de trabalho é definida uma política de auditoria que se aplica apenas a esse computador.

Nos controladores de domínio pode ser definida uma política que é implementada para todos os controladores do domínio. Os requisitos para implementar uma política de auditoria são os seguintes:

É necessário possuir o direito de utilizador de Gerir auditoria e registo de segurança. Os ficheiros e pastas necessitam de estar armazenados num volume NTFS.

O processo de implementação de auditoria é composto em duas partes:

1. Estabelecer a política de auditoria: Ao estabelecer uma política de auditoria são definidas as categorias de eventos a registar no registo de segurança.

2. Activar a auditoria em recursos específicos: Nos recursos pretendidos deve ser activado o processo

de auditoria


12-6

Definir uma política de auditoria Para definir uma política de auditoria execute o seguinte procedimento: No utilitário Computadores e utilizadores do Active Directory aceda às propriedades da pasta Domain Controlers.

No separador Política de grupo execute um duplo clique em Default Domain Controlers Policy. No utilitário Política de grupo pode estabelecer quais os eventos a registar por parte dos controladores de domínio.


12-7

Execute um clique em Política de auditoria para visualizar as categorias de eventos. Escolha a categoria de eventos que pretende auditar. Na janela Definição de política de segurança escolha as opções pretendidas.


12-8

Registar o acesso a ficheiros e pastas

Para implementar a auditoria em ficheiros e pastas aceda às propriedades do objecto no Explorador do Windows.


12-9

Em Segurança execute um clique em Avançadas...

Escolha um utilizador ou grupo de utilizadores da lista em Seleccionar Utilizadores, Computadores ou Grupo.

Seleccione da lista de acesso os eventos a registar.


13-1

Unidade 13 Segurança do protocolo IP Objectivos pedagógicos da unidade:

Conhecer o protocolo IPSec- Internet Protocol Security.

Saber quais os objectivos do IPSec.

Saber o que é uma política IPSec.

Adicionar e configurar políticas IPSec.

Definir regras para políticas IPSec.

Trabalhar com filtros IPSec.

Sumário: O IPSec-Internet Protocol Security é um protocolo de segurança que utiliza a criptografia para estabelecer comunicações seguras em redes TCP/IP. Este protocolo é bastante importante na implementação das redes virtuais privadas. Nesta unidade serão apresentados os conceitos básicos sobre o funcionamento deste protocolo. Para utilizar as funcionalidades IPSec, o sistema operativo Windows necessita de ser configurado com políticas IPSec. Estas políticas estabelecem as regras de comunicação entre os computadores que utilizam esta tecnologia. Serão, nesta unidade, descritos os passos para configurar estas políticas e definir as regras necessárias a uma comunicação segura.


13-2

A - Conceitos básicos sobre a segurança do protocolo IP

O que é a segurança do protocolo IP (IPSec) A segurança do protocolo IP (IPSec) é um conjunto de mecanismos que permite a protecção dos pacotes IP durante as comunicações entre computadores e redes, tornando praticamente impossível a sua descodificação e leitura por parte de utilizadores não autorizados. O segurança do protocolo IP pode ser caracterizada pelos seguintes aspectos:

A solução a longo prazo para funcionamento em rede seguro. A protecção agressiva contra ataques a redes privadas e a Internet, mantendo a facilidade de

utilização. Um conjunto de serviços com base em criptografia e protocolos de segurança. Segurança extremidade a extremidade. Os únicos computadores que têm que ter conhecimento da

protecção IPSec são o remetente e o destinatário da comunicação. A capacidade para proteger a comunicação entre grupos de trabalho, computadores da rede local,

clientes e servidores do domínio, filiais que poderão ser fisicamente remotas, extranets, clientes móveis e administração remota de computadores.

Objectivos da segurança do IPSec Uma vez que ataques à rede poderão resultar na imobilização do sistema, perda de produtividade e exposição pública de informações sensíveis, a salvaguarda da referida informação de interpretações ou modificações por entidades não autorizadas assume uma prioridade elevada. As estratégias de protecção da rede, geralmente, concentram-se na segurança de perímetro, impedindo ataques do exterior à rede privada utilizando firewalls, gateways de segurança e autenticação do utilizador no acesso telefónico. No entanto, este procedimento não protege de ataques vindos de dentro da rede. A concentração da atenção apenas na segurança de controlo do acesso (tal como a utilização de smart cards e Kerberos) poderá resultar numa protecção abrangente, uma vez que estes métodos assentam na utilização de nomes de utilizador e palavras-passe. O facto de muitos computadores serem partilhados por muitos utilizadores irá resultar num computador não seguro, visto que permanece ligado frequentemente. Além disso, se um atacante conseguir obter indevidamente o nome de utilizador ou a palavra-passe, a segurança com base no controlo de acesso só por si não irá impedir o acesso ilegal aos recursos da rede. As estratégias de protecção ao nível físico, que normalmente não são utilizadas, protegem a utilização dos cabos da rede física e pontos de acesso. No entanto, não é provável que este procedimento seja capaz de garantir a protecção de todo o caminho da rede, uma vez que os dados terão que viajar da origem para um destino. Um bom plano de segurança combina várias estratégias de segurança, de modo a conseguir uma protecção em profundidade. Quaisquer destas estratégias poderá ser combinada com IPSec. Este procedimento fornece ainda outra camada de segurança, assegurando que o computador emissor protege cada pacote de dados IP antes da transmissão, antes da sua chegada aos cabos da rede e que o computador receptor não retira a protecção dos dados apenas após terem sido recebidos e verificados.


13-3

Implementação do IPSec A implementação do IPSec ao nível do transporte IP (Camada de rede 3) activa um alto nível de protecção com pouca sobrecarga. A implementação do IPSec exige que não existam alterações às aplicações ou sistemas operativos existentes. É possível a implementação para situações da empresa existentes, tais como:

Grupos de trabalho Rede local (LAN): cliente/servidor, peer a peer Acesso remoto: clientes móveis; acesso à Internet; extranets; escritórios remotos.

A implementação do IPSec na Camada de rede 3 fornece protecção para todos os protocolos IP e de camada superior no conjunto de protocolos TCP/IP, tal como TCP, UDP, ICMP, Raw (protocolo 255), e até protocolos personalizados que enviem tráfego à camada IP. O benefício principal da protecção da informação nesta camada, é que todas as utilizações e serviços que utilizem IP para transporte de dados poderão ser protegidos com IPSec, sem qualquer modificação a essas aplicações ou serviços. (Para proteger protocolos que não IP, os pacotes deverão ter sido encapsulados por IP.)

Utilização da criptografia para a protecção dos pacotes IP O IPSec protege os dados, de modo a que um atacante os considere extremamente difíceis ou impossíveis de interpretar. É utilizada uma combinação de um algoritmo e de uma chave para proteger a informação. É alcançado um alto nível de segurança através da utilização de algoritmos e chaves baseados em criptografia. Um algoritmo é o processo matemático através do qual a informação é protegida; a chave é o código secreto ou número exigidos para ler, modificar ou verificar dados seguros. O IPSec impede e reduz, significativamente, ataques à rede, com funcionalidades que incluem: Utilização de chaves

Geração de chaves Para activar a comunicação segura, dois computadores devem ter a capacidade de estabelecer a mesma chave partilhada, sem o envio dessa chave pela rede. O IPSec utiliza o algoritmo Diffie-Hellman para permitir a troca de chaves e fornecer o material de chave para todas as outras chaves de encriptação. Os dois computadores iniciam o cálculo Diffie-Hellman e, em seguida, trocam, publicamente e de forma segura, um resultado intermédio (utilizando autenticação). Nenhum dos computadores envia a chave real. Utilizando a informação partilhada a partir da troca, cada computador gera uma chave secreta idêntica. Utilizadores especializados podem alterar a troca de chaves predefinida e as definições da chave de encriptação de dados.

Comprimentos de chaves Sempre que o comprimento de uma chave é aumentado em um bit, o número de chaves possíveis duplica, tornando exponencialmente mais difícil de descodificar a chave. A negociação de segurança IPSec entre dois computadores gera dois tipos de chaves secretas partilhadas: chaves principais e chaves de sessão. As chaves principais são longas, com 768 bits ou 1024 bits. As chaves principais são utilizadas como a origem da qual derivam as chaves de sessão. As chaves de sessão derivam da chave principal de uma forma padrão, uma chave de sessão por cada encriptação e algoritmo de integridade exigido.


13-4

Atribuição dinâmica de novas chaves O IPSec pode gerar automaticamente novas chaves durante a comunicação. Este procedimento impede um atacante de obter toda a comunicação com apenas uma chave comprometida. Utilizadores especializados podem alterar os intervalos de atribuição de chaves predefinidos.

Políticas IPSec Métodos de segurança mais fortes, com base em criptografia, têm o potencial de aumentarem a carga administrativa. O Windows evita esteperigo através da implementação de uma administração baseada em políticas para o protocolo IP (IPSec). As políticas IPSec de uma organização deverão ser baseadas nas linhas de orientação para operações seguras. As políticas poderão armazenar várias acções de segurança, chamadas regras, de modo a que uma política possa ser aplicada a vários computadores. Em vez de aplicações ou sistemas operativos, utilize políticas para configurar o IPSec. Os administradores de segurança da rede poderão configurar políticas IPSec, desde políticas adequadas a um único computador a um único domínio do, local ou unidade organizacional Active Directory. O Windows 2000fornece uma consola de gestão central, o Componente de gestão da política de segurança do protocolo Internet, para definição e gestão das políticas IPSec. As políticas poderão ser configuradas para fornecer vários níveis de protecção para a maioria dos tipos de tráfego, na maioria das redes existentes.


13-5

B -Arquitectura do IPSec

Os protocolos de segurança IPSec Os protocolos de segurança fornecem a protecção de dados e de identidade para cada pacote IP. O IPSec do Windows 2000utiliza o cabeçalho de autenticação e o ESP (Encapsulating Security Payload) para fornecer estes serviços.

Cabeçalho de autenticação (AH – Authentication Header) O AH fornece autenticação, integridade e anti-reprodução para todo o pacote (quer o cabeçalho IP, quer os dados transportados no pacote); o AH assina todo o pacote. Não encripta os dados, consequentemente não fornece confidencialidade. Os dados são legíveis, mas protegidos contra modificações. O AH utiliza algoritmos HMAC para assinar o pacote. Por exemplo, a Ana no Computador A envia dados ao João no Computador B. O cabeçalho IP, o cabeçalho AH e os dados estão protegidos contra modificações através da assinatura. Significa que a Ana poderá estar certa de que foi ao João que enviou os dados e que os dados não foram modificados. A integridade e a autenticação são fornecidas pela colocação do cabeçalho AH entre o cabeçalho IP e o cabeçalho do protocolo de transporte (TCP ou UDP).

ESP (Encapsulating Security Payload) O ESP fornece confidencialidade, além da autenticação, integridade e anti-reprodução. Normalmente, o ESP não assina todo o pacote, a menos que esteja a ser transmitido por túnel. Normalmente, apenas os dados são protegidos, não o cabeçalho IP. Por exemplo, a Ana no Computador A envia dados ao João no Computador B. Os dados serão encriptados, uma vez que o ESP fornece confidencialidade. Na recepção, depois de verificar que o processo está concluído, a porção dos dados do pacotes é desencriptada. A Ana poderá ter a certeza de que foi o João que enviou os dados, que os dados não foram modificados e que não foram lidos por mais ninguém. A segurança é fornecida, colocando o cabeçalho ESP entre o cabeçalho IP e o cabeçalho do protocolo de transporte (TCP ou UDP). Os administradores de sistema poderão seleccionar o protocolo a ser utilizado para uma comunicação, configurando os métodos de segurança na política IPSec.

Agentes de política IPSec O Agente da política IPSec é um mecanismo que reside em cada computador Windows 2000e que aparece na lista dos serviços do sistema. O Agente de política recolhe as informações da política IPSec activa e passa-as a outros mecanismos IPSec que requeiram essas informações para desempenhar serviços de segurança. O Agente de política é iniciado automaticamente quando se inicia o sistema. Se não existirem políticas IPSec activas, ou se por qualquer razão o Agente de política não conseguir ligar ao Active Directory, o


13-6

Agente da política continuará a pesquisar o Active Directory procurando uma política atribuída ou verificará o registo relativamente a uma política atribuída localmente.

Processo de negociação de segurança IPSec Antes que dados seguros possam ser trocados, deve ser estabelecido um contrato entre os dois computadores. Este contrato chama-se associação de segurança (SA - Security Association). Numa SA, ambos os computadores acordam a forma de trocar e proteger informações.

Associações de segurança Uma associação de segurança (SA) consiste na combinação de uma política e de chaves, que define os serviços de segurança, mecanismos e chaves comuns utilizados para proteger a comunicação de uma extremidade à outra. O SPI (Security Parameter Index - Índice de parâmetros de segurança) é um valor identificador exclusivo na SA, utilizado para distinguir entre várias de associações de segurança que existem no computador receptor. Por exemplo, poderão existir várias associações, se um computador comunicar de forma segura com vários computadores em simultâneo. Esta situação ocorrer geralmente quando o computador é um servidor de ficheiros ou um servidor de acesso remoto que serve vários clientes. Contudo, é possível que um computador tenha várias SA com apenas um computador. Nestas situações, o computador receptor utiliza o SPI para determinar a SA a ser utilizada, para processar os pacotes a receber. Para criar este contrato entre os dois computadores, a IETF estabeleceu o método padrão de associação de segurança e a resolução de troca de chaves, que combina o ISAKMP (Internet Security Association e o protocolo Key Management) e o protocolo de geração de chaves Oakley. O ISAKMP centraliza a gestão da associação de segurança, reduzindo o tempo de ligação. O Oakley gera e faz a gestão das chaves autenticadas utilizadas para proteger informações. Este processo não só protege comunicações computador a computador, mas também protege computadores remotos que peçam acesso seguro a uma rede de empresa, ou qualquer situação em que a negociação para o computador de destino final (ou ponto final) seja desempenhada por um router de segurança ou um outro servidor proxy. Na última situação, referida como modo de cliente ISAKMP , as identidades dos pontos finais ficam ocultas para melhor proteger a comunicação. Para garantir comunicações seguras e com êxito, o ISAKMP/Oakley desempenha uma operação de duas fases. É assegurada a confidencialidade e a autenticação durante cada fase, através da utilização de encriptação negociada e algoritmos de autenticação, acordados pelos dois computadores. Com a divisão das tarefas entre as duas fases, a atribuição de chaves poderá ser efectuada com uma maior velocidade, sempre que solicitado.

Troca de chaves Durante esta fase inicial, os dois computadores estabelecem a primeira SA, que se chama SA de ISAKMP. (Esta SA tem um nome, de modo a ser diferenciada entre as SA estabelecidas em cada uma das duas fases.) O Oakley fornecem a protecção da identidade durante esta troca, permitindo a privacidade total. Este procedimento ajuda a impedir tipos comuns de ataque à rede, que consistem na obtenção não autorizada de identidades. O processo de negociação de segurança durante esta fase inclui: Negociação da política Determina:

O algoritmo de encriptação: DES, 3DES, 40bitDES, ou nenhum. O algoritmo de integridade: MD5 ou SHA.


13-7

O método de autenticação: Certificado de chave pública, chave pré-partilhada ou Kerberos V5 (a predefinição do Windows).

Troca de informações de chave Resulta na existência da informação necessária, em cada computador, para gerar a chave secreta, partilhada—a chave principal—para a SA de ISAKMP. As chaves reais nunca são trocadas; apenas a informação pública necessária ao grupo Diffie-Hellman para gerar a chave secreta e partilhada. O serviço Oakley gera, em cada computador, a chave principal utilizada para proteger a autenticação. Autenticação A tentativa dos computadores para autenticar a troca de informações de chave. Sem uma autenticação com êxito, a comunicação não poderá prosseguir. A chave principal é utilizada, em conjunto com os algoritmos negociados. Independentemente do método de autenticação utilizado, o payload da identidade será protegido contra a modificação e interpretação. O host de início da comunicação envia uma lista de ofertas de potenciais níveis de segurança aos peers de resposta. O destinatário não pode modificar a oferta. Caso a oferta seja modificada, o iniciador rejeitará a mensagem do destinatário que responde. Este enviará uma resposta a aceitar a oferta, ou simplesmente a rejeitar as ofertas e envia uma mensagem indicando que não foi escolhida uma oferta. O processo será então reiniciado. As mensagens de negociação trocadas são reenviadas, automaticamente, em cinco minutos. Após três segundos, será estabelecida uma SA temporária, se as políticas activas permitirem comunicações não seguras com computadores que não utilizem IPSec. Se for atingida uma resposta ISAKMP antes que o ciclo se esgote, a SA temporária será eliminada e será iniciada a negociação SA padrão. O número potencial de SA formadas é limitado apenas pelos recursos do sistema. A SA de ISAKMP é utilizada para iniciar a segunda fase das negociações de segurança.

Protecção de dados Um par de SA é negociado em nome do serviço IPSec e referido como SA de IPSec. O material de chaves é actualizado ou são geradas novas chaves se o PFS ou as validades de chave tiverem sido activadas, a SA de ISAKMP expirou. O processo de negociação de segurança durante a segunda fase inclui: Negociação da política Determina:

O protocolo IPSec: AH, ESP. O algoritmo de integridade: MD5, SHA. O algoritmo de encriptação: DES, 3DES, 40bitDES, ou nenhum. É atingido um acordo comum e estabelecidas duas SA: um para comunicações de entrada e um para

comunicações de saída. O Oakley actualiza o material de chave e são geradas chaves secretas, partilhadas e novas para

autenticação e, possivelmente, para encriptação de pacotes.. As SA e as chaves são transmitidas ao controlador IPSec, em conjunto com o SPI. Toda a negociação é protegida pela SA de ISAKMP. À excepção do cabeçalho ISAKMP nos pacotes,

todos os pacotes de mensagens são encriptados e uma assinatura da integridade a acompanhar o cabeçalho ISAKMP autentica a mensagem. O Oakley impede reproduções de mensagens de negociação, fornecendo protecção anti-reprodução.

O processo automático de repetição de mensagens é praticamente idêntico ao processo discutido na negociação de troca de chaves, com uma excepção: se este processo esgotar o tempo por alguma razão, durante a segunda negociação ou na negociação maior da mesma SA de ISAKMP, será tentada uma nova


13-8

negociação. Se for recebida uma mensagem para a fase de protecção de dados, sem o estabelecimento de uma SA de ISAKMP, a mensagem será rejeitada. A capacidade para utilizar uma única SA de ISAKMP para várias negociações de SA de IPSec, torna o processo de negociação de segurança extremamente rápido. Desde que a SA de ISAKMP não expire, a renegociação e re-autenticação não são necessárias. A política IPSec activa determina o número de vezes que esta situação pode ocorrer.

Validades da SA Sempre que a validade de uma chave é atingida para a chave principal ou de sessão, a SA associada será renegociada. Será enviada uma mensagem de ‘eliminação’ Oakley ao peer de resposta, que pedirá para marcar a SA de ISAKMP como ‘expirada’. Este procedimento impede que se formem SA de IPSec fictícias a partir de uma SA antiga. O Oakley expira as SA de ISAKMP e o controlador IPSec expira as SA de IPSec. Cada vez que o Agente de política IPSec obtém actualizações da política, actualizará a lista de filtros IP, armazenada no controlador IPSec. Quaisquer SA associadas a filtros antigos, que já não existam na política, serão eliminadas em conjunto com os filtros antigos na cache do controlador IPSec. Se as funcionalidades de poupança de energia do Windows 2000causarem a hibernação ou a suspensão do computador, e a SA expirar neste período, a SA será automaticamente renegociada, quando o peer for reactivado. Se o Windows 2000for encerrado num dos peers, a mensagem de ‘eliminação’ Oakley limpa as SA restantes e as SA novas são renegociadas quando os peers tentarem novamente a comunicação. Se o Windows 2000terminar irregularmente, a mensagem de ‘eliminação’ Oakley não será enviada. Neste caso, as SA antigas poderão estar ainda em funcionamento até que o limite de tempo predefinido seja atingido. Se esta situação ocorrer, as SA deverão ser eliminadas manualmente.

Esquema de funcionamento do IPSec Para compreender o funcionamento do IPSec é aqui apresentado um pequeno cenário da comunicação entre dois computadores, na mesma rede local utilizando o IPSEC. A Ana, utilizando uma aplicação no Computador A, envia uma mensagem ao João.

O controlador IPSec no Computador A verifica se existe uma correspondência na lista de filtros IP, na política activa, relativamente ao endereço ou tipo de tráfego dos pacotes de saída.

O controlador IPSec notifica o ISAKMP para iniciar as negociações de segurança com o Computador B.

O serviço ISAKMP no Computador B recebe um pedido de negociações de segurança. Os dois computadores executam uma troca de chaves, estabelecem uma SA de ISAKMP e uma

chave secreta e partilhada. Os dois computadores negoceiam o nível de segurança para a transmissão de dados, estabelecendo

um par de SA e chaves IPSec para protecção dos pacotes IP. O controlador IPSec no Computador sinaliza os pacotes para integridade, utilizando a SA e a chave

IPSec de saída e encripta os pacotes, caso tenha sido negociada confidencialidade. O controlador IPSec no Computador A transfere os pacotes para o tipo de ligação para transmissão

adequado, para o Computador B. O Computador B recebe os pacotes seguros e transfere-os para o controlador IPSec. O controlador IPSec no Computador B verifica a assinatura de integridade, utilizando a SA e a chave

de entrada, e desencripta os pacotes, se necessário. O controlado IPSec, no Computador B, transfere os pacotes desencriptados para o controlador

TCP/IP, que os transfere para a aplicação receptora.


13-9

A Ana e o João nunca se apercebem do processo. Os routers ou comutadores padrão, no caminho dos dados entre os peers, não exigem IPSec. Reencaminham automaticamente os pacotes IP encriptados para o destino. Contudo, se um router estiver a funcionar como um firewall, gateway de segurança ou servidor proxy, deverá activar uma filtragem especial para permitir a passagem de pacotes IP seguros.

Utilização do IPSec em Redes privadas virtuais(VPNs) Todo o processo de encapsulamento, encaminhamento e desencapsulação é denominado utilização de túneis. A utilização de túneis oculta ou encapsula o pacote original dentro de um novo pacote. Este novo pacote poderá possuir novas informações sobre endereçamento e encaminhamento, o que permite a transmissão do novo pacote pelas redes. Quando a utilização de túneis é combinada com privacidade, os dados do pacote original (bem como a origem e o destino originais) não são revelados a quem estiver atento ao tráfego na rede. A rede poderá ser um conjunto de redes qualquer: uma intranet privada ou a Internet. Quando os pacotes encapsulados atingem o destino, o cabeçalho de encapsulamento é removido e será utilizado o cabeçalho do pacote original para encaminhar o pacote para o destino final. O túnel é o caminho de dados lógico, através do qual são transmitidos os pacotes encapsulados. Para a origem e peer de destino, o túnel é, normalmente, transparente e apresenta-se apenas como outra ligação ponto-a-ponto no caminho da rede. Os peers ignoram quaisquer routers, servidores proxy ou outros de gateways de segurança entre o ponto de início do túnel e o ponto final do mesmo. Quando a utilização de túneis é combinada com privacidade, poderá ser utilizada para fornecer Redes privadas virtuais (VPN – Virtual Private Network). No Windows , são fornecidos dois tipos de utilização de túneis que utilizam IPSec:

O L2TP/IPSec (Layer 2 Tunneling Protocol), em que o L2TP fornece gestão e encapsulamento de túnel para qualquer tipo de tráfego de rede e o IPSec em modo de transporte fornece a segurança para os pacotes de túnel L2TP.

IPSec em modo de túnel, no qual o IPSec procede ao encapsulamento apenas para o tráfego IP. Os pacotes encapsulados atravessam a rede dentro do túnel. (Neste exemplo, a rede é a Internet.) O gateway poderá ser um gateway de limite que está localizado entre a Internet exterior e a rede privada--um router, um firewall, um servidor proxy ou outro gateway de segurança. Também poderão ser utilizados dois gateways dentro da rede privada para proteger o tráfego em partes menos fidedignas da rede. L2TP e IPSec O IPSec e o L2TP são combinados para fornecer quer a utilização de túneis, quer a segurança para pacotes IP, IPX e outros pacotes de protocolo em de qualquer rede IP. O IPSec poderá também executar a utilização de túneis sem L2TP, mas é também recomendado para a interoperabilidade, quando um dos gateways não suporta L2TP nem PPTP. O L2TP encapsula pacotes originais dentro de um pacote PPP, efectuando a compressão quando possível e, em seguida, dentro de um pacote tipo UDP atribuído à porta 1701. Uma vez que o formato do pacote UDP é um pacote IP, o L2TP utiliza automaticamente o IPSec para proteger o túnel, com base nas definições de segurança da configuração do utilizador no túnel L2TP. O protocolo IKE (IPSec Internet Key Exchange) negoceia a segurança para o túnel L2TP utilizando, por predefinição, uma autenticação com base em certificados. Esta autenticação utiliza certificados de computador, e não certificados de utilizador, para verificar se quer a origem, quer o destino são fidedignos. Se a segurança do transporte IPSec for estabelecida com êxito, o L2TP negoceia o túnel, incluindo opções de compressão e autenticação de utilizador, e efectua o controlo de acesso com base na identidade do utilizador. Assim, o L2TP/IPSec é a


13-10

opção mais fácil, mais flexível, mais interoperável e mais segura de utilização de túneis, quer para clientes de acesso remoto VPN, quer para túneis VPN gateway-a-gateway. A configuração com L2TP/IPSec de clientes de acesso remoto VPN é efectuada utilizando Ligações de acesso telefónico e de rede. A configuração para o servidor de acesso remoto VPN e para túneis gateway-a-gateway é efectuada utilizando a consola de Encaminhamento e acesso remoto. O cabeçalho do pacote original transporta os endereços originais e finais de origem e de destino (endereços utilizados na rede privada) e o cabeçalho IP exterior, mostrado como Novo cabeçalho IP contém os endereços de destino dos pontos finais do túnel (endereços utilizados na rede pública). O cabeçalho L2TP transporta informações sobre o controlo do túnel. O cabeçalho PPP identifica o protocolo do pacote original IP. Utilização de túneis IPSec A razão principal para a utilização do modo de túnel IPSec consiste na interoperabilidade com outros routers, gateways ou sistemas finais que não suportem L2TP/IPSec ou a tecnologia de utilização de túneis PPTP de VPN (Virtual Private Network). O modo de túnel IPSec é suportado apenas em situações de utilização de túneis gateway-a-gateway e para certas configurações servidor-a-servidor ou servidor-a-gateway como uma funcionalidade avançada. O modo de túnel IPSec não é suportado para situações de VPN de acesso remoto de cliente. L2TP/IPSec ou PPTP deverão ser utilizados para VPN de acesso remoto de cliente.


13-11

O que são políticas IPSec As políticas IPSec são baseadas linhas de orientação da organização para operações seguras. As políticas podem armazenar várias acções de segurança, chamadas regras, de modo a que uma política possa ser aplicada a vários computadores. As políticas IPSec poderão ser aplicadas a computadores locais, a membros de domínio, a domínios, a unidades organizacionais ou qualquer objecto da política de grupo no Active Directory. Existem duas localizações de armazenamento de políticas IPSec: Active Directory Definido localmente no registo de um computador. Se o computador estiver temporariamente desligado de um domínio Windows fidedigno, as informações da política serão armazenadas na memória cache, no registo local. O Windows inclui políticas predefinidas que poderão ser activadas, modificadas para satisfazer as necessidades ou utilizadas como modelo para as políticas personalizadas. Cada política definida deverá aplicar-se a uma situação no plano de segurança. As definições da configuração especiais poderão ser aplicadas se estiver a atribuir políticas a um servidor DHCP, Sistema de nomes de domínio (DNS – Domain Name System) ou servidor de acesso remoto.

Política de grupo As políticas IPSec atribuídas a um objecto da política de grupo, no Active Directory, tornam-se parte da política de grupo e são transferidas para os computadores membros de cada vez que a política de grupo for propagada. Quando é atribuída política IPSec no Active Directory, considere o seguinte: As políticas IPSec atribuídas à política do domínio irão substituir qualquer política IPSec local activa só quando um computador for ligado ao domínio. As políticas IPSec atribuídas a uma unidade organizacional irão substituir uma política IPSec atribuída à política do domínio, para quaisquer computadores membros dessa unidade organizacional. A política IPSec atribuída à unidade organizacional do nível mais baixo irá substituir a política IPSec atribuída a uma unidade organizacional de nível mais alto, para quaisquer computadores membros dessa unidade organizacional.

Políticas IPSec predefinidas O Windows 2000 fornece um conjunto de políticas IPSec predefinidas. Por predefinição, todas as políticas predefinidas são concebidas para computadores que sejam membros de um domínio Windows 2000. As políticas poderão ser atribuídas sem mais acções ou modificações, ou utilizadas como modelo para definição de políticas personalizadas. São apresentadas de seguida as políticas predefinidas.

Cliente (só responder) Este procedimento é utilizado para computadores que, na maioria das vezes, não protegem as comunicações. Por exemplo, os clientes intranet poderão não necessitar do IPSec, excepto quando pedido por outro computador. Esta política permite que o computador, no qual está activa a função de responder de forma adequada a pedidos de comunicações seguras. A política contém uma regra de resposta predefinida, que permite a negociação com computadores que requeiram IPSec. Apenas o protocolo requisitado e tráfego da porta para a comunicação serão protegidos.


13-12

Servidor (pedir segurança) Utilizado para computadores que, na maioria das vezes, deverão proteger as comunicações. Um exemplo, poderá ser um servidor que transmita dados sensíveis. Nesta política, o computador aceitará tráfego não seguro, mas tentará sempre proteger comunicações adicionais, pedindo segurança ao emissor original. Esta política permite que toda a comunicação não seja segura se o outro computador não utilizar IPSec.

Servidor seguro (exigir segurança)

Utilizado para computadores que pedem sempre comunicações seguras. Um exemplo, será um servidor que transmita dados altamente sensíveis ou um gateway de segurança que proteja a intranet do exterior. Esta política rejeitará as comunicações a receber não seguras e o tráfego de saída será sempre protegido. A comunicação não segura não será permitida, mesmo que um peer não utilize IPSec.

Atribuição de políticas IPSec O Componente de gestão da política de segurança do protocolo Internet é utilizado para criar e configurar políticas IPSec através da Consola de gestão da Microsoft (MMC – Microsoft Management Console). É possível gerir políticas centralmente (para clientes do Active Directory), gerir políticas localmente (o computador em que está a executar o snap-in) ou gerir políticas remotamente para um computador ou para um domínio.

Políticas armazenadas no Active Directory Um objecto da política de grupo define o acesso, a configuração e as definições de utilização para contas e recursos. As políticas IPSec poderão ser atribuídas ao objecto da política de grupo de uma conta de computador, local, domínios ou unidade organizacional. Quando a política IPSec é aplicada ao objecto da política de grupo para o objecto de Active Directory, a política IPSec será propagada a quaisquer contas de computador afectadas por esse objecto da política de grupo Existem algumas considerações a ter em atenção na atribuição de uma política IPSec.

As políticas IPSec aplicadas à política do domínio irão substituir a política IPSec local activa quando esse computador é um membro do domínio.

As políticas IPSec atribuídas às unidades organizacionais, no Active Directory, irão substituir a política do nível do domínio para quaisquer membros dessa unidade organizacional e a política IPSec da unidade organizacional do nível mais baixo irá substituir a política IPSec para unidades organizacionais de nível mais alto para quaisquer membros dessa unidade organizacional, e não se fundem com elas.

A atribuição de políticas ao nível mais alto possível fornece o âmbito de efeito máximo com o mínimo esforço administrativo.

A política IPSec deverá manter-se activa mesmo após o objecto da política de grupo, ao qual foi atribuída, ter sido eliminado. Deverá anular a atribuição da política IPSec antes de eliminar o objecto da política. Se eliminar os objectos da política e mantiver a atribuição da política, o Agente de política IPSec irá assumir que, simplesmente, não é possível encontrar a política e utilizará a cópia da memória cache.

A cópia de segurança e restauro da política de grupo no Active Directory deverá incluir também políticas IPSec para assegurar consistência.


13-13

O Agente de política IPSec apenas verifica o Active Directory relativamente a actualizações à política IPSec activa ou atribuída. Se tiverem sido criadas novas políticas IPSec no Active Directory, ou se uma política IPSec tiver sido alterada e atribuída a um computador cliente, o serviço de início de sessão irá descobrir essas alterações durante o ciclo de consulta seguinte para as alterações da política de grupo, notificará o Agente de política IPSec e, em seguida, aplicará as alterações ao computador cliente.

Política do computador local Cada computador a utilizar o Windows 2000 tem exactamente um objecto da política de grupo local, frequentemente denominado política do computador local. Utilizando este objecto da política de grupo local, poderão ser armazenadas definições da política de grupo em computadores individuais, façam ou não parte de um ambiente Active Directory ou um ambiente de rede. Uma vez que estas definições podem ser substituídas por objectos da política de grupo associados a locais, domínios ou unidades organizacionais, o objecto da política de grupo local é o menos influente num ambiente Active Directory. Num ambiente sem uma rede (ou num ambiente de rede a que falte um controlador de domínio Windows 2000), as definições do objecto da política de grupo local são mais importantes, uma vez que não podem ser substituídas por outros objectos da política de grupo.

Utilizar as políticas IPSec Uma regra IPSec, deve definir que tipos de ligação, serão efectuados no computador. Os tipos de ligação aplicam-se a todas as ligações nas Ligações de acesso telefónico e de rede no computador para o qual é configurada a política IPSec. Cada regra tem uma definição de tipo de ligação: Todas as ligações de rede. A regra irá aplicar-se a comunicações enviadas via quaisquer ligações de rede configuradas no computador. Rede local (LAN). A regra irá aplicar-se apenas a comunicações enviadas via ligações de rede local configuradas no computador. Acesso remoto. A regra irá aplicar-se apenas a comunicações enviadas via quaisquer ligações de acesso remoto ou telefónico configuradas no computador.


13-14

D - Criar e atribuir políticas IPSec

Adicionar e editar políticas IPSec No Componente de gestão da política de segurança do protocolo Internet, escolha definir uma nova política:

1. Na árvore da consola, clique em Políticas de segurança IP em Descrição e, em seguida, no menu Acção, clique em Criar política de segurança IP. Siga as instruções do Assistente para política de segurança IP até à caixa de diálogo Propriedades, para que apareça a nova política.

2. Clique no separador Geral e, em seguida, em Nome e introduza um nome exclusivo. 3. Em Descrição, escreva uma descrição da política de segurança como, por exemplo, que grupos ou

domínios são afectados. 4. Se o computador fizer parte de um domínio, para especificar a frequência a que o Agente de política

irá verificar a política de grupo relativamente a actualizações, escreva em Verificar alterações de política todos os número de minuto(s).

5. Se tiver requisitos especiais de segurança na troca de chaves, clique em Avançadas. 6. Clique no separador Regras e crie as regras necessárias para a política.

Para editar uma política existente: No Componente de gestão da política de segurança do protocolo Internet, escolha editar uma política actual: Clique na política com o botão direito do rato e, em seguida, clique em Propriedades.

Atribuir uma política IPSec a um gupo Na consola, a partir da qual gere a política de grupo, clique no objecto Política de grupo ao qual pretende atribuir uma política IPSec:

1. Expanda a Configuração do computador e, em seguida as Definições do Windows e, em seguida, as Definições de segurança.

2. Clique na pasta Políticas de segurança IP. 3. Clique com o botão direito do rato na política que pretende atribuir e, em seguida, clique em Atribuir.

Para remover a atribuição da política IPSec da política de grupo, clique com o botão direito na política e clique em Não atribuir. Se necessitar de desactivar a IPSec, apenas para um computador específico, pode desactivar o Serviço do agente de política IPSec nesse computador.

Activar uma política IPSec num computador No Componente de gestão da política de segurança do protocolo Internet, clique na pasta Políticas de segurança IP. Clique com o botão direito do rato na política que pretende atribuir e, em seguida, clique em Atribuir. Para remover a atribuição da política IPSec do computador, clique com o botão direito do rato, na política e clique em Anular atribuição. Se necessitar de desactivar a segurança IP, é possível desactivar Serviço de agente de política IPSec nesse computador


13-15

E - Definir regras para uma política IPSec

Adicionar e editar regras No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Decida se pretende ou não utilizar o Assistente para adicionar: Para utilizar o Assistente para regra de segurança para adicionar uma regra, confirme se a caixa de verificação Utilizar assistente está seleccionada, clique em Seguinte e, em seguida, siga as instruções. Para adicionar ou editar uma regra manualmente, confirme se a caixa de verificação Utilizar assistente não está seleccionada e, em seguida, clique em Adicionar ou Editar e continue com este procedimento. Defina as propriedades da Lista de filtros IP, Acção de filtro, Tipo de ligação, Métodos de autenticação e Configuração do túnel.

Activar regras No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Seleccione a caixa de verificação junto a quaisquer regras que pretenda activar ou desmarque a caixa de verificação para desactivar a regra.

Especificar tipos de ligação IPSec No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Clique na regra que pretende modificar e, em seguida, clique em Editar. No separador Tipo de ligação, seleccione o tipo de ligações de rede para as quais esta regra se vai aplicar: Para aplicar esta regra a todas as ligações de rede que criou no computador, clique em Todas as ligações de rede. Para aplicar esta regra a todas as ligações de rede local criadas nesse computador, clique em Rede local (LAN). Para aplicar esta regra a quaisquer ligações de acesso telefónico ou remotas criadas nesse computador, clique em Acesso remoto.

Especificar um túnel IPSec No painel Detalhes do componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Seleccione a regra que pretende modificar e, em seguida, clique em Editar. No separador Configuração do túnel, especifique o computador que será o ponto final do túnel: Para desactivar a utilização de túneis para esta regra, execute um clique em Esta regra não especifica um túnel IPSEC. Para utilizar comunicações por túnel para um computador específico, clique em O ponto final do túnel é especificado por este endereço IP. O ponto final do túnel é um endereço IP estático no outro computador, para o qual pretende transmitir os pacotes por túnel, por exemplo, um gateway para uma rede de empresa. São necessárias duas regras, uma de entrada e uma de saída, para que o túnel IPSec funcione. Os filtros de túnel não deverão ser reflectidos. São necessárias duas listas de filtros, cada uma contendo um filtro unidireccional, para especificar um túnel. Cada lista de filtros especifica uma direcção de tráfego que corresponde a cada ponto final do túnel. Exemplo: Da sub-rede A à sub-rede B, túnel para o endereço do gateway externo para B. Da sub-rede B à sub-rede A, túnel para o endereço do gateway externo para A.


13-16

Os túneis IPSec deverão ser utilizados apenas para interoperabilidade com outros routers, gateways ou sistemas finais, que não suportem L2TP/IPSec ou a tecnologia de utilização de túneis da rede privada virtual (VPN) PPTP. O modo de túnel IPSec é suportado como uma funcionalidade avançada, apenas em situações de utilização de túneis gateway-a-gateway e para configurações servidor-a-servidor ou servidor-a-gateway. Os túneis IPSec não são suportados para situações uma VPN acesso remoto de clientes. Os protocolos L2TP/IPSec ou PPTP deverão ser utilizados para a VPN de acesso remoto de clientes.


13-17

F- Filtros IPSEC

Adicionar e editar listas de filtros IP No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Na caixa de diálogo Propriedades de política de segurança IP, clique na regra à qual pretende adicionar a nova lista de filtros IP e, em seguida, clique em Editar. Se estiver a adicionar uma nova lista de filtros IP, no separador Lista de filtros IP, clique em Adicionar. Se estiver a reconfigurar uma lista de filtros existente, clique na lista de filtros e, em seguida, clique em Editar. Introduza um nome exclusivo para a lista. Introduza uma descrição, por exemplo, que tipos de tráfego serão representados pela lista. Crie os filtros.

Adicionar e editar filtros IPSec No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Clique na regra que contém a lista de filtros IP que pretende modificar e, em seguida, clique em Editar. Efectue um dos seguintes procedimentos: Se estiver a adicionar um filtro IPSec, no separador Lista de filtros IP, clique em Adicionar. Se estiver a reconfigurar uma lista de filtros IP existente, clique no filtro IP e, em seguida, clique em Editar. Em Lista de filtros IP, efectue um dos seguintes procedimentos: Utilizar o Assistente para filtro IP para criar um filtro Criar um filtro manualmente Reconfigurar um filtro existente No separador Endereçamento, seleccione o Endereço de origem. Clique em Endereço de destino e introduza a informação para o endereço de destino. Para regras de túnel IPSec, só são suportados os filtros com base em endereços. Não são suportados os filtros de protocolo específico ou de porta específica. Os filtros de túnel não deverão ser reflectidos. São obrigatórias duas listas de filtros, cada uma contendo um filtro de direcção, para especificar um túnel. Cada lista de filtros especifica uma direcção de tráfego que corresponde a cada ponto final do túnel. Exemplo: Da sub-rede A à sub-rede B, túnel para o endereço do gateway externo para B. Da sub-rede B à sub-rede A, túnel para o endereço do gateway externo para A.

Activar listas de filtros IPSec No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Clique na regra que pretende modificar e, em seguida, clique em Editar. No separador Lista de filtros IP, clique na lista de filtros IP que pretende designar como a lista activa para esta regra. A lista de filtros IP seleccionada fica, assim, activa para esta regra.


13-18

Gerir listas de filtros IPSec No Componente de gestão da política de segurança do protocolo Internet, na árvore da consola, clique em Políticas de Segurança IP. No menu Acção, clique em Gerir acções de filtro e lista de filtros IP. Clique em Adicionar ou, se estiver a reconfigurar uma lista existente, seleccione a referida lista e clique em Editar.

Adicionar e editar acções de filtros No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades.

Clique na regra que pretende modificar, clique em Editar e, em seguida, clique no separador Acção de filtro.

Escolha se pretende utilizar ou não o Assistente para adicionar: Para utilizar o Assistente para adicionar acção de filtro para o guiar ao longo do processo,

confirme se a caixa de verificação Utilizar assistente está seleccionada e, em seguida, siga as instruções fornecidas.

Para adicionar ou editar as acções de filtro manualmente, confirme se a caixa de verificação Utilizar assistente está desmarcada e, em seguida, clique em Adicionar para criar uma acção de filtro, ou clique em Editar para reconfigurar uma acção de filtro.

Escolha uma acção de filtro Clique em Permitir para permitir a recepção ou o envio de pacotes em texto simples. Não será

solicitada segurança para estes pacotes. Clique em Bloquear para impor que os pacotes correspondam ao filtro sejam rejeitados

imediatamente. Não será solicitada segurança para estes pacotes. Clique em Negociar segurança para utilizar a lista dos métodos de segurança em Ordem de

preferência dos métodos de segurança para fornecer segurança para pacotes que correspondam ao filtro. Serão aceites pedidos de segurança para estes pacotes.

Se não pretender bloquear comunicações a receber, não seguras, mas se pretender certificar-se de que todas as comunicações de saída e comunicações em duas vias subsequentes são seguras, seleccione a caixa de verificação Aceitar comunicações não seguras, mas responder sempre utilizando IPSEC.

Se pretender activar a comunicação com outros computadores que não suportem IPSec e assegurar-se de que a comunicação continua se não obtiver resposta a um pedido para a negociação IPSec, seleccione a caixa de verificação Permitir a comunicação não segura com computadores que não utilizem IPSEC. Após a negociação IPSec inicial ter falhado para um peer particular, esta opção desactivará IPSec para esse peer para um período de tempo.

Seleccione a caixa de verificação Chave de sessão com Perfect Forward Secrecy (PFS) para garantir a não reutilização de chaves principais ou material de chaves principal, para gerar chaves de sessão.

No separador Geral, introduza um nome exclusivo. Introduza uma descrição. Por exemplo, poderá introduzir os níveis de segurança que esta acção de

filtro representa. Se escolher Negociar segurança, adicione novos métodos de segurança ou edite os métodos

existentes para a acção de filtro. Chave de sessão com Perfect Forward Secrecy (PFS) é um mecanismo que criará uma nova chave principal durante todas as operações de restauro de chave de cada sessão. Esta é a definição mais segura. No entanto, adiciona uma sobrecarga considerável aos servidores e irá aumentar o tempo necessário para concluir uma operação de restauro de chave. Quer o iniciador, quer o utilizador que responde deverão ser


13-19

configurados com a mesma definição para uma negociação com êxito. Além disso, a interoperabilidade com outros produtos poderá ser afectada quando utilizar esta funcionalidade.

Adicionar ou editar métodos de segurança IPSec

1. No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades.

2. Clique na regra que pretende modificar e, em seguida, clique em Editar. 3. No separador Acção de filtro, clique na acção de filtro que pretende modificar e, em seguida, clique

em Editar. 4. Escolha se pretende adicionar um método de segurança ou editar um método existente: 5. Para adicionar um novo método de segurança, no separador Métodos de segurança, clique em

Adicionar. 6. Se estiver a reconfigurar um método existente, clique no método de segurança e, em seguida, clique

em Editar. Existem dois níveis de segurança, seleccione um: Alta (ESP). Utiliza o protocolo ESP para encriptar os dados (proporciona confidencialidade), utilizando um DES de 56 bits como algoritmo, e um MD5 de 128 bits para o algoritmo de integridade e validades de chave predefinidas de (100mb, 1 hora) Média (AH) Utiliza o protocolo AH para assinar (ou fornecer integridade) as informações de endereçamento (cabeçalho IP) e os dados do pacote, utilizando o MD5 de 128 bits como algoritmo de integridade e validades de chave predefinidas (100mb, 1 hora)

Activar uma acção de filtro No Componente de gestão da política de segurança do protocolo Internet, clique com o botão direito do rato na política que pretende modificar e, em seguida, clique em Propriedades. Seleccione a regra que pretende modificar e, em seguida, clique em Editar. No separador Acção do filtro, clique na acção de filtro que pretende activar para esta regra.

Gerir várias acções de filtros No Componente de gestão da política de segurança do protocolo Internet, clique na pasta Políticas de segurança IP. Clique em Acção e, em seguida, clique em Gerir acções de filtro e lista de filtros IP. Clique em Adicionar ou, se estiver a reconfigurar uma acção de filtro existente, clique na acção e, em seguida, clique em Editar. Configure a acção de filtro. Defina os métodos de segurança para a acção de filtro.


14-1

Unidade 14 Instalação do Windows Server Objectivos pedagógicos da unidade:

Conhecer as diferentes versões do sistema operativo Windows.

Identificar os diferentes tipos de instalação do sistema operativo.

Saber efectuar as tarefas prévias de instalação.

Conhecer as características dos diferentes tipos de sistemas de ficheiros compatíveis com a

instalação do sistema operativo.

Saber instalar o sistema operativo Windows.

Saber identificar e resolver problemas relacionados com a instalação.

Sumário: Nesta primeira unidade serão apresentadas as diferentes versões do sistema operativo Windows e como proceder à sua instalação. No final desta unidade deverá conhecer os requisitos de instalação, saber realizar as tarefas prévias à instalação do Windows e instalar correctamente o sistema operativo. Finalmente serão apresentados alguns conceitos fundamentas sobre domínios e grupos de trabalho indispensáveis às tarefas de configuração posterior do sistema operativo.


Os requisitos para a instalação

As diferentes versões do Windows O sistema operativo Windows é apresentado em quatro versões diferentes:

Windows 2000 Professional/XP Professional O Windows 2000/XP Professional é um sistema operativo desktop com funcionalidades de segurança e de rede. É um sistema operativo concebido para funcionar como cliente em redes cliente/servidor com servidores Windows 2000 server. Possui igualmente funcionalidades de rede que lhe permitem funcionar em redes peer-to-peer (workgroups) .

Windows Server O sistema operativo Windows Server possui as características de um servidor podendo executar uma multiplicidade de tipos de software servidor, incluindo os sistemas servidor backoffice da Microsoft. Possui igualmente integradas as funcionalidades de um servidor Web, através dos IIS (Internet Information Services). Ao nível de segurança, possui suporte para o sistema Kerberos e serviços de segurança de PKI (Public Key Infrastructure).

Windows Advanced Server A versão Windows Advanced Server é um sistema operativo servidor mais potente do que a versão standard do Windows Server. Esta versão do Windows 2003 visa substituir a versão anterior do Windows NT Server Enterprise Edition e Windows Advanced Server 2000. Possui funcionalidades avançadas na qualidade de servidor de aplicações servidor de redes empresariais que requeiram alta fiabilidade e escalabilidade (esta palavra deve ser entendida como capacidade para aumentar a capacidade consoante as necessidades).

14-2


Windows Datacenter Server

A versão Windows Datacenter Server é o mais potente sistema operativo servidor da família Windows. Possui funcionalidades optimizadas para suportar data warehouses, análise de dados econométricos e pesquisa científica.

Requisitos de hardware A instalação com sucesso do Windows depende da existência de requisitos mínimos de hardware. Antes de iniciar a instalação do Windows Server, deve certificar-se que o sistema onde está a configurar o Windows possui capacidade para a instalação. Os requisitos mínimos para a instalação do Windows Server são os seguintes:

Processador Processador Pentium 32-bits a 133 Mhz

Espaço em disco Um ou mais discos onde nos quais a directoria de sistema, geralmente \WINNT|, deve estar num disco onde existam pelo menos 671 MB de espaço livro. No entanto a Microsoft recomenda 2 GB de espaço em disco.

Memória Para redes até cinco postos de trabalho, o mínimo em termos de memória RAM é de 64MB. No entanto, é recomendado um mínimo de 128 MB para a instalação do Windows 2000 Server.

14-3


Placa gráfica O mínimo é um monitor com adaptador gráfico VGA ou superior.

Outros elementos

Placa de rede Para que o computador possa fazer parte de uma rede, é necessária uma placa de rede compatível com a tecnologia de rede utilizada.

CD-ROM Para instalação do sistema operativo é necessária uma unidade de CD-ROM com velocidade 12x ou superior. Para uma instalação através da rede, a unidade de CD-ROM pode ser dispensada.

Rato Um rato ou um dispositivo apontador com funcionalidades análogas é necessário para o funcionamento do sistema operativo.

Compatibilidade com os dispositivos de hardware existentes Durante o processo de instalação do Windows 2000 é realizada uma verificação de rotina ao hardware e software existente no computador . Para garantir que a instalação decorre sem falhas é necessário que o hardware do computador seja compatível com o sistema Windows 2000.

A lista de hardware compatível está disponível no CD-Rom do Windows 2000, na pasta Support, no ficheiro hcl.txt. A lista HCL (Hardware Compatibility List) referencia todos os dispositivos que foram testados para

14-4


14-5

trabalharem com o sistema operativo Windows 2000. Os testes de compatibilidade, HCT (Hardware Compatibility Tests) são administrados pela Microsoft e pelas empresas de hardware para garantir que os dispositivos funcionem correctamente com o Windows. A instalação do Windows 2000 num computador cujos componentes não figuram da HCL pode ser mal sucedida. A lista HCL é constantemente actualizada pela Microsoft, pelo que a lista que se encontra no CD-Rom estará certamente desactualizada. Para obter uma lista de hardware compatível com o Windows 2000 visite o site www.microsoft.com/hcl/.

http://www.microsoft.com/hcl/


Actualização para o Windows Antes de iniciar o programa de Setup, é necessário determinar se vai fazer uma actualização de uma versão anterior do Windows ou uma nova instalação. A actualização é o processo de instalação do Windows 2000 numa directoria que contém uma versão do Windows NT. No final deste processo as configurações efectuadas ao sistema operativo anterior e as aplicações instaladas ficam disponíveis no Windows 2000. É possível actualizar, para Windows 2000 Server, os seguintes sistemas operativos: Windows NT Server 3.51 Windows NT 4.0 Server e Windows NT 4.0 Terminal Server

A actualização de um sistema Windows NT 4.0 Advanced Server só é possível com a versão Advenced Server do Windows 2000. Da mesma forma não é possível actualizar sistemas Windows NT WorkStation, Windows 9.x e Windows 2000 Professional para o Windows 2000 Server. A instalação é o processo de configuração do Windows numa nova directoria ou disco ou eliminando o sistema operativo existente no computador. Após a instalação é necessário configurar o sistema e reinstalar todas as aplicações necessárias. Em síntese, o processo de actualização do Windows 2000 Server deve ser utilizado quando é desejável manter as configurações e aplicações de um servidor. Por outro lado, a instalação, é efectuada quando é criado um novo servidor ou quando é necessário ter um computador com mais do que um sistema operativo (sistema multi-boot) Pode também ser efectuada a actualização do Windows 2000 Server para uma versão equivalente do Windows 2003.

14-6


B- Partições e sistemas de ficheiros

Partições Uma partição de um disco é uma parte desse disco que funciona, perante o sistema operativo como se fosse uma unidade física independente. A criação de partições pode ser utilizado para diversas finalidades de organização da informação nos discos. Nalguns casos, pode ser utilizada para separar o sistema operativo das aplicações e dos dados. Noutros casos, pode ser utilizada para isolar uns sistemas operativos de outros sistemas operativos, num computador que pode arrancar com vários sistemas operativos.

Tipos de partições Podem ser criados dois tipos de partições: primary partitions (partições primárias) e extended partitions (partições estendidas).

As partições primárias As partições primárias podem ser criadas para instalar sistemas operativos (bootable operating systems). Num disco podem ser criadas até quatro partições primárias.

As partições estendidas As partições estendidas podem ser criadas como unidades lógicas de armazenamento para armazenar aplicações e dados.

Os utilitários para a criação de partições Na família de sistemas operativos Windows existem diversos utilitários para criar partições. O mais antigo é o comando fdisk do sistema operativo MS-DOS. Este comando está disponível em todas as versões do Windows. Este comando permite criar uma partição primária. No Windows NT pode ser utilizado o utilitário Disk Administrator e no Windows 2000, o Disk Management.

14-7


Sistemas de Ficheiros No contexto da arquitectura de um sistema operativo, designa-se por sistema de ficheiros o tipo de tecnologia utilizada pelo sistema operativo para organizar, armazenar e aceder a ficheiros nos discos do sistema. Em regra, um sistema de ficheiros é um sistema hierárquico composto por um directório (ou pasta, ou folder) principal designado por root ou raiz. Esse directório pode conter ficheiros e outros directórios. Cada directório, por sua vez, pode igualmente conter ficheiros e/ou outros directórios. Um sistema de ficheiros é assim uma espécie de árvore com várias ramificações, podendo cada ramificação conter folhas (ficheiros) ou outras ramificações (outros directórios).

Sistemas de ficheiros locais e sistemas de ficheiros distribuídos Sistema de ficheiros local A classificação dos sistemas de ficheiros em locais e distribuídos tem a ver com a localização física dos recursos geridos pelo sistema. Os sistemas de ficheiros locais fazem parte do sistema operativo e são encarregados de gerir as pastas e os ficheiros de dispositivos conectados ao computador local (discos fixos ou amovíveis, CD-ROM, etc.). Os ficheiros locais podem ser partilhados numa rede permitindo o acesso por parte de sistemas remotos. Sistema de ficheiros distribuídos Um sistema de ficheiros distribuído é uma construção lógica em que partes ou a totalidade da hierarquia do sistema de ficheiros de vários computadores de uma rede, sejam apresentados ao utilizador como se de uma única estrutura hierárquica se tratasse, e como se essa hierarquia de directórios se encontrasse localizado num “servidor”, permitindo assim uma mais fácil localização de recursos aos utilizadores da rede.

Os sistemas FAT e FAT32

O conceito de cluster Para uma compreensão básica do funcionamento dos sistemas de ficheiros é importante ter em consideração que cada superfície de leitura e escrita de um disco é organizada em pistas e que cada pista é dividida em sectores. Para organizar a informação nos discos, o sistema operativo agrupa os sectores em clusters, também designados por allocation units, uma vez que o cluster passa a ser, para o sistema operativo a unidade básica de armazenamento. Por mais pequeno que seja um ficheiro, o sistema operativo ocupa pelo menos um cluster para armazenar esse ficheiro.

14-8


14-9

Nota

A questão dos clusters criados por um determinado sistema de gestão de ficheiros é importante, como se pode compreender pelo seguinte exemplo hipotético.

Admita que um sector possui 512 bytes, o que é uma situação usual. Admita igualmente que um cluster é formado por 8 sectores. Nesse caso, a capacidade do cluster será de 512 * 8 = 4096 bytes. Se o sistema operativo tiver de guardar um ficheiro com apenas algumas centenas de bytes terá de ocupar o espaço de um cluster, o que representa um desperdício do espaço em disco.

O sistema FAT A sigla FAT deriva de File Allocation Table e designa o tipo de estrutura que o sistema operativo utiliza para gerir os directórios e os ficheiros em disco. Este sistema de gestão do sistema de discos vem desde o sistema operativo MS-DOS, Windows 3.x e as versões iniciais do Windows 95.

O sistema FAT32 O sistema FAT32 é uma versão melhorada do sistema FAT e é suportada pelo OSR2 do Windows 95, pelo Windows 98 e Windows 2000. Quando se utiliza o sistema FAT, se a partição é inferior a 2 GB é automaticamente formatada com o sistema FAT. Se a partição é igual ou superior a 2 GB é a formatação é feita automaticamente com o sistema FAT32. Uma das características que diferenciam a FAT32 da FAT é o facto de a FAT32 utilizar um tamanho menor para os clusters, permitindo em muitos casos um mais eficiente aproveitamento do espaço em disco. Comparação do tamanho dos clusters em FAT e FAT32 A capacidade da drive e o tipo de sistema de ficheiros (FAT ou FAT32) tem implicações no tamanho dos clusters utilizados pelo sistema operativo. As tabelas seguintes indicam para cada tipo de sistema e para diferentes capacidades de discos, o tamanho dos clusters da FAT e da FAT32.

FAT Capacidade da drive Tamanho dos clusters

0-32 MB 512 bytes

33 MB - 64 MB 1 KB

65 MB -128 MB 2 KB

129 MB – 256 MB 4 KB

257 MB – 512 MB 8 KB

513 MB – 1024 MB 16 KB

1025 MB – 2048 MB 32 KB


14-10

FAT32 Capacidade da drive Tamanho dos clusters

260 MB – 8 GB 4 KB

9 GB – 16 GB 8 KB

17 GB – 32 GB 16 KB

Mais de 32 GB 32 KB

Como se pode observar, para determinado tipo de drives, o sistema FAT32 utiliza clusters menores do que o sistema FAT, pelo que a utilização do espaço em disco pode ser mais eficiente.

Nota

É possível usar o sistema FAT32 com o sistema operativo Windows 2000, sendo no entanto necessário ter em consideração que estes sistemas de ficheiros não permitem implementar alguns dos mecanismos de gestão e de segurança do sistema de ficheiros NTFS.

O sistema NTFS

Características do NTFS O sistema de ficheiros NTFS foi criado com o Windows NT e pode ser instalado com o Windows NT e com o Windows 2000. Trata-se de um sistema de ficheiros mais adequado para servidores, uma vez que apresenta características de segurança que não se encontram nos sistemas FAT, particularmente a capacidade para definição de permissões de acesso ao nível de cada ficheiro, a compressão de discos e a encriptação de ficheiros. É, por esse facto, o sistema de ficheiros recomendado para funcionar em servidores de ficheiros, em servidores Web e em servidores de aplicações em ambientes de redes empresariais.

Os clusters em NTFS Tal como nos sistemas FAT, o cluster é o a unidade básica de armazenamento de informação no sistema de ficheiros NTFS. A tabela seguinte mostra o tamanho dos clusters criados pelo NTFS consoante a capacidade da drive.

A palavra volume pode igualmente ser utilizada para designar uma parte do disco que é formatada com um determinado sistema de ficheiros e designada por uma letra de drive. No Windows 2000, um volume pode ser uma entidade lógica de armazenamento composta por componentes de um ou mais discos físicos.


NTFS Capacidade do volume Tamanho dos clusters

512 MB ou menos 512 bytes

513 KB – 1024 MB 1 KB

1025 MB – 2048 MB 2 KB

2049 MB – 4096 MB 4 KB

4097 MB – 8192 MB 8 KB

8193 MB – 16384 MB 16 KB

16385 MB – 32768 MB 32 KB

32769 MB ou mais 64 KB

A estrutura de um volume NTFS Quando se formata uma partição de um disco com o sistema NTFS cria-se um volume NTFS. Nesse processo de formatação é criada uma estrutura composta por várias áreas:

Boot sector da partição Contém o código que permite que permite encontrar o sistema operativo e iniciar os ficheiros de arranque.

MFT (Master File Table) Contém a informação sobre todas as pastas e ficheiros contidas no volume.

Ficheiros de sistema NTFS Contém informação complementar sobre o conteúdo do volume, o nome e a versão do volume, tabela com nomes de atributos e nomes, informação sobre a root folder , etc.

Área de ficheiros Trata-se da área do volume destinada ao armazenamento de ficheiros.

A imagem seguinte mostra o esquema de um volume NTFS.

O espaço necessário para acomodar a informação relativa à tabela MFT e aos ficheiros de sistema NTFS é de cerca de 1 MB.

14-11


14-12

Criar uma nova partição ou utilizar uma partição existente Na instalação do sistema operativo, são disponibilizadas várias opções para a criação da partição de instalação. Essas opções são sumariamente descritas em seguida.

• Inexistência de partições no disco. Se no disco não existirem partições, o programa de Setup permite definir a dimensão e criar a partição para o Windows 2000;

• Existência de partições e de áreas sem partição. Neste caso é possível utilizar a área do

disco não particionada para criar a partição do Windows 2000.

• Instalação sobre uma partição existente. O Windows 2000 pode ser instalado sobre uma partição existente, desde que essa partição tenha a capacidade necessária. No entanto, se este for o processo utilizado, o conteúdo anterior da partição é destruído.

• Destruir partições existentes para criar uma nova partição. O disco pode conter partições

que podem ser eliminadas para criar uma nova partição para instalar o Windows 2000.

Recomendações para a configuração do restante espaço em disco Durante a instalação do Windows 2000, o programa de Setup pode ser utilizado para criar outras partições. No entanto, a prática recomendada é a de utilizar apenas o programa Setup para criar e dimensionar a partição de instalação do Windows 2000. Depois de o Windows 2000 ter sido instalado, deve utilizar-se o utilitário Disk Management para criar novas partições no disco.

Dimensionamento da partição de instalação Os requisitos mínimos para a capacidade da partição de instalação do Windows 2000 Professional é de 650 MG. No entanto, o tamanho recomendado é de, pelo menos 1 GB ou mesmo superior. O facto de o sistema operativo ser instalado numa partição com maior capacidade, permite que essa partição possa no futuro vir a acomodar com maior facilidade algumas extensões do sistema operativo.

Opções de sistema de ficheiros e partições

A escolha do sistema de ficheiros Depois de ter sido criada a partição de instalação, o programa Setup pede ao instalador do sistema que escolha o tipo de sistema de ficheiros que pretende instalar na partição. As opções são: NTFS, FAT 32 e FAT.


Em síntese breve, a opção pelo sistema NTFS permite: a) estabelecimento de mecanismos de segurança ao nível de pastas e ficheiros; b) compressão de discos; c) encriptação de ficheiros, d) estabelecimento de disk quotas, isto é, do espaço que cada utilizador é autorizado a utilizar em disco, para além de todo um sistema de segurança e de mecanismos de gestão de redes empresariais que só poderão ser devidamente implementados com o sistema de ficheiros NTFS. A opção pelos sistema FAT ou FAT 32 justifica-se quando se pretende criar um sistema dual-boot que permita arrancar com diferentes sistemas operativos.

Opções sobre partições Na instalação do sistema operativo, são disponibilizadas várias opções para a criação da partição de instalação. Essas opções dependem das características do disco onde o sistema operativo vai ser instalado e são sumariamente descritas em seguida. Os requisitos mínimos para a capacidade da partição de instalação do Windows 2000 Professional é de 650 MG. No entanto, o tamanho recomendado é de, pelo menos 1 GB ou mesmo superior. O facto de o sistema operativo ser instalado numa partição com maior capacidade, permite que essa partição possa no futuro vir a acomodar com maior facilidade algumas extensões do sistema operativo.

• Inexistência de partições no disco. Se no disco não existirem partições, o programa de Setup permite definir a dimensão e criar a partição para o Windows 2000;

14-13


• Existência de partições e de áreas sem partição. Neste caso é possível utilizar a área do

disco não particionada para criar a partição do Windows 2000.

• Instalação sobre uma partição existente. O Windows 2000 pode ser instalado sobre uma

partição existente, desde que essa partição tenha a capacidade necessária. No entanto, se este for o processo utilizado, o conteúdo anterior da partição é destruído.

• Destruir partições existentes para criar uma nova partição. O disco pode conter partições

que podem ser eliminadas para criar uma nova partição para instalar o Windows 2000.

Nota Durante a instalação do Windows, o programa de Setup pode ser utilizado para criar outras partições.

No entanto, a prática recomendada é a de utilizar apenas o programa Setup para criar e dimensionar a partição de instalação do Windows.

Depois de o Windows ter sido instalado, deve utilizar-se o utilitário Disk Management para criar novas partições no disco.

14-14


14-15

C - Os métodos de instalação

Instalação a partir das disquetes de configuração O Windows é distribuído com um CD-Rom e quatro disquetes de instalação. As disquetes de instalação possuem uma dupla funcionalidade: são utilizadas para instalar o Windows em sistemas que não possuem o sistema de Bootable CD (sistema que permite o arranque do computador através de um CD-Rom) e iniciar o computador quando existe uma falha de sistema que impossibilita iniciar o sistema operativo. Neste último caso será necessário recorrer à disquete de recuperação do sistema. A disquete de recuperação de emergência (ERD) do sistema pode ser criada através do utilitário Cópia de Segurança no menu Ferramentas do sistema. As disquetes de instalação podem ser criadas com os utilitários MakeBoot.exe e MakeBoot32.exe, que se encontram na pasta \BootDisk do CD-Rom de instalação. O programa MakeBoot.exe é uma aplicação DOS que pode ser executada nos sistemas MS-DOS, Windows 3.11 e Windows 9.x. O ficheiro MakeBoot.exe é um programa 32-bits de criação de disquetes de arranque para os sistemas Windows NT e Windows 2000. Para instalar o Windows com as disquetes de configuração execute os seguintes passos:

1. Desligue o computador. 2. Introduza a primeira disquete de configuração na drive. 3. Ligue novamente o computador

Durante o processo de inicialização do programa de Setup a barra ao fundo do ecrã indique quais os componentes da disquete que estão no momento a ser carregados para a memória. Após este processo inicial é apresentado o ecrã de boas vindas e são apresentadas as opções de instalação, actualização ou restauração do sistema operativo. Após a escolha das opções de instalação do sistema operativo o CD-Rom de instalação do Windows deve ser introduzido na drive de CR-ROM, para que possam ser copiados os restantes ficheiros do sistema operativo.

Instalação a partir do CD A instalação de um CD-Rom envolve a utilização no arranque do computador. A BIOS do computador tem de suportar a funcionalidade Bootable CD-Rom que permite que o computado seja iniciado com base no CD-Rom. Para iniciar a instalação desta forma introduza o CD do Windows 2000 na drive de cd e desligue o computador. Ao voltar a ligar o computador o programa de instalação do Windows é iniciado automaticamente. Nota: Embora o sistema possa suportar a funcionalidade Bootable CD, pode ser necessário activar esta funcionalidade na BIOS do sistema. Consulte o manual do computador para efectuar as alterações necessárias. A instalação do Windows 2000 através de um CD-ROM pode ser dividida em quatro etapas distintas. Essas etapas são referidas em seguida e acompanhadas de uma descrição sumária: Execução do programa Setup


Esta fase da instalação destina-se a preparar o disco para as etapas seguintes do processo de instalação. É igualmente nesta fase que são copiados para o disco os ficheiros necessários do Setup wizard que irão ser necessários nas etapas seguintes da instalação.

O Setup wizard

O setup wizard tem por função recolher a informação sobre o computador, informações de configuração, nomes, passwords, etc.

Instalação dos componentes de rede

A recolha de informações sobre a rede é a fase que se segue à recolha de informações sobre o computador. Nesta fase, são instalados os componentes necessários para que o computador possa funcionar em rede.

Instalação dos componentes finais

A fase final de instalação do Windows 2000 é a fase em que o programa de instalação instala um conjunto final de componentes necessários para a configuração do computador.

Instalação a partir de um servidor da rede

Em que consiste a instalação a partir de um servidor de rede A instalação do Windows através da rede consiste em utilizar um servidor na rede (designado por distribution server) que contenha os ficheiros de instalação do Windows 2000 Professional. Esses ficheiros de instalação são copiados do CD-ROM do Windows 2000 para uma pasta especial criada no distribution server. Os ficheiros Winnt.exe e Winnt32.exe, existentes na pasta especial criada no distribution server, são invocados a partir do computador cliente (também designado por target computer) para desencadear o processo de instalação do Windows.

14-16


As fases de preparação para uma instalação em rede

A criação de um distribution server O distribution server é o computador servidor que contém a estrutura das pastas com os ficheiros necessários para a instalação do Windows. O processo de criação de um distribution server pode descrever-se do seguinte modo:

• Criar no distribution server uma pasta com o nome W2000P

• Copiar para essa pasta o conteúdo da pasta i386 do CD-ROM do Windows.

• Criar uma subpasta com a designação $OEMS$ na pasta W2000P Nota

O processo de instalação do Windows 2000 Professional através da rede pode ser feito simultaneamente em mais do que um computador, utilizando várias pastas de distribuição (por exemplo W2000P1, W2000P2, etc.) e/ou utilizando mais do que um distribution server.

14-17


14-18


A criação de uma partição FAT no computador de instalação O computador onde vai ser instalado o Windows, necessita de uma partição FAT para onde serão copiados os ficheiros de instalação. Essa partição deverá ter um mínimo de 650 MB embora a capacidade recomendada seja de 1 GB.

A necessidade de software network client Para que o computador cliente (aquele onde vai ser instalado o Windows) possa contactar através da rede o computador distribution server, necessita de ter instalado o software cliente necessário para o estabelecimento da conexão. Se o computador não tiver sistema operativo, torna-se necessário arrancar com um disco que possua o software cliente necessário para estabelecer a conexão com o servidor.

14-19


14-20


A instalação através da rede O processo de instalação do Windows através da rede pode ser descrito através dos seguintes passos: 1. Iniciar o target computer através do software cliente; 2. Estabelecer a conexão com o distribution server e aceder à pasta partilhada contendo os ficheiros de instalação do Windows 2000 Professional; 3. Executar o programa residente na pasta partilhada, programa esse que inicia o programa de Setup. Esse programa pode ser:

Winnt.exe. Este programa deve ser executado quando o source system for o Windows 3.x;

Winnt32.exe. Este programa deve ser executado quando o source system for o Windows 95, 98, NT (4 ou 3.5), 2000 ou 2003;

Esse programa:

Cria a pasta temporária $Win_nt$.~ls no target computer;

Copia os ficheiros de instalação do Windows da pasta partilhada no distribution server para a pasta $Win_nt$.~ls no target computer;

O programa de Setup reinicializa o target computer e inicia a instalação do Windows 2000

Professional. A partir deste ponto, o processo de instalação do sistema operativo é idêntico ao processo que seguido na instalação através do CD-ROM.

14-21


14-22


14-23


14-24

D -As fases de instalação

A execução do programa de configuração Durante esta primeira etapa, a instalação pode ser iniciada através do CD-ROM do Windows, (no caso de o computador suportar o arranque a partir da unidade de CD-ROM).

Nota O Windows 2000 contém disquetes que podem ser utilizadas para a fase inicial de instalação do sistema operativo, no caso de o computador onde o sistema for instalado não ser um sistema que permita o arranque a partir do CD-ROM.

Esta etapa do processo de instalação do Windows 2000, pode ser dividida nos seguintes passos: Inicialização do programa de Setup

Nesta fase verifica-se a instalação na memória de uma versão mínima do sistema operativo Windows 2000. Esta versão mínima é carregada durante o boot do sistema e inicia o programa Setup.

Aceitação da licença

Segue-se uma fase em text mode através da qual o programa de Setup leva a que o utilizador decida se aceita as condições de licenciamento do programa.

Criação da partição

Neste passo deverá escolher-se o tipo de partição onde instalar o Windows. Existem várias alternativas:

• Criar uma nova partição numa zona do disco não particionada; • Seleccionar uma das partições existentes e destruir o seu conteúdo para instalar o Windows; • Reorganizar as partições do disco para criar uma nova partição para instalação do Windows.

Escolha do sistema de ficheiros e formatação da partição

Depois de escolher a partição, é necessário seleccionar o sistema de ficheiros a instalar e permitir ao programa de Setup a formatação da partição com o sistema de ficheiros seleccionado.

Cópia de ficheiros e gravação de configurações

Depois de executar a formatação da partição, o Setup copia alguns ficheiros para o disco e guarda as informações de configuração.

Reinicialização do computador

Esta primeira etapa de instalação do Windows, culmina com a reinicialização do sistema e o automático arranque com o programa Setup wizard.


14-25

O Setup Wizard A execução do programa Setup wizard constitui a segunda etapa do processo de instalação do Windows. Durante esta fase, o programa recolhe do utilizador o seguinte tipo de informação: Número de série

Também designado por product key é o código que acompanha o CD do produto.

Regional settings São as opções de configuração regional geralmente presentes em todos os sistemas Windows. O programa Setup wizard permite a configuração para múltiplas linguagens e settings regionais.

Nome e Organização Consiste no nome do utilizador e da Organização para os quais o produto está licenciado.

Computer name Durante esta fase é necessário dar um nome ao computador. O nome terá de ser diferente do de qualquer outro computador, workgroup ou domínio existente na rede.

Password da conta de administrador O programa Setup wizard cria um account de Administrator durante a fase de instalação. Nesta etapa é solicitado ao instalador que indique a password para a conta de administrador do computador. O titular da password de administrador pode fazer o logon no computador como administrador e possuirá privilégios de administrador no sistema local.

Informações sobre o modem e ligações Se o computador tiver um modem instalado, serão solicitadas informações sobre as opções de ligação através de modem.

Informações sobre data e hora

O programa irá solicitar ou confirmar informações relacionadas com time zone, data e hora, etc.

A instalação dos componentes de rede A terceira etapa consiste na instalação dos componentes de rede do computador, após a recolha nas etapas anteriores da informação acerca do computador e do utilizador. A etapa de instalação dos componentes de rede é composta pelas seguintes fases: Detecção e configuração da placa de rede

O programa de instalação Setup wizard encarrega-se de detectar e configurar a placa de rede eventualmente instalada no computador.

Escolha dos componentes de rede

O programa de instalação solicita ao utilizador a informação sobre se deve utilizar configurações standard ou configurações costumizadas para os seguintes componentes de rede:


14-26

Client for Microsoft Networks Sob esta designação agrupam-se os componentes de rede que permitem ao computador aceder aos recursos disponibilizados em outros computadores da rede.

File and Print Sharing for Microsoft Networks Sob esta designação agrupam-se os componentes os componentes que permitem a outros computadores da rede aceder aos recursos partilhados neste computador (isto é, no computador onde o Windows está a ser instalado).

TCP/IP O sistema de protocolos TCP/IP constitui actualmente o standard atravé do qual os computadores comunicam através de redes locais, redes de área alargada e da própria Internet.

Para além destes podem ser instalados outros protocolos após a instalação do sistema operativo.

Ligação a um workgroup ou a um domain

A ligação a um workgroup ou a um domínio pode ser feita durante a fase de instalação do sistema operativo. No caso de ligação a um domínio, se foi criado um computer account para o computador, o Setup wizard pede o nome e a password.

Instalação dos componentes

A fase final desta etapa consiste na instalação e configuração dos componentes de rede seleccionados.

Instalação dos componentes finais A quarta etapa do processo de instalação do sistema operativo é constituída pelas seguintes fases:

• Instalação dos itens do menu Start

Nesta fase são instalados os atalhos que permitem criar os itens que vão aparecer no menu Start.

Registo de componentes

Trata-se da aplicação das opções de configuração escolhidas durante a fase de instalação.

Gravação das configurações

As configurações são gravadas no disco de forma a poderem ser automaticamente utilizadas da próxima vez que o sistema operativo for iniciado.

Remoção de ficheiros temporários

Durante a instalação são criados ficheiros auxiliares temporários, ficheiros esses que são removidos do disco nesta fase.

Reinicialização do computador


Depois de completar as fases anteriores, o programa de Setup reinicializa o computador.

No final desta quarta etapa fica finalizado o processo de instalação do Windows 2000 através de um CD-ROM, quer se trate de uma instalação stand-alone quer se trate de uma instalação como cliente de uma rede.

Integração em workgroups e domínios Uma rede Windows (ou Windows NT) pode ser criada como um workgroup ou como um domain (domínio). Um workgroup corresponde ao conceito de rede peer-to-peer. Todos os computadores actuam como pares, podendo aceder a serviços prestados por outros computadores da rede e partilhar recursos com os outros computadores. Um domínio é um modelo que exige a inclusão de computadores com Windows Server e corresponde ao modelo de cliente/servidor.

Workgroups

Um workgroup é uma agrupamento lógico de computadores numa rede. Os workgroups são em regra criados para que os computadores participantes nesse workgroup possam partilhar recursos, tais como pastas, ficheiros e outros dispositivos.

Num workgroup o modelo de segurança é descentralizado e cada computador contém a sua própria

base de dados local de segurança. Essa base de dados define quem tem acesso a esse computador, a que recursos pode aceder, e as condições em que pode aceder a esse recursos (se necessita de password, se tem acesso apenas para leitura ou para leitura e escrita, etc.).

Para que um utilizador local ou um utilizador remoto possa aceder a um computador tem de ter um

account na base de dados de segurança desse computador.

14-27


O tipo de segurança descentralizado utilizado em workgroups é igualmente designado por share-level

security e baseia-se fundamentalmente na criação de passwords. Embora sejam fáceis de implementar, os workgroups podem tornar-se difíceis de gerir, uma vez que é

necessário definir o sistema de segurança em cada computador. São sistemas de organização ideais para grupos de trabalho que não envolvam mais de 10 computadores e em que cada utilizador possa definir e criar o modelo de partilha de recursos no seu próprio computador.

Domínios

O que é um domínio Um domínio é um sistema de segurança implementado em redes de computadores com Windows NT ou Windows Server. Os computadores que pertencem a um mesmo domínio partilham uma base de dados de segurança que contém as contas de utilizadores, as passwords e outras informações de segurança. Uma rede baseada em domínios torna possível a administração centralizada dos recursos da rede, tornando possível um simples logon (significando que os utilizadores necessitam apenas de um simples logon para aceder a qualquer recurso da rede para o qual tenham a necessária permissão de acesso).

Elementos de um domínio Um domínio de uma rede Windows pode ser composta pelos seguintes tipos de computadores:

Domain controllers Os domain controllers contêm a base de dados de informação de directório para o domínio. No caso dos sistemas baseados em Windows NT Server essa base de dados é designada por SAM (Security

14-28


Account Manager), em Sistemas Windows 2000 Server essa informação está integrada na Active Directory. Num domínio pode existir mais do que um domain controller. Os domain controllers trocam periodicamente informação entre si para que as respectivas bases de dados de informação se mantenham actualizadas. Esse processo é designado por replication.

Member servers Os member servers são computadores Windows Server que fazem parte do domínio mas que não foram configurados como domain controllers. Estes servidores podem ser utilizados para executar aplicações servidor como, por exemplo, SQL Server ou Web Servers. No entanto, não podem ser utilizados como servidores de autenticação como os domain controllers.

Clientes Os clientes, também designados por workstations fazem parte do domínio mas actuam como computadores clientes que acedem aos recursos proporcionados pelos servidores do domínio.

Os limites dos domínios Um domínio é uma construção lógica de software que não depende da configuração dos computadores numa rede. Um domínio não está limitado a uma rede local. Por exemplo, uma organização pode ter redes em vários pontos do mundo e vários ou todos os computadores pertencerem ao mesmo domínio. Inversamente, num mesmo local e numa mesma rede pode existir vários domínios diferentes.

Ligação a um workgroup

14-29


Quando se instala o sistema operativo Windows, pode optar-se por ligar o computador a um workgroup. Este processo é designado por joining a workgroup. Neste processo, pode acontecer que se pretenda ligar o computador a um workgroup já existente e, neste caso, será necessário fornecer o nome desse grupo, durante a instalação. Todavia, é possível atribuir, durante a instalação, o nome de um novo workgroup, workgroup esse que será criado durante a instalação.

14-30


Ligação a um domínio A ligação a um domínio pode ser feita durante a instalação do sistema operativo Windows 2000 Professional/XP ou após a instalação. Para estabelecer a ligação a um domínio (joining a domain) durante o processo de instalação, são necessários os seguintes requisitos: O nome de domínio (domain name)

O nome DNS (Domain Name System) tem de ser fornecido durante a fase de instalação. O nome do domínio pode ser, por exemplo abc.com.

Um computer account

Cada computador pertencente a um domínio necessita de um computer account nesse domínio. Por esse motivo, durante a instalação pode proceder-se de duas formas:

• Se quem instala o sistema possui privilégios de administrador nesse domínio, pode criar o

computer account durante a instalação, fornecendo o user name e a password que lhe dão o privilégio de criar computer accounts em domínios;

• Se o instalador não possuir esse privilégio de administrador, deverá providenciar para que o administrador de domínio crie um computer account antes da instalação.

Domain controller e DNS server Para que se possa juntar um computador Windows 2000 Professional/XP a um domínio é necessário que durante a instalação, esteja online um domain controller e um servidor (designado por DNS Server) executando o serviço DNS.

14-31

Adm_Redes_I

Documents

Transcript of Adm_Redes_I