1.1 A abordagem seguida no livro

(1)

1

1 -

-

I

n

t

r

o

d

u

ç

ã

o

A área de administração de sistemas e redes assume cada vez mais um papel fundamental no âmbito das tecnologias da informação. Trata-se, na realidade, de uma área bastante exigente do ponto de vista técnico, muito por causa da enorme abrangência das tecnologias e serviços que o administrador deve conhecer para ser capaz de assegurar o correcto funcionamento de uma rede informática. A formação de um bom profissional passa necessariamente pela aquisição dos conhecimentos teóricos fundamentais, mas sobretudo pela experiência adquirida através da sua aplicação a cenários concretos. Este livro foi escrito com estes dois aspectos em mente, e por este facto complementa, ao longo de todo o texto, a análise teórica dos conceitos apresentados com a sua aplicação a um cenário prático.

1.1 _{A abordagem seguida no livro}

No presente livro são apresentadas as tecnologias e serviços fundamentais para a administração de uma rede informática, bem como a sua utilização em servidores Linux. O estudo teórico e a utilização prática dessas tecnologias e serviços serão apresentados de forma integrada ao longo do livro, tendo como referência um cenário de aplicação apresentado no próximo capítulo. O cenário serve para demonstrar a aplicação das tecnologias estudadas num ambiente real, no qual os diversos serviços se complementam para tornar viável o correcto funcionamento de uma rede informática. O cenário de aplicação poderá igualmente servir de referência para auxiliar o leitor na activação dos mesmos serviços noutros ambientes de rede.

O Capítulo 2 apresenta o cenário de aplicação utilizado ao longo de todo o livro. Os exemplos apresentados em cada capítulo referem-se, na sua maioria, a um ou vários servidores deste cenário. O cenário consiste numa rede informática com dimensão suficientemente alargada para justificar a utilização de diversos serviços de rede e tecnologias fundamentais. É nosso propósito mostrar ao leitor de que forma uma rede com estas características pode ser configurada desde a sua génese, recorrendo exclusivamente a servidores e equipamentos baseados no sistema operativo Linux. A ordem pela qual são apresentados os diversos temas ao longo do livro é determinada em grande parte pela necessidade de configurar o cenário de aplicação.

Os conceitos abordados ao longo do livro varrem um leque bastante alargado de tecnologias, serviços e protocolos de rede. Serão abordados temas como a administração de sistemas ligados em rede, a configuração de serviços de rede fundamentais e a

(2)

G

GESESTTÃÃOO DDEE SSISISTTEEMMAASS EE RREEDDEESS EEMM LLININUUXX

utilização de ferramentas de monitorização e de segurança, entre outros. Acreditamos que o conjunto dos temas abordados dará ao leitor os conhecimentos necessários para assegurar a configuração e administração de uma rede informática com diversos e exigentes requisitos de funcionamento.

Com o presente livro, o leitor terá a oportunidade de contactar ou aprofundar o seu conhecimento numa área que é muito rica e exigente a nível técnico, mas que providencia igualmente numerosos desafios e recompensas do ponto de vista intelectual. A administração de sistemas e redes é sem dúvida uma área fascinante, pelo alargado leque de conhecimentos e possibilidades que oferece a quem nela trabalha. Por sua vez, o Linux é um sistema operativo de referência no que diz respeito à sua flexibilidade de configuração, abertura de código e enormes potencialidades técnicas, sendo muito utilizado actualmente para disponibilizar serviços e funcionalidades de rede.

1.2 _{O Linux como plataforma de gestão}

O livro utiliza o Linux como o sistema operativo de referência para a configuração de serviços e equipamentos em rede. Esta opção não é alheia à experiência prática do autor, que administra há vários anos uma rede de dimensão alargada onde o Linux desempenha um papel preponderante, mas prende-se igualmente com uma forte convicção de que o Linux constitui uma escolha de excelência neste âmbito.

As vantagens decorrentes da utilização do Linux prendem-se com o facto de ser baseado em código aberto e também com a sua enorme base de utilizadores, a sua robustez e a sua segurança. É importante notar que estes factores estão, na realidade, intrinsecamente ligados. A abertura do código do sistema e das aplicações motivou o aparecimento de comunidades alargadas de utilizadores, que por sua vez contribuem para discutir soluções, ajudar na resolução de problemas e documentar diferentes aspectos da utilização das tecnologias. Estes aspectos contribuem como factores diferenciadores comparativamente a soluções proprietárias, dependentes de fabricantes. A robustez e segurança reconhecidas actualmente no Linux são fruto deste processo de abertura, que possibilita a depuração e melhoria constantes das aplicações e do sistema operativo. É importante notar que o Linux será utilizado não apenas na configuração de servidores no sentido tradicional, mas igualmente na configuração de sistemas para desempenho de outras tarefas habitualmente asseguradas por equipamento especializado, como é o caso dos routers e das firewalls. Como teremos a oportunidade de verificar, também neste domínio de aplicação o Linux representa uma boa escolha, disponibilizando funcionalidades ao nível das melhores alternativas comerciais.

No contexto de utilização do Linux, importa referir que daremos prioridade aos aspectos mais avançados de configuração do sistema e serviços, por vezes em detrimento de questões mais introdutórias, como, por exemplo, o processo de instalação do sistema operativo. Este é amplamente descrito em documentação disponível na Internet e

(3)

actualmente grande parte das distribuições do Linux dispõem de programas de instalação bastante automatizados e intuitivos. Cada capítulo inclui na parte final a bibliografia recomendada, que complementa os temas abordados ao longo do capítulo.

1.3 _{Organização do texto}

Os capítulos encontram-se agrupados em seis partes principais, cuja organização decorre da necessidade de aplicar os temas abordados ao cenário prático.

A primeira parte é constituída pelo presente capítulo e pelo Capítulo 2. O Capítulo 2 descreve as redes e servidores que integram o cenário de aplicação, bem como o seu propósito de utilização. O leitor poderá, durante a leitura do livro, consultar este capítulo sempre que for necessário contextualizar as configurações apresentadas no cenário de aplicação.

A segunda parte do livro é dedicada às operações de gestão de sistemas em Linux, sendo constituída pelos Capítulos 3 a 11. Estes capítulos dedicam-se às operações fundamentais ao nível da administração de sistemas e abordam operações como a gestão de utilizadores, a configuração das interfaces de rede, a configuração do kernel, ou a gestão de cópias de segurança, entre outras. Estes capítulos abordam, portanto, um conjunto de temas fundamentais para a correcta administração de um servidor Linux. É importante que o administrador domine estes temas antes de passar para a configuração de serviços de rede. No decorrer desta parte do livro, os servidores do cenário de aplicação serão alvo das configurações consideradas essenciais para que possam suportar os serviços de rede abordados em capítulos posteriores.

A terceira parte do livro é constituída pelo Capítulo 12 e aborda a utilização do Linux como router e firewall de uma rede local. Neste capítulo veremos de que forma é possível configurar, no cenário de aplicação, um sistema Linux que assegura a interligação de diversas redes. Este mesmo sistema assegura igualmente a ligação à Internet, bem como as funcionalidades de firewall necessárias à protecção da rede do cenário contra acessos considerados indesejados.

A quarta parte do livro é dedicada à administração de serviços de rede. Os Capítulos 13 a 20 são dedicados ao funcionamento e configuração de serviços vitais numa rede informática, como o DNS (Domain Name Service) e o correio electrónico, entre outros. As funcionalidades estudadas ao longo destes capítulos são importantes para a ligação de uma rede à Internet, bem como para a disponibilização de serviços fundamentais para os seus utilizadores.

Na quinta parte do livro são estudados diversos aspectos de segurança, uma área certamente muito relevante no âmbito das responsabilidades do administrador de sistemas. Os Capítulos 21 a 23 cobrem temas como os sistemas de detecção de intrusões e as auditorias de segurança. Estes temas são complementados pelos aspectos de

(4)

G

configuração de sistemas de firewall e autoridades de certificação, abordados em capítulos anteriores. Em particular, o Capítulo 11 discute a utilização do IPTables para a protecção de servidores e o Capítulo 12 utiliza a mesma tecnologia para a configuração do Linux como router e sistema firewall. O Capítulo 16, por sua vez, aborda a utilização do OpenSSL para criação de uma autoridade de certificação digital no Linux.

A sexta (e última) parte do livro diz respeito à utilização de sistemas de monitorização no Linux. O Capítulo 24 descreve a utilização de algumas soluções muito populares na implementação de serviços de monitorização. Estes serviços são particularmente úteis na garantia de níveis elevados de disponibilidade de serviços numa rede local.

(5)

2

2 -

-

A

p

r

e

s

e

n

t

a

ç

ã

o

d

o

c

e

n

á

r

i

o

d

e

a

p

l

i

c

a

ç

ã

o

O presente capítulo descreve o cenário de aplicação que servirá de base aos exemplos de configuração e aplicação prática ao longo do livro. Este cenário é concebido de forma a estar o mais possível de acordo com os cenários tradicionais de utilização do Linux em redes de média ou elevada dimensão. Pelos seus requisitos em termos de topologia e número de utilizadores, este tipo de redes justifica a utilização de um leque alargado de serviços e tecnologias. Estes permitem assegurar a interligação da rede com a Internet, bem como a disponibilização de diversos serviços essenciais ao funcionamento da rede e ao trabalho diário dos seus utilizadores.

2.1 _Introdução

Uma rede informática faz uso de diversos serviços e tecnologias fundamentais, tais como os mecanismos de routing e firewall, implementados ao nível dos routers, ou serviços fundamentais como o DNS, o DHCP (Dynamic Host Configuration Protocol) e o LDAP (Lightweighted Directory Access Protocol), entre muitos outros.

O cenário de aplicação apresentado no presente capítulo servirá como referência para a configuração de um leque alargado de serviços e funcionalidades. O Linux será utilizado na implementação de mecanismos de routing e firewall e igualmente como plataforma para a disponibilização de diversos serviços de rede, segurança e monitorização. Prosseguimos com a apresentação detalhada do cenário de aplicação. O leitor poderá posteriormente regressar ao presente capítulo sempre que seja necessário esclarecer qualquer dúvida relativa à configuração do cenário de aplicação.

2.2 _{A rede do cenário}

O cenário de aplicação utiliza uma rede informática dividida internamente em várias sub-redes. Este tipo de divisão é frequente em redes de média e grande dimensão, e na prática é feita de acordo com critérios de segurança e de funcionamento internos da própria organização que gere e utiliza a rede. A divisão interna em sub-redes reflecte normalmente os vários grupos funcionais distintos da organização e permite adequar a topologia da rede a diversos critérios de utilização. Esta divisão permite ainda proteger,

(6)

G

de forma natural, determinados servidores e utilizadores de acessos considerados potencialmente indesejados, em particular os acessos com origem na Internet.

Na rede do cenário consideramos a utilização de três sub-redes internas. Uma das redes é designada por rede DMZ (rede desmilitarizada, ou Demilitarized Zone) e as outras duas redes são a rede interna de servidores e a rede interna de utilizadores. A rede DMZ aloja os servidores públicos da rede, ou seja os servidores que são contactáveis a partir da Internet. Já os serviços da rede interna de servidores devem poder ser contactados apenas a partir das sub-redes internas, não se encontrando portanto visíveis a partir da Internet. Finalmente, a rede de utilizadores destina-se à ligação dos computadores de trabalho dos utilizadores. A Figura 2.1 apresenta o diagrama lógico da rede do cenário de aplicação, que descreveremos a seguir em maior detalhe.

Ligação à Internet eth0 gw.fca.pt 193.137.203.247 255.255.255.224 eth1 193.136.212.126 255.255.255.192 eth3 10.60.0.254 255.255.255.0 eth2 10.50.0.254 255.255.255.0 Rede DMZ 193.136.212.64/26 Rede de servidores 10.50.0.0/24 Rede de utilizadores 10.60.0.0/24 dns.fca.pt 193.136.212.65 193.136.212.66dns2.fca.pt 193.136.212.67smtp.fca.pt www.fca.pt webmail.fca.pt 193.136.212.69 gw-vpn.fca.pt 193.136.212.70 helpdesk.fca.pt rt.fca.pt 10.50.0.1 auths.fca.pt 10.50.0.2 users.fca.pt10.50.0.3

Cliente DHCP Cliente DHCP Cliente DHCP

ids.fca.pt 10.50.0.5 smtp2.fca.pt 193.136.212.68 backups.fca.pt 10.50.0.4

(7)

De acordo com o cenário da figura anterior, a rede utiliza um router com quatro interfaces de rede. Este router utiliza o sistema operativo Linux, à semelhança dos restantes servidores do cenário. A interface eth0 do router assegura a interligação com o exterior (Internet), utilizando para esse efeito o endereço IP oficial 193.137.203.247, que consideramos ter sido atribuído pelo ISP (Internet Service Provider) no decurso da activação da ligação da rede da organização à Internet.

A interface eth1 assegura por sua vez a ligação à rede DMZ, que utiliza igualmente endereços IP oficiais. A rede IP reservada para utilização na rede DMZ é a rede 193.136.212.64/26, ou, de forma equivalente, a rede 193.136.212.64 com máscara 255.255.255.192. Dado tratar-se de uma gama de endereços IP oficiais, os servidores nesta rede poderão estar directamente contactáveis a partir do exterior. A rede DMZ destina-se a alojar os servidores de acesso público da organização e, como tal, a utilização de endereços IP oficiais é um requisito.

As interfaces eth2 e eth3 asseguram a ligação às sub-redes internas de servidores e de utilizadores, respectivamente. Ao contrário da rede DMZ, estas duas sub-redes fazem uso de endereços privados, utilizando para o efeito as redes classe C 10.50.0.0/24 e 10.60.0.0/24, respectivamente. A escolha das gamas de endereços IP a utilizar nas sub-redes internas não levanta problemas, dado que podem ser utilizadas quaisquer redes que façam parte das gamas convencionadas para utilização privada, como teremos oportunidade de estudar no Capítulo 5. O mesmo já não se aplica à rede DMZ e à interface que liga o router do cenário ao exterior, já que devem forçosamente utilizar endereços IP obtidos de forma oficial, reservados unicamente para utilização nesta rede. De acordo com as gamas de endereços IP convencionadas para utilização em redes privadas, as redes IP de classe C utilizadas nas duas sub-redes internas fazem parte da rede de classe A 10.0.0.0/8. A designação como classe C refere-se ao facto de essas redes serem utilizadas com a máscara de rede 255.255.255.0.

A Tabela 2.1 apresenta as características das redes utilizadas no cenário prático. Para efeitos de configuração de servidores e serviços interessa saber, para cada uma das redes IP, a gama de endereços que podem ser utilizados para endereçar máquinas nessa rede, bem como os respectivos endereços de rede e de broadcast.

Sub-rede Endereço

da rede Máscara de rede Gama de endereços

Endereço de broadcast

Servidores 10.50.0.0 255.255.255.0(/24) 10.50.0.1 a 254 10.50.0.255 Utilizadores 10.60.0.0 255.255.255.0(/24) 10.60.0.1 a 254 10.60.0.255 DMZ 193.136.212.64 255.255.255.192(/26) 193.136.212.65 a 126 193.136.212.127

(8)

G

Os endereços convencionados para os servidores e restante equipamento do cenário prático encontram-se dentro das gamas descritas na tabela anterior, tal como o leitor poderá confirmar. A interface do router em cada uma das três redes internas utiliza o último endereço IP disponível na gama correspondente, uma opção muito frequente, embora tal não seja obrigatório.

A rede DMZ funciona como “tampão”, permitindo proteger as redes internas de acessos externos potencialmente hostis. A ideia fundamental por detrás da utilização de uma rede DMZ é poder dispor de uma rede onde são disponibilizados os serviços que necessitam de conectividade directa com a Internet. Os servidores responsáveis pelos restantes serviços são activados na rede interna de servidores, que por sua vez não dispõe de conectividade directa com o exterior. Desta forma, poderá configurar-se uma firewall ou o router de entrada da rede do nosso cenário para bloquear os acessos de computadores na Internet às redes internas, embora a utilização de endereços IP privados nessas redes garanta só por si que este tipo de acessos não seja permitido. Consegue-se garantir, desta forma, que a partir da Internet apenas seja possível aceder aos servidores da rede DMZ. A utilização de endereços privados nas redes internas é, muitas vezes, desejável, dada a escassez de endereços IP oficiais, além de poder funcionar como um factor adicional de segurança. Os routers na Internet não autorizam a passagem de pacotes IP com endereços privados, o que garante a impossibilidade de qualquer tipo de comunicação directa entre as redes internas e a Internet, independentemente da configuração da firewall da rede. A rede interna de utilizadores serve para ligação dos computadores de trabalho dos utilizadores. Estas máquinas dispõem de conectividade directa com os servidores das redes internas e da rede DMZ. Os acessos à Internet a partir desta rede são possíveis apenas através da utilização dos mecanismos de NAT (Network Address Translation) implementados no router do cenário, como teremos oportunidade de estudar no Capítulo 12.

É importante referir que este cenário de aplicação, embora de dimensão média, permite já abordar a activação e configuração dos principais serviços e tecnologias de rede. O leitor poderá posteriormente aplicar os mesmos conceitos a outros cenários práticos, com diferentes requisitos. Um exemplo de um cenário alternativo passa pela utilização de redes internas separadas para grupos de utilizadores em diferentes departamentos ou unidades funcionais da instituição. Este cenário alternativo, embora utilize várias sub-redes internas, poderá manter os mesmos princípios de funcionamento, recorrendo igualmente a uma rede DMZ e a uma rede interna de servidores.

O presente capítulo prossegue com a descrição do propósito de utilização de cada um dos servidores da rede do cenário de aplicação. Referiremos igualmente em que capítulo é abordada a configuração dos serviços suportados por cada um dos servidores.