Mudanças entre as edições de "Projeto Integrador - 2009.1 - Equipe Ares"
Linha 83: | Linha 83: | ||
<hr> | <hr> | ||
− | === 30 de junho | + | === 30 de junho === |
*Efetuado a passagem do cabo entre os laboratórios de " meios de transmissão " e " redes 1 ". | *Efetuado a passagem do cabo entre os laboratórios de " meios de transmissão " e " redes 1 ". | ||
*Efetuado novos testes com o Radius. | *Efetuado novos testes com o Radius. |
Edição das 21h54min de 9 de julho de 2009
Wiki Ares
A idéia de documentar no Wiki as atividades realizadas, tem por objetivo esclarecer, orientar e facilitar o entendimento desse projeto, e reportar as experiências vivenciadas durante a execução do mesmo.
"Odisséia"
15 de Junho
- "Estudos" de estratégias para o desenvolvimento do projeto.
16 de Junho
- Tentativa de instalação do sistema Operacional no servidor.
- (Ocorreu várias falhas ao tentar instalar o sistema operacional, isso quando o HD era reconhecido)
- Medição da quantidade de cabos necessários para a interligação do quarto com a sala de servidores .
- (Medimos após já terem sidos passados vários metros de cabos, no momento que percebemos que iria faltar)
- Início do planejamento da página do Hotel.
- Colocado os Patch Panel's e Organizadores.
17 de Junho
- Instalação do SO após troca de máquina.
- (“deu pau no HD”)
- Instalação dos “Patch's” dos Serviços necessários.
- Liberação de espaço no RAC disponibilizado para os servidores.
- (Necessário o "jeitinho brasileiro")
- Planejamento e inicio de trabalho na página.
- Colocado o ponto no "quarto do hotel" e os cabos que interligam o armário de Telecomunicações com o Switch.
18 de Junho
- Explicações sobre utilização de CSS e sites referencias.
- Trabalho na página.
- Reunião entre membros das equipes para identificar melhor as necessidades e direcionar uma linha de trabalho.
19 de Junho
- Pré-configurações em Switch's.
- Configuração das eth's, considerando VLAN's.
- Pré configurações de serviços.
- Trabalho na página.
22 de Junho
- Término das configurações dos DNS, DHCP, EMAIL.
- Tentativa de colocar o acesso externo.
- Trabalho na página (em casa).
23 de Junho
- Passagem do cabo que interliga o quarto com a sala de servidores.
- Liberação do acesso externo.
- Trabalho na página.
24 de Junho
- Configuração do SNMP/Cacti.
- Trabalho na página.
- Pré configuração do BD.
- Verificações iniciais no Radius.
25 de Junho
- Instalado o molly-guard.
- Muito útil nos trabalhos em ssh, evitando um "inocente" halt no servidor.
- Trabalho na página.
- Verificações de conexões e configurações nos Switch's.
- Testes de serviços.
- Teste de integração página e BD.
26 de Junho
- Novas verificações no Radius.
- Novas análises do cenário.
- Como será a comunicação entre modens, autenticação Radius, configurações, etc.
27 de junho
- configuramos os Switchs.
- Continuamos a trabalhar na HP do hotél ares.
30 de junho
- Efetuado a passagem do cabo entre os laboratórios de " meios de transmissão " e " redes 1 ".
- Efetuado novos testes com o Radius.
- Continuamos a trabalhar na HP do hotél ares.
01 de julho
- Efetuamos testes com o AP.
- Continuamos a trabalhar na HP do hotél ares e as suas respectivas scripts.
02 de julho
- Trabalhamos juntos para criar a script de autenticação dos usuários.
- Estudamos a possibilidade de criarmos um firewall.
- Continuamos a trabalhar na HP do hotél ares e as suas respectivas scripts.
03 de julho
- Efetuado novos testes com o Radius.
- Implementação do Firewall.
06 de julho
- conectamos os 2 modens entre o laboratório de " meios de transmissão " e " redes 1 ".
- sincronisamos ambos e conectamos os roteadoes.
- certificamos os cabos
07 de julho
- apresentação do cabeamento estruturado.
- continuamos configurando o sincronismo entre os modens.
- Continuamos a trabalhar na HP do hotél ares e as suas respectivas scripts.
08 de julho
- configurado os Switchs e as portas das VLANs corretamente.
- efetuados testes de autenticação e DHCP.
Arquivos
DHCP
- O DHCP ("Dynamic Host Configuration Protocol" ou "protocolo de configuração dinâmica de endereços de rede") permite que todos os micros da rede recebam suas configurações de rede automaticamente a partir de um servidor central, sem que você precise ficar configurando os endereços manualmente em cada um.
- Instalação e configuração do DHCP
dhcp.conf
# /etc/dhcp3/dhcpd.conf subnet 10.1.1.0 netmask 255.255.255.0 { # IP range 10.1.1.128 10.1.1.192; # Máscara option subnet-mask 255.255.255.0; # Broadcast option broadcast-address 10.1.1.255; # Rota-padrão option routers 10.1.1.1; # DNS option domain-name-servers 200.135.37.112; }
subnet 10.2.1.0 netmask 255.255.255.0 { # IP range 10.2.1.128 10.2.1.192; # Máscara option subnet-mask 255.255.255.0; # Broadcast option broadcast-address 10.2.1.255; # Rota-padrão option routers 10.1.2.1; #DNS option domain-name-servers 200.135.37.112; }
subnet 10.3.1.0 netmask 255.255.255.0 { # IP range 10.3.1.128 10.3.1.150; # Máscara option subnet-mask 255.255.255.0; # Broadcast option broadcast-address 10.3.1.255; # Rota-padrão option routers 10.1.10.1; #DNS option domain-name-servers 200.135.37.112; }
DNS
- DNS é a sigla para Domain Name System (Sistema de Resolução de Nomes). Trata-se de um recurso usado em redes TCP/IP (o protocolo utilizado na internet e na grande maioria das redes) que permite acessar computadores sem que o usuário ou sem que o próprio computador tenha conhecimento de seu endereço IP.
include "/etc/bind/named.conf.options"; //prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "0.in-addr.arpa" { type master; file "/etc/bind/db.0"; }; zone "255.in-addr.arpa" { type master; file "/etc/bind/db.255"; }; include "/etc/bind/named.conf.local"nclude "/etc/bind/named.conf.local"; }; include "/etc/bind/named.conf.local"; ;
- ares.sj.ifsc.edu.br
$TTL 86400 @ IN SOA dns1.ares.sj.ifsc.edu.br. admin.ares.sj.ifsc.edu.br. ( ; Start of Authority 2009062500 ; Serial 1d ; Refresh 4h ; Retry 4w ; Expire 1d ) ; Negative Cache TTL ;Servidores DNS @ IN NS dns1 ;Servidor de email; Mail eXchanger @ IN MX 0 mail mail IN A 200.135.37.112 ;Address ; endereco @ IN A 200.135.37.112 dns1 IN A 200.135.37.112 www IN A 200.135.37.112 ftp IN A 200.135.37.112 ; Canonical Name ; "apelido" web IN CNAME www
- 37.135.200.in-addr.arpa
$TTL 86400 @ IN SOA dns1.ares.sj.ifsc.edu.br. admin.ares.sj.ifsc.edu.br. ( ; Start of Authority 2009062401 ; Serial 1d ; Refresh 4h ; Retry 4w ; Expire 1d ) ; Negative Cache TTL ;Servidores DNS @ IN NS dns1.ares.sj.ifsc.edu.br. ;Servidor de email; Mail eXchanger @ IN MX 0 mail.ares.sj.ifsc.edu.br. ;Address ; endereco 112 IN PTR dns1.ares.sj.ifsc.edu.br. 112 IN PTR www.ares.sj.ifsc.edu.br. 112 IN PTR mail.ares.sj.ifsc.edu.br.
- resolv.conf
domain ares.sj.ifsc.edu.br nameserver 127.0.0.1
APACHE
- O Servidor Apache (ou Servidor HTTP Apache, em inglês: Apache HTTP Server, ou simplesmente: Apache) é o mais bem sucedido servidor web livre.
apt-get install apache2
PHP
- A linguagem PHP é uma linguagem de programação de domínio específico, ou seja, seu escopo se estende a um campo de atuação que é o desenvolvimento web, embora tenha variantes como o PHP-GTK. Seu propósito principal é de implementar soluções web velozes, simples e eficientes.
apt-get install php5
POSTFIX
- Postfix é um MTA, que apresenta-se como alternativa ao Sendmail, tendo como objetivo ser mais rápido, seguro e fácil de configurar que o Sendmail, além de tentar manter a compatibilidade com ele. Pode ser encontrado em http://www.postfix.org.
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no # appending .domain is the MUA's job. append_dot_mydomain = no # Uncomment the next line to generate "delayed mail" warnings #delay_warning_time = 4h readme_directory = no # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. myhostname = mail.ares.sj.ifsc.edu.br mydomain = ares.sj.ifsc.edu.br alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases mydestination = $myhostname, $mydomain, localhost.ares.sj.ifsc.edu.br, localhost relayhost = mynetworks = 127.0.0.0/8 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all
RADIUS
- RADIUS (Remote Authentication Dial In User Service) é um protocolo AAA para aplicações para acesso à rede de computadores e mobilidade através de rede IP.
- RADIUS é definido pela RFC 2865
Instalação=> se o arquivo já estiver instalado, devemos remover o aplicativo por completo através do comando=apt-get purge freeradius-server-2.1.6.tar.gz
apt-get install make apt-get install gcc apt-get install g++ apt-get install libssl-dev
- Efetuar o dowloading do freeradius através do comando: wget ftp://ftp.freeradius.org/pub/freeradius/freeradius-server-2.1.6.tar.gz
- Descompactá-lo pelo comando: tar xzf freeradius-2.1.6.tar.gz
- Compilar o aplicativo e encaminha-lo para: /usr/local através do comando=>
./configure --prefix=/usr/local freeradius-server2.1.6 --exe-prefix=/usr/local freeradius-server2.1.6
- Em seguida instalar o aplicativo make que irá auxiliar na compilação do aplicativo freeradius, onde o mesmo organiza os dados a serem compilados. Deve-se criar os seguintes links para o aplicativo freeradius.
make install cd /usr/local ln -s freeradius-server-2.1.6 freeradius cd /usr/local/bin ln -s ../freeradius/bin/radtest radtest cd /usr/local/sbin ln -s ../freeradius/sbin/radiusd radiusd
- Para ativar o freeradius:
radiusd -X => é apresentado os logs do aplicativo
- Para efetuar teste local:
radteset <usuário> <senha> <servidor> <porta> <senha_cliente>
- Os arquivos users e clients.conf:
# 20090629 Equipe Ares (ex-Afrodite)
client proxy { ipaddr = 200.135.37.115 secret = proxy shortname = proxy nastype = other }
- INSTALAÇÂO DE EQUIPAMENTOS DE REDE - IER
MODEM
- O modem é o periférico utilizado para transferir informações entre vários computadores via um apoio de transmissão telegráfico (linhas telefónicas por exemplo). Os computadores funcionam de maneira numérica, utilizam a codificação binária (uma série de 0 e 1), mas as linhas telefónicas são analógicas. Os sinais numéricos passam de um valor à outra, não há meio, de metade, é do “toda ou nada” (um ou zero). Os sinais analógicos em contrapartida não evoluem “não”, evoluem continuamente.
- Nesta etapa configuramos as DIPs SWITCHs dos modens e instalamos os mesmos em suas salas. Um dos modens ficou configurado como LTU e outro NTU e um ficou como regenerado e outro como externo. Configuramos os roteadores com as suas devidas rotas, mas a comunicação não estava ocorrendo. No dia seguinte em conversa com o Prof. Sobral, o mesmo nos explicou que o problema estava na DIP SWITCH do CODEC que estava configurado como " Manual " e deveria estar configurado como " Automático ".
ROTEADOR
- Roteador (também chamado router ou encaminhador) é um equipamento usado para fazer a comunicação entre diferentes redes de computadores. Este equipamento provê a comunicação entre computadores distantes entre si e até mesmo com protocolos de comunicação diferentes.
- No roteador configuramos a comunicação dos mesmos com switch, mas encontramos alguns problemas
SWITCH
- Um comutador (em inglês switch) é um pont multiports, quer dizer que trata-se de um elemento ativo que age ao nível 2 do modelo OSI.
- O comutador analisa as tramas que chegam sobre os seus portos de entrada e filtra os dados a fim de comutar-o unicamente sobre os portos adequados (fala-se de comutação ou redes comutadas). De modo que o comutador permita combinar as propriedades da ponte em matéria de filtragem e o concentrador em matéria de conectividade.
- Configurado o Switch A= 200.135.37.120 e Switch B= 200.135.37.121
- Configuração do Switch.
*Definir Ip Switch; *Ativar autenticação por porta via RADIUS; *Definir VLANS Estaticas; Criar todas as VLANS de hospedes e funcionarios; -Habilitar e setar as portas que vão para os servidores nesta VLANS como tagged; -Habilitar porta de comunicação entre os switch's e setar como tagged; Criar VLAN visitantes; *Ativar portas do Switch que vão ser usar autenticação; *Definir servidor RADIUS; Ip Proxy - 200.135.37.115 Criar Guest VLAN -> nome: visitantes -> portas: 2-10, 12-20
- - Switch Direita
IP 200.135.37.120 Porta 01 -> Servidor Ares Porta 11 -> Servidor Three Porta 23 -> Porta de comunicação entre os servidores
- - Switch Esquerda
IP 200.135.37.121 Porta 01 -> Servidor True Porta 11 -> Servidor Zeus Porta 23 -> Porta de comunicação entre os servidores Porta 24 -> Link RNP
ACESS POINT
- Access Point é um Bridge em Nível MAC (transparent media Access control -MAC) que proporciona o acesso a estações Wireless até redes de área local cabeadas.
Por intermédio destes dispositivos, as estações Wireless podem integrar-se rápida e facilmente a qualquer rede cabeada existente.
- Efetuado testes de autenticação Radius pelo AP, onde previamente configuramos o mesmo com IP 192.168.1.99 e com o notebook do prof. Ederson ( Boi ) realizamos a autenticação pelos servidores Ares, Zeus, Three e True.
Nesta etapa configuramos o arquivo clients.conf com o IP do AP para efetuarmos a autenticação.
Velocidade, sincronismo ( clock - regenerado e )
CACTI
- Cacti é uma ferramenta que recolhe e exibe informações sobre o estado de uma rede de computadores através de gráficos. Foi desenvolvido para ser flexível de modo a se adaptar facilmente a diversas necessidades, bem como ser robusto e fácil de usar. Monitora o estado de elementos de rede e programas bem como largura de banda utilizada e uso de CPU.
- Procedimento para instalar o cacti:
apt-get install snmp snmpd apt-get install cacti
- Procedimento para configurar o cacti:
Insira o IP ou o host. Usário: aresbd Senha: ******
- Devices
Descrition: Nome da monitoração. Hostname: O IP ou localhost. Host Template: Generic SNMP-enable host
- Availability/Reachability Options
-SNMP Options -SNMP Version: versão 2. -SNMP Community: é a comunidade que foi configurada no snmpd.conf
- Create
- Nas opções Associated Graph Templates e Associated Data Queries é necessário adicionar os gráficos requeridos em Add Graph Template e Add Data Query. Sempre salvar as configurações.
- Em seguida irá aparecer o " nome da monitoração " e clicando nele será apresentado o link Create Graphs for this Host. Deverá ser atribuído os gráficos que você configurou. Configurar no link Select a graph type, onde em CREATE será criado os gráficos.
- Deverá ser configurado no link Choose an action a opção Place on a aresbd. Para visualisar os gráficos é necessário clicar em Graphs e esperar por volta e 5 minutos para que os mesmos começem a mostrar os detalhes solicitados.
FIREWALL
- Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.
- Instalar o aplicativo iptables:
apt-get install iptables
- Criamos uma script passado pelo prof. Ederson ( BOI ) em > etc/init.d/iptables
#!/bin/bash #caso geral # #Bloqueia tudo iptables -P INPUT DROP # #Libera o minimo iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #Libera Aplicações TCP # #SSH iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT # #HTTP iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT #Libera aplicações UDP # #DHCP iptables -A INPUT -p udp --dport 67 -j ACCEPT # #DNS iptables -A INPUT -p udp --dport 53 -j ACCEPT # #RADIUS (Autenticação via proxy = 200.135.37.112) iptables -A INPUT -s 200.135.37.112 -p udp --dport 1812 -j ACCEPT