Configurando uma rede local por shell script

Um pequeno wizard em shell script para configuração basica de uma rede local, e gerando um outro script, com o nome ecolhido pelo usuário, para iniciar a configuração posteriormente sem a nessessidade de acionar o wizard novamente.

#! /bin/bash
#*******************************************************************
#Autor: Eduardo dos Santos Monteiro
#Data: 22/04/2005
#Versão:1.0
#Cidade: Goiânia
#Estado: GO
#*******************************************************************
clear
echo "Digite o nome da Interface que deseja configurar? (Ex.: eth0)"
read INTERFACE
echo "Digite o IP Desejado (Ex.: 192.168.1.1):"
read IP
echo "Digite a Mascara (Ex.: 255.255.255.0):"
read MASCARA
echo "Digite o Gateway (Caso não tenha deixe em branco):"
read GW
echo "Digite os Servidor de DNS Primário:"
read DNS1
echo "Digite os Servidor de DNS Secundário:"
read DNS2
echo "Digite o Nome do Atalho (Ex.:"rede1". Vai ser criado um shell-script executavel na pasta /bin. Bastando apenas todas as vezes que desejar iniciar essa rede digitar o comando $rede1)"
read ATALHO
#---------------------------------------------------------------------
# VERIFICA AS CONFIGURAÇÕES APRESENTADAS
#---------------------------------------------------------------------
echo $INTERFACE
echo $IP
echo $MASCARA
echo $GW
echo $DNS1
echo $DNS2
echo /bin/$ATALHO
#Iniciando Scripts
ifconfig $INTERFACE down
ifconfig $INTERFACE $IP netmask $MASCARA up
route add default gw $GW
echo "nameserver $DNS1" > /etc/resolv.conf
echo "nameserver $DNS2" >> /etc/resolv.conf
#Criando o Script
echo "ifconfig $INTERFACE down" > /bin/$ATALHO
echo "ifconfig $INTERFACE $IP netmask $MASCARA up" >> /bin/$ATALHO
echo "route add default gw $GW" >> /bin/$ATALHO
echo "echo nameserver $DNS1 > /etc/resolv.conf" >> /bin/$ATALHO
echo "echo nameserver $DNS2 >> /etc/resolv.conf" >> /bin/$ATALHO
chmod +x /bin/$ATALHO
#---------------------------------------------------------------------
# FIM DO SCRIPT
#---------------------------------------------------------------------

Endereço MAC

O endereço MAC (do inglês Media Access Control) é o endereço físico de 48 bits da estação, ou, mais especificamente, da interface de rede. O protocolo é responsável pelo controle de acesso de cada estação à rede Ethernet. Este endereço é o utilizado na camada 2 (Enlace) do Modelo OSI.

Representa-se um endereço MAC escrevendo, exatamente, 12 dígitos hexadecimais agrupados dois a dois – os grupos são separados por dois pontos.

Exemplo: 00:00:5E:00:01:03

Os três primeiros octetos são destinados à identificação do fabricante, os 3 posteriores são fornecidos pelo fabricante. É um endereço único, i.e., não existem, em todo o mundo, duas placas com o mesmo endereço.

Para descobrir o endereço MAC no Windows digite no prompt getmac ou ipconfig/all e no Linux digite no terminal ifconfig.

Wireless - Configuração Mac OS X

Neste artigo explicarei como configurar a rede wireless no Macintosh OS X:

1) Clicar no ícone do Wireless e escolher Join Other Network:


2) Preencher os campos e clicar em Join:


3) Colocar novamente o seu password e clicar em OK:

4) Clicar em Open Network Preferences:


5) Clicar em Advanced:


6)Ir para o separador 802.1X:


7)Em Authentication retirar o visto do PEAP e EAP-FAST:


8) A única opção que deve ficar selecionada é a TTLS:


9) Clique em Configure com a opção TTLS selecionada:


10) Escolher a opção PAP e clicar em OK:


11)Clicar em Apply:

Listas de Controle de Acesso – ACL’s

Objetivos

Neste tutorial será apresentado os conceitos de ACL’s para controlar o tráfego de rede não desejado, bem como utilizá-las para implementar um recurso mínimo de segurança no ambiente. Será abordado também como e onde posicionar uma ACL para que a rede se torne eficiente.

Pré-requisitos:

Conhecer os modos de configuração de um roteador, salvar um arquivo de configuração, bem como os conceitos básicos do protocolo TCP/IP, tais como, endereços de rede, máscaras de sub-rede, protocolos TCP/UDP e portas de conexão.

Parte 1 – Conceitos de ACL’s

Atualmente, um dos grandes desafios do administrador de redes de uma empresa é sem dúvida alguma manter seu ambiente seguro e principalmente estabelecer um controle de tráfego de pacotes nesta rede, daí a necessidade de utilizarmos as Listas de Controle de Acesso.

Os roteadores fornecem uma filtragem básica de pacotes, como por exemplo, o bloqueio de acesso a determinados recursos na internet. Uma ACL nada mais é que uma seqüência de instruções que permitem ou negam acesso a determinada rede ou recursos disponíveis noutras redes.

Toda Lista de Controle de Acesso é primeiramente criada e depois aplicada a uma determinada interface do roteador, ao processar o pacote o roteador verifica as instruções definidas numa ACL e com base nessas informações aceita ou recusa o pacote.

Podemos criar listas de acesso para vários protocolos da camada de rede,tais como, IPX e IP. Devemos sempre considerar a ordem de aplicação das ACL’s, o Cisco IOS analisa uma seqüência de cima para baixo, ou seja, assim que haja uma correspondência encontrada na lista, existirá uma permissão ou negação do pacote e as demais instruções na ACL não serão verificadas.

Se não existir correspondência em nenhuma das linhas de verificação da Lista de Acesso, automaticamente existirá no final da ACL uma instrução deny any implícita por padrão. Essa instrução tem por objetivo negar todo o trafego que passa por essa interface do roteador.

Vale a pena então lembrar que a partir do momento que criarmos uma linha de instrução, o equipamento passa a verificar essa ACL e logo após estará implícito um deny any no final, por exemplo, digamos que eu queira liberar o tráfego FTP para uma determinada rede, se apenas definir essa instrução o restante do tráfego será negado justamente por causa da negação implícita no final da regra. Para solucionar este problema devemos ter bem definidas todas as condições de tráfego da rede a ser liberado e especificá-los em cada linha da ACL.

Caso não seja definida nenhuma Lista de acesso ao roteador, todo tráfego que passará nas interfaces será devidamente liberado a todas redes, tanto de entrada quanto de saída.

A recomendação é que no início do aprendizado de ACL’s devemos sempre adicionar no final da lista a instrução deny any, isso reforçará a lembrança de que existe sempre um deny implícito no final. À medida que a prática na criação de ACL’s for aumentando automaticamente lembraremos desta negação.

Vejamos então os objetivos de utilizarmos ACL’S:

» Como mencionamos anteriormente para limitar o acesso de pacotes indesejados que entram ou saem da rede;

» Implementação mínima de segurança;

» Definir qual rede será liberada ou bloqueada;

» Controlar o fluxo de pacotes preservando largura de banda da rede;

Máscara Curinga

Outro conceito importante que devemos entender ao estudarmos Listas de Acesso é o que chamamos de máscara curinga.

Uma máscara curinga é composta de 32 bits também divididos em 4 octetos e estes octetos estão emparelhados com os 32 bits do endereço IP. A diferença da máscara curinga para a máscara de sub-rede é que o numero 0 da máscara curinga representa verificar o octeto correspondente e o 1 representa descartar o octeto.

Um exemplo seria:

No endereço 192.168.10.89 com a máscara curinga 0.0.0.255, significa verificarmos os três primeiros octetos e descartarmos o último,

Parte 2– Tipos de ACL’s

Existem especificamente três tipos de Listas de Acesso que são:

» Listas de Acesso IP Padrão

» Listas de Acesso IP Estendidas

» Listas de Acesso com Nome

Listas de Acesso IP Padrão

Este é um tipo de Lista de Acesso baseado no endereço IP de origem. Esta ACL permite ou nega o tráfego de um conjunto inteiro de protocolos a partir dos endereços da rede, sub-rede ou host.

Toda configuração de uma ACL num roteador é seguida de um número que corresponde a um intervalo. Este número indica o tipo de Lista de Acesso definida. Para Listas do tipo Padrão o intervalo vai de 1 a 99.

Na versão 12.0.1 do IOS foi adicionado mais um intervalo que vai de 1300 a 1999. Com esse adicional podemos ter até 798 Listas de Acesso IP Padrão.

Primeiramente devemos definir as instruções de uma ACL e logo em seguida aplicarmos numa interface definindo o seu destino. Conceitualmente as listas de acesso IP Padrão devem ser aplicadas mais próximo do destino.

Obs. Todo o processo de configuração será visto no tutorial “Criando Listas de Acesso”.

Listas de Acesso IP Estendidas

Este é um tipo de Lista de Acesso bem mais utilizado, ele baseia todo o controle em endereços de rede de origem e destino, sub-rede, host, conjunto de protocolos e portas. Isso torna este tipo de ACL bem mais flexível e completa que uma lista padrão.

É possível configurar várias instruções para uma mesma lista de acesso, basta para isso conservar o mesmo número da lista. A quantidade de instruções definidas numa lista de acesso é limitada pela capacidade de memória do roteador.

O intervalo de uma Lista de Acesso Estendida vai de 100 a 199, também existe um intervalo adicional para versões de IOS mais recentes que vai de 2000 a 2699.

No final da ACL estendida temos a opção de definirmos o tipo de porta a ser utilizada. É possível especificar operações lógicas na configuração destas portas, tais como:

eq – igual

neq – diferente

gt - Maior do que

lt – menor do que

Essas operações lógicas são utilizadas em determinados protocolos.

ACL’s com Nome

Este tipo de Lista de Acesso foi introduzido na versão 11.2 do Cisco IOS. Esta lista permite que sejam atribuídos nomes ao invés de números às listas de acesso. A principal vantagem deste tipo de configuração está na identificação da lista, ou seja, podemos atribuir um nome que seja relacionado diretamente a função desta lista. Mas além desta vantagem posso destacar:

» Quantidade ilimitada de listas de acesso, visto que não fica na dependência da quantidade de números disponíveis nos intervalos;

» Permite a inserção de instruções no final da lista;

Devemos, porém considerar que neste tipo de lista não deve existir nome repetido, nem se o tipo de lista for diferente. Por exemplo:

Não é possível existir uma lista de acesso padrão e uma lista de acesso estendida com o nome VENDAS.

Definimos uma lista de acesso com nome através do comando ip Access list.

Obs. Todo o processo de configuração será visto no tutorial “Criando Listas de Acesso”.

Considerações sobre o posicionamento das Listas de Acesso

Para o bom funcionamento de uma lista de acesso devemos saber exatamente como e onde posicioná-las, isso fará com que a rede seja muito mais eficiente.

No geral a documentação da Cisco diz o seguinte:

Para listas de Acesso IP Padrão posicione o mais próximo do destino, pois estas se baseiam nos endereços de origem. Para as Listas de Acesso IP Estendidas posicione mais próximo da origem, pois como esta lista se baseia em endereços de origem, destino, tipo de protocolo e porta, o tráfego é analisado antes de sair da rede.

Extraído de: http://www.juliobattisti.com.br/tutoriais/luisepedroso/acl001.asp

Configurando redes wireless no Linux

Configurar uma rede wireless no linux não é uma tarefa muito difícel.
Por exemplo no Ubuntu, você pode se conectar a redes wireless rapidamente utilizando o networkmanager, que se propõe a oferecer uma ferramenta unificada para se conectar a redes wireless e redes cabeadas e chavear entre elas.

Clicando sobre o ícone ao lado do relógio, você tem acesso à lista das redes disponíveis. Clicando sobre a rede desejada você tem acesso à janela de autenticação, onde é fornecida a passphrase da rede. Existem opções para escolher o padrão de encriptação (WEP, WPA ou WPA2) e o algoritmo de criptografia usado (TKIP ou AES), mas eles são normalmente detectados automaticamente:




A passphrase da rede é salva de forma segura usando o gnome-keyring, que pode ser usado também para armazenar outras informações. Você define uma senha de acesso, que precisa ser digitada a cada boot para destravar o keyring e, a partir daí, você pode se conectar a qualquer uma das redes wireless já configuradas sem precisar digitar a passphrase novamente.
Para conectar a um ponto de acesso configurado para não divulgar o SSID, use a opção "Conectar-se a outra rede sem fio" e especifique o SSID da rede, juntamente com o sistema de encriptação usado no menu seguinte:








A opção "Criar nova rede sem fio" permite criar uma rede ad-hoc, o que é muito útil para criar redes temporárias entre vários notebooks no mesmo ambiente.
O networkmanager salva a configuração das redes a que você já se conectou e passa a monitorar as redes disponíveis de forma contínua, tentando se conectar a elas automaticamente, escolhendo sempre a rede mais rápida ou com o melhor sinal.



Ao conectar o cabo de rede, ele chaveia para a rede cabeada automaticamente, caso um servidor DHCP esteja disponível, e volta a procurar pelas redes wireless quando o cabo é desconectado.
Para alguém que carrega o notebook para cima e para baixo e se conecta a diversas redes diferentes ao longo do dia, este recurso é bastante prático, mas em diversos casos ele pode se tornar indesejável, como em casos em que o PC fica continuamente conectado a uma única rede ou caso você precise manter mais de uma interface de rede ativa continuamente (no caso de um PC que compartilha a conexão, por exemplo).
Para desativar o chaveamento automático, acesse a opção "Configuração manual..." no menu de seleção de redes, acesse as propriedades da placa wireless e desative a opção "Habilitar modo de roaming", definindo em seguida a configuração manual da rede:
A partir daí, o sistema fica conectado apenas à rede definida e o applet ao lado do relógio deixa de mostrar as redes disponíveis. Para se conectar a outra rede, você deve acessar a janela de configuração e alterá-la manualmente.
Para voltar ao comportamento padrão, acesse novamente a opção "Configuração manual" e volte a ativar a opção "Habilitar modo de roaming" nas propriedades da interface.

Apesar do networkmanager ser normalmente associado ao Ubuntu e ao Kubuntu (que usa o knetworkmanager), ele está disponível também para uso em outras distribuições. Ele é na verdade composto por dois pacotes: o "networkmanager" propriamente dito, que inclui o daemon que fica residente, monitorando as interfaces de rede (e atualizando a configuração) e o "networkmanager-gnome" (ou o "knetworkmanager", no caso do KDE), que é a interface de configuração, mostrada no desktop.
Nas versões recentes do Fedora, por exemplo, os dois pacotes vem instalados por padrão, prontos para serem usados, mas é necessário ativar o serviço manualmente, usando os comandos:
# service NetworkManager start # service NetworkManagerDispatcher start(note o uso dos caracteres maiúsculos)
Assim que o serviço é iniciado, você notará o surgimento do ícone ao lado do relógio, mostrando as redes disponíveis. Para que o serviço passe a ser ativado automaticamente durante o boot, ative-o na configuração do chkconfig:
# chkconfig --level 345 NetworkManager on# chkconfig --level 345 NetworkManagerDispatcher on

Conteúdo extraído de http://www.guiadohardware.net/tutoriais/rede-wireless-linux/

Fazer uma rede direta entre dois computadores

Para conectar dois computadores e assim fazer uma rede entre eles, você precisará:
¹Conectar um cabo cross-over entre os dois computadores;
²Configurar as conexões TCP/IP (Coloque um IP diferente em cada computador e a uma máscara de rede igual nos dois, se não for utilizar a internet não é necessário configurar gateway e DNS).

Para acessar as pastas compartilhadas do outro computador na rede você pode digitar no navegador (por exemplo) \\endereçoip do outro computador

Vídeo Tutorial - Instalando DCHP no Server 2008

Neste tutorial você verá como instalar o DHCP no Windows Server 2008

Sniffers de pacotes de rede

Devido ao fato de os computadores em um ambiente de rede manterem uma comunicação serial (uma parte das informações é enviada depois de outra), grandes conjuntos de informações são divididos em partes menores. (O fluxo de informações também seria segmentado em partes menores ainda que as redes se comunicassem em paralelo. O principal motivo para a divisão dos fluxos em pacotes de rede se deve ao fato de os computadores possuírem buffers itermediários limitados). Essas partes menores são chamadas de pacotes de redes. (A criptografia consiste na transformação, ou embaralhamento, de uma mensagem em formato ilegível, com a utilização de um algoritmo matemático.) Por não estarem criptografados, os pacotes de rede podem ser processados e compreendidos por qualquer aplicação que seja capaz de capturá-las na rede e de processá-las.

Um protocolo de rede especifica como os pacotes são identificados e rotulados, permitindo que um computador determine se o pacote está destinado a ele intencionalmente. Como as especificações para os protocolos de rede, como o protocolo TCP/IP, são amplamente divulgadas, pessoas estranhas podem interpretar os pacotes de rede facilmente e devolver um sniffer (literalmente, um farejador de pacotes. (Hoje a verdadeira ameaça é o resultado do grande número de pacotes de sniffers disponíveis como shareware e freeware, que não exigem qualquer conhecimento por parte do usuário em relação aos protocolos subjacentes.) Um sniffer de pacotes é uma aplicação de software que utiliza uma placa de rede de uma maneira promíscua (uma maneira em que a placa de rede envia todos os pacotes recebidos no cabeamento físico da rede a uma aplicação para o respectivo processamento) para capturar todos os pacotes que são enviados por uma rede local.

Conteúdo extraído das página 486 e 487 do livro INTERNET WORKING TECHONOLOGIES HANDBOOK - TRADUÇÃO DA SEGUNDA EDIÇÃO.

Algoritmo CSMA/CD

O CSMA/CD foi idealizado para redes que utilizam barramento. As redes de barramento possuem a característica de que se um host transmite todos os outros hosts do barramento devem somente ouvir. Dessa forma há uma competição pelo meio (barramento). O algoritmo CSMA/CD visa controlar essa competição de forma a não impactar no desempenho da rede.
O algoritmo define que o host, antes de transmitir, deve ouvir o meio para constatar que ele não está em utilização. Após verificar se há ou não alguém transmitindo ele toma a decisão de aguardar ou seguir para o próximo passo. Esse algoritmo tem dois pontos muito importantes. O sub-algoritmo de colisão e a questão de ouvir durante a transmissão.

Quando o host está transmitindo ele ouve o meio para certificar-se que “o que está no meio é o que ele enviou”. Se por acaso houver uma colisão ele irá ouvir algo diferente do que ele transmitiu, detectando assim, uma colisão. “Mas como pode haver uma colisão se todos ouvem o meio antes de transmitir?”. A transmissão se propaga pelo meio com um certo retardo assim, a transmissão de um host na porta A de uma cabo pode levar um certo tempo para chegar na ponta B. Dessa forma se dois hosts distantes tentarem transmitir ao mesmo tempo, ou quase ao mesmo tempo, pode haver colisão.

O ponto mais interessante desse algoritmo é o sub-algoritmo de colisão. Esse sub-algoritmo define se esse será um algoritmo CSMA/CD ou CSMA/CA. Em um algoritmo CSMA/CD esse sub-algoritmo ira gerar um sinal de JAM (de 32 bits) durante um certo. Esse sinal de JAM serve para avisar a todos os hosts desse barramento que houve uma colisão e que eles devem parar de transmitir. Os causadores da colisão, origem e destino, irão esperar um tempo aleatório definido pelo algoritmo de backoff. Após o tempo aleatório eles tentarão transmitir novamente.

Extraído de: http://under-linux.org/blogs/magnun/curso-de-redes-camada-de-enlace-de-dados-parte-1-345/

Aumentar o alcance do sinal wireless

Você pode aumentar o sinal da sua rede sem fio gastando menos de R$ 20,00.
Tudo que você precisa é uma folha de papel comum, um pedaço de cartolina (pode ser também o papelão da tampa de alguma caixa ou embalagem), tesoura, cola e um pedaço de folha de alumínio.

O vídeo acima descreve e demonstra a solução, chamada de Ez-12 ou Windsurfer. Basicamente você precisa colar a folha de alumínio sobre a cartolina ou papelão, recortar usando o modelo do FreeAntennas.com, e encaixar os chanfros nos furos.

Simplesmente dobrar e curvar a folha de alumínio já serviria para aumentar o sinal, mas usar o modelo garante que a forma de parábola será mantida, e que a antena do seu access point ficará exatamente no ponto focal ideal para maior direcionamento.
Os caras do vídeo relatam que um micro que ficava distante do seu ponto de acesso e recebia sinal de apenas 82% passou a receber 100% imediatamente, assim que foi colocada uma antena Windsurfer no ponto de acesso Linksys.
Vale lembrar que a vantagem do efeito é direcional, e que tem recíproca: o sinal na direção oposta fica bastante reduzido.