A utilização de sistemas baseados na arquitetura cliente/servidor está se tornando cada vez mais cara; arquitetura essa que como o próprio nome já diz, há necessidade de um servidor e de um ou vários clientes para se rodar uma interface amigável (sistemas com um visual mais bonito) e que demanda a utilização de computadores de alta capacidade.
Neste texto serão abordadas algumas vantagens da utilização de sistemas comerciais via web, sistemas esses acessados através de um navegador com a possibilidade de estarem disponíveis em qualquer lugar do mundo.
Os sistemas via web são soluções desenvolvidas para estarem disponíveis na Intranet ou Extranet da empresa para serem acessados por funcionários, clientes e fornecedores conforme a necessidade da organização.
Esses sistemas demandam um baixo custo de licenças, uma interface extremamente amigável e um custo de equipamentos baixíssimo, pois para que haja eficiência no sistema só é necessário que no equipamento funcione um navegador.
Segundo a Develope’s Magazine, estudos comprovam que estações de trabalho baseadas em browsers (thin-client) apresentam redução do TCO (Custo total de Propriedade) de até quatro vezes em relação aos PCs (fat-client).
Outra vantagem é que a tecnologia web está baseada em protocolos e softwares totalmente abertos, ou seja, a empresa não fica dependente de fornecedores.
Quando falamos em softwares abertos, estamos falando em poder utilizar sem custos de licenças banco de dados como o PostgreSql que é um banco que tem uma excelente performance e é totalmente gratuito, podendo utilizar linguagens de desenvolvimento como PHP, Html, Java Script que também não necessitam de licenças. A empresa estará utilizando tecnologia de ponta, que está sempre se renovando e com um custo menor que seria o do desenvolvimento, que com certeza não é maior que o do desenvolvimento de uma arquitetura cliente/servidor.
É importante esclarecer que não é simplesmente desenvolver um aplicativo e colocar para rodar em um servidor para que funcione, é necessário que se faça uma avaliação das questões de segurança do servidor onde está hospedado esse sistema, pois ninguém quer que as informações confidenciais da empresa vão parar na mão de pessoas erradas, o que não é difícil acontecer no caso de servidores com baixa segurança.
A implementação de sistemas via web requer conhecimento de várias áreas, principalmente as que estão ligadas à comunicação, desenvolvimento e segurança:
- Comunicação: deve-se avaliar a velocidade do link (conexões com a Internet) e o que trafegará nele, pois não adianta colocar um link pequeno para reduzir custos se o tráfego de dados é grande, pois o sistema perderá a performance e poderá não estar disponível quando a empresa precisar.
- Desenvolvimento: a questão do desenvolvimento abrange questões de segurança também, pois códigos mal escritos abrem brechas para hackes/crakers invadirem os sistemas com muita facilidade.
- Segurança: quanto à segurança, deve-se observar todos aqueles detalhes básicos como criptografia, senhas seguras, servidores bem configurados com firewalls, controle de vírus etc.
Existem diversas empresas de informática no mercado já com soluções voltadas para a web e mesmo aquelas que ainda não entraram nesse mercado, já estão estudando as possibilidades. Algumas empresas do ramo varejista também já possuem parte de seus sistemas voltados para web, essas empresas estão com certeza saindo na frente e podendo obter mais rapidamente os resultados que esses recursos oferecem. Em um futuro bem próximo os sistemas na sua maioria estarão disponíveis via web.
quarta-feira, 4 de abril de 2012
quinta-feira, 15 de março de 2012
CONTROLANDO O ACESSO A INTERNET NA EMPRESA COM SQUID
Não há sentido em se conectar a Internet se os seus funcionários não podem ter acesso a ela, por outro lado a utilização da Internet na empresa sem um devido controle acarreta em perda de produção por parte dos funcionários e exposição dos computadores a vírus, ataques e pornografia.
Existem diversos sistemas que controlam o acesso a Internet, tanto livres como pagos, a solução que será apresenta aqui, é de uma ferramenta livre, ou seja, que não é pago, o custo que a empresa terá será apenas de configuração caso não haja um profissional habilitado na própria empresa.
A ferramenta proposta chama-se Squid que pode ser encontrada em http://www.squid-cache.org; essa ferramenta é instalada em um computador que pode ser de baixa capacidade (depende do número de computadores na rede), todos os outros computadores da rede fazem o acesso a Internet através dele onde o Squid faz com que pareça que uma única máquina está acessando a Internet.
O computador cliente se comunica com esse servidor com o Squid ao invés de se comunicar diretamente com a Internet. Esse servidor avalia as solicitações do cliente e decide quais delas irá repassar ao servidor real e quais serão desprezadas. Se uma solicitação for aprovada, o servidor Squid se comunicará com o servidor real em nome da máquina cliente e começará a retransmitir as solicitações do usuário ao servidor real, e também a retransmitir as respostas do servidor real ao cliente. Entenda como servidor real um computador qualquer na Internet que hospede o site que se está procurando e como máquina cliente a máquina que é usada por alguém na sua rede.
As vantagens de uma única máquina fazer acesso a Internet, é de proteger o resto das máquinas da rede de ataques de hacker/crackers .
Com a utilização do Squid é possível controlar o conteúdo da web acessado pelas estações da rede. Esta é uma forma de bloquear acessos a sites pornográficos, musicais, etc. Os controles podem ser baseados em horários de acessos, tamanhos de downloads, extensão de arquivos, autenticação de usuários entre outros.
Outra vantagem é a utilização cache (que são os últimos sites acessados), pois permite que os sites fiquem com acesso mais rápido.
Pode-se também utilizar junto com o Squid outras ferramentas de controle como o Sarg que mostra quem, a que horas e qual site foi acessado, podendo desta forma emitir um relatório semanal ou mensal dos sites acessados na empresa.
Uma maneira mais drástica também utilizável pelo Squid é a negação de acesso a todos os sites e liberação apenas de alguns permitidos pela empresa. Desta forma a Internet ficaria de utilização estritamente comercial, e não para outros fins.
A ferramenta apresentada é uma das mais utilizadas nas empresas e pode-se observar que com a utilização desse tipo de ferramenta, além da empresa estar mais segura, o tempo dos funcionários será usado de forma adequada. Também é importante a conscientização dos funcionários para uma boa utilização da Internet, conscientização essa que se faz com treinamento, palestras e reuniões e em casos extremos documentos, que são chamados de “Políticas de Acesso” que descrevem todas as restrições e permissões de utilização da Internet. Esses documentos devem ser assinados pelos diretores e funcionários e seguidos como uma “receita de bolo”.
Instalação do Squid no Fedora
Primeiramente baixe o squid do site http://www.squid-cache.org/
Para instalar o pacote referente ao SQUID, basta utilizar o seguinte comando:
rpm –ivh squid........................rpm
Em seguida, será criado o seguinte diretório:
/etc/squid
A partir desse momento, o processo de instalação do Squid está finalizado.
Configuração do SQUID
Após a instalação do pacote SQUID, é necessário configurar o arquivo squid.conf que pode ser encontrado no diretório /etc/squid:
Arquivo de configuração SQUID.CONF comentando:
// Define a porta que irá aceitar as requisições
http_port 3128
// Configuração padrão
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória
cache_mem 128 MB
// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP
cache_swap_low 90
cache_swap_high 95
// Define o tamanho máximo de elementos a serem cacheados.
maximum_object_size 8120 KB
// Configuração padrão
cache_dir ufs /var/spool/squid 3000 16 256
// Define onde serão armazenados os logs do SQUID
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
// Configuração padrão
ftp_user Squid@
ftp_telnet_protocol on
// Ativa o SquidGuard
redirect_program /usr/bin/squidGuard
// Define a quantidade de processos a serem estartados. Indica-se 4
redirect_children 4
// Configuração padrão
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
// Definição de ACLS de acesso
// Define a configuração IP da rede
acl all src 172.16.0.0/255.255.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
// Define as portas conhecidas e liberadas
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 23 #telnet
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # https
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 3001 # Receptor Imprensa Nacional
acl Safe_ports port 8004 # Imprensa Nacional
acl Safe_ports port 1494 # Sigov
acl Safe_ports port 1521 # Siafi Gerencial
acl Safe_ports port 3460 # Serpro EDM
acl Safe_ports port 102 # X400
acl Safe_ports port 16000 # Siscon
acl Safe_ports port 23000 # SerproWeb
acl Safe_ports port 2631 # Sefip
acl Safe_ports port 12010 # Cnpq Curriculo Lates
acl purge method PURGE
// Permite conexão
acl CONNECT method CONNECT
// Define um arquivo, onde serão colocados sites proibidos
acl bad_sites dstdom_regex "/etc/squid/bad_sites"
// Nega acesso a estes sites
http_access deny bad_sites
// Permite acesso às portas conhecidas, citadas anteriormente
http_access allow Safe_ports
http_access allow SSL_ports
// ACLs de Gerência
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mgr webmaster
// Define o nome da máquina onde está o servidor proxy
visible_hostname host.orgao.gov.br
// Configuração para o proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
// Define qual será a página de erro
deny_info http://172.16.x.x/proibido.html bad_sites
coredump_dir /var/spool/squid
Arquivo BAD_SITES
// Arquivo onde se definem outras páginas proibidas
// Colocar . no lugar de www
.e-messenger.net
.login.passport.net
.messenger.hotmail.com
.mail.yahoo.com.br
.mail.yahoo.com
.hotmail.com
.msn.com
.msn.com.br
.igmail.com.br
.mymail.com.br
.zipmail.com.br
.zipmail.com
.webmail.click21.com.br
.email.uol.com.br
.correio.uol.com.br
.playboy.com
.playboy.com.br
.orkut.com
.ig.com.br
Existem diversos sistemas que controlam o acesso a Internet, tanto livres como pagos, a solução que será apresenta aqui, é de uma ferramenta livre, ou seja, que não é pago, o custo que a empresa terá será apenas de configuração caso não haja um profissional habilitado na própria empresa.
A ferramenta proposta chama-se Squid que pode ser encontrada em http://www.squid-cache.org; essa ferramenta é instalada em um computador que pode ser de baixa capacidade (depende do número de computadores na rede), todos os outros computadores da rede fazem o acesso a Internet através dele onde o Squid faz com que pareça que uma única máquina está acessando a Internet.
O computador cliente se comunica com esse servidor com o Squid ao invés de se comunicar diretamente com a Internet. Esse servidor avalia as solicitações do cliente e decide quais delas irá repassar ao servidor real e quais serão desprezadas. Se uma solicitação for aprovada, o servidor Squid se comunicará com o servidor real em nome da máquina cliente e começará a retransmitir as solicitações do usuário ao servidor real, e também a retransmitir as respostas do servidor real ao cliente. Entenda como servidor real um computador qualquer na Internet que hospede o site que se está procurando e como máquina cliente a máquina que é usada por alguém na sua rede.
As vantagens de uma única máquina fazer acesso a Internet, é de proteger o resto das máquinas da rede de ataques de hacker/crackers .
Com a utilização do Squid é possível controlar o conteúdo da web acessado pelas estações da rede. Esta é uma forma de bloquear acessos a sites pornográficos, musicais, etc. Os controles podem ser baseados em horários de acessos, tamanhos de downloads, extensão de arquivos, autenticação de usuários entre outros.
Outra vantagem é a utilização cache (que são os últimos sites acessados), pois permite que os sites fiquem com acesso mais rápido.
Pode-se também utilizar junto com o Squid outras ferramentas de controle como o Sarg que mostra quem, a que horas e qual site foi acessado, podendo desta forma emitir um relatório semanal ou mensal dos sites acessados na empresa.
Uma maneira mais drástica também utilizável pelo Squid é a negação de acesso a todos os sites e liberação apenas de alguns permitidos pela empresa. Desta forma a Internet ficaria de utilização estritamente comercial, e não para outros fins.
A ferramenta apresentada é uma das mais utilizadas nas empresas e pode-se observar que com a utilização desse tipo de ferramenta, além da empresa estar mais segura, o tempo dos funcionários será usado de forma adequada. Também é importante a conscientização dos funcionários para uma boa utilização da Internet, conscientização essa que se faz com treinamento, palestras e reuniões e em casos extremos documentos, que são chamados de “Políticas de Acesso” que descrevem todas as restrições e permissões de utilização da Internet. Esses documentos devem ser assinados pelos diretores e funcionários e seguidos como uma “receita de bolo”.
Instalação do Squid no Fedora
Primeiramente baixe o squid do site http://www.squid-cache.org/
Para instalar o pacote referente ao SQUID, basta utilizar o seguinte comando:
rpm –ivh squid........................rpm
Em seguida, será criado o seguinte diretório:
/etc/squid
A partir desse momento, o processo de instalação do Squid está finalizado.
Configuração do SQUID
Após a instalação do pacote SQUID, é necessário configurar o arquivo squid.conf que pode ser encontrado no diretório /etc/squid:
Arquivo de configuração SQUID.CONF comentando:
// Define a porta que irá aceitar as requisições
http_port 3128
// Configuração padrão
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
// Configuração de memória cache. Recomenda-se, no mínimo, ¼ da memória
cache_mem 128 MB
// Configuração da memória SWAP. Quanto mais próximo for estes números, menor será a memória SWAP
cache_swap_low 90
cache_swap_high 95
// Define o tamanho máximo de elementos a serem cacheados.
maximum_object_size 8120 KB
// Configuração padrão
cache_dir ufs /var/spool/squid 3000 16 256
// Define onde serão armazenados os logs do SQUID
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
// Configuração padrão
ftp_user Squid@
ftp_telnet_protocol on
// Ativa o SquidGuard
redirect_program /usr/bin/squidGuard
// Define a quantidade de processos a serem estartados. Indica-se 4
redirect_children 4
// Configuração padrão
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
// Definição de ACLS de acesso
// Define a configuração IP da rede
acl all src 172.16.0.0/255.255.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
// Define as portas conhecidas e liberadas
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 23 #telnet
acl Safe_ports port 80 # http
acl Safe_ports port 8080 # https
acl Safe_ports port 21 # ftp
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 3001 # Receptor Imprensa Nacional
acl Safe_ports port 8004 # Imprensa Nacional
acl Safe_ports port 1494 # Sigov
acl Safe_ports port 1521 # Siafi Gerencial
acl Safe_ports port 3460 # Serpro EDM
acl Safe_ports port 102 # X400
acl Safe_ports port 16000 # Siscon
acl Safe_ports port 23000 # SerproWeb
acl Safe_ports port 2631 # Sefip
acl Safe_ports port 12010 # Cnpq Curriculo Lates
acl purge method PURGE
// Permite conexão
acl CONNECT method CONNECT
// Define um arquivo, onde serão colocados sites proibidos
acl bad_sites dstdom_regex "/etc/squid/bad_sites"
// Nega acesso a estes sites
http_access deny bad_sites
// Permite acesso às portas conhecidas, citadas anteriormente
http_access allow Safe_ports
http_access allow SSL_ports
// ACLs de Gerência
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mgr webmaster
// Define o nome da máquina onde está o servidor proxy
visible_hostname host.orgao.gov.br
// Configuração para o proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
// Define qual será a página de erro
deny_info http://172.16.x.x/proibido.html bad_sites
coredump_dir /var/spool/squid
Arquivo BAD_SITES
// Arquivo onde se definem outras páginas proibidas
// Colocar . no lugar de www
.e-messenger.net
.login.passport.net
.messenger.hotmail.com
.mail.yahoo.com.br
.mail.yahoo.com
.hotmail.com
.msn.com
.msn.com.br
.igmail.com.br
.mymail.com.br
.zipmail.com.br
.zipmail.com
.webmail.click21.com.br
.email.uol.com.br
.correio.uol.com.br
.playboy.com
.playboy.com.br
.orkut.com
.ig.com.br
terça-feira, 13 de março de 2012
TERCEIRIZAÇÃO OU OUTSOURCING EM TI NA EMPRESA
A terceirização tem sido muito utilizada nas empresas brasileiras. Hoje mais do que nunca os serviços na área de TI tanto na parte de software como hardware, estão sendo terceirizados no intuito de melhorar cada vez mais o meio pelo qual as empresas fazem seus negócios.
Quando fala-se em terceirização na “cúpula administrativa” da empresa, é sinal de algo não vai muito bem em determinada área. As empresas só terceirizam quando as atividades que não fazem parte do negócio principal da empresa estão atrapalhando a produtividade; no geral são atividades padronizadas que não requeiram especialização, onde não há mudanças constantes que comprometam a missão da empresa e que não justifique uma equipe própria.
Alguns fatores são relevantes na hora de decidir terceirizar ou não, esses fatores são decisivos, pois se tem muito a perder se algo der errado. Podemos citar como fatores importantes à complexidade da tecnologia utilizada, a dependência dos negócios em cima dessa tecnologia, as dificuldades de voltar atrás caso algo dê errado, a preparação da área técnica da empresa e os custos da área em relação aos custos da terceirização. Se esses fatores foram analisados e todos estão de acordo que o melhor é a terceirização, então vamos a alguns itens de suma importância para que a terceirização obtenha sucesso.
A escolha da terceirizada tem que ser feita com muita calma e avaliação das empresas, nem sempre o mais barato ou um pacote fechado é a melhor solução, deve-se avaliar se a metodologia de trabalho da contratada está de acordo com que se busca.
Outros fatores muito importantes na avaliação são as questões de capacitação da contratada tais como: tecnologia que a contratada utiliza, se é moderna ou não (pois não adianta evoluir em software e não evoluir em tecnologia ou utilizar bancos de dados desatualizados etc.), o tempo em que a empresa está no mercado também é um fator importante bem como quem são seus clientes (é importante visitar dois ou mais clientes da empresa de sua escolha e analisar o pós-venda da solução, ou seja, o suporte, o tempo de atendimento, o comprometimento entre outros aspectos).
O próximo passo é a preparação interna da empresa ou área a ser terceirizada. A preparação do pessoal da área de TI e dos usuários em geral é muito importante, pois se não estiverem de pleno acordo quanto ao que está sendo feito ser o melhor para todos, podem comprometer o processo.
E não menos importante é o contrato – onde se faz mister o acompanhamento da área jurídica da empresa - que é o instrumento que firma que ambas as partes estão cientes dos riscos que irão correr, que firma direitos e deveres de uma para com a outra. No contrato temos que avaliar diversos fatores que são decisivos como o prazo para se começar a implantação do sistema, o prazo para se terminar a implantação do sistema, até onde vai o comprometimento da área de TI da empresa (equipamentos que a empresa se compromete a disponibilizar, espaço físico que a empresa deixará para a equipe que participará da implantação), quantas pessoas e qual nível dos que farão parte do processo de implantação e após a implantação, questões referentes a treinamentos e também possíveis multas que serão acordadas caso não haja cumprimento do contrato.
Após todos esses fatores terem sido analisados é só começar o processo de implantação, torcer para que tudo dê certo e que seja o menos doloroso possível.
Quando fala-se em terceirização na “cúpula administrativa” da empresa, é sinal de algo não vai muito bem em determinada área. As empresas só terceirizam quando as atividades que não fazem parte do negócio principal da empresa estão atrapalhando a produtividade; no geral são atividades padronizadas que não requeiram especialização, onde não há mudanças constantes que comprometam a missão da empresa e que não justifique uma equipe própria.
Alguns fatores são relevantes na hora de decidir terceirizar ou não, esses fatores são decisivos, pois se tem muito a perder se algo der errado. Podemos citar como fatores importantes à complexidade da tecnologia utilizada, a dependência dos negócios em cima dessa tecnologia, as dificuldades de voltar atrás caso algo dê errado, a preparação da área técnica da empresa e os custos da área em relação aos custos da terceirização. Se esses fatores foram analisados e todos estão de acordo que o melhor é a terceirização, então vamos a alguns itens de suma importância para que a terceirização obtenha sucesso.
A escolha da terceirizada tem que ser feita com muita calma e avaliação das empresas, nem sempre o mais barato ou um pacote fechado é a melhor solução, deve-se avaliar se a metodologia de trabalho da contratada está de acordo com que se busca.
Outros fatores muito importantes na avaliação são as questões de capacitação da contratada tais como: tecnologia que a contratada utiliza, se é moderna ou não (pois não adianta evoluir em software e não evoluir em tecnologia ou utilizar bancos de dados desatualizados etc.), o tempo em que a empresa está no mercado também é um fator importante bem como quem são seus clientes (é importante visitar dois ou mais clientes da empresa de sua escolha e analisar o pós-venda da solução, ou seja, o suporte, o tempo de atendimento, o comprometimento entre outros aspectos).
O próximo passo é a preparação interna da empresa ou área a ser terceirizada. A preparação do pessoal da área de TI e dos usuários em geral é muito importante, pois se não estiverem de pleno acordo quanto ao que está sendo feito ser o melhor para todos, podem comprometer o processo.
E não menos importante é o contrato – onde se faz mister o acompanhamento da área jurídica da empresa - que é o instrumento que firma que ambas as partes estão cientes dos riscos que irão correr, que firma direitos e deveres de uma para com a outra. No contrato temos que avaliar diversos fatores que são decisivos como o prazo para se começar a implantação do sistema, o prazo para se terminar a implantação do sistema, até onde vai o comprometimento da área de TI da empresa (equipamentos que a empresa se compromete a disponibilizar, espaço físico que a empresa deixará para a equipe que participará da implantação), quantas pessoas e qual nível dos que farão parte do processo de implantação e após a implantação, questões referentes a treinamentos e também possíveis multas que serão acordadas caso não haja cumprimento do contrato.
Após todos esses fatores terem sido analisados é só começar o processo de implantação, torcer para que tudo dê certo e que seja o menos doloroso possível.
terça-feira, 6 de março de 2012
Tutorial OpenVPN Instalação e Configuração
Instalando o Lado Servidor
Instalar o Linux com modulo GCC
Instalando o programa de compressão de dados:
# tar xvf lzo-1.08.tar
# cd lzo-1.08
# ./configure
# make
# make install
Instalando o OpenVPN:
# tar xvf openvpn-1.4.3.tar
# cd openvpn-1.4.3
# ./configure
# make
# make install
Configurando os arquivos:
Criar o diretório em /etc
# mkdir openvpn
# cd openvpn
Criar o arquivo uniao.conf, nesse arquivo ficarão os dados referente a VPN
#
# Sample OpenVPN configuration file for
# office using SSL/TLS mode and RSA certificates/keys.
#
# '#' or ';' may be used to delimit comments.
# Use a dynamic tun device.
# For Linux 2.2 or non-Linux OSes,
# you may want to use an explicit
# unit number such as "tun1".
# OpenVPN also supports virtual
# ethernet "tap" devices.
# Esse é o tipo de tunel que será usado tun para linux e tap para Windows
dev tun
# 10.1.0.1 is our local VPN endpoint (office).
# 10.1.0.2 is our remote VPN endpoint (home).
# Esse serão os Ips utilizados pelo túnel da VPN
ifconfig 10.0.0.1 10.0.0.2
# Our OpenVPN peer is the office gateway.
# Esse sera o IP do Servidor de VPN no lado do cliente será descomentado # e colocado o Ip válido
#remote 200.248.23.190
# Our up script will establish routes
# once the VPN is alive.
# Esse é o caminho do arquivo de rotas que será criado mais adiante
up /etc/openvpn/vpn.up
########################################################################
UTILIZADO PARA SSL AUTENTICAÇÃO (NÃO SERA UTILIZADO NO NOSSO CASO
########################################################################
# In SSL/TLS key exchange, Office will
# assume server role and Home
# will assume client role.
#tls-server
# Diffie-Hellman Parameters (tls-server only)
#dh dh1024.pem
# Certificate Authority file
#ca my-ca.crt
# Our certificate/public key
#cert arquivo.crt
#########################################################################
# Our private key
# Será o local onde estará o arquivo com a chave de criptografia da VPN
# esse arquivo será copia posteriormente para a máquina cliente
secret /etc/openvpn/vpn.key
# OpenVPN uses UDP port 5000 by default.
# Each OpenVPN tunnel must use
# a different port number.
# lport or rport can be used
# to denote different ports
# for local and remote.
# Porta utilizada pela VPN
port 5000
# Downgrade UID and GID to
# "nobody" after initialization
# for extra security.
; user nobody
; group nobody
# If you built OpenVPN with
# LZO compression, uncomment
# out the following line.
# Quando utilizado o método de compressão LZO descomentar essa linha
comp-lzo
# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
# Descomentar para habilitar ping na vpn essa opção fica verificando se a #rede está on-line e estabelece a conexão.
ping 15
# Uncomment this section for a more reliable detection when a system
# loses its connection. For example, dial-ups or laptops that
# travel to other locations.
; ping 15
; ping-restart 45
; ping-timer-rem
; persist-tun
; persist-key
# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3
Após configurar o arquivo .conf criaremos as rotas dos Hosts na VPN
Criar um arquivo chamado união.up com o seguinte conteúdo
#!/bin/sh
/sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.2 metric 1
Logo após criar o arquivo de criptografia que será utilizado na rede VPN
# openvpn –genkey –secret vpn.key
# Arquivo que será criado segue abaixo
-----BEGIN OpenVPN Static key V1-----
9170f7e4b75e8380
66b6de9c383e0beb
707b5df0b8782d95
4426ce207a24b112
0bf52796daa8295a
954671d811c5a5a4
4280bce31151f89f
4b4508820321b13f
24487a0dc3c376d2
64afb6ecb570e210
2fea89b81d3d3e8c
9d79c8989a86bf65
460892aa96823f93
d7173e799df7c62f
0e8378fba369ca82
842ed215dc6f7db3
-----END OpenVPN Static key V1-----
Após tudo criado só levantar o serviço com o comando:
# openvpn –config /etc/openvpn/vpn.conf
Instalando o Lado Cliente
Instalar o Linux com Kernel GCC
Instalando o programa de compressão de dados:
# tar xvf lzo-1.08.tar
# cd lzo-1.08
# ./configure
# make
# make install
Instalando o OpenVPN:
# tar xvf openvpn-1.4.3.tar
# cd openvpn-1.4.3
# ./configure
# make
# make install
Configurando os arquivos:
Criar o diretório em /etc
# mkdir openvpn
# cd openvpn
Criar o arquivo vpn.conf, nesse arquivo ficarão os dados referente a VPN
#
# Sample OpenVPN configuration file for
# office using SSL/TLS mode and RSA certificates/keys.
#
# '#' or ';' may be used to delimit comments.
# Use a dynamic tun device.
# For Linux 2.2 or non-Linux OSes,
# you may want to use an explicit
# unit number such as "tun1".
# OpenVPN also supports virtual
# ethernet "tap" devices.
# Esse é o tipo de tunel que será usado tun para linux e tap para Windows
dev tun
# 10.1.0.1 is our local VPN endpoint (office).
# 10.1.0.2 is our remote VPN endpoint (home).
# Esse serão os Ips utilizados pelo túnel da VPN
ifconfig 10.0.0.2 10.0.0.1
# Our OpenVPN peer is the office gateway.
# Esse será o IP do Servidor de VPN no lado do cliente será descomentado # e colocado o Ip válido
remote 200.248.23.190
# Our up script will establish routes
# once the VPN is alive.
# Esse é o caminho do arquivo de rotas que será criado mais adiante
up /etc/openvpn/vpn.up
########################################################################
UTILIZADO PARA SSL AUTENTICAÇÃO (NÃO SERA UTILIZADO NO NOSSO CASO
########################################################################
# In SSL/TLS key exchange, Office will
# assume server role and Home
# will assume client role.
#tls-server
# Diffie-Hellman Parameters (tls-server only)
#dh dh1024.pem
# Certificate Authority file
#ca my-ca.crt
# Our certificate/public key
#cert arquivo.crt
#########################################################################
# Our private key
# Será o local onde estará o arquivo com a chave de criptografia da VPN
# esse arquivo será copia posteriormente para a máquina cliente
secret /etc/openvpn/vpn.key
# OpenVPN uses UDP port 5000 by default.
# Each OpenVPN tunnel must use
# a different port number.
# lport or rport can be used
# to denote different ports
# for local and remote.
# Porta utilizada pela VPN
port 5000
# Downgrade UID and GID to
# "nobody" after initialization
# for extra security.
; user nobody
; group nobody
# If you built OpenVPN with
# LZO compression, uncomment
# out the following line.
# Quando utilizado o método de compressão LZO descomentar essa linha
comp-lzo
# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
# Descomentar para habilitar ping na vpn essa opção fica verificando se a #rede está on-line e estabelece a conexão.
ping 15
# Uncomment this section for a more reliable detection when a system
# loses its connection. For example, dial-ups or laptops that
# travel to other locations.
; ping 15
; ping-restart 45
; ping-timer-rem
; persist-tun
; persist-key
# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3
Após configurar o arquivo .conf criaremos as rotas dos Hosts na VPN
Criar um arquivo chamado união.up com o seguinte conteúdo
#!/bin/sh
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1 metric 1
Logo após copiar o arquivo de chave do servidor para o cliente
Após tudo criado só levantar o serviço com o comando:
# openvpn –config /etc/openvpn/vpn.conf
Instalar o Linux com modulo GCC
Instalando o programa de compressão de dados:
# tar xvf lzo-1.08.tar
# cd lzo-1.08
# ./configure
# make
# make install
Instalando o OpenVPN:
# tar xvf openvpn-1.4.3.tar
# cd openvpn-1.4.3
# ./configure
# make
# make install
Configurando os arquivos:
Criar o diretório em /etc
# mkdir openvpn
# cd openvpn
Criar o arquivo uniao.conf, nesse arquivo ficarão os dados referente a VPN
#
# Sample OpenVPN configuration file for
# office using SSL/TLS mode and RSA certificates/keys.
#
# '#' or ';' may be used to delimit comments.
# Use a dynamic tun device.
# For Linux 2.2 or non-Linux OSes,
# you may want to use an explicit
# unit number such as "tun1".
# OpenVPN also supports virtual
# ethernet "tap" devices.
# Esse é o tipo de tunel que será usado tun para linux e tap para Windows
dev tun
# 10.1.0.1 is our local VPN endpoint (office).
# 10.1.0.2 is our remote VPN endpoint (home).
# Esse serão os Ips utilizados pelo túnel da VPN
ifconfig 10.0.0.1 10.0.0.2
# Our OpenVPN peer is the office gateway.
# Esse sera o IP do Servidor de VPN no lado do cliente será descomentado # e colocado o Ip válido
#remote 200.248.23.190
# Our up script will establish routes
# once the VPN is alive.
# Esse é o caminho do arquivo de rotas que será criado mais adiante
up /etc/openvpn/vpn.up
########################################################################
UTILIZADO PARA SSL AUTENTICAÇÃO (NÃO SERA UTILIZADO NO NOSSO CASO
########################################################################
# In SSL/TLS key exchange, Office will
# assume server role and Home
# will assume client role.
#tls-server
# Diffie-Hellman Parameters (tls-server only)
#dh dh1024.pem
# Certificate Authority file
#ca my-ca.crt
# Our certificate/public key
#cert arquivo.crt
#########################################################################
# Our private key
# Será o local onde estará o arquivo com a chave de criptografia da VPN
# esse arquivo será copia posteriormente para a máquina cliente
secret /etc/openvpn/vpn.key
# OpenVPN uses UDP port 5000 by default.
# Each OpenVPN tunnel must use
# a different port number.
# lport or rport can be used
# to denote different ports
# for local and remote.
# Porta utilizada pela VPN
port 5000
# Downgrade UID and GID to
# "nobody" after initialization
# for extra security.
; user nobody
; group nobody
# If you built OpenVPN with
# LZO compression, uncomment
# out the following line.
# Quando utilizado o método de compressão LZO descomentar essa linha
comp-lzo
# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
# Descomentar para habilitar ping na vpn essa opção fica verificando se a #rede está on-line e estabelece a conexão.
ping 15
# Uncomment this section for a more reliable detection when a system
# loses its connection. For example, dial-ups or laptops that
# travel to other locations.
; ping 15
; ping-restart 45
; ping-timer-rem
; persist-tun
; persist-key
# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3
Após configurar o arquivo .conf criaremos as rotas dos Hosts na VPN
Criar um arquivo chamado união.up com o seguinte conteúdo
#!/bin/sh
/sbin/route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.0.0.2 metric 1
Logo após criar o arquivo de criptografia que será utilizado na rede VPN
# openvpn –genkey –secret vpn.key
# Arquivo que será criado segue abaixo
-----BEGIN OpenVPN Static key V1-----
9170f7e4b75e8380
66b6de9c383e0beb
707b5df0b8782d95
4426ce207a24b112
0bf52796daa8295a
954671d811c5a5a4
4280bce31151f89f
4b4508820321b13f
24487a0dc3c376d2
64afb6ecb570e210
2fea89b81d3d3e8c
9d79c8989a86bf65
460892aa96823f93
d7173e799df7c62f
0e8378fba369ca82
842ed215dc6f7db3
-----END OpenVPN Static key V1-----
Após tudo criado só levantar o serviço com o comando:
# openvpn –config /etc/openvpn/vpn.conf
Instalando o Lado Cliente
Instalar o Linux com Kernel GCC
Instalando o programa de compressão de dados:
# tar xvf lzo-1.08.tar
# cd lzo-1.08
# ./configure
# make
# make install
Instalando o OpenVPN:
# tar xvf openvpn-1.4.3.tar
# cd openvpn-1.4.3
# ./configure
# make
# make install
Configurando os arquivos:
Criar o diretório em /etc
# mkdir openvpn
# cd openvpn
Criar o arquivo vpn.conf, nesse arquivo ficarão os dados referente a VPN
#
# Sample OpenVPN configuration file for
# office using SSL/TLS mode and RSA certificates/keys.
#
# '#' or ';' may be used to delimit comments.
# Use a dynamic tun device.
# For Linux 2.2 or non-Linux OSes,
# you may want to use an explicit
# unit number such as "tun1".
# OpenVPN also supports virtual
# ethernet "tap" devices.
# Esse é o tipo de tunel que será usado tun para linux e tap para Windows
dev tun
# 10.1.0.1 is our local VPN endpoint (office).
# 10.1.0.2 is our remote VPN endpoint (home).
# Esse serão os Ips utilizados pelo túnel da VPN
ifconfig 10.0.0.2 10.0.0.1
# Our OpenVPN peer is the office gateway.
# Esse será o IP do Servidor de VPN no lado do cliente será descomentado # e colocado o Ip válido
remote 200.248.23.190
# Our up script will establish routes
# once the VPN is alive.
# Esse é o caminho do arquivo de rotas que será criado mais adiante
up /etc/openvpn/vpn.up
########################################################################
UTILIZADO PARA SSL AUTENTICAÇÃO (NÃO SERA UTILIZADO NO NOSSO CASO
########################################################################
# In SSL/TLS key exchange, Office will
# assume server role and Home
# will assume client role.
#tls-server
# Diffie-Hellman Parameters (tls-server only)
#dh dh1024.pem
# Certificate Authority file
#ca my-ca.crt
# Our certificate/public key
#cert arquivo.crt
#########################################################################
# Our private key
# Será o local onde estará o arquivo com a chave de criptografia da VPN
# esse arquivo será copia posteriormente para a máquina cliente
secret /etc/openvpn/vpn.key
# OpenVPN uses UDP port 5000 by default.
# Each OpenVPN tunnel must use
# a different port number.
# lport or rport can be used
# to denote different ports
# for local and remote.
# Porta utilizada pela VPN
port 5000
# Downgrade UID and GID to
# "nobody" after initialization
# for extra security.
; user nobody
; group nobody
# If you built OpenVPN with
# LZO compression, uncomment
# out the following line.
# Quando utilizado o método de compressão LZO descomentar essa linha
comp-lzo
# Send a UDP ping to remote once
# every 15 seconds to keep
# stateful firewall connection
# alive. Uncomment this
# out if you are using a stateful
# firewall.
# Descomentar para habilitar ping na vpn essa opção fica verificando se a #rede está on-line e estabelece a conexão.
ping 15
# Uncomment this section for a more reliable detection when a system
# loses its connection. For example, dial-ups or laptops that
# travel to other locations.
; ping 15
; ping-restart 45
; ping-timer-rem
; persist-tun
; persist-key
# Verbosity level.
# 0 -- quiet except for fatal errors.
# 1 -- mostly quiet, but display non-fatal network errors.
# 3 -- medium output, good for normal operation.
# 9 -- verbose, good for troubleshooting
verb 3
Após configurar o arquivo .conf criaremos as rotas dos Hosts na VPN
Criar um arquivo chamado união.up com o seguinte conteúdo
#!/bin/sh
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.0.0.1 metric 1
Logo após copiar o arquivo de chave do servidor para o cliente
Após tudo criado só levantar o serviço com o comando:
# openvpn –config /etc/openvpn/vpn.conf
sábado, 3 de março de 2012
Configurando o DNS para minha rede AD
Esta parte é muito importante em uma rede gerenciada pelo AD o DNS por padrão sempre utilizamos o servidor onde está instaldo o AD como servidor de DNS mesmo que esse faça consulta a outros servidores não sendo o servidor oficial da rede.
Abra o server manager vá a dns\forward lookup zones
com o botão direito em forward lookup zones e new zone
next -- next --next
coloque o nome da zona next até o fim
após criar os serviços www ftp mail etc...
clique com o botão direito na zona e clique em novo host
Dica: quando trocar o ip de algum serviço tem que limpar o cache via prompt
em seguida digite no prompt ipconfig /flushdns
Para redirecionar o dns para fora, basta clicar com o botão direito no nome da máquina em DNS e clicar em propriedades ir forwarders e cadastrar o DNS desejado.
Para criar um servidor de dns secundário sendo integrado ao active directory não precisa fazer nada ele cria automaticamente.
Para criar um fora do AD tipo linux e windows tem que mudar a integração do dns da seguinte forma:
com botão direito na zona vá em propriedades logo em type e em change
desabilite a caixa store the zone.................................
em zone tranference tem que habilitar para todos os hosts.
logo em seguida vá no outro servidor e crie o dominio como secundário
pontando para o ip do primário.
Abra o server manager vá a dns\forward lookup zones
com o botão direito em forward lookup zones e new zone
next -- next --next
coloque o nome da zona next até o fim
após criar os serviços www ftp mail etc...
clique com o botão direito na zona e clique em novo host
Dica: quando trocar o ip de algum serviço tem que limpar o cache via prompt
em seguida digite no prompt ipconfig /flushdns
Para redirecionar o dns para fora, basta clicar com o botão direito no nome da máquina em DNS e clicar em propriedades ir forwarders e cadastrar o DNS desejado.
Para criar um servidor de dns secundário sendo integrado ao active directory não precisa fazer nada ele cria automaticamente.
Para criar um fora do AD tipo linux e windows tem que mudar a integração do dns da seguinte forma:
com botão direito na zona vá em propriedades logo em type e em change
desabilite a caixa store the zone.................................
em zone tranference tem que habilitar para todos os hosts.
logo em seguida vá no outro servidor e crie o dominio como secundário
pontando para o ip do primário.
Assinar:
Postagens (Atom)