|
A1
Ao contrário daquilo que se possa deduzir da leitura dos capítulos dedicados ao TCP/IP, num mesmo segmento de rede podem subsistir máquinas utilizando diferentes Network ID. Uma das utilizações a dar a este tipo de configuração é o isolamento do tráfego. Uma outra razão pode prender-se com o esgotamento da gama de endereços fornecidos pelo ISP ou limitada pela utilização de um Host ID demasiado estreito.
Assim sendo, num segmento podem existir duas redes distintas, como as seguintes, sendo que o Network ID aparece representado a vermelho:
10.0.3.0 10.0.4.0
Neste caso, o fluxo de rede será partilhado, mas duas máquinas Network ID distinto não conseguem comunicar. Entre máquinas com o mesmo Network ID, tudo bem. Isto permite criar duas redes totalmente isoladas, porque a troca de pacotes IP é impossível. Pode experimentar executar o seguinte comando numa máquina da rede 3:
ping 10.0.0.4
Não resultará resposta, porque a máquina manda o pacote para a default gateway (geralmente acesso à Internet) ou gera erro.
Se existir a necessidade de computadores das duas redes lógicas trocarem pacotes IP para acesso mútuo, a routing table terá de ser alterada do seguinte modo:
Nas máquinas da rede 3 que necessitam comunicar com rede 4:
Executar 1 vez: route -p add 10.0.4.0 mask 255.255.255.0 10.0.3.n
Nas máquinas da rede 4 que necessitam comunicar com rede 3:
Executar 1 vez: route -p add 10.0.3.0 mask 255.255.255.0 10.0.4.n
Nota: n = Host ID da máquina onde executa o comando
Isto é especialmente interessante para proceder ao isolamento de tráfego que partilha um mesmo segmento de rede física, nomeadamente quando existe um só router NAT para acesso à Internet, caso em que a configuração deverá consistir no subnetting da rede interna, conforme artigo seguinte.
A2 Configuração IP num Acesso à Internet (baseado no problema do artigo anterior)
Este caso foi escolhido tendo em consideração um problema colocado por um leitor. Poder-se-ia resolver o problema de outro modo se certas condicionantes não se colocassem, nomeadamente a impossibilidade assumida de reduzir o tamanho da subnet mask, que algumas gateways não permitem.
Neste caso, trata-se de uma rede ligada à Internet através de um Router suportando NAT, que providencia o acesso a todos os computadores que para ele despachem pacotes IP destinados àquela rede. Os pacotes são despachados se os computadores estiverem devidamente configurados, isto é, pertencendo à rede 10.0.3.0, tendo o router como default gateway, isto é, o IP 10.0.3.1.
O problema é que a instituição tem também uma série de computadores numa rede 10.0.4.0, que se pretende isolada da restante ao nível IP, por questões de segurança. O problema da partilha do acesso à Internet resolver-se-ia isolando a rede 4 da rede 3 através de uma firewall, mas neste caso a instituição não quer ou não pode adquirir o hardware. Assim sendo, resta-nos integrar as duas redes lógicas numa única rede física, isto é, ligando todas as máquinas ao mesmo hub (ou conjunto de hubs), ligado também à porta Ethernet do router.
Solução com Subnetting (Manutenção do endereço IP Interno do Router)
Esta solução parte do princípio que o IP do router não pode ser alterado, servindo como restrição que nos obrigará a "partir" um pouco mais a cabeça.
A solução a adoptar consiste no subnetting da rede existente, que é 10.0.3.0, como subnet mask igual a 255.255.255.0, que é a rede a que pertence a porta do router, ligada ao resto da rede via hub.
O que vamos fazer é "partir" o último byte em duas partes distintas. Os dois primeiros bits deste byte servirão para especificar as duas redes, que serão identificadas por 10 e 01, em binário. isto dá valores iguais a 128 e 64, respectivamente.
Repare que para o fazer, temos de configurar os dois grupos de máquinas com uma subnet mask que tomará o valor 255.255.255.192, conforme figura. No router fica tudo na mesma, porque este verá toda a rede como única, independentemente do valor do 4º byte de cada IP. Para ele são tudo computadores de 10.0.3.1 a 10.0.3.254.
Ficaremos então com dois grupos de máquinas:
Grupo da Esquerda Endereços IP de 129 até 190 (128+1 ... 254-64) Subnet Mask = 255.255.255.192 Subnet Mask = 10.0.3.1
Grupo da Direita Endereços IP de 65 até 126 (64+1 ... 127-1) Subnet Mask = 255.255.255.192 Subnet Mask = 10.0.3.1
Nesta fase:
- O router consegue enviar pacotes IP para qualquer host - Nenhum Host da rede consegue enviar pacotes IP para o router - Os hosts da esquerda conseguem comunicar entre si (pode testar com PING) - Os hosts da direita conseguem comunicar entre si (pode testar com PING)
Pelo que:
- Se efectuar um PING num host da esquerda para um da direita ou para o router, obtém uma resposta do tipo Unreachable (inalcançável)
- Os hosts de um e de outro lado não conseguem comunicar. Precisamente o que interessa.
Vamos então dar a pequena "martelada" na routing table, que permitirá aos hosts de um e de outro lado comunicar com a porta do router, e só esta com esta, o que permitirá o acesso á Internet. No fim desta configuração, os hosts deverão conseguir pingar o router, e por consequência, continuar a beneficiar do acesso à Internet, desde que bem configurados, isto é, como router como default gateway e como clientes DNS de um servidor disponível. Aqui está:
route -p add 10.0.3.1 mask 255.255.255.255 10.0.3.x
Nota: x representa o IP da máquina que está a configurar Nota: se não utilizar a opção -p, a configuração desaparece depois do restart da máquina
A solução para que as máquinas dos dois lados consigam comunicar entre si está num Microartigo do Update 5 - Dezembro 2001.
Solução sem Subnetting ( A utilizar no caso de o Router/Gateway permitir a configuração de mais de um IP )
Esta era mais fácil. Se o router admitisse múltiplos endereços IP para a sua porta, bastaria adicionar mais um endereço. Esta solução poderia ser utilizada, por exemplo, se se tratasse de um servidor Windows 2000 funcionando como NAT router, eventualmente com mais de um adaptador de rede.
Outra Solução sem Subnetting ( Utilizando uma Firewall Interna com NAT )
Neste caso, manter-se-ia apenas uma rede, 10.0.3.0 / 255.255.255.0. Para além dos hosts na rede Interna, esta teria uma firewall instalada com um endereço 10.0.3.x, e do outro lado desta estariam os computadores cujo acesso é mais restrito. Estes poderiam formar uma rede 10.0.4.0 ou outra qualquer.
Neste caso, os computadores desta rede isolada por detrás da firewall teriam esta como default gateway, beneficiando do acesso ao exterior. Por sua vez, a firewall teria o router como a sua default gateway.
A3 Criação e Utilização do Startup Disk
A criação do startup disk para o Windows 2000/NT é algo que deve fazer sempre que procede a uma instalação, principalmente nos servidores. O Objectivo do Startup Disk é providenciar um mecanismo de arranque alternativo ao baseado na utilização do disco, no qual residem os ficheiros de arranque, de que falaremos.
A manutenção de um disco um Startup Disk actualizado prende-se essencialmente com a possibilidade de haver qualquer tipo de problema com um pequeno conjunto de ficheiros de arranque, sem os quais o carregamento do sistema operativo nunca chega a ocorrer. Normalmente, este tipo de problema resulta na ocorrência de um erro durante a fase inicial de arranque, imediatamente antes ou depois do aparecimento do menu de selecção do sistema operativo a usar. O problema propriamente dito deriva do facto de um ou mais ficheiros estarem corrompidos (por causas diversas, incluindo a infecção por um vírus), mas também devido ao apagamento acidental.
Antes de passarmos à vertente prática, há que considerar que o Startup Disk apenas resolve os problemas relacionados com os ficheiros de arranque, incluindo o conteúdo do menu de opções, não resolvendo qualquer problema relacionado com a instalação propriamente dita. Simplificadamente, o que este disco nos permitirá fazer é iniciar o carregamento de uma instância do sistema operativo instalado na máquina. Se houver um problema com a instalação propriamente dita, isto é, com os ficheiros e configurações armazenadas no folder de sistema (eventualmente, c:\winnt), a resolução do problema passará por outros processos, nomeadamente a reparação da instalação, iniciada através da utilização da tecla F8 durante o processo de arranque. Mas isso é outro problema.
1.Criação do Disco
O processo é idêntico no Windows NT e no Windows 2000, sendo constituído por duas fase bastante simples: a formatação do disco e a cópia dos ficheiros necessários ao arranque.
No que à formatação diz respeito, há que considerar que o disco será um disco de arranque do Windows NT ou 2000, pelo que que é necessário proceder à formatação com estes sistemas operativos, não com outros, caso contrário não funcionará de modo adequado. A formatação poderá ser feita através do interface gráfico. Basta inserir a disquete, executar um click com o botão direito sobre a representação do drive a: e seleccionar Format no menu. A formatação será feita usando FAT.
Depois de formatado o disco, há que nele depositar os ficheiros necessários ao arranque. Dependendo da configuração do sistema, nomeadamente da existência ou não de controladoras SCSI e de instalações de DOS na mesma máquina, o número de ficheiros necessários será maior ou menor. Porém, como o conjunto de ficheiros se restringe a 5 unidades, pode colocá-los lá todos. Os ficheiros a copiar são os seguintes:
boot.ini ntldr ntdetect.com ntbootdd.sys (necessário se a máquina usar controladoras SCSI com BIOS activado) bootsect.dos (necessário se computador também tem DOS instalado)
Os ficheiros de arranque são "escondidos" (opção Hidden[H]) e são também considerados como ficheiros de sistema[S], pelo que poderá não os conseguir visualizar através do Explorer. Utilize o menu Tools|Folder Options para os fazer aparecer.
Estes ficheiros já existem no disco de um computador com o Windows NT/2000 instalado, pelo que deve recorrer ao folder c:\ no sentido de os procurar para efectuar a cópia para o disco. Não faça Move dos ficheiros, caso contrário não conseguirá arrancar do disco.
2.Teste
Para testar o disco, aquilo que terá de fazer é prescindir do arranque a partir do disco. A ideia é configurar o sistema de modo a arrancar da disquete e utilizar o respectivo conteúdo para lançar em execução o carregamento do sistema operativo. Para o efeito deve configurar o BIOS do sistema de modo a privilegiar o arranque a partir do Startup Disk, que deve estar inserido no respectivo drive. Deve depois reiniciar o computador, verificando a actividade do disco durante o processo de arranque. Se correr bem, aparecerá o menu de selecção do sistema operativo (se existir mais de uma opção de arranque no menu habitual). É apenas a primeira fase. Depois deve seleccionar a opção que entender e verificar que todo as elas funcionam. Mas esta fase pode correr mal (ver secção seguinte).
3.Martelando o BOOT.INI
Nos casos em que existem mais de um disco instalado no computador, o arranque a partir da disquete pode não ter sucesso, passando o problema pela reconfiguração do ficheiro boot.ini. Este ficheiro não é mais do que um simples ficheiro de texto, que contém o menu de selecção de sistema operativo, com os respectivos títulos, bem como a indicação sobre a localização da instalação em termos de controladora, disco e partição. Vejamos um exemplo de conteúdo de boot.ini residente no disco duro, mas que não funciona quando executado a partir de uma disquete de arranque:
[boot
loader]
Este conteúdo serve para arrancar do disco. Mas quando utilizado na disquete, pode ter que ser alterado conforme a porção indicada a vermelho:
[boot
loader]
O problema prende-se com o facto de na primeira versão o sistema arrancar a partir do disco. Quando arranca, o sistema considera o disco de arranque como sendo o disco zero, peloq ue qrocura a instalação no Windows NT/2000 no folder \win2kv1 dentro do disco 0 (zero), ele mesmo. No entanto, no caso do arranque a partir da disque, o processo pode não funcionar, porque o disco duro que contém a instalação (no caso de haver mais de um disco ou controladora) pode ser visto como o segundo disco (disco 1). Daí a necessidade de alterar o ficheiro do modo indicado.
Os DNS Servers nas LANs com acesso à Internet (linha dedicada ou dial-up)
Alguns administradores de redes manifestam alguma confusão quanto a este tema, pelo que, aqui vai.
Responsabilidade da administração
Possivelmente,
existirá uma Firewall entre o servidor e o Router de acesso à
Internet, pelo que o endereço IP fornecido será o endereço a
aplicar à Firewall e não ao adaptador de rede. Neste caso, a
Firewall despachará os pacotes para a LAN (através de uma
segunda porta Ethernet, àquela ligada), onde se encontra o
servidor, desta vez com um endereço privado, atingível da
Internet porque a Firewall utiliza o protocolo NAT para manter a
ligação entre a Internet e um endereço IP privado. Neste
caso, tanto o endereço IP do servidor como o da porta que liga
a Firewall à LAN podem ser livremente escolhidos.
Salvo a excepção de que falarei, não deve haver duplicação na LAN de zonas correspondentes a domínios existentes na Internet. Se assim não for, o acesso poderá não ser possível. Isto porque se os computadores da LAN recorrerem ao servidor local para resolver um nome pertencente a microsoft.com e este existir no servidor DNS, o resultado será o acesso apenas aos servidores e serviços que nele estiverem especificados. Se por acaso administrar localmente esse domínio, o acesso aos respectivos hosts existentes na Internet só estarão acessíveis se a zona estiver adequadamente configurada. na esmagadora maioria dos casos isto não se faz. A excepção acontece, por exemplo, quando existem recursos referenciados através do domínio DNS e este é constituído tanto por servidores na Internet como na rede local (www.dominio.com, www-interno.dominio.pt, ... ). Nestes casos, em que se pretende referenciar hosts públicos e hosts privados, é conveniente reproduzir o domínio já registado na Internet, adicionando-lhe as componentes internas, isto é, privadas, só acessíveis através da LAN, não da Internet.
A5 Routing Alternativo para a Internet via Dial-Up
No sentido de manter um nível de disponibilidade do acesso à Internet o mais próximo possível dos 100%, as organizações que dispõem de ligações dedicadas àquela rede (sejam elas Frame Relay, Cabo, ou outra qualquer), devem ter também preparada uma ligação Dial-Up, preferencialmente RDIS 128Kbs ou xDSL.
A ideia é estabelecer uma ligação via Dial-Up que sustente o fluxo IP durante as quebras. Para isso há que proceder à devida configuração da ligação. Na janela a seguir representada pode constatar a existência de uma opção chamada Use default gateway on remote network. Passemos a uma análise desta opção, que tem de estar activa para que o objectivo se cumpra.
Funcionamento
Ao contrário do que possa pensar, o funcionamento do processo de desvio de pacotes para o adaptador dial-up é bastantes simples. Passo a explicar.
Como já sabem aqueles que leram as minhas obras, todos os computadores que utilizam o TCP/IP têm uma Routing Table. Dessa tabela constam entradas que identificam redes e hosts conhecidos, bem como o endereço IP para o qual devem ser enviados os pacotes IP destinados a essas redes. Dessa lista consta uma entrada relativa ao endereço 0.0.0.0, que representa "todas as outras redes", com indicação do endereço para o qual devem ser despachados os pacotes a àquelas destinados. Isto corresponde à Default Gateway. O comando route print evidência esta afirmação:
C:\>route print
Esta é uma configuração real sem ligação via Dial-Up. Vamos agora ver o comportamento desta mesma máquina depois de utilizado um adaptador RDIS (poderia ser um Modem) para estabelecer a ligação à Internet, em que a configuração d a opção em cima referenciada está activa:
Network Dest. Netmask Gateway
Interface Metric
Assim que a ligação Dial-Up é estabelecida o sistema adiciona uma nova linha. Como pode verificar, existem agora duas linhas com 0.0.0.0 como destino. Ambas são a Default Gateway. Porém, repare que o valor da última coluna é distinto. O valor de Metric indica ao sistema a proximidade (uma false proximidade) da Internet. Aquilo que se está a dizer ao sistema é que o caminho via adaptador de rede é mais longo. Isto é relevante porque o sistema operativo dá prioridade a ligações com menores valores de Metric. Assim sendo, será usada a ligação via Dial-Up. para dar prioridade a esta ligação, o sistema incrementa automaticamente o valor original do adaptador de rede em uma unidade.
Nota: Alguns sistemas não funcionam adequadamente. No caso de não obter as duas linhas com a rede 0.0.0.0 como destino, tem de fazer duas coisas. Em primeiro lugar tem de se certificar de que a opção de já falámos está activada na configuração da ligação usada para ligar à Internet. Partindo do princípio que está OK, deve quebrar a ligação dial-up bem como a da LAN. Depois deve restabelecer a ligação dial-up. O fluxo será enviado para esta última ligação. Não active a placa de rede. Note bem que o adaptador de rede que deve desactivar é aquele que liga o servidor à Internet, não o que liga à rede local.
Aplicação
Mas calma! Estou a partir do princípio que estamos a falar de um servidor de ligação à Internet. Neste caso, os restantes computadores estarão a enviar os pacotes destinados à Internet para este servidor, que funciona como router, com base na configuração da Default Gateway. Neste caso tudo bem.
Porém, em muitos casos, os computadores da LAN enviam os pacotes IP directamente para o Router ou Firewall, que providencia o acesso à Internet. Neste caso há que proceder a uma reconfiguração dos clientes, caso contrário, continuarão a proceder do mesmo modo, resultando a impossibilidade de acesso, já que o problema se baseia precisamente na suposição de que o acesso dedicado está com problemas.
Nota: alguns routers dispõem de uma porta ISDN para acesso de recurso à Internet.
Utilização
O processo de encaminhamento de pacotes disponibilizado pelo TCP/IP é bastante flexível. O que interessa é que os pacotes cheguem e saiam da rede. Se isso acontece através da ligação dedicada ao da ligação dial-up, não interessa. Quer isto dizer que pode proceder à comutação entre as ligações enquanto há comunicação em curso. Os serviços e aplicações não darão por nada, a não ser que quebre ambas as ligações. mesmo assim, o sistema aguenta algum tempo sem gerar erros.
A5 Verificação da desactivação do NetBIOS
No caso de pretender verificar se o NetBIOS está ou não activo (operação válida se existe apenas um adaptador de rede) pode recorrer ao command prompt, em vez de aceder à janela de propriedades do protocolo TCP/IP, executando:
nbtstat -n
Se a lista aparecer vazia, não está activo. À partida, a desactivação do NetBIOS resulta na incapacidade de comunicação entre o Windows 2000 e os computadores correndo Windows NT/Me/9x para efeitos da tradicional partilha de ficheiros e impressoras. A adesão aos domínios por parte destes falhará, bem como o acesso a ficheiros e impressão. Exceptuam-se serviços como web, ftp, etc.
A6 Informação DNS
Muitas vezes torna-se necessário para o administrador do sistema saber informação sobre DNS, nomeadamente sobre o MX Records, que representa o servidor de correio electrónico de um domínio específico. Essa e outra informação podem ser obtidas no Windows NT/2000/XP através da utilização de um utilitário chamado nslookup, que ajudará também a determinar quais os domain controllers do domínio, já que o DNS armazena este tipo de informação, mas só no caso do Windows 2000 e XP, não no NT. Daí o facto de não ser aconselhável utilizar o servidor DNS da rede local como DNS da nossa rede na Internet. O utilitário deve ser utilizado através da linha de comando, como neste exemplo:
Como pode reparar, aparece um command prompt, da própria ferramenta. Para sair de utilizar o comando exit. Vamos experimentar a informação sobre os servidores de mail da Microsoft:
> set type=mx
Copyright Paulo Loureiro/FCA-Editora de Informática.
A7 Quando falta o DHCP
A8 A Velocidade do Gigabit Ethernet
Muitos já terão pensado que a transição das rede Ethernet de 100Mbs para 1GBs, isto é, com uma capacidade de transferência teoricamente 10 vezes mais alta, foi bastante rápida e drástica. Na realidade, a implementação no Gigabit Ethernet sobre cabo de cobre (par entrançado) não transmite a essa taxa, mas sim a 250Mbs, recorrendo à utilização dos quatro pares de fio para fazer transmissão em paralelo, resultando uma taxa de transferência efectiva 4 vezes maior. Daí a razão para poder utilizar cablagens da mesma categoria, não apenas a fibra óptica.
A9 Mais dos Roaming Profiles
- Application Data (precisamente o que contém inf. das aplicações, incluindo Outlook Express) - History - Temp - Temporary Internet Files
Copyright Paulo Loureiro/FCA-Editora de Informática.
Estes proxyes podem ou não ser transparentes. Dizem-se transparentes quando não alteram a informação dos pacotes provenientes dos clientes, isto é, um utilizador configura o seu browser de modo a recorrer ao proxy server e este reenvia os pedidos de acesso ao servidor de destino (www.algo...) sem alteração do IP de origem. caso contrário (não transparente), o servidor proxy procede ao envio de pacotes alterados, em que o IP é o do proxy e não o do cliente. Este tipo de servidor proporciona um meio de um utilizador malévolo se esconder durante um ataque, por exemplo.
Exemplos
de proxy servers ( IP :
port ) de acesso livre
são: 206.15.254.186
: 80
Muito
Cuidado:
nunca utilize proxy servers quando utiliza autenticações em
sites, principalmente quando não utilizam SSL ou outro meio de
encriptação do fluxo. Atenção:
note bem que poderá ser necessário comunicar aos respectivos
detentores o facto de os pretender usar, se bem que não é isso
que a esmagadora maioria das pessoas faz. Copyright Paulo Loureiro/FCA-Editora de Informática.
A10 Migração de Shares
Os shares de um server ou workstation são implementados com base no serviço Server, constante de todos os sistemas da família NT (NT/2000/XP/.NET). Para os criar ao arrancar, o sistema não mais faz do que ler no registry a informação sobre cada um deles, agindo de acordo. Isto facilita a transferência de shares entre servers e/ou workstations.
Em muitos casos é mesmo necessário proceder de desse modo. Assim sendo, para executar a migração, há que seguir os seguintes passos:
- Migrar os folders e os respectivos ficheiros (incluindo as permissões) - Migrar a porção adequada de registry - Executar o restart do sistema ou o restart do serviço Server
Não há dificuldades, excepto na identificação da localização da informação no registry:
- HKLM\System\CurrentControlSet\Services\LANManServer\Shares
Pode usar o menu Registry|Export... na origem e Registry|Import... no destino, depois da cópia de ficheiros de uma para outra máquina.
A11 Invalid Path na Instalação de 16-bits
Mais estranho ainda é o facto de o problema continuar a ser reportado mesmo que copiado o ficheiro para um local em disco cujas porções do path não excedam 8 caracteres.
Correr a partir do command prompt também não ajuda ! Não?!!! Se calhar sim. Só que há dois command prompts: Um de 32 bits, chamado cmd.exe e Um de 16 bits, chamado command.exe
Para
correr com sucesso o executável, basta executar command
no menu Start|Run e executar o ficheiro em causa,
que, agora sim, será executado com sucesso.
A12 DNS Dinâmico e Dinheiro em Caixa
Deste modo, os outros Internautas que queiram aceder ao computador do utilizador especificado apenas terão de o referenciar utilizando aquele nome.
Note bem que o processo de actualização poderá ser feito através de um pequeno programa disponibilizado pelas empresas de DNS Dinâmico, ou por routers/gateways concebidos de modo a registarem eles mesmos o IP. Assim que este é alterado, o envio da informação segue para o servidor DNS.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A13 Um Ecrã Chamado "Azul"
O Windows NT/2000/XP disponibiliza aos seus administradores um já famoso ecrã de fundo azul, pouco invejado, cheio de informação confusa e de códigos para marcianos, conhecido por "ecrã azul". Este ecrã é resultado de um erro no sistema a que se dá o nome de STOP ERROR, que gera a paragem da execução de todo o sistema. Em si, o erro não é uma desgraça. Uma desgraça seria aquilo que o causa ser omitido, no caso de o sistema operativo ser desenvolvido de modo a aguentar com as ditas falhas.
A ideia é considerar que alguns erros são tão graves e tão relevantes para a perda de integridade do sistema, que o melhor mesmo é que este pare, obrigando ao restart do sistema. Neste grupo de erros encontram-se os erros de hardware, mas também os de violação de espaços de memória reservada (de acesso proibido excepto à aplicação ou serviço que a detém), um dos principais princípios de segurança do sistema, caso contrário, segurança só teórica, como acontecia no Windows 3.1 ou WFW.
Num "ecrã azul" deverão procurar-se duas grandes informações:
1) O tipo de erro reportado na segunda linha (em maiúsculas, à esquerda)
2) O nome de um driver, habitualmente reportado no FIM na terceira linha de texto (.sys, ...)
Estes tipos de erro terão depois de ser confrontados com os documentos de descrição dos mesmos existentes na Internet, para o que deve efectuar uma pesquisa. Na Microsoft, poderá utilizar a seguinte página:
No caso de o nome de um driver estar presente, isso significa, em princípio, que o driver não é adequado e contém algum tipo de erro grave, que leva o sistema a entrar em crash.
Note bem que geralmente se trata de erros a um nível muito baixo, ou seja, em kernel mode ou mesmo os detectados pelo processador propriamente dito.
A14 Grandes Profiles, e Logo na Rede
A manutenção de roaming profiles numa rede Windows 2000/XP é bastante interessante porque permite aos utilizadores terem acesso às mesmas configurações do seu sistema onde quer que se encontrem, isto é, independentemente do computador onde executam o logon, que, no entanto, terá de pertencer à mesma rede.
Porém, há que ter em conta o modo de funcionamento e a dimensão dos profiles centralizados. Acima de tudo, o problema está no tamanho. No sentido de manter uma cópia local da configuração do sistema feita pelo utilizador, o logon numa workstation resulta na cópia de todo o proflile do utilizador para a máquina que está a usar. Esta cópia funciona como versão de utilização, bem como backup, para o caso de o servidor que contém o profile não estar disponível, num próximo logon.
A ideia para resolver o problema é recorrer às Group Policies do Windows 2000/XP, redireccionando os folders dos utilizadores para shares na rede, de modo que o acesso seja feito a partir daqueles, o que resultará num reduzido tamanho dos profiles propriamente ditos, com incremento de velocidade de logon e de logoff.
Note bem que isto não resulta se for implementado à posteriori, porque os ficheiros já lá estão. Nestes casos deve copiar os ficheiros para os shares dos utilizadores depois de já estar a usar o redireccionamento. Quando utilizado, o redireccionamento das pastas faz com que a janela de propriedades de My Documents, por exemplo, apresente como local o share na rede, estando desactivada a opção de alteração (aparecerá em cinzento).
Nota: a utilização de roaming profiles sem esta configuração dará cabo do desempenho de rede.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A15 Leitura do Mail sem o Mail Agent
1) O nome DNS do servidor de Mail onde temos a nossa mailbox 2) O port em que o servidor fornece o serviço POP3 (quase sempre o 110)
Agora é fácil:
temos de executar telnet mail.dominio.pt 110
Já está. Se o computador estiver ligado à Net e o servidor estiver "de pé", aparecerá uma mensagem de boas vindas, que por acaso até começará pelo símbolo +. Tudo numa nice. Resulta algo assim:
+OK IPTALKS POP3 Mail Server 1.0 by Paulo Loureiro
Fixe. Está de pé. mas note que alguns ISPs bloqueiam o acesso através de outras redes, isto é, pode dar-se o caso de ter uma conta de mail na ONI, aceder através de da ViaNetworks e não obter acesso porque o primeiro o filtra. É um exemplo inventado, mas pode ser assim. Se calhar é! Agora vamos brincar, digitando o seguinte comando.
user (login) (existe um espaço entre o comando User e o login)
Não se esqueça de carregar em Enter para executar o comando, senão... zzzz..zzz. Ao comando o servidor responderá positivamente, a não ser que esteja mal implementado. Também é possível. Já vi um que fazia isso, mas era de um empresa do Estado. Agora falta a password!
pass (password)
Se não é um utilizador pirata e tem mesmo uma conta no servidor, este responderá positivamente. Se se enganar, volte ao passo onde indica o logon. Suponho que nesta fase já obteve resposta positiva, pelo que a Mailbox está aberta. Outlook para quê?!! Claro que é só para o desenrasca, mas serve. Por esta altura o que passou foi isto:
+OK IPTALKS POP3 Mail Server 1.0 by Paulo Loureiro
Merda! Os servidores têm um timeout e não ficam eternamente à espera. Enquanto escrevia e pensava, o gajo desligou-me. Senão era lindo: um hacker bombardeava o Mail Server e táu !!! Lá tenho eu de escrever tudo outra vez:
+OK IPTALKS POP3 Mail Server 1.0 by Paulo Loureiro +OK USER OK. pass muito&variado +OK Mailbox opened
stat O sistema retornará o número de mensagens. Para obter uma lista, execute o seguinte:
list
1 1500 Vê, é fácil, estão lá duas, uma com 1.5KB e outra com 34KB aprox. Para as ver basta executar o seguinte:
RETR n (n representa o número da mensagem, conforme lista anteriormente devolvida)
É claro que para a leitura ser bem sucedida, o Menu do telnet poderá ter de ser utilizado, no sentido de especificar o número de linhas do Buffer, caso contrário, se a mensagem tiver anexos, o conteúdo passará no ecrã como os políticos a fugir das promessas. E nunca mais ninguém as verá. Se o Buffer for suficientemente grande, poderá fazer o Scroll até ao topo do texto e ler o header, onde está especificado o remetente, o destinatário, o título ... Aqui está:
+OK
1500 Bytes Raios e Coriscos! Não valeu de nada. O gajo que nos enviou a mensagem configurou o Mail Agent para codificar a mensagem com Base64 (a vermelho), pelo que o texto ficou como ficou: ilegível. Se tivesse sido enviado em Plain Text, estaria legível. Paciência, ficamos pelo header, que nos permite verificar o Subject, a proveniência...
Para terminar a sessão, execute:
QUIT
Copyright Paulo Loureiro/FCA-Editora de Informática.
Routing para o mesmo Segmento
No segundo caso, depois da configuração, as workstations das duas redes IP falarão entre si, bem como com a Gateway/Router que dá acesso à Net. Mas entre si, nada feito. isto porque todos os computadores conhecem duas coisas: a sua rede IP e a Default Gateway, que é a porta do Router, para o qual enviam tudo o que é para fora. Pois! O mal é que eles pensam que a outra rede está fora, quando na realidade está ali mesmo. Tudo o que temos de fazer no caso do segundo exemplo para que os computadores de uma rede IP falem entre si é o seguinte (o objectivo do referido exercício era o contrário disto, isto é, o isolamento):
route -p add 10.0.3.128 mask 255.255.255.192 10.0.3.x a executar nos comp. da direita
route -p add 10.0.3.64 mask 255.255.255.192 10.0.3.x a executar nos comp. da esquerda
Nestes casos, x representa o IP da máquina em configuração. Pode ser feito apenas em uma máquina de cada um dos lados, se forem essas as únicas duas que estão de lados opostos e que devem poder comunicar. Todo o resto será "cegueira".
Copyright Paulo Loureiro/FCA-Editora de Informática.
A17 Default Gateway na Ligação RAS
A rede até estava a funcionar bem, e não havia reclamações. Um dos servidores dava acesso parcial à Internet e o outro fazia o resto do encaminhamento, residual, já que ligação era mais lenta. Mas eis que o primeiro servidor, com um adaptador de rede funcionando como Default Gateway de um conjunto importante de clientes da rede foi utilizado para testar o servidor de RAS do segundo servidor. A partir daí começaram os problemas com os tempos de resposta, e a ligação por modem que agora os unia passou a estar em permanente actividade. O router de ligação à Internet a que o primeiro servidor estava ligado, parou de ter acesso. O que aconteceu?
Muito
simples. A ligação RAS ao segundo servidor está com a opção
Use Default Gateway on Remote Network ligada, pelo que a routing
table do primeiro servidor é alterada, passando agora a ligação
dial-up a ter prioridade Os pacotes com destino á Internet que
chegam ao primeiro servidor, encontram o caminho privilegiado no
modem e táu! Do primeiro servidor vão por modem ao segundo e
deste vão à Internet pelo segundo router, mais lento. É só
uma opçãozinha ligada!
A18 Escrita nos CDRW
O processo de escrita nos CDR é bastante simples, porque se trata, tão somente, de proceder à "queima" de Bits. O que interessa é registar pontos que reflectem ou não reflectem a luz, depois interpretados quando lidos e relidos.
Mas no CDRW a situação já não é bem assim, porque o disco deve suportar a escrita e alteração, pelo que o processo de queima (tipo filme fotográfico) não serve. Hummmm! O processo encontrado é outro.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A19 IMAP4 versus POP3
A principal diferença entre ambos está no facto como o correio é manipulado. No caso do POP, os clientes (também designados como mail agents) recorrem ao servidor no sentido de verificar se há mensagens na mailbox do utilizador, não sem antes passarem por uma fase de autenticação. No caso de existirem mensagens, o cliente requisita um lista de UIDLs, que são números únicos que as identificam. Se houver mensagens ainda não lidas, o cliente requisita cada uma delas, recebendo-as e arquivando-as localmente, isto é, no computador que o utilizador está a manipular.
Já no caso do IMAP, as coisas funcionam de modo diferente, já que o servidor IMAP funciona como um gestor de folders criados pelo detentor de uma conta de acesso, permitindo a manipulação de ficheiros por requisição. O cliente manipula mensagens e outros conteúdos que residem no servidor.
As diferenças entre os dois modos de funcionamento dos protocolos têm implicações relevantes. No caso do POP, assim que uma mensagem é lida (e apagada dos servidor, embora não obrigatoriamente), não mais o utilizador a lerá, mesmo que a partir de outro computador, porque já reside na máquina inicialmente utilizada. Por outro lado, poupa espaço em disco no servidor, que será muito menos sobrecarregado.
No caso do IMAP existe a vantagem de o utilizador poder navegar mais livremente por toda a rede e aceder ao mail a partir de qualquer computador equipado de um cliente devidamente configurado. No reverso da medalha está a a acumulação de mensagens que facilmente esgotam a capacidade de armazenamento. Por vezes, este tipo de escolha pode sobrecarregar o trabalho de administração dos servidores, nomeadamente no que toca ao controlo do espaço em disco e ao processo de backup, que será mais trabalhoso e demorado.
Copyright Paulo Loureiro/FCA-Editora de Informática.
Forest Root Domains
Copyright Paulo Loureiro/FCA-Editora de Informática.
A21
Os
Grupos Universais foram introduzidos com o lançamento do
Windows 2000. O Windows NT disponibilizava apenas grupos do tipo Local e Global. O primeiro permitia incluir no grupo contas de utilizadores de qualquer domínio, mas o grupo apenas era visível no domínio em que era criado. Os grupos Globais eram visíveis em todos os domínios, mas apenas podiam conter contas do próprio domínio. Não existia nenhum grupo utilizável em todos os domínios e que pudesse conter contas de qualquer deles. Uma restrição importante, sem dúvida. Os
grupos universais do Windows 2000 resolverem o problema. A22 Ficheiros Encriptados com EFS em Sistemas Multi-boot
A
partir do lançamento do Windows 2000, a Microsoft
disponibilizou um novo formato NTFS, em versão 5, que tem a
particularidade de, entre outras coisas, proporcionar a encriptação
de ficheiros em disco, bastante útil para manter um elevado nível
de segurança de ficheiros. Este sistema funciona com base na
utilização de uma chave de encriptação que consta de um
certificado digital disponibilizado a cada utilizador, e que
pode ser exportado a partir da janela de propriedades das
respectivas contas.
A23 Ataques Frequentes na Internet
Os ataques a redes informáticas, nomeadamente os executados através da Internet, podem ser de diversos tipos, resultando sintomas e comportamentos completamente distintos, independentemente do modo como são despoletados (via e-mail, acesso remoto, ...). Passemos uma vista de olhos por alguns deles.
Spoofing O Spoofing IP consiste na utilização de pacotes IP propositadamente alterados no sentido de conterem endereços IP de remetente que não correspondem ao verdadeiro remetente, mas sim a um terceiro, no intuito de iludir o sistema atacado, que possivelmente estará a filtrar os endereços de origem através de uma firewall. Em si não é um ataque, mas sim um meio de o conseguir.
Ataque de Password Consiste em tentar a entrada na rede ou computador através da solicitação da autenticação pelos processos normais aceites pelo computador atacado. Os resultados são conseguidos através da implementação de clientes que permitem a execução de um elevado número de tentativas por unidade de tempo. As redes devem estar protegidas através de políticas de segurança que desactivam as contas de utilizador depois de um determinado número de tentativas falhadas num determinado espaço de tempo.
Negação do Serviço Tem sido uma das chagas na Internet. Não consiste em aceder aos serviços prestados servidores, mas sim em destruir a capacidade de estes operarem. Pode ser conseguido de diversos modos, quase sempre obtidos através de aplicações desenvolvidas para o efeito. Um dos métodos é estabelecer com o servidor um elevado número de sessões num curto espaço de tempo. Por vezes, este tipo de acção resulta na reserva da tanta memória e tanto acesso ao discos, que o sistema acaba por bloquear completamente. Outro processo consiste em tirar partido de bugs que causam o bloqueio do serviço prestado. Para colmatar este tipo de problemas, ferramentas como o ipTalks Mail Server permitem a limitação do acesso a determinados endereços IP, a determinados servidores e a um conjunto limitado de sessões simultâneas.
Captura de Fluxo Este é um dos grandes problemas das LANs e da Internet, não pela rede em si, mas pelo modo como é utilizada. O que se passa é que a maior parte dos fluxos circulam nas redes em modo original, ou seja, tal como foram gerados, sem qualquer encriptação, o que faz com que os textos (o exemplo mais evidente) circulem em modo clear-text, ou seja, sob a forma de simples código ASCII, que permite a leitura directa.
O tipo de ataque em apreço consiste basicamente na captura dos pacotes Ethernet que circulam na rede, através de software específico, resultando a possibilidade de capturar a informação e dados que naquela circulam.
Para este tipo de fluxo, a solução imediata é proceder à utilização da encriptação da Informação, através da utilização de VPNs ou de encriptação específica, eventualmente ao nível das aplicações.
Interposição (Man-in-the Middle) Consiste na interposição de um sistema entre dois computadores em comunicação. A ideia é conseguir não só capturar todos os fluxos, mas também alterá-lo, no sentido de iludir os intervenientes atacados, fazendo-os pensar que estão a dialogar em segurança e que aquilo que estão a receber tem a origem que pensam ter.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A24 Encriptação e Assinatura com Sistema de Chave Pública
A manipulação de modo seguro de informação, principalmente na Internet, obriga a empresas a precaverem-se através de métodos diversos. Para além da restrição do acesso propriamente dito, há que ter em consideração que os fluxo de informação deve, eles próprios, estar protegidos, caso contrário, uma pessoa mal intencionada com acesso à rede poderá estar a capturar a informação em bruto.
Basicamente, há dois objectivos fundamentais:
1) Evitar a circulação das mensagens em modo "clear-text", isto é, sob a forma de código ASCII padrão, ou qualquer forma de o codificar, como o Base64 ou UUEncode.
2) Garantir a proveniência da mensagens.
O primeiro ponto consegue-se através da encriptação. O segundo consegue-se através da assinatura digital.
As duas Chaves (Pública e Privada)
A base do sistema de encriptação e assinatura reside na utilização de duas chaves, que mais não são do que um conjunto de bytes utilizados para a encriptação/decriptação e assinatura/verificação de assinatura.
Existem duas chaves: uma pública e outra privada. Cada entidade ou utilizado terá um par destas chaves, que são como que chaves irmãs. A regra fundamental é que um conjunto de informação processada por uma delas só resulta novamente na informação original se processada posteriormente pela outra. Para já, interessa memorizar que a chave privada de cada utilizador deve ser conhecida apenas por este. A chave pública deve ser entregue a todos os que desejem encriptar mensagens destinadas ao respectivo detentor. Já perceberemos isto, através de um exemplo.
Utilização - Encriptação
Imaginemos que temos necessidade de encriptar a seguinte frase, pelas razões óbvias:
Se a minha mulher sabe que fui eu que parti a jarra da sala ...
Independentemente do software a utilizar, teríamos de possuir um certificado digital do destinatário (normalmente em formato X.509, fornecido por uma empresa como a Verisign ou outra), que contém a chave pública da pessoa a quem pretendemos enviar a mensagem. Trata-se da chave pública porque a ideia é encriptar a mensagem de modo que apenas o destinatário a possa ler. Como resultado do processamento resultante da aplicação da seguinte chave pública...
Public
key-> bXcdPlvU7lz1xGAPyPxE-TwgZkrccU1JCntZVvR34MU+ ...teríamos a seguinte mensagem, antes do envio:
3xdiMyYOrricgiGj+fcEUFSD74IYsh05C6h7lwUr9HFjbRl+KJeXRVqwh0mr
Na origem, o sistema gerou uma chave de encriptação antes de processar a mensagem, chave esta que é sempre diferente, para complicar a desencriptação, que assim é sempre diferente. A repetitividade mata a segurança! A referida chave (representada em vermelho), é aplicada através de um algoritmo de encriptação, resultando a mensagem em Preto Bold. Porém, a chave utilizada para encriptação não tem de ser transmitida também. Assim sendo, a segurança perder-se-ia. Para colmatar o problema, é gerada uma chave de mensagem, a transmitir com a mensagem encriptada, e que no exemplo é representada em cor azul.
A mensagem seria enviada por e-mail e o destinatário aplicaria a chave privada, do seguinte modo:
Private
key -> ******************************************** Encription
key -> St6v+JY0kZf4ImxiYodEmSZxG25QtifOtDXw-TE-K0E+ Aquilo que aconteceu foi a recolha da chave de mensagem (azul) e respectivo processamento com a chave pública do destinatário, resultando a chave de encriptação utilizada para encriptar a mensagem na origem. Deste modo, o sistema do destinatário apenas tem de desencriptar com a chave de encriptação que, repare, nunca foi transmitida.
O segredo está no facto de apenas o detentor da chave primária correspondente à chave pública poder pegar na chave de mensagem (azul) e obter a chave de encriptação utilizada para codificar a mensagem original. Se qualquer outra pessoa tentar a desencriptação, não conseguirá, por falta da chave privada, que só o legítimo proprietário detém.
Utilização - Assinatura
A assinatura digital é precisamente o oposto. O que interessa não é que um determinado destinatário seja o único a recebê-la legível. O que interessa é que o destinatário tenha a garantia de que a proveniência é a indicada no envelope da mensagem (estou a usar como exemplo o correio electrónico, em que existe um header (cabeçalho) em cada mensagem onde se especifica, de modo não encriptado, qual a origem).
Isto será verdade se alguém processar a informação com a chave pública do suposto remetente. Se o processo resultar bem, isso significa que o processamento inicial foi feito com a chave complementar, isto é, a pública. Como em princípio o legítimo proprietário é o único que a detém, é possível garantir que a proveniência está assegurada. No fundo é como uma assinatura num cheque. Há que verificar se bate certo.
NA ORIGEM:
Private
key -> ******************************************** A assinatura é adicionada à mensagem (previamente encriptada ou não)
NO DESTINO:
Public
key -> bXcdPlvU7lz1xGAPyPxE-TwgZkrccU1JCntZVvR34MU+
Na prática, a encriptação e assinatura é facilmente utilizada através da utilização de certificados digitais que podem ser obtidos na Internet, por vezes de modo gratuito, sendo estes posteriormente utilizados em ferramentas como o Microsoft Outlook Express. A mensagem de aviso aos utilizadores registados no site vai, esta semana, digitalmente assinada., pelo que o certificado digital será instalado na recepção da mesma, podendo ser utilizado para encriptar mensagens que me são dirigidas. O Outlook Express disponibiliza botões para encriptar e assinar uma mensagem que está prestes a ser enviada. para assinar as suas mensagens tem de obter um certificado, junto da Thawte, Verisign, etc.
A25 A Tecnologia .NET
Os Sistemas Clientes e Servidores Do
ponto de vista da Microsoft, os objectivos quanto a esta
componente não são objecto de qualquer disfarce: basear o .NET
na plataforma Windows 2000/XP/Whistler, devidamente acompanhado
de ferramentas como o SQL Server e o Exchange Server, mas não só. A
infra-estrutura de comunicação é uma peça fundamental
no sentido de dar cumprimento aos objectivos finais. A partilha
de informação será feita através de redes IP, utilizando TCP
na rede local e HTTP no acesso remoto, sendo importante para as
organizações empresariais ter acesso a vias de comunicação
com taxas de transferência efectiva razoáveis, de modo a
sustentar de modo viável o maior nível de partilha exigido
pelas aplicações. A utilização de HTTP prende-se, em parte,
com a necessidade de passar pelas Firewalls, no sentido de obter
acesso a dados e informação. Outra
vertente em que a Microsoft tem de investir, é na disponibilização
de ferramentas de desenvolvimento adequadas aos novos
objectivos. Para isso existe o Visual
Studio .NET.
No
site da Microsoft e não só, dispõe de informação mais
detalhada sobre o tema.
Os Sockets
Os sockets são o meio fundamental de comunicação em redes IP, sendo usados em boa parte da comunicação das redes (mas há alternativas). Um socket está para uma rede IP como um telefone está para uma rede telefónica. É precisamente isso, isto é, o meio de ligação que permite a uma aplicação correndo num computador comunicar com uma outra que está a correr na mesma ou em outra máquina.
Tal
como numa rede telefónica, o estabelecimento da ligação
faz-se especificando um número de telefone (o endereço IP) e o
nome da pessoa ou extensão (o número do port) com quem
se quer falar.
Normalmente, as ligações são estabelecidas pelos serviços e software disponibilizado ao utilizador quando, por exemplo, utiliza um cliente de e-mail como o Outlook Express. Se desejar despoletar uma ligação por iniciativa própria, poderá experimentar a ligação ao seu servidor de correio electrónico, executando o seguinte na linha de comando:
telnet mail.isp.pt 25
Verá uma resposta do seguinte género. está estabelecida uma ligação.
220 IPTALKS SMTP Mail Server 1.0
A partir daqui, a consola poderá ser usada para digitar comandos válidos, que dependerão do protocolo em uso. É isto que as aplicações fazem por nós. No caso exemplificado pode executar o seguinte comando:
helo teste
O servidor responderá de acordo com o comando utilizado. Para terminar a ligação execute:
quit
Como verá, a ligação é quebrada, tal como se o outro interlocutor pousasse o telefone por nossa requisição, voltando ao command prompt propriamente dito.
Do ponto de vista das aplicações, um socket não é mais do que um objecto colocado num form ou dinamicamente criado e que é configurado de modo a ligar a um determinado port de um determinado host, identificado pelo respectivo endereço IP. Claro que essa máquina terá de ter um socket preparado para escuta nesse mesmo port/endereço.
Isto leva-nos aos dois tipos básicos: o socket cliente e o socket servidor. O segundo está à espera que um ou mais clientes se liguem. O primeiro funciona como a origem de um telefonema, ou seja, aquele que toma a iniciativa de estabelecer a ligação e iniciar o diálogo. Repare que quando a ligação ao servidor de correio electrónico é estabelecida, conforme execução de comando apresentada, o servidor responde com uma mensagem que equivalerá ao tradicional atendimento do telefone com "estou" ou outra palavra qualquer. Há serviços que apenas atendem e não respondem e outros há que respondem enviando uma determinada informação, desligando de imediato, por iniciativa própria.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A27 Regedit.exe versus Regedt32.exe
Tanto o regedit.exe como o regedt32.exe são ferramentas que visam a consulta e alteração do Registry de uma instalação do Windows NT/2000 e posteriores. Para além do facto de representarem respectivamente aplicações de 16 e 32bits, existem algumas diferenças entre ambas. Algumas delas dizem respeito à apresentação da informação. Na versão de 32bits, a representação dos diversos Hives do Registry (ramificações que contêm configurações da máquina, do utilizador corrente, ...) é obtida em janelas distintas, o que implica uma maior dificuldade de navegação, mas, mais importante do que isso, complica a pesquisa, que é aplicada a um local seleccionado. Como consequência, no regedit.exe pode facilmente conseguir uma pesquisa global. Mas não é isto que interessa mais. A grande diferença do ponto de vista da administração diz respeito a dois factores, que passo a descrever.
Permissões
Na esmagadora maioria dos casos, os administradores de rede não terão necessidade de proceder a alterações ao nível da configuração das permissões de acesso ao registry. Porém, cada uma das pastas que são representadas na secção esquerda da janela de edição tem uma lista de permissões de acesso (ACL) que lhe está associada. Essas permissões não devem ser alteradas, excepto em casos excepcionais, como é o caso da cópia manual de um profile de um utilizador para outro, que à partida não terá permissões de acesso a ntuser.dat, um ficheiro que contém a porção de Registry pertencente ao utilizador, que é dinamicamente inserida no Registry quando o logon é efectuado.
Pode ser necessário usar para registar informação de uma aplicações/serviços, que se deseja disponível apenas aos administradores e à conta de acesso utilizada pela aplicação, ou serviço, se for o caso.
Edição de valores do tipo REG_MULTI_SZ
Copyright Paulo Loureiro/FCA-Editora de Informática.
A28 Internet IP Addressing e CIDR
Como deverão saber aqueles que já leram as minhas obras, principalmente a relativa ao Protocolo TCP/IP, na Internet existe um grave problema de endereçamento, derivado não só do facto de o número de endereços disponíveis ser escasso, mas principalmente ao facto de o endereçamento não ser devidamente aproveitado.
Como já saberão, existem instituições que adquiriram os direitos sobre endereços de classe A e B, que correspondem a gamas em que os três/dois últimos bytes são usados para identificar os hosts dentro da rede. No caso de uma gama de classe A, como 12.x.y.z, o adquirente poderá usar endereços IP que vão desde 12.0.0.1 até 12.255.255.254, ou seja, têm disponível nada mais nada menos do que 16.777.214 endereços possíveis. Que horror.
Isto significa que a reserva de um endereço de classe A dá uma cajadada de mais de 16 milhões de endereços possíveis na gama disponível. Claro que tudo isto não era um problema em 1980. Agora é, tendo sido remediado com a utilização do NAT (Network Address Translation).
Depois da introdução, vamos ao que interessa.
Já sabemos que ninguém (para além do detentor dos endereços) pode utilizar um endereço IP como 12.45.156.3, caso contrário, os pacotes IP serão despachados para a rede do referido detentor, impedindo alguém que utilize aqueles endereços de comunicar, já que as respostas às solicitações voltarão para trás, mas não para quem as enviou. Para que os routers da Internet possam desempenhar o seu papel, isto é, encaminhar correctamente os pacotes IP, têm de saber qual a porção do endereço que representa a rede, porque o encaminhamento faz-se para "uma rede", não para "um endereço IP.".
Isto é fácil de conseguir, porque o primeiro byte diz tudo:
Assim sendo, mal um router encontra o valor 12 no primeiro byte do endereço IP, que consta do pacote IP que aquele recebe para encaminhamento, logo trata de pesquisar a sua Routing Table no sentido de saber para onde enviar um pacote destinado à rede 12. Se o endereço fosse 134.41.44.3" procuraria um caminho para "134.41". É como chegar a uma bifurcação numa estrada e tomar o caminho correcto.
Mas isto tem um grande problema: é que não pode existir uma rede como 12.45.0.0, ou seja, uma rede identificada por 12.45, com os restantes bytes a identificar a máquina dentro da rede, como em 12.45.123.10. O verdadeiro problema é que o processo tradicional de comunicação IP baseia-se na utilização do endereço IP simples, com dedução da rede a que pertence com base na análise do primeiro byte, apenas. Mas se os routers gerassem e manipulassem pacotes IP não só com o endereço mas com informação sobre o tamanho do Network ID (que define o número de bits que representam a rede e quais os que representam os computadores dentro da rede), o problema poderia ser resolvido. É mesmo isso que faz o CIDR (Classless Inter-Domain Routing).
Não passa de um modo de encaminhamento em que os sistemas dizem "Isto é um pacote IP para 12.45.123.10, e a porção de rede (Network ID) são os três primeiros bytes". Isto permite transmitir ao router que recebe os pacotes a informação de que endereço não é correspondente à máquina 45.123.10 da rede 12.0.0.0, como tradicionalmente, mas sim à máquina 10 da rede 12.45.123. Resumindo e concluindo, o problema do endereçamento é substancialmente reduzido.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A29
O termo designa a utilização abusiva de um servidor de correio electrónico (ou outro) de modo a distribuir mensagens de correio electrónico, quando não solicitado (de enquadramento duvidoso), mas principalmente quando em grandes quantidades. Um dos grandes problemas põe-se ao nível do esforço exigido ao servidor de mail. Se for enviada uma mensagem para 500 destinatários (exemplo), a mensagem propriamente dita é despachada (por parte de quem abusa do servidor) através de um vulgar e-mail client (Microsoft Outlook, Eudora, Netscape Messenger..., também designados por Message User Agents) ou através de um servidor SMTP pertencente ao mesmo. No entanto, a mensagem é enviada apenas uma vez, precedida da lista de destinatários. Quando chagada ao servidor (o alvo do abuso), a mensagem é desdobrada em tantos envios quantos os domínios distintos dos alvos, isto é, se enviar uma mensagem de 1MB destinada a 500 utilizadores (cada um de um domínio distinto, como microsoft.com, alfa.com, ...), o servidor que a recebe vai depois despachar a mensagem de 1MB por 500 vezes (!!!), estabelecendo uma ligação com o servidor de correio electrónico de cada um dos domínios. Por esta razão, os servidores restringem o número total de destinatários por mensagem, as gamas de endereços IP (do remetente) aceites, o processo de encaminhamento (forwarding/relay) em absoluto, etc. A não adopção de medidas anti-spam pode degradar o desempenho do servidor, que estará a servir terceiros, gratuitamente. Já agora, aqui está o source parcial de uma mensagem de correio electrónico com bastante significado para nós, porque se trata daquela que constituiu a primeira tentativa de abuso do nosso Mail Server, ainda durante a fase de desenvolvimento:
Received:
...
Copyright Paulo Loureiro/FCA-Editora de Informática.
Dependências Entre Serviços
Como terá já dado conta, do Windows 2000 (NT também) consta uma série de serviços. Entre eles podem ou não existir dependências. A dependência de um serviço relativamente a outro/s significa que o serviço não tem condições de ser executado sem que aquele do qual depende esteja também ele a funcionar. Na prática, o arranque (Start) de um serviço S1 que depende de S2 resulta no arranque automático de S2, executado pelo sistema operativo. A paragem de S2 implica, obviamente, a paragem automática de S1, mas não o oposto. Como resultado disto, a tentativa de paragem de um determinado serviço fará aparecer uma janela perguntando se permite ou não que seja efectuada a paragem dos serviços daquele dependentes.
Um serviço de comunicação poderá depender (por exemplo), de um ou mais adaptadores de rede, sem os quais não fará sentido correr, já que a prestação não será possível. Assim sendo, existem no Registry indicações precisas quanto à dependência entre serviços.
Na maioria dos casos, a dependência entre serviços é configurada por quem os desenvolve, pelo que não existe a necessidade de os fazer depender uns dos outros, porque isso já está feito. Durante o arranque, o sistema operativo tem em conta as regras de dependência e procede ao arranque segundo aquelas. Porém, a instalação de algum hardware pode resultar na ocorrência de erros porque o fabricante não configurou devidamente as dependências ou porque a natureza daquele não o fazia prever. Se assim for, a opção adoptada pela maioria dos administradores é deixar o erro ocorrer e iniciar o serviço (acontece com adaptadores de FAX, por exemplo) depois de os serviços do qual dependem terem já arrancado. Se quiser colmatar estas falhas poderá recorrer ao Registry, do modo a seguir descrito, no sentido de configurar a dependência de um serviço relativamente a outro, fazendo com que ao arrancar o sistema espere até que o primeiro arranque também. Vamos dividir o processo em partes.
1) Identificação do Problema (serviços)
Na maioria dos casos, as mensagens de erro constantes do Event Log ou de janelas que aparecem no ecrã permitirão identificar perfeitamente tanto o serviço que não pode arrancar como aquele do qual depende. Geralmente a identificação não é difícil, porque ocorre a seguir à instalação do hardware e ao restart da máquina. Mas também pode resultar da instalação de um serviço apenas, não de harware. Assim sendo, neste âmbito o termo "serviço" pode ou não designar software que controla o funcionamento de determinado hardware, drivers excluídos.
2) Identificação dos Serviços no Registry
À partida, este tipo de configuração será necessária quando instalar um determinado hardware e o sistema não arrancar de modo adequado, reportando um erro de inicialização que evidenciará do que se trata. Como em princípio não se instala muito hardware de cada vez (pelo menos assim deve ser), não há que enganar. Mas há que saber a localização da configuração do serviço dentro do Registry, que mais não é do que uma pequena (relativamente, hoje em dia) base de dados estruturada em árvore.
Para o fazer há que ter em consideração que todos os serviços que correm num computador correndo o Windows NT/2000/XP/Whistler ficam armazenados num folder dentro do seguinte local:
HKLM\System\CurrentControlSet\Services
HKLM representa uma das chaves do registry, na realidade chamada HKEY_LOCAL_MACHINE, que encontrará facilmente depois de executar regedit.exe.
Depois de aceder ao folder services (no registry, como vimos) basta localizar o serviço que não arranca, que aparecerá como um subfolder. Pelo nome do serviço que causou o erro já pode fazer a pesquisa, porque as pastas aparecem organizadas alfabeticamente. Se não conseguir, não faz mal. Nesse caso, pode efectuar uma pesquisa, utilizando a função Search, depois de executar um click com o botão direito sobre services. Deve procurar o nome do serviço ou o nome do respectivo executável, que poderá obter depois de executar um duplo click sobre a linha que representa o serviço na janela services (a que pode aceder executando services.msc no Windows 2000/XP).
OK, temos o nosso serviço identificado. Mas agora necessitamos do outro, ou seja, daquele do qual o primeiro depende. Procure utilizando o mesmo modo.
3) Identificação dos Nomes do Serviços
Outra
vez? Mais ou menos!
Repare que no caso exemplificado na figura, o serviço "ipTalksSMTP" depende de "InterBaseServer".
4) Salvaguarda da Configuração
Antes de executar qualquer configuração vamos guardar a configuração da porção do registry que vamos alterar, isto é, tudo o que está contido no folder correspondente ao serviço que não arranca porque depende de um outro serviço que arranca depois do primeiro e do qual ainda não depende (pelo menos o sistema operativo nada sabe sobre isso). Não descurar este tipo de operação, neste e noutros casos. Para proceder deve:
1) seleccionar o folder correspondente ao serviço 2)
aceder ao menu Registry, 4) escolher o nome para o ficheiro 5) carregar em Save
No caso de algo correr mal (posteriormente à alteração da configuração do serviço), basta executar um click como botão direito do rato sobre o icon que o representa e seleccionar Merge no menu. O conteúdo será reposto. O ficheiro é um simples ficheiro de texto, mas não deve "brincar" com ele.
5) Alteração da Configuração
Agora vem a parte realmente importante, porque se trata de dizer ao sistema algo como isto: Este serviço depende deste outro, pelo que já sabes, não pode arrancar se aquele ainda não estive a funcionar. O sistema tratará de iniciar o segundo antes de iniciar o primeiro.
A configuração é bastante simples, mas requer alguma atenção, porque o modo como a lista de serviços dos quais um serviço depende é armazenada é algo esquisito. É formada por um conjunto de nomes em que cada letra é separada da seguinte por um byte de valor 0 (zero). No fim da lista tem de existir um conjunto de 5 (cinco) zeros, como no exemplo da figura seguinte.
Para aceder a esta janela deve executar um duplo click sobre o parâmetro DependOnService. Nunca escreva os pontos representados na secção direita usando o "." que está no teclado, porque os pontos aqui representados representam o byte de valor zero. Para o escrever pode efectuar o copy de um dos pontos já existentes (seleccionar com rato e carregar em CTRL+C) .
Agora é fácil. Só tem que escrever o nome do serviço intercalado com os bytes de valor zero. No caso de a lista já ter o nome de um serviço, como no exemplo, devem ser mantidos três bytes de valor zero entre cada serviço, como no seguinte exemplo:
s.e.r.v.i.c.o.1...s.e.r.v.i.c.o.2...s.e.r.v.i.c.o.3.....
5) Teste
Finalmente o teste. Vamos supor que configurou um serviço chamado "s1" de modo a depender de "s2".
Pare o serviço 1. Pare o serviço 2. Arranque com o serviço 1. Verifique se s2 já foi iniciado (na janela Services terá de carregar em F5 para refrescar o ecrã). Ambos os serviços deverão ter arrancado. Tudo está OK se assim é. Agora pare s2. O sistema reportará a necessidade de parar s1 também.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A31 FrontPage Server Extensions
As extensões do FrontPage são software que está instalado num web server correndo o IIS e que permitem o desenvolvimento de sites com conteúdos mais completos. Como veremos, a disponibilização deste pacote é mais importante para aqueles que publicam as suas web pages em servidores administrados por terceiros, habitualmente um ISP. Passemos a um exemplo prático.
À partida, um site tradicional apenas pode disponibilizar conteúdos estáticos, isto é, páginas cujo conteúdo não varia. Mas isso é extremamente limitador. Ao detentor do site interessa disponibilizar conteúdos de bases de dados, a possibilidade de processar formulários, etc. Mas para o fazer, há que ter acesso aos recursos, nomeadamente ao disco do servidor. Obviamente, os ISPs não lhe proporcionam esse tipo de permissão, excepto através da disponibilização de um ou mais folders que lhe são atribuídos e aos quais acede usando HTTP ou FTP, tipicamente.
Tão importante como aquela restrição é o facto de ser vedada a execução de programas, o que só por si deita por terra a possibilidade de efectuar qualquer tipo de processamento. Quando muito, qualquer conteúdo activo nas páginas ficará restringido aos GIFs animados, aos controlos ActiveX e a pouco mais. Não chega.
Para colmatar este problema poderá recorrer a um ISP que disponibilize um web server com extensões do FrontPage. Em parceria com a ferramenta de desenvolvimento destinada a publicar neste tipo de servidores (correndo o NT/2000/XP/Whistler com Internet Information Server), o Microsoft FrontPage 2000 e versões posteriores, poderá ultrapassar o problema. Os ISP devem também disponibilizar o processamento de código ASP.
O FrontPage permite criar sites que, depois de publicados num servidor devidamente equipado, beneficiam de uma série de interessantes possibilidade, incluindo as seguintes:
+ Manipulação bases de dados (Principalmente Access, .mdb) (Insert, Update, Delete) + Processamento de Formulários, enviando resultados para uma Base de Dados ou para uma mailbox. + Hit Counters + Pesquisas no Site + ...
Um bom exemplo da utilização deste tipo de tecnologia é a página deste site onde pode proceder à publicação anúncios de venda de artigos usados. Note bem que, ao contrário do que habitualmente acontece, a publicação para um servidor com as extensões do FrontPage tem de ser feita via HTTP, não via FTP.
Nota: Existem extensões de servidor 98 e 2000. O servidor deve suportar as extensões requeridas pela versão do FrontPage que pretende usar.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A32 Autenticação com "Chalenge-Response"
O processo de autenticação Chalenge-Response é bastante usado não só nas redes Microsoft como em muitos serviços prestados via Internet. Principalmente nestes. O objectivo deste método de autenticação é conseguir a validação do cliente sem pôr em causa a segurança, protegendo as credenciais de acesso.
Um dos grandes problemas no acesso remoto é que o tráfego de autenticação passa através de meios mais ou menos seguros. Podem ser redes empresariais, extranets ou, no pior dos casos, uma rede pública como a Internet.
Para proceder à autenticação, a utilização de encriptação de nada serve como garantia de segurança, porque afinal de contas, uma alma mal intencionada pode capturar o fluxo de rede e agir exactamente do mesmo modo, mais tarde, isto é, enviando exactamente as mesmas credencias. O problema em si é o facto de as credenciais enviadas serem sempre as mesmas.
O sistema Chalenge-Response resolve este problema de um modo muito simples. Aquilo que interessa é autenticar o utilizador. Assume-se que este sabe a password de acesso. O servidor também sabe qual é, obviamente (pode saber apenas qual é o respectivo hash, mas isso é um pormenor). Assim sendo, em vez de pedir a password ao utilizador, o servidor envia-lhe um Chalenge (desafio), que o utilizador misturará (de modos distintos, conforme a implementação) com a sua password e que depois processará utilizando uma hash function. Resulta uma string de 32bytes, imaginemos. O servidor faz exactamente a mesma coisa que é suposto o cliente fazer. No fim, isto é, quando receber a resposta, compara as duas strings (a sua e a recebida via rede). Se forem idênticas, pode concluir que o utilizador sabe a password, validando assim o acesso.
A segurança deste tipo de autenticação está no facto de Chalenge apresentado ao cliente ser sempre diferente, o que implica que mesmo que alguém consiga o acesso ao fluxo de rede uma vez gerado, não poderá posteriormente usar a resposta capturada ao utilizador legítimo, porque o servidor não a a autenticará, a menos que o Chalenge apresentado fosse o mesmo, o que é praticamente impossível de acontecer.
Copyright Paulo Loureiro/FCA-Editora de Informática.
A33 Active Server Pages (ASP)
As ASPs são web pages como outras quaisquer, contendo o tradicional código HTML, que depois de enviado aos browsers que a requisitam resultam na apresentação do respectivo conteúdo. Porém, ao contrário do HTML tradicional, contêm também instruções complementares, que permitem transformar uma página estática (isto é, uma página cujo conteúdo nunca se altera) numa página dinâmica. Os conteúdos de páginas dinâmicas podem ser baseados em informação requisitada (proveniente de uma base de dados), etc.
Ao
contrário do que acontece com o código HTML (e
diversas linguagens aplicadas na web), o processamento
das componentes ASP não é processado no cliente (onde
o browser que solicita a página está a correr), mas
sim no próprio servidor. Ao encontrar uma TAG (que no caso do ASP é representada por "<%" no local onde se inicia e por "%> no local onde acaba), o próprio web server processa o que estiver entre as duas TAGs e devolve o resultado das funções e procedimentos que lá estiverem, eventualmente à mistura com variáveis, localmente definidas ou não). Mas não necessariamente. O código pode proceder a processamento que não resulta em qualquer tipo de alteração da página que o utilizador vê.
Login:</font></b><font
size="1">
Numa mesma página podem coexistir múltiplos blocos ASP, distribuídos conforme as necessidades. Tudo o que não pertencer a um bloco ASP é enviado ao browser tal como está. Note bem: se a página tiver uma extensão .htm ou .html (ou outra que não .asp), o browser recebe o código ASP tal como constante da página. O código ASP poderá ser de vários tipos, entre os quais o VBScript e o JavaScript.
Copyright Paulo Loureiro/FCA-Editora de Informática.
|
Proxy Servers na Internet
