Relatrio Final de Estgio Instalao e Gesto de Redes Adelino Gomes Relatrio de estgio apresentado ao Curso de Formao em Instalao e Gesto de Redes como parte da exigncia da aprovao do Estgio curricular supervisionado
Orientadores: Joo Abrunhosa e Slvia Santos
ZABBIX Sistema de Gesto e Monitoramento Monitoramento de Rede Instalao
Lisboa 2014 2
AGRADECIMENTOS Labutar nas Instituies do Ensino, requer do professor ou formador, o uso das polticas de incluso social e metodologia pedaggica que cative a ateno dos educandos para uma melhor aprendizagem. Pois, sabido que os meios justificam os fins. Foi neste mbito de ideias que ao longo dos trs anos de frequncia do curso Instalao e Gesto de Redes, se verificou o empenho imprescindvel dos Formadores, da Direo e de todo o pessoal no- docente afeto UFCD. Pelo que, no demais enderear-lhes os meus agradecimentos, traduzidos em versos que se seguem:
OBRIGADO POR TUDOO
Obrigado vs, Que nas manhs molhadas de Inverno, Abdicastes do aconchego do vosso doce lar Pra trazer o saber ao nosso atribulado mundo.
Frouxastes o apego do desconhecido, Nas brumas desta mediana gerao E com vossas percias pedaggicas, Nos inseristes no mundo laboral.
A vossa lcida mestria Adoou o desencanto que nos flagelava Nesta frentica sociedade, E desapertou nossa firmeza Para o promissor luzir dalvorada. vs, dizemos simplesmente, OBRIGADO!
3
Introduo
O presente relatrio de estgio ajusta-se a disciplina de Estgio, referente ao ltimo ano de Formao em Instalao e Gesto de Redes, na Escola Secundria Ea de Queirs. O estgio decorreu no perodo compreendido entre 22 de abril 30 de junho 2014. Neste relatrio encontraro a descrio das atividades desenvolvidas durante dois meses, assim como a reflexo critica desfaada por aprendizagens, dificuldades e sugestes, que geralmente fazem a validao do estgio. Obviamente que no o terminaria sem uma concluso onde apresento as minhas inspiraes relativas ao estgio. Este relatrio tem como objetivo permitir ao leitor conhecer o local de estgio, quanto as atividades desenvolvidas por min ao longo do curso.
4
1-Zabbix um software de monitoramento de diferentes parmetros de rede, tais como a integridade e desempenho dos servidores. A sua instalao e configurao requerem grande precauo por parte do administrador.
2.1-Instalao do Zabbix Instalar EPEL repo yum install http://mirror.iprimus.com.au/EPEL/6/x86_64/ EPEL-release-6-8.noarch.rpm Instalar os pacotes com yum Yum install zabbix20-server zabbix20-agent zabbix20-web-mysql nmap hnttpd policycoreutils- python net-snmp net-snmp-utils yum groupinstall MySQL Database Client MySQL Database Server Inicializar automaticamente chkconfig httpd on chkconfig mysqld on chkconfig zabbix-server on chkconfig zabbix-agent on Iniciar os servios mysql service httpd start service mysqld start Tornar o MySQL seguro /usr/bin/mysql_secure_installation Configurar o MySQL com Zabbix utilizador e banco de dados zabbix mysql -uroot -p mysql> create database zabbix character set utf8; mysql> grant all privileges on zabbix.* to zabbix@localhost identified by 'your_password'; mysql> exit Importar zabbix Templates mysql uzabbix -pzabbix</usr/share/zabbix-mysql/schema.sql mysqluzabbix-pzabbix</usr/share/zabbix-mysql/image.sql mysqluzabbix-pzabbix</usr/share/zabbix-mysql/data.sql Editar configurao Zabbix-server vi /etc/zabbix/zabbix_server.conf mudar dbname e utilizador com suas prprias configuraes) DBHost=localhost DBName=zabbix DBUser=zabbix DBPassword= (sua senha zabbix) Ajustar configurao Vi /etc/php.ini php_value max_execution_time 300 php_value memory_limit 128M php_value post_max_size 16M php_value upload_max_filesize 2M php_value max_input_time 300 php_value date.timezone Europe/Lisbon Ajustar selinux para que o servidor possa ter acesso porta 10051 semanage port a t http_port_t p tcp 10051 Criar regra selinux para permitir que o fping seja usado pelo zabbix 2.2-Instalao de zabbix (Pode-se fazer isso s quando adicionar algum item com fping. Selinux deve bloque-lo em primeiro lugar) grep fping/var/log/audit/audit.log | audit2allow M zabbix_fping semodule i zabbix_fping.pp 5
Iniciar/reiniciar os services service httpd restart service zabbix-server start service zabbix-agent start
A instalao do zabbix est pronto Abrir as portas de firewall no cliente e serverside Isso pode ser feito, adicionando estas linhas em iptables: Vi /etc/sysconfig/iptables -A INPUT m state - -state NEW m tcp p tcp - -dport80 j ACCEPT -A INPUT m state - -state NEW m tcp p tcp - -dport10050 j ACCEPT -A INPUT m state - -state NEW m tcp p tcp - -dport10051 j ACCEPT Reiniciar o firewall service iptables restart Para aceder o front-end, basta ir ao browser e digitar: http://ip_do_servidor/zabbix Se apresentar uma janela igual da figura, significa que a instalao foi feita com sucesso e o Servidor zabbix est funcionando:
6
1-Configurao do Monitoramento Ao abrir a primeira janela exibido informaes os hosts monitorados
2.1-Guias de monitoramento disponveis:
Cada uma destas guias exerce uma funo especfica no monitoramento 2.2-Monitoramento Para comear deve-se registar o host que se vai monitorar, clicar nas guias: Configurao Hosts Criar Hosts, ser exibida a janela:
A seguir s preencher o nome do host, ip do router, clicar em adicionar e guardar. Depois de ser guardo, emite uma janela igual a da figura:
Clicar em: Em Monitoria Dados Recentes, para ver o grfico deste monitoramento, selecionar router, expandir a guia descrio e para o ver deve clicar em Grfico. Ser exibido como indica a figura abaixo:
Teste: Se desligar o cabo de rede do router ou do prprio zabbix e voltar a Monitoring (Em monitoria) no existir nenhum aviso no Dsahboard, porque no existe nenhuma Triggers para verificar os estados dessa condio para emitir possveis avisos.
7
1-Configurao do zabbix para envio de alertas de email, usando Gamil 2.1-configuraco do Postfix -instalar postfix e suas dependncias # yum install cyrus-sasl cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 cyrus-sasl- plain mutt postfix -entrar no diretrio de configurao do Postfix e fazer backup do arquivo # cd /etc/postfix # mv main.cf main.cf.old Criar um novo arquivo de configurao para Postfix # vi main.cf Colocar seguintes linhas neste arquivo: #SMTP relayhost relayhost = [smtp.gmail.com]:587 # TLS Settings smtp_tls_loglevel = 1 smtp_use_tls = yes smtpd_tls_received_header = yes # TLS smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_sasl_tls_security_options = noanonymous -Criar arquivo Sasl_passwd, contendo ao servidor SMTP do Google e a conta utilizar para envio dos emails: # vi sasl_passwd [smtp.gmail.com]:587 zabbixtestemail@gmail.com:Senha -Rodar o comanda postmap no arquivo sasl_passwd e no main.cf # postmap /etc/postfix/sasl_passwd; postmap /etc/postfix/main.cf -Reiniciar o servio do Postfix # service postfix restart A partir deste momento, o zabbix est pronto para enviar emails atravs do Shell. -Fazer teste: # echo 'Teste.' | mutt -s 'Teste de envio pelo shell' seu_email@gmail.com (substitua email pelo seu) Digitar # /var/log/maillog <Enter> e testar com o comando # tail -f /var/log/maillog ou consultar a caixa de entrada do seu email. 2.2-configurao do Zabbix -Aceder interface web do zabbix: http://ip_do_servidor/zabbix Fazer o login e clicar em: Administrao Tipos de Media Email Fazer a configurao da seguinte forma: Type :: Email SMTP server :: IP da mquina que foi configurado o Postfix SMTP helo :: smtp.gmail.com SMTP email :: zabbixtestemail@gmail.com (no esquecer de trocar) Enabled :: Deixe Habilitado (default) Por fim clicar em Guardar Ver a figura para facilitar a operao acima: 8
Para testar se o Zabbix enviar os alertas via email, deve-se criar uma Aes e induzir o alerta, ativando qualquer trigger. 1-Pontos Fortes e Fracos do Zabbix Aps a instalao e manejo de alguns comandos, nota-se que o zabbix, apesar de ser uma potencial ferramenta de monitoramento de rede, possui seus pontos fracos:
2.1-Pontos Fortes Gere grficos em tem real Proporciona ao administrador timos relatrios e boa visualizao de dados de recursos com base nas informaes armazenadas Possui mecanismo de notificao flexvel que permite aos utilizadores configurar email para qualquer evento
2.2-Pontos Fracos Obrigao de preencher vrios formulrios ao registar um host ou alerta Passagem por diversos quadros de registo
9
Servidor VPN VPN (Virtual Private Network) uma rede privada restrita criada em cima da internet, com intuito de garantir a privacidade dos utilizadores na comunicao entre computadores. A instalao do Servidor VPN requer que o PC tenha IP fixo e dhcp instalado. Pois, ele responsvel para atribuio de ips s mquinas clientes. Instalao do Servidor VPN no centOS Antes, deve-se atualizar a base de dados dos pacotes yum update Instalar dhcp yum install dhcp Uma vez atualizada a lista, prossegue-se com a instalao Instalar pptpd yum install pptpd Segue-se os passos de instalao de dhcp cd /etc cd dhcp ls vim dhcp.conf digitar o seguinte no ficheiro: ddns-update-style none; default-lease-time 600; max-lease-time 7200; authoritative;
Ativar e alterar os seguintes ips consoante a sua rede de rea local, usando o seguinte comando: vim /etc/pptpd.conf localip 192.168.1.145 remoteip 192.168.1.146-70 O localip o ip da do pc em questo, se no souber qual o ip, use o comando ifconfig para descobri-lo O remoteip o range de ips que ser atribuda a cada mquina cliente Aps a ativao e retificao das linhas, guarde o ficheiro com comando :wq. Definir utilizadores autorizados para acederem a este servidor VPN, digitando o comando: vim /etc/ppp/chap-secrets -editar o seguinte dentro do ficheiro: #Client Server Password IP User1 * 123456 * User2 * 123456 * User3 * 123467 * Para terminar, precisa-se reiniciar o servio com comando: vim /etc/init.d/pptd retart
Neste momento, o servidor VPN j est a funcionar
10
Configurao do Cliente VPN Windows A configurao do cliente vpn (Windows) para acesso ao Servidor vpn (centos), resume-se aos seguintes passos: Aceder ao ambiente Windows, neste caso Windows 7, e clicar em: Iniciar Painel de Controlo Ligao de rede e de Internet Ligaes de rede Criar uma nova ligao Deparar-se- com uma figura como a de baixo. Clique em Seguinte
Selecione Ligar rede no meu local de trabalho e pressione Seguinte
Selecione Ligao rede privada Virtual e prima a tecla Seguinte
Digita o nome da sua Empresa e clica a tecla Seguinte
Digita o nome do anfitrio ou IP do servidor e clica em Seguinte 11
Selecione Apenas utilizao pessoal em seguida pressione Seguinte e em Concluir. Na janela que se segue, digite o nome do utilizador posteriormente criado no servidor e prima a tecla Ligar.
Se as configuraes, quer do servidor como do cliente, forem bem-sucedidas, estabelecer-se- a ligao.
12
Configurao do Servidor VPN no Windows Depois de aceder interface de configurao de pelo ip digitado no browser (https://192.168.168.168), apresentado uma janela igual a da figura em baixo. Digite o nome do utilizador, a senha e clique em Login
Aps a realizao do login aparece uma janela igual a de baixo, nela no se faz nada. Ps, acedemos a interface SONICWALL s para realizar a configurao do servidor VPN
Abra o proxy de Windows, clica em Ligaes> Definies e em Propriedades. Na janela que se segue, digite o nome ou IP do anfitrio e pressione ok
Clica em Propriedades> Segurana, escolhe o Protocolo L2TP/IP (Layer 2 Tunneling Protocol with IPsec). Selecione Permitir estes protocolos, selecione tambm o 2 e 3 protocolos, em seguida clica em ok 13
Clica nas Propriedades avanadas, selecione Utilizar chave pr-partilhada para autenticao, digite a chave e clica em ok
Nas Propriedades, clica em Definies avanadas e escolhe o mtodo de encriptao, clicando seguidamente em ok
Na janela que se segue, digita o nome do utilizador e a senha, o domnio opcional. Para terminar prima a tecla Ligar
14
Configurao do Firewall cisco Bloqueio do acesso ao http
Diagrama de Rede
Obstruir o trfego da porta de http com finalidade de conter o acesso da rede interna 10.1.1.0 ao HTTP (servidor de Web) com IP 172.16.1.1 colocado na rede do DMZ. Para o efeito usa-se o seguinte ACL: ciscoasa(config)#access-list 100 extended deny tcp 10.1.1.0 255.255.255.0 host 172.16.1.1 eq 80 ciscoasa(config)#access-list 100 extended permit ip any any ciscoasa(config)#access-group 100 in interface inside Feito isso, v ConfigurationFirewallAccess Rules, na janela que se segue clique em Add e Add Access Rule
Escolhe a fonte, o destino e a ao de acesso. Selecione os detalhes e escolhe a porta obstruir.
Escolha o HTTP da lista, a seguir clique em ok.
Clique em ok para terminar a configurao da regra do acesso. 15
Clique em AddInsert para adicionar uma regra do acesso lista
Selecione Permitir any, any e ip que implicitamente negam o acesso rede. Clique em ok para terminar a adio desta regra do aceso
Depois de conferida a lista de acesso configurada, clique em Apply para enviar esta configurao ferramenta de segurana
A configurao enviada do ASDM resume-se num conjunto de comandos no comando linha interface (cli) do ASA que se seguem: access-list inside_access_in extended deny tcp host 10.1.1.0 host 172.16.1.1 eq www access-list inside_access_in extended permit ip any any access-group inside_access_in in interface inside Esta configurao foi executada com ASDM com intuito de obstruir a rede de 10.1.1.0 de alcanar o servidor de Web, 172.16.1.1. O
16
Configurao do Firewall Bloqueio de Lan e http O acesso a interface de configurao do firewall no SonicWall, feito digitando o IP predefinido para o efeito no Browser (ex.: http://192.168.0.175), seguido de um clik na tecla Enter. aberta a janela que se segue: -Faa login
Na janela seguinte, clica em Firewall> Access Rules e na mini janela que aparece clique From Wan to Lan, clicando depois em Add
Selecione os dados, como demonstra a figura em baixo, para criar regra de bloqueio de Lan e clique Add na parte inferior esquerdo
Seguidamente apresentada uma janela, onde se pode bloquear ou desbloquear alguns servios com um simples click em: Alow =desbloqueado, Deny=bloqueado
De mesmo modo pode-se criar regras para o bloqueio de http, clicando em Firewall> Rules> Wan to Lan 17
Selecione os dados em conformidade com a figura em baixo, digita um comentrio (opcional) e seguidamente clique em Add para ativar a regra de bloqueio do http
18
Cabeamento Teste de cabos de rede Os testes comuns de cabeamento de comunicao de dados, incluem o comprimento, pinagem, atenuao, resistncia do circuito e perca de retorno. Tudo a posto, segue-se a realizao de testes: Ligao do cabo de rede em cada extremidade do mdulo (transmissor e recetor) que representam o modelo de computador
Ligao do mdulo de comando do testador (possui chave ligar, desligar e bateria). Ele ascender na ordem 1, 2, 3, 4, 5, 6, 7 e 8. O segundo mdulo apenas recebe o sinal do primeiro, se a ordem estiver correta so emitidas luzes verdes, caso contrrio sero emitidas luzes vermelhas. Caso isso ocorra, ser necessrio rever a pinagem, o comprimento dos cabos e mont-los novamente.
Comprimento mximo dos tipos de cabos Cat5e 100 Metros Cat6 UTP 100 Metros para Gigabit Ethernet Cat6 UTP 37 Metros para 10 Gbps Blindado Cat6 e Cat7 100 Metros
19
Concluso Tendo em conta que o estgio no passa de uma atividade de carter educativo e complementar ao ensino, com a finalidade de integrar o formando num ambiente profissional. Ele deve ser realizado no local condicionado para o efeito. No entanto, posso afirmar que a Escola Secundria Ea de Queirs, onde decorreu o estgio, tinha todas as condies para tal. Porm, no houve autorizao de uso, na ntegra, dos computadores da escola no decorrer do estgio. Todos os trabalhos foram desenvolvidos em mquinas virtuais, o que obviamente pouco contribui para aprendizagem, alis, esta virtualizao vinha decorrendo nos dois ltimos anos do curso por causa das limitaes. Apesar destes condicionalismos, aprendi o suficiente no estgio e durante trs anos de formao. Podia ter aprendido mais se tivesse a disposio total dos computadores e se seguisse s uma carreira no ramo de Instalao e Gesto de Redes. Proponho Direo da Escola a reviso do mtodo do Ensino e Aprendizagem, relativamente ao material didtico e nmero de mdulos a serem lecionados nos cursos, com intuito de proporcionar aos futuros formandos nesta rea, as melhores condies de aprendizagem.
ndice Introduo--------------------------------------------------------------------------------------------------------------3 Definio do Zabbix -------------------------------------------------------------------------------------------------4 Instalao do Zabbix-------------------------------------------------------------------------------------------------4 Instalao do zabbix-------------------------------------------------------------------------------------------------5 Configurao do Monitoramento--------------------------------------------------------------------------------6 Configurao do Zabbix para envio de email------------------------------------------------------------------7 Servidor VPN----------------------------------------------------------------------------------------------------------9 Configurao do cliente VPN------------------------------------------------------------------------------------10 Configurao do Servidor VPN no Windows-----------------------------------------------------------------12 Configurao do Firewall cisco----------------------------------------------------------------------------------14 Configurao do Firewall no SonicWall------------------------------------------------------------------------16 Teste de Cabos------------------------------------------------------------------------------------------------------18 Concluso-------------------------------------------------------------------------------------------------------------19 Referncias-----------------------------------------------------------------------------------------------------------20