Sie sind auf Seite 1von 50

Sumrio

Segurana, Web

Redes

Segurana, Web

Segurana

Sistema Operacional

Redes

Redes

Ol, eu sou o DevMan! Desta pgina em diante, eu estarei lhe


ajudando a compreender com ainda mais facilidade o contedo
desta edio. Ser um prazer contar com sua companhia!
Confira abaixo o que teremos nesta revista:

06 Segurana da Informao X Redes Sociais


O ser humano o elo mais fraco na corrente da segurana
[ rika Priscila Pereira Santana Santos ]

12 Infraestrutura de Data Centers

Conhea as caractersticas de infraestrutura dos Data Centers


[ Andr Koide da Silva ]

20 Segurana em Redes IEEE 802.11

Podemos nos sentir seguros nas redes IEEE 802.11?


[ Bruno Bogaz Zarpelo ]

27 Monitorando ativos de rede e servios


Saiba como controlar sua infraestrutura de TI
[ Thiago Nache ]

32 As novidades do Windows Server 2012


O que esperar da nova verso?
[ Josu Vidal ]

39 SNMP Simple Network Management Protocol


O padro de gerncia para redes IP
[ Bruno Bogaz Zarpelo ]

45 Introduo CDN Content Delivery Network


O que e que vantagens ela pode trazer para sua empresa
[ Alex Felipelli ]

[Redes] Artigo que apresenta tecnologias relacionadas a criao e manuteno de redes.

[Segurana] Artigo dentro do contexto de Segurana: redes,


servidores, sistemas operacionais, infraestrutura em geral.

[Web] Artigos sobre ou que envolvam tecnologias de infraestrutura para WEB.

Editorial
V

oc j percebeu que a quantidade de redes Wi-Fi que sua placa de rede wireless detecta
s faz aumentar? Em busca, principalmente, da facilidade de acesso, famlias e empresas
cada vez mais investem nas redes sem fio. Com certeza muito mais fcil (e barato)

instalar um dispositivo no canto de uma sala para fornecer acesso rede, do que espalhar os

Ano I Edio 07 2012

to conhecidos e tradicionais cabos de rede em todo um ambiente, o que quase uma obra de
engenharia. Apesar destas vantagens, no podemos nos esquecer da segurana. Estamos realmente
seguros nas redes IEEE 802.11?
Segurana em Redes IEEE 802.11 apresenta as principais questes relacionadas segurana
em redes IEEE 802.11. Primeiramente, sero apresentadas as redes IEEE 802.11 e os fatores que
fazem delas inseguras. Ento, sero apresentados o WEP e o WPA, que so arquiteturas de
segurana desenvolvidas para as redes IEEE 802.11. Tambm sero apresentadas vulnerabilidades

Edio

descobertas no WEP e no WPA1. Por fim, sero apresentadas outras ameaas segurana das

Editor

redes sem fio.

Eduardo Spnola (eduspinola@gmail.com)

Segurana da Informao X Redes Sociais faz uma abordagem sobre a segurana da informao,
os riscos corridos, o alvo de ataques, como implementar a segurana e mant-la em pleno

Sub Editores
Marco Antnio Pereira Arajo (maraujo@devmedia.com.br)
Rodrigo Oliveira Spnola (rodrigo.devmedia@gmail.com)

Produo

funcionamento, alm de alertar sobre o impacto que o mau uso das redes sociais pode causar
nas organizaes.
Infraestrutura de Data Centers descreve os principais tipos de Data Centers e os servios
frequentemente oferecidos pelas empresas de telecomunicaes que disponibilizam estas

Jornalista Responsvel Kaline Dolabella - JP24185

infraestruturas para seus clientes. Sero apresentadas as topologias e os padres recomendados


pela norma TIA-942 para o projeto de instalaes com alta confiabilidade e disponibilidade.

Atendimento ao leitor
A DevMedia possui uma Central de Atendimento on-line, onde voc pode
tirar suas dvidas sobre servios, enviar crticas e sugestes e falar com um de
nossos atendentes. Atravs da nossa central tambm possvel alterar dados
cadastrais, consultar o status de assinaturas e conferir a data de envio de suas
revistas. Acesse www.devmedia.com.br/central, ou se preferir entre em
contato conosco atravs do telefone 21 3382-5038.

Tambm ser exposta a classificao dos DCs conforme o nvel de redundncia previsto na
concepo de seus elementos. Por fim, ser abordada a relao entre estas infraestruturas e a
computao em nuvem.
Na matria Monitorando ativos de rede e servios, abordaremos aspectos de monitoramento
de ativos de redes utilizando as principais ferramentas open source. Perceberemos que estas
ferramentas so ricas em recursos, possuindo diferentes abordagens que garantem o total controle
da infraestrutura de redes.

Publicidade
publicidade@devmedia.com.br 21 3382-5038
Anncios Anunciando nas publicaes e nos sites do Grupo DevMedia, voc
divulga sua marca ou produto para mais de 100 mil desenvolvedores de todo o
Brasil, em mais de 200 cidades. Solicite nossos Media Kits, com detalhes sobre
preos e formatos de anncios.

As novidades do Windows Server 2012 apresenta as novas funcionalidades e recursos do


Windows Server 2012, bem como as melhorias introduzidas em relao ao Windows Server 2008
R2. Sero abordadas as diversas novidades do Hyper-V 3.0. Tambm veremos as novidades no
Active Directory, BitLocker, DHCP, WSUS, BranchCache, DirectAccess.
O artigo SNMP Simple Network Management Protocol retrata os principais conceitos
relacionados ao padro de gerncia de redes IP, denominado SNMP. Primeiramente, sero
apresentados aspectos bsicos do modelo gerente-agente adotado pelo SNMP, das operaes
suportadas pelo SNMP e das MIBs, que so responsveis por armazenar os dados gerenciais dos
equipamentos. Em seguida, sero analisadas as trs verses do SNMP.
Para encerrar, Introduo CDN Content Delivery Network destaca as principais
caractersticas das CDNs Content Delivery Networks. Ser explicado como elas funcionam, assim
como as vantagens tcnicas e de negcios no uso desse tipo de rede. Tambm ser apresentada
uma comparao das CDNs tradicionais com Cloud Computing. Por fim, ser analisado um
estudo de caso da rede da Akamai e como ela funciona.

Fale com o Editor!


muito importante para a equipe saber o
que voc est achando da revista: que tipo
de artigo voc gostaria de ler, que artigo voc
mais gostou e qual artigo voc menos gostou.
Fique a vontade para entrar em contato com
os editores e dar a sua sugesto!
Se voc estiver interessado em publicar

um artigo na revista ou no site Easy Java


Magazine, entre em contato com o editor,
informando o ttulo e mini-resumo do tema
que voc gostaria de publicar:
Eduardo Spnola - Editor da Revista
eduspinola@gmail.com

Eduardo Oliveira Spnola


eduspinola@gmail.com
twitter.com/Java_Magazine

Segurana da

Informao X Redes Sociais


O ser humano o elo mais fraco na corrente da
segurana

necessidade que o ser humano possui de expor


informaes sobre seu cotidiano vem desde
sua existncia e perceptvel desde as figuras
gravadas nas paredes das cavernas a toda essa disseminao de informao graas s redes sociais.
Com as novas formas de comunicao, e armazenamento de dados lidados hoje no cotidiano, h uma
necessidade de adaptao e discernimento sobre quais
tipos de dados disponibilizar na rede.
H pouco tempo atrs era bastante comum a utilizao
do papel para transcrever informaes pessoais, pblicas ou empresariais, sendo esses armazenados de formas
adequadas para evitar perda das informaes contidas
nesses documentos. Agora com as novas possibilidades
de armazenamento, existe uma grande demanda do
setor corporativo em digitalizar seus documentos e
realizar a importao desses para seus sistemas.
V-se que a utilizao do papel para armazenamento
de informaes ainda bastante comum em algumas
situaes, porm, cada vez mais essa prtica vem sendo reduzida, dando lugar ao acesso de informaes no
ambiente virtual.
E devido s novas formas de armazenamento de dados e comunicao que se torna cada vez mais comum
e imprescindvel o interesse das empresas em investir
na segurana da informao.
natural que surjam vrios questionamentos quando
o assunto segurana da informao e, principalmente
por tratar-se de uma rea desafiadora, que segundo
Nakamura e Geus (2010, p. 52) uma soluo de segurana imensurvel e no resulta em melhorias nas
quais todos podem notar que alguma coisa foi feita. Pelo
contrrio, a segurana tem justamente o papel de evitar
que algum perceba que alguma coisa est errada. O fato
que ningum percebe a existncia da segurana, apenas a inexistncia dela, quando um incidente acontece
e resulta em prejuzos gigantescos.
A prtica da segurana visa mitigar vulnerabilidades
que algo ou algum estejam sujeitas, com o intuito de

6 Infra Magazine Edio 07

Resumo DevMan
De que se trata o artigo:
Compreender os riscos que as informaes correm, como evitar
perdas, manter o ambiente protegido, saber o quanto investir mesmo
assumindo os riscos que norteiam a segurana da informao e olhar
a divulgao de informaes via redes sociais observando os pontos
positivos e negativos so fundamentais para uma maior efetivao da
proteo de contedo.

Em que situao o tema til:


Indicado para estudantes, professores, profissionais da rea de tecnologia da informao, e at mesmo empresrios que desejam ampliar
seus conhecimentos e que queiram obter mais informaes a cerca da
segurana da informao e os impactos que o mau uso das redes sociais
pode gerar.

Segurana da Informao X Redes Sociais:


Este artigo faz uma abordagem sobre a segurana da informao, os
riscos corridos, o alvo de ataques, como implementar a segurana e
mant-la em pleno funcionamento, alm de alertar sobre o impacto que
o mau uso das redes sociais pode causar nas organizaes.

proteger o mesmo, e para que isso acontea, interessante e recomendado que os procedimentos tomados para reduzir os riscos
no sejam ditos ou divulgados.
A exposio do procedimento de segurana reduz a eficincia
da operao, uma vez que o inimigo possuir mais recursos para
planejar melhor sua ao.
Sabe-se que h vrias medidas de segurana que so visveis
pelo indivduo, como o caso da instalao de cmeras, sensores, chips, senhas, entre inmeros outros procedimentos que so
usados com a finalidade de proteo, seja de um ambiente, das
pessoas ou da informao.
Porm, ainda com a utilizao desses recursos, no h uma
garantia de segurana, justamente porque as cmeras podem no
estar sendo monitoradas e os sensores podem no estar postos em
locais estratgicos como deveriam, entre tantas e tantas situaes

como a prpria falta de energia que podem tornar o investimento


em segurana um grande fracasso.
Devido a todas essas circunstncias que se pode dizer que a
segurana no se v, uma vez que o visvel no a garantia de
segurana, mas possvel senti-la devido a vrios procedimentos
os quais um indivduo submetido em prol da segurana, ou
pelo histrico de um ambiente ou empresa. Deve-se ter o cuidado
para que no seja uma falsa sensao de segurana, o que mais
arriscado que a total ausncia dela.
Primeiro interessante compreender o que o termo segurana
est associado, o que corresponde s medidas tomadas para evitar
prejuzos de um modo geral.
J a segurana da informao aborda o assunto com um foco
mais especfico. Sendo assim, trata-se de um conjunto de precaues que tem o objetivo de proteger as informaes, estejam
elas armazenadas em servidores, trafegadas na rede, comentada
dentro ou fora da organizao ou de uma residncia, dos comentrios realizados nas redes sociais, contidas nos papis que
so dispensados no lixo, da conversa no fim de semana com os
amigos, da ligao telefnica que fizeram erroneamente, entre
outras situaes possveis em que a informao pode ser obtida
ou transmitida.

Analisando os riscos corridos pelas informaes


Vrios so os riscos que as informaes correm a todo instante.
A quantidade de ameaas continua crescendo exponencialmente
e os sistemas de proteo seguem implementando novas vacinas,
porm as vacinas no conseguem mais acompanhar o ritmo de
crescimento das ameaas, o que incide na necessidade de fazer
uso tambm de outros mtodos de proteo e que sero abordados
mais adiante. Por hora, so listadas algumas das vrias ameaas
que norteiam as informaes:
Acesso indevido rede ou ambiente, abrindo um leque de vulnerabilidades que podem ser utilizadas para o ataque;
Alterao e manipulao dos dados afetando a integridade
desses;
Perda ou roubo de equipamentos onde est armazenado algum
tipo de informao;
Perda de conexo com os provedores de servios da rede, como
a cloud, VPN ou servidor local;
Perdas decorrentes de eventos envolvendo fenmenos da natureza, ou da probabilidade de ataque terrorista em algumas regies
do mundo decorrente de questes polticas ou religiosas;
Disponibilizao de informaes via redes sociais sem o mnimo
de cuidado com as consequncias dos comentrios e da forma
como eles podem ser utilizados;
Os riscos da engenharia social que busca obter informaes de
forma bem planejada e inteligente atravs de uma boa conversa
convincente onde o indivduo que est sendo atacado na maioria
das vezes no percebe o perigo no dilogo, e acaba respondendo
s questes levantadas seja por autoconfiana, vaidade ou simplesmente pela possibilidade de novas amizades;
Intercepo de comunicaes de dados, voz ou vdeo.

Entre os diversos tipos de ataques e infiltraes possveis


em uma rede de computadores, interessante observar que
as informaes correm riscos fsicos e virtuais que podem
ocorrer intencionalmente ou no intencionais:
Fsico: quando um espio (indivduo mal intencionado)
pode obter informaes tendo acesso indevido a um ambiente
onde at mesmo as informaes postas em quadros de avisos e
orientaes de procedimentos podem ser utilizadas de forma
contrria. Ainda h a possibilidade de roubo de equipamento,
obteno de informaes via dispositivos mveis e falhas
de comunicao por problemas relacionados a nvel fsico, o
que pode ser um evento ou intencional, ou ainda a obteno
de informao por meio de um bom papo via engenharia
social;
Virtual: equivale intercepo de comunicao de voz,
vdeo e dados pela rede.

Tornando as informaes mais seguras


preciso fazer uma verificao da rede para saber quais
mtodos de segurana so mais adequados para o ambiente.
Isso porque quanto mais valioso o contedo com que se est
trabalhando, mais investimento pode ser necessrio. O mesmo vale para o contrrio. Aqui so apresentadas opes de
implementao da proteo da informao:
C
onfigurao de firewall;
C
onfigurao de DMZ, ou DeMilitarized Zone, procedimento usado para proteger a rede interna dos acessos externos.
Sendo assim, caso um servidor que esteja em uma DMZ seja
atacado, isso em nada afetar a rede interna. Para tanto
necessrio que a implementao seja realizada alinhada com
as polticas de segurana, alm de bem planejada;
Configurao de antivrus;
Fazer uso de chaves criptogrficas;
Definir normas de segurana;
Realizar a autenticao quando for utilizar qualquer servio
da rede;
F
azer o monitoramento da rede, corrigindo os problemas
apresentados de forma imediata e ficando atento a qualquer
anormalidade;
Lidar com a segurana em camadas, o que dificulta o ataque
de crackers;
Aplicao de campanhas de conscientizao dos usurios,
as quais podem alertar sobre a importncia da alterao das
senhas a cada no mximo 90 dias, incentivar a no reutilizao da mesma senha para outros acessos e ainda abordar a
composio da senha, onde recomendado que possua letras,
nmeros e caracteres especiais. Esses so pequenos exemplos
de orientaes que podem fazer parte da campanha;
A
liar a segurana da informao e patrimonial evita o
acesso fsico indevido e roubo de equipamentos, o que uma
consequncia de falha no setor de segurana patrimonial.
A integrao desses dois segmentos oferece uma maior satisfao, eficincia e eficcia dos procedimentos de segurana.

Edio 07 Infra Magazine

Segurana da Informao X Redes Sociais

Realizando a manuteno da segurana aps as aes de


proteo
A rea da segurana da informao, ao mesmo tempo em que
retrata uma zona de conforto, tambm deve ser associada a um
estado de alerta constante, para que no venha a existir a falsa
sensao de segurana, como j abordado anteriormente.
Ento, para que a manuteno desse servio seja efetiva,
importante que constantemente sejam tomadas algumas
providncias, a saber:
Sempre fazer testes na rede com o intuito de identificar as
possveis vulnerabilidades que nela possam vir a existir de
forma que no venham a impactar no desempenho e funcionamento da rede, realizando as correes necessrias. Isso porque o universo da segurana muito dinmico, onde sempre
surgem novos mtodos de ataque e novas vulnerabilidades;
Sempre que possvel reforar as boas prticas de segurana
com os usurios, lembrando que o ser humano o elo mais
fraco nessa corrente de mtodos relacionados segurana;
Aplicar as vacinas do antivrus;
Manter os sistemas atualizados;
Continuar realizando o monitoramento da rede;
Permanecer atento s novas formas de intruso, a fim de
trabalhar na defesa do ambiente.

Alvo dos ataques


Os objetivos so vrios para o ataque feito por crackers. Esse
o termo genericamente usado para identificar os realizadores de ataques s informaes, porm conforme as aes do
atacante, esse termo pode variar bastante. Segue os possveis
termos que podem ser usados para casos especficos:
S
cript kiddies atacantes iniciantes que possuem pouco
conhecimento sobre as ferramentas de ataques e suas consequncias s organizaes;
Cyberpunks atacantes mais velhos e antissociais. Eles so
motivados muitas vezes pelo desafio e diverso, mas em geral
so grandes conhecedores de segurana e obcecados por ela;
Insiders colaboradores insatisfeitos com a empresa. Esse
tipo de atacante um dos mais comuns;
Coders exibicionistas que comentam suas conquistas como
atacante. Em geral gostam de compartilhar seus conhecimentos;
White hat profissionais contratados, tambm conhecidos
como hackers do bem e ticos. Buscam vulnerabilidades e
as corrigem, evitando que seja explorada por atacantes;
Black hat tambm chamados de crackers ou ainda de
hackers do mal. Esses utilizam os seus conhecimentos para
roubar informaes, manipular dados, vender informaes e
esto sempre em busca de obter um retorno financeiro com
suas aes;
Gray hat corresponde a um Black hat que trabalha como
um White hat. Na verdade um perigo para a empresa, uma vez
que esse pode tranquilamente se aproveitar da sua funo
para obter informaes sigilosas e fazer delas o que achar
conveniente.

8 Infra Magazine Edio 07

H vrias motivaes para que um atacante escolha um alvo e


inicie seus procedimentos de invaso a um sistema de comunicao. A seguir so listadas as situaes mais comuns:
Conseguir informaes com a inteno de roubar, modificar ou
usufruir das informaes para obteno de lucro;
Ataque de negao de servio, tambm conhecido como Denialof-Service Attack DoS, trata-se de tcnicas invasivas que exploram
o sistema por meio de uma enxurrada de solicitaes de servios
causando o estouro da memria do hardware em questo. Consequentemente o servio prestado por esse dispositivo ficar paralisado, impedindo que os usurios do mesmo possam utiliz-lo.
Esse tipo de invaso pode levar muitas empresas e sistemas ao
descrdito;
Invases motivadas pelo ego e exibicionismo, onde o desafio
impulsiona a prtica e, geralmente, a inteno simplesmente a
exposio das habilidades ao mundo cracker.
Nas redes sociais, h algumas vulnerabilidades mais especficas, como:
Divulgao de links falsos, maliciosos, que podem ser clicados
caso no se tenha ateno ou no conhecimento sobre o assunto.
Esses links podem causar danos bastante diversificados;
Perfis falsos, onde se podem disponibilizar informaes relevantes para pessoas no autorizadas.

Retorno de investimento em segurana da informao


Devido ao pequeno oramento disponvel para o setor de TIC que
muitas empresas dispem para atender a todas as necessidades
relacionados aos seus servios prestados, que acaba dificultando
o investimento em segurana da informao.
Uma maneira interessante de propor um maior investimento
nessa rea seria fazer uma breve comparao entre o valor a ser
investido contra os prejuzos que a ausncia da segurana pode
causar.
Para poder fazer a comparao proposta, primeiramente importante mensurar o valor das informaes que se quer proteger,
para saber quanto se pode investir. necessrio ter em mente de
que no vivel investir mais do que o valor que as informaes
representam.
O valor das informaes difcil de ser obtido, justamente porque nesse processo de avaliao faz-se uma abordagem baseada
em incertezas e dvidas, e que envolve os recursos tangveis e
intangveis, onde o resultado no preciso, apenas estimado:
R
ecursos tangveis: corresponde a horas de trabalho, equipamentos e softwares necessrios para a recuperao dos dados;
Recursos intangveis: faz referncia ao valor do conhecimento,
quebra de sigilo e a imagem da organizao.

Segurana e a produtividade
As questes relacionadas s restries de acesso aos servios da
rede e recursos de hardware e dispositivos em geral deve possuir
certo equilbrio para no vir a comprometer o desempenho das
atividades dos usurios.

O aconselhvel que seja levado em considerao as atividades


desempenhadas por cada usurio e o departamento em que trabalha, de forma que sejam disponibilizados apenas os servios
dos quais necessita para a realizao de suas funes.
importante que haja bons procedimentos e cuidado na implementao das restries de acesso. Isso porque os equipamentos e
softwares existem na organizao para que possam ser utilizados
para facilitar as atividades dos usurios em suas funes, porm se
os bloqueios forem excessivos podem afetar e, at mesmo, irritar os
usurios por no conseguirem realizar seu trabalho a contento.

No subestime o poder das redes sociais


A disponibilizao de informaes via redes sociais pode funcionar como aliado ou como um inimigo de uma organizao. Portanto, o cuidado com os dados que esto sendo disponibilizados
nas redes vai desde o que pode estar sendo exposto na rede social
da empresa, ao contedo disponibilizado pelos colaboradores,
scios, investidores e clientes.
muito complexo, ou at mesmo cansativo e desafiador, controlar todos esses meios de comunicaes e administrar todas as
informaes disponibilizadas nas redes. Quando se faz referncia
ao contedo disponibilizado pela organizao, scios e colaboradores, h uma possibilidade maior de orientao e acompanhamento do que se publicado.
A boa orientao sobre qual tipo de informao inofensiva
ou perigosa pode variar conforme o segmento da empresa ou
cargo ocupado pelo colaborador. Os comentrios negativos a uma
empresa realizados por um funcionrio ou cliente podem afetar
a reputao da empresa, alm de fornecer um contedo valioso
para concorrentes, hackers e reduzir a porcentagem de vendas de
produtos e servios oferecidos pela organizao em questo.
As informaes so disseminadas rapidamente na Internet e
disponveis a qualquer um que fizer consultas sobre os produtos
e servios da empresa. Da mesma forma como os consumidores
buscam informaes sobre a qualidade, fazem reclamaes relativas empresa por meio da internet, fazendo imprescindvel um
retorno da organizao a essas questes levantadas na rede, de
forma que venha a ter respostas positivas, o que reflete em maior
confiana na marca.
O poder que as redes sociais representam na atualidade bastante relevante. Em decorrncia desse fato que as organizaes
as veem como um grande obstculo a ser enfrentado, uma vez
que um cliente possivelmente dar mais crdito a um comentrio
realizado por um amigo que por um desconhecido.

segmento, viso que possui, aonde ela quer chegar, entre


outras variveis.
Uma vez que h outras formas de comunicao com o cliente,
fica difcil dizer que quem est fora das redes sociais no ter um
futuro bem definido e promissor.
Mas uma coisa certa: se abraou as redes sociais, necessrio
lhe dar uma ateno especial para que a empresa no venha a
se tornar vulnervel nesse campo cada vez mais diversificado e
poderoso, onde os passos falsos podem comprometer a reputao
e o futuro da organizao com muita facilidade.
Primeiro vamos s regras. Se h um profissional responsvel
por monitorar a rede social da empresa, esse precisa se concentrar
em suas atividades e ser bastante consciente de suas aes e as
consequncias delas.
As regras devem ser publicadas e conhecidas por todos que
compem a empresa. O mais indicado nesse caso a realizao
de uma campanha de conscientizao com os funcionrios para
orient-los nesse processo.
Algumas regras bastante comuns aos profissionais das mdias
sociais so:
Definir um tempo mximo aceitvel para responder a um dilogo de um cliente;
Ser cauteloso no momento de publicar qualquer que seja a informao;

Criao de regras e estratgias especficas para utilizao das


redes sociais
A resistncia para que empresas entrem no mundo das redes
sociais bem mais comum do que se possa imaginar. Essa uma
questo de cultura e que est sendo mudada gradativamente com
o passar no tempo.
O fato de uma empresa no ter aderido s mdias sociais
para se comunicar com seus clientes bastante relativo ao seu

Edio 07 Infra Magazine

Segurana da Informao X Redes Sociais

E
star atento veracidade das informaes;
As informaes publicadas devem ter sempre uma relao ao
segmento da empresa;
Demostrar simpatia e ateno principalmente nos casos de
atendimento ao cliente;
Caso cometa algum erro, imprescindvel que o assuma e faa
o que for possvel para corrigi-lo da forma mais breve possvel.
Nas poucas regras listadas j dar para perceber que, se pelo menos algumas delas forem seguidas, a empresa estar mais imune
s vulnerabilidades de sua reputao.
As estratgias envolvem muito a interao entre o profissional
responsvel pelas redes sociais e o marketing, que definiram o
que ser publicado, quando, porque, qual o pblico alvo e como
gerenciar a resposta do pblico.

Monitorando as redes sociais


H uma grande disponibilidade de ferramentas de monitoramento das redes sociais, as quais podem ser gratuitas ou no,
mas em geral, as ferramentas gratuitas, ou as verses gratuitas,
no do suporte a muitas redes sociais ao mesmo tempo, ou seja,
no so to completas.
Para as empresas que no querem gastar com software de
monitoramento, a opo gratuita sim uma boa recomendao, porm, tendo em vista que essa alternativa no abrange
muitas redes sociais em uma mesma plataforma, indicado
que esta trabalhe articulando entre vrias ferramentas, onde
cada uma ter um papel importante na misso de verificar seu
status na rede.
As ferramentas pagas, por outro lado, costumam oferecer servios de monitoramento entre vrias redes sociais, criao de
relatrios, grficos estatsticos e so mais confiveis.
A seguir, sero apresentados alguns dos vrios softwares de
monitoramento com breves comentrios a seu respeito. Para
comear, listaremos as ferramentas gratuitas:
T
weetLevel: Essa ferramenta mede a influncia de um perfil do
Twitter na rede. Para isso, faz uma associao da quantidade de
contatos e a interao que o usurio possui com eles, seja retweetando, respondendo e a frequncia com que realiza suas postagens,
alm de verificar o alcance das publicaes realizadas.
Para fazer a busca, basta informar o ID do Twitter que se deseja
consultar e, caso queira, pode especificar a localidade e tags relacionadas ao perfil em questo. Feito isso, s aguardar o resultado
da anlise, que pode ser visualizado via grficos. O TweetLevel
uma ferramenta gratuita e pode ser acessada via http://tweetlevel.
edelman.com;
Klout: um servio gratuito que possibilita o monitoramento de
vrias redes sociais. Ele faz uma anlise da repercusso das publicaes realizadas e quais pessoas so influenciadas por elas.
O grau de influncia medido de 0 a 100 entre os seguidores,
se utilizando de vrias mtricas para chegar a esse resultado e
exibindo-os por intermdio de grficos. Para utilizar seus recursos, basta acessar http://klout.com e logar pelo Twitter ou Facebook,

10 Infra Magazine Edio 07

podendo ainda monitorar o Google+, LinkedIn, Instagram, entre


outros;
PeerIndex: Possui caractersticas bem parecidas com o Klout,
visto anteriormente, sendo que de uma forma mais enxuta e
objetiva. O PeerIndex no suporta muitas redes sociais. O resultado da anlise fundamentado em trs componentes bem
definidos: autoridade, audincia e atividade.
O nvel de influncia medido de 0 a 10, uma ferramenta
gratuita e, para conhec-la, basta acessar http://www.peerindex.
com/;
Whos Talkin: Essa ferramenta faz uma anlise sobre o assunto de interesse do usurio, retornando uma lista de opinies ou
dilogos em torno do assunto pesquisado, podendo ainda ser
filtrado por tipo de mdia social. Para conhecer o Whos Talkin,
acesse http://www.whostalkin.com;
socialmention*: Possibilita a realizao de filtros por palavras-chave ou frases, onde o usurio pode escolher qual tipo de
busca deseja realizar, que pode ser por vdeos, imagens, blogs,
microblogs, entre outras opes, ou ainda todas as opes de
busca disponveis ao mesmo tempo, e tudo em tempo real.
Aps a filtragem dos dados, possvel verificar as postagens,
opinies e seus respectivos autores, alm de obter dados sobre
quando a informao foi publicada. Ainda possvel ativar
alertas que so encaminhados por e-mail caso alguma notificao adicional venha a ser registrada.
Como resultado dos filtros, tem-se tambm as porcentagens
da pesquisa realizada, o que corresponde a uma comparao
entre os comentrios positivos e negativos postados na web.
Socialmention* trata-se de uma ferramenta gratuita e que pode
ser acessada via http://www.socialmention.com;
Likester Affinities: um aplicativo que analisa apenas o
Facebook, gratuito e lista os contatos seguidos dos links curtidos por eles. Por meio dessas informaes possvel saber
quais os interesses dos contatos e sugerir links que podem ser
de gosto comum entre o usurio e seus contatos.
Para conhecer e testar as funcionalidades do Likester deve-se
acessar http://www.likester.com e fazer login no Facebook;
T
opsy: Tambm faz o monitoramento em tempo real, podendo aplicar filtros por imagens e vdeos, entre outras opes.
A busca pode seguir a ordem de publicao, ou ainda por
informaes mais relevantes. Alm disso, possvel verificar
quem, quais e quantas publicaes foram feitas em torno da
palavra ou frase pesquisada, e ainda obter informaes sobre
essas pessoas, se elas so influentes ou no.
O Topsy realiza o monitoramento apenas do Twitter e do
Google Plus, mas o interessante que, por meio dele, possvel
responder a um comentrio e retweetar, entre outras opes.
Ademais, a consulta pode ser por idiomas diferentes ou realizar
uma busca por todos os idiomas e ainda visualizar hashtags
relacionadas.
Assim como as ferramentas citadas at o momento, Topsy
tambm uma ferramenta gratuita e, para acess-la, basta
informar o endereo http://topsy.com no browser.

A partir de agora sero abordadas as ferramentas pagas e suas


caractersticas principais. Algumas delas permitem testar sua
verso free ao acessar o site, j outras apenas entrando em contato
com a empresa prestadora do servio para que se possa fazer uma
anlise da mesma. Vamos anlise:
S
eekr: um software que, assim como os listados anteriormente,
faz a verificao da sade da empresa nas redes. Um das suas
principais caractersticas a grande disponibilidade de criao
de filtros entre vrias redes sociais, de forma personalizada.
Alm disso, destacam-se a criao de blogs que armazenam o
histrico dos resultados das campanhas, discusses e desempenhos relacionados, relatrios avanados dos resultados obtidos, e
o monitoramento da interao entre a marca e o cliente por meio
da prpria ferramenta tudo em tempo real.
Para dispor dos recursos do Seekr basta acessar www.seekr.com.
br. possvel realizar um Trial Free fazendo um breve cadastro e,
caso queira contratar seus servios, a empresa dispe de vrios
planos de forma que se adeque s necessidades do contratante;
SismoWeb: Esse sistema possui, alm das opes tradicionais
da categoria, um servio de alerta via SMS e e-mail. Outra opo
interessante a disponibilidade de relatrios analticos que avaliam a presena da marca na rede.
Para conhecer melhor esse software necessrio se cadastrar e
solicitar uma apresentao do mesmo. Mais informaes podem
ser obtidas em www.sismoweb.com.br;
PostX: Faz a verificao do status da marca na rede por meio
de palavras-chave, checa o ranking de influenciadores, contabiliza
os retweets, possibilita a interao com o cliente, dispara alarmes
de emergncia, entre outras funcionalidades como relatrios,
anlise do humor com que um comentrio foi divulgado e outras
avaliaes mais especficas.
Como diferencial, h o servio de cruzamento das informaes
sobre a marca e produtos concorrentes, possibilita conhecer tendncias do mercado, identificar vulnerabilidades que os comentrios sujeitam a marca da empresa e identificam influenciadores
das redes sociais. Esse ltimo pode tanto contribuir como tambm
levar muitas pessoas a desacreditarem em um servio ou produto
pela influncia de seus comentrios. Com base nas informaes
obtidas, pode realizar um planejamento consolidado e contar com
uma equipe de analistas do PostX para que avaliem e categorizem
o contedo capturado, vislumbrando emitir alertas de urgncia em
tempo real, a fim de informar a empresa caso alguma notcia no
conveniente seja publicada para que essa tome as medidas cabveis
situao. Os planos de contratao so bem diversificados, de
forma que venham a atender melhor o perfil da empresa. Essa e
outras informaes podem ser obtidas via www.postx.com.br.

Aqui foram listados apenas alguns dos inmeros sistemas de


monitoramento de redes sociais. Ao realizar uma breve comparao possvel notar que os servios pagos so realmente
mais completos e detalhistas, mas no geral todos contribuem
bastante para saber como anda a sade da marca na rede.
O software mais adequado pode variar de empresa para
empresa conforme suas necessidades e possibilidades de investimento. Uma boa dica analisar com calma o que cada
uma das opes tem a oferecer e qual delas pode realmente
atender s expectativas.

Concluso
Como vimos, a segurana da informao envolve questes
fsicas e virtuais, sendo recomendada uma ao combinada
entre o setor de segurana da informao e patrimonial para
obter uma maior proteo dos dados.
No se deve esquecer que o ser humano o elo mais fraco
nessa corrente de segurana, podendo ser manipulado e no
corresponder s boas medidas de proteo sugeridas pela organizao. Uma campanha de conscientizao fundamental para
que se tenha bom retorno nas atitudes dos colaboradores.
O uso das redes sociais de forma indevida pode resultar em
impactos de nvel igual ou superior falta de implementao
da segurana de informao, porque a propagao do problema
muito mais rpida que em outras situaes.
A segurana uma rea bastante desafiadora, requer bastante esforo, ateno e investimento. Os procedimentos de
segurana no so muito perceptveis quando executados.
Em contrapartida, a ausncia destes bastante notvel aos
usurios envolvidos, provocando a sensao de insegurana
no ambiente.
No de uma hora para a outra que a cultura das empresas
ir mudar dando mais ateno a esse segmento, mas a anlise
dos oramentos, levando em considerao os prejuzos que a
organizao pode ter com a ausncia de segurana, uma boa
estratgia para ajudar a conscientizar as empresas da necessidade de se investir na segurana da informao.

rika Priscila Pereira Santana Santos


priscila.erika@gmail.com
Ps graduanda em Gerenciamento de Redes de Computadores,
Complementao em Docncia no Ensino Superior e Bacharel em
Sistemas de Informao, experincia com suporte a help-desk, polticas de
segurana, criao de procedimentos, documentao e controle de custos
da rea de TIC. Professora do curso Tcnico em Redes de Computadores na ETEMERB.

Edio 07 Infra Magazine

11

Infraestrutura de
Data Centers
As caractersticas de infraestrutura dos Data
Centers podem variar conforme a disponibilidade
demandada pelas aplicaes e sistemas

s Data Centers so estruturas complexas que


abrigam as aplicaes e os sistemas de informao de uma empresa. Idealmente, suas
instalaes devem contemplar os componentes redundantes e sobressalentes necessrios para eliminar os
pontos de falha e aumentar seu nvel de disponibilidade
e confiabilidade. Diversos fatores tm impulsionado o
surgimento de novos Data Centers, entre eles: o clere
aumento das transaes comerciais na Internet (comrcio
eletrnico), o avano do processamento comercial de
alto desempenho atravs da computao em nuvem e o
crescimento dos provedores de software como servio
(SaaS Software as a Service).
Atualmente, muitas das aplicaes Web esto hospedadas em DCs: os sistemas de troca de mensagens
instantneas, as redes sociais, as aplicaes de comrcio
eletrnico e os buscadores de contedo. Cada vez mais,
os aparelhos domsticos (televisores, telefones, tablets,
videogames, entre outros) acessam dados disponibilizados em um Data Center. Diferentes segmentos da
atividade humana igualmente esto controlados por
servidores instalados em Data Centers pulverizados em
vrias localidades, tais como: energia, iluminao, telecomunicaes, trfego urbano, instituies financeiras,
sistemas de sade, servios de entretenimento e meios
de transporte pblico e privado.
Estes oferecem aos seus usurios diversas vantagens,
entre elas: a reduo dos investimentos em recursos
humanos e materiais, servios de tecnologia da informao aderentes s necessidades do negcio, economias
de escala em servios de telecomunicaes e redes
de computadores, alm da flexibilidade e rapidez na
implantao e disponibilizao de novos sistemas de
informao.
Neste artigo, sero expostas as definies habitualmente encontradas para os Data Centers, bem como as

12 Infra Magazine Edio 07

Resumo DevMan
De que se trata o artigo:
Neste artigo sero descritos os principais tipos de Data Centers e os
servios frequentemente oferecidos pelas empresas de telecomunicaes
que disponibilizam estas infraestruturas para seus clientes. Sero apresentadas as topologias e os padres recomendados pela norma TIA-942
(Telecommunications Infrastructure Standard for Data Centers) para o
projeto de instalaes com alta confiabilidade e disponibilidade. Tambm
ser exposta a classificao dos Data Centers conforme o nvel de redundncia previsto na concepo de seus elementos. Por fim, ser abordada
a relao entre estas infraestruturas e a computao em nuvem.

Em que situao o tema til:


Os tpicos abordados sero fundamentais para a compreenso dos
principais componentes e dos aspectos de redundncia que devem ser
observados na avaliao da infraestrutura de um prestador de servios
de telecomunicaes que disponibiliza Data Centers. Estes so essenciais
para os profissionais que necessitam determinar qual tipo de instalao
atender s caractersticas particulares das aplicaes e sistemas de
informao de sua empresa, sobretudo ponderando os requisitos de
confiabilidade e disponibilidade.

Infraestrutura de Data Centers:


Os Data Centers so instalaes que abrigam as salas de computadores
e suas reas de suporte. Disponibilizam a infraestrutura de condicionamento de ar, de sistemas eltricos, de telecomunicaes, de combate e
preveno de incndio, e de segurana fsica e lgica para os equipamentos e sistemas de tecnologia da informao 24 horas por dia, 7 dias
na semana e 365 dias por ano. Os Internet Data Centers, mantidos por
prestadores de servios de telecomunicaes, oferecem diversos tipos
de servios agrupados em duas principais classes: Colocation e Hosting.
Dependendo das caractersticas e necessidades do modelo de negcios
de cada empresa, infraestruturas distintas podem ser utilizadas. Com a
finalidade de auxiliar nesta escolha, os Data Centers so classificados
em quatros nveis, com diferentes especificaes e interrupes anuais
permitidas aos servios ofertados.

diferenas entre as instalaes mantidas por empresas privadas ou


agncias governamentais, e aquelas ofertadas por prestadores de
servios de telecomunicaes. Sero contextualizados os servios
oferecidos pelos Internet Data Centers agrupados como Colocation
e Hosting. Tambm sero abordadas as topologias e os padres recomendados pela norma TIA-942, enfocando os principais componentes e seus aspectos de redundncia para o dimensionamento de
Data Centers com estruturas tpicas, reduzidas e distribudas. Ser
descrita a classificao comumente empregada nestas instalaes,
destacando as caractersticas consideradas em sua concepo, em
termos da arquitetura, sistemas de telecomunicaes, eltricos e
mecnicos. Por fim, sero apresentadas as infraestruturas que so
utilizadas pelos sistemas de computao em nuvem.

O que so os Data Centers?


Atualmente, existem diversas definies empregadas para
descrever um Data Center. Alguns autores afirmam que uma
estrutura utilizada para armazenar todos os sistemas de informao (SI) de uma empresa. Outros contextualizam como uma
infraestrutura com alta disponibilidade para os equipamentos e
sistemas de tecnologia da informao (TI), a qual assegura seu
funcionamento 24 horas por dia, 7 dias na semana e 365 dias por
ano. J a especificao TIA-942, Telecommunications Infrastructure Standard for Data Centers, os delineia como construes
ou partes de um edifcio cuja funo primria abrigar salas de
computadores e suas reas de suporte.
Os Data Centers podem ser categorizados em dois grupos:
Private Data Center (PDC) e Internet Data Center (IDC). Um
PDC mantido por empresas privadas, instituies ou agncias
governamentais com o objetivo de armazenar os dados processados internamente e as aplicaes que servem seus usurios
na Internet. J um IDC geralmente pertence aos provedores de
telecomunicaes, s operadoras comerciais das redes de telefonia
ou a outros tipos de prestadores de servios de telecomunicaes.
Segundo Pravin Ganore, em seu artigo How To Build Data Centers,
habitualmente esta categoria de DC tem como propsito oferecer
diversos tipos de servios agrupados em duas principais classes:
Colocation e Hosting.
Na modalidade de Colocation, os usurios contratam somente
o espao fsico onde seus servidores e dispositivos de redes sero
instalados. O IDC pode tambm oferecer racks (gabinetes projetados e padronizados para a montagem modular dos equipamentos),
alm do fornecimento da infraestrutura de climatizao, energia
eltrica, telecomunicaes, sistemas de combate e preveno de
incndio, e segurana fsica e lgica. Opcionalmente podem ser
ofertados outros servios, tais como:
Monitorao e notificao proativa de eventos relacionados
rede de comunicao de voz e dados;
Sistemas para resoluo de nomes (Domain Name System
DNS), responsveis pela traduo de nomes, como www.devmedia.com.br para o endereo IP (Internet Protocol) empregado na
identificao do servidor onde a pgina Web est hospedada;
Suporte tcnico de especialistas nas diversas reas de TI;

Operadores para realizao de tarefas locais, como insero de


mdias removveis (por exemplo, CDs e DVDs) e reinicializao
de servidores, roteadores, switches, firewalls e balanceadores de
carga.
Entre as principais vantagens do Colocation, destacam-se: a
reduo de investimentos na infraestrutura, a economia de escala
na compra de servios de telecomunicaes e operaes de TI, a
agilidade na implantao e disponibilizao de novas aplicaes
de SI, e o suporte de profissionais e consultores altamente especializados e experientes.
J no servio de Hosting, toda infraestrutura de hardware e
software do IDC disponibilizada aos usurios que no desejam
especializar-se na operao da tecnologia de informao. Assim,
possvel escolher os servidores, sistemas operacionais, sistemas de
banco de dados e softwares aplicativos conforme as necessidades
e caractersticas de cada negcio. Diversos servios com alto valor
agregado so ofertados aos clientes, entre eles:
Planejamento de capacidade e expanso para servidores e dispositivos de rede;
Sistemas de deteco de intrusos (Intrusion Detection System
IDS) que visam monitorar os acessos no autorizados em uma rede
de computadores, os quais podem indicar a ao de um cracker
ou funcionrios mal intencionados;
Monitorao e notificao proativa de eventos relacionados
comunicao de dados;
Controle e disponibilizao de novas faixas de endereamento
IP para atribuio aos dispositivos conectados Internet;
Relatrios detalhados sobre a utilizao e a capacidade total
do hardware e do software de servidores, roteadores, switches,
firewalls e balanceadores de carga;
Servidores para relay de mensagens de correio eletrnico (servio no qual as correspondncias so encaminhadas para um servidor intermedirio responsvel por entreg-las aos destinatrios
finais);
Sistemas para resoluo de nomes (DNS);
Suporte tcnico de especialistas em TI, 24 horas por dia, 7 dias
na semana e 365 dias por ano;
Ponto nico de contato (Service Desk), o qual possibilita o registro e o acompanhamento dos pedidos de suporte e manuteno;
Operadores para realizao de tarefas locais e reinicializao
de servidores, roteadores, switches, firewalls e balanceadores de
carga;
Aplicao das correes de segurana (patches) disponibilizadas
para os sistemas operacionais;
Manuteno, substituio e atualizao do hardware dos
servidores;
Backup total ou incremental dos dados e dos aplicativos;
Infraestrutura completa para o armazenamento de grandes
volumes de dados, por intermdio de SANs (Storage Area Net
works);
Expanso sazonal da capacidade de escoamento do trfego para
Internet, atravs da contratao de Gigabytes adicionais.

Edio 07 Infra Magazine

13

Infraestrutura de Data Centers

So os principais benefcios da contratao do Hosting: reduo


do investimento em ativos fixos e em pessoal tcnico especializado
em TI, servios de TI aderentes s necessidades do negcio, atualizao constante do software e hardware utilizados, know-how
de consultores em TI, agilidade na implantao e disponibilizao
de novas aplicaes de SI, e segurana fsica e lgica com altos
padres de desempenho e disponibilidade.

Topologias e padres para os Data Centers


Segundo Jos Maurcio S. Pinheiro, em seu artigo Ambiente
de Data Center, um Data Center robusto aquele projetado
segundo padres que estabelecem os requisitos que asseguram
disponibilidade e confiabilidade. Um DC tambm deve suportar
as tecnologias existentes e os avanos tecnolgicos em processamento de dados, telecomunicaes e armazenamento. Portanto,
a construo de um Data Center depende da integrao completa
entre diversas reas e sistemas, entre elas:
Arquitetura;
Climatizao;
Gesto das instalaes prediais;
Polticas de manuteno;
Infraestrutura eltrica;
Infraestrutura de telecomunicaes;
Segurana fsica e lgica.
A Figura 1 ilustra as principais reas de um Data Center tpico e
como estas se relacionam entre si e com outros espaos externos,
conforme a recomendao TIA-942.
Esta norma tambm descreve as principais reas funcionais que
compem a estrutura de um DC (Figura 2). So elas:
Entrance Room (ER) Sala de entrada: rea na qual as instalaes pertencentes s operadoras de telecomunicaes promovem
a interface com o cabeamento estruturado do Data Center. A ER
abriga todos os equipamentos destas operadoras, que tambm
disponibilizam enlaces de comunicao de dados aos seus clientes.
Recomenda-se que esta sala esteja localizada fora do local onde
esto os servidores e os dispositivos de rede, denominado sala
de computadores (computer room), para aumentar a segurana
(evita o acesso fsico dos prestadores de servio terceirizados).
Os DCs podem ter mltiplas ERs para prover redundncia e para
evitar que sejam excedidos os limites de distncia do cabeamento
estruturado (fibras ticas e pares tranados metlicos);
Main Distribution Area (MDA) rea de distribuio principal: este espao compreende o Main Cross-Connect (MC), que
o ponto central de distribuio do sistema de cabeamento estruturado de um Data Center. Pode incluir tambm o Horizontal
Cross-Connect (HC) para atender equipamentos instalados no
local, como as centrais telefnicas, e os roteadores e switches de
backbone (principais). A MDA geralmente est localizada dentro
da sala de computadores, mas tambm pode estar em um espao
dedicado, a fim de aumentar a segurana fsica;
Horizontal Distribution Area (HDA) rea de distribuio
horizontal: conecta as reas de distribuio de equipamentos.

14 Infra Magazine Edio 07

Frequentemente, a HDA est situada na sala de computadores,


porm, por questes de segurana, pode ser instalada em um local
dedicado. A rea de distribuio horizontal tipicamente inclui os
switches LAN (Local Area Network), SAN (Storage Area Network)
e KVM (Keyboard/Video/Mouse) usados pelos equipamentos
terminais localizados nas EDAs. Os DCs podem ter vrias salas
de computadores, em diferentes andares, cada qual suportada por
sua prpria HDA. J as infraestruturas menores no requerem
necessariamente a rea de distribuio horizontal, pois a sala de
computadores pode ser atendida diretamente pela MDA;
Zone Distribution Area (ZDA) rea de distribuio da zona:
ponto opcional de interconexo. Situado entre as reas de distribuio horizontal e de equipamentos, possibilita flexibilidade ao
Data Center, permitindo alteraes rpidas na reconfigurao do
cabeamento;
Equipment Distribution Area (EDA) rea de distribuio
de equipamentos: espao alocado para dispositivos terminais
(servidores, unidades de armazenamento de dados, telefones,
entre outros) e equipamentos de telecomunicaes (roteadores,
switches, firewalls e balanceadores de carga).
Instalaes prediais (building site )

Escritrios gerais e outras reas comuns

Data Center

Escritrios das equipes


de suporte em TI

Sala(s) de entrada

Salas eltricas e
mecnicas

Central de operaes
de redes

Sala(s) de
telecomunicaes

reas de estoque e
docas

Sala(s) de computadores

Figura 1. reas presentes em um Data Center tpico.

Topologias reduzidas para Data Centers


Segundo a norma TIA-942, as infraestruturas para DCs menores
podem ser dimensionadas como uma topologia reduzida. Neste
modelo, tanto o ponto central de distribuio do cabeamento
estruturado (MC) quanto o cabeamento horizontal (HC) so consolidados na MDA (no extremo, em um nico rack); por fim, a sala
de entrada tambm pode ser agregada na rea de distribuio
principal (Figura 3). Esta arquitetura muito utilizada no projeto
de pequenos Data Centers, geralmente mantidos por empresas

privadas. Habitualmente o espao fsico


limitado nestes DCs e as aplicaes no
justificam os investimentos em elevados
nveis de disponibilidade, redundncia,
escalabilidade e modularidade.

Topologias distribudas para Data Centers


Restries relacionadas ao comprimento
mximo do cabeamento podem demandar
mltiplas salas de entrada em grandes
Data Centers (Figura 4). As ERs esto
conectadas s reas de distribuio principal e horizontal por intermdio de fibras
pticas, pares tranados ou cabos coaxiais.
A ER primria no deve ser interligada
diretamente s HDAs, somente atravs da
MDA. J a ER secundria pode ser conectada s HDAs, embora no seja uma prtica
recomendada. Este modelo implementado em grandes infraestruturas, frequentemente, Internet Data Centers. Duas salas
de entrada possibilitam redundncia na
interface com as operadoras de telecomunicaes, viabilizando a interconexo com
diferentes equipamentos e infraestruturas
de fibras ticas encaminhadas por caminhos fsicos dspares (por exemplo, abordagens de entrada em logradouros distintos). Assim, os IDCs tambm oferecem aos
seus clientes conexes de alta velocidade e
capacidade com as principais operadoras
de telecomunicaes locais, ou seja, o trfego originado nos servidores hospedados
nas suas instalaes ser encaminhado
diretamente para os destinatrios finais
conectados nestes provedores.

Escritrios, central de
operaes de redes e salas de
suporte
Cabeamento
Sala de entrada
(equipamentos das
operadoras)

Operadoras de telecomunicaes

Sala de computadores

Operadoras de telecomunicaes

Cabeamento

Cabeamento
rea de distribuio principal
(centrais telefnicas,
roteadores e switches de
backbone etc.)

Cabeamento
rea de distribuio horizontal
(switches LAN, SAN e KVM )

Cabeamento

Cabeamento

Cabeamento

rea de distribuio horizontal


(switches LAN, SAN e KVM)

rea de distribuio horizontal


(switches LAN, SAN e KVM)

rea de distribuio horizontal


(switches LAN, SAN e KVM)

Cabeamento
rea de distribuio da zona
Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)

Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)

Cabeamento

Cabeamento

rea de distribuio de
equipamentos
(equipamentos e racks)

rea de distribuio de
equipamentos
(equipamentos e racks)

Figura 2. Principais reas funcionais da topologia de um Data Center tpico


Escritrios, central de
operaes de redes e salas de
suporte

Operadoras de telecomunicaes

Cabeamento

Sala de computadores

Cabeamento
rea de distribuio da zona

rea de distribuio principal


(equipamentos das
operadoras, centrais
telefnicas, roteadores e
switches de backbone ,
switches LAN, SAN e KVM)

Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)

Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)

Figura 3. Principais reas de um Data Center com topologia reduzida


Operadoras de telecomunicaes

Operadoras de telecomunicaes
Escritrios, central de
operaes de redes e salas de
suporte

Classificao dos Data Centers


A recomendao TIA-942 afirma que os
pontos nicos de falha devem ser eliminados do projeto de um Data Center para
assegurar sua redundncia e confiabilidade. Estes podem ocorrer em qualquer
componente dos subsistemas de um DC,
entre eles:
Sistemas de climatizao: os equipamentos podem sofrer falhas eltricas, hidrulicas ou mecnicas e no suportar o condicionamento do ar conforme as condies
de temperatura e umidade dimensionadas;
alm disso, o sistema pode no suportar
condies extremas de temperatura (por
exemplo, dias muito quentes e midos);

Sala de telecomunicaes

Cabeamento
Sala de entrada
secundria
(equipamentos das
operadoras)
Cabeamento

Cabeamento
rea de distribuio horizontal
(switches LAN, SAN e KVM )

Sala de entrada
primria
(equipamentos das
operadoras)

Sala de telecomunicaes

Cabeamento

Cabeamento
rea de distribuio principal
(centrais telefnicas,
roteadores e switches de
backbone etc.)
Cabeamento

Cabeamento

Cabeamento

rea de distribuio horizontal


(switches LAN, SAN e KVM)

rea de distribuio horizontal


(switches LAN, SAN e KVM)

rea de distribuio horizontal


(switches LAN, SAN e KVM)

Cabeamento
rea de distribuio da zona
Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)

Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)

Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)
Cabeamento

Cabeamento
rea de distribuio de
equipamentos
(equipamentos e racks)
Cabeamento

Sala de computadores

Figura 4. Principais reas de um Data Center com topologia distribuda


Edio 07 Infra Magazine

15

Infraestrutura de Data Centers

Infraestrutura eltrica: falhas ou manutenes programadas podem causar interrupes no fornecimento de energia eltrica, pois
diversos e complexos dispositivos esto envolvidos, como painis
eltricos, redes internas de transmisso, baterias e geradores;
I nfraestrutura de telecomunicaes: envolve equipamentos
especializados e sofisticados para a transmisso dos dados e a
interface com as operadoras de telecomunicaes. As principais
falhas esto relacionadas ao software e ao hardware dos equipamentos, ou seja, podem ocorrer inconsistncias na alocao
de memria, mau funcionamento nos mdulos, nas portas de
interconexo, nas fontes de alimentao e nos resfriadores dos
gabinetes (ventiladores);
S
egurana lgica e fsica: incidentes de segurana podem causar
suspenses no fornecimento dos servios. Geralmente so provocadas por vrus, cavalos de troia, ataques de negao de servio,
falhas nos protocolos e nos sistemas operacionais. Tambm so
comuns deficincias nas polticas de segurana, que deveriam
limitar o acesso fsico somente s equipes e usurios que prestam
suporte aos dispositivos da infraestrutura do Data Center.
Desta forma, os DCs podem ser classificados segundo aspectos
intimamente relacionados maneira como foram concebidos:
(i) arquitetura, (ii) telecomunicao, (iii) eltrico e (iv) mecnico.
A partir destas caractersticas, foram criados quatro nveis de
infraestrutura (tambm chamados Tiers):
Tier 1 (Data Center bsico);
Tier 2 (Data Center com componentes redundantes);
T
ier 3 (Data Center que permite manuteno sem paradas);
Tier 4 (Data Center tolerante a falhas).
As prximas sees descrevem brevemente as principais caractersticas de cada uma destas categorias de DCs, destacando o tempo
mximo de indisponibilidade da infraestrutura (downtime) e os
principais pontos de ateno.

Tier 1 Data Center bsico


Neste nvel, a infraestrutura de telecomunicaes ser distribuda da sala de entrada para as reas de distribuio principal e
horizontal por meio de um caminho (duto) nico, sem rotas alternativas fsicas ou lgicas. Tambm no contempla a redundncia
na entrada da alimentao eltrica da concessionria fornecedora.
Suporta um nvel de distribuio de energia que atende somente
a demanda prevista, sem carga eltrica adicional. J o sistema
de condicionamento de ar, mantm a temperatura e a umidade
relativa das reas crticas nas condies estabelecidas no projeto,
igualmente sem capacidade ociosa.
Os DCs desta categoria so suscetveis a interrupes planejadas
(manutenes preventivas e corretivas, atividades para expanso
da infraestrutura, atualizaes de software, entre outras) e no previstas (falhas e incidentes). O tempo mximo de indisponibilidade
da infraestrutura de 28,8 horas por ano. Este valor obtido por
meio do clculo da disponibilidade total prevista, ou seja, 99,671%
das 8.760 horas anuais. Os principais pontos de ateno so:

16 Infra Magazine Edio 07

Falhas de alimentao eltrica no Data Center ou na Central da


Operadora de Telecomunicaes;
Falhas nos dispositivos de redes, como roteadores, switches,
firewalls, balanceadores de carga, entre outros;
Eventos catastrficos nos caminhos de interligao ou nas reas
ER, MDA, HDA, ZDA e EDA.

Tier 2 Data Center com componentes redundantes


Neste grupo, os equipamentos de rede e de telecomunicaes
possuem seus principais mdulos de hardware redundantes,
tais como:
Fontes de energia;
Placas processadoras de dados;
Placas de gerenciamento;
Portas para conexo com outros dispositivos.
O cabeamento das reas de distribuio horizontal para os
equipamentos de backbone deve ser composto por fibras pticas
ou pares tranados redundantes, suportando a interconexo
com diferentes mdulos dos dispositivos de redes e telecomunicaes. Deve disponibilizar tambm duas caixas de acesso de
telecomunicaes e dois caminhos de entrada at a ER (separados
minimamente por 20 metros e conectados a pontos opostos da
sala de entrada).
Os DCs denominados Tier 2 ainda no contemplam a redundncia na entrada da alimentao eltrica da concessionria fornecedora. Entretanto, os ns de baterias (Uninterruptible Power
Supply UPS) que suportam a operao at o acionamento dos
geradores eltricos devem estar configurados como N+1. Neste
cenrio, N representa a quantidade de ns necessria para atender
a carga eltrica total planejada; j na redundncia N+1, existe um
n sobressalente que ser ativado quando qualquer outro estiver
indisponvel. Tambm no h necessidade de geradores de energia
eltrica redundantes. Por fim, os equipamentos condicionadores
de ar devem ser projetados para operao contnua, 24 horas por
dia, 7 dias na semana e 365 dias por ano, em configurao N+1.
A indisponibilidade mxima permitida de 22,0 horas por ano
(disponibilidade total prevista de 99,749%). Os principais pontos
de ateno so relacionados s falhas nos sistemas de energia
eltrica e climatizao, que podem gerar incidentes em todos os
demais componentes do Data Center.

Tier 3 Data Center que permite manuteno sem paradas


Estes DCs so atendidos por duas ou mais operadoras de telecomunicaes, que provisionam seus enlaces de dados por
intermdio de infraestruturas totalmente independentes. Estas
estaro distribudas em duas salas de entrada, minimamente
separadas por 20 metros, em lados opostos do Data Center. Estas
ERs devem possuir sistemas de condicionamento de ar, energia
eltrica, proteo contra incndios e equipamentos de telecomunicaes distintos.
Tambm estaro disponveis caminhos redundantes entre as
ERs, MDAs e HDAs, por intermdio de fibras pticas ou pares

tranados. Todos os dispositivos de rede e de telecomunicaes


estaro configurados em modo redundante, seja ativo-ativo (quando todos os ns esto operando simultaneamente e dividindo as
transaes a serem processadas) ou ativo-backup (neste modelo,
um n ocioso est disponvel para entrar em operao somente
no momento da ocorrncia de um incidente). Desta maneira, podero ocorrer manutenes e alteraes no layout sem nenhuma
indisponibilidade para os servios do Data Center.
O sistema eltrico tambm dever operar com contingenciamento N+1. Finalmente, os equipamentos condicionadores de ar
sero dimensionados com equipamentos redundantes suficientes para suportar falhas ou manutenes planejadas em at um
painel eltrico (neste caso, haver interrupo no fornecimento
de energia eltrica para todos os dispositivos do sistema de climatizao conectados em circuitos alimentados por este quadro
de distribuio eltrica), mantendo as condies de temperatura
e de umidade relativa.
Neste nvel, os DCs possuem downtime anual mximo de 1,6
horas (disponibilidade total prevista de 99,982%). O ponto crtico
da infraestrutura so as reas de distribuio principal e horizontal, pois qualquer incidente nestas poder resultar na interrupo
da operao.

Tier 4 Data Center tolerante a falhas


Analogamente aos Data Centers do Tier 3, as instalaes desta
camada sero atendidas por duas ou mais operadoras de telecomunicaes, que utilizam infraestruturas distintas. Estas estaro
distribudas em duas ERs, separadas por 20 metros, em lados
opostos do DC. Ambas tero sistemas de climatizao, energia
eltrica, proteo contra incndios e equipamentos de telecomunicaes independentes.
Toda infraestrutura de cabeamento estruturado dever ser
redundante e instalada em dutos fechados. Alm disso, recomendada uma MDA secundria (em uma zona de proteo
contra incndio separada). O cabeamento das HDAs devero
seguir caminhos diferentes, um at a MDA principal, e outro at
a MDA secundria. Os dispositivos de rede sero redundantes e
sero alimentados por circuitos eltricos distintos, possibilitando
o chaveamento automtico para os equipamentos backup.
A instalao tambm dever possuir duas alimentaes de
energia eltrica das concessionrias fornecedoras, conectadas em
diferentes subestaes para assegurar a redundncia no fornecimento. O sistema eltrico estar configurado como 2 (N+1), onde
alm de um componente sobressalente, toda estrutura eltrica
ser duplicada.
J o sistema de climatizao ser concebido com os componentes
redundantes necessrios para suportar falhas ou manutenes
planejadas em at um painel eltrico, mantendo as condies de
temperatura e de umidade relativa. Estes equipamentos devem
possuir duas ou mais fontes de energia eltrica, conectadas em
circuitos independentes.
Os Data Centers deste Tier tm indisponibilidade anual mxima
de 0,4 hora (disponibilidade total prevista de 99,995%). Nota-se

que a probabilidade de interrupes nos servios baixa, desde


que seguidas as recomendaes de disponibilizao das reas de
distribuio principal e horizontal secundrias.

Sumrio dos nveis de infraestrutura dos Data Centers


Conforme exposto nas sees anteriores, os DCs podem ser classificados em diferentes tiers. A infraestrutura eltrica, os sistemas
de condicionamento de ar e a arquitetura de cabeamento so mais
complexos nas instalaes em conformidade com os tiers mais
altos. Alm disso, os equipamentos de rede e telecomunicaes
tambm utilizam mais componentes redundantes e robustos,
resultando em um maior ndice de disponibilidade. Abaixo, esto
sumarizados os principais aspectos apresentados previamente.
Por fim, a Figura 5 ilustra graficamente o downtime anual para
as instalaes em diferentes tiers.

Downtime anual
30,0
25,0
20,0
15,0
10,0
5,0
0,0
Tier 1

Tier 2

Tier 3

Tier 4

Figura 5. Downtime anual para cada um dos Tiers


T
ier 1: a infraestrutura deste grupo possui numerosos pontos de
falha, pois no dispe de redundncia eltrica, de climatizao,
de cabeamento e de equipamentos de rede e telecomunicaes;
Tier 2: equipamentos de rede e telecomunicaes com mdulos
de hardware redundantes. Cabeamento encaminhado por caminhos distintos. Os sistemas de UPS e condicionamento de ar esto
configurados com contingenciamento N+1. No h abordagem
dupla no fornecimento de energia eltrica pela concessionria,
geradores redundantes e circuitos eltricos independentes para
os equipamentos;
Tier 3: dispositivos de rede e telecomunicaes redundantes.
Duas ou mais operadoras de telecomunicaes instaladas em salas
de entrada totalmente independentes, com cabeamento encaminhado por dutos distintos para as reas de distribuio principal
e horizontal. Sistema eltrico configurado com contingenciamento
N+1. J o sistema de climatizao suporta falhas e manutenes
planejadas em at um painel eltrico. Por fim, as MDAs e HDAs
no so duplicadas, ou seja, incidentes nestas reas podem causar
a interrupo nos servios;
Tier 4: todos os equipamentos de rede e telecomunicaes
so redundantes e conectados em diferentes circuitos eltricos.

Edio 07 Infra Magazine

17

Infraestrutura de Data Centers

O DC tem duas ou mais operadoras de telecomunicaes instaladas em ERs independentes, com cabeamento redundante e
encaminhados por dutos fechados. Existem reas de distribuio
principal e horizontal primrias e secundrias. A alimentao
eltrica fornecida a partir de subestaes diferentes e o sistema
eltrico est configurado como 2 (N+1).

Qual o melhor Data Center?


Segundo Sri Chalasani, em seu artigo TIA-942: Data Center
Standards, dependendo das caractersticas do modelo de negcios da empresa, diferentes infraestruturas podem ser utilizadas.
Assim, o critrio mais relevante na escolha de um Data Center
a dependncia que uma empresa ou organizao apresenta
em relao aos sistemas de informao. Portanto, empresas que
no realizam seus negcios diretamente pela Internet e cujas
operaes no necessitam ser processadas em tempo real, podem
optar por investimentos em infraestruturas menos robustas e
com menor disponibilidade. J as companhias que possuem
forte vnculo com a tecnologia da informao, como aquelas
que praticam comrcio eletrnico ou as instituies financeiras, devem escolher DCs com os menores ndices de downtime.
A lista abaixo ilustra alguns exemplos conforme os nveis descritos nas sees anteriores:
T
ier 1: Companhias pequenas, com presena limitada na Internet,
pouca dependncia da tecnologia da informao e que toleram a
indisponibilidade momentnea dos servios;
T
ier 2: Organizaes que vendem alguns de seus produtos pela
Internet, com sistemas de informao instalados em mltiplos
servidores, dependentes de aplicaes de correio eletrnico e voz
sobre IP. Suportam apenas a indisponibilidade planejada de seus
servios;
Tier 3: Empresas com presena mundial na Internet e amplamente conhecidas, com pginas Web de comrcio eletrnico. Possuem
alta dependncia da tecnologia e dos sistemas de informao.
Portanto, a interrupo dos servios pode gerar um prejuzo
significativo;
Tier 4: Instituies e companhias que realizam transaes de
alto valor monetrio atravs da Internet. Totalmente dependentes
da TI e no tolerantes a nenhuma indisponibilidade na operao
de seus servios online.

Infraestrutura para computao em nuvem (cloud computing)


A computao em nuvem (cloud computing) um tema atual
e fortemente relacionado infraestrutura dos Data Centers, pois
estes ltimos so a sua manifestao fsica. Segundo Fbio Verdi,
Christian Rothenberg, Rafael Pasquini e Maurcio Magalhes,
em seu artigo Novas Arquiteturas de Data Center para Cloud
Computing, a computao em nuvem um conjunto de recursos
virtuais facilmente usveis e acessveis, tais como hardware, plataformas de desenvolvimento e servios. Sua estrutura modular
e flexvel, possibilitando ser dinamicamente reconfigurada para
se ajustar a uma carga varivel, otimizando o uso dos recursos.
Este conceito ilustrado graficamente pela Figura 6.

18 Infra Magazine Edio 07

Servios oferecidos por


meio da Internet

Hardware e software
do Data Center

Computao
em nuvem

Figura 6. Componentes da computao em nuvem


Dependendo da infraestrutura fsica e da sua localizao, os Data
Centers que suportam a computao em nuvem podem ser classificados como mega, micro, nano ou baseados em contineres:
Mega Data Centers: so instalaes com dezenas de milhares de
servidores. Estas so construdas em locais prximos s subestaes de fornecimento de energia eltrica, e com boa conectividade
Internet (oferecida por diferentes operadoras de telecomunicaes). Habitualmente, so empregadas para aplicaes em nuvem
que analisam bases de dados ou outros sistemas que requeiram
grandes volumes de memria, ciclos de processamento e espao
para armazenamento dos dados;
Micro Data Centers: possuem milhares de servidores e geralmente so conhecidos como instalaes satlites, pois esto localizadas em pontos prximos aos grandes centros populacionais
para oferecer uma diversidade geogrfica que minimiza a latncia
(atrasos na transferncia dos dados) e os custos das comunicaes
com as operadoras de telecomunicaes. Suportam aplicaes
interativas, como correio eletrnico, compartilhamento de documentos e distribuio de contedos;
Nano Data Centers: este conceito surgiu da possibilidade de
considerar os equipamentos dos usurios finais como uma extenso do Data Center, utilizando seus recursos para execuo de
tarefas de processamento e armazenamento de dados. Este novo
paradigma evidencia os desafios de gerenciar um sistema com
natureza distribuda e assegurar desempenho, confiabilidade e
segurana;
Data Centers baseados em contineres: modelo que disponibiliza instalaes modularizadas em contineres com at 2.000
servidores, formando um bloco computacional que necessita apenas de energia eltrica, gua (para refrigerao) e conectividade
Internet para iniciar sua operao. Este tipo de infraestrutura
uma opo para implantao em locais remotos ou temporrios,
como nas proximidades dos eventos culturais e esportivos.
importante notar que, independentemente da classificao
adotada pelas instalaes que suportam a computao em nuvem, sua infraestrutura deve seguir a recomendao TIA-942
para assegurar que sejam reduzidos os pontos nicos de falha,
especialmente aqueles relacionados aos aspectos eltricos, aos
sistemas de climatizao, arquitetura de cabeamento, e aos
equipamentos de redes e telecomunicaes. Somente desta forma,
ser possvel atingir os ndices de disponibilidade, escalabilidade
e confiabilidade apresentados para cada um dos tiers.

Concluses
Os Data Centers so estruturas complexas porque envolvem a
integrao entre diversas reas e sistemas, tais como: climatizao,

sistemas eltricos, infraestrutura de telecomunicaes, dispositivos


de combate e preveno de incndio, e polticas de segurana fsica
e lgica. Suas instalaes devem abrigar os equipamentos e os sistemas de tecnologia da informao de uma empresa 24 horas por dia,
7 dias na semana e 365 dias por ano. Podem ser Private Data Centers
(mantidos por empresas privadas ou pblicas) ou Internet Data
Centers (providos por prestadores de servios de telecomunicaes).
Estes ltimos agrupam seus servios em duas modalidades bsicas:
Colocation (fornecem somente o espao fsico a fim de permitir a
instalao dos equipamentos de seus clientes) e Hosting (ofertam
a infraestrutura completa de hardware e software).
A infraestrutura dos Data Centers deve suportar as tecnologias
existentes e os avanos tecnolgicos nas reas de processamento
de dados, telecomunicaes e armazenamento. Para tanto, uma
instalao tpica composta por cinco principais reas funcionais:
sala de entrada, rea de distribuio principal, rea de distribuio
horizontal, rea de distribuio da zona e rea de distribuio de
equipamentos. Tambm existem verses reduzidas e distribudas, para acomodar infraestruturas menores e mais complexas,
respectivamente.
Por fim, conforme o nvel de disponibilidade e confiabilidade
requerido pelo modelo de negcio de uma empresa, Data Centers
em diferentes nveis ou Tiers podem ser selecionados. As instalaes no primeiro nvel possuem numerosos pontos de falha
e atendem organizaes pequenas, com presena limitada na
Internet e pouca dependncia de tecnologia da informao. J os
Data Centers classificados como Tier 4 empregam sofisticados e
modernos componentes de redundncia que resultam em uma
indisponibilidade anual mxima de 0,4 hora. Com obviedade, tal
infraestrutura tem um custo compatvel somente com empresas
que realizam um alto volume de negcios atravs da Internet,
ou seja, que no toleram nenhum tipo de interrupo em seus
servios, pois haveria um prejuzo inestimvel em transaes
perdidas e a sua prpria imagem.

Andr Koide da Silva


andre@aksilva.com
Mestre em Engenharia pela Escola Politcnica da Universidade de
So Paulo, especialista em Redes de Computadores pela Universidade Estadual de Campinas e bacharel em Sistemas de Informao pela
Universidade Presbiteriana Mackenzie. Atualmente especialista em redes
de computadores pelo UOL Diveo, com ampla experincia em projetos e implementao
de solues Cisco Systems, Brocade Communications Systems e Juniper Networks. Atua
tambm como professor na Faculdade Impacta Tecnologia. Trabalhou em empresas como
Goldnet TI, EDS (Electronic Data Systems do Brasil) atual HP Brasil (Hewlett-Packard),
Alog Data Centers e Gennari & Peartree Projetos e Sistemas. Experincia de doze anos na
rea de redes de computadores e tecnologia da informao, alm de seis anos como docente
do ensino superior nestas reas. Certificado Cisco IP Communications Express Specialist,
Cisco Certified Network Associate (CCNA), Extreme Network Associate (ENA), 3Com Certified
Wireless Expert, Juniper Networks Certified Internet Specialist (JNCIS-M), Project Management
Professional (PMP), Information Technology Infrastructure Library (ITILv3) e ISO/IEC 20000 - IT
Service Management.

Artigo Ambiente de Data Center, escrito por Jos Maurcio S. Pinheiro.


http://www.projetoderedes.com.br/aulas/unifoa_topicos/unifoa_topicos_
aula1.pdf
Artigo How To Build Data Centers?, escrito por Pravin Ganore.
http://www.esds.co.in/blog/how-to-build-data-centers
Artigo Novas Arquiteturas de Data Center para Cloud Computing
escrito por Fbio Verdi, Christian Rothenberg, Rafael Pasquini e
Maurcio Magalhes.
http://www.dca.fee.unicamp.br/~chesteve/pubs/MC-DATA-CENTER-NETWORKSSBRC2010.pdf
Artigo TIA-942: Data Center Standards escrito por Sri Chalasani.
http://www.merit.edu/events/mmc/pdf/2010_chalasani.pdf
Artigo TIA-942 Telecommunications Infrastructure Standard for
Data Centers, escrito por Telecommunications Industry Association.
http://www.tiaonline.org

Edio 07 Infra Magazine

19

Segurana em Redes
IEEE 802.11
Podemos nos sentir seguros nas redes IEEE 802.11?

s redes sem fio esto por toda parte. Cada vez


mais as pessoas utilizam dispositivos mveis
para navegar na Internet, trabalhar, realizar
chamadas telefnicas e assistir vdeos. Segundo pesquisa
realizada recentemente pela fabricante de equipamentos
de telecomunicaes Cisco, o trfego global de dados mveis deve aumentar em 18 vezes entre 2011 e 2016, quando
atingir um total de 10,8 exabytes por ms. As redes sem
fio so bastante utilizadas devido a sua facilidade de
instalao, j que dispensam a instalao de cabeamento. Alm disso, elas conferem maior independncia ao
usurio, que pode utilizar os servios de comunicao
em diferentes lugares com facilidade. Um dos principais
atores desta nova realidade o padro IEEE 802.11.
O padro IEEE 802.11 tem sido largamente utilizado para
construo de redes sem fio. Pesquisa recente publicada
na revista Network World aponta que 25% das residncias do mundo tm uma rede IEEE 802.11. Segundo a
Wi-Fi Alliance, um tero das residncias americanas que
possuem acesso Internet tem uma rede IEEE 802.11.
comum encontrarmos hot spots IEEE 802.11 em ambientes variados como cafs, bares, restaurantes, hotis
e academias. Ambientes pblicos tambm tm utilizado
a tecnologia IEEE 802.11 para oferecer servio de Internet
aos seus frequentadores. A INFRAERO anunciou recentemente que os principais aeroportos brasileiros oferecero
acesso grtis Internet aos passageiros por meio de redes
sem fio IEEE 802.11. Na praia de Copacabana, no Rio de
Janeiro, os banhistas podem acessar a Internet a partir de
seus dispositivos mveis gratuitamente por meio de conexes IEEE 802.11. Cidades nos Estados Unidos, Europa
e Brasil oferecem Internet grtis aos cidados por meio
de redes IEEE 802.11.
A tendncia que as redes IEEE 802.11 continuem sendo
o padro de facto para redes locais sem fio por um longo
tempo, j que a tecnologia continua evoluindo de forma
a proporcionar taxas de transmisso cada vez mais altas.
O IEEE j est trabalhando no novo padro IEEE 802.11,
que ser denominado IEEE 802.11ac e promete oferecer
taxas de transmisso superiores a 1 Gbps.

20 Infra Magazine Edio 07

Resumo DevMan
De que se trata o artigo:
Este artigo apresenta as principais questes relacionadas segurana
em redes IEEE 802.11. Primeiramente, sero apresentadas as redes IEEE
802.11 e os fatores que fazem delas inseguras. Ento, sero apresentados
o WEP e o WPA, que so arquiteturas de segurana desenvolvidas para as
redes IEEE 802.11. Tambm sero apresentadas vulnerabilidades descobertas no WEP e no WPA1. Por fim, sero apresentadas outras ameaas
segurana das redes sem fio que no esto diretamente relacionadas com
a explorao de vulnerabilidades do WEP e do WPA1 como war driving,
negao de servio, spoofing e APs mal configurados.

Em que situao o tema til:


As redes sem fio esto presentes em diversos lugares como aeroportos,
cafs, residncias, restaurantes, universidades e grandes corporaes. A
utilizao de redes sem fio atrativa, pois elas oferecem praticidade ao
dispensar a instalao de cabos e permitir a mobilidade das estaes
cliente. Entretanto, estes benefcios das redes sem fio so acompanhados
por riscos relacionados segurana, j que os dados transmitidos nestas
redes so propagados pelo ar e facilmente interceptados. Os usurios
tm acessado as redes sem fio para utilizar diversas aplicaes, incluindo
aquelas que manipulam informaes sensveis como os aplicativos de
Internet Banking. Portanto, conhecer e fazer bom uso das solues de
segurana disponveis para as redes sem fio necessrio para que seja
garantida a tranquilidade dos usurios ao acessar estes ambientes.

Segurana em Redes IEEE 802.11:


A adoo das redes sem fio tem apresentado uma forte expanso nos
ltimos anos. Pesquisas mostram que o trfego de dados mvel deve
crescer 18 vezes at 2016 e que 25% das residncias do mundo possuem
uma rede IEEE 802.11. Esta forte tendncia de aumento de utilizao
das comunicaes sem fio acompanhada pela preocupao com a
segurana da informao nestas redes. Este artigo mostra as diferentes
solues de segurana adotadas nas redes IEEE 802.11 e as vulnerabilidades presentes nestas solues. Alm disso, so apresentadas diversas
formas de ataques que podem atingir as redes IEEE 802.11. O objetivo
mostrar que as redes IEEE 802.11 podem ser confiveis do ponto de vista
de segurana mantendo a praticidade que tem feito delas um grande
sucesso de mercado.

Mesmo com todos os benefcios provenientes da utilizao das


redes sem fio, h uma preocupao sempre presente quando tratamos da utilizao desta tecnologia: a segurana. A propagao do
sinal pelo ar torna as redes sem fio propensas interceptao de
dados. Alm disso, as redes sem fio so utilizadas frequentemente
por dispositivos mveis que no esto sob o controle das polticas
de segurana e proteo determinadas pela administrao da rede.
Logo, eles podem atuar como vetores de transmisso de pragas
virtuais como vrus e worms. No caso das redes IEEE 802.11, o uso
massivo desta tecnologia a torna ainda mais atrativa para agentes
maliciosos, que podem conseguir atingir grandes quantidades de
usurios descobrindo apenas uma vulnerabilidade. Neste cenrio,
a aplicao de tcnicas que garantam privacidade aos usurios e
a integridade das informaes essencial.

As Redes IEEE 802.11


O grupo de trabalho responsvel pelo padro IEEE 802.11 foi
criado em 1990. O objetivo da criao do grupo foi desenvolver
protocolos de controle de acesso ao meio e especificaes de camada
fsica para redes locais sem fio. Os principais padres publicados
pelo grupo ao longo dos ltimos 20 anos so os seguintes: 802.11a,
802.11b, 802.11g e 802.11n. Todos estes padres constroem quadros
com o mesmo formato e utilizam o mesmo protocolo de acesso ao
meio, denominado CSMA/CA (Carrier Sense Multiple Access/Colision
Avoidance). O primeiro padro a atingir uma parcela significativa
do mercado foi o IEEE 802.11b. Com o crescente domnio deste padro, a indstria comeou a se preocupar em garantir que haveria
interoperabilidade entre equipamentos IEEE 802.11b de diferentes
fabricantes. Diante desta necessidade, foi formada em 1999 a Wi-Fi
(Wireless Fidelity) Alliance. A entidade desenvolveu um conjunto de
testes dedicados a verificar a interoperabilidade para produtos IEEE
802.11 e passou a batizar as redes construdas segundo o padro.
A maneira mais comum de implantar uma rede IEEE 802.11
a seguinte: h um Access Point (AP) conectado Internet ou ao
ncleo da rede corporativa. Todas as estaes sem fio se conectam
a este AP, responsvel por diversas funes como coordenar as
transmisses e realizar a autenticao de usurios. O alcance do
sinal emitido pelo AP determina a rea de abrangncia da rede.
A Figura 1 ilustra um cenrio comum de rede IEEE 802.11.
Apesar de proporcionarem praticidade aos usurios ao permitir
a mobilidade e dispensar a instalao de cabeamento, as redes sem
fio, incluindo as redes IEEE 802.11, despertam desconfiana por
estarem mais expostas a problemas de segurana. Os seguintes
fatores fazem com que estas redes sejam inseguras:
Redes sem fio so naturalmente expostas interceptao de
dados, j que todos os pacotes trocados entre transmissores e
receptores se propagam pelo ar;
Redes sem fio devem oferecer certa facilidade de acesso, pois
so utilizadas frequentemente para proporcionar conforto a
usurios mveis ou em trnsito, que devem se aproximar da rea
de cobertura da rede e se conectarem sem maiores dificuldades.
Esta facilidade de acesso pode ser explorada por agentes mal
intencionados;

Figura 1. Cenrio comum de rede IEEE 802.11.


Redes sem fio so utilizadas comumente por dispositivos que
no esto sujeitos s polticas de segurana das corporaes. Em
cenrios nos quais os usurios acessam a rede sem fio por meio
de seus tablets, smartphones e notebooks pessoais, impossvel
garantir que eles possuem dispositivos de segurana como soft
wares antivrus, por exemplo;
Dispositivos mveis utilizam diferentes redes sem fio. Um
mesmo notebook ou tablet pode ser utilizado na rede sem fios
domstica, na rede sem fios do escritrio e na rede sem fios de um
aeroporto, por exemplo. Desta forma, um notebook infectado pode
agir como o vetor de transmisso de vrus e worms. Ao ingressar
em diferentes redes, este notebook est levando os vrus e outras
pragas virtuais que ele carrega a diferentes lugares.
Para aumentar o nvel de segurana nas redes sem fio, h dois
pontos principais que devem ser atacados:
Autenticao: verificao da identificao das estaes que
esto participando da rede. Nas redes cabeadas, o simples fato
de permitir a conexo fsica j sinaliza uma autorizao de uso.
Nas redes sem fio isto no vlido. Portanto, elas fazem uso de
mecanismos de autenticao para que a estao possa se identificar
e ser autorizada a transmitir e receber dados;
Privacidade: usada para prevenir que dados transmitidos na
rede sem fio a um determinado receptor possam ser lidos por
terceiros.
As redes sem fio IEEE 802.11 utilizam dois esquemas de segurana.
O primeiro o WEP (Wired Equivalence Privacy), mais antigo e comprovadamente inseguro. O segundo o WPA (Wi-Fi Protected Access),
mais utilizado atualmente e desenvolvido para substituir o WEP.

Edio 07 Infra Magazine

21

Segurana em Redes IEEE 802.11

WEP (Wired Equivalence Privacy)


O WEP (Wired Equivalence Privacy) um algoritmo includo
na especificao original do padro IEEE 802.11 para prover,
principalmente, privacidade s comunicaes realizadas nestas
redes sem fio. O WEP utiliza criptografia simtrica baseada no
algoritmo RC4. Na criptografia simtrica, apenas uma chave
usada para cifrar e decifrar a informao. Desta forma, temos
uma informao que cifrada na origem utilizando uma chave k.
Somente utilizando a mesma chave k, o destinatrio vai poder
decifrar esta informao. O ponto crtico deste algoritmo o
compartilhamento da chave secreta, que precisa ser realizado
antes do incio da sesso segura.
No WEP, a chave de criptografia formada por dois elementos:
uma chave secreta conhecida pelo AP e pelas estaes e um
IV (Initialization Vector) de 24 bits. A chave secreta cadastrada
manualmente no AP e nas estaes, pois no h protocolos para
distribuio de chaves no WEP. A chave secreta compartilhada
tem 40 bits ou 104 bits. O IV utilizado para evitar um ataque de
criptoanlise, j que a chave secreta compartilhada raramente
modificada. A autenticao de uma estao que deseja se comunicar com um AP executada pelos seguintes passos:
1. A estao cliente requisita ao AP autorizao para acesso rede;
2. O AP responde com uma palavra no cifrada;
3. A estao cliente escolhe um IV;
4. Utilizando o IV e a chave secreta compartilhada, a estao
cliente cifra a palavra enviada no passo 2 pelo AP;
5. O cliente envia a palavra cifrada e o IV para o AP;
6. Utilizando o IV, o AP cifra a palavra enviada por ele no passo 2;
7. Se a palavra cifrada enviada pelo cliente for igual palavra
cifrada produzida no passo 6 pelo AP, o AP autoriza a estao
cliente a ingressar na rede.
A partir da autenticao, o cliente est apto a enviar quadros
para o AP. De forma a permitir o controle da integridade do quadro durante a transmisso, computado um ICV (Integrity Check
Value) para cada quadro a ser transmitido. Para calcular o ICV,
o WEP utiliza o algoritmo CRC32. O ICV includo no final do
quadro que ser transmitido. Quando o quadro chega ao destino,
o receptor calcula novamente o ICV para o contedo do quadro.
Caso haja alguma alterao no contedo do quadro, o AP poder
detect-la, pois o ICV do quadro que chegou ao destino no ser
igual ao ICV calculado na origem do quadro.
Cada quadro cifrado com a chave criada a partir da concatenao da chave secreta compartilhada pela estao e pelo AP e de
um IV. Para cada quadro utilizado um IV novo, que informado
ao receptor do quadro em um campo no cifrado no cabealho.
A formao do quadro WEP ilustrada na Figura 2.
Infelizmente, o WEP um algoritmo bastante vulnervel a
ataques. Alguns ataques ao WEP se concentram em explorar vulnerabilidades do algoritmo de criptografia RC4. Apesar de o RC4
permitir a utilizao de chaves de at 256 bits, o que proporciona
um nvel de segurana satisfatrio, a implementao do RC4 utilizada no WEP utiliza chaves de 64 bits. Desta chave, 24 bits so

22 Infra Magazine Edio 07

utilizados para o IV. Desta forma, temos apenas 16, 7 milhes de


vetores possveis, nmero insuficiente em situaes nas quais a
rede est com altos nveis de trfego. Caso o atacante observe o
trfego por um determinado perodo, ele pode conseguir capturar
a utilizao de IVs repetidos. Utilizando estes vetores e as palavras
cifradas, o atacante pode fazer o processo inverso ao da criptografia dos dados e acabar descobrindo a chave compartilhada entre
os usurios da rede.

Figura 2. Construo de um quadro WEP


Este no o nico problema de segurana do WEP. H diversos ataques que foram discutidos por especialistas e esto
documentados com detalhes na literatura. O primeiro destes
ataques o FMS Attack, descoberto em 2001. O nome do ataque
tem origem nos nomes dos autores do artigo que publicou esta
vulnerabilidade do WEP: Fluhrer, Martin e Shamir. Os autores
apresentaram uma srie de IVs fracos, que facilitavam ataques.
Estes IVs fracos eram descobertos a partir da anlise de pacotes
cuja parte do contedo j conhecemos normalmente de antemo,
como os pacotes ARP (Address Resolution Protocol). O ataque FMS
tem 50% de probabilidade de sucesso e precisa analisar cerca de
9.000.000 de pacotes.
Outro tipo de ataque sobre o protocolo WEP denominado
KoreK. Em 2004, um usurio de um frum na Internet que utilizava o apelido de Korek publicou um programa que englobava
17 ataques que poderiam ser aplicados sobre o protocolo WEP. Os
ataques, que utilizam diferentes estratgias, levam descoberta
das chaves secretas utilizadas pelas estaes presentes na rede.
Estes ataques so capazes de ter sucesso em 97% das tentativas
utilizando apenas 300.000 pacotes. possvel observar que so
ataques bem mais perigosos do que o relatado por Fluhrer, Martin
e Shamir trs anos antes.
O ataque PTW foi criado em 2007 e mais perigoso que o ataque
FMS e que os ataques publicados por KoreK. Assim como o ataque
FMS, o ataque PTW tambm utiliza as iniciais de seus criadores

em seu nome: Pyshkin, Tews e Weinmann. Este ataque otimizou


a maneira como realizada a descoberta da chave no FMS. Desta
maneira, ela pode ser realizada mais rapidamente e no depende
da utilizao de um IV fraco. Os ataques podem alcanar 97% de
sucesso utilizando apenas 70.000 pacotes.
O ataque chop chop outro tipo de ataque que pode ser efetuado
contra redes WEP, mas bem diferente dos ataques FMS, PTW e
KoreK. Neste caso, o atacante intercepta apenas um pacote que
est sendo transmitido na rede e aproveita uma vulnerabilidade
no algoritmo CRC32 para decifrar todos os bytes do pacote que
estavam cifrados, mesmo sem descobrir a chave secreta utilizada.
O ataque comea pelo ltimo byte do pacote. O atacante tenta
adivinh-lo e envia o pacote ao AP. Caso a tentativa do atacante
seja fracassada, o AP detectar por meio do ICV que o pacote foi
corrompido e o descartar. Caso o atacante tenha tido sucesso ao
adivinhar o byte, o AP vai aceitar o pacote e enviar um pacote de
reconhecimento (ACK) ao atacante. Desta forma, o atacante sabe
que j adivinhou o ltimo byte do pacote. Esta mesma operao
repetida pelo atacante para todos os bytes restantes do pacote.
So necessrias, em mdia, 128 tentativas para adivinhar cada
byte do pacote. Com posse destes dados, o atacante pode, por
exemplo, passar a enviar pacotes como se fosse a estao cujos
dados foram descobertos.
A nica soluo para diminuir os riscos causados pelas vulnerabilidades apresentadas pelo WEP no utiliz-lo, adotando
outra soluo de segurana. expressamente recomendado que
no se utilize o WEP para conferir segurana a redes sem fio IEEE
802.11. Para cumprir este objetivo, recomendado que se adote o
WPA, que ser apresentado na seo a seguir.

WPA (Wi-Fi Protected Access)


Devido s falhas encontradas no WEP, foi formado um grupo
para abordar os problemas de segurana das redes sem fio. Este
grupo produziu o padro de segurana 802.11i. A Wi-Fi Alliance,
por sua vez, lanou o WPA (Wireless Protected Access) como o seu
padro de segurana em 2003. O WPA baseado no padro 802.11i.
O IEEE 802.11i aborda aspectos de autenticao e controle de acesso, alm de privacidade e integridade das informaes. O padro
inclui a figura de um servidor de autenticao que no existia no
WEP. Este servidor permite a gerao e o compartilhamento de
chaves temporrias e a autenticao mtua.
O controle de acesso segue o padro IEEE 802.1X, tambm
denominado EAPoL (EAP over LAN), j que baseado no EAP
(Extensible Authentication Protocol) ver Notas do DevMan 1 e 2.
Ele utilizado para a troca de informaes entre clientes e o servidor de autenticao. Normalmente, o servidor de autenticao
o RADIUS, que armazena as credenciais (nome de usurio e
senha) de todos os clientes em seu banco de dados. A autenticao
e troca de chaves ocorre da seguinte forma:
1. Uma estao cliente se conecta a um AP;
2. Todo o trfego que no seja necessrio autenticao bloqueado. O trfego s ser liberado quando a autenticao se
concluir;

3. O servidor RADIUS envia um nmero aleatrio em aberto


para a estao cliente. Este nmero no se repetir em futuras
comunicaes;
4. O cliente concatena a sua senha ao nmero enviado pelo AP e
aplica um algoritmo de hash sobre ambos (ver Nota do DevMan 3),
resultando em H(x), que enviado para o servidor RADIUS;
5. O servidor RADIUS aplica o algoritmo de hash sobre as senhas
que ele tem armazenadas concatenadas ao nmero aleatrio que
ele enviou estao cliente no passo 3. Se um dos resultados for
igual ao resultado H(x) obtido no passo 4, o servidor RADIUS gera
uma chave secreta e envia para o AP;
6. A chave secreta enviada do AP para o cliente usando o
protocolo EAP. Uma das implementaes do EAP, por exemplo,
utiliza TLS (Transport Layer Security), um protocolo que capaz
de estabelecer canais seguros sobre conexes TCP. Desta forma,
a troca de chaves realizada em um canal seguro, requisito que
no era atendido no WEP.

Nota do DevMan 1
EAP (Extensible Authentication Protocol)
O EAP um framework de autenticao definido no documento RFC 3748, que oferece suporte a
diversas atividades ligadas a autenticao como, por exemplo, a troca de chaves.

Nota do DevMan 2
EAPoL (Extensible Authentication Protocol over LAN)
O EAPoL ou IEEE 802.1X um padro IEEE que define a utilizao do EAP em redes locais baseadas em
padres como o IEEE 802.3 (Ethernet) e IEEE 802.11.

Nota do DevMan 3
Algoritmo de Hash
Um algoritmo de hash uma funo H(x) que produz um cdigo nico para cada sequncia de dados
inseridos na entrada do algoritmo.

importante observar que o WPA tem duas possveis abordagens. A primeira delas o WPA-Enterprise, que implementa o padro IEEE 802.1X e, consequentemente, faz uso de um servidor de
autenticao como o RADIUS. Para facilitar a adoo do WPA em
solues SOHO (Small Office Home Office ver Nota do DevMan 4),
tambm foi lanada a verso WPA-Personal. Esta soluo dispensa
o uso do servidor de autenticao e permite a utilizao de senhas
cadastradas manualmente no AP e nas estaes.
Resolvida a questo de controle de acesso e troca de chaves,
temos de garantir privacidade nas comunicaes. A primeira
verso do WPA, a WPA1, foi desenvolvida para permitir a soluo
dos problemas do WEP sem causar a troca dos equipamentos
legados. Desta forma, o protocolo de criptografia introduzido no

Edio 07 Infra Magazine

23

Segurana em Redes IEEE 802.11

WPA1, denominado TKIP (Temporal Key Integrity Protocol), tambm


utiliza o algoritmo de criptografia RC4.
A primeira soluo adotada pelo TKIP para sanar as vulnerabilidades do WEP so as chaves temporrias. Elas so misturadas
ao endereo MAC da estao cliente, gerando uma chave intermediria nica para cada estao. O IV tambm incrementado
sequencialmente a cada quadro. Assim, a chave utilizada em cada
quadro nica, resultando da unio do IV e da chave intermediria. Estas solues evitam ataques de criptoanlise comuns
no WEP.

Nota do DevMan 4
SOHO (Small Office Home Office)
A sigla SOHO designa ambientes domsticos e de pequenas empresas formados por at 10 usurios.

Alm disso, o TKIP agrega um cdigo de integridade ao fim


das mensagens gerado por um algoritmo de hash denominado
Michael. No TKIP, a entrada do algoritmo Michael a unio
dos endereos MAC de origem e destino, uma chave secreta
conhecida apenas pelo transmissor e pelo receptor e a mensagem para a qual se deseja garantir a integridade. Quando
a mensagem chega ao receptor, ele insere os endereos MAC,
a senha secreta e a mensagem recebida no algoritmo de hash.
Se o resultado encontrado for igual ao cdigo de integridade
enviado pelo transmissor, confirmado que a mensagem no
foi modificada por um atacante.
Mesmo sendo mais seguro que o WEP, o WPA1 tambm pode
sofrer ataques. Os atacantes aproveitam o fato de que o WPA1
uma soluo de transio entre o WEP e o WPA2 e ainda
mantm o ICV gerado pelo algoritmo CRC32, utilizado no WEP.
Logo, possvel realizar um ataque semelhante ao ataque chop
chop, que era realizado em redes que utilizavam o WEP.
O TKIP tentou se precaver contra este ataque. Primeiramente,
mesmo que o atacante consiga produzir um pacote que no seja
dado como corrompido a partir da anlise do ICV produzido
pelo CRC32, ele ser dado como corrompido pelo cdigo de
integridade produzido pelo Michael. Neste caso, o receptor
do pacote com a falha envia uma resposta reportando a falha
e inicia uma contagem de 60 segundos. Se outro pacote com o
mesmo problema chegar at o receptor dentro do prazo de 60
segundos, ele assume que um ataque chop chop est em curso
e desabilita as comunicaes, reiniciando o processo de autenticao e distribuio de chaves aos clientes. Alm disso, o AP
descarta pacotes que cheguem com o nmero sequencial menor
do que o nmero sequencial do ltimo pacote recebido.
Apesar destas medidas, o ataque ainda possvel. O primeiro
ponto do ataque escolher um canal com pouco ou nenhum
trfego. Desta forma, evita-se que o AP perceba a atividade maliciosa a partir da checagem do nmero sequencial. O atacante,

24 Infra Magazine Edio 07

ento, intercepta um pacote e comea o processo semelhante


ao realizado no ataque chop chop: ele tenta adivinhar o ltimo
byte do pacote e o envia para o AP. Se h sucesso, a checagem
com o ICV gerado pelo CRC32 d o pacote como legtimo, mas
a checagem com o cdigo de integridade gerado pelo Michael
d o pacote como corrompido e retorna uma falha. Desta forma, o atacante sabe que teve sucesso. Ento, ele aguarda 60
segundos para evitar que o AP se defenda e repete o ataque
para o prximo byte. Em aproximadamente 12 minutos, ele
consegue adivinhar os demais bytes do pacote e pode utilizar estas informaes para enviar pacotes fingindo ser outro
dispositivo presente na rede. As consequncias deste tipo de
ataque podem ser evitadas se o perodo para renovao das
chaves for menor, como 120 segundos. Algumas redes utilizam
perodos de 3600 segundos, tempo suficiente para que o ataque
seja completado e as informaes descobertas sejam utilizadas
de maneira maliciosa.
A segunda verso do WPA, a WPA2, foi lanada em 2004. Ela
utiliza o algoritmo de criptografia simtrica AES (Advanced
Encryption Standard) no lugar do RC4. O algoritmo AES bem
mais seguro que o RC4. O WPA2 tambm no utiliza o TKIP, que
foi substitudo pelo CCMP (Counter Mode-CBC MAC Protocol).
O CCMP baseado no modo de operao CCM (Counter with
CBC-MAC) definido no AES.
O Counter mode utilizado para garantir a confidencialidade
dos dados. No processo de criptografia baseado no Counter
mode, as mensagens a serem transmitidas so divididas em
blocos de 128 bits e um contador iniciado em zero. Para cada
bloco processado, o contador incrementado em 1 e cifrado
utilizando uma chave secreta. O contador cifrado ento aplicado a cada bloco de mensagem para cifr-los.
O CBC-MAC (Cipher Block Chaining-Message Authentication
Code) utilizado para garantir a integridade das mensagens.
Assim como no Counter mode, o CBC-MAC tambm divide a
mensagem em blocos de 128 bits. Logo aps a diviso, realizada uma operao de XOR entre um vetor de inicializao e
o primeiro bloco. O resultado desta operao cifrado com a
chave secreta. Temos, ento, uma mensagem cifrada que vai
ser o primeiro cdigo de integridade. Este cdigo de integridade utilizado como vetor de inicializao para que o mesmo
processo seja aplicado ao prximo bloco e assim por diante,
produzindo cdigos de integridade para cada bloco. Estes
cdigos so transmitidos junto com a mensagem.
Ao adotar solues mais sofisticadas, o WPA2 tornou-se uma
abordagem bem mais segura que o WPA1. poca de seu
lanamento, o principal problema era a falta de suporte dos
equipamentos existentes ao WPA2. A atualizao dos equipamentos para que eles deixassem de utilizar o WEP e passassem
a utilizar o WPA1 era mais simples, pois o WPA1 continuou
mantendo os principais atributos do WEP. A migrao do WPA1
para o WPA2, por outro lado, no pode ser realizada de maneira
trivial. Atualmente, isto no mais um problema, j que os
equipamentos tm sido produzidos com suporte a WPA2.

Outras ameaas segurana em redes sem fio


Alm dos ataques que exploram diretamente as vulnerabilidades
encontradas no WEP e no WPA e permitem, principalmente, que
chaves secretas sejam descobertas por agentes maliciosos, temos
outras ameaas a redes sem fio como war driving, negao de
servio, spoofing, man in the middle, rogue APs, misconfigured
APs, redes ad hoc, end point attacks, evil twin APs, deauthentication attacks e wireless phishing.
O war driving a atividade de reconhecimento que costuma
preceder boa parte dos ataques que so efetuados contra redes
sem fio. O war driving pode ser definido como o ato de utilizar
um carro para buscar diversas redes sem fio que estejam disponveis, registrando a localizao geogrfica e as configuraes
de segurana de cada uma delas. De posse deste mapeamento,
agentes maliciosos podem investir na invaso de redes sem fio
que foram mapeadas. O war driving tambm pode ser utilizado
com fins legtimos. O mesmo mapeamento pode ser realizado de
forma que o nvel de segurana das redes sem fio seja avaliado e
possveis medidas de proteo sejam tomadas. Existem variantes do war driving como o war walking, realizado a p, e o war
cycling, realizado com uma bicicleta.
Outro problema bastante comum a negao de servio. As redes
sem fio IEEE 802.11 so naturalmente suscetveis a negao de servio, j que todos os usurios e redes compartilham e competem
no mesmo espectro de frequncia no licenciado. Desta forma, o
espectro de frequncia utilizado pelas redes IEEE 802.11 est sendo
cada vez mais populado, o que traz queda na qualidade e maior
risco de situaes de negao de servio. A utilizao do IEEE
802.11n deve ajudar neste sentido, j que boa parte dos usurios
vai migrar para a faixa de 5 Ghz, que comporta melhor o grande
volume de usurios.
Nas situaes de negao de servio causadas por agentes maliciosos, no h acesso indevido a informaes, mas pode ocorrer a
interrupo do funcionamento da rede. A maneira mais primria
de realizar um ataque de negao de servio emitir sinais que
causem interferncia no sinal da rede sem fio. Porm, este tipo de
ataque precisa de dispositivos com alta potncia de transmisso e
facilmente rastrevel. Como o objetivo dos atacantes sustentar
o ataque pelo maior tempo possvel, estratgias que sejam facilmente rastreveis no so adotadas.
Outra forma de realizar um ataque de negao de servio aproveita o mecanismo de controle de acesso ao meio das redes IEEE
802.11. O controle de acesso ao meio do IEEE 802.11 permite que
um emissor reserve um canal para realizar a transmisso de um
pacote durante 0,033 segundos. Se o atacante conseguir transmitir
30 pacotes por segundo, a rede pode ser totalmente ocupada por
ele. relevante observar que o atacante precisa ter permisso de
acesso na rede sem fio atacada para enviar estes pacotes.
Uma forma mais sofisticada de negao de servio conhecida
como Random Packet Destruction e pode ser executada sem que
o atacante precise de permisso para transmitir pacotes na rede,
alm de no ser facilmente rastrevel. O ataque se baseia na gerao de sinais de interferncia por perodos muitos curtos de tempo,

destruindo uma parte dos pacotes que esto sendo transmitidos


na rede atacada. Mesmo no destruindo todos os pacotes, este
ataque pode causar a degradao de servios sensveis a latncia
como VoIP ou transmisso de vdeos.
Outra ameaa segurana das redes sem fio o spoofing, que
normalmente realizado aps o atacante explorar vulnerabilidades
encontradas nos protocolos de segurana como o WEP e o WPA1.
No spoofing, o atacante envia pacotes fingindo ser outra entidade
presente na rede, como uma estao cliente ou um AP. A partir
do spoofing, o atacante pode realizar outras aes maliciosas.
Um exemplo o ataque de authentication. Neste ataque, o agente
malicioso finge ser um determinado cliente e requisita a sua
desconexo do AP. A partir disso, todos os pacotes enviados pelo
cliente verdadeiro passam a ser descartados pelo AP at que ele
se autentique novamente. O ataque man in the middle tambm
uma possvel consequncia de um ataque deauthentication. Aps
o ataque deauthetication, quando o cliente tentar se autenticar
novamente, o agente malicioso pode fingir que o AP. Ao fim do
processo de autenticao, o agente malicioso vai estar apto a receber todos os pacotes enviados pelo cliente que foi enganado.
H diferentes ameaas que envolvem diretamente os APs (ver
Nota do DevMan 5). Eles podem ser instalados nas redes corporativas sem a devida autorizao da administrao da rede, se tornando um ponto de vulnerabilidade, pois no esto sob o controle
das mesmas polticas de segurana que o restante da rede. APs
mal configurados tambm podem representar riscos segurana
das redes. No incio, os APs eram configurados individualmente e
manualmente, o que trazia maiores riscos de erros na configurao.
Atualmente, j existem ferramentas que permitem a gerncia centralizada da configurao de diversos APs em uma mesma rede,
diminuindo o risco de m configurao. Mesmo assim necessrio
sempre manter-se alerta, pois novas tecnologias trazem novidades
como priorizao de trfego e reserva de recursos para aplicaes
sensveis a latncia, demandando operaes de configurao com
a qual os operadores no esto acostumados.

Nota do DevMan 5
Rogue AP
O AP inserido na rede corporativa sem o conhecimento da administrao conhecido como rogue AP.

Temos tambm situaes nas quais APs implantados por agentes


mal intencionados podem divulgar um SSID (Service Set Identifier)
igual ao de um AP legtimo, fazendo com que usurios se conectem a este AP fraudulento. Este tipo de ataque comum e pode
ser facilitado por ferramentas que permitem que o atacante escute
o canal de forma a ver em quais SSIDs os clientes prximos esto
se conectando. Depois que os clientes se conectam, os endereos
de DNS e default gateway fornecidos pelo AP falso (tambm denominado evil twin) so utilizados para que o trfego do cliente
seja direcionado pela rede do atacante e ataques de man in the

Edio 07 Infra Magazine

25

Segurana em Redes IEEE 802.11

middle sejam realizados. Neste caso, tambm podem ser realizados ataques do tipo phishing, pois o agente malicioso pode,
por exemplo, levar um cliente a acessar sites falsos de bancos.
A melhor sada para este tipo de ataque utilizar o WPA-Enterprise com servidores de autenticao como o RADIUS.
As redes ad hoc tambm so um problema para os administradores de rede, pois elas podem ser estabelecidas entre duas estaes
cliente, desviando-se dos controles de segurana estabelecidos
na rede onde estes usurios esto. Em ambientes que utilizam o
Windows 7, este tipo de situao mais provvel pois o sistema
operacional da Microsoft facilita o estabelecimento de redes ad
hoc. Uma possvel soluo para bloquear a construo destas redes
ad hoc a utilizao de Wireless Intrusion Prevention Systems.
Estes sistemas monitoram os pacotes que esto trafegando pela
rede e bloqueiam comportamentos inadequados.
Com a evoluo dos mecanismos de segurana que garantem
privacidade e integridade s conexes sem fio em redes IEEE
802.11, os atacantes tm tentado explorar vulnerabilidades presentes nos computadores dos clientes. Eles exploram, por exemplo,
defeitos e vulnerabilidades em drivers de placas IEEE 802.11.
Os fabricantes das placas tentam solucionar estes problemas
lanando patches de correo das vulnerabilidades. Entretanto,
estes pacthes nem sempre so distribudos juntamente com os
patches de atualizao dos sistemas operacionais e os clientes
acabam no realizando todas as atualizaes necessrias. Uma
soluo possvel utilizar ferramentas como o WiFiDEnum para
rastrear as vulnerabilidades existentes nos dispositivos que esto
presentes em uma rede IEEE 802.11.

Concluso
As redes sem fio, em especial as redes IEEE 802.11, se tornaram
bastante populares por dispensarem a instalao de cabeamento
e permitirem a mobilidade dos usurios. Pesquisas mostram que
a adoo de redes sem fio deve crescer ainda mais nos prximos
anos, principalmente devido exploso nas vendas de dispositivos
mveis como tablets e smartphones. O problema neste cenrio
que a praticidade do acesso sem fio vem acompanhada de vulnerabilidades com relao segurana da informao.
As redes IEEE 802.11 tm demonstrado a preocupao dos
especialistas com questes de segurana desde seu primeiro padro, que inclua o WEP. Atualmente, temos o WPA2, que utiliza
tcnicas de criptografia e autenticao sofisticadas o suficiente
para oferecer um bom nvel de segurana s redes IEEE 802.11.

26 Infra Magazine Edio 07

Diferentemente do que ocorreu com o WEP e o WPA1, no houve ainda descobertas de grandes falhas de segurana no WPA2.
Juntamente ao WPA2, podem ser utilizados outros dispositivos de
segurana como os sistemas de deteco de intruso para redes
wireless e scanners de vulnerabilidades em drivers de placas
IEEE 802.11. importante observar que as solues de segurana
podem ser adotadas sem comprometer a facilidade com que o
usurio legtimo acessa a rede sem fio. A figura do servidor de
autenticao, por exemplo, facilita o processo de distribuio
de chaves e autorizao de acesso em redes sem fio de grandes
corporaes. Desta forma, possvel afirmar que as redes IEEE
802.11 esto aptas a oferecer a praticidade das comunicaes sem
fio com a segurana desejada pelos usurios.
Bruno Bogaz Zarpelo
brunozarpelao@gmail.com
Bacharel em Cincia da Computao pela Universidade Estadual de
Londrina (UEL) e doutor em Engenharia Eltrica pela Universidade
Estadual de Campinas (UNICAMP). Atualmente pesquisador no Laboratrio de Redes de Comunicaes da Faculdade de Engenharia Eltrica
e de Computao da UNICAMP. Atua tambm como pesquisador associado no Next
Generation Networks and Applications Group (NetGNA) da Universidade da Beira Interior
em Portugal e como professor do curso de especializao em Redes de Computadores da
UEL. Possui experincia de sete anos em pesquisa e desenvolvimento de solues para
gerncia de redes de computadores, governo eletrnico e cidades digitais.

Artigo Practical attacks against WEP and WPA, escrito por Martin
Beck e Erick Tews
http://dl.aircrack-ng.org/breakingwepandwpa.pdf
Artigo Top Ten Wi-Fi Security Threats, escrito por Lisa Phifer
http://www.esecurityplanet.com/print/views/article.php/3869221/Top-TenWiFi-Security-Threats.htm
Cisco Visual Networking Index: Global Mobile Data Traffic Forecast
http://www.cisco.com/en/US/solutions/collateral/ns341/ns525/ns537/ns705/
ns827/white_paper_c11-520862.html
Projetos de redes sem fio municipais
http://www.muniwireless.com
The State of Wi-Fi Security
https://www.wi-fi.org/sites/default/files/uploads/files/wp_State_of_Wi-Fi_
Security_20120125.pdf

Monitorando ativos de
rede e servios
Saiba como controlar sua infraestrutura de TI

m uma infraestrutura de TI, a funo dos equipamentos de rede imprescindvel para o correto
funcionamento dos outros componentes. Se a
comunicao de rede no estiver funcionando corretamente, os servios podem se comportar de maneira
inesperada e com certeza geraro problemas.
Neste artigo abordaremos como monitorar os equipamentos de rede de forma abrangente para que o administrador possa agir antes do problema acontecer.
Para monitorar equipamentos de rede podemos fazer
uso de recursos disponveis nos prprios equipamentos.
Mas para que voc consiga monitorar o equipamento
preciso que o mesmo tenha suporte ao protocolo SNMP
(Simple Network Management Protocol). Atualmente, a
grande maioria dos equipamentos j possui esta funcionalidade. No entanto, importante citar que a grande
maioria dos equipamentos no possui as configuraes
necessrias para o monitoramento definidas como padro,
ento consulte o administrador de rede ou veja no manual
do equipamento como habilitar tais configuraes.
O SNMP um protocolo exclusivo para gerenciar
ativos de rede. Ele quem gerencia as informaes do
equipamento, ou seja, o protocolo responsvel pela
coleta e disponibilizao dos valores. Com o protocolo
SNMP voc pode ler e gravar informaes. Porm, para
fins de monitoramento, utiliza-se apenas o recurso de
leitura das informaes, pois quem coleta e grava os valores o prprio sistema do equipamento. Neste artigo,
utilizaremos a verso 3 do protocolo SNMP, que exige
autenticao por usurio e senha. Portanto, certifique-se
que exista um usurio especfico para o monitoramento
e apenas com permisso de leitura.
Para que o protocolo saiba o que coletar e onde ele deve
gravar cada valor, disponibiliza-se a MIB (Management
Information Base). Esta base de dados fornecer vrios
identificadores de objetos (OID) que nos diro a quem
pertence aquele valor. Por exemplo: o identificador de
objeto 1.3.6.1.4.1.789.1.2.1.4 se refere ao valor de CPU
idle (ociosa) de alguns switches Cisco. Certifique-se que
esta base de informaes foi carregada no equipamento

Resumo DevMan
De que se trata o artigo:
Nesse artigo abordaremos aspectos de monitoramento de ativos de
redes utilizando as principais ferramentas open source. Perceberemos que
estas ferramentas so ricas em recursos, possuindo diferentes abordagens
que garantem o total controle da infraestrutura de redes.

Em que situao o tema til:


Esse artigo interessante para todas as empresas que utilizam infraestrutura de TI. Com o contedo aqui exposto consegue-se garantir
que a infraestrutura de redes esteja funcional. Veremos que atravs das
abordagens apresentadas neste artigo o administrador poder controlar
o crescimento da utilizao da infraestrutura e prever seu crescimento
antes da ocorrncia de problemas.

Monitorando ativos de rede e servios:


Neste artigo discutiremos o monitoramento de ativos de redes utilizando o protocolo SNMP e abordaremos alguns aspectos em servidores
Linux como, por exemplo, instalar mdulos atravs do CPAN e gerenciar
pacotes RPM. Explicaremos como funciona o monitoramento de uma
infraestrutura de redes e demonstraremos algumas configuraes. Para
isso, utilizaremos pacotes do Linux para simular os equipamentos de rede
e criaremos o monitoramento baseado em Nagios.

que se quer monitorar. Como cada equipamento possui sua prpria MIB, deve vir junto com o equipamento ou estar disponvel
no site do fabricante.
A MIB de estatsticas de utilizao da rede a mais comum
entre todos os ativos de rede. Ela organizada atravs de ndices
chamados ifIndex. Durante o monitoramento, cada porta do seu
ativo de rede receber um ID sequencial para que voc consiga
localizar a informao de cada porta separadamente.
forma ativa de monitoramento do SNMP feita atravs de
requisies que podem ser GetRequest, GetNextRequest ou
GetBulkRequest. Para minimizar o impacto gerado pelo monitoramento, utilize o GetRequest, pois se utilizadas muitas requisies
GetNextRequest ou poucas requisies GetBulkRequest, voc
consumir muito recurso do ativo de rede e isto no bom.

Edio 07 Infra Magazine

27

Monitorando ativos de rede e servios

Alm da forma ativa de monitoramento, o SNMP tambm disponibiliza o SNMPTrap. Um trap consiste no envio de um identificador (OID) quando ocorrer determinado evento no equipamento.
Por exemplo: para o evento de queda de conectividade (link
down) e restabelecimento de conectividade (link up), enviado
um identificador X para o servidor de monitoramento. Dado esta
informao, entende-se que o servidor de monitoramento precisar de um sistema que entenda o que significa este identificador
e envie a mensagem para o sistema de monitoramento.

crie um servio no Nagios para ler os valores do collectd e gere os


alarmes. importante tambm separar a funo de acompanhar
a situao da rede da funo de realizar o monitoramento ativo.
Assim, recomenda-se ter servidores Nagios especficos para fazer
o monitoramento ativo, pois com o aumento da quantidade de
servidores, a concorrncia entre os servios de monitoramento
poder trazer problemas.

Tutorial

SNMP Trap Translator


O SNMP Trap Translator ou SNMPTT um projeto de cdigo
aberto para integrar o daemon snmptrapd com o sistema de monitoramento Nagios (explicado mais adiante).
O projeto consiste em diversos scripts Perl (ler Nota do DevMan
1) para realizar diversas tarefas, entre elas a de ser o traphandle,
ou seja, quem recebe a sada do daemon snmptrapd e as traduz
para o Nagios. O daemon snmptrapd um binrio do pacote netsnmp do Linux.

Nota do DevMan 1
Perl
Conforme definido no portal www.perl.org.br, Perl uma linguagem de programao estvel e
multiplataforma, usada em aplicaes de misso crtica em todos os setores, e tem sido bastante
usada para desenvolver aplicaes web de todos os tipos.

Nagios
Nagios definido como sendo um conjunto de projetos para
O
monitoramento de infraestrutura de TI. Estes projetos so: Nagios
core, Nagios plug-ins, Nagios Frontends e Nagios Config Tools.
Por se tratar de quatro projetos, percebe-se que o Nagios um
grande e completo sistema de monitoramento, alm de ser totalmente open source. Existe tambm uma verso do Nagios paga
chamada Nagios XI. Porm, no iremos considerar esta verso
neste artigo.

Nagios Core
Nagios core o projeto inicial do Nagios e consiste no sistema
O
de monitoramento em si, ou seja, o sistema responsvel por todas as
funes de monitorar. Como exemplos de atividades desempenhadas pelo Nagios Core, temos: gerenciar a agenda de monitoramento,
realizar o monitoramento ativo, gerar alertas, etc.
Existem diversas formas de se implementar o Nagios, tudo vai
depender de quantos servidores sero monitorados e qual o nvel
de detalhamento de monitoramento que voc quer. Se voc tiver
at 100 servidores, voc pode utilizar o NRPE (Nagios Remote
Plugin Executor) e fazer o monitoramento ativo no mesmo servidor
que gera os alarmes. Porm, se sua infraestrutura for maior que
isso ou tiver probabilidade de crescer, recomenda-se que voc utilize o collectd para coletar os valores nos servidores monitorados,

28 Infra Magazine Edio 07

Hands on
A partir de agora, trabalharemos em um estudo de caso considerando o monitoramento de ativos de rede nas formas ativa e passiva.
O sistema operacional que utilizaremos ser o Mac OS X 10.6.8 e
o Parallels Desktop para criar a mquina virtual do laboratrio.
Durante a instalao, escolha o tipo minimal, ou seja, no ser
personalizado nenhum pacote do sistema operacional.
Na seo de downloads da Infra Magazine disponibilizamos
dois arquivos para instalao do sistema operacional. Se o usurio
possuir o software kickstart, deve utilizar o arquivo anaconda-ks.
cfg, seno deve usar o rpm-qa.txt. Se o usurio seguir esses passos,
importante que o sistema operacional tenha os mesmos pacotes
instalados conforme o arquivo rpm-qa.txt.
A Tabela 1 apresenta as informaes para instalao e configurao do servidor.
Nome

Sistema operacional

Proc Mem Endereo IP

Mscara de rede

Nagios01

CentOS 6.3 x86_64

255.255.255.240

1G

10.211.55.11

Tabela 1. Informao da mquina virtual

Banco de dados
Para este estudo de caso, utilizaremos um banco de dados para
algumas funcionalidades. Assim, instale um banco de dados no
nagios01. Ambas as ferramentas de monitoramento que faremos
uso suportam o MySQL e o PostgreSQL. Para instalar o banco
de dados MySQL, execute o comando yum install -y mysql-server,
e para instalar o PostgreSQL, execute o comando yum install -y
postgresql84-server postgresql84-plperl.

SELinux
O SELinux uma facilidade de segurana disponvel no CentOS.
Recomenda-se que voc deixe-o habilitado. Para que tudo funcione corretamente com o SELinux, voc deve ativ-lo conforme os
passos descritos na Listagem 1.
Caso voc tenha problemas para utilizar o SELinux, desabilite-o
com o comando setenforce 0.

Nagios
Como o foco deste estudo de caso no a instalao do Nagios
(mas seu uso), utilizaremos um RPM (RPM Package Manager)

fornecido pelo repositrio do Fedora (distribuio Linux para a


comunidade da Red Hat). Recomenda-se que o Nagios seja compilado pelo prprio administrador.
Para proceder com a instalao do Nagios, execute a sequncia
de comandos apresentados na Listagem 2.
Listagem 1. Habilitando o mdulo SELinux.

Monitoramento passivo
O monitoramento passivo de equipamentos de rede feito atravs
de traps. Trap o resultado de um evento gerado no equipamento,
sendo o mais conhecido o de perda e restabelecimento de conectividade da porta de rede. Quando conectamos o cabo de rede, o estado
da porta alterado de down para up. Este evento gera um trap com
OID correspondente ao evento de link up. Quando desconectamos o
cabo, o procedimento o mesmo, mas trocam-se os estados.

module mypol 1.0;


require {
type snmpd_t;
type var_spool_t;
class dir { write add_name };
class file { write ioctl create open getattr };
}
#============= snmpd_t ==============
#!!!! This avc is allowed in the current policy
allow snmpd_t var_spool_t:dir { write add_name };
allow snmpd_t var_spool_t:file { ioctl getattr };
#!!!! This avc is allowed in the current policy
allow snmpd_t var_spool_t:file { write create open };
Listagem 2. Comandos para instalao do Nagios.
# rpm -ihv http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-7.noarch.rpm
# yum install -y httpd
# chkconfig httpd on
# iptables -I INPUT -p tcp --dport 80 -j ACCEPT
# service iptables save
# yum install -y nagios nagios-plugins-all
# htpasswd -c /etc/nagios/htpasswd.users nagiosadmin
# chkconfig nagios on

O comando rpm utilizado para gerenciar pacotes RPM. Neste


caso, instala-se o pacote do EPEL que adicionar o repositrio do
Fedora s configuraes do YUM. Perceba que o pacote no est
hospedado no servidor local, o rpm utiliza o protocolo HTTP para
baixar o arquivo e depois segue o procedimento de instalao.
O comando yum utilizado para gerenciar os pacotes do sistema
operacional. Na Listagem 2, o empregamos para instalar o Apache
HTTPD, Nagios e Nagios Plugins.
Na sequncia, utilizamos o comando iptables para liberar a regra
de firewall da porta 80 (HTTP). Em nosso exemplo no utilizaremos HTTPS. Portanto, no foi realizada a regra para a porta 443.
Se voc pretende usar SSL, crie a regra tambm para a porta 443,
conforme o parmetro --dport do comando iptables.
J o comando chkconfig utilizado para gerenciar os servios que
so iniciados no processo de inicializao do sistema operacional.
O aproveitamos em nosso estudo para indicar que o Apache deve
ser iniciado nos run levels padres.
O script de inicializao do Nagios fornecido pelo pacote RPM
utiliza o sh como Shell. Em nosso estudo, alteramos para ele adotar
o bash. Para isso, informamos o comando sed.
Por fim, o comando htpasswd um binrio que foi instalado no
pacote httpd. Com ele foi criada a autenticao do usurio nagiosadmin para o Apache (htpasswd.users).

NetSNMP
O snmptrapd o servio que recebe os traps dos ativos de rede e
realiza um pipe para o script do SNMPTT. Para utiliz-lo, execute
a sequncia de comandos da Listagem 3 para instalar o pacote
Net-SNMP com suporte ao Perl, pois conforme dito anteriormente,
nossos plugins utilizam-se da linguagem de programao Perl.

SNMPTT
O SNMPTT o script que iniciar o tratamento do trap e enviar
os dados coletados ao sistema de monitoramento Nagios. Como
os scripts so escritos na linguagem Perl, precisamos instalar
alguns plugins, e para isto faremos uso do CPAN. Sendo assim,
execute o comando cpan e responda no para a pergunta Are you
ready for manual configuration? [yes]. Em seguida, no shell do
CPAN, digite quit. Feito isso, execute o comando cpan para que
sejam realizadas as configuraes iniciais do acesso ao CPAN. As
configuraes so muitas e no abordaremos neste artigo, pois
no so necessrias para este exemplo.
Agora execute a sequncia de comandos da Listagem 4, para
instalar os mdulos Perl necessrios. Estes mdulos so as bibliotecas necessrias para que os scripts funcionem.
Listagem 3. Comandos para instalao do NetSNMP.
# yum install -y net-snmp net-snmp-perl net-snmp-utils
# chkconfig snmptrapd on
# echo OPTIONS=-On -Oa -Lsd -p /var/run/snmptrapd.pid
>> /etc/sysconfig/snmptrapd
# service snmptrapd start
Listagem 4. Instalando mdulos Perl.
# yum install -y perl-CPAN perl-Time-HiRes make
# perl -MCPAN -e install Perl::OSType, ExtUtils::MakeMaker
# perl -MCPAN -e install Module::Build::Compat, Config::IniFiles
Responda yes para confirmar a instalao dos mdulos dependentes.
Basta apertar a tecla Enter, pois j a resposta padro.

Nosso prximo passo instalar o SNMPTT. Para isso, execute


a sequncia de comandos da Listagem 5. O comando groupadd
utilizado para criar grupos e o comando useradd para criar
usurios. Perceba que criamos o grupo snmptt e o usurio snmptt
dentro desse grupo.
Aps isso, utilizamos o sed para alterar os arquivos de inicializao do SNMPTT. Na sequncia, o comando mkdir especificado
para criar diretrios. Criamos os diretrios para armazenar os
logs e o spool do SNMPTT.

Edio 07 Infra Magazine

29

Monitorando ativos de rede e servios

Listagem 5. Comandos para instalao do SNMPTT.


# yum install -y wget
# wget http://downloads.sourceforge.net/project/snmptt/snmptt/snmptt_1.3/
snmptt_1.3.tgz
# tar xzvf snmptt_1.3.tgz
# cd snmptt_1.3
# cp snmptt.logrotate /etc/logrotate.d/snmptt
# cp snmptt-init.d /etc/init.d/snmptt
# cp snmptthandler /usr/sbin
# cp snmptt /usr/sbin
# cp snmpttconvert /usr/sbin
# cp snmpttconvertmib /usr/sbin
# cp snmptt.ini /etc/snmp/snmptt.ini
# chkconfig --add snmptt
# chkconfig snmptt on
# groupadd snmptt
# adduser -g snmptt snmptt
# sed -i s/^\/etc\/snmp\/snmptt.conf/\/etc\/snmp\/snmptt.conf.if-mib/g /etc/
snmp/snmptt.ini
# sed -i s/log_system_enable = 0/log_system_enable = 1/g /etc/snmp/snmptt.ini
# sed -i s/^net_snmp_perl_enable = 0/net_snmp_perl_enable = 1/g /etc/snmp/
snmptt.ini
# mkdir /var/spool/snmptt/
# mkdir /var/log/snmptt/
# chown -R snmptt: /var/spool/snmptt/ /var/log/snmptt /etc/snmp/snmptt.ini
# chcon system_u:object_r:var_spool_t:s0 /var/spool/snmptt

Em seguida, criamos os arquivos de logs em branco a partir


do comando touch. Por fim, com o comando chown, alteramos
o proprietrio dos arquivos e diretrios. Perceba que definimos
tambm o tempo de vida do log e a inicializao automtica do
servio. Com isso, todas as configuraes necessrias para o
servio do SNMPTT esto finalizadas.
Para finalizar a configurao do monitoramento via traps, devemos criar o arquivo de traduo da MIB para o SNMPTT utilizando o script snmpttconvertmib. Este responsvel por ler o arquivo
MIB e gerar o arquivo de configurao do SNMPTT. O parmetro
out onde o arquivo do SNMPTT ser gerado, e o parmetro exec
o script que envia o resultado ao Nagios. O script do parmetro
exec (submit_check_result) provido pelo pacote do Nagios.
# snmpttconvertmib --in=/usr/share/snmp/mibs/IF-MIB.txt --out=/etc/snmp/snmptt.conf.
if-mib --exec=/usr/lib64/nagios/plugins/eventhandlers/submit_check_result $r TRAP 2

Para facilitar o uso, cada plugin do Nagios trabalha com cdigos de sada. Se o cdigo de sada for 0, significa que o plugin
foi executado e o servio est normal; se for 1, significa que voc
deve ficar alerta (WARNING); se for 2, significa que existe um
problema no ambiente; e se for 3, significa que ocorreu algum
erro na execuo do plugin.
O nmero 2 aps a palavra TRAP o cdigo de sada para o
Nagios. Em nosso estudo de caso, estamos utilizando apenas o
Trap de perda de conectividade, portanto o cdigo de sada ser 2,
que significa CRITICAL. Quando um link perde a conectividade,
significa que existe um problema no ambiente, portanto o cdigo
de retorno deve ser 2.

30 Infra Magazine Edio 07

SNMPTrapd
O snmptrapd o daemon que recebe o trap do ativo de rede
e o envia para que o SNMPTT faa a traduo e depois a envie
ao Nagios. Na seo de downloads da revista voc encontrar o
arquivo snmptrapd.conf. Copie-o para a pasta /etc/snmp. J o
arquivo TRAP-TEST-MIB.txt deve ser copiado para o diretrio
das MIBs (/usr/share/snmp/mibs/). Por ltimo, copie o script
submit_check_result para /usr/lib64/nagios/plugins/eventhandlers/ e execute o comando chmod +x /usr/lib64/nagios/plug-ins/
eventhandlers/submit_check_result.
O comando a seguir adiciona uma linha no arquivo de configurao do Nagios para criar o servio do Trap:
# echo cfg_file=/etc/nagios/objects/snmp.cfg >> /etc/nagios/nagios.cfg

Na seo de downloads da Infra Magazine voc tambm encontrar o arquivo snmp.cfg. Copie-o para o diretrio /etc/nagios/
objects/. Este arquivo de configurao representa a configurao
do servio do Nagios para receber os traps.
O comando a seguir adiciona a configurao do servio do Trap
no servidor localhost. Com isto, o Nagios passa a monitorar o
servio de traps para o servidor localhost.
# echo -e define service{\n\tuse\t\tsnmptrap-service\n\thost_name\tlocalhost\n\t} >>
/etc/nagios/objects/localhost.cfg

Agora execute a sequncia de comandos da Listagem 6 para


iniciar os servios configurados.
Listagem 6. Iniciando os servios configurados.
# service snmptt start
# service snmptrapd start
# service nagios start
# service httpd start

Com os servios rodando, todas as configuraes e dependncias


esto prontas. Agora execute o prximo comando para enviar um
trap idntico ao que o ativo de rede enviar, a fim de verificarmos
o funcionamento do monitoramento.
# snmptrap -v 1 -c public localhost TRAP-TEST-MIB::demotraps localhost 2 0 IFMIB::ifIndex i 1

Ateno: a resoluo de nome precisa estar idntica a localhost.


Portanto, a linha dos hosts para localhost deve estar conforme o
trecho:
127.0.0.1

localhost

localhost.localdomain

Aps a execuo desse comando, o snmptrapd receber um trap


que ser encaminhado para o script snmptraphandler. O script
far a traduo e utilizar o script submit_check_result para enviar o resultado para o nagios.cmd. Aps a escrita do resultado
no nagios.cmd, o alarme surgir no monitoramento.

Prosseguindo com a configurao dos nossos servios de


monitoramento, destacaremos um item muito importante e que
muitas vezes no considerado: a porta do switch ou roteador.
muito importante que se monitore o trfego da porta de rede
alm do seu status de conectividade, ou seja, no basta saber se a
porta est UP ou DOWN, precisamos verificar tambm qual o
tamanho do trfego. A recomendao que o trfego fique entre
60% e 70% da capacidade da porta.
Para esta etapa de nosso estudo de caso, faremos uso do memcached. Este um banco de dados no relacional voltil, ou seja,
um banco de dados baseado em chave e valor armazenado em
memria. Assim, execute o comando a seguir para instalar o
memcached:

O contedo deste arquivo separado por ;, sendo o primeiro


campo o nome do servidor ou endereo IP, o segundo a community
SNMP e os prximos campos so os ndices das portas a coletar.
Exemplo: localhost;public;1;2;3.
Como apresentado no comando a seguir, nota-se que o script precisa
da permisso de execuo e da lib do Perl para o memcached:

# yum install -y memcached

Concluso

ara facilitar a configurao de nosso exemplo, utilizaremos o


P
daemon SNMPD para representar o papel do ativo de rede. Como
o daemon possui a mesma MIB do ativo de rede, aplicam-se as
mesmas configuraes. Deste modo, execute o comando a seguir
para criar um acesso apenas de leitura para o service:
# echo rocommunity public > /etc/snmp/snmpd.conf

Feito isso, execute os comandos a seguir para iniciar o servio


e test-lo:
# service snmpd start
# snmpwalk -v 1 -c public localhost system


No arquivo snmp.cfg baixado anteriormente, existe a configu
rao do servio para monitorar se a porta est Up ou Down via
SNMP com ifIndex 1. Agora, voc precisa configurar um service
para cada porta. Portanto, execute o comando abaixo para configurar o monitoramento da porta 1 para o host localhost:
# echo -e define service{\n\tuse\tlink-status-1\n\thost_name\tlocalhost\n\t} >> /etc/
nagios/objects/localhost.cfg

Para completar o monitoramento, preciso monitorar o trfego


das portas dos ativos de redes. Para isso, novamente na seo de
downloads da Infra Magazine, disponibiliza-se um script para
coletar os dados e disponibiliz-los no memcached que configuramos anteriormente. O nome do arquivo get_bandwidth.pl.
Grave-o no diretrio /opt/.
O arquivo de configurao para o script get_bandwidth.pl deve
ser criado pelo administrador em /etc/get_bandwidth.conf.

# chmod +x /opt/get_bandwidth.pl
# yum install -y perl-Cache-Memcached

Para finalizar, colocamos o script no cron para coletar os valores


a cada minuto:
# echo */1 * * * * /opt/get_bandwidth.pl >> /var/spool/cron/root
# service crond restart

O monitoramento de redes essencial para a infraestrutura


de TI. Deste modo, visando segurana e confiabilidade, devese aplicar o monitoramento ativo e passivo para garantir o seu
correto funcionamento.
Baseado em solues open source, mostramos neste artigo como
possvel monitorar de forma eficiente e eficaz toda a infraestrutura da rede, garantindo assim o bom funcionamento de todos
os outros componentes.
Agora seu ambiente j est pronto para receber as notificaes
de perda e reestabelecimento de conectividade, alm de qualquer
outro trap enviado pelo ativo de rede. Com as configuraes
efetuadas, tambm possvel monitorar ativamente o status de
cada porta.
Thiago Nache
thiagonbcarvalho@gmail.com
Atua na rea de infraestrutura h mais de 8 anos, tem grande
experincia em sistema de alta disponiblidade e alta performance.
Cursou ensino mdio tcnico em processamento de dados, graduao
em Tecnologia em Redes de Computadores na FIAP e possui certificaes
Red Hat e ITIL. Tem experincia em empresas de grande porte.

Site do Collectd
http://collectd.org
Wiki do Collectd
http://collectd.org/wiki/index.php/Main_Page
Documentao do Nagios
http://library.nagios.com/library/products/nagioscore/manuals/
Site do CPAN
http://www.cpan.org

Edio 07 Infra Magazine

31

As novidades do
Windows Server 2012
O que esperar da nova verso?

Microsoft anunciou em abril de 2012 o nome da


prxima verso do Windows Server, que ser o
Windows Server 2012. No lanamento de produtos, a Microsoft sempre traz grandes novidades:
No Windows Server 2000, o Active Directory foi o
grande marco, visto que no Windows NT no existia
Active Directory (ler Nota do DevMan 1);
O Windows Server 2003 apresentou significativas
melhoras no Active Directory, alm de incluir novas
funcionalidades;
No Windows Server 2008, o grande marco foi a plataforma de virtualizao Hyper-V (ler Nota do DevMan 2).

Resumo DevMan
De que se trata o artigo:
Neste artigo apresentaremos as novas funcionalidades e recursos do
Windows Server 2012, bem como as melhorias introduzidas em relao
ao Windows Server 2008 R2. Sero abordadas as diversas novidades do
Hyper-V 3.0. Tambm destacamos as novidades no Active Directory,
BitLocker, DHCP, WSUS, BranchCache, DirectAccess. Sero descritos
tambm os inmeros aspectos que fazem desta nova verso do Windows Server uma plataforma estruturada para trabalhar e suportar
computao em nuvem.

Em que situao o tema til:

Nota do DevMan 1

Os fatores apresentados neste artigo sero teis para esclarecer as


novidades presentes no Windows Server 2012, bem como suas melhorias
em relao ao Windows Server 2008 R2.

O Active Directory um servio de diretrio, o qual identifica todos os recursos


disponveis em uma rede mantendo informaes sobre estes dispositivos (contas de
usurios, grupos, computadores, recursos, polticas de segurana etc.) em um banco
de dados. Alm disto, torna estes recursos disponveis para usurios e aplicaes.
Afinal, o que Diretrio? Um diretrio nada mais do que um cadastro ou, melhor
ainda, um banco de dados com informaes sobre usurios, senhas e outros
elementos necessrios ao funcionamento de um sistema, quer seja um conjunto de
aplicaes no Mainframe, um grupo de servidores da rede local, o sistema de e-mail
ou outro sistema qualquer.

As novidades do Windows Server 2012:


A Microsoft ir lanar o Windows Server 2012 para atender s demandas
mais preocupantes do departamento de Tecnologia da Informao das
empresas: custo e agilidade nos processos. Atravs do Windows Server
2012 ser possvel implementar computao em nuvem dentro das
empresas, ou seja, nuvem privada. Neste contexto, destacaremos neste
artigo as principais novidades do Windows Server 2012.

Nota do DevMan 2
A virtualizao permite particionar um nico sistema computacional em vrios outros
denominados de mquinas virtuais. Cada mquina virtual oferece um ambiente
completo muito similar a uma mquina fsica. Com isso, cada mquina virtual pode
ter seu prprio sistema operacional, aplicativos e servios de rede (Internet). possvel
ainda interconectar (virtualmente) cada uma dessas mquinas atravs de interfaces
de redes, switches, roteadores e firewalls virtuais.

Para o Windows Server 2012, o grande marco uma


plataforma estruturada para trabalhar com computao
em nuvem. Alm disso, teremos tambm a nova console
conforme demonstrado na Figura 1. O objetivo estabelecer uma console nica entre os produtos, ou seja, a console do Windows Server 2012 ser similar console do

32 Infra Magazine Edio 07

Windows 8, Windows Phone e at mesmo console do Xbox 360


Neste contexto, este artigo tem como objetivo apresentar os recursos e as novas funcionalidades introduzidas no Windows Server
2012. O Windows Server 2012 um produto que ir oferecer um
melhor suporte para trabalhar com computao na nuvem, seja
ela pblica ou privada. Alm disso, inmeras novidades foram
adicionadas neste novo produto como, por exemplo, a nova console do Server Manager, Hyper-V 3.0, Active Directory Clone,
DirectAccess, DHCP, BranchCache, entre outras novidades. Vamos
conhecer algumas delas a partir de agora.

Server Manager
Uma das principais novidades do Server Manager a console apresentada na Figura 2. Nesta console foi adicionado um

Dashboard que permite uma visualizao de todas as funes


instaladas no servidor.
O Server Manager ainda permite adicionar e criar grupos de
outros servidores da rede, ou seja, gerenciar outros servidores,
instalar e remover funes a partir de uma nica console.

Memria do host: 2 TB;


Processadores virtuais: 2048;
Mquinas virtuais por host: 1024;
Processadores por VM: 32;
Memria por VM: 1 TB;
VMs em cluster: 4000.

Hyper-V Cliente

Figura 2. Console Server Manager

Uma das grandes novidades do Hyper-V 3.0 estar disponvel em uma verso para desktop, ou seja, o Hyper-V est
disponvel no Windows 8. Assim, agora possvel virtualizar
sistemas operacionais no Windows para desktop. Entretanto,
vale informar que no so todas as funcionalidades que esto
disponveis na verso para Windows Cliente.
Os seguintes recursos no esto disponveis no Hyper-V 3.0
no Windows 8:
Remote FX capability to virtualize GPUs: Permite virtualizar
uma instncia do Graphical Processing Unit (GPU) em vrias
mquinas virtuais do Windows 7. Isso proporciona VMs com
acesso GPU fsica, permitindo acelerao por hardware para
cenrios grficos de alta performance, tais como renderizao
3D e jogos;
Live VM migration: Permite mover uma mquina virtual
em execuo de um host fsico de origem para um host fsico
de destino o mais rpido possvel, ou seja, a mquina virtual
est sendo acessada enquanto ocorre a movimentao entre os
hosts;
Hyper-V Replica: Permite mover uma mquina virtual em
execuo de um host fsico de origem para um host fsico de
destino atravs somente do cabo de rede, ou seja, a mquina
virtual transferida para outro host sem a necessidade de uma
rea comum de armazenamento;
SR-IOV networking: Permite que mquinas virtuais acessem
diretamente a placa de rede que d suporte ao single-root I/O
virtualization (SR-IOV). Isto diminui a latncia da rede e maximiza o throughput da rede;
Synthetic fibre channel: Permite acesso a recursos de armazenamento em alta velocidade, ou seja, cargas de trabalho
e aplicativos que exigem acesso direto ao armazenamento
baseado em canais de fibra.

Hyper-V 3.0

Memria dinmica

O Windows Server 2012 disponibilizou uma nova verso do


Hyper-V, agora conhecido como Hyper-V 3.0. O Hyper-V a
tecnologia que virtualiza hardware para proporcionar um ambiente no qual voc possa executar vrios sistemas operacionais
ao mesmo tempo em um computador fsico. Ele permite que
voc crie e gerencie mquinas virtuais e seus recursos, sendo
cada mquina virtual um recurso isolado, ou seja, um sistema de
computador virtualizado que pode executar seu prprio sistema
operacional.
Seguem algumas melhorias desta nova verso:
Processadores lgicos do host: 160;

Novidades referentes memria dinmica incluem suporte para configurao de memria mnima e de memria de
paginao, que uma tcnica de gerenciamento de memria
para fornecer uma experincia segura para a reinicializao
de mquinas virtuais configuradas com pouca memria de
inicializao.
Estas mudanas iro ajudar a melhorar a utilizao do hardware,
tornando-o mais prtico para executar mais mquinas virtuais
em um nico computador fsico ao mesmo tempo.Desta forma,
recursos de memria podem ser alocados para mquinas virtuais
de forma mais eficiente, uma vez que voc pode configurar uma

Figura 1. Console do Windows Server 2012 Release Candidate

Edio 07 Infra Magazine

33

As novidades do Windows Server 2012

mquina virtual com o mnimo de memria de inicializao sem


ter que planejar a memria suficiente para reiniciar a mquina
virtual.

Mdulo do Hyper-V para Windows PowerShell


O mdulo do Hyper-V para Windows PowerShell inclui mais
de 160 cmdlets para gerenciar o Hyper-V, mquinas virtuais e
discos rgidos virtuais. A disponibilidade de built-in Hyper-V
cmdlets torna mais fcil automatizar vrias operaes. Alm
disso, os nomes dos cmdlets so semelhantes aos de outros
cmdlets do Windows PowerShell (usando verbos como Get e
Set), tornando mais fcil para usurios familiarizados com o
Windows PowerShell aprender a usar os novos cmdlets.

Hyper-V Replica
Esta uma das melhores novidades. Este recurso permite replicar as mquinas virtuais entre sistemas de armazenamento,
clusters e entre localidades para proporcionar a continuidade do
negcio e a recuperao de desastres. Ou seja, esta caracterstica
torna mais fcil e menos dispendioso o planejamento e implementao de solues de continuidade de negcios e recuperao de
desastres para suas mquinas virtuais.

Importao de mquinas virtuais


Algumas melhorias foram implementadas no processo de importao de maquinas virtuais. Com a nova verso possvel, por
exemplo, importar uma mquina virtual somente com a cpia do
arquivo de VHD (Virtual Hard Disk).

Live Migration
Agora possvel realizar uma migrao a quente em um ambiente sem cluster, bem como executar mais de uma migrao em
tempo real ao mesmo tempo. Estas melhorias oferecem maior flexibilidade na movimentao de uma mquina virtual em execuo,
tornando mais fcil e mais rpido executar migraes a quente.
Enfim, agora s com um cabo de rede possvel realizar o Live
migration, sem a dependncia de storage e cluster.

Monitorao de recursos
Outra novidade importante monitorar dados sobre o processador fsico, memria, armazenamento e uso da rede por mquinas
virtuais especficas. Com esta nova facilidade, poderemos determinar o uso de recursos especficos de mquinas virtuais e usar
esses dados para, por exemplo: realizar o planejamento de capacidade, monitorar o consumo por diferentes unidades de negcios
ou clientes, ou para capturar os dados necessrios para ajudar a
redistribuir os custos da gesto de uma carga de trabalho. Enfim,
podemos configurar uma mquina virtual e medir, periodicamente,
o processador fsico, memria, armazenamento e uso da rede.

Maior escalabilidade e melhor resilincia


Com certeza esta verso do Hyper-V oferece significativamente
maior capacidade de computao e recursos de armazenamento,

34 Infra Magazine Edio 07

alm de melhorar o tratamento de erros de hardware. Esses recursos ajudam a garantir a configurao de mquinas virtuais
de alto desempenho para suportar cargas de trabalho que podem
precisar ser incrementadas de forma significativa.
Um dos grandes diferenciais o computador que executa o
Hyper-V. Este pode ser configurado com at 160 processadores
lgicos e 2 Terabytes (TB) de memria. As mquinas virtuais
podem ser configuradas com 32 processadores virtuais e 1 TB
de memria. Alm disso, o tratamento melhorado de erros de
hardware aumenta a resilincia e estabilidade do ambiente de
virtualizao (ler Nota do DevMan 3).

Nota do DevMan 3
Resilincia a capacidade do ambiente virtualizado se recuperar normalmente de situaes de alta
sobrecarga onde h um aumento de processamento. Desta forma, permite que o ambiente possa
alocar de forma eficaz todos os recursos disponveis, criando assim ambientes resistentes que possam
se recuperar destas situaes.

Autorizao simplificada
O grupo de administradores Hyper-V foi introduzido e implementado como um grupo de segurana local. Desta forma,
este grupo pode reduzir o nmero de usurios que pertencem
ao grupo Administradores local, proporcionando aos usurios
acesso ao Hyper-V.

SR-IOV
Outra grande novidade atribuir uma placa de rede que suporte
single-root I/O Virtualization (SR-IOV) diretamente para uma
mquina virtual. Assim, o uso de SR-IOV maximiza o throughput
da rede, minimizando a latncia da rede, bem como a sobrecarga
de CPU necessria para processar o trfego da rede.

Migrao de Storage (armazenamento)


A migrao de armazenamento uma excelente notcia,
pois facilita muito a migrao, ou seja, mover os discos rgidos virtuais usados por uma mquina virtual para outro
armazenamento fsico diferente enquanto a mquina virtual
permanece em execuo. Com isso, esta nova funcionalidade
torna mais fcil gerenciar os subsistemas de armazenamento
fsicos usados por

mquinas virtuais. Isto faz com que no seja


mais necessrio ter uma mquina virtual off-line para fazer a
migrao de discos rgidos.

Armazenamento em compartilhamentos SMB2


O Hyper-V agora suporta o uso de compartilhamentos SMB2
para oferecer armazenamento para mquinas virtuais. Esse novo
recurso oferece uma nova maneira de fornecer mquinas virtuais
com armazenamento compartilhado sem o uso de um Storage
Area Network (SAN) ler Nota do DevMan 4.
Voc pode especificar um compartilhamento de arquivos como
o local de armazenamento para mquinas virtuais.

Nota do DevMan 4
Storage Area Network
Storage Area Network (SAN) uma rede de armazenamento dedicada que oferece acesso a
informaes com alta velocidade de leitura e gravao. As SANs so usadas principalmente para
unir dispositivos de armazenamentos como array de discos, ficando acessveis a servidores, e estes
dispositivos aparecem como se estivessem conectados localmente ao sistema operacional. Uma SAN
normalmente tem sua prpria rede de dispositivos de armazenamento que geralmente so acessveis
atravs da rede por meio dos dispositivos tradicionais.

Virtual Fibre Channel


Esta nova funcionalidade permite que voc conecte diretamente
ao armazenamento Fibre Channel a partir do sistema operacional
que executado em uma mquina virtual (ler Nota do DevMan 5).
Esta caracterstica torna possvel virtualizar cargas de trabalho e
aplicativos que exigem acesso direto ao armazenamento baseado
em canais de fibra. Tambm torna possvel configurar cluster
diretamente no sistema operacional da mquina virtual, ou seja,
cluster entre mquinas virtuais utilizando Fibre Channel no sistema operacional da mquina virtual para armazenamento direto
no storage.

Virtual NUMA
A topologia virtual Non-Uniform Memory Access (NUMA)
est disponvel para o sistema operacional em uma mquina
virtual.
O recurso NUMA permite um processador acessar sua memria
local diretamente, otimizando com isso o desempenho de aplicaes e sistemas operacionais.

Switch virtual
A arquitetura do switch virtual foi atualizada para fornecer
uma estrutura aberta, permitindo que terceiros adicionem novas
funcionalidades ao switch virtual. Essa alterao permite que os
parceiros da Microsoft estendam o switch virtual, oferecendo
novas funcionalidades tais como o monitoramento, encaminhamento e filtragem.

Dynamic HostConfiguration Protocol(DHCP)


No Windows Server 2012, como j foi possvel observar at aqui,
foram adicionadas novidades significativas. A Figura 3 exemplifica a console do DHCP. Direcionando o foco do artigo para
este recurso, a partir de agora analisaremos algumas das suas
novidades introduzidas no Windows Server 2012.

Nota do DevMan 5
Fibre Channel a arquitetura mais utilizada para implementaes de SANs. Trata-se de um padro
tecnolgico alternativo Ethernet, que permite a transferncia de dados de um n para outro n
da rede em velocidades extremamente altas. Implementaes atuais podem atingir taxas de
transferncia de dados de 10Gbps ou mais e alcanar distncias de at 10 km quando a fibra tica
utilizada como o meio fsico.

Formato de disco rgido virtual


O novo formato foi introduzido para atender s necessidades
em evoluo e tirar proveito das inovaes em hardware de armazenamento. O novo formato aumenta o tamanho mximo de
armazenamento por disco rgido virtual, bem como melhora a
estabilidade e eficcia desses discos.
O novo formato de disco rgido virtual (VHDX) suporta at
64 Terabytes de armazenamento. Ele tambm oferece proteo
embutida contra a corrupo decorrente de falhas de energia e
evita a degradao do desempenho em alguns discos de grande
setor fsico.

Snapshots de mquinas virtuais


Snapshot a tcnica que permite salvar o estado da mquina
virtual no momento desejado. Nessa nova verso do Windows
Server o snapshot tambm foi melhorado. Agora, depois que um
snapshot foi excludo, o espao de armazenamento que antes
ficava bloqueado agora disponibilizado enquanto a mquina
virtual est executando. Deste modo, j no necessrio desligar
ou colocar a mquina virtual em um estado salvo para recuperar
o espao de armazenamento.

Figura 3. Console do Dynamic Host Configuration Protocol (DHCP)

DHCP Policy Based Assignment


Agora possvel atribuir polticasbaseadas emassignment (PBA),
o quepermite ao administradoragrupar clientesDHCPporatributos especficos baseados em campos contidos no pacote de
solicitao declienteDHCP. Esta caracterstica permite a administrao direcionada e um maior controle dos parmetros de
configuraofornecidosparadispositivos de rede.
A necessidade de administrao centralizada de endereos
IPest aumentando devido ao crescimento da computao mvel,
virtualizaoedispositivos IP que continuam a consumirmais
endereos.

DHCP Failover
Outro recurso interessante o DHCP Failover. Este permite
aumentar a disponibilidade do servio de DHCP. Nas verses
anteriores era possvel estabelecer uma alta disponibilidade do
DHCP, mas agora ficou ainda mais fcil, ou seja, o DHCP Fail
over fornece a capacidade dos administradores implantarem um

Edio 07 Infra Magazine

35

As novidades do Windows Server 2012

servio de DHCP em alta disponibilidade para suportar uma


grande empresa.
Agora possvel que dois servidores DHCP entreguem endereos IP da mesma sub-rede, ou seja, dois servidores DHCP
entregando IP no mesmo intervalo de IPs, proporcionando, deste
modo, alta disponibilidade para o servio de DHCP. Os dois
servidores DHCP replicam informaes entre eles, permitindo
um servidor assumir a responsabilidade pela manuteno de
clientes para a sub-rede enquanto o outro no estiver disponvel.
Tambm possvel configurar failover em uma configurao de
balanceamento de carga com pedidos de clientes distribudos
entre os dois servidores.

Active Directory Domain Services


O Active Directory o servio de diretrio que permite uma
administrao centralizada dos recursos da rede. No Windows
Server 2012, ele recebeu significantes melhorias. Vamos a elas.

Clone de controlador de Domnio


Uma grande novidade o clone de controladores de domnio virtualizado. Com a clonagem de controlador de domnio
virtualizado, os administradores podem agora promover um
controlador de domniovirtual adicional rapidamente.Os administradores notmrepetidamenteque implantar umaimagem
do servidorSysprep,promover o servidor aum controlador de
domnioe em seguidacompletar os requisitos adicionais de configuraoparacada controladorde domnio de rplica. Assim, o
procedimento de adicionar controladores de domnio no mesmo
domnio se tornou mais simples.

Gerenciamento da topologia e replicao com Windows


PoweShell
O Windows PowerShellpara o Active Directory(AD)agora inclui suporte para replicao egerenciamento de topologia. Deste
modo, ele permite que seja feito o gerenciamento de replicao,
trusts, sites, domnios e florestas, controladores de domnio e
parties. Alm disso, as ferramentas de gestoanteriores, como
Active Directory eRepadmin.exe, agora esto disponveisa partir
doWindows PowerShell.

BitLocker
O BitLocker um recurso de segurana que permite a criptografia do sistema de arquivos, ou seja, possvel criptografar todo
o C:. Com isso, ao ligar o computador, o BitLocker ir solicitar a
senha para acesso, e somente com esta senha ser possvel descriptografar o disco e depois efetuar o logon.

Habilitar o BitLockerparavolumes em cluster


No WindowsServer 2012 o BitLocker Drive Encryption pode
serligado porvolumes em um cluster defailover, tanto nopadro
dediscos em clusterquanto no Cluster Shared Volumes(CSVs).
Como o BitLocker criptografano nvel de volume,se umdisco
de cluster composto por mais de um volume e voc quiser

36 Infra Magazine Edio 07

protegertodo o disco, a proteo do BitLockerdeve serativada


para cadavolume dodisco.
A seguir destacamos as novidades do BitLocker:
possvel ativar e criptografar o disco antes da instalao
do Windows, ou seja, agora, durante o processo de instalao
do Windows, possvel criptografar o disco e depois instalar o
Windows no disco j criptografado;
Melhor velocidade para criptografar o disco;
So oferecidos dois mtodos de criptografia: criptografar somente o espao utilizado ou criptografar todo o disco;
Desbloqueio automtico a partir da rede sem a necessidade de
digitar o PIN. O Windows Server 2012 permite gerenciar dispositivos com o BitLocker habilitado, como desktops e servidores, ou
seja, caso o dispositivo venha acessar um domnio com o BitLocker
ativo, o Windows Server 2012 ir reconhecer que um dispositivo
confivel e ir desbloquear automaticamente, permitindo acesso
ao computador;
Mais fcil de implantar e gerir uma organizao, possibilitando
que o PIN do BitLocker possa ser alterado por um usurio padro.

Windows Server Update Services WSUS


O WSUS j bem conhecido pelo administrador de rede. No
Windows Server 2012 tambm temos diversas novidades para ele.
O WSUSagora uma funo de servidor embutidaque pode ser
adicionadaeremovida usando oGerenciador do Servidor.Alm
destamudana,h tambm algumasnovas melhorias:
Incluso de cmdlets do Windows PowerShell para gerenciar
as10 mais importantestarefas administrativas doWSUS;
Melhoria de seguranacomcapacidade de SHA256hash;
Separao decliente/servidor,novas verses do WindowsUpdate
Agent (WUA);
Novopacote de gerenciamentoparao SCOM.

Administrao doWSUSusando o WindowsPowerShell


Agora possvel gerenciar o WSUS atravs do PowerShell. Com
isso, diversas atividades rotineiras sero automatizadas por meio
de scripts.Ao exporas operaes fundamentaisdo WSUSatravs
do WindowsPowerShell,os administradores de redesero capazes deexperimentaras seguintes vantagens:
Aumento da produtividade;
Reduo dacurvade aprendizado paranovas ferramentas;
Reduo deerros.
Para que os administradores de sistema possam automatizar suas operaes, eles precisam da linha de comando para
realizar esta automao. O objetivo principal facilitar a administrao do WSUS, permitindo que os administradores de
redepossam automatizaro dia-a-dia das operaes.As tarefasque
esto disponveis paraserem executadascom o uso decmdletsdo
Windows PowerShellso:
Listar computadoresno ambienteWSUS;
Adicionarum computador a umdeterminado grupo e criaresse
grupoem tempo real;

Obteruma atualizao;
Veruma atualizao;
Aprovaruma atualizao;
Recusaruma atualizao;
Configurar tipo de classificaode atualizao;
Configurartipo de produtode atualizao;
Configurarfonte de atualizao;
Executar oassistente de limpeza.

Gerenciamento de Impresso
O gerenciamento de impresso no Windows Server 2012 permite que voc compartilhe impressoras em uma rede e centralize
o servidor de impresso e as tarefas de gerenciamento de rede
da impressora usando o gerenciamento de impresso Microsoft
Management Console (MMC). O gerenciamento de impresso
permite, entre outras coisas, migrar servidores de impresso e implementar conexes de impressora usando a Diretiva de Grupo.
Alm disso, os administradores tambm podem usar o novo
mdulo de gesto de impresso do PowerShell para gerenciar
completamente uma infraestrutura de impresso a partir da linha
de comando.Usar o poder e a flexibilidade do PowerShell permite
que o administrador escreva scripts personalizados para gerenciar

e configurar a impresso sem usar a console de gerenciamento


de impresso.

BranchCache
Outro recurso que ganhou melhorias o BranchCache. Oservio BranchCache reduz o uso de WAN (Wide Area Network)
e o tempo necessrio para usurios de filiais abrirem arquivos
na rede.Ele nunca disponibiliza dados obsoletos e protege a segurana do seu contedo.O BranchCache foi introduzido pela
primeira vez no Windows 7 e no Windows Server 2008 R2.
Destacamos aqui algumas novidades:
O desempenho do banco de dados foi melhorado.O BranchCache agora usa o mecanismo extensvel de armazenamento,
o mesmo utilizado no Microsoft Exchange Server e Active
Directory.Isso permite que um nico servidor de cache hospedado possa atender s demandas de mais pessoas ao mesmo
tempo usando o mesmo hardware.Tambm permite que um
servidor de cache hospedado possa armazenar dados significativamente maiores (na ordem de Terabytes);
Existem novas ferramentas e um novo modelo de implantao
simplificado. Isso faz do BranchCache mais eficaz, mais fcil
de implementar e simples de gerenciar;

Edio 07 Infra Magazine

37

As novidades do Windows Server 2012

O BranchCache no requer configurao em todos os escritrios.A implantao se tornou simplificada porque no h mais
exigncia de uma Diretiva de Grupo (GPO) separada para cada
local.Apenas uma nica GPO que contm um pequeno grupo
de configuraes necessria para implantar BranchCache em
organizaes de qualquer tamanho;
A configurao do computador do cliente automtica.
Os clientes podem ser configurados atravs de Diretiva de Grupo
(GPO) como modo cache distribudo por padro. No entanto, em
busca de um servidor de cache hospedado, e se for descoberto,
os clientes automaticamente iro se autoconfigurar como cliente
modo cache hospedado;
Os dados de cache so mantidos criptografados e os servidores
cache hospedado no necessitam de certificados de servidor.
A segurana do BranchCache oferece melhor criptografia de
dados, proporcionando a segurana de dados sem a necessidade
de uma infraestrutura de chave pblica;
O BranchCache fornece ferramentas para manipular dados e
pr-carregar o contedo em locais remotos. Agora, voc pode
enviar contedo para filiais para que ele esteja imediatamente
disponvel quando o usurio solicitar o acesso. Isso permite que
voc possa distribuir o contedo durante os perodos de baixa
utilizao do link da WAN;
O BranchCache agora possibilita administrao com o Windows
PowerShell e Windows Management Instrumentation (WMI).

DirectAccess
O DirectAccess foi implementado no Windows Server 2008 R2
e no Windows Server 2012 ganhou algumas melhorias. Atravs
do DirectAccess possvel realizar o acesso remoto a recursos da
rede corporativa sem a necessidade de Virtual Private Network
(VPN).Ele tambm fornece vrias atualizaes e melhorias para
lidar com polticas de implantao e que proporcionam uma
gesto simplificada.

38 Infra Magazine Edio 07

Vejamos agora mais alguns benefcios e melhorias em relao


ao DirectAccess do Windows 7:
DirectAccess coexistente com o servio de VPN do RRAS;
Gerenciamento simplificado do DirectAccess para administradores de rede;
No pr-requisito a implantao de PKI (Public Key Infra
structure) para implementar o DirectAccess;
Suporte a NAT64 e DNS64 para acessar recursos IPv4;
Simplificao da poltica de segurana de rede;
Suporte de balanceamento de carga;
Suporte para vrios domnios;
Integrao com NAP (Network Access Protection);
Suporte para OTP (autenticao baseada em token);
Suporte para Server Core;
Suporte a PowerShell.

Concluso
Tendo em vista as inmeras novidades apresentadas neste artigo,
podemos observar que esta nova verso do Windows Server ir
mudar alguns procedimentos de administrao e gerenciamento
da infraestrutura de rede. Devemos estar preparados para estas
novidades e, para isso, a certificao ajuda bastante. Caso voc tenha uma certificao Microsoft Windows Server 2003 ou Windows
Server 2008, lembre-se que agora ser necessrio atualiz-la.
Josu Vidal
josuevidal2003@yahoo.com.br
Trabalha na rea de Tecnologia da Informao desde 2001, como
consultor especializado na plataforma Microsoft, com experincia
em infraestrutura e arquitetura de solues de segurana, deployment
e gerenciamento. Atualmente trabalha como consultor numa empresa
de consultoria. Ministra palestras e webcasts nas comunidades de infraestrutura e
colunista da comunidade TechNet da Microsoft. Possui as seguintes certificaes: MCP
/ MCSA / MCSE / MCTS / MCITP / MCT, MCITP Windows Server 2008 R2, Virtualization
Administrator, MCITP Enterprise Administrator, MVP Active Directory de 2009 a 2011.

SNMP Simple
Network Management
Protocol
O padro de gerncia para redes IP

s redes IP e seus servios formam ambientes heterogneos e complexos, nos quais conjuntos de
software e hardware de diferentes fabricantes
interagem constantemente para atender os usurios com
rapidez e preciso. Atualmente, as redes IP so capazes
de suportar diversos servios simultneos como acesso
Internet, telefonia, transmisso de vdeo, transmisso de
TV, telemedicina, etc, e se tornaram essenciais para seus
usurios. Problemas decorrentes de falhas ou paradas
nestas redes representam perdas enormes. A soluo
para diminuir os riscos de perdas decorrentes de falhas
nas redes a adoo de prticas eficientes de gerncia
de redes, que incluem o monitoramento, a avaliao, a
configurao e o controle de elementos de software e
hardware. Dentro desta soluo, o desafio passa a ser
encontrar ferramentas que permitam a gerncia de tantos elementos heterogneos, com funes, propriedades
e fabricantes diferentes. No caso do gerenciamento de
redes IP, a resposta para este desafio o SNMP (Simple
Network Management Protocol).
O SNMP um padro de gerncia de redes definido
pelo IETF (Internet Engineering Task Force) que inclui
um protocolo para comunicao entre estaes de
gerncia e dispositivos gerenciados e especificaes
relacionadas modelagem, disponibilizao e ao
armazenamento de informaes sobre os dispositivos
gerenciados. O SNMP foi introduzido pelo IETF em 1988
por meio do RFC 1067 e sua principal caracterstica era
a simplicidade. Inicialmente, o SNMP foi tratado como
uma soluo provisria que seria substituda em longo
prazo pelo CMIP (Common Management Information
Protocol), que era mais complexo e sofisticado. Justamente por esta razo, tanto o SNMP quanto o CMIP so
baseados no mesmo modelo gerente-agente. Entretanto,
a indstria passou a adotar o SNMP massivamente,

Resumo DevMan
De que se trata o artigo:
O SNMP (Simple Network Management Protocol) um padro de
gerncia para redes IP criado pelo IETF (Internet Engineering Task Force)
em 1988. Ele opera segundo o modelo gerente-agente, no qual uma
estao de gerncia responsvel por controlar e monitorar recursos de
diversos elementos da rede gerenciada por meio da interao com agentes implantados nos elementos desta rede. As informaes gerenciais
de cada um destes elementos so armazenadas em MIBs (Management
Information Base), que so implantadas juntamente com os agentes nos
elementos gerenciados.

Em que situao o tema til:


As redes IP tm sido utilizadas como plataforma para diversos servios
que envolvem a transmisso de dados, vdeo e voz. Desta forma, estas
redes tm crescido em complexidade e importncia, fazendo com que
seja fundamental gerenci-las com eficcia para garantir tranquilidade aos
usurios e organizaes. O SNMP um dos principais pilares deste cenrio,
pois ele amplamente adotado pelos fabricantes de equipamentos e
definido pelo IETF como o padro para gerncia de redes IP.

SNMP Simple Network Management Protocol:


Para que as redes IP proporcionem a confiabilidade desejada pelos
seus usurios, os administradores de rede devem implementar prticas
eficazes de gerncia. No caso das redes IP, o padro para gerncia o
SNMP. A primeira verso do SNMP foi lanada em 1988 e rapidamente
adotada por grande parte dos fabricantes de equipamentos de rede. A
segunda verso e a terceira verso foram lanadas em 1993 e em 1998,
respectivamente, solucionando problemas de desempenho e segurana
que ficaram evidentes na primeira verso, quando ela passou a ser usada
em ambientes de rede mais complexos. Atualmente, o SNMP ainda amplamente utilizado na gerncia de redes IP e a perspectiva para o futuro
que este cenrio permanea, mesmo que a utilizao do SNMP seja
complementada pela adoo de outros padres como o IPFIX.

Edio 07 Infra Magazine

39

SNMP Simple Network Management Protocol

justamente por sua simplicidade. Desta


forma, em poucos anos, grande parte dos
equipamentos de rede passaram a dar
suporte ao SNMP, que passou a ser, de
maneira concreta, um padro de gerncia.
Ainda hoje, mais de duas dcadas depois
de sua criao, o SNMP continua sendo
o padro de gerncia mais utilizado nas
redes IP.

Aspectos bsicos do SNMP


O padro SNMP baseado no modelo
gerente-agente, ilustrado na Figura 1.
Primeiramente, temos a estao de
gerncia com um NMS (Network Management System) implantado. O NMS
responsvel por reunir os dados coletados sobre a rede monitorada e apresentar
ao administrador de rede. Para que o
administrador compreenda melhor o que
est ocorrendo com a rede, desejvel
que o NMS seja capaz de gerar relatrios
e grficos sobre os dados coletados na
rede. Por meio do NMS, o administrador
tambm pode enviar comandos de forma
a configurar parmetros de funcionamento da rede. Por fim, o NMS repassa
ao administrador de rede alarmes que o
notificam sobre a ocorrncia de eventos
importantes como interrupes, falhas,
falta de energia eltrica, etc. Uma nica
estao de gerncia pode ser utilizada
para monitorar vrios elementos na
rede. Em resumo, o NMS e a estao de
gerncia so a interface de controle entre
o administrador e a rede que est sendo
monitorada.
Do outro lado da arquitetura, temos
agentes que so implantados nos dispositivos gerenciados. Cada agente
responsvel por coletar os dados sobre o
elemento gerenciado e armazen-los em
uma base de dados local, conhecida como
MIB (Management Information Base).
Quando a estao de gerncia requisita
um determinado dado sobre o elemento
gerenciado, o agente coleta este dado no
respectivo objeto e responde ao gerente
enviando o dado requisitado. O agente
tambm responsvel por receber e processar requisies de alterao de dados
da MIB enviadas pela estao de gerncia
e por enviar notificaes sobre eventos

40 Infra Magazine Edio 07

Figura 1. Viso geral da arquitetura gerente-agente


importantes para o gerente. Na MIB, so
armazenadas informaes como a quantidade de pacotes IP que ingressaram e
partiram do equipamento, a quantidade
de bytes que ingressaram e partiram das
interfaces do equipamento, a quantidade
de conexes TCP que esto ativas, quantos pacotes foram descartados, o nome
do equipamento, a localizao fsica do
equipamento, etc.
As MIBs so organizadas de maneira
h ierrquica, seg u ndo especif icao
documentada no RFC 1155 Structure of
Management Information. Os criadores
do SNMP padronizaram a estruturao
das informaes de gerncia na MIB para
garantir que haveria interoperabilidade
entre equipamentos de diferentes fabricantes. A Figura 2 ilustra esta organizao. No topo da organizao hierrquica
temos um n raiz. Logo abaixo dele, temos
trs divises principais: ccitt, iso e joint.
Todos os ns posicionados hierarquicamente abaixo do n ccitt (0) so administrados pela International Telegraph
and Telephone Consultative Committee
(CCITT). Os ns posicionados abaixo do
n iso (1) so administrados pela International Organization for Standardization
(ISO). Por fim, os ns posicionados abaixo
do n joint (2) so administrados conjuntamente pela CCITT e pela ISO. Logo
abaixo do n iso (1), a ISO reservou um

n a ser usado por outras organizaes


internacionais: o n org (3). Abaixo do n
org (3), foi reservado um n para o departamento de defesa dos Estados Unidos:
o n dod (6). O departamento de defesa,
por sua vez, designou um n para o Internet Activities Board (IAB), que foi nomeado de internet (1). Abaixo deste n, temos
quatro ns. Os principais so o mgmt (2),
sob o qual so alocadas as informaes
aprovadas em documentos do IAB e o
private (4), sob o qual podem ser includas
informaes definidas por fabricantes
e desenvolvedores de equipamentos de
rede. As informaes includas abaixo
do n mgmt (2) devem estar presentes
nas MIBs de todos os equipamentos que
seguem o padro SNMP.
O ltimo nvel hierrquico da MIB
traz os ns que realmente contm dados
sobre os equipamentos que esto sendo
gerenciados. O termo apropriado para
designar o n que contm um dado sobre
o equipamento gerenciado objeto de
gerncia. O objeto ipInReceives, por exemplo, responsvel por registrar quantos
pacotes IP ingressaram nas interfaces
do equipamento monitorado at o momento. H objetos para os mais diversos
atributos, que cobrem desde medidas
de desempen ho como a quantidade
de bytes e pacotes que ingressaram no
equipamento at dados descritivos como

identificao e localizao do equipamento. Para acessar um


determinado objeto, seja para consultar ou para modificar
seu contedo, o gerente deve informar ao agente toda a cadeia hierrquica de ns que leva ao objeto em questo. Desta
forma, se o gerente deseja conhecer o valor atual do objeto
ipInReceives, ele deve requisitar esta informao passando
o identificador do objeto: 1.3.6.1.2.1.4.3. Cada nmero do
identificador corresponde ao nmero de um n que deve ser
percorrido pelo agente na hierarquia da MIB para chegar ao
objeto ipInReceives.

Figura 3. Operaes bsicas do SNMP

SNMP v1
A primeira verso do padro SNMP foi especificada em 1988
e ainda amplamente utilizada. Sua principal caracterstica
a simplicidade, que a razo pela qual esta verso to popular. Os seguintes documentos especificam a primeira verso
do SNMP:
RFC 1155, que define como devem ser especificados os objetos
contidos na MIB;
RFC 1213, que define a MIB padro para gerenciamento de
redes IP, denominada MIB-II. Este documento especifica quais
objetos de gerncia devem estar presentes em uma MIB de um
equipamento TCP/IP;
RFC 1157, que define o protocolo utilizado para comunicao
entre os gerentes e os agentes.

Figura 2. Estrutura hierrquica das MIBs


Para atender a questo da interao entre os gerentes e os
agentes, o SNMP especifica um protocolo que opera na camada
de aplicao da arquitetura TCP/IP. O protocolo utilizado na
camada de transporte o UDP, uma vez que este protocolo, ao
contrrio do TCP, dispensa o estabelecimento de conexo lgica
entre os dois pontos finais de comunicao, proporcionando
maior agilidade no transporte dos dados. A porta normalmente
utilizada pelo SNMP a 161. O SNMP disponibiliza trs operaes bsicas de interao entre agente e gerente, conforme
apresentado na Figura 3. A operao get permite que o gerente
requisite um determinado dado disponvel na MIB do agente.
A operao set utilizada para que o gerente requisite que um
novo valor seja atribudo a um determinado objeto presente na
MIB do elemento gerenciado. Por fim, a operao trap permite
que o agente notifique o gerente sobre a ocorrncia de algum
evento importante no elemento monitorado.

O SNMPv1 segue estritamente a arquitetura gerente-agente,


na qual um nico gerente responsvel por gerenciar todos os
elementos da rede. O SNMPv1 permite as seguintes operaes de
interao entre o gerente e o agente:
GetRequest: este comando utilizado pelo gerente para requisitar
o valor de um determinado objeto ao agente;
GetNextRequest: este comando uma variao do GetRequest,
utilizada para percorrer a hierarquia da MIB;
SetRequest: este comando permite que o gerente atribua um
novo valor para um determinado objeto. O objeto sysLocation,
por exemplo, utilizado para que seja cadastrada a localizao
do equipamento gerenciado. Caso o equipamento seja mudado
de lugar, o gerente pode enviar um comando SetRequest para o
agente pedindo que a nova localizao seja atribuda ao objeto
sysLocation;
G
etResponse: a resposta dada pelo agente para os comandos
GetRequest, GetNextRequest e SetRequest enviados pelo gerente;
Trap: uma notificao enviada pelo agente para o gerente que
informa a ocorrncia de algum evento no esperado como uma
falha em um enlace ou um reboot do equipamento.
Na primeira verso do SNMP, os objetos da MIB podem assumir
os seguintes tipos:
NetworkAddress: tipo utilizado para objetos que vo receber
endereos IPv4;
Counter: representa um nmero inteiro no negativo que pode
ser incrementado, mas no pode ser decrementado. O objeto ifIn
Octets, que registra a quantidade de bytes que ingressaram em
uma determinada interface, do tipo Counter;

Edio 07 Infra Magazine

41

SNMP Simple Network Management Protocol

G
auge: representa um nmero inteiro no negativo que pode
ser incrementado ou decrementado. O objeto tcpCurrEstab, que
registra a quantidade de conexes TCP ativas no momento, do
tipo Gauge;
Timeticks: representa um inteiro no negativo que conta o tempo
em centsimos de segundo a partir de um determinado momento.
O objeto sysUpTime, que registra o tempo percorrido desde quando
o equipamento foi ligado pela ltima vez, do tipo Timeticks;
Opaque: permite a atribuio de formatos binrios especficos a
um determinado objeto.
importante fazer mais uma observao com relao a objetos
do tipo Counter. Iniciantes em SNMP frequentemente apresentam
dificuldade em tratar estes objetos para obter sries temporais, as
quais so bastante importantes quando queremos acompanhar
indicadores de desempenho. Ao medir o trfego em bytes de uma
determinada interface para construir a srie temporal, por exemplo,
o administrador pode desenvolver uma rotina que busque o valor
do objeto ifInOctets de 10 em 10 segundos. O problema que, muitas
vezes, a rotina programada para coletar o valor presente no objeto
e assumir que ele representa o trfego nos ltimos 10 segundos, o
que no correto. Um objeto do tipo Counter incrementado continuamente com os novos valores que so medidos. Se s 10:50:15
o ifInOctets retornou um valor igual a 1.200.560 bytes e s 10:50:25,
em uma nova coleta, o ifInOctets retornou um valor igual a 1.300.000
bytes, isso quer dizer que 99.440 bytes ingressaram na interface no
intervalo de 10 segundos. O gerente pode ento registrar que, neste
momento, o trfego de ingresso da interface era de 9.944 bytes/s.
Uma das principais crticas realizadas ao SNMPv1 tem relao
com a segurana. Para que um gerente possa acessar os dados
de um agente, basta que ele conhea um atributo do agente
denominado comunidade. O Windows 7, por exemplo, tem um
agente SNMP implantado. Por meio deste agente, possvel que
um gerente monitore diversos objetos do equipamento no qual
o Windows 7 est instalado. A Figura 4 mostra a tela na qual
possvel configurar a segurana do agente SNMP no Windows 7.
Podemos observar que h comunidades cadastradas com os respectivos direitos de acesso de cada uma delas. O gerente que fizer
uma requisio ao agente utilizando a comunidade1, por exemplo,
poder apenas ler valores dos objetos do agente. Em resumo, para
que um gerente envie uma requisio a um agente SNMP, ele precisa conhecer apenas o endereo IP do elemento monitorado, a porta
que est sendo utilizada pelo servio e o nome da comunidade.
A soluo para este problema de segurana est implantada no
SNMPv3, que ser apresentado mais adiante neste artigo.

SNMP v2
A primeira verso do SNMP foi proposta no final da dcada de 80
como uma soluo provisria que seria substituda posteriormente
pelo CMIP. Entretanto, a transio entre o SNMP e o CMIP no
seria simples, pois as especificaes da SMI e da MIB no eram
compatveis com a estrutura complexa de objetos que havia sido
projetada para o CMIP.

42 Infra Magazine Edio 07

Figura 4. Tela de configurao de segurana de agente SNMPv1 no Windows 7


Quando o SNMP passou a ser utilizado em larga escala, alguns
problemas comearam a ser detectados. O primeiro problema
estava relacionado segurana. No era possvel autenticar a
estao que tinha enviado a requisio ao agente. O conceito
de comunidade utilizado para prover segurana era bastante
vulnervel. Como o trfego SNMP no era cifrado, um atacante
poderia interceptar os pacotes que trafegavam sem qualquer
proteo e descobrir o nome da comunidade. De posse deste
nome de comunidade, o atacante poderia passar a acessar o
agente SNMP legitimamente. Consequentemente, muitos fabricantes no implementaram a operao set em seus equipamentos.
Outro problema do SNMPv1 tinha relao com o desempenho.
A busca por dados realizada por meio da operao GetRequest
era ineficiente em situaes nas quais o gerente necessitava de
vrios dados de uma nica vez, j que era necessrio enviar uma
requisio para cada dado que se desejava buscar. Tendo em vista
estes problemas e o fato de que o SNMP tinha deixado de ser
um protocolo provisrio para se tornar um padro amplamente
adotado por toda a indstria, os pesquisadores passaram a trabalhar em uma nova verso do SNMP, que foi lanada no incio
de 1993. Em 1996, o IETF determinou uma reviso no SNMPv2.
As solues de segurana especificadas em 1993 no haviam
sido bem recebidas pela indstria e acabaram sendo eliminadas
do SNMPv2 nesta reviso. A Tabela 1 traz a lista de RFCs que
compem o SNMPv2 aps a reviso de 1996.
Trs mudanas principais foram, ento, consolidadas no
SNMPv2. A primeira delas a comunicao entre gerentes. Foi
criada uma nova operao denominada InformRequest, que permite
que um gerente notifique outro gerente sobre eventos inesperados
ou importantes que ocorreram em sua rede. A segunda principal
mudana a criao da operao GetBulkRequest, que permite que
o gerente requisite um grande volume de dados ao agente sem ter
de enviar vrias requisies. A terceira mudana tem relao com
a SMI. Na SMIv1, o tipo Counter era limitado a 32 bits, causando

dificuldades principalmente quando ele era usado em objetos


que monitoravam interfaces com trfego intenso. Na SMIv2, foi
introduzido um tipo Counter de 64 bits.
Nmero do RFC

Ttulo

1901

Introduction to Community-Based SNMPv2

1902

Structure of Management Information (SMI) for SNMPv2

1903

Textual Conventions for SNMPv2

1904

Conformance Statements for SNMPv2

1905

Protocol Operations for SNMPv2

1906

Transport Mappings for SNMPv2

1907

Management Information Base for SNMPv2

1908

Coexistence Between Version 1 and Version 2 of the


Internet-Standard Network Management Framework

Tabela 1. RFCs do padro SNMPv2

SNMP v3
Aps a reviso do SNMPv2 realizada em 1996, as discusses com
relao segurana do protocolo continuaram. No incio de 1998,
ento, o IETF publicou os RFCs 2271, 2272, 2273, 2274 e 2275, que
definem o SNMPv3. O principal destaque da verso 3 do SNMP
a introduo de uma infraestrutura completa de segurana. Alm
disso, na verso 3, o SNMP foi formalizado como uma arquitetura
modular, que teve como objetivo facilitar a implementao do
SNMP. Ao definir uma arquitetura modular para o SNMP, os pesquisadores permitiram que ele fosse implementado parcialmente
pelos fabricantes, respeitando aqueles que desejam uma soluo
mais simples sem deixar de atender aqueles que necessitam de
uma soluo mais complexa.
A infraestrutura de segurana do SNMPv3 composta por dois
elementos: o USM (User-Based Security Model) e o VACM (ViewBased Access Control Model).
O USM prov as seguintes funcionalidades:
Cifragem dos dados: o algoritmo DES utilizado para cifrar os
dados que so transmitidos por meio do SNMP, garantindo que
um agente mal intencionado, mesmo que intercepte os dados, no
consiga interpret-los;
Integridade da mensagem: o USM permite que o destinatrio
de uma mensagem SNMP verifique se ela foi modificada no
seu trajeto;
Autenticao: o USM permite verificar se um indivduo mal
intencionado est fingindo ser um agente legtimo para enviar
mensagens SNMP. No h mais o conceito de comunidade como
havia no SNMPv1. O usurio que pretende acessar um agente
SNMP passa a ser identificado por um nome de usurio e senha.
O VACM, por sua vez, permite que seja controlado o acesso aos
recursos gerenciados. Por meio do VACM, podem ser criados
grupos que tm diferentes permisses de acesso aos objetos da
MIB. Alm disso, podem ser estabelecidos diferentes nveis de segurana para diferentes grupos que pretendem acessar os recursos
gerenciados. Entre os nveis de segurana disponveis temos:

No authentication and no privacy: neste nvel de segurana, as


mensagens SNMP no so cifradas e nem autenticadas;
Authentication and no privacy: neste nvel de segurana, as mensagens SNMP so autenticadas, mas no so cifradas;
Authentication and privacy: este o nvel de segurana mais alto,
no qual as mensagens SNMP so cifradas e autenticadas.

MIB-II
A MIB-II foi definida no RFC 1213 e a MIB padro para o
gerenciamento de equipamentos TCP/IP. Esta MIB possui 171
objetos divididos em 10 grupos:
system: agrupa objetos com informaes gerais sobre o elemento
que est sendo gerenciado;
interfaces: agrupa objetos com informaes sobre as interfaces
do elemento que est sendo monitorado;
a t (address translation): agrupa objetos que trazem a traduo de
endereos IP para endereos fsicos
ip: agrupa objetos que trazem informaes relacionadas operao do protocolo IP no elemento gerenciado;
i cmp: agrupa objetos que trazem informaes relacionadas
operao do protocolo ICMP no elemento gerenciado;
tcp: agrupa objetos que trazem informaes relacionadas
operao do protocolo TCP no elemento gerenciado;
udp: agrupa objetos que trazem informaes relacionadas
operao do protocolo UDP no elemento gerenciado;
egp: agrupa objetos que trazem informaes relacionadas
operao do protocolo EGP no elemento gerenciado;
dot3: agrupa objetos que trazem informaes sobre os meios
fsicos de transmisso utilizados pelo elemento gerenciado;
snmp: agrupa objetos que trazem informaes relacionadas
operao do protocolo SNMP no elemento gerenciado.
Para evitar que o envio de requisies SNMP sobrecarregue a
rede, o administrador de rede deve ser cauteloso quanto quantidade de objetos SNMP que ele monitorar constantemente. Dentre
os 171 objetos disponibilizados na MIB-II, possvel escolher
objetos que sejam mais teis no dia a dia do gerenciamento.
No grupo system, h objetos interessantes para apoiar a gerncia
de configurao da rede como o sysDescr, que armazena uma descrio do sistema monitorado, o sysLocation, que traz a localizao
do elemento, o sysContact, que traz o contato do responsvel pelo
elemento e o sysName, que armazena o nome do elemento de rede.
Ainda no grupo system, h o objeto sysUpTime, que permite que o
administrador de rede verifique h quanto tempo o sistema est
operando sem interrupes. Ao monitorar este objeto continuamente, o administrador pode verificar qual o tempo mdio que
o sistema opera sem interrupes. A diminuio neste tempo
mdio pode evidenciar defeitos no elemento monitorado, ajudando o administrador a tratar possveis problemas de maneira
preventiva.
No grupo interfaces tambm h diversos objetos teis. O objeto
ifOperStatus pode ser utilizado na deteco de falhas, pois permite
que o administrador verifique se uma determinada interface est

Edio 07 Infra Magazine

43

SNMP Simple Network Management Protocol

operando ou no. H, tambm, diversos objetos que podem ser


interessantes para monitorar o volume de trfego de uma determinada interface. Entre estes objetos temos o ifInOctets, que mostra
a quantidade de bytes recebidos pela interface, o ifOutOctets, que
mostra a quantidade de bytes que foram enviados pela interface,
o ifInDiscards, que mostra a quantidade de pacotes ingressantes
que foram descartados e o ifOutDiscards, que mostra a quantidade
de pacotes que foram descartados ao deixar a interface.
O grupo ip tambm traz uma srie de objetos que podem ser
utilizados para gerncia do trfego no equipamento. O objeto
ipInReceives mostra quantos pacotes IP foram entregues camada
de rede. O objeto ipInDelivers mostra quantos pacotes IP foram
processados com sucesso na camada de rede e entregues camada de transporte. O objeto ipInDiscards, por outro lado, mostra
a quantidade de pacotes que no puderam ser processados pela
camada de rede e foram descartados. Ainda h objetos que trazem
informaes mais detalhadas, como o ipHdrErrors, que mostra a
quantidade de pacotes descartados por problemas com o cabealho e o ipAddrErrors, que traz a quantidade de pacotes descartados
por problemas com o endereo IP do pacote.
O grupo tcp, por sua vez, traz uma srie de objetos com informaes interessantes para a gerncia do trfego de pacotes TCP e
das conexes TCP estabelecidas. Os objetos tcpInSegs e tcpOutSegs
trazem a quantidade de segmentos TCP que ingressaram e deixaram o equipamento, respectivamente. Os objetos tcpAttemptFails,
tcpEstabResets e tcpRetransSegs podem indicar a confiabilidade da
rede. O tcpAttempFails traz a quantidade de tentativas de conexo
que falharam. O tcpEstabResets informa o nmero de conexes
estabelecidas que foram reiniciadas. O tcpRetransSegs informa a
quantidade de segmentos TCP que foram retransmitidos. H ainda
os objetos que monitoram o nmero de conexes ativas e passivas:
tcpActiveOpens e tcpPassiveOpens. Um crescimento elevado e rpido
no nmero de conexes estabelecidas em um elemento que contm
um servidor HTTP, por exemplo, pode indicar uma tentativa de
ataque de negao de servio. O grupo udp tambm rene objetos
que podem prover informaes importantes para a gerncia do
trfego no elemento monitorado. Os objetos udpInDatagrams e
udpOutDatagrams retornam a quantidade de datagramas UDP que
ingressaram e deixaram o equipamento, respectivamente.

Concluso
As redes IP tm sido utilizadas para disponibilizao de servios
diversificados e importantes para o cotidiano das pessoas e das
organizaes. Com isso, fundamental que as redes IP sejam
seguras, confiveis e apresentem alta disponibilidade. Um dos

44 Infra Magazine Edio 07

caminhos para que estes requisitos sejam atendidos a adoo do


padro de gerncia para redes IP, conhecido como SNMP.
O SNMP foi lanado pelo IETF em 1988. Sua principal caracterstica era a simplicidade, pois o objetivo do IETF era que ele fosse
implementado com rapidez pelos fabricantes que sentiam falta de
um padro para gerenciar as redes IP. O SNMP foi criado como
uma soluo provisria, que seria substituda em longo prazo
pelo CMIP, um padro construdo pela ISO que era bem mais
sofisticado e complexo que o SNMP. Contudo, o SNMP, desde o
seu lanamento, foi amplamente adotado pelos fabricantes, que
depois no demonstraram desejo de troc-lo por outro padro
mais complexo como o CMIP. Desde ento, foram lanadas mais
duas verses do SNMP: a verso 2 foi lanada em 1993 e a verso
3 foi lanada em 1998. Ambas buscaram solucionar questes de
desempenho e segurana que no haviam sido bem tratadas na
verso 1 e que passaram a merecer mais ateno assim que o SNMP
passou a ser adotado em massa pelos fabricantes de equipamentos e softwares de rede. Mesmo com o lanamento das verses
2 e 3, a simplicidade presente na verso 1 nunca deixou de ser a
principal caracterstica do SNMP, que ainda hoje o protocolo de
gerncia mais utilizado em redes IP. A expectativa para o futuro
que, mesmo que seja acompanhado por outros padres como o
IPFIX (IP Flow Information Export), o SNMP continue sendo um
dos principais pilares da gerncia de redes IP.
Bruno Bogaz Zarpelo
brunozarpelao@gmail.com
Bacharel em Cincia da Computao pela Universidade Estadual de
Londrina (UEL) e doutor em Engenharia Eltrica pela Universidade
Estadual de Campinas (UNICAMP). Atualmente pesquisador no Laboratrio de Redes de Comunicaes da Faculdade de Engenharia Eltrica
e de Computao da UNICAMP. Atua tambm como pesquisador associado no Next
Generation Networks and Applications Group (NetGNA) da Universidade da Beira Interior
em Portugal e como professor do curso de especializao em Redes de Computadores da
UEL. Possui experincia de sete anos em pesquisa e desenvolvimento de solues para
gerncia de redes de computadores, governo eletrnico e cidades digitais.

IETF Request for Comments (RFCs)


http://www.ietf.org/rfc.html.
Livro SNMP, SNMPv2, SNMPv3 and RMON 1 and 2, escrito por
William Stallings
Editora Addison Wesley, 3. edio, 1999.
Livro Essential SNMP, escrito por Douglas Mauro e Kevin Schmidt
Editora OReilly, 2. edio, 2001.

Introduo CDN
Content Delivery
Network
O que e que vantagens ela pode trazer para sua
empresa

ontent Delivery Networks (CDNs) esto em uso


no mundo h mais de 15 anos e hoje aceleram
aplicaes para quase todos os usurios da
internet, na maioria dos casos, sem que eles saibam.
O resultado de tudo isso que mais de 30% do trfego
da Internet passa pelas CDNs.
Entre 1995 e 1998, o conceito e algoritmo das CDNs foram criados em um projeto acadmico no Massachusetts
Institute of Technology (MIT). Desde ento, a internet
multiplicou sua importncia e hoje ele est presente em
todos os aspectos de nossas vidas. Com a demanda dos
usurios por desempenho cada vez maior, a CDN tornouse uma necessidade para grandes empresas na internet.
No Brasil, as CDNs ainda so relativamente desconhecidas do pblico, mas so largamente utilizadas
em alguns ramos como e-commerce, mdia e entretenimento, portais de notcias e grandes empresas em geral,
que querem proporcionar uma experincia superior aos
clientes e usurios de seus websites. sobre este assunto
que abordaremos neste artigo.

Mas o que Content Delivery Network?


Antes de respondermos a essa pergunta, vamos entender um pouco mais sobre o problema de performance
da internet.
A internet uma rede de redes, e para ter acesso a ela,
o usurio paga para um provedor de internet, que tem
a sua prpria rede. O provedor, por sua vez, precisa se
conectar com as outras redes da internet, o que feito
atravs de contratos comerciais, os chamados contratos
de peering. Esses contratos, e os termos monetrios definidos neles, o que determinam como o trfego dos
usurios da rede ser roteado.

Resumo DevMan
De que se trata o artigo:
Content Delivery Network um grande sistema distribudo de servidores instalados em mltiplos datacenters ao redor do mundo. O objetivo principal das CDNs prover distribuio de contedo online com
alta performance, disponibilidade e segurana aos usurios finais.

Em que situao o tema til:


As Content Delivery Networks tm utilidade em diversas reas: websites
em geral (e-commerce, site de notcias etc.), acelerao de aplicaes
corporativas na internet (Internet Banking, sites B2B, Setor Pblico etc.),
segurana de aplicaes web e entrega de vdeo e downloads pela
internet.

Introduo CDN Content Delivery Network:


Neste artigo sero apresentadas as principais caractersticas das CDNs
Content Delivery Networks. Ser explicado como elas funcionam, assim
como as vantagens tcnicas e de negcios no uso desse tipo de rede.
Tambm ser apresentada uma comparao das CDNs tradicionais com
Cloud Computing. Por fim, ser analisado um estudo de caso da rede da
Akamai e como ela funciona.

Portanto, alm de o usurio poder estar topolgica e fisicamente


longe do servidor que ele pretende acessar, sua performance ser
impactada devido ao fato de que os roteadores esto programados
para economizar dinheiro para as operadoras no caminho e no
necessariamente para melhorar a performance da comunicao.
Esse problema ainda mais intensificado no Brasil e na Amrica
Latina, onde as grandes operadoras fazem contratos de peering
muito limitados, e uma grande parte da troca de contedo entre
elas acontece em redes de interconexo nos Estados Unidos, j que o

Edio 07 Infra Magazine

45

Introduo CDN Content Delivery Network

custo para as operadoras se conectarem a essas redes baixo e elas


evitam trocar dados diretamente devido concorrncia. A Figura 1
mostra uma representao mais realista e detalhada da internet e
o caminho que os pacotes de dados devem percorrer para chegar
do usurio final at o servidor de origem da aplicao.

Figura 2. CDNs aproximam o usurio dos servidores

Nota do DevMan 1
Figura 1. Distncia e peering no otimizados geram performance insatisfatria
Alm do problema de interesse financeiro, o BGP (Border Gateway
Protocol), criado para uso nos roteadores da internet, no leva em
considerao a carga de uma rota. Ou seja, mesmo que a rota esteja
extremamente congestionada, o protocolo ainda enviar pacotes
por aquele caminho, causando ainda mais congestionamento,
perda de pacotes e piora da performance. Alm disso, o algoritmo
BGP ainda fica sujeito perda de rotas acidentais ou, efetivamente,
a roubos de rotas. Veja na seo Links um artigo explicando essa
vulnerabilidade do BGP mais detalhadamente.

Como a CDN resolve o problema de desempenho da internet?


Content Delivery Network uma rede distribuda, com servidores hospedados dentro dos provedores de internet ao redor do
mundo. Assim, quanto maior o nmero de servidores e mais distribuda for a rede, melhor a qualidade da CDN para os usurios
finais (Figura 2). A ideia bsica desta tecnologia que o usurio
servido por um servidor prximo e, portanto, com latncia, taxa
de erros e reenvio muito menores. Para contedos transacionais
ou individualizados, como um carrinho de compras ou um extrato
de conta, o servidor da CDN ainda precisa buscar a informao
no servidor de origem da aplicao, mas geralmente usando mtodos otimizados para atravessar a internet, como uso de rotas
alternativas e otimizao da camada TCP.
Todo esse processo acontece de forma transparente para o usurio final, e normalmente feito no nvel de DNS. A empresa que
contrata uma Content Delivery Network redireciona os usurios
para o servidor de DNS da CDN via um registro cname (canonical
name ver Nota do DevMan 1). A partir da, o DNS da CDN passa
a ser o responsvel por eleger o servidor com a melhor performance para servir quele determinado usurio.

46 Infra Magazine Edio 07

CNAME Record, ou Canonical Name Record, um tipo de registro DNS que especifica que o domnio
um sinnimo de outro domnio. O registro mais comum de DNS o registro A, que mapeia um
hostname a um endereo IP. O registro CNAME mapeia um hostname a outro, permitindo a delegao
da resoluo do nome a outro servidor DNS.

Vantagens para a empresa em usar uma CDN


As CDNs melhoram a performance das aplicaes web para o
usurio, mas o que uma empresa ganha em adotar uma soluo
como esta? Em suma, a empresa obtm benefcios como aumento
de receita, reduo de custos e otimizao de investimento em
tecnologia.
A seguir descrevemos essas vantagens com mais detalhes:
Melhor desempenho aumenta o uso do site e a receita. Qualquer que seja o modelo de negcios da empresa, atrair e reter mais
usurios sempre abre a possibilidade de maiores receitas. Para
sites de e-commerce, a vantagem a mais clara possvel. Quanto
mais satisfeito o usurio estiver, maior ser o tempo que ele passar navegando pelo site e maior ser a taxa de converso desses
usurios em vendas. A concorrncia no mercado de e-commerce
est muito acirrada no Brasil e cinco segundos que a pgina leva
para carregar pode ser suficiente para que o usurio abra uma
nova janela e busque o produto com a concorrncia.
Para sites de mdia, entretenimento e notcias, a melhor performance aumenta, no mnimo, a receita com propaganda. Isso sem
falar de sites com modelos de negcios onde os usurios pagam
para ter acesso ao contedo. Nesse tipo de modelo, os usurios
so ainda mais exigentes e no admitem um desempenho ruim.
Um bom exemplo desse tipo de contedo pago so os sites de
streaming de filmes e seriados. Como o usurio paga para assistir
esse contedo, ele espera um servio imediatamente disponvel e
com imagem e som de alta definio;
E
scalabilidade. As Content Delivery Networks proporcionam
capacidade global sob demanda sem a necessidade de provisionamento exagerado ou de datacenters redundantes. A adoo

de uma soluo de CDN permite empresa atender os picos de


acessos, sejam eles dirios, semanais, mensais ou peridicos (por
exemplo, perodo de vendas do Natal ou eventos esportivos).
Essa escalabilidade obtida sem a necessidade de hardware
extra, que seria subutilizado posteriormente ao perodo de pico.
Novamente, quanto maior e mais distribuda for a rede, mais
escalvel ela ser;
O
ffload. Cada contedo (imagem, JavaScript, HTML etc.) encontrado no cache do servidor da CDN significa um hit a menos
no servidor de origem. Isso causa uma grande economia para a
infraestrutura da empresa com banda de conexo, servidores,
roteadores etc. Alm disso, como o servidor de origem acessado
somente pelos servidores da CDN quando necessrio, o nmero de
conexes que eles precisam suportar muito menor. Para trfego
HTTPS, em que uma grande quantidade de recursos utilizada
para criptografar e descriptografar o contedo, a CDN ainda prov
um offload adicional dessas tarefas;
Disponibilidade. Devido ao fato de ser uma rede distribuda e
de grande escala, a CDN dificilmente fica indisponvel. Inclusive,
algumas CDNs possuem SLAs (Service Level Agreement) altssimos
para disponibilidade. No entanto, alm da disponibilidade da
rede em si, a CDN ainda melhora a disponibilidade do site de
seus clientes. Como a CDN contm o cache do website, ainda
que esse esteja indisponvel em um determinado momento, os
usurios ainda podem utiliz-lo sem problemas, desde que no
sejam requisitadas partes transacionais do mesmo. Ainda assim,
para essas partes, possvel criar mensagens amigveis de erro,
para que o usurio tente novamente mais tarde. Isso ajuda na
proteo da marca e das receitas do site;
Reduo de custos. Alm do offload mencionado acima proporcionar economia com investimento em infraestrutura, a adoo de
CDN aumenta a utilizao do canal de comunicao com o cliente
mais barato para as companhias: a Internet. Empresas como bancos, provedoras de telefonia, utilidades, entre outras, tm diversos
canais de atendimento ao cliente. Normalmente, pelo menos trs:
internet, telefnico e fsico. O atendimento pela internet sempre
o que apresenta o menor custo para a empresa, porm, quando
o website muito lento, o usurio se cansa de esperar e acaba
ligando ou indo a um posto de atendimento. Com um servio de
Content Delivery Network, a empresa pode diminuir o nmero
de clientes que usam os canais mais caros e permite empresa
crescer sem a necessidade de novos investimentos em estrutura
de atendimento;
Segurana. Um dos tipos de ataques mais comuns a propriedades na internet atualmente o DDoS Distributed Denial of
Service. Ele consiste em atacar um site de maneira distribuda
com uma quantidade massiva de requisies com o intuito de
indisponibilizar o sistema. Esse tipo de ataque ficou muito
conhecido recentemente com a atividade do grupo Anonymous
e similares.
Quando o site est em uma CDN, um ataque ir, na verdade,
atingir CDN. Entretanto, para alguns ataques, somente o fato de
a CDN tambm ser distribuda j resolve o problema, j que cada

servidor absorve parte do trfego. Mesmo assim, ainda que algum


servidor da CDN venha a cair, a rede e o sistema como um todo
continuar disponvel para os usurios efetivos do sistema.
Alm disso, a maioria das CDNs oferece outros servios de
segurana, como firewall de camada trs e sete, trfego via SSL,
autenticao etc.
Adoo de ferramentas de trabalho. No mundo atual, muitas
empresas tm a sua equipe distribuda geograficamente. Desse
modo, usurios espalhados pelo pas e pelo mundo necessitam
usar aplicaes como se estivessem no escritrio. Isso se torna
ainda mais importante no cenrio de SaaS (Software como um
Servio), em que a aplicao est hospedada em um provedor na
nuvem e todos os usurios do sistema so remotos.
A utilizao de Content Delivery Network para acelerao de aplicaes web permite que as empresas consigam uma maior adoo
de suas ferramentas entregues atravs da internet, melhorando os
processos e aumentando a produtividade de seus funcionrios.

CDN Cloud Computing?


No exatamente. As CDNs tm algumas caractersticas de
Cloud Computing, como: contratao como servio (SaaS),
recursos compartilhados e instalao e configurao na nuvem.
Entretanto, as CDNs se diferenciam por no serem um substituto
para o servidor de origem da aplicao. A ideia principal da
CDN acelerar a aplicao na internet e, portanto, usar a mesma
infraestrutura j existente de forma mais inteligente. O Cloud
Computing, por outro lado, oferece s empresas a alternativa
de hospedar uma aplicao web em datacenters na nuvem, ao
invs de prprios.
Inclusive, as CDNs funcionam muito bem com Cloud Computing:
SaaS (Software as a Service), PaaS (Platform as a Service) e IaaS
(Infrastructure as a Service). Em uma arquitetura conjunta, por
exemplo, a aplicao hospedada em um provedor de Cloud
Computing e acelerada com uma Content Delivery Network.

Estudo de caso: como funciona a soluo da Akamai


Para entender a arquitetura de uma CDN com mais detalhes,
vamos apresentar e estudar como funciona a rede da Akamai,
que foi a empresa pioneira e atualmente a lder do mercado de
CDN no Brasil e no mundo.
A Figura 3 mostra o fluxo de uma requisio HTTP para um
domnio acelerado com a Akamai. Os passos realizados neste
processo so:
1. O usurio digita www.exemplo.com.br no browser e este requisita
o endereo IP de www.exemplo.com.br ao servidor de DNS local.
Como este domnio tem um CNAME para a Akamai, a requisio
encaminhada ao servidor de DNS da Akamai, que retorna o
endereo IP do servidor da Akamai com a menor latncia para
esse usurio;
2. O browser faz a requisio HTTP ao servidor web da Akamai;
3. O servidor da Akamai monta a pgina a partir do cache ou
acessando o servidor de origem do cliente, se necessrio. Por fim,
a pgina HTML retornada ao usurio.

Edio 07 Infra Magazine

47

Introduo CDN Content Delivery Network

Figura 3. Fluxo de uma requisio HTTP na Akamai


Uma vez que o cname esteja configurado e o trfego HTTP dos
usurios do site esteja passando pela rede da Akamai, otimizaes
em diversas camadas de rede so possveis e executadas em favor
do cliente, conforme explicado na Tabela 1.
Camada de Rede

Caractersticas

IP/ Roteamento

Mapeamento Dinmico
Otimizao de Rotas - SureRoute

TCP / Transporte

Deteco automtica de Falha


Offload de conexes
Otimizao da camada de transporte (TCP)

HTTP / Protocolo

Compresso de dados
Cache na Borda

HTML / Apresentao

Busca antecipada (Prefetch) de objetos


Leitura e otimizao de JavaScript

Tabela 1. Melhorias de performance em cada camada de rede


A seguir, cada uma dessas melhorias de performance descrita:
Mapeamento Dinmico: a funcionalidade de eleger um servidor de borda na rede da Akamai que tenha a melhor performance
para um determinado usurio. o que prov a distribuio caracterstica das CDNs;
Otimizao de Rotas SureRoute: a rota otimizada para
acessar o servidor de origem da aplicao do cliente. De tempos
em tempos, a rede da Akamai roda testes entre os servidores de
borda e a origem do cliente usando trs caminhos: o direcionado
pelo BGP (Border Gateway Protocol) e outras duas rotas passando
por servidores da Akamai em pontos com boa conexo. A melhor
dessas rotas escolhida e usada para comunicao at que outro
teste acontea;
Deteco automtica de falha: Se a rota determinada pelo
SureRoute passar por algum problema antes que um novo teste
seja executado, a rede automaticamente passar a usar o caminho

48 Infra Magazine Edio 07

com a segunda melhor performance, evitando que um problema


em alguma rede afete os usurios do site;
Offload de conexes: Os browsers modernos abrem entre seis e
oito conexes TCP com o servidor web. Quando o site est com a
Akamai, essas conexes so abertas com os servidores de borda e
no com o servidor web de origem. A origem vai receber conexo
somente dos servidores da Akamai. Alm disso, as conexes abertas pela Akamai sero persistentes e reutilizadas para diferentes
usurios, diminuindo ainda mais a carga na infraestrutura do
cliente;
Otimizao da camada de transporte (TCP): O protocolo TCP
(Transmission Control Protocol) foi criado em 1974, quando a qualidade da internet era muito menor. O TCP controla o estabelecimento
de conexes entre mquinas de origem e destino, a taxa de transmisso de pacotes entre as duas, a deteco de perda de pacotes
e algoritmos de recuperao. A Akamai capaz de otimizar
janelas de conexo, ajustar timeouts e algoritmos de recuperao
de perdas, maximizar o uso de conexes persistentes e controlar
outros aspectos do protocolo para melhorar o desempenho do site.
Em ltima anlise, estas otimizaes maximizam a performance
entre os servidores de borda da Akamai e o servidor de origem;
Compresso de dados: Os browsers atuais conseguem receber e
interpretar contedo compactado, porm a maioria das empresas
no tira proveito dessa funcionalidade por falta de conhecimento, falta de recursos de processamento na origem ou devido ao
trabalho envolvido para implementar uma lgica que faa a compactao somente para browsers que suportam receber contedo
compactado. Com o servio da Akamai, o cliente pode servir o
contedo sem compactao, o servidor Akamai que recebe esse
contedo o compacta e o servidor de borda decide se entrega o
contedo compactado ou no, baseado no tipo e verso do browser
que solicitou;
Cache na Borda: a funcionalidade que permite armazenar o
contedo de um site no servidor de borda da rede Akamai, ou seja,
o mais prximo possvel do usurio final. Quando o contedo no
est no cache, o servidor de borda busca na origem. A partir da,
para as prximas requisies, o contedo servido dos servidores Akamai e a origem fica livre de ter que responder por essas
requisies. importante observar que no s contedo esttico
pode ser cacheado. Pginas dinmicas, montadas por aplicaes
com consultas a banco de dados tambm podem ser cacheadas,
desde que no tenham nenhum dado pessoal. Mesmo nesses
casos, h formas de cachear partes da pgina e deixar sem cache
somente o contedo pessoal. A vantagem de cachear tambm as
pginas dinmicas que essas requisies que fazem consultas a
banco de dados so as mais caras computacionalmente, isto ,
no somente se usa banda para responder, mas tambm recursos
dos servidores web, de aplicao e de banco de dados. Sem falar
em ataques que exploram URLs que buscam contedos dinmicos justamente para sobrecarregar a origem com processamento.
O cache dessas URLs ajuda a amenizar esses tipos de ataques;
Busca antecipada (Prefetch) de objetos: o mecanismo que
se passa no servidor de borda da Akamai quando uma pgi-

na HTML requisitada pelo browser do usurio. Quando o


servidor de borda busca a pgina no servidor de origem, antes
de enviar a resposta com a pgina ao browser, o servidor analisa
o HTML e busca por imagens, JavaScripts, Cascade Style Sheets
(CSS) etc. Enquanto envia a pgina ao browser, o servidor busca
esses objetos na origem, quando eles no esto em cache. Dessa
forma, quando o browser recebe o HTML e comea a pedir pelos
objetos internos, o servidor de borda j os tem e pode servir sem
necessidade de buscar na origem;
Leitura e otimizao de JavaScript: Da mesma forma que o
HTML analisado em busca de links para objetos, os JavaScripts
tambm so. Quando h links para objetos dentro do JavaScript,
esses objetos tambm sero baixados para o servidor de borda da
Akamai quando o JavaScript passar pelo servidor.
Todas essas caractersticas permitem que a Akamai fornea um
Service Level Agreement (SLA) de melhora de pelo menos 50% na
performance do website, quando comparado com a performance
da aplicao servida de maneira centralizada. Esse SLA de performance se soma ao de disponibilidade da rede: 100% disponvel
por SLA, o que possvel graas grande escala e distribuio
da rede da Akamai.
Essa a soluo para acelerao de websites dinmicos
(Dynamic Site Accelerator). Alm dela, as CDNs tambm tm outras
aplicaes: entrega de vdeo, acelerao de aplicaes, segurana,
entre outras. A base das outras solues a mesma. A diferena
est na camada de aplicao, onde h diferentes tratamentos para
cada necessidade.

Concluso
As CDNs esto aqui para ficar. A demanda por alto desempenho por parte de usurios est mudando a maneira de investir
em websites. A escalabilidade, offload e segurana que as CDNs
agregam permite um investimento mais inteligente em recursos
de TI, bem como garante a disponibilidade do site em momentos
de alto trfego e receita para a empresa.

Do ponto de vista tcnico, em uma aplicao web, as CDNs


visam otimizar a performance na camada de rede, ao invs do
foco usual em aprimorar o desempenho de processamento da
aplicao. As CDNs focam na otimizao quando o gargalo est
na transmisso da informao depois que o contedo sai do
servidor web at chegar ao usurio. Com sua rede distribuda,
as CDNs resolvem esse problema de uma maneira que nenhuma
arquitetura de software pode resolver: estando perto leia-se,
com baixa latncia dos usurios.
Essas melhorias so potencializadas nas CDNs que tm uma
rede grande e bem distribuda. Todas as vantagens descritas nesse
artigo so possveis graas proximidade do servidor da CDN
ao usurio final. Com o acesso Internet crescendo no Brasil e
no mundo, fornecer uma performance aceitvel para aplicaes
web cada vez mais depender de estar prximo, inclusive topologicamente, dos usurios e dos clientes.

Alex Felipelli
alex.felipelli@akamai.com
Atua no ramo de tecnologia da informao, internet e dispositivos
mveis h mais de 15 anos. Engenheiro de Computao formado na
Escola Politcnica da Universidade de So Paulo. Senior Solutions Engineer
para a Amrica Latina na Akamai, Lder Global na rea de Content Delivery
Network e Acelerao de Aplicaes na Internet.

Especificao do registro CNAME


http://tools.ietf.org/html/rfc1034
Home Page da Akamai
http://www.akamai.com/
Artigo sobre a vulnerabilidade do protocolo BGP
http://www.wired.com/threatlevel/2008/08/revealed-the-in/

Edio 07 Infra Magazine

49

Introduo CDN Content Delivery Network

50 Infra Magazine Edio 07