REDE LOCAL CBPF A filosofia adotada para a estrutura da rede local do CBPF está baseada na segmentação das estações servidoras de rede, através da implementação de comutadores de rede. De acordo com as tecnologias atualmente disponíveis a solução adotada é baseada em duas características: "COLLAPSED BACKBONE" e "ETHERNET SWITCHING". A primeira consiste na concentração de todos os pontos de rede em único ponto, analogamente a uma topologia estrela. Neste ponto central da rede está situado o ETHERNET SWITCHING que multiplexa à alta velocidade os diferentes dados de uma estação a outra. Esta tecnologia permitirá, em uma primeira fase, dedicar a algumas estações da rede uma banda de comunicação livre de 10Mbps. Numa segunda etapa, a partir da evolução dos elementos ativos da rede, a taxa de transferência poderá atingir 100Mbps e permitirá neste instante o tráfego de informações em vídeo, som e textos. Estes elementos são configurados em racks do tipo SWITCHING-HUB. A parte ativa da rede consiste em 2 CHASSIS-HUBS, possuindo um barramento de alta velocidade (1.6Gbps). Cada um destes CHASSIS-HUBS contém 8 unidades ETHERNET-SWITCHING para conexões dos computadores de alta velocidade da rede, permitindo uma conexão de 140 usuários com canais dedicados de 100Mbs. Os servidores departamentais de microcomputadores e estações de trabalho foram alocados nas portas FAST-ETHERNET , assim como as estações com necessidades de alta velocidade de comunicação. O sistema de monitoramento é feito através de uma plataforma de gerenciamento gráfico dentro da própria estrutura da rede. Esta nova tecnologia de redes possibilitará um ganho real de performance, pois além de ganharmos em segmentação e disponibilidade da rede estamos ganhando também com a chegada de novas tecnologias eletrônicas que permitem hoje a comunicação de imagens e sons na rede com qualidade de serviço. Para a reestruturação da rede local do CBPF foi realizado um projeto de atualização dos equipamentos da nossa rede local, baseado em comutadores de alta performance, (Switch Engine Black Diamond - Extreme Networks) com 192 portas FastEthernet (100Mbps) para uso interno e 8 portas GigabitEthernet (1Gbps) para conexão externa e projetos especiais. Durante toda a operação de instalação foi necessária a parada total da rede interna. Com o objetivo de minimizar o impacto aos usuários finais, foi elaborado um cronograma de atividades, evolvendo toda equipe, limpeza do site, reestruturação e identificação de todo o cabeamento (cerca de 620 pontos/1240 conexões), rearrumação física e lógica dos diversos equipamentos, levantamento da base de dados (já efetuado), configuração dos equipamentos novos e antigos (já elaborada e testada, faltando apenas a implementação). Este trabalho foi realizado no mês de Outubro de 2001. Figura – Complexo de cabos relativo as conexões entre os equipamentos e a sala de usuários. Todos os cabos tem identificação primário-secundário. Figura – Site da Rede Local do CBPF. Equipamentos de Rede ao fundo e Estação servidora em primeiro plano. Figura – Estação SUN servidora de E-mail e estação HPC4000 para cálculo científico. Figura - Switch Layer 3 – Extreme Network – Modelo BlackDiamond 6816 – 192 portas FastEthernet – 8 Portas GbE. Assim sendo, a rede local do CBPF voltará a ter um patamar de confiabilidade, performance e estruturação que nos coloca como um nível de referência também na área de redes de computadores. Para melhorar a qualidade do serviço, a CAT adquiriu novos equipamentos como: Impressora HP Color LaserJet 4550 PS - possui excelente qualidade de impressão a cores sem comprometer a velocidade, calibragem automática da cor garantindo a consistência e alta qualidade cromática, excelente aspecto dos documentos: 4ppm para cor; 16 ppm para preto e branco, além de imprimir frente e verso da página. Figura – Impressora Laser-jet 4550 (duplex – print). Novo servidor Mesonpi – (http://mesonpi.cat.cbpf.br), funciona baseado no sistema operacional Windows 2000 Server e oferece serviço de armazenamento de dados (área pública e privada), ftp anônimo, gerência de filas de impressão, gerenciamento de equipamentos de rede, autenticação de usuários para acesso remoto (via linha discada) e é também o servidor protótipo de serviços multimídia da CAT. Nele está também instalado parte do serviço Web da coordenação, o serviço Web do Projeto Laboratório Virtual, do Projeto de Redes Metropolitanas de Alta Velocidades (REMAV) e a página do Mestrado de Instrumentação Científica do CBPF. Configuração: Processador Pentium III 1Ghz, 512M RAM, 2 HDs de 30 Gb SCSI, Array de Discos Scsi, 1 HD 10Gb IDE, Unidade de fita para backup. Novo servidor ADMINSERVER - utiliza plataforma Windows 2000 Server, permitindo o acesso de todos os usuários através de sua conta, bem como sua área pessoal de armazenamento. Possui placa de acesso ao serviço SERPRO(Attachmate-SDLC) que funciona com o software e-Vantage SNA Gateway para comunicação das demais estações de trabalho ao sistema SICAF. Novo servidor Ultra10 – é responsável pelo serviço de correio eletrônico e DNS (Domain Name System) da rede CBPF e utiliza plataforma Solaris2.8. PROJETOS Projeto de Medidas de Tráfego de Rede via Ntop Este projeto consiste em apresentar aspectos teóricos e práticos de uma atividade de monitoramento relacionada à medição do tráfego de rede do CBPF. A medição do tráfego e a apresentação dos resultados obtidos são apresentadas em formato web. Esses resultados possibilitam diagnosticar problemas que afetem o desempenho destas sub-redes. Com o auxílio do software Ntop, cada sub-rede será analisada individualmente em um determinado período de tempo. Finalizada a coleta de dados sobre o tráfego do CBPF, será feita uma comparação dos resultados obtidos de cada sub-rede. Protocolos de gerenciamento RIP e OSPF Este projeto iniciou com o estudo do modelo de camadas ISO/OSI e o conjunto de protocolos TCP/IP. Foram estudados os principais equipamentos utilizados em redes locais e metropolitanas (como: roteador, comutador e concentrador). No laboratório da CAT foram feitas simulações de diversos casos de redes com a utilização dos protocolos RIP e OSPF. Durante o desenvolvimento no laboratório, foi elaborado um ambiente Web (laboratório de redes - http://mesonpi.cat.cbpf.br/redes/labweb/ ) contendo as descrições dos experimentos, com o objetivo de ser posteriormente utilizado na cadeira de Redes de Computadores da pós-graduação do CBPF. Gerenciamento de alocação de Endereços IP’s (Tabela de IP’s) Foi desenvolvido um sistema de base de dados para gerenciamento dos endereços IP’s do domínio cbpf.br. (152.84.x.x). Esta tabela associa os pontos primários/secundário, usuário e endereços IP’s e MAC. Cluster de Computadores Este projeto consiste em ampliar e modernizar a capacidade computacional do CBPF, através da implantação de uma infra-estrutura de computadores dedicada ao cálculo científico. Há hoje um consenso dos usuários de grandes recursos computacionais do CBPF que do ponto de vista técnico este sistema deve ser capaz de processar em paralelo vários programas, permitir as interações entre eles, privilegiando mais a capacidade de processamento (velocidade do processador) que a capacidade de memória global do sistema. É importante ressaltar que a CAT ganhou no projeto Finep de infra-estrutura o valor de R$ 310.000,00 (trezentos e dez mil reais) para iniciar esta linha de atuação. Instituições científicas necessitam normalmente de um grande poder de cálculo. Diversos desafios científicos utilizam os mais modernos recursos computacionais como ferramental básico de processamento e análise de dados. O CBPF sempre utilizou de recursos computacionais, sendo no passado um dos grandes usuários de centros de processamento de alto desempenho, e também um forte colaborador no desenvolvimento de tecnologia de processamento paralelo. Com a proliferação das redes de computadores de alta velocidade é possível, e cada vez mais comum, a implementação de sistemas dedicado ao cálculo numérico em computadores do tipo pessoal (microcomputadores). O poder de processamento e o baixo custo relativo faz com que estes ambientes, conhecidos como “clusters”, tenham uma grande aceitação na área acadêmica. Estes ambientes modulares simplificam e barateiam o processo de atualização quando comparados com os antigos sistemas centralizados em uma única e poderosa máquina de cálculo. Figura - Idealização de Sistema de “Cluster de Computadores” - Projeto Finep O objetivo deste projeto é adquirir um sistema computacional, composto de estações de trabalho (microcomputadores) de última geração, com uso difundido no meio científico, com suporte e manutenção através de firmas de representação no país. O sistema operacional adotado é o Linux, que possibilita a utilização de diversos pacotes abertos e tem se mostrado bastante estável para implementação de “clusters” de computadores. Este ambiente seria constituído de uma estação servidora que seja capaz de gerenciar diversos nós independentes (em torno de 45), com capacidade de expansão e atualização e com um comutador de rede de alta velocidade. O sistema deve ser gerenciado por um único software de controle, fazendo com que o usuário o veja como um único computador. Estamos assim optando por um sistema de memória distribuída, onde cada processador acessa somente sua memória local. O ambiente de programação paralela estaria baseado em programas “open source” como o MPI (Interface de Passagem de Mensagens) e o PVM (Máquina Paralela Virtual) (http://www.netlib.org/pvm3/book/node17.html). A expansão e atualização deste sistema estará vinculada a projetos futuros, enquanto que a supervisão e manutenções de rotina seriam feitas por técnicos de nível superior já existentes na instituição. É importante ressaltar que, apesar de alguns pesquisadores ainda assim precisarem de recursos computacionais externos, como o acesso a centros de Supercomputação, todos os grupos de pesquisa do CBPF apóiam e utilizarão esta infra-estrutura computacional. Sun: Correio Eletrônico e Segurança da Rede Atualização do S.O. do parque de Estações Sun O CBPF conta com mais de 80 estações SUN em todo o seu parque computacional. Uma grande parte destas estações está sob gerência de domínio da CAT. Nos últimos anos foi visto uma crescente utilização do correio eletrônico, principalmente arquivos anexados aos e-mails. Neste período grande parte das estações foram atualizadas para o sistema operacional Solaris 2.8 assim como todos os “patches” existentes, garantindo maior segurança aos usuários da instituição. Foi também atualizado o serviço de envio de mensagens. Devemos ressaltar que esta é uma atividade continua e realizada sempre que uma nova vulnerabilidade a nossos sistemas é descoberta. Várias configurações foram alteradas no sistema, a fim de manter a segurança e a qualidade dos serviços da rede. Com objetivo de garantir uma maior eficiência, os serviços oferecidos pelo CBPF como: DNS (servidor de nomes), Web (servidor Internet), NIS (serviço de redes compartilhadas) e serviço de mail, agora convivem separadamente, ou seja, em máquinas próprias garantindo assim a eficácia dos sistemas. A Segurança da Rede no CBPF Durante este ano, como muitas outras instituições, o CBPF sofreu vários ataques de intrusos em sua rede. Foi estudada uma alternativa viável e de baixo impacto operacional para os usuários como solução e proteção a nossa rede local. Duas grandes medidas foram adotadas: • Criação de uma lista de acesso ao CBPF • Dentre as principais regras podemos citar: § Filtragem de endereços reservados por RFC’s que não devem ser aceita como endereços de entrada em nenhum pacote. § Permissão de acesso a portas clássicas como ftp, Web, telnet (filtra os outros acessos, principalmente os desconhecidos). § Filtragem de portas de “back-door”. § Filtragem de eventuais endereços classificados como Intrusos. • • Criação de uma estação PORTAL de acesso. A estação “positron.cat.cbpf.br” passou a ser a estação de entrada e saída para telnet’s externos ao CBPF. Nesta estação é criado um arquivo de log de todas as execuções de E/S do CBPF. O Serviço de Acesso Remoto (NAS) Este serviço foi atualizado e agora é implementado por um equipamento CISCO 3600, integrado na sub-rede IP 152.84.253.0 do CBPF. Neste equipamento existem disponíveis oito modems de 33Kbps oferecendo acesso a Internet a todos os usuários cadastrados do CBPF. A cada linha é permitida uma utilização ininterrupta de 5 horas. A gerência deste equipamento é feita remotamente através do pacote CiscoView. Serviço de Webmail Permite aos usuários acessarem suas mensagens eletrônicas diretamente de suas contas no servidor de correio eletrônico a partir de qualquer computador que possua um navegador capaz de visualizar páginas HTML, como o Netscape e o Internet Explorer. Este Webmail foi implementado à rede do CBPF através do programa IMP, um projeto Open Source (código aberto) desenvolvido pela comunidade da Internet inteiramente feito em linguagem PHP. O Webmail também faz uso de SSL (Secure Socket Layer) sobre o serviço de transporte de mensagens do servidor ao cliente, para promover de forma transparente ao usuário, encriptação de dados e evitar que terceiros se apropriem de mensagens e senhas de acesso. O objetivo deste projeto é demonstrar como este serviço contribui para a praticidade e o conforto do usuário, assim como para a segurança de suas mensagens. Segurança na Web O programa “hackerprotection” tem por objetivo verificar e manter a integridade de páginas HTML. Ele funciona comparando a data de criação do arquivo com a sua cópia de segurança. Caso haja alguma alteração na página oficial, o arquivo “.html” é automaticamente substituído por sua cópia de segurança e simultaneamente uma mensagem é enviada ao administrador avisando o ocorrido, podendo ser uma mensagem de página alterada por pessoas não autorizadas ou apenas página atualizada. Monitoração de Sistemas via Web Visando monitorar o que acontece nas redes, está sendo implantado um sistema que através da visualização de seus logs, trata esses arquivos e exibe as informações via Web. Desta forma é possível saber sobre tentativas de acesso a determinados serviços de nossa rede identificando de onde vem e quando tentam estas conexões. Com estas informações em tempo real é possível evitar “ataques” à rede local. A análise dos resultados apresentados permite aos administradores otimizar a performance do sistema e criar uma política preventiva de proteção a sua rede.