Diagnósticos
A forma como está estabelecida a estrutura de suporte de sua rede é tão importante quanto o tipo de equipamento utilizado. Ao contrário do que acontece com redes cabeadas, os problemas em redes sem fio são frequentemente invisíveis e podem requerer mais habilidade e tempo para seu diagnóstico e solução. Interferência, vento e novas obstruções físicas podem fazer com que um link, estável há muito tempo, deixe de funcionar. Este capítulo irá detalhar uma série de estratégias que o ajudarão na construção de uma equipe que irá dar o efectivo suporte à sua rede.
Montagem
Cada vila, empresa ou família possui indivíduos apaixonados por tecnologia. Eles são os que vemos a instalar um cabo de televisão, consertando um rádio ou colocando um novo acessório em uma bicicleta. Estas pessoas pela rede e buscarão aprender o máximo possível sobre ela. Mesmo que estas pessoas constituam-se em recursos inestimáveis, você deve evitar concentrar todo o conhecimento especializado sobre redes wireless em apenas uma pessoa. Caso seu único especialista perca o interesse ou encontre algum emprego melhor, ele levará todo o conhecimento com ele quando partir.
Podem existir também muitos adolescentes ou jovens adultos ambiciosos e interessados que dedicarão o tempo necessário para ouvir, ajudar e aprender sobre sua rede. Novamente, eles ajudam bastante e aprendem rapidamente, mas as pessoas que mais devem interessar à equipe de suporte são aquelas que poderão estar presentes nos próximos meses e anos. Os jovens partirão para universidades ou encontrarão empregos, especialmente aqueles mais ambiciosos que querem estar constantemente envolvidos no trabalho. Os mais jovens também costumam ter pouca influência na comunidade, enquanto os mais velhos são, normalmente, mais capazes de tomar decisões que afectam a rede de uma forma integral. Mesmo que estes tenham menos tempo para aprender e possam parecer menos interessados, seu envolvimento e aprendizagem adequada sobre o sistema pode ser crítico.
Por isso, uma estratégia-chave na construção de uma equipe de suporte é o equilíbrio e a distribuição do conhecimento entre aqueles melhor colocados para o suporte à rede por um longo período. Você deve envolver os jovens, mas sem deixar que eles capitalizem o uso ou o conhecimento dos sistemas. Encontre pessoas que estejam comprometidas com a comunidade, tenham raízes nela, possam ser motivados e então os ensine. Uma estratégia complementar é segmentar funções e tarefas, documentando toda a metodologia e processos. Desta forma, as pessoas podem ser facilmente informadas e substituídas com pouco esforço.
Por exemplo, num projecto a equipa seleccionou um jovem brilhante que se formou na universidade e que voltou à sua vila. Ele estava muito motivado e aprendeu rapidamente. Por causa disso, ele foi educado ainda mais do que havia sido feito anteriormente e era capaz de lidar com toda uma variedade de problemas desde consertar um PC até refazer um cabo Ethernet. Infelizmente, dois meses após o lançamento do projecto ele recebeu uma oferta de emprego do governo e deixou a comunidade. Nem mesmo um salário melhor poderia mantê-lo, uma vez que a perspectiva de estabilidade em um emprego no governo era muito atractiva. Todo o conhecimento sobre a rede e como dar suporte a ela partiu com ele. A equipa foi obrigada a recomeçar um novo processo educativo. A estratégia seguinte foi dividir funções e ensinar pessoas com raízes fixas na comunidade, pessoas com casas e filhos, já empregadas. O tempo consumido na educação destas pessoas foi três vezes maior do que aquele consumido para a preparação do jovem graduado, mas a comunidade irá reter este conhecimento por muito mais tempo.
Mesmo que isto pareça uma sugestão para que você mesmo seleccione os que devem estar envolvidos, esta não é normalmente a melhor ideia. Com rádio frequência, o melhor é encontrar uma empresa local parceira, ou um gerente local, que trabalhe no encontro da equipa técnica certa. Valores, história, política local e muitos outros factores são importantes para pessoas locais, enquanto são totalmente desconhecidos para as que não fazem parte da comunidade. O melhor é preparar seu parceiro local, fornecendo a ele bons critérios de selecção e estabelecendo limites. Estes limites podem incluir regras sobre nepotismo e favoritismo, ainda que estas regras devam considerar situações específicas do local. Pode ser impossível dizer que não devam ser contratados parentes, mas é aconselhável fornecer meios que garantam o equilíbrio e possíveis verificações. Quando um candidato for algum parente, critérios claros devem ser estabelecidos e uma segunda autoridade, não familiar ao candidato, deve tomar a decisão final. Também é importante que o parceiro local tenha garantida sua própria autoridade e que ela não seja colocada em questão pelos organizadores do projecto, comprometendo sua gestão. Ele será capaz de julgar quem será a melhor pessoa com a qual trabalhar. Com a devida informação neste processo, seus requerimentos devem ser satisfeitos.
O diagnóstico e suporte à tecnologia é uma arte abstracta. Na primeira vez que você olha para uma pintura abstracta, ela pode parecer um monte de pinceladas aleatórias. Depois de reflectir, por algum tempo, sobre a composição você começará a apreciar a obra como um todo e uma coerência, ainda que invisível, passará a ser real. O novato que observa uma rede wireless pode ver antenas, fios, computadores, mas demorará um tempo até apreciar a função de uma rede invisível. Em áreas rurais frequentemente existe um grande salto de compreensão antes que os utilizadores locais apreciem a rede invisível que passou a existir no sua localidade. Desta forma, uma introdução em fases pode ser necessária para facilitar o acesso das pessoas ao conhecimento sobre o suporte à tecnologia e sistemas. O melhor método é o envolvimento. Uma vez que os participantes estão escolhidos e comprometidos com o projecto, envolva-os o máximo possível. Deixe que eles tomem a direcção. Dê a eles a ferramenta para criar os cabos (fechar as fichas aos fios dos cabos) ou o teclado e mostre como fazer o trabalho. Mesmo que você não tenha tempo para explicar todos os detalhes e mesmo que isto demore, eles precisam ser "fisicamente" envolvidos e ver não apenas o que foi feito, mas como isto foi feito.
O método científico é ensinado em praticamente todas as escolas ocidentais. Muitas pessoas aprendem sobre o mesmo quando chegam às aulas de ciências do ensino médio. De forma simplificada, toma-se um conjunto de variáveis e elimina-se, lentamente, tais variáveis através de testes binários até que restem poucas possibilidades, ou apenas uma. Com estas possibilidades em mente, completa-se o experimento. Verifica-se, então, se o experimento apresenta algo similar ao resultado esperado. Caso contrário, recalcula-se o que deve ser esperado e tenta-se novamente o experimento. O habitando de uma vila agrícola pode até ter sido apresentado a este método, mas provavelmente não teve a oportunidade de experimentá-lo com problemas complexos. Mesmo que eles tenham familiaridade com o método científico, eles podem não ter pensado em utilizá-lo na solução de problemas reais.
Este método é muito eficaz, apesar de consumir tempo. Ele pode ser acelerado ao se assumir premissas lógicas. Por exemplo, se um ponto de acesso wireless que está activo há muito tempo pára de funcionar depois de uma tempestade, você pode suspeitar de um problema relacionado à fonte de alimentação e, assim, economizar algumas etapas do processo de análise.
As pessoas encarregadas do suporte devem ser treinadas em diagnósticos com o uso deste método, já que existirão ocasiões onde o problema não será conhecido ou estará evidente. Árvores de decisão simples ou fluxogramas para o teste de variáveis podem ser feitos, auxiliando na eliminação destas variáveis até que o problema seja isolado. Mas obviamente, estes fluxogramas não devem ser seguidos cegamente.
Com frequência é mais fácil ensinar este método ilustrando-o com um problema que não seja totalmente tecnológico. Por exemplo, faça com que seus estudantes desenvolvam um procedimento de solução de um problema que seja simples e familiar, envolvendo um televisor que funciona com pilhas. Comece sabotando o aparelho, colocando nele baterias descarregadas. Desligue a ligação com a antena. Coloque um fusível queimado. Teste os alunos, deixando claro que cada problema tem sintomas específicos. Uma vez consertado o televisor, faça com que eles apliquem o mesmo método a problemas mais complexos. Numa rede, você pode modificar um endereço IP, trocar ou danificar um cabo, usar um SSID errado ou orientar uma antena na direcção errada. É importante que eles desenvolvam métodos e procedimentos para a solução destes problemas.
Técnicas apropriadas para o diagnóstico
Nenhum método de diagnóstico pode cobrir completamente todos os problemas que você irá encontrar no trabalho com redes wireless mas com frequência, os problemas reduzem-se a alguns erros comuns. Aqui estão alguns pontos que devem ser mantidos em mente e que ajudarão a manter seu diagnóstico na direcção correta. Não entre em pânico. Se você está diagnosticando um sistema, isto significa que em algum momento ele estava funcionando, provavelmente há pouco tempo. Antes de partir para a aplicação de mudanças, faça uma pesquisa do ambiente e verifique exactamente o que deixou de funcionar. Caso você tenha registos ou estatísticas a partir dos quais pode trabalhar, óptimo. Certifique-se de obter, primeiro, toda a informação de forma a tomar decisões acertadas antes de aplicar mudanças. Isto está ligado? Este é o primeiro passo, que é muitas vezes esquecido até que vários outros caminhos sejam explorados. Tomadas podem ser acidentalmente (ou intencionalmente) desligadas com muita facilidade. As barras de tomadas estão ligadas a uma boa fonte de energia? Há alimentação chegando a seu equipamento? A luz de "ligado" está acesa? Isto pode parecer trivial, mas você sentir-se-á ainda mais nabo quando você passar um longo tempo verificando uma antena apenas para descobrir que o AP estava todo o tempo desligado. Acredite, isto acontece muito mais do que qualquer um admita que seja verdade.
Qual foi a última mudança? Se você é a única pessoa com acesso ao sistema, qual a última mudança que você fez? Caso outros tenham acesso ao sistema, quais as mudanças aplicadas por eles e quando? Quando o sistema estava funcional mais recentemente? Frequentemente, mudanças no sistema têm consequências não intencionais que podem não ser notadas imediatamente. Traga o sistema para o estado anterior à última mudança e veja qual o efeito disto no problema.
Faça cópias de segurança (backups). Isto aplica-se tanto para antes de você notar um problema quanto para depois. Caso você faça uma modificação complexa no software do sistema, um backup irá garantir que você possa trazê-lo ao estado anterior à mudança, permitindo que você recomece. Ao diagnosticar problemas muito complexos, é indicado ter uma configuração razoavelmente funcional do que outra que sequer funcione (e que será difícil de refazer confiando apenas na memória).
O bom conhecido. Esta ideia aplica-se tanto a hardware quanto a software. O bom conhecido é qualquer componente que você possa substituir em um sistema complexo para verificar se seu equivalente está em boas condições de funcionamento. Por exemplo, você deve ter um cabo Ethernet testado no seu conjunto de ferramentas. Caso você suspeite de um problema com um cabo, você pode trocar o cabo suspeito pelo bom conhecido e ver se as coisas melhoram. Este é um processo muito mais rápido e menos sujeito a erros do que recolocar as fichas de um cabo, mostrando imediatamente se a mudança resolveu o problema. Da mesma forma, tenha sempre uma bateria reserva, cabo de antena e um CD-ROM com uma boa e conhecida configuração de seu sistema. Quando estiver resolvendo problemas complexos, salvar seu trabalho em determinados pontos permitirá sempre o retorno ao bom conhecido, mesmo que o problema ainda não esteja completamente resolvido.
Altere uma variável de cada vez. Quando se está sob pressão para restabelecer o funcionamento de um sistema, tem-se a tentação de economizar passos e mudar muitas variáveis de uma única vez. Se você faz isto e o problema desaparece, você nunca será capaz de saber o que fez com que ele aparecesse. Pior do que isto, suas mudanças podem ter resolvido o problema original mas podem levar a novas consequências não intencionais que farão com que outras partes do sistema deixem de funcionar. Ao modificar uma variável de cada vez, você entenderá precisamente o que houve de errado inicialmente e será capaz de ver os efeitos directos de cada mudança que aplicar.
Não piore as coisas. Se você não entende completamente como o sistema trabalha, não tenha receio de chamar um especialista. Caso você não esteja certo do efeito de uma mudança em particular, que poderá causar danos em outra parte do sistema, chame alguém com mais experiência ou encontre alguma forma de testar a sua mudança sem causar danos. Colocar uma moeda no lugar de um fusível pode resolver um problema imediato mas também pode fazer com que o prédio pegue fogo.
É improvável que as pessoas que projectaram a sua rede estejam disponíveis para atendê-lo 24 horas por dia na eventualidade de um problema. Sua equipe de diagnóstico deve ter boas técnicas para a solução de problemas, mas pode não ser competente o suficiente para configurar um router a partir do zero ou montar um cabo LMR400. Normalmente é mais eficiente a manutenção de um estoque de componentes reserva, treinando a equipe para que substitua integralmente um componente defeituoso. Isto pode significar ter um ponto de acesso wireless ou router pré-configurado, devidamente etiquetado e mantido em um armário trancado junto com cabos e fontes de alimentação de reserva. Sua equipe pode substituir o equipamento com defeito, mandando-o para o conserto por um especialista, ou solicitar um novo equipamento reserva. Presumindo-se que os equipamentos reserva são mantidos em segurança e são substituídos quando usados, este processo economizará muito tempo e dinheiro para todos.
Problemas comuns de rede
Problemas de ligação costumam ser causados por falhas em componentes, mau tempo ou configurações erradas. Uma vez que a sua rede está conectada à internet ou aberta ao público em geral, ameaças consideráveis podem vir dos próprios utilizadores. Estas ameaças podem variar de benignas a terrivelmente malignas, mas todas terão impacto em sua rede se ela não estiver propriamente configurada. Esta secção relata alguns problemas comuns encontrados em redes que são utilizadas por seres humanos reais.
Figura 9.1: No Exemplo 1, todo o tráfego originado na internet para o website deve atravessar o link VSAT. No Exemplo 2, o website público está hospedado num ISP de alta velocidade na europa, enquanto uma cópia é mantida no servidor local para o rápido acesso interno. Isto melhora a ligação VSAT e reduz o tempo de carga para os utilizadores do website.
Websites hospedados localmente
Caso uma universidade hospede seu website localmente, os visitantes vindos de fora da rede e do resto do mundo irão competir, com aqueles que estão na universidade, por largura de banda para a internet. Isto inclui o acesso automático feito por mecanismos de busca que periodicamente varrem seu site inteiro. Uma solução para este problema é usar split dns e espelhamento. A universidade espelha uma cópia dos seus websites num serviço de hospedagem na europa, por exemplo, e usa o split dns para direccionar o tráfego de todos os utilizadores de fora da universidade para o site espelho, enquanto os utilizadores internos acedem o mesmo site localmente.
Proxies abertos
Um servidor proxy deve ser configurado para apenas aceitar ligações da rede da universidade, não do restante da internet. Isto porque pessoas em qualquer lugar irão ligar-se e usar proxies abertos por muitas razões, como evitar o pagamento de uso de largura de banda internacional. A maneira de configurar isto depende do servidor proxy que você está utilizando. Por exemplo, você pode especificar o intervalo de IPs usado na rede em seu arquivo squid.conf. Assim, apenas os IPs definidos poderão usar o Squid. Alternativamente, caso seu servidor proxy esteja atrás de uma firewall, você pode configurar a firewall para que ela permita apenas que computadores internos tenham acesso à porta do proxy.
Servidores de email abertos (relays)
Um servidor de email mal configurado será descoberto por pessoas inescrupulosas na internet, e será usado como um servidor de retransmissão (relay) de emails para o envio de mala-direta e spam. Elas fazem isto para esconder a fonte real do spam e assim não serem descobertas. Para verificar se um servidor de email está aberto, o seguinte teste deve ser feito (também em todos os servidores SMTP que estejam no perímetro da rede local, caso exista mais que um). Use o comando telnet para abrir uma ligação à porta 25 do servidor em questão (em algumas versões Windows do telnet, pode ser necessário digitar set local_echo antes do texto ser visível):
telnet mail.uzz.ac.zz 25
Agora, se uma conversa interactiva em modo texto se iniciar (como o exemplo a seguir), o servidor de email está aberto e pode ser usado como relay:
MAIL FROM: spammer@waste.com 250 OK - mail from <spammer@waste.com> RCPT TO: innocent@university.ac.zz 250 OK - rcpt to spammer@waste.com
Ao invés disto, a resposta logo após mail from deve ser:
550 Relaying is prohibited.
Uma ferramenta online para este teste está disponível em sites como http://www.ordb.org , que também traz mais informações sobre este problema. Aqueles que enviam malas-diretas em grande quantidade (bulk mailers) possuem métodos automatizados para encontrar servidores abertos. Uma instituição que não protege seus servidores de emails pode estar praticamente certa de que eles serão encontrados e abusados. A configuração de um servidor, para que ele não se torne um relay aberto, consiste na especificação das redes e servidores que podem enviar emails através de seu MTA (Mail Transfer Agent - Agente de Transferência de Mail), como o Sendmail, Postfix, Exim ou Exchange. Esta especificação provavelmente conterá o intervalo de IPs da rede local.
Redes peer-to-peer
O abuso da largura de banda por programas de partilha de arquivos peer-to-peer (P2P) como o Kazaa, Morpheus, BitTorrent, WinMX e BearShare (entre muitos outros) pode ser evitado das seguintes maneiras. Tornando impossível a instalação de novos programas nos computadores da rede local. Através da não concessão do acesso administrativo dos PCs aos utilizadores é possível evitar a instalação de programas como o Kazaa. Muitas instituições também padronizam uma instalação de desktops, onde disponibilizam o sistema operativo requerido, as aplicações necessárias e o configuram para o melhor desempenho. Este PC também é configurado de forma a evitar que os utilizadores instalem novas aplicações. Uma imagem em disco deste PC é então clonada para os demais, utilizando software como o Partition Image (http://www.partimage.org/) ou o Drive Image Pro (http:// http://www.codeplex.com/silabwww.powerquest.com/).
Vale a pena também conferir o projecto Silab, que permite a gestão de imagens de instalação de múltiplos ambientes operacionais e a sua rápida instalação em laboratórios de informática, telecentros, escritórios ou qualquer outro ambiente onde seja necessária uma instalação padronizada.
De tempos em tempos, os utilizadores podem ter sucesso na instalação de um novo software ou causar danos ao software instalado no computador (fazendo com que este bloqueie com frequência, por exemplo). Quando isto acontece, o administrador pode simplesmente restaurar a imagem do disco, voltando a configuração do computador ao padrão especificado.
O bloqueio destes protocolos não é uma solução. Isto porque o Kazaa e outros protocolos são inteligentes o suficiente para contornar as portas bloqueadas. O padrão do Kazaa é utilizar a porta 1214 para a ligação inicial mas se ela não estiver disponível ele irá tentar usar as portas de 1000 a 4000. Se estas estiverem bloqueadas, ele utilizará a porta 80, passando-se por tráfego web. Por esta razão, os ISPs de acesso não bloqueiam, mas restringem estes protocolos P2P usando ferramentas de gestão de largura de banda.
Caso a limitação de largura de banda não seja uma opção, mude a configuração da rede. Se o servidor proxy e os servidores de email estão configurados com dois interfaces de rede e os mesmos estão configurados para não encaminhar pacotes, isto deve bloquear todo o tráfego P2P. Isto irá bloquear também todos os outros tipos de tráfego, como o Microsoft NetMeeting, SSH, software de VPN e quaisquer outros serviços que não sejam especificamente permitidos pelo proxy. Em redes de largura de banda pequena, a simplicidade desta configuração pode estar acima das suas desvantagens. Uma decisão sobre isto pode ser necessária e não pode ser tomada de forma leviana. Administradores de rede não conseguem simplesmente prever como os utilizadores farão uso criativo e inovador de uma rede. O bloqueio forçado de todo o acesso irá evitar que os utilizadores façam uso de qualquer serviço (mesmo os que não consumam muita banda) que seu servidor proxy não suportar. Mesmo que isto possa ser desejável em circunstâncias onde a largura de banda é extremamente limitada, esta política de acesso não deve ser considerada como uma boa prática genérica.
Programas que se auto-instalam através da Internet
Existem programas que se instalam automaticamente e passam a consumir a largura de banda por exemplo, o chamado Bonzi-Buddy, o Microsoft Network e alguns tipos de vermes (worm). Alguns destes programas são spyware que continuamente enviam informações sobre os hábitos de navegação web dos utilizadores para uma empresa em algum na internet. Tais programas podem ser evitados até algum limite com a informação dos utilizadores e do bloqueio dos PCs para prevenir acções administrativas por parte dos utilizadores normais. Em outros casos, existem soluções de software que encontram e removem estes programas problemáticos, como o Spychecker (http://www.spychecker.com/) ou o Ad-Aware (http://www.lavasoft.de/).
Actualizações do Windows
As mais recentes versões do sistema operativo Microsoft Windows assumem que um computador com uma ligação com a rede local tem também um bom link para a internet e automaticamente, faz o download de actualizações de segurança, correcções de erros e melhorias do sistema do site da Microsoft. Isto pode consumir uma enorme quantidade de largura de banda num link caro para a internet. Há duas providências que podem ser tomadas neste caso:
As actualizações de segurança são muito importantes para os servidores, mas a necessidade destas actualizações nas estações de trabalho que estão protegidas em uma rede privada, como a de uma LAN, é discutível.
- Instale um servidor para as actualizações de software. Isto pode ser feito a partir de um programa gratuito da Microsoft que permite que você faça o download as actualizações durante a madrugada para um servidor local e as distribua para os PCs a partir deste servidor. Desta forma, as actualizações do Windows não irão consumir largura de banda da internet durante o dia. Infelizmente, todos os PCs clientes precisam ser configurados para usar o servidor de actualizações para que isto funcione. Caso você tenha um servidor dns flexível, você pode configurá-lo para que receba as solicitações que vão para windowsupdate.microsoft.com, direccionando-as para o seu próprio servidor de actualizações. Esta opção presta-se bem para grandes redes e economiza uma enorme porção de largura de banda.
O bloqueio das actualizações do Windows no servidor proxy não é uma boa solução, porque o serviço de actualização do sistema (actualizações automáticas) fica tentando buscá-las de maneira mais agressiva e, se todas as estações de trabalho fizerem isso, o proxy terá que lidar com uma carga de trabalho altíssima. O texto abaixo foi extraído do registo de um proxy (Squid access log) onde isto foi feito com o bloqueio de arquivos "cabinef da Microsoft (.cab).
A maior parte do arquivo de log do Squid estava assim:
Mesmo que isto possa ser tolerável em uma rede com poucos PCs, o problema aumenta significativamente com a adição de mais computadores na rede. Ao invés de forçar o proxy a atender a pedidos dos clientes que sempre resultarão em uma resposta negativa, faz mais sentido redireccionar os clientes de actualizações de software para um servidor local que atenda a estes pedidos.
Programas que assumem a existência de um link de alta velocidade
Adicionalmente às actualizações do Windows, muitos outros programas e serviços assumem que a largura de banda não é um problema e, por isso, a consomem por motivos que o utilizador não tem como prever. Por exemplo, programas de antivírus (como o Norton Antivírus) que periodicamente se actualizam de forma automática, via internet. Também é melhor que estas actualizações sejam concentradas em um servidor local para a posterior distribuição. Outros programas, como o reprodutor de vídeos RealNetworks, fazem do download automaticamente das actualizações e propaganda, assim como enviam padrões de utilização para um site na internet. Pequenas aplicações (applets) aparentemente inócuas (como o Konfabulator e várias decorações para o Desktop) ficam continuamente buscando informações actualizadas em servidores na internet. Estas buscas podem consumir poucos recursos da rede (como actualizações sobre o clima ou notícias) ou muitos recursos (como webcams). Estas aplicações podem necessitar de ajustes em seu consumo de banda (throttle) ou ser totalmente bloqueadas. As mais recentes versões do Windows e Mac OS X também possuem um serviço de sincronização de horário. Isto mantém preciso o relógio do computador, através da ligação com servidores de horário na internet. É mais eficiente instalar um servidor de horário local e distribuir o tempo preciso a partir dele, ao invés de sobrecarregar o link de internet com este tráfego.
Tráfego Windows no link Internet
Computadores Windows comunicam-se entre si através de NetBIOS ou SMB (Server Message Block - Bloco de Mensagem do Servidor). Estes protocolos trabalham sobre o TCP/IP ou outros protocolos de transporte. Eles trabalham por um princípio de eleições para determinar qual computador será o master browser (navegador mestre). O master browser é um computador que mantém a lista de todos os computadores, partilha e impressoras que você pode ver na vizinhança da rede (Network Neighborhood) ou em "Meus locais de rede" (My Network Places). As informações sobre partilha disponíveis também são enviadas a todos os computadores em intervalos regulares de tempo.
O protocolo SMB é projectado para redes locais e pode causar problemas quando o computador Windows está ligado à internet. A não ser que o tráfego SMB seja filtrado, ele tende a espalhar-se para o link internet, desperdiçando a largura de banda contratada. Os seguintes passos devem ser tomados para que isto seja evitado:
Bloqueio do tráfego de saída SMB/NetBIOS no limite do router ou firewall. Este tráfego consome a ligação com a internet e, pior que isto, apresenta um risco potencial de segurança. A maioria dos worms de internet e ferramentas de invasão monitorizam activamente partilhas SMB, explorando estas ligações para conseguir acesso à sua rede. Instalação de uma firewall em todas as estações de trabalho (não no servidor). Uma versão gratuita pode ser obtida em na internet. Este programa permite ao utilizador determinar quais aplicações podem (e quais não podem) estabelecer ligações com a internet. Por exemplo, o Internet Explorer precisa conectar-se com a internet, mas o Windows Explorer não. A firewall pode impedir o Windows Explorer de fazer isto. Redução de partilhas de rede. Idealmente, apenas o servidor de arquivos deve possuir partilhas. Você pode usar uma ferramenta como a SoftPerfect Network Scanner (de http:// www.softperfect.com/) para identificar com facilidade todos as partilhas da sua rede.
Vermes (worms) e vírus
Vermes e vírus podem gerar enormes quantidades de tráfego. O verme W32/Opaserv, por exemplo, ainda é predominante, mesmo que seja antigo. Ele espalha-se pela partilha do Windows e é detectado por outras pessoas na internet em função de sua tentativa de seguir espalhando-se. Por isso é essencial que alguma protecção antivírus esteja instalada em todos os PCs. Além disso, o conhecimento do utilizador sobre a execução de arquivos anexados e a resposta a emails não solicitados é extremamente importante. De fato, deve ser política de uso que nenhuma estação de trabalho ou servidor executem serviços desnecessários. Por exemplo, servidores Windows e Unix costumam executar, como padrão, um servidor web. Isto deve estar desabilitado caso o servidor tenha outra funcionalidade que não esta. Quanto menos serviços um computador estiver executando, menor é a quantidade de ataques possíveis.
Loops de encaminhamento de emails
Ocasionalmente, um único utilizador que comete um erro pode causar um problema. Por exemplo, uma utilizadora cuja conta de email na universidade está configurada para encaminhar toda a sua correspondência para uma conta no Yahoo. Esta utilizadora sai de férias. Todos os emails enviados para ela, em sua ausência, ainda são encaminhados a esta conta do Yahoo, que pode acumular mensagens até um determinado limite. Quando a conta no Yahoo fica cheia, os emails retornam ao emissor (a conta na universidade) que novamente os encaminha à conta do Yahoo. O "loop" formado pode enviar centenas de milhares de emails entre as contas, gerando um tráfego massivo e mesmo derrubando os servidores de email. Há funcionalidades nos programas de servidores de email que podem reconhecer loops. Elas devem estar activas por padrão. Os administradores devem tomar o cuidado de não desligar estas funcionalidades por engano ou instalar um servidor de encaminhamento SMTP que modifique os cabeçalhos dos emails de tal forma que o servidor de email não seja mais capaz de reconhecer o loop.
Grandes downloads
Um utilizador pode iniciar, simultaneamente, o download de vários arquivos, em algumas vezes arquivos grandes, como imagens iso de 650 MB. Desta forma, um único utilizador pode usar a maior parte da banda. As soluções para este tipo de problema baseiam-se em informação, baixa "offline" de arquivos e monitorização (incluindo monitorização em tempo real). O download "offline" pode ser implementado ao menos de duas formas:
- Na University of Moratuwa, um sistema foi implementado com o uso de redireccionamento de URLs. Os utilizadores que acedem URLs do tipo ftp:// são direccionados para uma listagem onde cada arquivo possui dois links um para o download regular e outro para o download offline. Caso o link offline seja selecionado, o arquivo é colocado em uma fila para o download posterior e o utilizador é notificado por email quando o mesmo está completo. O sistema mantém armazenados os arquivos sacados recentemente, buscando-os caso sejam novamente solicitados. A fila de downloads é organizada por ordem de tamanho. Assim, os arquivos menores são baixados primeiro. Como alguma largura de banda é reservada ao sistema, mesmo em horários de pico, os utilizadores que solicitarem arquivos pequenos podem recebê-los em minutos, algumas vezes mais rapidamente que um download online.
- Outra solução consiste na criação de uma interface web onde os utilizadores podem digitar a URL dos arquivos que desejam obter. Os arquivos serão então sacados durante a noite ou madrugada, com o uso de uma tarefa agendada (cron job). Este sistema funcionaria apenas para utilizadores que não são impacientes e sabem que arquivos grandes constituem problemas quando sacados durante o horário de trabalho.
Envio de arquivos grandes
Quando os utilizadores necessitam enviar arquivos grandes para colaboradores de outros lugares na internet, eles devem ser ensinados como agendar este envio. No Windows, o envio de um arquivo para um servidor FTP remoto pode ser feito através de um script FTP, que é um arquivo de texto contendo comandos FTP, similar ao que está abaixo (salvo como c:\ftpscript.txt):
open ftp.ed.ac.uk gventer mysecretword delete data.zip binary put data.zip quit
Para o executar, digite o seguinte na linha de comando:
ftp -s:c:\ftpscript.txt
Em computadores com o Windows NT, 2000 e XP, este comando pode ser salvo em num arquivo como transfer.cmd e ser agendado para execução nocturna com Scheduled Tasks (Start ^ Settings ^ Control Panel ^ Scheduled Tasks) . Em Unix, o mesmo pode ser feito com o uso dos comandos at ou cron.
Utilizadores trocando arquivos entre si
Os utilizadores precisam frequentemente enviar, uns aos outros, grandes arquivos. É um desperdício de largura de banda o envio destes arquivos pela internet, caso o destinatário seja local. Uma partilha de arquivos deve ser criado no servidor Windows/Samba/Novell, onde o utilizador pode colocar os arquivos para que os outros os possam aceder.
Editor
--Cmsv 19h18min de 12 de janeiro de 2010 (GMT)