Feeds:
Posts
Comentários

Preço do Azure

azure

Microsoft Azure permite implantar infraestruturas e serviços rapidamente para atender a todas as suas necessidades de negócios. Você pode executar aplicativos do Windows e Linux nas 22 regiões de datacenter do Azure, fornecidos com SLAs de nível corporativo.

Sem custos antecipados

Sem multas de rescisão

Pague Apenas pelo que Usar

Faturamento por minuto

Faça a estimativa da sua conta mensal usando nossa Calculadora de Preços e acompanhe o uso real da sua conta e a fatura a qualquer momento usando o portal de cobrança. Configure alertas de cobrança por email automáticos para ser notificado se seus gastos estão acima da quantia configurada.

 

Enterprise Agreements

Grandes organizações geralmente assinam um Microsoft Enterprise Agreement (EA). Ao firmar um compromisso de uso adiantado com o Azure, elas recebem vários benefícios adicionais, incluindo opções de cobrança flexível e nossos melhores preços.

Mais informação pode entra site https://azure.microsoft.com/pt-br/pricing/, qualquer duvida pode entra em contado comigo.

Ref: https://azure.microsoft.com/pt-br/pricing/;

https://azure.microsoft.com/pt-br/pricing/calculator/

azure

Como proteja sua conexão com Azure !

A Rota Expressa do Azure permite criar conexões privadas entre os datacenters do Azure e a infraestrutura presente em seu local ou em um ambiente de colocação. As conexões da Rota Expressa não passam pela Internet pública. Elas oferecem mais confiabilidade e velocidade, latências menores e maior segurança do que as conexões comuns da Internet. Em alguns casos, o uso de conexões da Rota Expressa para transferir dados entre sistemas locais e o Azure pode proporcionar benefícios de custo significativos.

Com a Rota Expressa, estabeleça conexões com o Azure em um local da Rota Expressa, como na instalação do fornecedor do Exchange, ou conecte-se diretamente ao Azure pela rede WAN existente, como um VPN MLPS (Multi-protocol Label Switching), fornecido por um provedor de serviços de rede.

Ref: https://azure.microsoft.com/pt-br/services/expressroute/

 

 

azure

Essa postagem fala como criar um VPN Cliente e Servidor, qualquer duvida pode deixa seus comentário que reapoderei mais rápido possível.

#Compartilhe Conhecimento

#Siga meu Blog

Uma configuração de Point-to-Site permite que você crie uma conexão segura com sua rede virtual de um computador cliente, individualmente. A conexão VPN é estabelecida por iniciar a ligação a partir do computador cliente. Esta é uma excelente solução quando você quer conectar à sua Vnet de um local remoto, como em casa ou em uma conferência, ou quando você só tem alguns clientes que precisam se conectar a uma rede virtual. Ligações ponto-a-Site não exigem um dispositivo VPN ou o endereço de IP voltado para o público, a fim de trabalho. Para obter mais informações sobre conexões ponto-a-Site, consulte o VPN Gateway de FAQ e Sobre as conexões entre locais.

Esta postagem aplica-se a ponto-a-site conexões VPN de gateway a uma rede virtual criada usando o modelo clássico de destacamento (Service Management). Se você quiser configurar uma conexão Point-to-site para um Vnet que foi criado usando o Gerenciador de Recursos, consulte Configurar uma conexão Point-to-site para uma rede virtual usando o  PowerShell.

É importante saber que o Azure atualmente trabalha com dois modelos de implantação: Gerente de Recursos e clássico. Antes de iniciar a configuração, certifique-se de que você compreende os modelos de implantação e ferramentas. Você vai precisar saber qual o modelo que você deseja trabalhar. Nem todos os recursos de rede são suportados ainda para ambos os modelos. Para obter informações sobre os modelos de implantação, ver modelos de implantação Azure.

Sobre a criação de uma conexão ponto-a-Site

Os passos seguintes irão guiá-lo através dos passos para criar uma conexão segura Point-to-site para uma rede virtual. Embora a configuração de uma conexão ponto-a-Site requer várias etapas, é uma ótima maneira de ter uma conexão segura a partir do seu computador à rede virtual sem adquirir e configurar um dispositivo VPN.

A configuração para uma conexão Point-to-site é dividido em 3 seções. Secção 1 irá orientá-lo através da criação de uma rede virtual e gateway de VPN, Seção 2 irá ajudá-lo a criar os certificados usados ​​para autenticação, e Seção 3 irá orientá-lo através as etapas para o cliente VPN que será usado para se conectar à sua rede virtual. A ordem em que você configurar cada um deles é importante, por isso não pule as etapas ou saltar à frente.

Seção 1 – Criar uma rede virtual e um gateway de VPN

Uma conexão Point-to-Site requer uma rede virtual com um gateway de roteamento dinâmico.Os passos seguintes irão guiá-lo através do seguinte:

Passo 1 – Criar uma rede virtual.

Passo 2 – Criar um gateway de roteamento dinâmico.

Criar uma rede virtual

  1. Efetue login no portal clássico Azure(Não é o Portal Azure).
  2. No canto inferior esquerdo da tela, clique em Novo. No painel de navegação, clique emServiços de Redee clique em Rede  Clique costume cria para iniciar o assistente de configuração.
  3. No Detalhes Rede Virtualpágina, insira as seguintes informações e, em seguida, clique na seta ao lado no canto inferior direito.
    • Nome: Nome sua rede virtual. Por exemplo, “VNetEast”. Este será o nome que você vai se referir a quando você implantar instâncias de VMs e PaaS para este Vnet.
    • Localização: A localização está diretamente relacionada com a localização física (região) onde pretende que os recursos (VMs) para residir. Por exemplo, se você deseja que as VMs que você implanta a esta rede virtual para ser fisicamente localizada no leste dos EUA, selecione esse local. Você não pode alterar a região associada com sua rede virtual depois de criá-lo.
  4. Sobre os servidores DNS e VPN Conectividadepágina, insira as seguintes informações e, em seguida, clique na seta ao lado no canto inferior direito.
    • Servidores DNS: Digite o nome do servidor DNS e endereço IP, ou selecione um servidor DNS registrado anteriormente no menu de atalho. Essa configuração não criar um servidor DNS, ele permite que você especifique os servidores DNS que você deseja usar para a resolução de nomes para esta rede virtual. Se você quiser usar o serviço de resolução de nome padrão Azure, deixe esta seção em branco.
    • Configurar Point-to-site VPN: Selecione a caixa de seleção.
  5. No Ponto-a-Site Conectividadepágina, especifique o intervalo de endereços IP a partir do qual seus clientes VPN receberá um endereço IP quando conectado. Existem algumas regras relativas à intervalos de endereços que você pode especificar. É muito importante verificar que o intervalo que você especificar não se sobrepõe com qualquer um dos intervalos localizados em sua rede no local.
  6. Insira as seguintes informações e, em seguida, clique na seta ao lado.
    • Address Space: Inclua o IP inicial e CIDR (Contagem de endereço).
    • Adicionar espaço de endereço: Adicionar espaço de endereço somente se ela for necessária para o seu projeto de rede.
  7. Na espaços de endereços de rede virtualpágina, especifique o intervalo de endereços que você deseja usar para a sua rede virtual. Estes são os endereços IP dinâmicos (imersões) que serão atribuídos às VMs e outras instâncias de função que você implantar a esta rede virtual.É especialmente importante para selecionar um intervalo que não se sobrepõe a qualquer um dos intervalos que são utilizados para a sua rede no local. Você vai precisar para coordenar com o administrador da rede, que podem precisar de esculpir um intervalo de endereços IP a partir do seu espaço de endereçamento de rede no local para você usar para sua rede virtual.
  8. Insira as seguintes informações e, em seguida, clique na marca de seleção para começar a criar sua rede virtual.
    • Espaço de Endereço: Adicionar a faixa de endereços IP internos que você deseja usar para esta rede virtual, incluindo IP inicial e Contagem. É importante selecionar um intervalo que não se sobrepõe a qualquer um dos intervalos que são utilizados para a sua rede no local. Você vai precisar para coordenar com o administrador da rede, que podem precisar de esculpir um intervalo de endereços IP a partir do seu espaço de endereçamento de rede no local para você usar para sua rede virtual.
    • Adicionar sub-rede: sub-redes adicionais não são necessários, mas você pode querer criar uma sub-rede separada para VMs que terá DIPS estáticos. Ou você pode querer ter o seu VMs em uma sub-rede que é separada de suas outras instâncias de função.
    • Adicionar sub-rede Gateway: O gateway de sub-rede é necessária para um ponto-a-Site VPN. Clique para adicionar a sub-rede gateway. A sub-rede gateway é usado apenas para o gateway da rede virtual.
  9. Quando a rede virtual foi criado, você vai ver Criadolistados sob status na página de redes no portal clássico Azure. Uma vez que sua rede virtual foi criado, você pode criar o seu gateway de roteamento dinâmico.

Criar um gateway de roteamento dinâmico

O tipo de gateway deve ser configurado como dinâmico. Gateways de roteamento estático não funcionará com esse recurso.

  1. No portal clássico Azure, na Networkspágina, clique na rede virtual que você acabou de criar, e navegue até o Painel página.
  2. Clique Criar gateway, localizado na parte inferior do painelpágina. Uma mensagem aparecerá perguntando Você quer criar um gateway para a rede “yournetwork” Clique Sim para começar a criar o gateway. Pode demorar cerca de 15 minutos para a porta de entrada para criar.

Seção 2 – Gerar e fazer upload de certificados

Os certificados são usados ​​para autenticar os clientes VPN para Point-to-site VPNs. Você pode usar certificados gerados por uma solução de certificação corporativa, bem como certificados auto-assinados. Você pode carregar até 20 certificados de raiz para Azure.

Se você quiser usar um certificado auto-assinado, os passos a seguir irá orientá-lo através do processo. Se você estiver planejando usar uma solução de certificação corporativa, os passos dentro de cada seção será diferente, mas você ainda precisa fazer o seguinte:

Passo 1 – Identificar ou gerar um certificado raiz.

Passo 2 – Faça o upload do arquivo .cer certificado raiz para o Azure.

Passo 3 – Gerar um certificado de cliente.

Passo 4 – Exportação e instalar o certificado de cliente.

Identificar ou gerar um certificado raiz

Se você não estiver usando uma solução de certificação corporativa, você precisará gerar um certificado raiz auto-assinado. As etapas nesta seção foram escritos para Windows 8. Para o Windows 10 passos, você pode referir-se a trabalhar com certificados auto-assinados de raiz para configurações ponto-a-Site.

Uma maneira de criar um certificado X.509 é usando a ferramenta de criação de certificado (makecert.exe). Para usar makecert, baixe e instale o Microsoft Visual Studio Express, que é gratuito.

  1. Navegue até a pasta Visual Studio Tools e iniciar o prompt de comando como administrador.
  2. O comando no exemplo a seguir irá criar e instalar um certificado raiz no armazenamento de certificados pessoais no computador e também criar um correspondente .cerarquivo que você vai depois fazer o upload para o portal clássico Azure.
  3. Altere para o diretório que você deseja que o arquivo .cer para ser localizado e execute o seguinte comando, onde RootCertificateNameé o nome que você deseja usar para o certificado. Se você executar o exemplo a seguir, sem alterações, o resultado será um certificado raiz e do processo correspondente RootCertificateName.cer.

NOTA:

Como você criou um certificado raiz a partir da qual os certificados de cliente será gerado, você pode querer exportar este certificado junto com sua chave privada e guardá-lo para um local seguro onde possa ser recuperado.

Cópia

makecert – troca céu – r – n “CN = RootCertificateName”  – pe – um sha1 – len 2048  – ss Meu  “RootCertificateName.cer”

Faça o upload do arquivo .cer certificado raiz ao portal clássico Azure

Você precisará fazer o upload do arquivo .cer correspondente para cada certificado de raiz para o Azure. Você pode carregar até 20 certificados.

  1. Quando você gerou um certificado raiz no procedimento anterior, você também criou um.cerAgora você vai carregar esse arquivo para o portal clássico Azure. Observe que o arquivo .cer não contém a chave privada do certificado raiz. Você pode carregar até 20 certificados de raiz.
  2. No portal clássico Azure, na Certificadospágina para a sua rede virtual, clique em Carregar um certificado 
  3. Por Carregar certificadopágina, procure o certificado raiz .cer, e em seguida, clique na marca de seleção.

Gerar um certificado de cliente

Os passos abaixo são para gerar um certificado de cliente a partir do certificado raiz auto-assinado. As etapas nesta seção foram escritos para Windows 8. Para o Windows 10 passos, você pode referir-se a trabalhar com certificados auto-assinados de raiz para configurações ponto-a-Site. Se você estiver usando uma solução de certificação corporativa, siga as diretrizes para a solução que você está usando.

  1. No mesmo computador que você usou para criar o certificado raiz auto-assinado, abra uma janela do prompt de comando Estúdio Visual como administrador.
  2. Altere o diretório para o local onde você deseja salvar o arquivo de certificado de cliente.RootCertificateNamerefere-se ao certificado de raiz auto-assinado que você gerou. Se você executar o seguinte exemplo (mudando o RootCertificateName para o nome do seu certificado raiz), o resultado será um certificado de cliente com o nome “ClientCertificateName” no arquivo de certificados pessoais.
  3. Digite o seguinte comando:

Copiar para área de transferênciaCópia

makecert. exe – n “CN = ClientCertificateName”  – pe – troca céu – m 96  – ss meu  – em  “RootCertificateName”  – é  a minha  – um sha1

  1. Todos os certificados são armazenados no arquivo de certificados pessoais no computador.Verifique certmgrpara verificar. Você pode gerar o maior número de certificados de cliente, conforme necessário com base neste procedimento. Nós recomendamos que você crie certificados de cliente exclusivo para cada computador que você deseja conectar à rede virtual.

Exportação e instalar o certificado de cliente

Instalar um certificado de cliente em cada computador que você deseja se conectar à rede virtual é um passo obrigatório. Os passos a seguir irá orientá-lo através de instalar o certificado de cliente manualmente.

  1. Um certificado de cliente deve ser instalado em cada computador que você deseja se conectar à rede virtual. Isto significa que provavelmente irá criar vários certificados de cliente e, em seguida, precisa exportá-los. Para exportar os certificados de cliente, usecertmgr.msc. Clique com o certificado de cliente que você deseja exportar, clique em todas as tarefas, e depois clique exportação.
  2. Exportar o certificado do clientecom a chave privada. Este será um .pfx Certifique-se de gravar ou se lembre da senha (key) que definiu para este certificado.
  3. Copie o .pfxarquivo para o computador do cliente. No computador cliente, clique duas vezes no .pfx arquivo para instalá-lo. Digite a senha quando solicitado. Não modifique o local de instalação.

Seção 3 – Configure o seu cliente VPN

Para se conectar à rede virtual, você também precisa configurar o cliente VPN. O cliente requer um certificado de cliente e da configuração adequada do cliente VPN para se conectar.

Para configurar o cliente VPN, faça o seguinte, em ordem:

Passo 1 – Criar o pacote de configuração do cliente VPN.

Passo 2 – Instalar o pacote de configuração VPN no cliente e iniciar a conexão.

Passo 3 – Verifique a conexão.

Criar o pacote de configuração do cliente VPN

  1. No portal clássico Azure, no Painel depágina para a sua rede virtual, navegue até o menu rápida olhada no canto direito e clique no pacote de VPN que pertence ao cliente que você deseja se conectar à sua rede virtual.
  2. Os seguintes sistemas operacionais do cliente são suportados:
    • Windows 7 (32-bit e 64-bit)
    • Windows Server 2008 R2 (64 bits apenas)
    • Windows 8 (32-bit e 64-bit)
    • O Windows 8.1 (32-bit e 64-bit)
    • Windows Server 2012 (apenas 64 bits)
    • Windows Server 2012 R2 (64 bits apenas)
    • Windows 10
  3. Selecione o pacote de download que corresponde ao sistema operacional cliente no qual ele será instalado:
    • Para clientes de 32 bits, selecione o download do cliente de 32 bits pacote de 
    • Para clientes de 64 bits, selecione o download do cliente de 64 bits pacote de 
  4. Vai demorar alguns minutos para criar seu pacote de cliente. Uma vez que o pacote tenha sido concluída, você será capaz de baixar o arquivo. O .exearquivo que você baixar pode ser armazenado com segurança em seu computador local.
  5. Depois de gerar e fazer o download do pacote do cliente VPN a partir do portal clássico Azure, você pode instalar o pacote do cliente no computador cliente a partir do qual você deseja se conectar à sua rede virtual. Se você planeja instalar o pacote do cliente VPN para vários computadores cliente, certifique-se que cada um deles também têm um certificado de cliente instalado. O pacote do cliente VPN contém informações de configuração para configurar o software de cliente VPN embutido no Windows. O pacote não instalar software adicional.

Instale o pacote de configuração VPN no cliente e iniciar a conexão

  1. Copie o arquivo de configuração localmente para o computador que você deseja se conectar à sua rede virtual e clique duas vezes no arquivo .exe. Uma vez que o pacote foi instalado, você pode iniciar a conexão VPN. Note-se que o pacote de configuração não é assinado pela Microsoft. Você pode querer assinar o pacote usando o serviço de assinatura da sua organização, ou assiná-lo sozinho usando SignTool. É OK para usar o pacote sem assinar. No entanto, se o pacote não é assinado, aparecerá um aviso quando você instalar o pacote.
  2. No computador cliente, navegue para conexões VPN e localize a conexão VPN que você acabou de criar. Ele será chamado o mesmo nome de sua rede virtual. Clique Conectar.
  3. Uma mensagem pop-up aparece, que é utilizado para criar um certificado auto-assinado para o endpoint Gateway. Clique em Continuarpara usar privilégios elevados.
  4. No Connectionpágina de status, clique em Conectar-se a fim de iniciar a conexão.
  5. Se você ver um Select Certificatetela, verifique se a apresentação de certificado de cliente é aquele que você deseja usar para se conectar. Se não for, use a seta drop-down para selecionar o certificado correto e clique em OK.
  6. Agora você está conectado à sua rede virtual e ter pleno acesso a qualquer serviço e máquina virtual hospedada em sua rede virtual.

Verifique a conexão VPN

  1. Para verificar se sua conexão VPN estiver ativa, abrir um prompt de comando elevado, e execute ipconfig / 
  2. Veja os resultados. Observe que o endereço de IP que você recebeu é um dos endereços dentro do intervalo de endereços Point-to-site conectividade que você especificou quando criou a sua Vnet. Os resultados devem ser algo semelhante a isto:

Exemplo:

Cópia

PPP adaptador VNetEast:

Connection – específica DNS Suffix  .:

Description …………………:  VNetEast

Physical  Address …………….:

DHCP Enabled ………………..:  No

Autoconfiguration  Enabled …….:  Yes

IPv4  Address ………………..:  192.168 . 130.2 ( Preferred )

Subnet  Mask …………………:  255.255 . 255.255

Default  Gateway ……………..:

NetBIOS over Tcpip …………..:  Enabled

 

Ref: https://azure.microsoft.com/en-us/documentation/articles/vpn-gateway-point-to-site-create/

Cloud Computing

                                

                                  azure 

Azure

Microsoft Azure é uma plataforma destinada à execução de aplicativos e serviços, baseada nos conceitos da computação em nuvem.

A apresentação do serviço foi feita no dia 27 de outubro de 2008 durante a Professional Developers Conference, em Los Angeles e lançado em 1 de Fevereiro de 2010 como Windows Azure, para então ser renomeado como Microsoft Azure em 25 de Março de 2014.

Funcionamento

Sua computação em nuvem é definida como uma combinação de software como serviço (SaaS) com computação em grelha.

A computação em grelha dá o poder de computação e alta escalabilidade oferecida para as aplicações, através de milhares de máquinas (hardware) disponíveis em centros de processamento de dados de última geração. De software como serviço se tem a capacidade de contratar um serviço e pagar somente pelo uso, permitindo a redução de custos operacionais, com uma configuração de infraestrutura realmente mais aderente às necessidades.

Recursos

Além dos recursos de computação, armazenamento e administração oferecidos pelo Microsoft Azure, a plataforma também disponibiliza uma série de serviços para a construção de aplicações distribuídas, além da total integração com a solução on-premise (local) baseada em plataforma .NET. Entre os principais serviços da plataforma Windows Azure há o SQL Azure Database, Azure AppFabric Platform e uma API de gerenciamento e monitoração para aplicações colocadas na nuvem.

Distribuíção

O Microsoft Azure entrou em produção em 1 de Janeiro de 2010 e sua fase comercial está no ar desde 1 de Fevereiro de 2010. Na primeira onda de lançamentos, 21 países foram atendidos.

Até meados de março de 2010, os seguintes datacenters estavam disponíveis para deployment de solução sobre o Microsoft Azure:

Europe: West Europe e North Europe

Asia Pacific: East Asia e Southeast Asia

North America: South Central US, North Central US, East US, West US

Brasil: Sul do Brasil.

Fonte: https://pt.wikipedia.org/wiki/Microsoft_Azure

 

 

Para se tornar um MCSA em Windows Server 2012 é preciso ser aprovado em três exames que são 70-410, 70-411 e 70-412.

Vamos começa na próxima semana no dia 20/06/2015, uma serie de estudo semanal  para exame 70-410. Que é o primeira exame para ser MCSA em Windows Server Server 2012, com seguintes tópicos:

  • Instalação e configuração do Windows Server 2012 (15-20%)
  • Configurando Server Roles and Features (15-20%)
  • Configurando o Hyper-V 3.0 (15-20%)
  • Configurações básicas de rede
  • Instalação e configuração do Active Directory (15-20%)
  • Criar e gerenciar GPO

Aguardo todos vocês com dúvidas, perguntas e sugestões !!!

IIS 6.0 3 Parte

IIS 6.0 3 Parte

Serviço de FTP

Objetivos

Eu não gostaria de escrever mais um artigo sobre simplesmente como criar um servidor FTP com IIS. Em minhas pesquisas pela Internet tenho visto isso aos ‘baldes’ e, sinceramente, seria muito difícil escrever algo original e melhor que meus antecessores.

Assim, mesmo correndo o risco de ainda não ser tão original, resolvi escrever sobre o assunto da maneira mais completa possível, do passo-a-passo de como instalar e configurar um servidor FTP (File Transfer Protocol) até a funcionalidade, explorando os problemas de gerenciamento e segurança na publicação de servidor na web. Vamos estudar os tipos de configurações possíveis do servidor e suas implementações de segurança em cada um deles.

Introdução

História

Para não perder o hábito, e como um pouco de história não faz mal a ninguém…

A primeira RFC (Request For Comments), a descrever o FTP foi a RFC 114, de 1971. Isso criou uma afobação de interesse entre os cientistas, o que levou á um grande números de RFCs que foram escritas no período de 1971 a 1975. Todo mundo queria entender e escrever sobre FTP.

Inicialmente, o FTP rodava em servidores dentro do MIT (Massachusetts Institute of Technology). Posteriormente, ele foi adaptado para a ARPANET. Finalmente em 1980, Jon Postel escreveu a RFC 765, o que pareceu acalmar as discussões sobre o assunto. A RFC 765 definiu o FTP rodando sobre o topo do TCP.

O Protocolo FTP

Segundo a Wikipédia, FTP significa File Transfer Protocol (Protocolo de Transferência de Arquivos), e é uma forma bastante rápida e versátil de transferir arquivos sendo uma das mais usadas na internet.

O FTP é um dos meios mais comum de se copiar arquivos de um lugar para outro na Internet. É bastante antigo, inclusive existe suporte até para os sistemas Mainframe.

Por esse fato, é desnecessário dizer que é um protocolo bastante simples e não foi projetado pra atender os requisitos de segurança que se fazem necessários nos dias atuais. Por isso mesmo, precisamos entender o seu funcionamento (pelo menos o básico), pra ajustarmos nosso ambiente de rede (corporativo ou não), pra melhor configurar a disponibilidade e a segurança do processo.

O Protocolo FTP faz parte da suíte de protocolos TCP/IP e trabalha na camada de Aplicação de sua Arquitetura. Diferentemente do http, por exemplo, e de outros protocolos usados na Internet, o FTP usa no mínimo duas conexões durante uma sessão: uma conexão half-duplex para controle e uma conexão full-duplex para transferência de dados. Para isso, utiliza as portas 20 e 21 para se comunicar e transmitir dados. A RFC 959 é atualmente o documento oficial que dita seus padrões.

A porta 21 é utilizada para estabelecer e manter a comunicação entre o cliente e o servidor. Essa sessão também é conhecida como ‘Control Channel’. É ela quem verifica se a conexão com o servidor ainda existe.

A porta 20 é utilizada para a transferência dos dados (arquivos), propriamente dita. É conhecida também como ‘Data Channel’. É nela que é feito o controle do fluxo e integridade dos dados.

Para utilizar o FTP, a estação cliente realiza uma conexão com o servidor FTP na porta 21. Após a conexão estabelecida, para cada arquivo transferido estabelece-se uma nova conexão, chamada de conexão de dados. Por padrão, a porta TCP 21 é usada no servidor para controlar a conexão, mas a conexão de dados é determinada pelo método que o cliente usa para se conectar ao servidor. Assim, existem 2 tipos de conexões:

» Conexões FTP de modo ativo são algumas vezes chamadas de conexões “gerenciadas pelo cliente” porque o cliente envia um comando PORT ao servidor na conexão do controle. O comando solicita ao servidor que estabeleça uma conexão de dados da porta TCP 20 no servidor até o cliente com a porta TCP especificada pelo comando PORT.

» Conexões FTP de modo passivo são às vezes chamadas de conexões “gerenciadas pelo servidor” porque, depois que o cliente emite o comando PASV, o servidor responde com uma de suas portas temporárias usadas como a porta do servidor na conexão de dados. Depois que um comando de conexão de dados é emitido pelo cliente, o servidor se conecta ao cliente usando a porta imediatamente acima da porta do cliente na conexão do controle.

FTP Ativo e Passivo

Modelo de Conexão FTP

1. Interface com o usuário – Aplicativo responsável pela comunicação entre o usuário e o interpretador do protocolo;

2. Interpretador de protocolo (Client/Server PI) – através da conexão de controle (Porta 21), conversa com o interpretador de protocolo do lado servidor (Server PI) e juntos controlam a transferência. Também controla o processo de transferência de dados do cliente (Client DTP).

3. Processo de transferência de dados (Client/Server DTP) – responsável pela comunicação com o Server DTP através da conexão de dados (Porta 20). É a parte do cliente que realmente realiza transferência de dados. Controla também o sistema de arquivos local (4).

Transferência de dados e firewalls

O problema que ocorre com mais freqüência no FTP pela Internet envolve a transferência de dados por servidor proxy, firewall ou dispositivo de conversão de endereços de rede (NAT). Em muitos casos, esses dispositivos de segurança de rede permitem que a conexão de controle seja estabelecida na porta TCP 21 (ou seja, o usuário faz o logon com êxito no servidor FTP); porém, quando o usuário tenta realizar uma transferência de dados do tipo DIR, LS, GET ou PUT, o cliente FTP aparentemente para de responder porque o dispositivo de segurança da rede bloqueia a porta de conexão de dados especificada pelo cliente. Se o dispositivo de segurança da rede der suporte a logs, você poderá verificar o bloqueio da porta consultando os logs de negação/rejeição do dispositivo de segurança.

O firewall com filtro de pacotes com base no estado da conexão consegue analisar todo o tráfego da conexão FTP, identificando qual o tipo de transferência que será utilizada (ativa ou passiva) e quais as portas que serão utilizadas para estabelecer a conexão. Sendo assim, todas as vezes que o firewall identifica que uma transferência de arquivos se realizará, é acrescentado uma entrada na tabela de estados, permitindo que a conexão seja estabelecida. As informações ficam armazenadas na tabela somente enquanto a transferência do arquivo é realizada.

Com FTP ativo, quando um usuário se conecta ao servidor FTP remoto e solicita informações ou um arquivo, o servidor FTP abre uma nova conexão com o cliente para transferir os dados. Esta é a chamada conexão de dados. Para iniciar, o cliente FTP escolhe uma porta aleatória para receber a conexão de dados. O cliente envia o número da porta escolhida para o servidor FTP e fica esperando uma conexão nessa porta.

Então o servidor FTP inicia a conexão com o endereço do cliente na porta escolhida e transfere os dados. Isto se torna um problema para usuários atrás de um gateway NAT tentando se conectar a servidores FTP.

Por causa da forma como NAT funciona, o servidor FTP inicializa a conexão de dados se conectando ao endereço externo do gateway NAT na porta escolhida. A máquina fazendo NAT receberá o pedido, mas como não possui mapeamento para o pacote na tabela de estado, descartará o pacote sem entrega-lo ao cliente.

No modo FTP passivo, o cliente pede ao servidor que escolha uma porta aleatória para ouvir esperando a conexão de dados. O servidor informa ao cliente a porta escolhida e o cliente se conecta na porta para transferir os dados. Infelizmente, isto nem sempre é possível ou desejável, por causa da possibilidade do firewall em frente ao servidor FTP bloquear a conexão de dados em portas aleatórias.

Em resumo, há dois pontos a considerar. O primeiro é o modo de conexão, que pode ser passivo ou ativo; o segundo é o modo de transferência de dados, que pode ser de fluxo, de bloco ou compactado.

O serviço FTP do IIS dá suporte às conexões de modo ativo e passivo, dependendo do método especificado pelo cliente. O IIS FTP não permite desabilitar os modos de conexão ativo ou passivo.

O modo de transferência de dados padrão do FTP do IIS é de fluxo. No momento, o IIS não dá suporte ao modo de transferência de dados de bloco ou compactado.

A tabela a seguir contém clientes FTP fornecidos pela Microsoft e o modo de conexão a que cada cliente dá suporte.

Clientes FTP Microsoft

O FTP é um auxiliar indispensável para webdesigners, DBAs, e outros profissionais que necessitam constantemente publicar, criar ou sincronizar dados, planilhas, pagínas html, etc.

Mais uma vez, vale a pena lembrar-se de que entender os processos básicos de conexão e transmissão de dados via FTP é importante para a correta configuração de seu ambiente de rede, tanto no que se diz respeito ao seu bom funcionamento como aos aspectos de segurança dos dados.

Segurança

Porque a preocupação com segurança?

Bom, em princípio, vamos deixar a parte mais ‘fantasiosa’ de lado que são ataques como descritos em filmes clássicos como A Rede e Swordfish e olharmos o lado prático e real.

Apesar da Internet ser a “fonte de todos os males”, algo mais próximo e real é a pior de todas; nossos próprios usuários. Usuários insatisfeitos com a empresa, desonestos e ignorantes, no sentido de desconhecedores, deve ser sua maior preocupação. Os primeiros porque têm a intenção em causar danos, e isso faz com que eles porcurem agulha em palheiro pra atingirem seus objetivos e os últimos por total falta de conhecimento podem realizar acessos indevidos e cometerem os mais absurdos dos erros sem ao menos saberem que os fizeram. E não pense que isso é exclusivo de grandes corporações, se você tem um usuário você já tem um problema.

Diante disso, se você é um adminsitrador de redes como eu, deve ter uma preocupação quase que paranóica com a segurança de seus servidores porque, diante das leis atuais você é cúmplice de todo e qualquer dano causado aos negócios da empresa por uma falha de segurança explorada em seus servidores até que se prove o contrário. Essa segurança não se trata somente de questões técnicas mas também administrativas e de disponibilidade de serviços. Nos dias atuais, os administradores de rede devem ser além de especialistas na área, conhecedores das leis sobre recursos digitais, dos negócios da corporação em detalhes, atentos às normas de conduta (execrar os tais ‘jeitinhos brasieleiros’), e cientes de tudo o que acontece no seu território de trabalho.

Sem querer me extender mais sobre o assunto, leis como a SOX (Sarbanes & Oxley) e até mesmo algumas alterações no Código Civil Brasileiro, e normas como a ISO 17799, foram criadas diante do fato de que muito se pode fraudar eletrônicamente de dentro da própria corporação. Se, por exemplo, seu servidor de e-commerce se tornar indisponível por causa da exploração de uma vulnerabilidade que é conhecida e corrigida em um path e, esse path não foi aplicado por você por negligência (e não adianta usar a ‘falta de tempo’ como justificativa), o mínimo que pode lhe acontecer é dispensa por justa causa.

Por tudo isso é que devemos nos preocupar com essa tal segurança.

Serviço de FTP no IIS

O IIS é uma plataforma poderosa para se criar e hospedar web sites, tanto para a Internet quanto para Intranets corporativas e, da mesma forma, para se disponibilizar sites FTP para uso público ou corporativo.

A Microsoft é bastante ironizada pelo fato de promover seus produtos em cima dos próprios produtos em versão anterior. Realmente chega a ser cômico o fato dela destacar as deficiências de um produto na versão anterior pra salientar as melhorias da nova versão. Tenho o hábito de dizer que nós só conhecemos verdadeiramente um produto da Microsoft quando ela lança uma nova versão dele.

Discussões à parte, vejo esse episódio de uma forma muito otimista porque podemos estudar como garantir melhor a segurança e disponibilidade das versões anteriores do produto ou justificar a aquisição da nova versão, se as melhorias forem realmente importantes para o negócio.

Assim, vamos ver as características e problemas das versões anteriores do serviço de FTP e o que ele nos apresenta de novidade (e verdadeiramente útil), em sua versão 6.0.

Autenticação de Usuários no IIS

Através da autenticação do usuário são definidos os níveis de acesso às informações que ele pode acessar como também criar registros das ações realizadas por ele ao se gravar logs de acesso.

Na tabela abaixo, segue uma descrição rápida dos tipos de autenticação suportadas pelo IIS.

Métodos de Autenticação do IIS

Autenticação de Usuários em site FTP

Para sites FTP, no entanto, o IIS disponibiliza somente a autenticação anônima e básica.

Com base em seus requisitos de segurança, você poderá selecionar um método de autenticação do IIS para validar os usuários que estiverem solicitando acesso a seus sites FTP. A tabela a seguir resume os métodos de autenticação do FTP.

Métodos de Autenticação do IIS FTP

O acesso anônimo (Anonymous Authentication) é bastante comum porque permite que o usuário acesse aos sites (WWW ou FTP) sem a necessidade de fornecer nome de usuário e senha. Quando um site (WWW, FTP…) está configurado para permitir esse tipo de acesso uma conta anônima que é criada quando instalamos o IIS é utilizada para permitir o acesso. Geralmente essa conta de usuário tem o formato IUSR_Nome_do_Servidor (no nosso caso IUSR_PLUTAO). Essa conta é incluída em um grupo de usuários que tem restrições de segurança impostas pelas permissões do sistema de arquivo (NTFS) e que designam o nível de acesso e o tipo de conteúdo disponível para os usuários públicos, via acesso anônimo. Com isso, o usuário possui limitações sobre os recursos que pode acessar no servidor.

Serviço de FTP no IIS 5.0

Relembrando um pouco da arquitetura do IIS 5.0 (estudada no Capítulo 1), o serviço de FTP roda dentro do Inetinfo.exe juntamente com outros serviços como o SMTP e o NNTP. Além disso, alguns componentes do serviço WWW também são executados nele. O problema que podemos encontrar nesse modelo é que, se um aplicativo ou site www, ou um desses serviços se comportar mal ou for atacado, todos os serviços e componentes dependentes do Inetinfo.exe sofrerão o efeito colateral deixando de funcionar. Isso nos alerta pra que sejamos bastante criteriosos com a disponibilidade de qualquer serviço do IIS e devemos considerar sempre a possibilidade de distribuirmos os serviços entre dois ou mais servidores colocando, por exemplo, o IIS FTP e servidor diferente do que disponibiliza as Páginas da Intranet corporativa.

A segurança de acesso ao serviço FTP nas versão 5.0 é totalmente dependente do Sistema de Arquivos do Windows Server (NTFS). Se a configuração das devidas permissões nas pastas ou diretórios disponíveis para FTP, todos os usuários conseguem visualizar todos os conteúdos de todas as pastas a partir da raiz, independente da confidencialidade de cada um. Essa dependência apesar de eficiente , em termos de segurança, apresenta alguns problemas que devem ser considerados:

» Se o administrador esquecer de atribuir permissões ou atribuir permissões inadequadas alguma pasta, toda a segurança do servidor – quiçá da rede toda – pode ser comprometida;

» Configurar e manter os registros de permissões para um grande número de usuários requer um esforço descomunal, é altamente complicado e estressante, pra não dizer que é quase impossível ser feito por uma única pessoa (o que não é difícil de acontecer diante das conteções de despesas nos dias atuais).

Além da questão NTFS, existem mais alguns detalhes a serem considerados sobre a segurança dessa versão do IIS.

» Acesso Anônimo – Por padrão o IIS FTP permite ambos os acessos, anônimo e por autenticação. Para desabilitar o acesso anônimo é necessário desmarcar a opção “Allow anonymous connections”

» Autenticação – Como já vimos, embora o IIS tenha uma gama de opções muito boa para autenticação, o IIS FTP suporta somente a autenticação Anonymous e Basic-Like Authentication (Figura 5). Em geral, o FTP é considerado erradamente como um meio seguro de transferência de dados, já que o servidor FTP pode ser configurado para solicitar uma combinação de nome de usuário e senha válidos antes de conceder acesso aos dados. Esteja ciente de que tanto as credenciais especificadas no logon quanto os dados propriamente ditos não são criptografados nem codificados. O que significa dizer que todas as credenciais são transmitidos através da rede em ‘clear-text’, ou seja, sem formatação. Em outras palavras, todos os dados FTP podem ser facilmente interceptados e analisados por qualquer estação ou rede entre o cliente e o servidor FTP. O risco de credenciais em texto sem formatação é que pessoas estranhas consigam fazer logon no FTP e façam download de arquivos destinados a usuários específicos.

» FTP Logon – A utilização deautenticação via logon no IIS FTP requer alguns privilégios especiais aos usuários e à conta Anonymous. È necessário atribuir-lhe o direito do logon local (Logo n Locally).

» Isolamento de usuários – Isolamento de usuários significa garantir que cada usuário tenha acesso ao diretório FTP a partir de sua pasta de usuário e nunca a partir da raiz do serviço. Para conseguir isso nessa versão, como já foi dito, é necessário configurar as permissões do sistema de arquivo (no caso, NTFS), do servidor FTP.

» O IIS 5.0 não oferece suporte ao Secure FTP e FTPS (FTP sobre SSL). E nesse caso ainda temos mais um problema pra quem utiliza o ISA Server;ele também não oferece este tipo de suporte para publicação de sites FTP.

» O único mecanismo de limitação de acesso ao IIS FTP 5.0 é a “Restrição por Endereço IP”(Figura 6). Isso restringe o acesso por estações mas não por usuário.

Qualquer usuário, com permissão ou não pra utilizar o serviço, sentado a frente de uma estação com IP ‘válido’ pode acessar as pastas e diretorios FTP.

3 – Tipos de autenticação suportada no IIS 5.0

4 – IP Address Restriction

Resolvendo Alguns Problemas com Segurança na Versão 5.0.

Para minimizarmos esses potenciais problemas podemos adotar, como sugestão, as seguintes medidas:

» Retirar a permissão de escrita (Write), de pastas em que não serão necessários uploads de arquivos por parte dos usuários;

» Não instalar, em hipótese alguma, o serviço de FTP para utilização corporativa em servidores Controladores de Domínio.

» Em relação ao FTP Logon, criar as contas de usuários na base de usuários do servidor FTP é uma boa saída. Principalmente se os usuários não forem corporativos (clientes ou parceiros de negócios, por exemplo). Isso restringe o acesso somente ao servidor FTP e pode impedir uma provável invasão de outros servidores.

» Desabilitar o acesso anônimo é importante inclusive para questões de auditoria de sistemas. Se o modo de autenticação pode ser implementado e o conteúdo exposto no FTP não é considerado para domínio público, o acesso anônimo deve ser banido.

» Como os dados de usuário e senha trafegam em clear-text no modo de autenticação do FTP, se está previsto colocar dados sigilosos no site FTP ou se a segurança na comunicação entre os clientes e o servidor FTP for essencial,o estudo para implementação de um canal criptografado, como uma rede virtual privada(VPN), protegida com protocolo de encapsulamento ponto a ponto (PPTP) ou com protocolo IPSec, devem ser considerados e amplamente encorajados. Deve ser também considerado o uso do WebDAV, que utiliza a SSL (camada de soquetes de segurança).

Um cuidado extra deve ser dado aos sites FTP na Web ou diretórios virtuais configurados para usar isolamento com Active Directory (IIS 6.0), ou balanceamento de carga de FTP. Estes não devem ser mapeados para diretórios físicos usados em sites com as Extensões de servidor do FrontPage instaladas. Esse procedimento pode permitir que usuários vejam todos os arquivos dessa estrutura de pastas na rede.

» Criar políticas de grupos de trabalhos para determinar as permissões NTFS é uma boa saída para minimizar os esforços de manutenção. Ao menos os usuários corporativos devem ser organizados em grupos departamentais e as permissões NTFS atribuídas a esses grupos ao invés de usuário para usuário. Esses usuários geralmente possuem seu Home Directory para armazenar dados pessoais e não faz muito sentido criar um endereço FTP somente pra esse tipo de serviço. Serviços corporativos, via de regra, devem disponibilizar conteúdos corporativos e não pessoais.

Serviço de FTP no IIS 6.0

A arquitetura redesenhada do IIS 6.0 colaborou em muito para a confiança na establidade e disponibilidade dos seu diversos serviços. Como já vimos (também no Capítulo 1), agora os serviços FTP, SMTP e NNTP continuam rodando sobre o inetinfo.exe, porém os aplicavos web rodam totalmente em processo separados com maior controle sobre sua ‘saúde’. Assim, se um site web se comportar mal não comprometerá os outros serviços e vice-versa.

5 – Arquitetura dos Serviços IIS 6.0

No aspecto de segurança, a versão 6.0 do IIS inclui o isolamento de usuários para auxiliar os administradores e, particularmente os provedores de hospedagem na Internet, a manter a segurança e a eficiência dos serviços FTP e oferecer a seus clientes diretórios individuais de FTP para fazer o upload de arquivos e de conteúdo da Web.

Isso é muito útil quando você tem vários usuários acessando um ou mais sites.

O isolamento dos usuários de FTP impede que eles exibam ou sobrescrevam o conteúdo da Web de outros usuários, restringindo-os a seus próprios diretórios. Os usuários não podem navegar mais acima na árvore de diretórios porque o diretório de nível superior aparece como a raiz do serviço FTP. Dentro de seu site específico, os usuários têm a capacidade de criar, modificar ou excluir arquivos e pastas.

O isolamento do usuário de FTP é uma propriedade do site e não uma propriedade do servidor; o que significa dizer que cada site FTP pode ter o isolamento de usuários configurado de maneira diferente.

Se o seu site se localiza em uma intranet ou na internet, os princípios disponibilização de um local para trocas (uploads e downloads) de arquivos usando o FTP são os mesmos. Você grava seus arquivos em diretórios no seu servidor de FTP para que seus usuários possam estabelecer uma conexão FTP e transferir arquivos com um cliente FTP ou com o browser (Internet Explorer, Firefox,etc) habilitado para conexões FTP.

Porém, além de simplesmente armazenar arquivos em seu servidor, você precisa gerenciar como o seu site está instalado e, o mais importante, como seu site se desenvolve.

O isolamento do usuário de FTP oferece suporte a três modos de isolamento.

Cada modo ativa diferentes níveis de isolamento e autenticação. O modo desejado deve ser configurado no ato da criação do site e não poderá ser alterado depois. A única maneira de fazer isso é excluir o site e criá-lo novamente com a outra opção de isolamento porque essa propriedade está presente somente na criação do site.

» Não isolar usuários – Este modo não ativa o isolamento do usuário de FTP.

Ele foi criado para funcionar de maneira semelhante a versões anteriores do IIS. Aqui é necessário se preocupar diretamente com as permissões NTFS para evitar acessos indevidos às pastas de outros usuários. Todas as recomendações de segurança dadas nesse artigo para a versão 5.0 servem pra este tipo de configuração.

» Quando Utilizar: Como o isolamento não é imposto entre diferentes usuários que fazem logon no seu servidor FTP, esse modo é ideal para um site que oferece apenas recursos de download de conteúdo compartilhado ou para sites que não exigem proteção de acesso a dados entre os usuários.

» Isolar usuários – Este modo autentica os usuários em contas locais ou de domínio, antes que eles possam acessar o diretório base que corresponde ao seu nome de usuário. Todos os diretórios-base de usuários devem ser criados localmente, ou seja, é necessário criar uma estrutura de diretórios em um único diretório raiz do FTP em que cada usuário é colocado e restrito ao seu diretório base. Os usuários não têm permissão para navegar fora de seu diretório base. Se os usuários precisarem de acesso a pastas compartilhadas dedicadas, também é possível estabelecer uma raiz virtual. Este modo não é autenticado no serviço de diretórios do Active Directory.

» Quando Utilizar: Este modo de isolamento tem alguns pontos positivos e negativos. O lado positivo é que pode autenticar usuários locais ou remotos e é de fácil entendimento para o administrador. O lado negativo é que todos as sub-pastas do site precisam estar em um mesmo diretório raiz e o desempenho do servidor pode degradar quando este modo for usado para criar centenas de diretórios-base. Este modo é indicado nas seguintes condições:

» Quando houver um número pequeno de sites pra gerenciar;

» Quando houver um número pequeno de contas de usuários FTP. Lembre-se de que 100 usuários significam 100 FTP home directories.

» Quando a escalabilidade (potencial de crescimento), for baixo.

» Isolar usuários usando o Active Directory – Este modo autentica credenciais de usuário em um recipiente do Active Directory correspondente, em vez de procurar em todo o Active Directory, o que requer muito tempo de processamento. Instâncias específicas do servidor FTP podem ser dedicadas a cada cliente, para assegurar a integridade e o isolamento dos dados. Quando o objeto de um usuário estiver localizado no recipiente do Active Directory, as propriedades FTPRoot e FTPDir serão extraídas para fornecer o caminho completo para o diretório base do usuário, o que torna desnecessário a manutenção de uma estrutura de diretórios para o FTP. Se o serviço FTP puder acessar com êxito o caminho, o usuário será colocado no diretório base, que representa o local raiz do FTP. Para o usuário é exibido apenas seu local raiz do FTP e ele não pode navegar acima na árvore de diretórios. O usuário terá o acesso negado se a propriedade FTPRoot ou FTPDir não existir ou se essas duas juntas não formarem um caminho válido e acessível.

» Quando Utilizar:

» Quando houve a necessidade de se criar um FTP Farm ou Load Balance;

» Quando houver a necessidade de alta disponibilidade do serviço;

Observação: Este modo requer que um servidor do Active Directory seja executado em um sistema operacional da família Windows Server 2003. Um Active Directory do Windows 2000 também poderá ser usado, mas irá requerer extensão manual do esquema User Object.

Instalação

O processo de instalação do serviço de FTP que descrevo abaixo, foi copiado dos procedimentos indicados pela Microsoft. Após a instalação vamos estudar como configurar e gerenciar nosso servidor FTP.

Instalando o Serviço de FTP

1. Abra o “Add Remove Programs” no Painel de Controle e clique em “Add/Remove Windows Components”;

6 – Instalação do Serviço de FTP no Windows Server 2003

2. Clique em “Application Server” à “Details” e, em seus subcomponentes, procure e clique em “Internet Information Services (IIS)” à “Details”.

3. Nos subcomponentes de “Internet Information Services (IIS)”, selecione “File Transfer Protocol (FTP) Service” à OK.

4. Clique em “Next”. Se solicitado, insira o CD do Windows Server 2003.

6. Clique em “Finish”.

O IIS Manager cria um site FTP padrão durante a instalação dos serviços FTP.

Pode-se utilizar o diretório \Inetpub\Ftproot para publicar o conteúdo ou criar outro diretório.

Pronto! Instalamos o Serviço FTP. Agora precisamos configurá-lo adequadamente pra que você possa oferecer este serviço para sua empresa/clientes de maneira segura e adequada.

Criando um novo site FTP

1. No IIS Manager, expanda o computador local, clique com o botão direito na pasta FTP Sites, aponte para New… e clique em FTP Site. O Assistente para criação de site FTP aparece.

2. Clique em Next.

3. Na caixa Description, digite o nome do site e clique em Next.

4. Especifique, digitando ou clicando, o endereço IP (o padrão é (All Unassigned)) e a porta TCP para o site, e clique em Next.

5. Clique na opção de isolamanto do usuário que você deseja e clique em Next.

6. Na caixa Path, digite, ou procure, o diretório que contém ou conterá conteúdo compartilhado e clique em Next.

7. Marque as caixas de seleção correspondentes às permissões de acesso ao site FTP que você quer atribuir aos usuários e clique em Next.

8. Clique em Finish.

9. Para posteriormente alterar estas e outras configurações, clique com o botão direito no site FTP e clique em Properties.

Discutiremos posteriormente como manter vários sites FTP em um único servidor.

DICA: Ao terminar a instalação, se vocês estiver utilizando o servidor com algum Service Pack (SP1 no caso do Windows Server 2003), é interessante reaplicar o último Service Pack após a instalação do serviço.

O primeiro requisito de segurança é a aplicação do Service Pack mais atual do seu Sistema Operacional (no nosso caso, o Windows Server 2003). Os Service Packs são ‘programados’ para instalar as correções somente dos serviços em execução no servidor. Assim, se houver alguma correção a ser feita (e há!) no serviço de FTP, ela só será aplicada após o serviço instalado. Existem pelo menos 5 artigos inclusos no SP1 que tratam de problemas diretamente ligados ao serviço de FTP (KB826270 – KB828086 – KB830886 – KB830885 – KB831914 – KB887175).

É uma boa prática verificar a compatibilidade dos sistemas que estão rodando no servidor que foi escolhido para ser o servidor de FTP, com os patchs do Service Pack atual antes de re-aplicá-lo ou aplicá-lo pela primeira vez. Alguns sistemas, como banco de dados por exemplo, podem deixar de funcionar ou começar apresentar erros após uma substituição de dll feita pelo Service Pack. E, acredite, é melhor pesquisar pelas incompatibilidades antes do que durante a ocorrência do problema.

Configurando o Serviço de FTP para Acesso Anônimo

Se o servidor FTP tiver por finalidade simplesmente ser um repositório de documentos de domínio público que podem e devem ser pesquisados pela empresa toda (pela intranet), ou pelo mundo (através da internet), a simples configuração para permitir somente conexões anônimas será o suficiente.

Para configurar o Serviço FTP de modo a permitir somente conexões anônimas, siga estas etapas:

1. Abra o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS.

2. Expanda Nome_do_servidor, em que Nome_do_servidor é o nome do servidor.

3. Expanda FTP Sites.

4. Clique com o botão direito em Default FTP Site e clique em Properties.

5. Clique na guia Security Accounts.

7 – Propriedades de Segurança de Contas de Acesso

6. Clique para marcar as caixas de seleção Allow anonymous connections (se já não estiver selecionada) e Allow only anonymous connections.

Ao clicar para selecionar a caixa de seleção Allow only anonymous connections, você configura o Serviço FTP para permitir somente conexões anônimas. Os usuários não podem conectar-se usando nomes de usuário e senhas.

7. Clique na guia Home Directory.

8. Clique para marcar as caixas de seleção Read e Log Visits (se já não estiverem marcadas) e clique para desmarcar a caixa de seleção Write (se já não estiver desmarcada).

9. Clique em OK.

10. Feche o Gerenciador dos Serviços de Informações da Internet da Microsoft ou o snap-in do IIS.

O servidor FTP está configurado para aceitar solicitações de entrada FTP. Copie ou mova os arquivos que deseja tornar disponível para acesso para a pasta de publicação em FTP. A pasta padrão é unidade:\Inetpub\Ftproot, onde unidade é a unidade na qual o IIS está instalado.

Tecnologias ›

O maior desafio da indústria mundial de software de segurança é prover soluções no espaço de tempo mais curto possível, a partir da descoberta de determinada ameaça ou problema. Mas foi-se o tempo em que tudo se resumia a encontrar um antivírus eficaz, que fosse capaz de deter um determinado vírus. Hoje em dia, os vírus de computador não são mais os únicos vilões do crime digital.

Não se trata mais de apenas proteger a estação de trabalho do funcionário. A companhia deve garantir que o correio eletrônico enviado desse mesmo computador passará pelo servidor da empresa, seguirá pela Internet (ou, em certos casos, por uma rede privada virtual), chegará a um outro servidor, que transmitirá a mensagem ao destinatário com a garantia de que se trata de um conteúdo totalmente protegido, sem carregar qualquer truque ou surpresa inesperada.

Mas essa ainda é apenas a ponta do iceberg. A Segurança da Informação deve estar atrelada a um amplo Programa de Segurança da Informação, que se constitui de pelo menos três fases principais:

1) O primeiro passo consiste em realizar o levantamento e a classificação dos ativos da empresa.

2) Concluída essa fase, é preciso avaliar o grau de risco e de vulnerabilidade desses ativos, testar suas falhas e definir o que pode ser feito para aperfeiçoar a sua segurança.

3) A infraestrutura de tecnologias é a terceira fase desse planejamento, envolvendo desde aquisição de ferramentas, até configuração e instalação de soluções, criação de projetos específicos e recomendações de uso.

Infraestrutura
Apresentar um organograma consolidado das ferramentas e soluções que compreendem a segurança de uma rede corporativa é algo, em certo sentido, até arriscado, considerando a velocidade com que se criam novos produtos e com que se descobrem novos tipos de ameaças. No entanto, algumas aplicações já fazem parte da rotina e do amadurecimento tecnológico de muitas organizações que, pela natureza de seus negócios, compreenderam quão críticas são suas operações.

Algumas dessas aplicações são:

– Antivírus: Faz a varredura de arquivos maliciosos disseminados pela Internet ou correio eletrônico. – Balanceamento de carga: Ferramentas relacionadas à capacidade de operar de cada servidor da empresa. Vale lembrar que um dos papéis da segurança corporativa é garantir a disponibilidade da informação, algo que pode ser comprometido se não houver acompanhamento preciso da capacidade de processamento da empresa.

– Firewall: Atua como uma barreira e cumpre a função de controlar os acessos. Basicamente, o firewall é um software, mas também pode incorporar um hardware especializado. – Sistema Detector de Intrusão (IDS, da sigla em inglês): Como complemento do firewall, o IDS se baseia em dados dinâmicos para realizar sua varredura, como por exemplo, pacotes de dados com comportamento suspeito, códigos de ataque etc.

– Varredura de vulnerabilidades: Produtos que permitem à corporação realizar verificações regulares em determinados componentes de sua rede como, por exemplo, servidores e roteadores.

– Rede Virtual Privada (VPN, da sigla em inglês): Uma das alternativas mais adotadas pelas empresas na atualidade, as VPNs são canais em forma de túnel, fechados, utilizados para o tráfego de dados criptografados entre divisões de uma mesma companhia, parceiros de negócios.

– Criptografia: Utilizada para garantir a confidencialidade das informações.

– Autenticação: Processo de identificação de pessoas, para disponibilizar acesso. Baseia-se em algo que o indivíduo saiba (uma senha, por exemplo), com algo que ele tenha (dispositivos como tokens, cartões inteligentes, certificados digitais); e em algo que ele seja (leitura de íris, linhas das mãos). – Integradores: Permitem centralizar o gerenciamento de diferentes tecnologias que protegem as operações da companhia. Mais que uma solução, trata-se de um conceito.

– Sistemas antispam: eliminam a maioria dos e-mails não solicitados. – Software de backup: São programas para realizar cópias dos dados para que, em alguma situação de perda, quebra de equipamentos ou incidentes inusitados, a empresa possa recuperá-los.

Pela complexidade de cada uma das etapas compreendidas em um projeto de segurança, especialistas recomendam que a empresa desenvolva a implementação baseando-se em projetos independentes.

Falsa sensação de segurança
O maior perigo para uma empresa, em relação à proteção de seus dados, é a falsa sensação de segurança. Pois, pior do que não ter nenhum controle sobre ameaças, invasões e ataques é confiar cegamente em uma estrutura que não seja capaz de impedir o surgimento de problemas.

Por isso, os especialistas não confiam apenas em uma solução baseada em software. Quando se fala em tecnologia, é necessário considerar três pilares do mesmo tamanho, apoiados uns nos outros para suportar um peso muito maior. Esses três pilares são as tecnologias, os processos e as pessoas. Não adianta fortalecer um deles, sem que todos os três não estejam equilibrados.

Ao se analisar a questão da Segurança da Informação, no entanto, além da importância relativa de cada um desses pilares, é preciso levar em conta um outro patamar de relevância, pois estará sendo envolvida uma gama muito grande de soluções de inúmeros fornecedores.

Por isso, a Segurança da Informação precisa envolver Tecnologias, Processos e Pessoas em um trabalho que deve ser cíclico, contínuo e persistente, com a consciência de que os resultados estarão consolidados em médio prazo.

Uma metáfora comum entre os especialistas dá a dimensão exata de como esses três pilares são importantes e complementares para uma atuação segura: uma casa. Sua proteção é baseada em grades e trancas, para representar as tecnologias, que depende dos seus moradores para que seja feita a rotina diária de cuidar do fechamento das janelas e dos cadeados, ou seja, processos. Simploriamente, a analogia dá conta da interdependência entre as bases da atuação da segurança e de como cada parte é fundamental para o bom desempenho da proteção na corporação.

Recursos de proteção
A primeira parte trata do aspecto mais óbvio: as tecnologias. Não há como criar uma estrutura de Segurança da Informação, com política e normas definidas, sem soluções moderníssimas que cuidem da enormidade de pragas que infestam os computadores e a Internet hoje em dia.

Os appliances de rede, com soluções de segurança integradas, também precisam ser adotados. Dispositivos para o controle de spam, vetor de muitas pragas da Internet e destacado entrave para a produtividade, também podem ser alocados para dentro do chapéu da Segurança da Informação. Programas para controlar o acesso de funcionários, bloqueando as visitas a páginas suspeitas e que evitem sites com conteúdo malicioso, também são destaques. Mas antes da implementação da tecnologia, é necessária a realização de uma consultoria que diagnostique as soluções importantes.

Essas inúmeras ferramentas, no entanto, geram outro problema: como gerenciar toda essa estrutura dentro de uma rotina corporativa que demanda urgência e dificilmente está completamente dedicada à segurança? A melhor resposta está no gerenciamento unificado. A adoção de novas ferramentas, como sistema operacional, ERP ou CRM, precisa de análise dos pré-requisitos em segurança.

Outro ponto do tripé são os processos, que exigem revisão constante. O grande combate realizado no dia-a-dia do gestor de segurança, em parceria com o CIO, é equilibrar a flexibilidade dos processos de forma que eles não tornem a companhia frágil, mas que, por outro lado, não endureça demais a produtividade, em busca do maior nível possível de segurança.

A visão da companhia como um emaranhado de processos causou grande revolução ao ir de encontro com os conceitos de gestão clássicos, focados na estrutura. Nesse novo enfoque, a adição de segurança segue a mesma linha turbulenta. Como no novo modelo, todos os processos estão integrados, um impacto causado pela segurança pode não apenas causar prejuízos para a rotina da empresa, mas também criar certo mal-estar entre as áreas. Tomar atitudes cautelosas e estudadas, mas sem receio de atritos, precisa ser a prática do gestor.

Pessoas: desafio constante
A última parte da trinca é a mais fácil de explicar. Não é preciso raciocinar muito para chegar à conclusão de que as pessoas são pedras fundamentais dentro do ambiente corporativo, sobretudo em Segurança da Informação.

Cerca de 70% dos incidentes de segurança contam com o apoio, intencional ou não, do inimigo interno. As pessoas estão em toda a parte da empresa e enxergam como ponto fundamental apenas a proteção da máquina. Os cuidados básicos com as atitudes das pessoas, muitas vezes são esquecidos ou ignorados. Encontrar senhas escritas e coladas no monitor, bem como a troca de informações sigilosas em ambientes sem confidencialidade, como táxi e reuniões informais são situações muito comuns. Assim, contar com a colaboração das pessoas é simplesmente fundamental numa atividade crítica para a empresa e que não tem final em vista. Mas o ponto principal da preocupação com as pessoas é que os fraudadores irão à busca delas para perpetrar seus crimes.

Uma exigência cada vez mais importante para o CSO é ser também um gestor de pessoas, uma vez que elas podem causar muitos estragos e provocar sérios prejuízos. Mas ao se analisar o contexto de formação dos gerentes de segurança, talvez seja esse o ponto mais fraco. Investimento em formação profissional nesse sentido é uma iniciativa muito válida, assim como intercâmbio de informações entre áreas como Recursos Humanos e Marketing para aumentar o alcance e a eficácia das recomendações. O fato de envolver um dilema cultural também é outro complicador. Segurança da Informação representa um desafio de inédita magnitude para os profissionais do setor e, também, para a companhia como um todo.

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 740 outros seguidores