DHCP com IP Amarrado ao MAC e Filtro de MAC nos Switches

Ricardo Boamorte Especializao em Redes e Segurana de Sistemas Pontifcia Universidade Catlica do Paran Curitiba, Abril de 2010 Resumo A estrutura de informtica do Detran-PR est passando atualmente por uma grande reformulao. Fazem parte dessa mudana a melhoria da infra-estrutura, troca de parque de mquinas, implantao de novos softwares e servios e melhorias em atividades consideradas imprescindveis para o bom funcionamento da rede de computadores. O presente artigo apresenta uma descrio dessas alteraes para que se entenda o contexto geral da mudana e se foca mais especificamente em um estudo de caso sobre alguns aspectos dessa mudana, como a implantao de um servidor DHCP que fornea endereos IP de acordo com o MAC Address das mquinas. abordada tambm a configurao de Switches com objetivo de restringir o uso da rede por mquinas no previamente cadastradas. 1 Introduo Ao longo dos ltimos anos foram visualizados alguns problemas no que diz respeito rede de computadores do DETRAN-PR. Problemas esses relativos segurana e que acarretaram vrias invases e fraudes ao longo dos anos. De quatro anos para c, vrias aes tem sido tomadas de acordo com as novas polticas de informtica adotadas pela COTIT - Coordenadoria de Tecnologia da Informao e Telecomunicaes, que a responsvel por toda a Administrao de Rede, do parque de mquinas, dos softwares e da telefonia do DETRAN-PR. Dentre todas essas aes, algumas foram repassadas para minha equipe dentro da COTIT. Minha equipe responsvel pela Administrao de Rede e Suporte Tcnico s Unidades de Trnsito em todo o estado. Foi-nos solicitado uma soluo para impedir a troca de computadores e impressoras de lugar dentro de cada Unidade de Trnsito sem autorizao prvia e outra para poder acabar com a possibilidade acesso externo rede do DETRAN-PR em cada Unidade de Trnsito. A partir da comeou um trabalho enorme, envolvendo toda a equipe para primeiramente fazer um levantamento de todo o parque de mquinas do DETRAN-PR em todas as Unidades de Trnsito. Aps feito isso foi feito uma identificao completa da estrutura de funcionamento em cada uma das Unidades de Trnsito. Foi feito um levantamento identificando toda a infra-estrutura da rede. Nesse processo foi feito a identificao de todos os pontos de rede ativos e todas as portas utilizadas nos Switches nas Unidades

de Trnsito. Com todos esses dados em mos foi feito uma configurao nos roteadores e switches nos locais para bloquear as portas no utilizadas e para criar um filtro utilizando o MAC Address das mquinas em cada porta do Switch. Aps esse passo foi criado um servido DHCP em Curitiba para centralizar a distribuio de endereos IP para todo o estado e paralelamente foi feita a retirada dos servidores DHCP em cada Unidade de Trnsito atingida pelas alteraes. Inicialmente esse procedimento foi realizado em trs Unidades de Trnsito como teste durante um ms, para ver se realmente funcionaria a contento. Esses testes e seus resultados sero discutidos posteriormente. 2 Descrio do Contexto Nos ltimos quatro anos o Detran-PR adotou uma nova poltica de administrao de servios de infra-estrutura e TI. A partir da foram traadas pela COTIT - Coordenadoria de Tecnologia da Informao e Telecomunicaes metas a serem cumpridas em diversas reas, que no todo elevariam o nvel de informatizao e resultariam na melhoria de todos os servios do rgo em todo o Paran, bem como na criao de novos servios. A estrutura do DETRAN-PR composta por 106 Unidades de Trnsito, sendo 100 Ciretrans (Circunscrio Regional de Trnsito) e os 6 Postos de Atendimentos Avanados, espalhados por todo o estado do Paran. Todas essas Unidades de Trnsito esto interligadas em rede, que foi implantada j h alguns anos pela CELEPAR (Companhia de Informtica do Paran) e administrada atualmente em conjunto pela COTIT DGET (Diviso de Gesto de Estruturas Tecnolgicas) localizada no DETRAN Tarum em Curitiba e uma equipe na CELEPAR na sede principal em Curitiba. Cada Unidade de Trnsito possui um servidor DHCP prprio que fornece os endereos IP para os equipamentos acessarem a rede. As novas polticas adotadas afetaram diretamente todas as unidades do DETRAN-PR. Aes nas reas de infra-estrutura, hardware e software fizeram com que mudasse completamente para melhor a forma como eram realizados os procedimentos de atendimento ao usurio. A primeira medida tomada foi fazer a troca de todo o parque de mquinas do Detran-PR. Os computadores eram muito antigos e no davam mais conta dos servios que tinham que ser realizados pelo rgo. Foram trocados ento todos os computadores e impressoras antigas por novos e instaladas mais algumas mquinas em cada Unidade de Trnsito, j pensando em um aumento de demanda. Aps isso foi feita a mudana na rea de infra-estrutura que consistia em mudanas no Layout das Unidades de Trnsito, com a troca de todo o cabeamento antigo por novo, a instalao de novos Switches e Roteadores, instalao de pontos eltricos e de rede para as novas mquinas. Depois de feito isso comeou a migrao do link de dados que era muito fraco para o grande volume de dados trafegados diariamente. Foi mudado o link de dados de 128 Kbps e 256 Kbps fornecido pela BRT que era o padro nas Unidades de Trnsito por um link de 2 Mbps fornecido pela Copel. A escolha de um link de 2 Mbps foi feita tambm para atender a outra mudana programada, a da telefonia. Foi migrada ento toda a parte de telefonia

convencional para telefonia VOIP da Siemens em todas as Unidades de Trnsito do estado, ficando apenas duas linhas analgicas da BRT em cada Unidade de Trnsito para funcionar no FAX e como Backup se a rede Voip cair. Nesse momento, todos os servidores utilizados pelos sistemas do DETRANPR se encontravam na sede Tarum em Curitiba, assim como os equipamentos de VOIP da Siemens. Permaneciam apenas os servidores das Unidades de Trnsito que eram responsveis pelo DHCP e pelo servio de autenticao que estava sendo migrado para um outro servidor de domnio na CELEPAR. Depois de todas essas alteraes a rede de comunicao com as Unidades de Trnsito ficou da seguinte forma:

Figura 1 - Comunicao entre o Detran Tarum e uma Unidade de Trnsito A Figura 1 mostra que a comunicao entre a sede do DETRAN-PR no Tarum em Curitiba e uma Unidade de Trnsito passa pela CELEPAR e realizada por um link da COPEL. Onde se v um aparelho telefnico, tambm pode ser visto computadores e impressoras, j que a estrutura a mesma da telefonia. Nas Unidades de Trnsito existe por padro um Roteador 3Com 5012 como gateway da rede interna, um ou dois Switches 3Com 5500 para ligao em rede dos equipamentos de informtica e telefonia da Siemens e um Gateway para telefonia da Siemens. A partir do momento que a infra-estrutura de todas as Unidades de Trnsito chegaram a esse ponto a Equipe da COTIT DGET que faz a Administrao de Rede

do Detran-PR e da qual fao parte como supervisor, foi incumbida de fazer um levantamento da situao atual da rede e realizar algumas alteraes no que diz respeito segurana e administrao. Desse levantamento surgiu a informao de que havia um problema quanto segurana dos processos do DETRAN-PR quando realizados nas Unidades de Trnsito. Levantou-se que aconteceu algumas vezes fraudes nos processos por conta da rede estar desprotegida. O que acontecia era que qualquer pessoa podia conectar um computador em qualquer ponto de rede, de qualquer Unidade de Trnsito que receberia um IP do DHCP local e poderia ter acesso total rede. Poderia tambm configurar um IP manualmente que conseguiria utilizar da mesma forma. Em alguns casos descobriu-se que foi instalado um hub ou switch para poder conectar vrios computadores na rede para a prtica de jogos on-line fazendo uso de boa parte da banda do Detran, fazendo outros servios funcionarem com lentido em outras Unidades de Trnsito. Acontecia muito tambm a troca de equipamentos de lugar. Muitas vezes os funcionrios da Unidade de Trnsito mudavam o computador ou impressora de lugar por achar mais conveniente, desrespeitando assim todo o projeto que foi feito pensando em melhor atender o pblico. Isso levou a Equipe da COTIT DGET a pensar uma soluo para que no fossem mudados mais os equipamentos de lugar sem permisso e que ningum mais conseguisse conectar um computador que no seja de patrimnio do DETRAN-PR na rede sem prvia autorizao. Chegamos ento a uma soluo para o problema apresentado. Esta soluo consiste em: Fazer um levantamento de todo o parque de mquinas atualmente distribudo pelas Unidades de Trnsito; Fazer a identificao de todos os pontos de rede ativos e portas utilizadas nos Switches de cada Unidade de Trnsito; Efetuar uma nova configurao nos roteadores e Switches bloqueando o acesso a qualquer MAC Address diferente daquele previamente cadastrado em cada porta utilizada; Desabilitar os servidores DHCP locais; Instalar um servidor DHCP em Curitiba para centralizar a distribuio de endereos IP para todo o estado; Implementar no servidor DHCP uma regra para que cada endereo IP apenas seja disponibilizado para o MAC Address de um equipamento especfico.

Essa, se mostrou uma soluo que exige muito tempo e trabalho da equipe para conseguir levantar todos os dados necessrios para que as novas configuraes comecem a ser realizadas. Aps algum tempo conseguimos finalizar tais alteraes em trs Unidades de Trnsito, as quais serviriam de piloto para testes da nova soluo. 3 Descrio do Projeto

A primeira parte a ser realizada nesse novo projeto foi a coleta dos dados necessrios para a futura configurao dos Switches e do Servidor DHCP. Comeando por entrar em contato com as trs Unidades de Trnsito e pegar todos os nmeros de patrimnio e de srie dos equipamentos e seus respectivos endereos IP e MAC Address. Outro processo que foi feito consistiu em juntar os dados que j possuamos sobre a identificao dos pontos de rede de cada Ciretran com a informao levantada de qual porta do switch estava conectado cada ponto.

Figura 2 Dados tabulados aps levantamento Com todos esses dados levantados, criou-se uma planilha com as informaes que seriam importantes depois no processo de implementao e configurao do servidor DHCP e Switches, como o pequeno trecho mostrado na Figura 2 sobre o levantamento na Ciretran de Londrina. O prximo passo a implementao do servidor DHCP em Curitiba. O servidor est fisicamente localizado no Data Center da CELEPAR. Ficou a cargo de um funcionrio da CELEPAR, especialista no assunto, fazer a instalao e configurao do servidor. A CELEPAR entregou ento ao DETRAN-PR um servidor DHCP instalado em Linux numa Mquina Virtual dentro de um servidor que j rodava alguns servios do rgo. Este servidor veio apenas com a configurao inicial cabendo equipe da COTIT DGET realizar as futuras configuraes necessrias para colocar o servidor para funcionar. O acesso ao servidor que est localizado fisicamente na CELEPAR feito da sede Tarum do DETRAN-PR por SSH. Segundo Morimoto [1]: Uma possibilidade interessante para o SSH o suporte a distncia. Praticamente tudo pode ser feito remotamente, desde alteraes na configurao do sistema, instalao de novos programas ou atualizaes de segurana, at a instalao de um novo kernel. A configurao tinha que ser realizada no arquivo dhcpd.conf localizado em /etc/dhcp3/ no servidor, que o arquivo base do servidor DHCP que contm todas as informaes e declaraes relativas sub-redes e servidores. Informaes sobre DNS, WINS, Tempo de Arrendamento, Logs, informao sobre qual a rede est o servidor para Discover/Request DHCP. Nesse arquivo deve ter tambm as configuraes relativas a cada Unidade de Trnsito que vai se conectar a esse servidor DHCP. Na Figura 3 podemos ver as configuraes relativas Ciretran de Londrina, mostrando qual a rede de endereos IP que ser disponibilizada para aquela Unidade de Trnsito, as configuraes de mscara de rede, qual o endereo de broadcast.

Esse trecho de cdigo tambm mostra qual o endereo do Roteador no local que ser o gateway e que enviar a requisio de IP por broadcast at o servidor. Tambm mostra a chamada para um arquivo de configurao chamado londrina.conf onde ser definida a relao entre endereo IP e MAC Address.

Figura 3 Dhcpd.conf no servidor DHCP

As demais configuraes relacionadas s outras Unidades de Trnsito vo sendo adicionadas na sequncia das configuraes de Londrina, formando assim o documento completo com as configuraes de todas as Unidades de Trnsito que recebem IP desse servidor. Na pasta /etc/dhcp3/listas/ encontram-se os arquivos de configurao de cada uma das Unidades de Trnsito separadamente. No arquivo londrina.conf, por exemplo, aparecem as informaes a respeito dos endereos IP que sero fornecidos para cada estao que fizer a requisio ao servidor bem como qual o MAC Address correspondente quele IP. Ou seja s vai ser liberado o IP para o cliente solicitante se o MAC for o mesmo cadastrado nesse arquivo. Na Figura 4 podemos ver um trecho desse cdigo. Aps qualquer alterao nos arquivos de configurao deve-se rodar um Script que faz a compactao do arquivo dhcpd.conf junto a todos os arquivos existentes na pasta /etc/dhcp3/listas/ e grava esse arquivo compactado em outro servidor. Quando o Script rodado todas as configuraes so repassadas ao servidor espelho do DHCP que est ativo como Backup do original. Se por algum motivo o servidor principal cair, o outro assume na mesma hora, no deixando o servio parar.

Figura 4 Cdigo que amarra o IP ao MAC da estao O funcionamento bsico do servidor DHCP descrito por Santana [2]: Quando um computador est configurado para obter o endereo IP automtico, utiliza broadcast para localizar um servidor DHCP e solicitar as configuraes TCP/IP. Porm, por padro, a maioria dos roteadores no encaminham trfego de broadcast. Ou seja, os clientes s podero obter as configuraes do TCP/IP caso o servidor DHCP esteja localizado na mesma rede local do cliente. Pode haver situaes na qual o servidor DHCP est localizado em uma outra sub-rede, ou seja, localizado em uma outra rede local. Nesse caso, deveremos configurar um DHCP Relay Agent na rede onde no existe o servidor DHCP.

Como o servidor DHCP no est mais na mesma rede, preciso que seja configurado o DHCP Relay no Roteador 3Com 5012. Tal configurao que permite o servidor mesmo estando em outra rede receber as requisies de IP. Fazzani [3] descreve assim o uso do DHCP Relay: No havendo nenhum servidor DHCP na mesma rede fsica, porm havendo em outra interligada atravs de roteadores, as requisies de endereo IP efetuada pelos hosts (DHCP Discovery), sero barradas nos roteadores, a menos que nessa sub-rede sem Servidor DHCP o roteador esteja configurado com um agente de retransmisso DHCP (DHCP Relay), ento esse servidor encaminha as solicitaes de endereo IP (DHCP Discovery) dos hosts at o servidor DHCP da outra rede. O Servidor DHCP dessa outra rede ter que estar configurado com um escopo apropriado para a sub-rede solicitante (com um escopo que poder oferecer endereos de IP apropriados para a sub-rede solicitante. A partir da foi feita a configurao do DHCP Relay no Roteador 3Com 5012, que possua suporte a essa funo, tornando assim possvel a requisio de hosts remotos ao servidor DHCP em Curitiba. A figura 5 mostra o cdigo que foi inserido nos Roteadores.

Figura 5 Configurao de DHCP Relay no Roteador Depois de feita a instalao e configurao do servidor DHCP, bem como do arquivo de configurao com todos os parmetros relativos s redes de cada Unidade de Trnsito e ainda da configurao do Roteador para fazer o DHCP Relay, a parte de DHCP da soluo implantada pela equipe da DGET estava completa. Foram efetuados testes e os clientes nas Unidades de Trnsito estavam conseguindo receber seus endereos IP normalmente. A partir da partimos para a segunda parte que a configurao dos Switches para aceitar apenas determinados MAC Address em cada porta. Isso comeou a ser realizado por membros da nossa equipe que fizeram a configurao porta a porta nos Switches, limitando a dois o nmero de MAC Address que podem estar ativos ao mesmo tempo e cadastrando em cada uma delas os dois MAC Address. Foi um trabalho manual e demorado que acabou sendo fazendo com que o incio dos testes finais acabasse por ser adiado por alguns dias. Alm das configuraes supracitadas, foi feito ainda o bloqueio de todas as portas nos Switches que no estavam sendo usadas. Essas portas foram bloqueadas num primeiro instante e depois se resolveu que era melhor deix-las desabilitadas. Depois que acabaram essas configuraes, foi entregue a soluo completa para os testes. O funcionamento bsico o seguinte: Uma estao, ou impressora ou telefone apenas conseguir fazer uma requisio de IP ao servidor DHCP se estiver instalada no ponto de rede correto de acordo com a configurao na porta do Switch. Se estiver no ponto correto, o Switch que j tem o MAC Address dessa estao cadastrado em determinada porta, libera o broadcast em busca do servidor DHCP.

Essa requisio ao chegar no Roteador que est preparado para fazer o DHCP Relay, repassa a requisio para o servidor DHCP em Curitiba. O servidor previamente configurado com informaes a respeito do IP e MAC Address da estao, confere se as informaes esto corretas e se estiverem, libera o IP para o cliente. 4 Procedimentos de Teste e Avaliao Depois de todas as mudanas, configuraes e alteraes serem feitas comeou o perodo de testes. Decidimos por deixar em teste durante um ms a Ciretran de Londrina, o Posto Avanado de Londrina e a Ciretran de Ponta Grossa. Durante esse perodo monitoramos diariamente as requisies de IP feitas ao servidor DHCP localizado em Curitiba. Todas essas requisies so armazenadas em um log no servidor.

Figura 6: Trecho do arquivo de log do servidor DHCP A anlise desse log de requisies proporcionou equipe a oportunidade de encontrar erros no processo de requisio e entrega de endereo IP. A Figura 6 mostra um trecho desse arquivo de log onde duas estaes da Ciretran de Londrina requisitam um IP ao servidor e ganharam o IP previamente cadastrado de acordo com seu MAC Address. Cada estao vai pegar sempre o mesmo IP do servidor como se fosse um IP fixo. Na Ciretran de Londrina no foi encontrado nenhum problema durante o ms de testes, todas as mquinas funcionaram corretamente. A nica coisa que aconteceu foi uma reforma na Ciretran. Um setor inteiro foi mudado de lugar para outro por conta de uma mudana que j estava programada pelo setor de Arquitetura do Detran. Ento tivemos que reconfigurar as portas do Switch onde estavam ligados os pontos de rede do novo setor para liberarem o acesso para os computadores e aparelhos telefnicos que vieram do outro setor. Depois que essas configuraes foram feitas e as portas antigas foram bloqueadas tudo funcionou perfeitamente at o final do ms. J no Posto Avanado de Londrina foram encontrados alguns problemas relacionados ao recebimento de endereo IP por parte das estaes. Porm, foi verificado atravs da anlise dos logs que todos os erros se limitavam ao cadastramento errado do MAC Address no arquivo conf no servidor DHCP. As mquinas faziam a requisio mas no conseguiam receber um endereo IP pois estavam com o MAC Address cadastrado errado no servidor. Aps o recadastramento correto dos MAC Address das mquinas que tinham apresentado problema, elas passaram a receber endereo IP normalmente como as demais mquinas da rede. Depois disso no aconteceram mais problemas relativos ao recebimento de endereo IP no Posto Avanado de Londrina at o final do perodo de testes. Na Ciretran de Ponta Grossa foi onde o no sistema DHCP teve mais problemas. Problemas esses relacionados ao recebimento do endereo IP, troca de

equipamentos e peas, e configurao das portas do Switch 3Com 5500. O primeiro problema a acontecer foi o travamento do Switch 3Com 5500, o qual teve que ser trocado e consequentemente toda a configurao em cada uma das portas teve que ser refeita no novo Switch. Depois que o Switch novo foi instalado e configurado comeamos a monitorar os logs como foi feito nas outras duas Unidades de Trnsito. Tambm foram encontrados MAC Address configurados erradamente no servidor. A equipe teve que novamente conferir o MAC Address correto das mquinas que apresentaram problemas e cadastr-lo novamente no arquivo conf do servidor DHCP. Depois de feito isso as mquinas funcionaram normalmente. Outro problema aconteceu quando um dos aparelhos telefnicos apresentou problema e teve que ser trocado. A partir desse momento foi preciso fazer uma mudana na configurao da porta do Switch, substituindo o MAC Address do aparelho telefnico antigo pelo MAC Address do aparelho novo. O telefone funcionou normalmente aps a configurao. Quando em outro dia um das estaes apresentou problema e precisou ser trocada, foi preciso tambm acessar o Switch para reconfigurar o MAC Address na porta especfica e tambm acessar o arquivo conf no servidor DHCP para fazer a atualizao do MAC Address. Depois de feitas as configuraes funcionou normalmente at o final do perodo de testes. O cadastramento do MAC Address no servidor se mostrou o grande vilo do processo de implementao do DHCP. Em algum ponto do processo de levantamento de dados houve um erro. Ou na verificao do MAC Address de cada mquina ou aparelho telefnico ou na hora de cadastrar os MAC Address no arquivo conf do servidor. Isso nos mostrou que preciso muito mais ateno nesse processo para que as estaes no fiquem tanto tempo paradas sem IP at que se corrija o erro. O processo de implementao do DHCP amarrado por MAC Address e adicional configurao no Switch tambm se mostrou muito trabalhoso, j que para qualquer alterao de hardware que altere o MAC Address ou para qualquer mudana de equipamento de lugar preciso alterar a configurao tanto da porta especfica no Switch quanto a configurao do servidor DHCP. Para fazer essas configuraes necessrias a cada mudana deixamos um funcionrio responsvel de planto durante o funcionamento dirio das Unidades de Trnsito, para que no acontea uma demora excessiva nos cadastramentos de Switches e no servidor e para que a mquina em questo no fique muito tempo parada, atrapalhando assim o atendimento ao pblico. Testamos tambm se algum conseguiria ligar um computador rede da Ciretran de Londrina. Pedimos para que um tcnico da CELEPAR fosse at o local e ligasse um notebook em um ponto de rede qualquer da Ciretran. No falamos para ele sobre as configuraes que tinham que ser feitas antecipadamente, apenas na hora do teste. Primeiro ele escolheu um ponto de rede que estava livre na Ciretran. No conseguiu IP porque todas as portas dos Switches que esto conectadas a pontos de rede tambm livres foram bloqueadas. Depois ele ligou o notebook no ponto de rede onde j estava funcionando uma estao, mas tambm no conseguiu IP pois o MAC Address do equipamento dele no estava cadastrado anteriormente. O ltimo teste foi pedir para ele cadastrar manualmente um endereo IP,

mascara e gateway no notebook. Ele fez isso mas mesmo com um IP vlido cadastrado em sua mquina no conseguiu acesso rede pois o MAC Address do seu computador no estava cadastrado na porta especfica do switch e o mesmo bloqueia ento seu acesso rede. No mbito geral, os testes mostraram que a soluo adotada funciona a contento apesar de exigir da equipe muita ateno no que diz respeito implantao do servio, pois preciso que sejam feitos levantamentos referentes identificao dos pontos de rede e quais equipamentos esto ligados em cada um, saber a qual porta do Switch est ligado a determinado ponto de rede e fazer as configuraes no Switch referentes aos bloqueios e liberaes em cada porta e no servidor cadastro dos MAC Address. Se for feita com bastante cuidado, evitando erros de configurao, a soluo ser adotada nas demais Unidades de Trnsito, j que se mostrou eficiente na centralizao da entrega de endereos IP amarrados aos MAC Address dos equipamentos e se mostrou segura evitando que mquinas que no tenham sido previamente cadastradas no consigam acessar a rede. 5 Concluso Seguindo as novas polticas de informtica adotadas pela COTIT Coordenadoria de Tecnologia da Informao e Telecomunicaes para serem aplicadas em todas as Unidades de Trnsito do DETRAN-PR, a equipe da DGET Diviso de Gesto de Estruturas Tecnolgicas, da qual sou supervisor, ficou encarregada de encontrar uma soluo para os problemas de segurana que a rede estadual do DETRAN-PR estava apresentando e tambm da implantao de um servidor DHCP em Curitiba para centralizar a distribuio de endereos IP para todas as Unidades de Trnsito. Os problemas de segurana levantados ento pela DGET diziam respeito aos acessos que podiam ser feitos ser feitos diretamente em cada Unidade de Trnsito. Qualquer pessoa podia ligar um computador, notebook, hub ou switch em um ponto de rede qualquer que receberia um endereo IP e teria acesso rede do DETRAN-PR sem nenhum tipo de bloqueio. Aconteciam fraudes tambm por parte de funcionrio do prprio rgo que mudavam computadores de lugar, colocando-os em salas escondidas para efetuar procedimentos ilcitos longe da vista dos usurios. Nesses casos era s mudar a mquina para outro ponto de rede que ela j recebia um endereo IP para acessar a rede. A soluo teria que garantir que todas as estaes das Unidades de Trnsito ficassem sempre no lugar previamente designado e no funcionasse em outro lugar. Para resolver todos esses problemas ao mesmo tempo foi apresentada ento uma soluo que unisse a implantao do servidor DHCP nico e resoluo do problema de acesso interno nas redes das Unidades de Trnsito sem prvia autorizao. Cada Unidade de Trnsito possui seu prprio servidor DHCP. A implantao do servidor DHCP nico em Curitiba possibilita a retirada desses servidores de cada Unidade de Trnsito, tornando assim muito mais simples a manuteno e administrao em apenas um servidor. Na configurao do servidor DHCP nico foi implementada uma soluo para

garantir que apenas os equipamentos de informtica do DETRAN-PR recebam endereos IP. Para isso foi relacionado o endereo IP a ser liberado com o MAC Address de cada uma das estaes. Assim apenas os equipamentos com os MAC Address previamente cadastrados no servidor DHCP conseguem receber sempre o mesmo endereo IP para utilizar a rede. Paralelo a isso foi realizado uma configurao nos Switches de cada Unidade de Trnsito, configurando em cada porta at dois MAC Address, um de telefone e outro de computador. Essa configurao faz um filtro por MAC Address em cada porta e s possibilita e requisio de endereo IP ao servidor DHCP se for o equipamento anteriormente cadastrado. Essas duas implementaes juntas se mostraram eficientes para resolver o problema proposto aps os testes realizados em trs Unidades de Trnsito durante o perodo de um ms. Com erros que apareceram durante os testes foi possvel aperfeioar o processo de implementao e de administrao. Depois dos testes terem sido realizados e os resultados terem atingido seu objetivo, a soluo vai comear a ser espalhada pelas demais Unidades de Trnsito atendendo um cronograma de implementao, perodo de testes e eventuais ajustes, que deve se estender at o final do ano de 2010. Todavia, projetos futuros j esto sendo pesquisados para que possam ser implementados e possam vir a tornar ainda mais eficiente a soluo apresentada. Um delas que j posso citar a utilizao de um software de monitoramento de rede que mostre em tempo real qualquer mudana de equipamento de lugar ou qualquer tentativa de conectar um dispositivo na rede que no seja um equipamento previamente cadastrado pelo DETRAN-PR. Um software j est sendo testado nas trs primeiras Unidades de Trnsito com a soluo implementada. O software o 3Com Supervisor, disponibilizado junto aos Switches 3Com 5500 adquiridos pelo Detran. Ele mostra um diagrama da rede e suas ligaes em tempo real. Permite tambm monitorar o trfego em determinada sub-rede e mostra quais os MAC Address esto conectados em cada Switch 3Com. Emite alertas se aparecer um MAC Address diferente dos previamente cadastrados permitindo assim que possamos identificar na hora uma possvel tentativa de invaso no local O nico porm que ele um software pago. preciso uma licena para cada Switch e com a compra inicial que o DETRAN-PR fez vieram apenas 10 licenas. Como o objetivo principal do rgo utilizar softwares gratuitos ou livres, comeamos a desenvolver juntamente com a CELEPAR um software livre que atender s necessidades de monitoramento do DETRAN-PR. Enquanto esse software no fica pronto, a verificao dos log do servidor e do Switch nos mostra se houve alguma alterao ou mudana na rede ou ainda se houve algum problema de entrega de endereo IP para determinado equipamento.

Bibliografia

[1] Carlos E. Morimoto. Redes e Servidores Linux. 2006.

[2] Fabiano de Santana. http://www.juliobattisti.com.br/fabiano/artigos/dhcp.asp [3] Felipe http://ffazzani.spaces.live.com/blog/cns!5420E39DA3EE1FF3!198.entry Fazzani.

[4] 3Com. http://www.3com.com/prod/pt_LA_AMER/detail.jsp?tab=features&sku=3CR17161-91 [5] Clube do Hardware. http://www.clubedohardware.com.br/ [6] Carlos E. Morimoto. Servidores, Guia Prtico. 2008.