segunda-feira, 28 de abril de 2014

Marco Civil da Internet é Lei 12.965/14

Olá Pessoal.

No período da manhã do dia 23/04/2014, no encontro internacional NETmundial, a presidente Dilma Roussef sancionou o Marco Civil da Internet que agora é a Lei 12.965/14 no Brasil. O Marco Civil defende a universalização indiscriminatória da Internet e a neutralidade da rede, uma proteção da Internet aos interesses comerciais das grandes operadoras de telecomunicações. Outro ponto importante é a garantia de que a governança da Internet no Brasil seja multilateral com participação de todos os setores da sociedade, o que já acontece hoje no Brasil através do CGI.br. 

Aliás, a NETmundial foi um marco importante para a discussão da governança mundial da Internet e um dos objetivos das discussões foi justamente expandir esse modelo de governança multissetorial do Brasil para todo o mundo. O encontro ocorreu em São Paulo e reuniu autoridades de mais de 90 países, além de nomes importantes na história da Internet, a exemplo de Vint Cerf (criador da Internet) e Tim Berners-Lee (criador da Web), defensores da iniciativa do Marco Civil da Internet no Brasil.


A Lei 12.965/14 defende a Internet como ferramenta para que o brasileiro possa se comunicar/manifestar como bem entender, apoiada no direito à liberdade de expressão que já existe na Constituição. Esse objetivo soa bastante distante de qualquer tipo de censura, idéia que está sendo disseminada nas redes sociais (por engano ou por má fé). Vale lembrar que ainda há muito lobby favorável às operadoras de telecomunicações que foram os maiores prejudicados com a lei.

O ponto mais criticado atualmente na Lei do Marco Civil está em seu artigo 19, especificamente no seu parágrafo terceiro que diz respeito à possibilidade de solicitação de remoção de conteúdo ofensivo à honra em juizados especiais, orgãos que promovem o julgamento de causas de menor complexidade. O intuito é agilizar o trâmite burocrático necessário para remoção de conteúdos ofensivos, privilegiando o respeito à honra que é um direito fundamental.

Há juristas argumentando que a eventual decisão equivocada do juizado especial poderia ferir a liberdade de expressão que também é um direito fundamental. Outra preocupação é que os juizados especiais estariam mais sujeitos à "pressão dos grandes". No entanto, o parágrafo quarto deixa claro que a decisão deve estar norteada na "existência de prova inequívoca do fato e considerando o interesse da coletividade na disponibilização do conteúdo na Internet." A redação destaca a preocupação com o interesse da coletividade (liberdade de expressão) e que a decisão tem que ser fundada - não há censura nesse processo.  Se há desconfiança do juizado especial ou do judiciário como um todo, então o problema real não é a lei! Pensem nisso...

Não é fácil criar um mecanismo jurídico totalmente imparcial e esse ponto é bastante delicado porque diz respeito a dois direitos fundamentais que acabam tendo pesos diferentes na balança: (i) liberdade de expressão e (ii) respeito da honra. O fato é que o projeto que deu origem à lei foi redigido com ampla participação da sociedade civil para garantir a liberdade de expressão e proteger a privacidade dos usuários, ou seja, não se trata de uma proposta do governo ou da oposição.  


Durante o processo de discussão e aprovação do Marco Civil observei que várias pessoas contrárias a sua aprovação não eram contrárias ao projeto em si, sendo, na realidade, contrárias ao governo atualmente em exercício. Acho que não é adequado misturarmos as coisas, senão a discussão não avança... A gente vive em um Estado de direito e é impossível esperar que as coisas sejam autorreguladas nesse modelo de sociedade - isso seria anarquia - não é isso que queremos! Um Estado de direito deve ser democrático e estar consolidado em direitos e deveres. É dever do Estado proteger nossos direitos, assim como cumprimos nossos deveres de cidadão.

Entre dar um voto de confiança para as operadoras de telecom que têm interesse exclusivamente econômico ou dar esse voto para o Estado que tem o dever de nos proteger, então parece razoável que essa responsabilidade seja do Estado. Reparem que Estado é algo maior, não um governo transitório. Se existe um clima de tensão/medo em relação ao governo atualmente em exercício no país, então deve ser promovida a transição desse governo através das eleições.

O mais importante dessa discussão é que o leitor não forme sua opinião apenas com base na leitura deste artigo (ou de qualquer outro) sem antes fazer a leitura da Lei 12.965/14 (Marco Civil da Internet). Ao escrever sobre o tema não pretendo formar a opinião do leitor, meu objetivo é convidá-lo a fazer a leitura da lei na íntegra. 

Abraço.

Samuel.

sábado, 26 de abril de 2014

Curso de Redes da UNIMEP Recebe Nota Máxima do MEC

O curso de Graduação Tecnológica em Redes de Computadores da Unimep recebeu conceito 5 - em uma escala de 1 a 5 - pelo Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (INEP) do Ministério da Educação (MEC), após visita in loco da comissão para a avaliação da graduação. O resultado do relatório foi divulgado pelo INEP/MEC no último dia 16.


Composta por dois avaliadores, a comissão atribuiu o conceito máximo após análise detalhada e atribuição de notas individuais para três dimensões do curso: (1) organização didático-pedagógica, (2) corpo docente e (3) infraestrutura. De acordo com o coordenador da graduação, o professor Samuel Henrique Bucke Brito, dentre os elementos que foram melhores avaliados esteve o Projeto Pedagógico de Curso (PPC), sobretudo pelo fato de incluir as mais prestigiadas certificações internacionais da área de tecnologia da informação na matriz curricular do curso, tais como: IPv6 Forum, Cisco, Microsoft e Linux. 

"Além disso, houve destaque às parcerias acadêmicas que o curso possui com empresas como Cisco, Microsoft e IBM. A qualificação do corpo docente e a infraestrutura de laboratórios também foram mencionadas no relatório dos avaliadores, com destaque ao Laboratório de Arquiteturas de Redes (LAR), que é específico para desenvolvimento das práticas correlatas às diversas tecnologias de redes de computadores", afirma Brito. 

DIFERENCIAIS

Dentre os diferenciais do Curso de Tecnologia em Redes de Computadores da Unimep está o fato de ser o único curso de graduação do país credenciado com a chancela "IPv6 Forum Certified Course" do IPv6 Forum. Com essa certificação os cursos de graduação e pós-graduação em redes de computadores da Universidade contam com conteúdos relacionados ao "novo" protocolo em sua grade acadêmica. Além disso, Brito, foi em 2011 o primeiro engenheiro de redes certificado pelo fórum com o título de "IPv6 Forum Certified Network Engineer", e em 2013, tornou-se o primeiro instrutor de IPv6 a receber a chancela "IPv6 Forum Certified Trainer". Até o momento, ele é o único no Brasil com esse título.


Texto: Angela Rodrigues
Edição/Coordenação: Celiana Perina
Última Atualização: 23/04/2014

quarta-feira, 23 de abril de 2014

Palestra Sobre TI Verde na UNIMEP

Olá Pessoal.

No próximo dia 29/04/2013 (terça-feira) será realizada uma palestra na UNIMEP intitulada "TI Verde na Prática". O objetivo do evento é apresentar algumas tendências da área de Tecnologia da Informação, especificamente no que diz respeito a TI Verde através de tecnologias Microsoft.



O evento é gratuito e aberto também para participação da comunidade externa! Todos os leitores do blog estão convidados, participem e tragam seus colegas...

> Palestrante: Fábio Hara

É Technical Evangelist em infraestrutura de redes na Microsoft. Com mais de 15 anos de experiência na área de infraestrutura, também foi um dos primeiros MVPs (Microsoft Most Valuable Professional) do Brasil com a especialização em Enterprise Network e Virtualization. É revisor técnico de livros da Microsoft e também é autor de artigos técnicos focados em: Virtualização, Cloud Computing e Green IT. O interessado pode acompanhar vários artigos técnicos em seu blog pessoal (www.fabiohara.com.br), pelo Twitter (@fabiohara) e/ou Facebook (facebook.com/fabioharamicrosoft).

> Conteúdo Abordado:

Esta palestra aborda tecnicamente como funcionam as tecnologias implementadas no Windows 7/8 e que permitem controlar o consumo de energia da máquina. O público também vai conhecer como funciona o gerenciamento de energia nos Datacenters da Microsoft e também outros tópicos correlatos que os profissionais de TI devem estar cientes.

> Data e Local do Evento:


UNIMEP - Universidade Metodista de Piracicaba
Rodovia do Açucar, Km 156 - Piracicaba (SP)
Campus Taquaral - Auditório Verde - Bloco 02
Informações: (19) 3124.1684
29/04/2013 às 19h30 

Abraço.

Samuel.

quinta-feira, 17 de abril de 2014

Port-Security na Proteção de Switches de Acesso

Olá Pessoal,

O recurso port-security é uma ferramenta de segurança importante que pode ser adotada nas camadas de acesso das redes de computadores onde ficam os switches que conectam os dispositvos terminais. Esse recurso permite restringir os computadores (e outros dispositivos terminais) que podem ou não ter acesso à rede cabeada da empresa através da verificação dos endereços físicos (MAC) dos quadros que chegam nas interfaces do switch.

Para exemplificar o procedimento de configuração do port-security o leitor pode reproduzir o laboratório observado na figura abaixo através do Simulador Cisco Packet Tracer. A topologia é muito simples, possuindo um único switch e dois computadores, com apenas uma máquina conectada ao switch. Depois de realizada a configuração do port-security no switch, iremos conectar a outra máquina (círculo vermelho) na mesma interface em que estava conectada a máquina confiável.




Uma vantagem do port-security é a possibilidade de definir qual será a ação praticada pelo switch na ocorrência de uma violação, podendo essa ação ser do tipo: protect, restrict ou shutdown. A ação padrão shutdown faz o bloqueio da porta que passa para o status "error-disabled", também sendo possível enviar uma mensagem de violação para o administrador (trap SNMP). Ambas as ações protect e restrict recusam os quadros com endereços desconhecidos (drop) sem bloquear a porta, com a diferença de que a ação restrict incrementa a contagem de violação. 

Outra vantagem é que não há necessidade de cadastrar previamente os endereços MAC de todos os dispositivos terminais conectados, uma vez que existe a opção "stick" que faz o aprendizado dinâmico dos endereços MAC. Além disso, não é necessário que cada interface esteja limitada a um único MAC, sendo esse parâmetro definido pelo administrador. Essa opção é útil para que mais de um dispositivo terminal tenha acesso à mesma interface do switch, o que é comum quando os computadores estão ligados atrás de telefones IP (que possuem um switch embutido em sua eletrônica) ou mesmo quando um determinado ponto de rede é compartilhado por mais de uma máquina. Também é possível determinar um período de validade dos endereços aprendidos dinâmicamente.

Na realidade, a principal vantagem de ativar esse recurso nas interfaces dos switches é mitigar um ataque muito comum em redes de computadores denominado "MAC Flood". Esse ataque consiste em enviar muitos quadros falsos com endereços MAC aleatórios, prática que rapidamente estoura o limite de registros da Tabela MAC dos switches. Dessa forma os switches passam a se comportar como hubs porque não há informação íntegra sobre qual dispositivo está conectado em qual interface, implicando em péssimo desempenho decorrente dos sucessivos broadcasts. Esse ataque é muito simples de ser realizado a partir de ferramentas já conhecidas e potencialmente perigoso para qualquer rede porque um atacante pode derrubá-la em poucos minutos se tiver acesso físico a um ponto da rede - que pode ser uma tomada na recepção ou na sala de reuniões da empresa! :-o

Apesar do ataque ser perigoso, com poucas linhas de comando ele pode ser totalmente mitigado limitando a quantidade de endereços que podem ser associados por porta, de forma que qualquer ataque dessa natureza será frustrado e o atacante perderá sua conexão com a rede, inclusive podendo o administrador ser notificado da ocorrência e de onde partiu a tentativa frustrada! Para habilitar o port-security com aprendizado dinâmico do endereço MAC (stick), basta as poucas linhas de comando apresentadas abaixo, destacando que a ação padrão na ocorrência de uma violação é shutdown - por isso a última linha pode ser omitida:

Switch(config)# interface f0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address stick
Switch(config-if)# switchport port-security violation shutdown

Para configurar manualmente o endereço MAC sem o recurso do aprendizado dinâmico é só substituir a palavra "stick" pelo MAC da interface de rede do dispositivo, por exemplo: "port-security mac-address 0000.0000.AAAA". Através da saída abaixo é possível verificar em quais interfaces o port-security está habilitado:

Switch# show port-security 
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
        Fa0/1        1          0                 0         Shutdown
--------------------------------------------------------------------

Através da saída abaixo é possível verificar as configurações do port-security por interface:

Switch# show port-security interface f0/1
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 0
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

Utilizando a simples topologia apresentada anteriormente o leitor pode desconectar a máquina confiável que teve seu endereço MAC associado ao port-security (através do parâmetro strick) e conectar a outra máquina na interface f0/1 do switch. Ao fazê-lo o leitor irá constatar que o port-security está funcionando como deveria porque assim que ocorre uma violação na interface f0/1, ela é bloqueada (shutdown). Para finalizar, depois de simulada a violação, é conveniente observar novamente as saídas anteriores destacando algumas informações importantes.

Switch# show port-security 
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
        Fa0/1        1          1                 1         Shutdown
--------------------------------------------------------------------

Switch# show port-security interface  f0/1
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0007.ECC9.07D1:1
Security Violation Count   : 1

As boas práticas dizem que port-security somente deve ser configurado em portas de acesso onde são conectados os dispositivos terminais. O port-security não pode ser configurado em conjunto com os seguintes recursos: 802.1x, SPAN (espelhamento) e EtherChannel. O artigo é simples e o recurso um "velho conhecido", mas certamente é útil para aqueles que ainda não estão familiarizados com os Switches Catalyst da Cisco e/ou com o potencial deste recurso.

Abraço.

Samuel.

terça-feira, 8 de abril de 2014

Brasileiro Reconhecido no Hall da Fama da Internet

Olá Pessoal.

Faço questão de compartilhar com todos vocês uma importante notícia para o Brasil: Demi Getschko (foto, à direita) foi escolhido pela Internet Society (ISOC) para fazer parte do Internet Hall of Fame em reconhecimento de todo seu trabalho acerca da disseminação da Internet no Brasil. Em 2014 foram indicados 24 nomes de 13 países para o Internet Hall of Fame, distribuídos em três categorias: (i) pioneiros, (ii) inovadores e (iii) disseminadores. São reconhecidos como pioneiros aqueles que foram cruciais nos primeiros estágios de projeto e desenvolvimento da Internet. Os inovadores são aqueles que alcançaram relevante avanço tecnológico, comercial ou político que ajudaram na alcançabilidade da Internet. Os disseminadores (global connectors) são indivíduos de todo o mundo que tiveram contribuições relevantes para o crescimento do uso global da Internet.

Eu (esq) e Demi Getscko (direita) no 1o Encontro Nacional da ISOC-Br

Demi Getschko é o primeiro brasileiro a receber esta honraria e nada mais justo do que destacar aquele que é conhecido como o "pai da Internet no Brasil". Demi é Doutor em Engenharia Elétrica pela Universidade de São Paulo (USP) e participou ativamente da equipe que estabeleceu a primeira conexão com a Intenet no Brasil. Ele também é membro do Comite Gestor da Internet no Brasil (CGI.br) desde sua criação em 1995 e foi o contato administrativo para o ccTLD ".br" desde 1989. Em 2005 foi indicado para o Conselho Diretor da ICANN pelo fórum que trata dos nomes de domínio de país (ccTLDs) e em 2007 foi reeleito, servindo até junho de 2009. É diretor-presidente do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), membro do conselho do CGI.br e atual vice-presidente da Internet Society no Brasil (ISOC - Chapter Brazil).


Kathy Brown, a CEO da Internet Society que assumiu o cargo recentemente, publicou o seguinte comentário sobre essa honraria: "Todos nós somos beneficiados pelas contribuições dessas pessoas que ajudaram a moldar a Internet global". Nós temos o prazer de honrar esses líderes inspiradores pela visão, criatividade, dedicação e conquistas."

Nas listas de discussão da ISOC-Br parece que é unânime o sentimento de orgulho. Fiz questão de registrar meus cumprimentos e aproveito este espaço para reafirmar minhas palavras ao Demi: "... é um privilégio tê-lo conosco e motivo de muito orgulho para o Brasil."

Abraço.

Samuel.

quarta-feira, 2 de abril de 2014

Discussão: QoS e Marco Civil da Internet

Olá Pessoal.

Recentemente surgiu uma discussão bastante interessante no grupo "CCNA Brasil" (do Facebook) a respeito da possibilidade de utilização de técnicas de QoS (Qualidade de Serviços), caso o Marco Civil da Internet seja efetivamente sancionado pela presidente, depois de aprovado no Senado. Um dos colegas entendeu que aquela discussão foi tecnicamente bastante produtiva e que deveria ser publicada para toda a comunidade, por isso estou socializando seu conteúdo aqui no blog.


Deste ponto em diante toda a redação que estiver em itálico/marrom são palavras de outros colegas que estarei transcrevendo nessa postagem. A discussão começou com um colega fazendo o seguinte questionamento:

"Um dos artigos no Marco Civil trata da neutralidade da Internet, que em tese quer dizer que todos os serviços seriam tratados de maneira igualitária. Se o Marco Civil entrar em vigor podemos dizer que QoS é contra a lei? Fiquei confuso..."

Diante desse questionamento minha resposta foi a seguinte:

QoS no contexto da Internet sempre foi uma prática condenável pela Internet Society desde sua concepção e há boas razões para isso. Uma coisa é definir políticas claras de priorização de tráfego no contexto de uma organização que possui sua rede, o que é comum e perfeitamente válido - algo que todas as empresas fazem. Outra coisa seria fazer isso na Internet que não possui dono ou política global. As políticas na Internet são bilaterais, individualizadas. Uma empresa simplesmente define suas políticas e seus usuários seguem, mas quem faria isso na Internet? A abrangência da Internet torna inviável definir essas políticas sem inserir injustiça social... Fique tranquilo que praticar QoS não é ilegal e continuará sendo comum em empresas e ISPs (provedores). O ilegal seria essa prática na CADEIA de ISPs que compõem o ecossistema da Internet com acordos comerciais que não mantenham a isonomia de tráfego fim-a-fim, exceto para serviços de emergência. 

O colega entendeu a resposta e emendou a seguinte pergunta:

"Samuel, entendo sua colocação. Mas acontece que a infraestrutura que as empresas utilizam (onde é normal aplicar QoS) é a mesma que nós usamos. Cito por exemplo um Velox. Uma empresa que contrata um link MPLS da Oi utiliza a mesma infraestrutura (afinal é tudo uma única rede) que o coitado acessando o YouTube para ver um vídeo qualquer." Daí o colega trouxe a redação do Art 5o do Marco Civil que, em síntese, diz que todo o tráfego na Internet deve ser tratado de forma isonômica, ou seja, sem que haja diferenciação/priorização. Por fim ele completou sua fala: "Eu entendo isso como proibição do QoS em meio compartilhado. Posso estar errado e esse texto pode até ser alterado, mas estou filosofando com vocês!".

E a minha resposta foi:

Um link de longa distância dedicado, por exemplo um MPLS (WAN), não é a Internet, por mais que eventualmente use a Internet por baixo para conectar unidades remotas ou mesmo que tenha por objetivo prover acesso à Internet. A empresa está pagando por aquele pedaço dedicado de banda que é garantido por SLA e pode utilizá-lo como bem entender, praticando qualquer forma de QoS - aquele espaço é somente dela (não deveria prejudicar o restante dos usuários). Quando pensamos nos links convencionais (não dedicados), ninguém que faz parte dessa cadeia que envolve os diversos ISP`s possui um pedaço dedicado da Internet (modelo best-effort) e é por isso que a gente diz que a conexão fim-a-fim tem que ser tratada de forma igual. É isso que explica, por exemplo, o motivo de um link dedicado de 2Mbps ter desempenho melhor do que o link convencional (compartilhado) de 25Mbps da sua casa, já que nesse caso a latência é menor no link dedicado. 

A chamada "discussão filosófica", por sinal muito produtiva, continuou e o colega fez uma pergunta bastante oportuna para enriquecer a discussão:

"Eu entendo perfeitamente a diferença, Samuel. Mas por mais que esse link dedicado seja fim-a-fim, ele continua utilizando uma infraestrutura compartilhada e minha "filosofação" é referente ao QoS desses equipamentos. Se em algum momento um equipamento de core recebe um pacote do Joãozinho tentando ver um vídeo do YouTube e também um pacote da empresa XYZ do seu link dedicado, em tese, o pacote da empresa XYZ receberia um tratamento diferenciado. O problema aqui é que as estruturas são compartilhadas e não dedicadas."

Resposta: Concordo com o colega que essa infraestrutura é compartilhada em todos os provedores, mas os serviços providos são diferentes. Reparem, então, que estamos falando de modalidades de conectividade, não de conteúdo. A rede de telecomunicações é uma coisa, por sua vez a Internet é outra coisa que utiliza a capilaridade destas redes de telecom para ter abrangência mundial. O Marco Civil regulamenta a Internet, não as redes de telecomunicações. Por isso reforço que o link de longa distância dedicado não é a Internet. A operadora interessada em comercializar conectividade dedicada (WAN) e também Internet pode fazê-lo sem problema nenhum, desde que sua rede esteja suficientemente dimensionada para que uma modalidade não interfira na outra - essa separação é lógica nos equipamentos, não física. Por isso que digo que o uso do link dedicado não deveria interferir no uso do link convencional da Internet. A competição na Internet deve ocorrer entre os usuários comuns dessa rede, ou seja, quanto mais usuários forem pendurados nessa rede compartilhada, pior o desempenho. Se a operadora não investe em sua infraestrutura na ânsia de vender mais e mais conectividade, o que sabemos que acontece, esse é outro problema e compete à fiscalização da Anatel. As coisas estão fortemente relacionadas, mas são diferentes. 

A discussão cessou neste ponto e entendo que o mais importante dessa conversa é ter em mente que se uma operadora vende conexão dedicada, então ela deve provisionar os recursos necessários para não interferir em outras modalidades de serviços oferecidos (o que é algo natural do ponto de vista de marketing). Elas não podem inserir um novo serviço às custas de prejudicar outro já existente... A Internet convencional que o usuário contrata é um serviço comumente comercializado. 

Obs.: Aproveito para registrar um agradecimento especial aos colegas Rafael Bianco Nacif e Carlos Augusto que participaram da discussão e sugeriram/permitiram sua publicação no blog.

Abraço.

Samuel.