You are on page 1of 966

Verso 04/02/2013

ndice
ndice ........................................................................................................................ 2 1. 1.1. 1.2. 1.3. 1.4. Introduo ......................................................................................................27

Como est disposto este manual ...........................................................................27 Interface Texto e Interface Remota ........................................................................27 O Firewall ...............................................................................................................28 Copyrights do Sistema ...........................................................................................29 2. Instalando o Aker Firewall.............................................................................31

2.1. 2.2. 2.3. 2.4. 2.5.

Requisitos de hardware e software ........................................................................31 Instalando a Interface Remota ...............................................................................32 Instalando o Aker Firewall ......................................................................................39 Firewall Aker - Programa de Instalao..................................................................41 Mdulo de administrao de usurios remotos e Incluso de usurios .................43 3. Utilizando o Aker Control Center ..................................................................47

3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 3.9. 3.10. 3.11. 3.12. 3.13. 3.14. 3.15. 3.16. 3.17.

O que a administrao remota do Aker Firewall? ................................................47 Iniciando a interface remota ...................................................................................49 Finalizando a administrao remota .......................................................................67 Mudando sua senha de usurio .............................................................................68 Visualizando informao de sesso .......................................................................70 Utilizando as ferramentas da Interface Remota .....................................................71 Chaves de Ativao................................................................................................72 Salvar configuraes (backup) ...............................................................................73 Restaurar configuraes ........................................................................................76 Reiniciar Firewall .................................................................................................79 Atualizaes ........................................................................................................80 Mdulo de atualizao automtica Aker Update System (AUS) ......................85 DNS Reverso ......................................................................................................89 Simulao de Regras de Filtragem .....................................................................91 Relatrios ............................................................................................................94 Busca de Entidades ............................................................................................96 Janela de Alarmes.............................................................................................100 2

3.18. 3.19. 3.20. 3.21. 3.22. 3.23. 4. 4.1. 4.2.

Mapa da rede ....................................................................................................102 Estatsticas do sistema......................................................................................103 Utilizando a janela de Sniffer de trfego de pacotes IP .....................................106 Visualizando o Estado dos Agentes Externos ...................................................109 Utilizando o Verificador de configuraes .........................................................112 Diagnstico .......................................................................................................115 Administrando usurios do Firewall ..........................................................122

Usurios Administradores ....................................................................................122 Utilizando a Interface Texto ..................................................................................135 5. Configurando os parmetros do sistema ..................................................146

5.1. 5.2.

Utilizando a Interface Remota ..............................................................................146 Utilizando a Interface Texto ..................................................................................161 6. Cadastrando Entidades ...............................................................................166

6.1. 6.2. 6.3. 6.4.

Planejando a instalao .......................................................................................166 Cadastrando entidades utilizando a Interface Remota .........................................170 Utilizando a Interface Texto ..................................................................................207 Utilizando o Assistente de Entidades ...................................................................212 7. O Filtro de Estado ........................................................................................219

7.1. 7.2. 7.3. 7.4. 7.5. 7.6.

Planejando a instalao .......................................................................................219 Editando uma lista de regras usando a Interface Remota ....................................225 Trabalhando com Polticas de Filtragem ..............................................................233 Utilizando a Interface Texto ..................................................................................235 Utilizando o assistente de regras..........................................................................239 Utilizando Regras de Pipes ..................................................................................251 8. Configurando a converso de endereos..................................................254

8.1. 8.2. 8.3.

Planejando a instalao .......................................................................................254 Utilizando a Interface Texto ..................................................................................280 Utilizando o Assistente de Configurao NAT ......................................................284 9. Criando canais de criptografia ...................................................................293

9.1. 9.2. 9.3.

Nat Transversal ....................................................................................................293 Planejando a instalao. ......................................................................................294 Utilizando a Interface Texto ..................................................................................317 10. Configurando criptografia Cliente-Firewall ...............................................324 3

10.1. 10.2. 10.3. 10.4. 10.5. 10.6. 11. 11.1. 11.2. 12. 12.1. 12.2. 12.3. 13. 13.1. 13.2. 13.3. 13.4. 13.5. 13.6. 13.7. 13.8. 13.9. 13.10. 14. 14.1. 14.2. 15. 15.1. 15.2. 15.3. 16. 16.1.

Planejando a instalao. ...................................................................................324 Aker Secure Roaming .......................................................................................325 L2TP..................................................................................................................331 PPTP .................................................................................................................340 IPSEC Client .....................................................................................................361 VPN SSL ........................................................................................................378 Configurando criptografia Cliente-Firewall ...............................................392 Editando os parmetros de um contexto SSL ...................................................393 Configurando regras de Proxy SSL ...................................................................397 Integrao dos Mdulos do Firewall ..........................................................399 O fluxo de pacotes no Aker Firewall ..................................................................399 Integrao do filtro com a converso de endereos ..........................................401 Integrao do filtro com a converso e a criptografia ........................................402 Configurando a Segurana .........................................................................404 Proteo contra SYN Flood ...............................................................................404 Utilizando a Interface Remota para Proteo contra SYN Flood ......................406 Proteo de Flood .............................................................................................408 Utilizando a Interface Remota para Proteo de Flood .....................................409 Proteo Anti Spoofing......................................................................................411 Utilizando a Interface Remota para Anti Spoofing .............................................412 Utilizando a Interface Texto - Synge Flood .......................................................414 Utilizando a Interface Texto - Proteo de Flood ..............................................415 Utilizando a Interface Texto - Anti Spoofing ......................................................416 Bloqueio por excesso de tentativas de login invlidas ...................................417 Configurando Aes de Sistema ................................................................419 Utilizando a Interface Remota ...........................................................................419 Utilizando a Interface Texto ...............................................................................425 Visualizando o log do Sistema ...................................................................431 Utilizando a Interface Remota ...........................................................................432 Formato e significado dos campos dos registros do log....................................442 Utilizando a Interface Texto ...............................................................................446 Visualizando Eventos do Sistema ..............................................................450 Utilizando a Interface Remota ...........................................................................451 4

16.2. 16.3. 17. 17.1. 17.2. 18. 18.1. 18.2. 19. 19.1. 19.2. 19.3. 20. 20.1. 20.2. 21. 21.1. 21.2. 21.3. 21.4. 22. 22.1. 22.2. 23. 23.1. 23.2. 23.3. 23.4. 23.5. 23.6. 23.7. 23.8. 23.9.

Formato e significado dos campos das mensagens de eventos .......................458 Utilizando a Interface Texto ...............................................................................458 Visualizando Estatsticas ............................................................................462 Utilizando a Interface Remota ...........................................................................463 Utilizando a Interface Texto ...............................................................................469 Visualizando e Removendo conexes .......................................................473 Utilizando a Interface Remota ...........................................................................474 Utilizando a Interface Texto ...............................................................................479 Utilizando o Gerador de Relatrios ............................................................483 Acessando Relatrios .......................................................................................483 Configurando os Relatrios ...............................................................................484 Lista dos Relatrios disponveis ........................................................................490 Exportao Agendada de Logs e Eventos.................................................493 Acessando a Exportao Agendada de Logs e Eventos ..................................493 Configurando a Exportao Agendada de Logs e Eventos ...............................494 Trabalhando com Proxies ...........................................................................499 Planejando a instalao ....................................................................................499 Instalando o agente de autenticao em plataformas Unix ...............................504 Instalando o agente de autenticao em Windows Servertm .............................506 Configurao do agente de autenticao para Windows Servertm ....................507 Configurando parmetros de autenticao ...............................................512 Utilizando a Interface Remota ...........................................................................512 Utilizando a Interface Texto ...............................................................................529 Perfis de acesso de Usurios .....................................................................532 Planejando a instalao ....................................................................................532 Cadastrando perfis de acesso ...........................................................................533 Regras...............................................................................................................536 Regras SOCKS .................................................................................................537 Geral .................................................................................................................538 FTP e GOPHER ................................................................................................539 HTTP/HTTPS ....................................................................................................543 Secure Roaming ...............................................................................................551 VPN SSL (Proxy SSL) .......................................................................................554 5

23.10. 23.11. 23.12. 24. 24.1. 24.2. 25. 25.1. 26. 26.1. 27. 27.1. 28. 28.1. 29. 29.1. 30. 30.1. 30.2. 30.3. 31. 31.1. 31.2. 32. 32.1.

MSN Messenger ............................................................................................557 Filtros de Aplicao ........................................................................................560 Associando Usurios com Perfis de Acesso ..................................................562 Autenticao de Usurios ...........................................................................568 Visualizando e Removendo Usurios Conectados no Firewall .........................568 Utilizando a Interface Texto Interface Texto ......................................................571 Configurando o Proxy SMTP ......................................................................574 Editando os parmetros de um contexto SMTP ................................................576 Configurando o Proxy Telnet ......................................................................600 Editando os parmetros de um contexto Telnet ................................................600 Configurando o Proxy FTP..........................................................................605 Editando os parmetros de um contexto FTP ...................................................606 Configurando o Proxy POP3 .......................................................................610 Editando os parmetros de um contexto POP3 ................................................611 Utilizando as Quotas ...................................................................................618 Editando os parmetros do Uso de Quota ........................................................619 Configurando o Filtro Web ..........................................................................624 Planejando a instalao ....................................................................................624 Editando os parmetros de Filtro Web ..............................................................627 Editando os parmetros de Sesses Web ........................................................665 Configurando o Proxy Socks ......................................................................669 Planejando a instalao ....................................................................................669 Editando os parmetros do Proxy SOCKS ........................................................671 Configurando o Proxy RPC e o proxy DCE-RPC .......................................674 Editando os parmetros de um contexto RPC ..................................................675

Editando os parmetros de um contexto DCE-RPC.......................................................678 33. 33.1. 33.2. 34. 34.1. 34.2. 34.3. Configurando o Proxy MSN ........................................................................681 Planejando a instalao ....................................................................................681 Editando os parmetros do Proxy MSN ............................................................682 Configurando a Filtragem de Aplicaes ..................................................688 Planejando a instalao ....................................................................................688 Criando Regras de Filtragem de Aplicaes .....................................................689 Criando Filtros de Aplicaes ............................................................................692 6

35. 35.1. 35.2. 35.3. 35.4. 35.5. 35.6. 36. 36.1. 36.2. 36.3. 36.3.1. 36.4. 36.4.1. 36.4.2. 36.4.3. 36.5. 36.6. 36.7. 36.8. 36.9. 36.10 37. 37.1. 37.2. 37.3. 37.4. 37.5. 38. 38.1. 39. 40. 40.1.

Configurando IDS/IPS ..................................................................................698 Acessando IPS/IDS ...........................................................................................698 Visualizando os IPs bloqueados .......................................................................709 Configurando a atualizao de assinaturas ......................................................711 Instalando o Plugin para IDS Externo no Windows ...........................................712 Utilizando a Interface Texto - Portscan .............................................................718 Utilizando a Interface Texto - IDS Externo ........................................................719 Configuraes TCP/IP .................................................................................723 Configurao TCP/IP ........................................................................................723 DHCP ................................................................................................................724 DNS...................................................................................................................728 Interfaces de Rede .........................................................................................729 Roteamento .......................................................................................................734 Geral ..............................................................................................................736 Dinmico ........................................................................................................738 Avanado .......................................................................................................745 Utilizando a Interface Texto nas Chaves de Ativao .......................................750 Utilizando a Interface Texto na Configurao TCP/IP .......................................750 Utilizando a Interface Texto na Configurao de Wireless ................................758 Utilizando a Interface Texto na Configurao de DDNS ...................................761 Configurao do Link 3G...................................................................................764 Agregao de link ..........................................................................................767 Configurando o firewall em Cluster ...........................................................772 Planejando a Instalao ....................................................................................772 Configurao do Cluster....................................................................................774 Estatstica do Cluster ........................................................................................779 Configurando um cluster coorporativo...............................................................781 Utilizando a Interface Texto ...............................................................................792 Arquivos do Sistema ...................................................................................796 Arquivos do Sistema .........................................................................................796 Aker Firewall Box .........................................................................................801 Aker Web Content Analyzer - AWCA ..........................................................805 Introduo .........................................................................................................805 7

40.2. 40.3. 40.4. 40.5. 40.6. 40.7. 40.8. 40.9. 41. 41.1. 41.2. 41.3. 41.4. 41.5. 41.6. 41.7. 41.8. 41.9. 42. 42.1. 42.2. 42.3. 42.4. 42.5. 42.6. 42.7. 42.8. 43. 43.1. 43.2. 43.3. 43.3.1. 43.3.2.

Pr-requisitos ....................................................................................................807 Instalando o Aker Web Content Analyzer..........................................................808 Instalao em Ambiente Windows ....................................................................808 Instalao em Ambiente Linux (Fedora Core 8) ................................................815 Configurao do AWCA ....................................................................................821 Gerenciamento da base de URLs .....................................................................821 Categorias .........................................................................................................826 Teste de URL ....................................................................................................836 Aker Spam Meter - ASM...............................................................................839 Introduo .........................................................................................................839 Apresentando o produto ASM ...........................................................................840 Como funciona a classificao ..........................................................................840 Aker Control Center...........................................................................................841 Banco de Dados ................................................................................................843 Classificao de e-mail .....................................................................................847 Configuraes do Filtro .....................................................................................850 Grfico de notas ................................................................................................853 Anexo plugins .................................................................................................854 Aker Antivrus - AKAV .................................................................................856 Introduo .........................................................................................................856 Apresentao do produto ..................................................................................857 Caractersticas Principais ..................................................................................858 O Aker Antivrus Module ...................................................................................859 Configurando o Aker Antivrus Mdulo ..............................................................859 Configuraes ...................................................................................................861 Informaes do Engine .....................................................................................863 Gerenciamento de atualizaes ........................................................................864 Apndice A Mensagens do sistema ........................................................869 Mensagens do log do Firewall ...........................................................................869 Mensagens dos eventos do Firewall ...................... Erro! Indicador no definido. Formato de exportao de logs e eventos ........................................................929 Eventos gerados pelo Filtro Web ...................................................................930 Eventos gerados pelo Proxy MSN .................................................................933 8

43.3.3. 43.3.4. 43.3.5. 43.3.6. 43.3.7. 43.3.8. 44.

Eventos gerados pelo Proxy POP3 ................................................................937 Eventos gerados pelo Proxy SMTP ...............................................................938 Eventos gerados pelo Mdulo de IDS/IPS e filtro de aplicativos....................940 Eventos gerados pelo Aker Antivrus Module ................................................942 Eventos gerados pelo Aker Web Content Analizer ........................................946 Eventos gerados pelo Aker Spam Meter .......................................................950 Apndice B - Copyrights e Disclaimers .....................................................961

ndice de Figuras

Figura 1 Seleo do idioma para realizar a instalao. .........................................32 Figura 2 - Mensagem de boas vindas do Assistente de Instalao do Aker Control Center 2. ...................................................................................................................33 Figura 3 - Contrato de licena do Programa. ............................................................34 Figura 4 Informaes do usurio. ..........................................................................35 Figura 5 - Pasta de destino. ......................................................................................36 Figura 6 Instalao em pasta especifica. ...............................................................36 Figura 7 - Pronto para instalar o aplicativo. ..............................................................37 Figura 8 - Barra de status da instalao. ..................................................................38 Figura 9 - Mensagem de instalao realizada com xito. .........................................39 Figura 10 - Selecione o produto a ser instalado ou configurado. ..............................40 Figura 11 - Leia atentamente o seguinte texto e confirme a instalao. ...................40 Figura 12 - Selecione em qual disco o produto ser instalado. ................................41 Figura 13 - Termo de Licena. ..................................................................................42 Figura 14 Acessando o Aker Control Center 2.......................................................49 Figura 15 - Menu opes. .........................................................................................50 Figura 16 - Tempo de sesso ociosa. .......................................................................51 Figura 17 Esconder regras. ...................................................................................51 Figura 18 Desabilitar perguntas. ............................................................................51 Figura 19 - Escolha do idioma que deseja acessar o Aker Control Center. ..............52 Figura 20 Cor de fundo do Aker Control Center.....................................................52 Figura 21 - Formato horizontal. .................................................................................52 Figura 22 - Formato vertical. .....................................................................................53 Figura 23 - Formato Diagonal. ..................................................................................53 Figura 24 Formato Automtico horizontal. .............................................................53 Figura 25 - Formato Automtico vertical. ..................................................................53 Figura 26 Selecionar cor. .......................................................................................54 Figura 27 - Boto: Padro. ........................................................................................54 9

Figura 28 - Aviso de sair do programa. .....................................................................54 Figura 29 - Menu Janelas. ........................................................................................55 Figura 30 - Dispositivos remotos...............................................................................55 Figura 31 - Entidades...............................................................................................56 Figura 32 - Menu Ajuda. ...........................................................................................56 Figura 33 - Configurao Automtica de Atualizao. ..............................................56 Figura 34 - Notificador de Atualizaes. ...................................................................57 Figura 35 - Notificador de Instalao de Atualizaes. .............................................57 Figura 36 - Atualizaes prontas. .............................................................................58 Figura 37 - Informaes sobre o item: Sobre ...........................................................58 Figura 38 - Menu Aker Firewall. ................................................................................59 Figura 39 - Caixa de descrio de entidade. ............................................................60 Figura 40 Boto: Criar novo dispositivo remoto. ....................................................60 Figura 41 - Caixa de edio do dispositivo remoto. ..................................................61 Figura 42 - Informaes requeridas para Editar o Dispositivo Remoto. ....................62 Figura 43 cone utilizado para o carregamento de arquivo. ...................................63 Figura 44 - cone utilizado para mostrar informaes do certificado. ........................63 Figura 45 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto. ..................................................................................................64 Figura 46 Boto Conectar. .....................................................................................65 Figura 47 - Interface conectada ao Firewall escolhido. .............................................65 Figura 48 - Finalizador de administrao remota do Aker Firewall (Desconectar do dispositivo remoto). ...................................................................................................67 Figura 49 Boto: Sair deste programa. ..................................................................67 Figura 50 - Dispositivos remotos (realizar mudana de senha). ...............................68 Figura 51 - Mudar Senha (inserir senha antiga, a nova senha e confirmao da mesma). ....................................................................................................................69 Figura 52 - Dispositivos remotos (Visualizar Informaes da sesso). .....................70 Figura 53 - Informao da sesso (mostra dados do Firewall, Licena e Usurio). .71 Figura 54 Boto: Carregar/Mostrar licena. ...........................................................72 Figura 55 - Informaes sobre ativao de licenas. ................................................72 Figura 56 Boto: Salvar um backup do item selecionado. .....................................73 Figura 57 - Download das configuraes personalizadas e bases de treinamento. .74 Figura 58 - Backup Informaes de log. ...................................................................74 Figura 59 - Tela de escolha de arquivo para salvar configuraes. ..........................75 Figura 60 - Salvar o backup automaticamente. ........................................................76 Figura 61 - Botes para restaurao de backup. ......................................................76 Figura 62- Boto: Carrega backup do arquivo. .........................................................77 Figura 63 - Escolha de arquivo para carregar dados de configurao......................77 Figura 64 - Restaurao do backup do Antivrus Module. ........................................78 Figura 65 - Restaurao do backup do Aker Spam Meter. .......................................78 Figura 66 - Restaurao do backup da Web Content Analyzer. ...............................79 Figura 67 - Reiniciar o Firewall. ................................................................................79 10

Figura 68 - Boto: Atualizaes. ...............................................................................80 Figura 69 - Sistema de atualizao de dados do Firewall. ........................................81 Figura 70 Boto: Carregar arquivo de atualizao.................................................82 Figura 71 - Escolha do arquivo para atualizao ou correo. .................................83 Figura 72 Aplicar patch ou hotfix............................................................................83 Figura 73 Aplicar rollback. .....................................................................................83 Figura 74 - Visualizao de histricos de aplicao de patchs e hotfixes. ................84 Figura 75 - Acessando o Aker Firewall. ....................................................................85 Figura 76 - Notificao sobre atualizaes disponveis no Aker Update System. ....85 Figura 77 - Visualizando atualizaes disponveis atravs do Aker Update System. ..................................................................................................................................86 Figura 78 - Acessando o Aker Firewall. ....................................................................87 Figura 79 - Acessando as janelas do Aker Update System. .....................................87 Figura 80 - Acessando o Aker Firewall. ....................................................................88 Figura 81 - Menu - ajuda...........................................................................................88 Figura 82 - Janela de DNS reverso...........................................................................89 Figura 83 - DNS reverso. ..........................................................................................90 Figura 84 - Simulao de Regras de Filtragem. .......................................................91 Figura 85 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e mscaras). .....................................................................................................92 Figura 86 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e entidade). .......................................................................................................93 Figura 87 JRelatrio...............................................................................................94 Figura 88 - Relatrio de configurao do firewall. .....................................................95 Figura 89 - Busca de Entidades. ...............................................................................96 Figura 90 - Busca de Entidades (procura de entidade com IP ou nome e ltimos resultados). ...............................................................................................................97 Figura 91 - Busca de Entidades (Servios, protocolo e ltimos resultados). ............98 Figura 92 - Busca de Entidades (Regras, entidades e ltimos resultados). ..............99 Figura 93 - Janela de Alarmes. ..............................................................................100 Figura 94 - Janela de Alarmes (Descrio). ............................................................101 Figura 95 - Mapa da Rede. .....................................................................................102 Figura 96 - Mapa da Rede. .....................................................................................102 Figura 97 - Estatsticas do Sistema. .......................................................................103 Figura 98 - Estatsticas do Sistema. .......................................................................104 Figura 99 Relatrio de estatstica do sistema. .....................................................105 Figura 100 - Acesso a janela: Sniffer de trfego de pacotes IP. .............................106 Figura 101 - Sniffer de Pacotes Sniffer 1. ............................................................107 Figura 102 - Agentes Externos. ..............................................................................109 Figura 103 - Agentes Externos (nome, tipo e status). .............................................110 Figura 104 - Verificador de Configurao. ..............................................................112 Figura 105 - Verificador de Configuraes .............................................................113 Figura 106 - Diagnsticos. ......................................................................................115 11

Figura 107 - Janela de Diagnsticos: Tudo ............................................................116 Figura 108 - Janela de Diagnsticos: Ping .............................................................117 Figura 109 - Janela de Diagnsticos: Traceroute. ..................................................118 Figura 110 - Janela de Diagnsticos: Netstat. ........................................................119 Figura 111 - Janela de Diagnsticos: Nslookup. .....................................................120 Figura 112 - Acesso a janela de Usurios administradores. ...................................122 Figura 113 - Janela de Usurios administradores (Usurios internos). ..................123 Figura 114 - Usurios Administradores: Agentes externos. ....................................127 Figura 115 - Usurios Administradores de autenticao - X509. ............................129 Figura 116 Importar certificado. ...........................................................................131 Figura 117 Certificado (importado). .....................................................................131 Figura 118 Exportar certificado. ...........................................................................132 Figura 119 Certificado (exportado). .....................................................................133 Figura 120 Detalhes do Certificado......................................................................133 Figura 121 Opo de escolhas do servidor. ........................................................135 Figura 122 - Execuo do programa utilizando a Interface Texto. ..........................136 Figura 123 - Execuo do programa para incluso de usurios como administrados do Aker Firewall. .....................................................................................................137 Figura 124 - Execuo do programa para a excluso de usurios. ........................138 Figura 125 - Execuo do programa para a alterao de senha do usurio. .........139 Figura 126 - Execuo do programa para exibir a listagem de usurios e permisses. ............................................................................................................140 Figura 127 Compactao do programa para exibir a compactao do arquivo de usurios. .................................................................................................................141 Figura 128 - Edio das configuraes do Aker Configuration Manager. ...............142 Figura 129 - Edio das configuraes do Aker Configuration Manager (Firewall habilitado). ..............................................................................................................143 Figura 130 - Edio das configuraes do Aker Configuration Manager (desabilita, modifica ou retorna). ...............................................................................................144 Figura 131 - Acesso aos dispositivos remotos (Parmetros de configurao). ......146 Figura 132 - Parmetros de configurao do Aker Firewall: global.........................148 Figura 133 - Parmetros de configurao: Log. ......................................................150 Figura 134 - Parmetros de configurao: Segurana. ..........................................153 Figura 135 - Parmetros de configurao: SNMP. .................................................156 Figura 136 - Parmetros de configurao: Monitoramento. ....................................158 Figura 137 - Parmetros de configurao Data e hora. .......................................160 Figura 138 - Janela de entidades (Aker Firewall)....................................................170 Figura 139 - Boto F5 do teclado............................................................................170 Figura 140 - Entidades: Instncia Aker Firewall. .....................................................171 Figura 141 - Cadastro de entidade: Tipo Mquina. .................................................172 Figura 142 - Cadastro de entidade Tipo Mquina IPv6...........................................173 Figura 143 - Incluso e edio de redes. ................................................................175 Figura 144 - Incluso e edio de redes IPv6. ........................................................176 12

Figura 145 - Incluso e edio de conjuntos. .........................................................177 Figura 146 - Adio de entidades. ..........................................................................179 Figura 147 - Edio de conjuntos IPv6. ..................................................................180 Figura 148 - Edio de conjuntos IPv6 (entidades a ser adicionada). ....................181 Figura 149 - Incluso e edio das listas de categorias. ........................................182 Figura 150 - Incluso e edio dos padres de buscas. .........................................183 Figura 151 - Incluso e edio de quotas. ..............................................................184 Figura 152 - Incluso e edio de agentes externos. .............................................185 Figura 153 - Cadastro de um agente externo tipo autenticador ou autenticados token. ......................................................................................................................187 Figura 154 - Cadastro de um agente externo tipo Autoridade Certificadora. ..........189 Figura 155 - Definio de Pseudo-Grupos para usurios que se autenticarem por meio de autoridade certificadora. ............................................................................190 Figura 156 - Cadastro de agente externo tipo Agente IDS. ....................................191 Figura 157 - Cadastro de agente externo tipo Analisador de texto. ........................192 Figura 158 - Cadastro de agente externo tipo Mdulo de Antivrus. .......................192 Figura 159 - Cadastro de agente externo tipo Spam Meter. ...................................193 Figura 160 - Cadastro de agente externo Servidor Remoto. ..................................193 Figura 161 - Cadastro de agente externo Autenticador LDAP. ...............................194 Figura 162 - Cadastro de agente externo Autenticador Radius. .............................196 Figura 163 - Incluso e edio de servios. ............................................................198 Figura 164 - Incluso e edio de interfaces. .........................................................200 Figura 165 - Incluso e edio de listas de e-mails. ...............................................201 Figura 166 - Opo para realizar uma operao sobre um e-mail ou domnio. ......202 Figura 167 - Lista dos tipos de arquivos. ................................................................203 Figura 168 - Opo para realizar uma operao (Entrada da lista). .......................204 Figura 169 - Acumuladores. ....................................................................................204 Figura 170 - Cadastro de entidade tipo Canal. .......................................................206 Figura 171 - Mensagem de entrada no Assistente de criao de entidades. .........212 Figura 172 - Escolha do tipo de entidade. ..............................................................213 Figura 173 - Insero do endereo de IP da mquina. ...........................................214 Figura 174 - Atribuio do nome da entidade. ........................................................215 Figura 175 - Escolha do cone da entidade. ...........................................................216 Figura 176 - Mensagem de finalizao do cadastramento de entidades. ...............217 Figura 177 - Dispositivos remotos (Acesso a janela de configurao das regras). .225 Figura 178 - Janelas de regras de filtragem. ..........................................................226 Figura 179 - Menu com opes de entidades referente ao campo. ........................227 Figura 180 - cones de verificao de regras. .........................................................230 Figura 181 - Verificador de regras. .........................................................................231 Figura 182 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL). ................232 Figura 183 - Ajustes de prioridade de canal. ..........................................................232 Figura 184 - Exemplo de como trabalhar com polticas de filtragem. .....................233 Figura 185 - Exemplo de regras de filtragem. .........................................................234 13

Figura 186 - Interface regras de filtragem. ..............................................................234 Figura 187 - Barra de cones (Poltica). ..................................................................235 Figura 188 - Exibio das regras de filtragem. .......................................................235 Figura 189 - Assistente de regras filtragem (janela exibida quando um nmero pequeno de regras for detectado. ...........................................................................239 Figura 190 - Mensagem de boas vindas ao Assistente de regras filtragem. ...........240 Figura 191 - Escolha da rede interna e configurao inicial. ..................................241 Figura 192 - Tela de acesso para escolha de acesso restrito ou no internet. ....242 Figura 193 - Escolha se possui ou no DMZ. .........................................................243 Figura 194 - Escolha da entidade DMZ. .................................................................244 Figura 195 - Mquinas DMZ (acesso restrito ou no Internet). ............................245 Figura 196 - Escolha para configurar outro servidor ou no. ..................................250 Figura 197 - Aviso de finalizao de configurao das regras de filtragem. ...........251 Figura 198 - Janela com as regras de Pipes. .........................................................252 Figura 199 - Exemplo 1 de configurao do Aker Firewall (interligando departamentos). ......................................................................................................259 Figura 200 - Exemplo 2 de configurao do Aker Firewall ( mltiplas ligaes com a Internet). .................................................................................................................261 Figura 201 - Exemplo 3 de configurao do Aker Firewall ( montando regras de converso de endereos). ......................................................................................263 Figura 202 - Janela de configurao da converso de endereos. ........................264 Figura 203 Janela de configurao da converso de endereos (NAT). .............265 Figura 204 - Janela de configurao de balanceamento de link. ............................267 Figura 205 - Janela de configurao para adicionar entidades. .............................269 Figura 206 - Janela de incluso de regras de NAT. ................................................270 Figura 207 - Janela de configurao para aes que deseja ser realizada. ...........272 Figura 208 - Mscaras de rede da entidade de origem e virtual devem ser iguais. 272 Figura 209 - Configurao dos parmetros de monitoramento a ser realizado pelo firewall. ....................................................................................................................273 Figura 210 - Exemplo 1, converso de endereos..................................................276 Figura 211 - Exemplo 2, converso de servios. ....................................................277 Figura 212 - Balanceamento de link (primeira fase). ..............................................278 Figura 213 - Montagem das regras do NAT (Segunda fase). .................................279 Figura 214 - Mensagem de boas vindas ao Assistente de configurao de NAT. ..284 Figura 215 - Seleo das redes que tem a necessidade de acessar Internet compartilhando um endereo IP. ............................................................................285 Figura 216 - Seleo do IP da mquina virtual para realizar a converso de N-1. .286 Figura 217 - Mensagem se deseja configurar os servidores acessveis externamente. .........................................................................................................287 Figura 218 - Escolha da entidade que deseja tornar acessvel na internet. ............288 Figura 219 - Escolha do endereo IP utilizados por mquinas externas a ser utilizado no servidor. ...............................................................................................289 Figura 220 - Escolha para configurar mais servidores. ...........................................290 14

Figura 221 - Finalizao do assistente de regras. ..................................................291 Figura 222 - Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede. .................................................................................................................303 Figura 223 - Canal seguro entre redes. ..................................................................305 Figura 224 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC). .......306 Figura 225 - Janela de Certificados IPSEC. ...........................................................307 Figura 226 - Barra de ferramentas (Certificados IPSEC). .......................................308 Figura 227 - Janela de ao para Certificados IPSEC............................................308 Figura 228 - Dispositivos remotos (Acesso a janela de Firewall/Firewall). .............309 Figura 229 - Janela de Criptografia Firewall/Firewall. .............................................310 Figura 230 - Menu de insero, copia ou excluso para definio dos fluxos de criptografia. .............................................................................................................311 Figura 231 - Menu de incluso ou alterao de fluxos. ...........................................311 Figura 232 - Configurao de canais IPSEC. .........................................................312 Figura 233 - Definio dos algoritmos de criptografia e autenticao permitidos pelo firewall durante negociao das chaves IKE. .........................................................314 Figura 234 - Visualizao do trfego IPSEC. ..........................................................315 Figura 235 - Grfico de acompanhamento (Bytes de logs transferidos). ................316 Figura 236 - Dispositivos remoto (Acesso as configuraes do Security Roaming). ................................................................................................................................325 Figura 237 - Configurao geral do Security Roaming ...........................................326 Figura 238 - Configurao do Security Roaming. ...................................................327 Figura 239 - Lista de controle de acesso do Security Roaming. .............................328 Figura 240 - Menu com escolha das entidades a ser adicionadas .........................329 Figura 241 - Conjunto de endereos do Security Roaming ....................................330 Figura 242 - Configurao da VPN L2TP ...............................................................332 Figura 243 - Menu com escolhas da entidade para adicionar. ...............................333 Figura 244 - Configurando o cliente L2TP (Windows Vista/XP). .............................334 Figura 245 - Configurando o cliente L2TP (utilizando VPN). ..................................335 Figura 246 - Configurando o cliente L2TP (escolha do IP e nome da conexo). ....336 Figura 247 - Configurando o cliente L2TP (nome do usurio e senha utilizados para autenticar o cliente de VPN no Aker Firewall). ........................................................337 Figura 248 - Configurao da VPN L2TP concluda. ..............................................338 Figura 249 Propriedades de Conexo VPN (edio das propriedades de conexo). ................................................................................................................................339 Figura 250 - Configurando a VPN PP TP. ..............................................................340 Figura 251 - Menu com escolhas da entidades para adicionar. ..............................341 Figura 252 - Configurando o Cliente PPTP para autenticao com PAP (Windows Vista/XP). ................................................................................................................343 Figura 253 - Janela de configurao da VPN no Microsoft Windows. ..................344 Figura 254 - Janela de configurao de rede da VPN no Microsoft Windows. .....345 Figura 255 - Janela de configurao de usurio e senha da VPN no Microsoft Windows. ..............................................................................................................346 15

Figura 256 - Configurao da VPN no Microsoft Windows concluda. .................347 Figura 257 - Configuraes do Servidor de autenticao Radius do Microsoft Windows Server. ..................................................................................................349 Figura 258 - Configuraes do Shared secret do servidor de autenticao Radius do Microsoft Windows Server. ...................................................................................350 Figura 259 - Definio das regras de acesso remoto do servidor de autenticao Radius do Microsoft Windows Server...................................................................351 Figura 260 - Especificao das condies de conexo do servidor de autenticao Radius do Microsoft Windows Server...................................................................352 Figura 261 - Especificao das condies de conexo - Edio. ...........................353 Figura 262 - Especificao das condies de conexo IP. ..................................354 Figura 263 - Especificao das condies de conexo Multilink. ........................355 Figura 264 - Especificao das condies de conexo Authentication................356 Figura 265 - Especificao das condies de conexo Encryption. ....................357 Figura 266 - Especificao das condies de conexo Advanced. .....................358 Figura 267 - Informaes dos usurios podem efetuar autenticaes....................359 Figura 268 - Propriedades dos usurios que podem efetuar autenticaes. ..........360 Figura 269 - Clientes VPN - IPSEC. .......................................................................363 Figura 270 - Lista de endereos que podem ser atribudos aos clientes. ...............364 Figura 271 - Lista de endereos que so redes protegidas. ...................................365 Figura 272 - Configuraes recomendadas para clientes de criptografia Shared Secret. ....................................................................................................................368 Figura 273 - Configuraes recomendadas para clientes de criptografia X.509..369 Figura 274 - Configurao da VPN General. .......................................................370 Figura 275 - Configurao da VPN Authentication. .............................................371 Figura 276 - Configurao da VPN Phase 1. .......................................................371 Figura 277 - Configurao da VPN Phase 2. .......................................................372 Figura 278 - Configurao da VPN Connect. .......................................................372 Figura 279 - Configurao iPhone certificado. .....................................................373 Figura 280 - Configurao iPhone estabelecendo VPN........................................374 Figura 281 - Configurao VPN com certificado. ....................................................375 Figura 282 - Configurao VPN - Authentication Local Identity. ..........................376 Figura 283 - Configurao VPN - Authentication Remote Identity. ......................376 Figura 284 - Configurao VPN - Authentication Authentication Method.............377 Figura 285 - VPN SSL. ...........................................................................................378 Figura 286 - VPN SSL - Portais. .............................................................................379 Figura 287 - VPN SSL - Applet. ..............................................................................381 Figura 288 Mensagem de boas vindas ao Assistente de Instalao do Aker Authentication Agent. ..............................................................................................383 Figura 289 Contrato de licena de instalao do programa. ................................384 Figura 290 Pasta de destino de instalao. .........................................................385 Figura 291 Mensagem que o assistente est pronto para realizar a instalao. .386 Figura 292 Barra de status da instalao. ...........................................................387 16

Figura 293 Mensagem de instalao do Aker Authentication Agent foi instalado com sucesso. ..........................................................................................................388 Figura 294 - Perfil de acesso Permisso VPN. ....................................................389 Figura 295 - VPN SSL Instrues gerais. ............................................................390 Figura 296 - VPN SSL Instrues gerais. ............................................................393 Figura 297 - Edio dos parmetros de um contexto SSL. .....................................394 Figura 298 - Exibio do certificado do proprietrio X.509. .................................396 Figura 299 - Fluxo do pacote da rede interna ao atingir o firewall. .........................399 Figura 300 - Fluxo do pacote da rede externa em direo rede interna. .............400 Figura 301 - SYN Flood. .........................................................................................406 Figura 302 - SYN Flood Ativao de proteo SYN Flood. .................................407 Figura 303 - Proteo de Flood. .............................................................................409 Figura 304 - Proteo de Flood - Configurao. .....................................................410 Figura 305 - Anti Spoofing. .....................................................................................412 Figura 306 - Anti Spoofing Ativao do controle. .................................................413 Figura 307 - Bloqueio de excesso de tentativas de login invlidas - Eventos. ........417 Figura 308 - Aes..................................................................................................419 Figura 309 - Aes Mensagens de logs. ..............................................................420 Figura 310 - Aes a serem executadas para mensagens exibidas. ......................421 Figura 311 - Aes: Parmetros. ............................................................................422 Figura 312 - Log......................................................................................................432 Figura 313 - Barra de ferramentas de log. ..............................................................432 Figura 314 Boto: Filtragem do Firewall. .............................................................433 Figura 315 Boto: Interromper busca do Firewall. ...............................................433 Figura 316 - Boto: Exportar log. ............................................................................433 Figura 317 Boto: Apagar log do Firewall. ...........................................................433 Figura 318 - Boto: Resoluo reversa dos IP .......................................................433 Figura 319 - Boto: atualizao de telas de log. .....................................................433 Figura 320 - Boto: tempo de atualizao do log....................................................434 Figura 321 - Boto: percorre log. ............................................................................434 Figura 322 - Boto: expandir mensagens de log. ...................................................434 Figura 323 - Filtro de log. ........................................................................................435 Figura 324 - Filtro de log. ........................................................................................437 Figura 325 - Lista com vrias entradas de log. .......................................................440 Figura 326 - Exportador de log. ..............................................................................441 Figura 327 - Barra de exportao de log porcentagem realizada. .......................442 Figura 328 - Eventos...............................................................................................451 Figura 329 - Barra de ferramentas: Eventos. ..........................................................451 Figura 330 - Filtro de eventos. ................................................................................452 Figura 331 - Descrio dos Eventos. ......................................................................455 Figura 332 - Exportar log de eventos. .....................................................................457 Figura 333 - Janelas de eventos - Estatstica. ........................................................463 Figura 334 - Regras de estatstica. .........................................................................464 17

Figura 335 - Barra de ferramentas - Regras de estatstica. ....................................465 Figura 336 - Visualizar Estatsticas. ........................................................................466 Figura 337 - Boto: grfico. ....................................................................................466 Figura 338 - Boto: Texto. ......................................................................................467 Figura 339 - Boto: remover. ..................................................................................467 Figura 340 - Visualizar Estatsticas Grfico. ........................................................468 Figura 341 - Boto: salvar estatstica......................................................................468 Figura 342 - Exportar Estatstica.............................................................................469 Figura 343 - Barra de ferramentas: visualizao das estatsticas. ..........................469 Figura 344 -: Conexes TCP. .................................................................................474 Figura 345 - Conexes TCP Conexes IPv4. ......................................................475 Figura 346 - Conexes TCP Conexes IPv6. ......................................................476 Figura 347 - Barra de ferramentas: conexes TCP. ...............................................477 Figura 348 - Conexes TCP Grfico de conexes IPv4. .....................................478 Figura 349 - Relatrio. ............................................................................................483 Figura 350 - Configurando relatrio - Dirio............................................................484 Figura 351 - Configurao do relatrio - geral. .......................................................485 Figura 352 - Configurao do relatrio sub-relatrio............................................486 Figura 353 - Configurao do relatrio mtodo de publicao. ...........................488 Figura 354 - Configurao do relatrio mtodo de SMTP....................................489 Figura 355 - Janela de acesso: Exportao Agendada de Logs e Eventos. ...........493 Figura 356 - Exportao Agendada de Logs e Eventos - dirio. .............................494 Figura 357 - Configurao da Exportao Agendada de Logs e Eventos - geral. ..495 Figura 358 - Configurao da Exportao Agendada de Logs e Eventos mtodo de publicao. ..............................................................................................................496 Figura 359 - Configurao da Exportao Agendada de Logs e Eventos tipo de publicao. ..............................................................................................................497 Figura 360 - Funcionamento bsico de um Proxy tradicional. ................................500 Figura 361 - Funcionamento bsico de um Proxy transparente. ............................501 Figura 362 - Proxies transparentes e contextos......................................................501 Figura 363 - Agente de autenticao - Aker. ..........................................................507 Figura 364 - Agente de autenticao Firewall Aker. ............................................508 Figura 365 - Agente de autenticao - Log. ............................................................509 Figura 366 - Agente de autenticao - Sobre. ........................................................510 Figura 367 - Autenticao. ......................................................................................512 Figura 368 - Autenticao de acesso: Controle de acesso. ....................................513 Figura 369 - Autenticao de acesso: Listagem de grupos ou usurios. ................515 Figura 370 - Autenticao de acesso: Escolha do perfil desejado. .........................515 Figura 371 - Autenticao de acesso: Mtodos. .....................................................517 Figura 372 - Autenticao de acesso: Adicionar entidades. ...................................519 Figura 373 - Autenticao de acesso: Remover entidades. ....................................519 Figura 374 - Autenticao de acesso: Mtodos 1. ..................................................520 Figura 375 - Autenticao de acesso: Mtodos (habilitar autenticao do Token). 521 18

Figura 376 - Autenticao de acesso: Autenticao para proxies. .........................522 Figura 377 - Autenticao de acesso: Autenticao local. ......................................523 Figura 378 - Menu para incluso de usurio. ..........................................................523 Figura 379 - Autenticao Autenticao local. .....................................................524 Figura 380 - Autenticao alterao de senha ou grupo. ....................................524 Figura 381 - Autenticao local criar ou remover grupos. ....................................525 Figura 382 - Controle de acesso por IP. .................................................................526 Figura 383 - Configurao NTLM............................................................................527 Figura 384 - Segurana do Windows solicitao de usurio e senha. .................528 Figura 385 - Perfis. .................................................................................................533 Figura 386 - Perfis Aker Firewall. .........................................................................534 Figura 387 - Opes de configurao de perfil ......................................................534 Figura 388 - Regras: regras de filtragem para o perfil de acesso. ..........................536 Figura 389 - Perfis: Socks. ......................................................................................537 Figura 390 - Perfis: Geral. .......................................................................................538 Figura 391 - Perfis: FTP e GOPHER. .....................................................................539 Figura 392 - Menu de opes (Perfis)....................................................................540 Figura 393 - Geral: HTTP e HTTPS. .......................................................................543 Figura 394 - Janela de acesso: Bloqueio de Banners.............................................544 Figura 395 - Bloqueio de Banners (URL de banners). ............................................545 Figura 396 - Perfis: bloqueio de URL. .....................................................................546 Figura 397 - Barra de ferramentas (inserir ou desabilitar). .....................................546 Figura 398 - Perfis: Arquivos bloqueados. ..............................................................548 Figura 399 - Escolhas de operaes. .....................................................................549 Figura 400 - Perfis: Security Roaming. ...................................................................551 Figura 401 - Perfis: Security Roaming (conjunto de endereos). ............................553 Figura 402 - Perfis: VPN-SSL (Proxy SSL). ............................................................554 Figura 403 - Conexo Direta: Proxy Reverso SSL..................................................555 Figura 404 - Conexo Via Apllet. ............................................................................555 Figura 405 - Conexo Cliente Applet / SSL / Normal. .............................................555 Figura 406 - Perfis MSN Messenger. ...................................................................557 Figura 407 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra. ......................................................................................................................558 Figura 408 - Perfis: Filtragem de aplicao. ...........................................................560 Figura 409 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra. ......................................................................................................................561 Figura 410 - Autenticao. ......................................................................................562 Figura 411 - Autenticao: Controle de acesso. .....................................................563 Figura 412 - Menu de escolha do usurio...............................................................564 Figura 413 - Menu de escolha do perfil...................................................................564 Figura 414 - Controle de acesso por IP. .................................................................565 Figura 415 - Usurios conectados. .........................................................................568

19

Figura 416 - Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n de usurios conectados.) ........................................................................................569 Figura 417 - Barra de ferramentas: usurios conectados. ......................................569 Figura 418 - Servios: relay. ...................................................................................576 Figura 419 - Servios: geral. ...................................................................................577 Figura 420 - Servios: relay. ...................................................................................578 Figura 421 - Servio: regras. ..................................................................................579 Figura 422 - Menu (inserir, copiar, editar, excluir ou renomear). ............................580 Figura 423 - Edio de regra: SMTP. .....................................................................581 Figura 424 - Servio: DNS. .....................................................................................584 Figura 425 - Menu (inserir, copiar, editar, excluir ou renomear). ............................585 Figura 426 - Servio: DNS. .....................................................................................586 Figura 427 - Servio: anexos. .................................................................................587 Figura 428 - Menu (inserir, copiar, editar, excluir ou renomear). ............................588 Figura 429 - Regra: edio de regras e anexos. .....................................................589 Figura 430 - Regra: edio de regras e anexos. .....................................................591 Figura 431 - Servio: Spam Meter. .........................................................................593 Figura 432 - Servio: Avanado. .............................................................................597 Figura 433 - Servio: propriedade de um contexto Telnet. .....................................601 Figura 434 - Menu (inserir). ....................................................................................602 Figura 435 - Janela de incluso de usurios ou grupos..........................................603 Figura 436 - Servios: propriedades de um contexto FTP. .....................................606 Figura 437 - Janela de lista de regras (aceitas ou no). .........................................607 Figura 438 - Propriedades de um contexto POP3. .................................................611 Figura 439 - Operaes sobre determinada regra. .................................................612 Figura 440 - Edio de regras de arquivos. ............................................................614 Figura 441 - Uso de quotas. ...................................................................................619 Figura 442 - Uso de quotas: visualizao do usurio. ............................................620 Figura 443 - Uso de quotas: visualizao da quota. ...............................................621 Figura 444 - Conexo (internet, rede interna, firewall e DMZ. ................................625 Figura 445 - Filtro web. ...........................................................................................627 Figura 446 - Configurao dos parmetros do filtro web (geral). ............................628 Figura 447 - Filtro Web: cliente de autenticao. ....................................................632 Figura 448 - Filtro Web: controle de contedo. .......................................................633 Figura 449 - Filtro Web: tipo de arquivo. .................................................................635 Figura 450 - Escolhas dos operadores. ..................................................................638 Figura 451 - Filtro Web: antivrus. ...........................................................................639 Figura 452 - Diagrama de certificados envolvidos no acesso. ................................642 Figura 453 - Filtro web: configurao......................................................................644 Figura 454 - Certificado de erro do Firefox. ............................................................645 Figura 455 - Certificado assinado pela CA de erro. ................................................646 Figura 456 - Erro de acesso. ..................................................................................646 Figura 457 - Certificado de informao. ..................................................................649 20

Figura 458 - Certificado de informao. ..................................................................650 Figura 459 Certification Authority. ........................................................................651 Figura 460 - Certificado CA properties.................................................................651 Figura 461 - Certificado CA General. ...................................................................652 Figura 462 - Certificado CA Details......................................................................653 Figura 463 - Certificado CA All tasks / Back up Ca. .............................................654 Figura 464 - Certificado Authority Backup Wizard. .................................................654 Figura 465 - Certificado Authority Backup Wizard senha e confirmao. ............655 Figura 466 - Microsoft Management Console. ........................................................656 Figura 467 - Adicionar ou remover Snap-is. ...........................................................657 Figura 468 - Microsoft Management Console certificates, all task, import). .........658 Figura 469 - Escolha do diretrio onde deseja importar o relatrio.........................659 Figura 470 - Mozilla Firefox (importar certificado). ..................................................660 Figura 471 - Mozilla Firefox (criptografia). ..............................................................660 Figura 472 - Gerenciador de certificados autoridades. ........................................661 Figura 473 - Filtro Web: avanado. .........................................................................662 Figura 474 - Filtro Web: avanado. .........................................................................663 Figura 475 - Filtro Web: avanado. .........................................................................664 Figura 476 - Sesses Web. ....................................................................................666 Figura 477 - Proxy Socks ........................................................................................671 Figura 478 - Autenticao dos usurios Socks. ......................................................671 Figura 479 - Propriedades de um contexto RCP. ...................................................676 Figura 480 - Menu de execuo da janela RPC. ....................................................677 Figura 481 - Menu de execuo da janela RPC (inserir, apagar, rejeitar ou aceitar). ................................................................................................................................677 Figura 482 - Propriedades de um contexto DCE-RPC............................................678 Figura 483 - Menu de execuo da janela DCE-RPC.............................................679 Figura 484 - Menu de execuo da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar). ...................................................................................................................679 Figura 485 - Proxy Messenger. ...............................................................................682 Figura 486 - Proxy Messenger Aba Tipo Servio.................................................683 Figura 487 - Proxy Messenger Aba Mensagens. .................................................684 Figura 488 - Proxy Messenger Controle de acesso. ............................................685 Figura 489 - Proxy Messenger Configuraes. ....................................................686 Figura 490 - Filtragem de aplicaes. .....................................................................689 Figura 491 - Filtragem de aplicaes Regras de filtragem de aplicaes. ...........690 Figura 492 - Menu de operao sobre uma regra...................................................691 Figura 493 - Filtragem de aplicaes. .....................................................................693 Figura 494 Filtro de Aplicaes............................................................................694 Figura 495 - Menu de operao sobre um filtro. .....................................................694 Figura 496 - Menu de operao para acessar o nome do filtro ou forma de concatenao. ........................................................................................................695 Figura 497 - Operaes de filtragem. .....................................................................695 21

Figura 498 - IPS/IDS. ..............................................................................................698 Figura 499 - IPS/IDS Regras IDS. .......................................................................699 Figura 500 - Menu para execuo de operao de regras. ....................................700 Figura 501 - IPD/IDS Filtros IDS. .........................................................................702 Figura 502 - Filtros IDS Configurao do filtro. ....................................................703 Figura 503 - IPD/IDS - Portscan. ............................................................................705 Figura 504 - IPD/IDS IDS Externo. ......................................................................707 Figura 505 -: IPs bloqueados. .................................................................................709 Figura 506 - IPs bloqueados. ..................................................................................710 Figura 507 - Atualizao de assinaturas. ................................................................711 Figura 508 - Atualizao de assinaturas. ................................................................712 Figura 509 - Configurao IDS configurao. ......................................................713 Figura 510 - Firewalls usados. ................................................................................715 Figura 511 - Configurao de IDS log..................................................................716 Figura 512 - Configurao de IDS eventos. .........................................................717 Figura 513 - TCP/IP. ...............................................................................................723 Figura 514 - DHCP. ................................................................................................724 Figura 515 - Servidor DHCP. ..................................................................................725 Figura 516 - Relay DHCP entre redes. ...................................................................726 Figura 517 - Servidor DHCP interno. ......................................................................727 Figura 518 - DNS. ...................................................................................................728 Figura 519 - TCP/IP - DNS .....................................................................................728 Figura 520 - Interfaces de rede. ..............................................................................729 Figura 521 - Interfaces de redes. ............................................................................730 Figura 522 - Menu: configurao ou modificao de endereo IP. .........................731 Figura 523 - Menu de criao: VLAN. .....................................................................731 Figura 524 - Configurao PPPoE. .........................................................................732 Figura 525 - Roteamento. .......................................................................................734 Figura 526 - Janela de Roteamento........................................................................735 Figura 527 - Roteamento - Geral. ...........................................................................736 Figura 528 - Roteamento dinmico. ........................................................................738 Figura 529 - Roteamento dinmico. ........................................................................741 Figura 530 - Roteamento avanado (OSPF). .........................................................743 Figura 531 - Roteamento avanado........................................................................745 Figura 532 - Exemplo de laboratrio de teste balanceamento de rotas. ..............746 Figura 533 - Teste e configuraes NAT exemplo A. .......................................746 Figura 534 - Teste e configuraes Balanceamento de link exemplo B. ..........747 Figura 535 - Teste e configuraes NAT exemplo B. ..........................................747 Figura 536 - Teste e configuraes Balanceamento de link exemplo B. ..........748 Figura 537 - Roteamento. .......................................................................................748 Figura 538 - Modo de configurao para interfaces de rede. .................................750 Figura 539 - Configurao de Interfaces.................................................................751 Figura 540 - Lista da interfaces de rede. ................................................................752 22

Figura 541 - Mdulo de configurao para interfaces de rede. ...............................752 Figura 542 - Cadastro de VLan. ..............................................................................753 Figura 543 - Configurao de interfaces. ................................................................754 Figura 544 - Configurao de rotas estticas. ........................................................755 Figura 545 - Configurao de rotas estticas entrada de dados. ........................756 Figura 546 - Configurao de DNS. ........................................................................757 Figura 547 - Mdulo de configurao para interfaces de rede. ...............................757 Figura 548 - Configurao de link 3G. ....................................................................765 Figura 549 - Configurao 3G no Aker Firewall. .....................................................766 Figura 550 - Configurao do cluster. .....................................................................774 Figura 551 - Criar cluster. .......................................................................................775 Figura 552 - Configurao do cluster configuraes gerais. ................................776 Figura 553 - Configurao do cluster: Adicionar membro. ......................................778 Figura 554 - Estatsticas do cluster. ........................................................................779 Figura 555 - Estatsticas do cluster: Firewall 1. ......................................................780 Figura 556 - Estatsticas do cluster: Grfico. ..........................................................781 Figura 557 - configurao do Cluster. .....................................................................782 Figura 558 - Criar Cluster. ......................................................................................782 Figura 559 - Preenchimento dos campos para criar cluster. ...................................783 Figura 560 Exemplo: criar cluster. .......................................................................784 Figura 561 - Mensagem de configurao realizada com sucesso. .........................784 Figura 562 Mensagem que o usurio ser desconectado para as configuraes serem recarregadas. ...............................................................................................785 Figura 563 - Escolha do cluster corporativo. ...........................................................785 Figura 564 - Pop-up informando que ao mudar o tipo de cluster ser realizado um reincio do servidor..................................................................................................786 Figura 565 - Configurao do Cluster. ....................................................................787 Figura 566 - Escolha Multicast. ...............................................................................788 Figura 567 - Adicionar entidades. ...........................................................................789 Figura 568 - Acesso ao servidor SSH. ....................................................................790 Figura 569 - Cadastro de MAC. ..............................................................................790 Figura 570 - Cluster cooperativo montado. .............................................................791 Figura 571 - Interface Texto exemplo 1: mostrando a configurao da interface. ................................................................................................................................793 Figura 572 - Esquema de funcionamento do Web Content Analyzer. ....................806 Figura 573 - Escolha do idioma no qual deseja realizar a instalao . ....................808 Figura 574 Contrato de licena do programa. ......................................................809 Figura 575 - Preenchimento de informaes do usurio. .......................................810 Figura 576 - Seleo dos recursos que deseja instalar. .........................................811 Figura 577 - Mensagem de aplicativo pronto para ser instalado. ...........................812 Figura 578 - Barra de progresso de instalao. ....................................................813 Figura 579 - Concluindo a Instalao. ....................................................................814 Figura 580 - Instalao Linux: Descompactao. ...................................................815 23

Figura 581 - Instalao Linux: Execuo Script de Instalao. ...............................816 Figura 582 - Termo de Licena. ..............................................................................817 Figura 583 Instalao do Mdulo de Log. ............................................................818 Figura 584 Confirmao de usurio e senha. ......................................................819 Figura 585 - Instalao Linux: Criao de Usurio Administrador. .........................820 Figura 586 - Opes de Configurao do Aker Web Content Analyzer. .................821 Figura 587 - Gerenciamento de base de URLs. .....................................................821 Figura 588 Menu: Gerenciamento da base de URLs. ..........................................822 Figura 589 - Gerenciamento da base de URLs: geral.............................................823 Figura 590 Menu: Gerenciamento da base de URLs frequncia de atualizao. 824 Figura 591 Menu: Gerenciamento da base de URLs atualiza os sites. ...............825 Figura 592 - Categorias. .........................................................................................826 Figura 593 Menu: Categorias cria categoria pai. .................................................827 Figura 594 - Menu: Categorias cria categoria filho. ..............................................828 Figura 595 - Boto: cone. ......................................................................................828 Figura 596 Escolha dos cones da categoria. ......................................................829 Figura 597 Janela: Nova Categoria. ....................................................................829 Figura 598 Criao das listas de expresses. .....................................................830 Figura 599 Menu: categorias cria lista de expresses. ........................................831 Figura 600 Menu: Categorias define local de busca. ...........................................832 Figura 601 - Boto: de pesquisa. ............................................................................832 Figura 602 Menu: Categorias. .............................................................................833 Figura 603 Importar arquivo. ................................................................................834 Figura 604 - Teste de URLs. ...................................................................................836 Figura 605 Teste de URL. ....................................................................................836 Figura 606 Teste de URL j categorizado. ..........................................................837 Figura 607 - Aker Spam Meter: Esquema de Funcionamento. ...............................841 Figura 608 - Spam Meter. .......................................................................................842 Figura 609 - Menu de o Spam Meter. .....................................................................842 Figura 610 - Bancos de dados. ...............................................................................843 Figura 611 - Bancos de dados. ...............................................................................843 Figura 612 Menu Base de Dados: Lista das bases de Dados. ............................845 Figura 613 - Botes: Salva Backup e Restaura Backup. ........................................845 Figura 614 - Botes: Atualizar, Recalcular e Excluir. .............................................845 Figura 615 - Parmetros. ........................................................................................846 Figura 616 Parmetros: usando Proxy. ...............................................................847 Figura 617 - Classificao de e-mail. ......................................................................848 Figura 618 Menu Filtro: Classificao de e-mail. .................................................848 Figura 619 - Abri um arquivo de e-mail. ..................................................................849 Figura 620 - Configuraes do filtro. .......................................................................850 Figura 621 - Mensagens salvas para treinamento. .................................................850 Figura 622 Configuraes do filtro. ......................................................................851 Figura 623 - Boto: Padro. ....................................................................................852 24

Figura 624 - Boto: Atualizao do Servidor. .........................................................852 Figura 625 - Grfico de notas. ................................................................................853 Figura 626 Grfico de notas. ...............................................................................853 Figura 627 Plugin de o Aker Spam Meter para Mozilla Thunderbird....................854 Figura 628 - Aker Antivrus Module: Esquema de Funcionamento 1. .....................858 Figura 629 - Esquema de Funcionamento 3. ..........................................................859 Figura 630 Antivrus. .............................................................................................860 Figura 631 - Opes de Configurao do Aker Antivrus Module. ..........................861 Figura 632 Configuraes avanadas. ................................................................862 Figura 633 - Menu Informaes do Engine ..........................................................863 Figura 634 Gerenciamento de atualizaes. .......................................................864 Figura 635 - Menu Gerenciamento de atualizaes ..........................................865 Figura 636 - Menu Gerenciamento de Atualizaes -> Atualizao da base de vrus .......................................................................................................................866

25

Introduo

26

1.

Introduo
Seja bem vindo ao manual do usurio do Aker Firewall. Nos prximos captulos voc aprender como configurar esta poderosa ferramenta de proteo s redes. Esta introduo tem como objetivo descrever a organizao deste manual tornando sua leitura a mais simples e agradvel possvel.

1.1. Como est disposto este manual

Este manual organizado em vrios captulos. Cada captulo mostra um aspecto da configurao do produto e todas as informaes relevantes ao aspecto tratado. Todos os captulos comeam com uma introduo terica sobre o tema a ser tratado seguido dos aspectos especficos de configurao do Aker Firewall. Juntamente com esta introduo terica, alguns mdulos possuem exemplos prticos do uso do servio a ser configurado, em situaes hipotticas, porm, bastante prximas da realidade. Buscamos com isso tornar o entendimento das diversas variveis de configurao o mais simples possvel. Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessrio, pode-se us-lo como fonte de referncia. Para facilitar seu uso como referncia, os captulos esto divididos em tpicos, com acesso imediato pelo ndice principal. Desta forma, pode-se achar facilmente a informao desejada. No decorrer deste manual, aparecer o smbolo seguido de uma frase escrita em letras vermelhas. Isto significa que a frase em questo uma observao muito importante e deve ser totalmente entendida antes que se prossiga com a leitura do captulo.

1.2. Interface Texto e Interface Remota

O Aker Firewall possui duas interfaces distintas para sua configurao: uma Interface Remota e uma Interface Texto Local.

27

A Interface Remota: chamada de remota porque atravs dela possvel administrar remotamente, via Internet, um Aker Firewall localizado em qualquer parte do mundo. Esta administrao feita atravs de um canal seguro entre a interface e o firewall, com um forte esquema de autenticao e criptografia, de modo a torn-la totalmente segura. A Interface Remota: de uso intuitivo e est disponvel para plataformas Windows e Linux.

A Interface Texto: totalmente orientada linha de comando que roda na mquina onde o firewall est instalado. O seu objetivo bsico possibilitar a automao de tarefas da administrao do Aker Firewall (atravs da criao de scripts) e possibilitar uma interao de qualquer script escrito pelo administrador com o Firewall. Praticamente todas as variveis que podem ser configuradas pela Interface Remota podero ser configuradas tambm pela Interface Texto. Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores e os comentrios destas tm validade tanto para Interface Remota quanto para a Interface Texto. Devido a isso, os tpicos referentes Interface Texto normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso tenha dvida sobre algum parmetro, deve-se recorrer explicao do mesmo no tpico relativo Interface Remota.

No possvel o uso simultneo de vrias interfaces grficas para um mesmo Firewall, nem o uso da Interface Texto enquanto existir uma Interface Remota aberta.

1.3. O Firewall

Com a evoluo da Internet, o ambiente das aplicaes em nvel de routers, tornouse dinmico e constantemente oferece novos protocolos, servios e aplicaes. Os roteadores e proxies no so suficientes para garantir a segurana necessria s diversas aplicaes da Internet nem para cumprir as novas necessidades empresariais, alto bandwidth e as exigncias de segurana de redes. Diante dessa necessidade das organizaes protegerem suas redes, a Aker desenvolveu o Aker Firewall. A segurana que envolve a rede construda por um conjunto de programas e tcnicas que tem por finalidade liberar ou bloquear servios dentro de uma rede interligada Internet de forma controlada. Sendo o Firewall a parte mais importante em um programa de segurana, deve-se sempre se lembrar da importncia de utilizar ferramentas que auxiliam na deteco de brechas e vulnerabilidades dos sistemas operacionais que esto em uso na rede, bem como, o uso de programas que detectam intrusos ou ataques. importante tambm, saber qual ao a ser tomada quando uma violao ou um servio importante parar. 28

1.4. Copyrights do Sistema

Copyright (c) 1997-2003 Aker Security Solutions; Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright 1995 Eric Young; Utiliza o algoritmo AES implementao do Dr. B. R. Gladman (brg@gladman.uk.net); Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data Security, Inc; Utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University; Utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and Mark Adler; Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997; Inclui software desenvolvido pela Universidade da Califrnia, Berkeley e seus colaboradores; Inclui software desenvolvido por Luigi Rizzo, Universita di Pisa Portions Copyright 2000 Akamba Corp; Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson; Inclui software desenvolvido por Ericsson Radio Systems.

29

Instalando o Aker Firewall

30

2.

Instalando o Aker Firewall


Este captulo mostra como se instala o Aker Firewall, seus requisitos de hardware, software e instalao.

2.1. Requisitos de hardware e software

Para o firewall O Aker Firewall roda sobre o sistema operacional proprietrio, em plataformas Intel ou compatveis. Para que o Aker Firewall execute todos os componentes de hardware de maneira satisfatria, necessrio possuir as seguintes configuraes: Computador Intel ou compatvel com 500MHz ou superior; Para utilizar um link com alta taxa de transferncia ou aplicar criptografia em um link com velocidade relativamente alta, recomenda-se o uso de um computador mais potente. 512 Mbytes de memria RAM; Para fazer um melhor uso dos servios de proxy e de criptografia, ser necessrio utilizar memria maior ou igual a 512 Mbytes. 20 Gbytes de espao em disco; Para armazenar os logs do sistema por um grande espao de tempo recomenda-se o uso de discos maiores. Leitor de CD-ROM ou pen drive USB, monitor, mouse e teclado; Isso s necessrio durante a instalao ou caso se pretenda utilizar a Interface Texto a partir do console, entretanto altamente recomendado em todos os casos. Placa(s) de rede. No existe um nmero mximo de placas de rede que podem ser colocadas no Firewall. A nica limitao existente a limitao do prprio hardware. Caso necessite de um grande nmero de interfaces de rede, pode-se optar por placas com mais de uma sada na mesma interface.

31

Para a Interface Remota A Interface Remota de administrao do Aker Firewall roda em plataformas Windows, Linux, em plataformas Intel ou compatveis. Para que a Interface Remota execute de maneira satisfatria os componentes de hardware devem possuir as seguintes configuraes: Computador Intel ou compatvel com 500MHz ou superior; 256 Mbytes de memria RAM; 2 Gbytes de espao livre em disco; Monitor; Mouse; Teclado; Placa de rede.

Todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a interface ser instalada, em alguma das verses aceitas pelo produto.

2.2. Instalando a Interface Remota

A Interface Remota poder ser instalada nas plataformas Windows ou Linux. Faa o download e instale Aker Control Center no site: http://www.aker.com.br. Selecione o idioma no qual deseja realizar a instalao (Portugus ou Ingls) e cliqueno boto OK.

Figura 1 Seleo do idioma para realizar a instalao.

32

Surgir a seguinte tela: Bem-vindo ao Assistente de Instalao do Aker control Center 2. Leia as recomendaes e clique no boto Avanar.

Figura 2 - Mensagem de boas vindas do Assistente de Instalao do Aker Control Center 2.

33

Logo em seguida, surgir a tela com o Contrato de Licena do Programa. Leia todas as informaes com ateno. Selecionar a opo Aceito o contrato de licena e clique no boto Avanar.

Figura 3 - Contrato de licena do Programa.

34

A seguir, aparecer a tela de Informaes do usurio. Os seguintes campos devem ser preenchidos: Nome completo: nome do usurio; Empresa: nome da Empresa.

Abaixo aparece um texto, dizendo que as configuraes do aplicativo podem ser instaladas para o usurio atual ou para todos os que partilham o computador (para isso necessrio ter direitos de administrador). Escolher uma das opes: Qualquer pessoa que usa este computador ou Somente para mim. Ao trmino, clique no boto Avanar.

Figura 4 Informaes do usurio.

35

A tela Pasta de destino permite ao usurio selecionar uma pasta aonde deseja instalar o aplicativo.

Figura 5 - Pasta de destino.

Em caso de uma pasta especifica clique em Procurar e surgir a tela:

Figura 6 Instalao em pasta especifica.

36

Procure a pasta na qual deseja salvar. Clique no boto OK. Retornando tela de destino, clique em Avanar. A mensagem Pronto para instalar o aplicativo surge. Clique no boto Avanar.

Figura 7 - Pronto para instalar o aplicativo.

37

possvel verificar o status da instalao atravs da barra de status Atualizando o sistema.

Figura 8 - Barra de status da instalao.

38

Ao concluir a instalao ser apresentada a mensagem que o Aker Control Center 2 foi instalado com xito.

Figura 9 - Mensagem de instalao realizada com xito.

Para finalizar a instalao, deve-se clicar no boto Concluir.

2.3. Instalando o Aker Firewall O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo comprado desta forma, o produto j vem instalado e pr-configurado. Caso tenha optado por comprar apenas o software (verso IS), a instalao dever ser feita na mquina escolhida, o que ser explicado neste tpico. Para instal-lo deve-se iniciar a mquina com o CD-ROM de instalao ou com o PEN DRIVE cujos downloads podem ser efetuados no site da Aker. Para gravar o PEN DRIVE, siga os passos abaixo: 1. Efetue o download do arquivo no site da Aker (www.aker.com.br); 2. Verifique se o pen drive no Linux est com sdb, digite o comando como root. 39

#dmesg | grep sd ou #fdisk l sero mostradas as informaes de disco da mquina e encontre o pen drive. 3. Aps identificar em qual device o Linux montou o pen drive, digite o comando dd if=<nome do arquivo que fez o download> | gunzip | dd of=/dev/<device que se encontra o pen drive>. Exemplo: dd if=<aker-box-2.0-pt-installer.img.gz | gunzip | dd of=/dev/sdb 4. Pronto. Seu pen drive um instalado dos produtos da Aker. Os procedimentos a seguir devem ser realizados na mesma mquina na qual o Firewall ser instalado: 1. Insira o dispositivo no seu hardware, em seguida reinicie o sistema; 2. Selecione qual produto deseja instalar: Aker Firewall, Aker Secure Mail Gateway ou Aker Web Gateway;

Figura 10 - Selecione o produto a ser instalado ou configurado.

3. Selecione a opo Instalar Aker Firewall; 4. Leia cuidadosamente o texto a seguir e confirme a instalao;

Figura 11 - Leia atentamente o seguinte texto e confirme a instalao.

5. Escolha o dispositivo no qual o Aker Firewall ser instalado e nesse caso digite o texto sda:

40

Figura 12 - Selecione em qual disco o produto ser instalado.

3. Confirme a instalao; 4. Instalao concluda com sucesso, clique na opo sair e remova o dispositivo. Aps reiniciar a mquina, o programa fwinst o responsvel por efetuar a instalao e a configurao do sistema para a execuo do Aker Firewall.

2.4. Firewall Aker - Programa de Instalao

Este programa realiza a Instalao do Firewall Aker e da Interface Texto de configurao local. Surgir a seguinte pergunta: Deseja prosseguir com a Instalao do firewall (S para SIM ou N para NO)? Aps responder Sim, o programa de instalao mostra a licena de uso do Aker Firewall. Para prosseguir, necessrio aceitar todos os termos e condies contidas na licena. Quando aceitos, o programa prosseguir com a instalao mostrando seu progresso atravs de uma srie de mensagens autoexplicativas. Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de modo a realizar a configurao especfica para cada sistema. A tela a seguir ser exibida:

41

Figura 13 - Termo de Licena.

Aps responder Sim, sero instaladas todas as dependncias necessrias para que o Aker Firewall funcione. Configurao do sistema completada. E necessrio agora ativar a cpia instalada atravs da digitao da chave de ativao que foi entregue ao se adquirir o produto. A chave de ativao, o nome da empresa e o endereo IP da interface externa devem ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informtica ou seu representante. Pressione Enter para continuar. Aps digitar enter, o programa mostra uma tela solicitando o caminho onde o arquivo da chave de ativao est salvo. Caso a chave seja vlida, o programa prosseguir com a instalao. necessrio definir se o nome da interface de rede externa do firewall e os endereos IP que se originarem desta interface no sero contabilizados no nmero mximo de licenas do produto. A interface externa deve assumir um dos seguintes valores: 42

eth0; eth1; eth2.

Insira a interface externa: a configurao da interface externa usada apenas para o controle de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet. A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum controle de acesso feito levando-se em conta esta interface. Ativao do sistema completada. Agora se configura alguns parmetros do Firewall Aker: Voc pode cadastrar agora um endereo IP para possibilitar que o firewall seja administrado remotamente a partir de outra mquina. Deseja cadastrar este IP (S/N). Aps responder Sim, digite o endereo IP da mquina onde est instalado o Aker Control Center. Pode-se cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall. Este administrador tem plenos poderes em relao ao firewall e a partir dele novos usurios podero ser cadastrados. Em caso de NO cadastramento de administrador, no ser possvel administrar o firewall a partir da Interface Remota, apenas atravs da Interface Texto local. Voc deseja criar este administrador (S/N)? Para que seja possvel administrar o firewall a partir da Interface Remota necessrio cadastrar um administrador, devendo-se responder S a esta pergunta. De qualquer forma possvel cadastrar posteriormente outros administradores atravs das interfaces locais de administrao. A explicao de como fazer isso, se encontra no captulo intitulado Administrando usurios do firewall. Caso tenha optado por incluir um novo administrador, uma tela abre pedindo os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que a senha do administrador a ser cadastrado no mostrada na tela).

2.5. Mdulo de administrao de usurios remotos e Incluso de usurios

Firewall Aker Entre o login: administrador Entre o nome completo: Administrador do Firewall Aker 43

Entre a senha (6-14): digitar uma senha de 6 a 14 caracteres; Confirme a senha: confirmar a senha digitada acima; Confirma incluso do usurio? (S/N). Aps ter ou no includo o administrador, mostrada uma mensagem perguntando sobre o cadastro de um segredo compartilhado para administrao do Firewall atravs do Aker Configuration Manager. Se voc no possui este produto, responda No, caso contrrio consulte o manual do mesmo. Finalmente, aparece uma mensagem indicando o trmino da instalao que solicita que a mquina seja reinicializada para ativar o Aker Firewall. Aps reinicializar a mquina, o firewall j funcionar automaticamente podendo ser configurado remotamente.

A senha digitada deve conter de 6 a 14 caracteres.

Como funciona a contabilizao de IPs no Aker Firewall? Desde de 1997 a Aker contabiliza sua licenas de firewall em software pelo nmero de endereos IP na rede LAN do cliente. O Aker Firewall contabiliza todos os IPs de suas redes protegidas, ou seja, todo dispositivo fsico ou virtual existente (hosts, impressoras, telefone, tablets, mquinas virtuais, etc) conectado sua rede local ser contabilizado ficar na tabela do Firewall por 72 horas. Segue abaixo algumas orientaes sobre como proceder em caso de problemas de licenciamento:

1. A licena deve ter quantidade suficiente de IP s para atender todos os dispositivos IP da rede LAN, isto inclui alm de computadores, impressoras , celulares, tablets, cmeras, etc, mesmo que estes NO sejam utilizados simultaneamente.

Exemplo: Uma faculdade precisa de uma licena para atender todo o campus, ela tem trs turnos e em cada turno estudam 500 alunos, ela tem 400 dispositivos IPS em sua rede e vai liberar acesso internet controlado para os alunos. Neste caso deve ser cotada uma licena de no mnimo 1900 IPs, pois mesmo se os alunos no estiverem utilizando Internet ao mesmo tempo, a rede ser usada por 44

1500 dispositivos diferentes durante um dia, e mais 400 dispositivos que pertencem faculdade, isto ocorre porque um IP pode ficar retido por at 72 horas no firewall.

2. Redes MPLS onde o cliente tem matriz e filiais, neste caso vamos atuar de da seguinte forma:

O cliente deseja controlar todo o acesso Internet atravs da Matriz, neste caso as licenas devem atender todos os IPs da matriz e de todas as filiais.

Qualquer caso que seja diferente dos citados acima dever ser tratado de forma especifica junto ao suporte.

45

Utilizando o Aker Control Center

46

3.

Utilizando o Aker Control Center


Este captulo lida com o funcionamento da Interface Remota de administrao do Aker Firewall.

3.1. O que a administrao remota do Aker Firewall?

O Aker Firewall pode ser totalmente configurado e administrado remotamente a partir de qualquer mquina que possua um sistema operacional compatvel com uma das verses da interface remota, que tenha TCP/IP e que consiga acessar a mquina na qual o firewall est instalado. Isto permite um alto grau de flexibilidade e facilidade de administrao, possibilitando que um administrador monitore e configure vrios firewalls a partir de sua estao de trabalho. Alm dessa facilidade, a administrao remota economiza recursos na medida em que permite que a mquina rodando o firewall no possua monitor ou quaisquer outros perifricos. Esta comunicao entre a interface remota e os produtos Aker criptografada com uma chave de 256 bits. Como funciona a administrao remota do Aker Firewall? Para possibilitar a administrao remota existe um processo rodando na mquina do firewall responsvel por receber as conexes, validar os usurios e executar as tarefas solicitadas por estes usurios. Quando um usurio inicia uma sesso de administrao remota, a Interface Remota estabelece uma conexo com o mdulo de administrao remota do firewall e mantm esta conexo aberta at que o usurio finalize a sesso. Toda a comunicao entre a interface remota e o firewall feita de maneira segura, novas chaves de criptografia e autenticao so geradas no incio de cada sesso. Alm disso, so empregadas tcnicas de segurana para impedir outros tipos de ataques, como por exemplo: ataques de repetio de pacotes. Seguem comentrios sobre algumas observaes importantes da administrao remota: Para que a interface remota consiga se conectar ao firewall precisa da adio de uma regra liberando o acesso TCP para a porta 1020 a partir da mquina da qual se deseja conectar. Informaes de como fazer isso se encontram no captulo intitulado: O Filtro de Estados.

47

1. S possvel a abertura de uma conexo de administrao remota em um determinado instante. Se j existir uma interface conectada, pedidos subsequentes de conexo so recusados e a interface remota informa que j h uma sesso ativa existente. 2. Cada um dos usurios da interface remota deve estar cadastrado no sistema. O programa de instalao pode criar automaticamente um administrador com poderes para cadastrar os demais administradores. Caso tenha eliminado este administrador ou perdido sua senha necessrio o uso do mdulo local da Interface Remota ou da Interface Texto para criar um novo administrador. Detalhes de como fazer isso se encontram no captulo intitulado: Administrando Usurios do Firewall. Como utilizar a interface A interface bastante simples de ser utilizada, entretanto, existe uma observao que deve ser comentada: O boto esquerdo e direito do mouse, tem funes diferentes na interface. O boto esquerdo usado para selecionar entradas em uma lista . O boto direito tem como funo mostrar um menu de opes para uma determinada lista.

48

3.2. Iniciando a interface remota Para iniciar a execuo da Interface Remota deve-se executar um dos seguintes passos: Em mquinas Windows, clique no menu Iniciar e selecionar o Aker Control Center 2. Ento a janela abaixo ser exibida:

Figura 14 Acessando o Aker Control Center 2.

Em Linux deve-se acessar o diretrio de instalao do Control Center e executar o seguinte script: 'aker_control_center2_init.sh'. A janela mostrada acima a principal do Aker Firewall e a partir dela que se tem acesso a todas as opes de configurao, inclusive ativao da licena do Firewall. Sem ativao da licena no possvel realizar as configuraes subsequentes.

49

No primeiro acesso, todos os dados referentes licena aparecem em branco e habilitados para que o Administrador possa carreg-lo. A Licena de Uso consta em um arquivo, que, ser indicado aps o boto Carregar ter sido clicado, e assim que forem confirmados, os dados carregados, a janela abre com todos os dados da licena atual, ento, surgir uma janela confirmando e reiniciando o firewall. Portanto clique no boto Carregar, no canto superior direito da interface: A Interface Remota composta de 4 menus descritos brevemente a seguir (quando existe um firewall selecionado, um quinto menu mostrado com opes especficas para o mesmo): Opes O menu Opes contm as configuraes relacionadas ao layout da Interface Remota.

Figura 15 - Menu opes.

Ao clicar neste menu, as seguintes opes aparecem: Mostrar Tooltips: uma dica de contexto. aquela moldura pop up que abre quando voc passa o mouse sobre um elemento HTML (normalmente uma palavra em um texto) e que contm uma explicao adicional sobre aquele elemento que recebeu o ponteiro do mouse sobre ele. Sesso ociosa: Permite definir o tempo mximo, em minutos, que a interface permanecer conectada ao firewall sem receber nenhum comando do administrador. Assim que este tempo limite for atingido, a interface automaticamente ser desconectada do firewall, permitindo que uma nova sesso seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa Sem limite quando estiver marcada no desconectar a interface do firewall. O Valor padro de 1 minuto. Aps efetuar as alteraes clique no boto OK, caso no realize nenhuma alterao, clique no boto Cancelar.

50

Figura 16 - Tempo de sesso ociosa.

Remoo: Caso deseje remover alguma regra, filtro, etc, ser enviado uma mensagem com um a pergunta se deseja realmente remover o item selecionado; Suprimir plugins inexistentes: caso no tenha um plugin da Aker instalado, ao clicar nessa opo, ser mostrada a mensagem do que est faltando. Firewall: este menu para cadastrar mais firewalls na Interface Remota de modo que possibilite simultaneamente a administrao de diversos Aker Firewalls. Com a interface conectada a mais de um firewall simultaneamente, possvel usar a facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a facilitar a replicao de determinadas configuraes entre eles. Dentro do menu Firewall, tem-se:

Figura 17 Esconder regras.

Esconder regras: colapsa as politicas de regra.

Figura 18 Desabilitar perguntas.

Desabilitar perguntas Assistente de regras de filtragem: assistente para a criao de regras de filtragem; Assistente de Nat: cria regras de Nat; Verificador de regras: checagem das regras de filtragem para verificar se no h regras sobrepostas.

51

Idiomas: possvel escolher em qual idioma deseja acessar a Interface Remota (Ingls ou Portugus).

Figura 19 - Escolha do idioma que deseja acessar o Aker Control Center.

Editar cor de fundo: possvel escolher com qual cor de fundo deseja-se trabalhar. Posteriormente sero dados maiores explicaes;

Figura 20 Cor de fundo do Aker Control Center.

o Formato: define o formato como deseja padronizar a tela do Aker Control Center:

Figura 21 - Formato horizontal.

52

Figura 22 - Formato vertical.

Figura 23 - Formato Diagonal.

Figura 24 Formato Automtico horizontal.

Figura 25 - Formato Automtico vertical.

o Pontos: podem-se alterar as cores finais e iniciais. Para isso deve-se escolher a cor e clicar no boto OK.

53

Figura 26 Selecionar cor.

o Opo Padro: Quando selecionada est opo a tela seguir com uma configurao padro pr-determinada pela Aker.

Figura 27 - Boto: Padro.

Aps realizar as escolhas desejadas, clique no boto OK. Sair: Quando selecionada a opo sair surgir mensagem abaixo:

Figura 28 - Aviso de sair do programa.

Se clicar no boto Sim a Interface Remota ser fechada, se clicar no boto No, a interface continua aberta.

54

Janelas O Menu Janelas possui as funes de configurao das janelas abertas e da barra de menu.

Figura 29 - Menu Janelas.

Barra de ferramentas: esta opo permite definir se a barra de ferramentas na parte superior da janela principal ser mostrada ou no.

Janelas: mostra o item de dispositivos remotos (essa opo tambm pode ser acessada pressionando o boto do teclado F9).

Figura 30 - Dispositivos remotos

55

Entidades: mostra as entidades (pode tambm ser acessada pressionando o boto F9 do teclado).

Figura 31 - Entidades.

Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da Interface Remota se ajustam de forma que todas apareceram visveis. Cascata: esta opo faz com que as janelas abertas no lado direito da Interface Remota fiquem posicionadas em forma de cascata, uma na frente da outra.

Ajuda:

Figura 32 - Menu Ajuda.

Configurao de atualizao automtica: permite a configurao automtica. Nesta janela possvel Habilitar atualizao automtica, Baixar atualizaes automaticamente, e Habilitar atualizaes dos manuais.

Figura 33 - Configurao Automtica de Atualizao.

Realizado as escolhas, deve-se clicar no boto OK.

56

Janelas de Atualizaes: neste menu encontram-se os itens Janelas de Downloads que mostram as atualizaes que se deseja baixar.

Figura 34 - Notificador de Atualizaes.

A janela Notificador de Instalao de Atualizaes' permite selecionar as atualizaes que se deseja instalar.

Figura 35 - Notificador de Instalao de Atualizaes.

Busca por atualizaes: Quando selecionada esta opo uma busca por atualizaes pendentes realizada, conforme mostra imagem abaixo: 57

Figura 36 - Atualizaes prontas.

Sobre: mostra informaes sobre o Aker Control Center.

Figura 37 - Informaes sobre o item: Sobre

Para encerrar, clique no boto OK.

58

Aker Firewall

Figura 38 - Menu Aker Firewall.

Inicialmente nem todas as opes dos menus se encontram habilitadas, por funcionarem apenas quando houver uma conexo estabelecida. Para ter acesso s demais opes devem estabelecer uma sesso de administrao remota com o firewall que deseja administrar. Para tanto se devem seguir os seguintes passos: Cadastrar o firewall selecionando o menu Aker Firewalls e a opo Novo dispositivo remoto (veja o item Cadastrando Firewalls logo a seguir); Selecionar o firewall com o qual se deseja conectar; Clicar na opo Conectar. Novo Dispositivo Remoto: Cadastra um novo disposto Editar: realiza edies; Excluir: exclui dispositivo; Conectar ao dispositivo selecionado: conecta ao dispositivo; Reiniciar dispositivo: reinicia o mesmo; Desligar dispositivo: desliga o dispositivo remoto; Salva backup automaticamente: os backups sero salvos.

Os itens descritos acima sero abordados nas prximas pginas.

59

Textos nos botes: marcando esta opo ser mostrada juntamente com cada cone a ao correspondente do boto. Desmarcando esta opo, ser mostrado apenas o cone. Dicas para Entidades: quando esta opo estiver ativada, uma pequena caixa com a descrio de cada entidade ir aparecer quando o mouse for passado sobre seu cone.

Figura 39 - Caixa de descrio de entidade.

Mostrar cones nos botes: esta opo, se ativada, faz com que sejam mostrados cones nos botes OK, Cancelar e Aplicar das janelas. Janelas: esta opo permite mostrar ou no as janelas padro do sistema: ajuda, firewalls e entidades.

Cadastrando Firewalls Nesta seo demonstramos como cadastrar um ou mais firewalls quando selecionamos a opo Novo dispositivo remoto dentro do menu Firewalls ou no cone Criar dispositivo remoto.

Figura 40 Boto: Criar novo dispositivo remoto.

60

Aparecer a seguinte janela Editar Dispositivo remoto. Nessa janela, possvel escolher o tipo de autenticao desejada. De acordo com cada opo a janela ser alterada, mostrando os campos correspondentes. Tipo de Autenticao: Usurio/Senha

Figura 41 - Caixa de edio do dispositivo remoto.

Modo de demonstrao: Quando selecionada essa opo, ser criado um firewall de demonstrao com uma configurao padronizada. Nenhuma conexo real ser feita ao tentar se conectar neste firewall, podendo-se criar quantos firewalls de demonstrao for desejado, cada um com a configurao distinta um do outro; Nome: cadastrar o nome pelo qual o firewall ser referenciado na Interface Remota; Nome da mquina: Caso o servidor do Firewall no qual se deseja conectar possua um nome associado ao IP da mquina, basta colocar este nome nesta opo para que o Control Center resolva o DNS automaticamente e se conecte no servidor; Endereo IPv4 e IPv6: cadastrar o endereo IP para conectar no firewall; Usurio: esse campo identifica o usurio que acessar o firewall. Este campo grava o usurio, onde aparecer todas as vezes que o firewall for acessado.

61

Senha: a senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado. A cada 3 tentativas invlidas, o cliente bloqueado de acessar a Control Center por 3 minutos. A cada tentativa invlida gera-se um evento Excesso de tentativas invalidas do mdulo Daemons do Firewall. No final basta clicar em OK e o firewall estar cadastrado, como o tipo de autenticao selecionado. No caso de cancelar o cadastro do firewall, basta clicar em Cancelar.

Tipo de Autenticao: X.509

Figura 42 - Informaes requeridas para Editar o Dispositivo Remoto.

Essa opo permite autenticao com certificao digital X509. Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra o Domnio (C.N) desse certificado.

62

Ao clicar no cone mostrado abaixo, carrega-se um arquivo com extenso *.cer/*.crt que contm o certificado.

Figura 43 cone utilizado para o carregamento de arquivo.

O cone a seguir, mostra um resumo das informaes do certificado.

Figura 44 - cone utilizado para mostrar informaes do certificado.

Certificado do Usurio: essa opo permite carregar um pacote de certificado no formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado e outro com a chave. Carrega um certificado com uma senha e a outra senha para salvar o arquivo da chave, salvando assim, de forma encriptada. Senha: Senha com a qual a chave primria foi salva. Se informar (cadastro), decifra a chave e manda para o firewall fazer a autenticao. Caso deixe a caixa Salvar Senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado. Alterar Senha: Altera a senha cadastrada no campo senha. Salvar Senha: Permite que a senha seja salva automaticamente.

63

Tipo de Autenticao: Agente externo usurio/senha

Figura 45 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto.

Essa opo permite autenticao por meio de Agentes Externos. Usurio: O usurio que acessar o firewall. Este campo grava o usurio, onde aparecer todas as vezes que o firewall for acessado. Domnio: Nome do domnio no qual o agente externo est rodando Senha: A senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado. Fingerprint: um resumo da identificao do certificado digital do Firewall. Essa opo possibilita ao usurio identificar quando tem uma mudana do firewall que se costuma conectar. Na primeira vez que h a tentativa da conexo no haver a identificao do firewall. A partir da segunda vez todas s vezes que conectado vai comparar com o fingerprint. 64

Apaga Fingerprint: Zera e comea do estado inicial. Se h uma troca do Firewall a identificao ser diferente, ento no ser possvel conexo, somente se clicar no icone apaga fingerprint .

Depois de cadastrarmos o firewall, pode-se clicar duas vezes no cone do firewall criado, no lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em seguida, no boto Conectar.

Figura 46 Boto Conectar.

Ele far com que a interface se conecte ao firewall escolhido, como mostrado na figura abaixo:

Figura 47 - Interface conectada ao Firewall escolhido.

65

Caso no seja possvel estabelecer a sesso de administrao, ser mostrada uma janela com o erro que impossibilitou sua abertura. Neste caso, existem vrias mensagens possveis. Abaixo esto listadas as mensagens de erro mais comuns: Aker j sendo utilizado por outra interface; O Aker Firewall s permite a existncia de uma sesso de administrao em um determinado instante. Se esta mensagem for mostrada, significa que j existe outra interface remota conectada ou um mdulo de administrao local sendo utilizado. Erro de rede ou conexo encerrada pelo servidor; Este um erro genrico e pode ter uma srie de causas. A sua causa mais comum um erro na digitao do login ou da senha. Se o login do usurio no estiver cadastrado ou sua senha estiver errada, o servidor encerrar a conexo. Verifique primeiramente se o seu login e sua senha foram digitados corretamente. Caso o erro continue, siga a seguinte sequncia de passos: 1. Verifique se o usurio que est tentando se conectar est cadastrado no sistema e se a sua senha est correta (para fazer isso, utilize o mdulo local de administrao de usurios. Veja o captulo intitulado Administrando usurios do firewall). 2. Verifique se a rede est funcionando corretamente. possvel fazer isso de vrias formas, uma delas utilizando o comando ping. (No se esquea de acrescentar uma regra liberando os servios ICMP echo request e echo reply para a mquina que se est testando em direo ao firewall, caso v utilizar o ping. Para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados). Se isso no funcionar, ento a rede est com problemas de conectividade e isto deve ser corrigido antes de tentar a administrao remota. Caso funcione, veja o passo 3. 3. Verifique se existe uma regra cadastrada liberando o acesso a partir da mquina que queira conectar ao firewall, utilizando o servio Aker (TCP, porta 1020). Caso no exista, insira esta regra (para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados).

66

3.3. Finalizando a administrao remota

Existem trs formas de finalizar a administrao remota do Aker Firewall: Finalizando a sesso clicando com o boto direito do mouse no firewall conectado e selecionando Desconectar do dispositivo remoto;

Figura 48 - Finalizador de administrao remota do Aker Firewall (Desconectar do dispositivo remoto).

Clicando em Desconectar do dispositivo remoto na barra de ferramentas ou fechando a Interface Remota. Neste caso voc perder a conexo com todos os firewalls que estiverem conectados. Caso queira sair do programa, deve-se clicar no boto Sair, na barra de ferramentas da janela principal ou clicar no x no canto superior direito da janela.

Figura 49 Boto: Sair deste programa.

67

3.4. Mudando sua senha de usurio

possvel para qualquer usurio do Aker Firewall alterar a sua senha sempre que desejado. Para tanto se deve primeiro estabelecer uma sesso de administrao (como mostrado no tpico Iniciando a interface remota) e aps isso deve-se executar os seguintes passos:

Figura 50 - Dispositivos remotos (realizar mudana de senha).

Selecionar o firewall a ser configurado; Clicar em Ferramentas; Selecionar o item Mudar senha.

68

Ento a janela a seguir ser exibida:

Figura 51 - Mudar Senha (inserir senha antiga, a nova senha e confirmao da mesma).

Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos Nova senha e Confirmar senha (as senhas aparecero na tela como vrios asteriscos *). Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou o boto Cancelar, caso no queira mud-la. Os campos Senha antiga, Nova senha e Confirmar senha, devem conter de 6 a 14 caracteres.

69

3.5. Visualizando informao de sesso

possvel a qualquer momento visualizar algumas informaes sobre a sesso de administrao ativa. Para isso existe uma janela especfica que mostra informaes teis como: login, nome e direitos do usurio que est administrando o firewall e a verso e o release do Aker Firewall que estiver sendo administrado. So mostradas tambm hora de incio da conexo e h quanto tempo ela est ativa. Para abrir esta janela, execute os seguintes passos:

Figura 52 - Dispositivos remotos (Visualizar Informaes da sesso).

Selecionar o firewall a ser configurado; Clicar em Informao; Selecionar o item Informaes de sesso.

70

Ser mostrada ento a seguinte janela:

Figura 53 - Informao da sesso (mostra dados do Firewall, Licena e Usurio).

3.6. Utilizando as ferramentas da Interface Remota

O que so as ferramentas da Interface Remota do Aker Firewall? As ferramentas so um conjunto de utilitrios presentes apenas na Interface Remota do Aker Firewall. Elas servem para facilitar a administrao do firewall, provendo uma srie de funes bastante teis no dia-a-dia.

71

3.7. Chaves de Ativao

Esta opo permite atualizar a chave de ativao do Aker Firewall e dos demais produtos que possam estar instalados juntos: Antivrus, Spam Meter, Secure Roaming e Web Content Analyzer. Para visualizar ou atualizar a licena, deve-se: Clicar no boto Carregar/Mostrar licena na barra de tarefas do firewall que estiver conectado.

Figura 54 Boto: Carregar/Mostrar licena.

A janela de ativao de licena

Figura 55 - Informaes sobre ativao de licenas.

72

Esta janela apenas informativa. Nela so mostrados todos os produtos que esto instalados junto com o firewall e os dados referentes licena de cada um deles. Entre estes dados pode-se verificar a data de expirao, nmero de licenas, ID e a data de expirao do IDS e etc., para cada produto. Caso se deseje inserir uma nova licena, deve-se clicar no boto Carregar, localizado na barra de tarefas. Esta opo abrir um dilogo onde se pode especificar o arquivo de onde a nova chave ser carregada. No caso do Firewall Box, caso exista mais de um produto instalado junto com o firewall, as chaves dos produtos adicionais tambm sero atualizadas. Da verso 6.0 do Aker Firewall em diante no mais possvel atualizar as chaves de ativao do firewall digitando-as, apenas carregando-as a partir do arquivo enviado pela Aker Security Solutions ou um de seus representantes autorizados.

3.8. Salvar configuraes (backup)

Esta opo permite salvar a configurao completa do firewall na mquina onde est administrando. No caso de algum desastre, pode-se facilmente restaurar esta configurao posteriormente. Para salvar as configuraes conecte em um dispositivo remoto e clique no cone Salvar um backup do item selecionado:

Figura 56 Boto: Salvar um backup do item selecionado.

73

Realizar o download das configuraes personalizadas e bases de treinamento dos produtos:

Figura 57 - Download das configuraes personalizadas e bases de treinamento.

Figura 58 - Backup Informaes de log.

74

A janela para salvar configuraes:

Figura 59 - Tela de escolha de arquivo para salvar configuraes.

Aps digitar o nome do arquivo salvo, deve-se clicar no boto Salvar. Caso no queira mais gravar a cpia de segurana, deve-se clicar no boto Cancelar. Esta opo permite restaurar a cpia de segurana da configurao completa do firewall realizada atravs da opo anterior.

75

Salva o backup automaticamente Atravs de a configurao a seguir, salvo um backup completo do dispositivo remoto todas as vezes que se conectar ao mesmo automaticamente, para ativ-la selecione a opo Salvar o backup automaticamente conforme figura a seguir:

Figura 60 - Salvar o backup automaticamente.

Os backups so salvos na pasta de instalao do Aker Control Center.

3.9. Restaurar configuraes Para restaurar uma cpia de segurana, deve-se:

Figura 61 - Botes para restaurao de backup.

Clicar no firewall para o qual ser carregada a cpia de segurana. Selecionar o item Carregar configuraes na barra de ferramentas ou no menu com o nome do firewall selecionado:

76

Figura 62- Boto: Carrega backup do arquivo.

A janela para carregar configuraes:

Figura 63 - Escolha de arquivo para carregar dados de configurao.

Esta janela permite escolher o nome do arquivo de onde a configurao ser restaurada. Aps seu nome ser especificado, o firewall ler todo seu contedo, far vrios testes de consistncia e se o seu contedo estiver vlido ser carregado.

O boto Abrir carregar a cpia e atualizar a configurao do firewall imediatamente. O Boto Cancelar fechar a janela, porm a cpia de segurana no ser carregada.

possvel escolher, no momento da restaurao do backup, quais configuraes sero aplicadas no produto, agrupadas por similaridade. Exemplo: Regras; Licena; 77

Certificados; Base de dados temporria; TCP/IP; Perfis de acesso.

Sendo possvel selecion-las nas janelas a seguir:

Figura 64 - Restaurao do backup do Antivrus Module.

Figura 65 - Restaurao do backup do Aker Spam Meter.

78

Figura 66 - Restaurao do backup da Web Content Analyzer.

Ser exibida a verso do sistema quando da gerao do backup e alertas podem ser exibidos em caso de incompatibilidade.

3.10.

Reiniciar Firewall

Esta opo serve para reinicializar o firewall, porm no deve ser utilizada em condies normais de operao. A nica operao que exige a reinicializaro do firewall a carga de um algoritmo de criptografia externo. Para reinicializar o firewall deve-se:

Figura 67 - Reiniciar o Firewall.

Selecionar o item Reiniciar Firewall no menu com a opo Aes do Firewall.

79

3.11.

Atualizaes

O que so atualizaes e onde consegui-las? Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seu funcionamento. medida que estes problemas so resolvidos, a Aker produz um arquivo que permite a atualizao de seu Aker Firewall e a eliminao destes erros. Algumas vezes tambm so adicionadas determinadas caractersticas novas em uma verso j existente, de modo a aumentar sua performance ou aumentar sua flexibilidade. Em ambos os casos, os arquivos de atualizao ou correo so disponibilizados de forma gratuita no site da Aker: basta procurar o menu Download e selecionar a opo Correes e Atualizaes. Estes arquivos so sempre cumulativos, ou seja, necessrio apenas baixar a ltima verso disponvel e esta incluir as correes presentes nos arquivos de correo/atualizao anteriores.

A janela de atualizaes Esta opo permite aplicar uma atualizao ou correo do Aker Firewall remotamente, atravs da Interface Remota. possvel tambm atualizar completamente a verso do produto. Para ter acesso janela de atualizaes deve-se clicar no cone localizado na barra de ferramentas, automaticamente a janela ser aberta, para que sejam escolhidas as atualizaes a serem aplicadas.

Figura 68 - Boto: Atualizaes.

Essa janela se divide em duas abas: Atualizao e Histrico, conforme explicadas a baixo:

80

Aba Patch

Figura 69 - Sistema de atualizao de dados do Firewall.

Por meio dessa janela possvel visualizar o status atual das atualizaes/correes aplicadas na Web Gateway. Caso se trate de cluster a janela apresentar as informaes das mquinas que o compem. Possui os seguintes campos: Id: Refere-se identificao das mquinas que compe o cluster. Nome: Refere-se ao apelido atribudo s mquinas. Restaurao: Este campo informa se a ltima atualizao aplicada pode ser desfeita. As atualizaes aplicadas por meio dos Patchs e dos Hotfixes so alteraes que podem ser desfeitas. Essa opo permite desfazer a ltima atualizao aplicada na mquina, seja hotfix ou patch. Deve-se observar que as alteraes so desfeitas uma por uma, ou seja, se a verso j estiver no Patch 3, e deseja-se voltar verso inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante. 81

ltima atualizao: Identificao do ltimo patch aplicado no membro do cluster. Hotfixes: Lista de hotfixes aplicados dentro do patch. Esta lista mostra a ordem direta de aplicao dos hotfixes. O hotfix uma pequena atualizao ou correo feita para um patch especfico. Pode ser aplicado independente da ordem, o que no acontece com o patch, que deve ser aplicado na ordem sequencial de atualizao. Caso a atualizao ou correo sejam destinados a uma verso diferente de sistema operacional ou de verso do Aker Web Gateway, ento o boto Aplicar ficar desabilitado, no permitindo sua aplicao. Para carregar um arquivo de atualizao ou correo deve-se clicar no cone que se encontra na barra de ferramentas.

Figura 70 Boto: Carregar arquivo de atualizao.

82

Com isso aberta uma janela, que permite carregar um arquivo de atualizao do patch ou do hotfix, conforme mostra a figura abaixo.

Figura 71 - Escolha do arquivo para atualizao ou correo.

Para aplicar o arquivo de atualizao/correo, deve-se primeiramente selecionar uma mquina na aba Patch, e logo em seguida clicar no cone para que o patch ou o hotfix seja aplicado.

Figura 72 Aplicar patch ou hotfix.

Caso queira aplicar o rollback, pelo menos uma mquina deve ser selecionada na aba Patch, e logo em seguida deve-se clicar no cone , sendo que essas alteraes sero desfeitas uma a uma, na sequncia que foram atualizadas.

Figura 73 Aplicar rollback.

Para aplicar rollback em mais de uma mquina ao mesmo tempo, as mesmas devem estar com a mesma atualizao, por exemplo: todas esto com a verso patch 3, e quer voltar para o patch 1.

83

Aba Histrico

Figura 74 - Visualizao de histricos de aplicao de patchs e hotfixes.

Essa aba permite visualizar todo o histrico das aplicaes dos patchs e hotfixes. A aba composta dos seguintes campos: ID: Mostra a identificao da mquina de onde foi feita a atualizao. Usurio: Indica o usurio que aplicou a atualizao. Restaurao: Indica se pode ser ou no desfeito a atualizao. Data: Indica a data que foi feita alguma aplicao de patch ou hotfix. A expresso "Verso Corrente" significa que no foi aplicado nenhuma patch. Observao: Ao clicar no boto OK, o Patch ou o Hotfix no so aplicados, somente fechada a janela.

84

3.12.

Mdulo de atualizao automtica Aker Update System (AUS)

O Aker Update System - AUS tem como funo disponibilizar os pacotes de atualizao de todos os produtos da Aker no diretrio do Aker Control Center. O sistema funciona de forma inteligente, onde ele trar somente a ltima verso para pacotes integrados com o Control Center, os ltimos patchs e hotfix. Acesso s janelas de configurao Existem 3 formas de configurar o Mdulo de Atualizao: Primeira opo: Selecionar o produto Aker desejado;

Figura 75 - Acessando o Aker Firewall.

Caso tenha atualizao disponvel, aparecer a seguinte notificao no canto direito inferior da tela do Control Center: Atualizaes prontas.

Figura 76 - Notificao sobre atualizaes disponveis no Aker Update System.

85

Clicar com o boto esquerdo do mouse sobre a mensagem e aparecer a tela Notificador de Instalao de Atualizaes. Devem-se escolher individualmente as atualizaes a serem instaladas e clicar no boto OK.

Figura 77 - Visualizando atualizaes disponveis atravs do Aker Update System.

Em seguida aparecer a seguinte tela: Sistema de Atualizao. Na parte de Patch e possvel assinalar os itens aos quais sero aplicadas as mudanas (a parte descrio informa o que cada uma corresponde) e informaes sobre o PT. Para isso basta escolher a opo desejada e clicar em OK. A atualizao ser realizada automaticamente, caso queria realizar mais de uma, deve-se repetir o procedimento acima.

86

Segunda opo: Selecionar o produto Aker desejado;

Figura 78 - Acessando o Aker Firewall.

Clicar com o mouse no boto de Atualizaes localizado no canto inferior direito da tela da Control Center e escolher uma das duas opes: Atualizaes para instalar ou Atualizaes para baixar.

Figura 79 - Acessando as janelas do Aker Update System.

87

Terceira opo Selecionar o produto Aker desejado;

Figura 80 - Acessando o Aker Firewall.

Figura 81 - Menu - ajuda.

Clicar no cone Ajuda e escolher uma das trs opes:

Configurao de Atualizao Automtica: as atualizaes sero realizadas constantemente conforme tempo estipulado; Janelas de Atualizaes: tem a opo de abrir as Janelas de Download ou Janelas de Instalao. Busca por atualizaes: 88

3.13.

DNS Reverso

DNS reverso utilizado para resolver nomes de mquinas a partir de endereos IP. A janela de resoluo de DNS reverso do Aker Firewall serve para prover resoluo de endereos sem a necessidade de utilizao de programas adicionais. Para ter acesso a janela de resoluo de DNS reverso, deve-se:

Figura 82 - Janela de DNS reverso.

Clicar no menu Ferramentas da janela de administrao do firewall. Selecionar o item DNS Reverso.

89

A janela de resoluo de DNS reverso

Figura 83 - DNS reverso.

Esta janela consiste de um campo para digitar o endereo IP que deseja resolver e uma lista com os endereos IP j resolvidos anteriormente:

A opo Mostrar tudo quando estiver marcada a opo mostrar, numa lista na parte inferior da janela, todos os endereos j resolvidos. O boto OK fechar a janela.

Para resolver um endereo, deve-se digit-lo no campo e pressionar o boto DNS Reverso. Neste momento o endereo ser mostrado na lista na parte inferior da janela, junto com o status da resoluo. Aps algum tempo, ser mostrado o nome da mquina correspondente ao endereo ou uma indicao de que o endereo informado no possui DNS reverso configurado.

90

3.14.

Simulao de Regras de Filtragem

As varreduras de regras permitem ao administrador testar a configurao das regras de filtragem do firewall atravs de uma simulao de tentativas de conexes. Ao analisar o resultado desta simulao, possvel verificar se o firewall est realmente bloqueando as conexes que no devem ser aceitas e permitindo a passagem das que devem. Para ter acesso a janela de varreduras, deve-se:

Figura 84 - Simulao de Regras de Filtragem.

Clicar no menu Ferramentas da janela de administrao do firewall. Selecionar o item Simulao de regras de filtragem.

Simulao de regras de filtragem possvel alternar entre a varredura por endereos IP ou por entidades. A varredura por entidades til quando j tm cadastradas no sistema todas as mquinas, redes e servios que sero utilizados. A varredura por IP mais indicada quando deseja utilizar mquinas, redes ou servios que no esto cadastrados e que no deseja cadastrar (por exemplo, mquinas externas que no sero utilizadas em nenhuma regra de filtragem).

91

. possvel selecionar de entidades listadas a informao para os campos Origem do pacote, Destino do pacote e Servios, ou digit-los. Para alternar entre os dois modos de operao basta clicar nos cones correspondentes esquerda de cada um destes campos.

Simulao de Regras de Filtragem: Quando esta opo estiver selecionada, a janela de varreduras tem o seguinte formato:

Figura 85 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e mscaras).

Os campos IP e Mscara, dentro de Origem do Pacote, especificam a faixa de mquinas a serem utilizadas como origem das conexes simuladas. Os campos IP e Mscara, dentro de Destino do Pacote especificam a faixa de mquinas a serem utilizadas como destino. O campo Servio especifica o protocolo e a faixa de portas simuladas. No caso dos protocolos TCP e UDP, os valores dos servios so as portas destino; no caso do ICMP, o tipo de servio. E no caso de outros protocolos, o valor do protocolo.

92

O campo Dia/Hora permite que o administrador teste as regras para uma determinada hora e dia da semana.

Varredura por Entidades

Quando a opo Varrer por Entidades estiver selecionada, a janela de varreduras tem o seguinte formato:

Figura 86 - Simulao de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).

O campo Origem do pacote especifica a entidade que ser usada na origem das conexes simuladas. O campo Destino do pacote especifica para qual entidade as conexes simuladas devem se dirigir. O campo Servio permite especificar o protocolo e a faixa de portas a serem simuladas, atravs de uma entidade. O campo Dia/Hora permite que o administrador teste as regras para uma determinada hora e dia da semana. S possvel selecionar uma entidade como origem, uma como destino, e uma como servio.

93

3.15.

Relatrios

Esta opo possibilita que o administrador imprima um relatrio de toda (ou de parte) da configurao do firewall de forma fcil e rpida. Este relatrio bastante til para fins de documentao ou de anlise da configurao. Para ter acesso a janela de relatrios deve-se:

Na barra de ferramenta clique no dispositivo remoto que deseja gerar o relatrio e selecione a opo Relatrio.

Figura 87 Relatrio.

94

A janela Relatrio

Figura 88 - Relatrio de configurao do firewall.

Esta janela consiste de vrias opes distintas, uma para cada parte da configurao do firewall, que podem ser selecionadas independentemente. Para gerar um relatrio, deve-se proceder da seguinte forma: 1. Marcar os itens que se deseja imprimir. 2. Clicar no boto Procurar e escolha o diretrio onde iro ser armazenadas as pginas HTML. 3. Abrir o diretrio e selecionar o arquivo HTML para imprimir seu relatrio. Caso queira cancelar a emisso do relatrio, deve-se clicar no boto Cancelar.

95

3.16.

Busca de Entidades

Esta opo permite que localize entidades que contenham um determinado endereo IP, interface ou servio, bem como regras que contenham uma determinada entidade. Para ter acesso janela de localizao de entidades, deve-se:

Figura 89 - Busca de Entidades.

Clicar no menu Ferramentas da janela de administrao do firewall. Selecionar o item Busca de entidade.

96

A janela de localizao de entidades Esta janela consiste de trs abas onde cada uma responsvel por um tipo de pesquisa diferente:

Aba Entidades

Figura 90 - Busca de Entidades (procura de entidade com IP ou nome e ltimos resultados).

Esta aba permite localizar entidades pelo endereo IP informado ou pelo seu nome. Procurar: inicia a busca a partir dos dados informados. Fechar: fecha a janela de localizao de entidades.

Ao clicar duas vezes sobre o nome de uma entidade ou regra mostrada como resultado da pesquisa, a janela de edio correspondente ser aberta, possibilitando que os valores sejam editados rapidamente.

97

Aba Servios

Figura 91 - Busca de Entidades (Servios, protocolo e ltimos resultados).

Esta aba permite localizar entidades do tipo servio que contenham o protocolo e o servio especificados. Procurar: inicia a busca a partir dos dados informados. Fechar: fecha a janela de localizao de entidades. Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como resultado da pesquisa, a janela de edio correspondente ser aberta, possibilitando que edite seus valores rapidamente.

98

Aba Regras

Figura 92 - Busca de Entidades (Regras, entidades e ltimos resultados).

Esta aba permite localizar a regra que a entidade pertence. Procurar: Este campo inicializa a busca a partir dos dados informados. Fechar: Este campo fecha a janela de localizao de entidades. Nesta aba sero carregadas apenas as entidades do tipo Mquina, Rede, Conjunto e Servio. Entidade: Quando selecionada uma entidade, uma busca ser realizada retornando o nmero da regra a qual a entidade pertence. As regras podem ser: Regras VPN, Regras de NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis, se a entidade procurada for do tipo Rede ou Mquina iniciada uma busca para saber se ela est presente em alguma entidade do tipo Conjunto. Caso esteja, as regras que contm essa entidade Conjunto e os tipos relacionados a ela, sero mostradas e impressas no resultado da busca, e consequentemente, as regras que contiverem estes conjuntos tambm sero mostradas. Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da pesquisa (Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN e Perfil) a janela de edio correspondente ser aberta, possibilitando editar os seus valores rapidamente.

99

3.17.

Janela de Alarmes

Esta opo permite visualizar os alarmes gerados pelo firewall, quando esta opo estiver marcada nas regras de filtragem ou na janela de aes. Para ter acesso janela de alarmes, deve-se:

Figura 93 - Janela de Alarmes.

Clicar no menu Ferramentas na janela do firewall que queira administrar. Selecionar o item Janela de alarmes.

100

A janela de alarmes

Figura 94 - Janela de Alarmes (Descrio).

Esta janela consiste de um campo de descrio com as entradas correspondentes a ao executada pela regra de filtragem.

O boto Fechar fecha a janela. A caixa No mostrar essa janela automaticamente, se estiver marcada, far com que a janela no seja mostrada automaticamente quando ocorrer um evento. O boto Salvar grava as entradas em um arquivo de log do tipo texto. O boto Apagar limpa todas as entradas contidas na janela.

101

3.18.

Mapa da rede

O firewall dispe de um prtico sistema para visualizar a rede onde ele se insere de forma grfica. Para ter acesso janela de visualizao grfica da rede, deve-se:

Figura 95 - Mapa da Rede.

Clicar no menu Informao da janela de administrao do firewall. Selecionar o item Mapa da Rede.

A janela abaixo ser exibida:

Figura 96 - Mapa da Rede.

102

O primeiro item representa o firewall, conectado s suas interfaces de rede. A cada interface, conectam-se uma ou mais redes e roteadores, que se conectam a mais redes distantes. Clicando em uma rede com o boto direito do mouse, aparecer um menu listando as entidades que fazem parte da mesma, possibilitando ao usurio edit-las.

3.19.

Estatsticas do sistema

A janela de estatsticas do sistema possui informaes sobre uso do processador e uso de memria do sistema. Para ter acesso a essa janela, deve-se:

Figura 97 - Estatsticas do Sistema.

Clicar no menu Informao da janela de administrao do firewall. Selecionar o item Estatsticas do Sistema.

103

A janela a seguir ser exibida:

Figura 98 - Estatsticas do Sistema.

Na parte superior da janela so mostradas as informaes de uso do CPU. Essas informaes esto dividas em trs partes: porcentagem ociosa, porcentagem dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo usurio. A parte inferior da janela mostra a situao da memria do sistema em Megabytes. Tambm est divida em trs partes: quantidade de memria livre, quantidade de memria sendo usada e quantidade de memria armazenando informaes em forma de cache.

104

A quantidade de memria no afeta de forma significativa a performance do firewall. Entretanto, pode ocorrer queda de desempenho se o sistema possuir rea de memria swap e estiver fazendo muito uso dessa, o que ir afetar apenas os proxies. importante observar que a memria cache no considerada memria usada. Ela acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura ser mais rpida. Porm, se o sistema precisar de uma quantidade maior de memria livre, a rea usada para cache liberada.

Figura 99 Relatrio de estatstica do sistema.

105

3.20.

Utilizando a janela de Sniffer de trfego de pacotes IP

A janela de Sniffer do Aker Firewall permite ao administrador capturar pacotes de uma ou mais conexes que estiverem trafegando pelo firewall. A grande vantagem deste sniffer em relao utilizao de um tradicional que possvel capturar pacotes em vrios pontos distintos dentro de uma interface: possvel ver os pacotes como eles so recebidos (i.e., cifrados e com endereos convertidos) ou exatamente antes ou depois da filtragem, o que faz com que sejam mostrados em claro e com os endereos reais. importante observar que o comando fwpacket s captura dados a partir do header do IP. Atualmente o sniffer de pacotes do firewall s captura dados a partir do header IP. J est em aberto uma solicitao para implementar a funcionalidade de captura de informaes relacionadas a camada 2.. Para ter acesso janela de sniffer, deve-se:

Figura 100 - Acesso a janela: Sniffer de trfego de pacotes IP.

Clicar no menu Ferramentas da janela de administrao do firewall. Selecionar o item Sniffer de trfego de pacotes IP.

106

A janela de Sniffer de Pacotes

Figura 101 - Sniffer de Pacotes Sniffer 1.

Esta janela consiste de vrias abas. Cada uma das abas permite a captura de trfego em uma interface distinta ou em pontos diferentes de uma mesma interface. Para criar novas abas com sniffer deve-se clicar na ltima aba onde aparece o texto Novo sniffer. Para iniciar a captura, devem-se preencher os seguintes campos: Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes opes esto disponveis: Interface fsica: Definir que a captura deve ser feita exatamente como os pacotes so recebidos pelo firewall Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente antes de serem filtrados, i.e., aps serem decriptografados e terem seus endereos convertidos, se for o caso. Aps filtragem: Definir que a captura ser feita apenas dos pacotes que passarem pela filtragem e eles sero vistos decriptados e com seus endereos convertidos, se for o caso. 107

Interface fsica: Definir qual a interface que ser utilizada para capturar os pacotes Filtro: Este define o filtro que ser utilizado na captura dos pacotes. O objetivo deste filtro limitar os pacotes recebidos somente ao que interessa. Caso ele esteja em branco todos os pacotes sero capturados. A sintaxe do filtro a mesma usada no popular programa tcpdump e todas suas opes so suportadas. Um resumo das principais opes que podem ser utilizadas no filtro :

dir Indica a direo em que a transferncia ocorrer, para e/ou do identificador. As direes possveis so : src, dst, src or dst e src and dst. Exemplos: ``src foo'' ``dst net 128.3'' ''src or dst port ftp-data''

proto Qualificador restrito a estipular um tipo particular de protocolo. As opes existentes de protocolo so: ether, ip, arp, rarp, tcp e udp. Exemplos: ``ether src foo'' ``arp net 128.3'' ``tcp port 21'' Quando no estipulado, todos os protocolos existentes em opo sero assumidos.

port Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas as expresses de porta podem ser precedidas de tcp ou udp, assim: tcp src port Capturar apenas pacotes tcp com porta de origem port. Quando o boto Travar seleo estiver selecionado, o pacote selecionado ficar sempre visvel na janela de captura. O boto Iniciar captura inicia a captura de pacotes, porm envia o resultado apenas para a janela. O boto Capturar em arquivo inicia a captura de pacotes e grava os dados no arquivo especificado. Este arquivo pode posteriormente ser aberto pela maioria dos Sniffers tradicionais disponveis no mercado. O boto OK encerra a captura e fecha a janela. Caso tenha capturado para um arquivo, ele estar disponvel.

108

3.21.

Visualizando o Estado dos Agentes Externos

A janela de estado dos agentes externos puramente informativa e serve para indicar ao administrador o estado dos Agentes Externos. Isso muito til quando se quer configurar um novo agente externo ou para detectar a ocorrncia de possveis problemas. Para ter acesso janela de estado dos agentes externos, deve-se:

Figura 102 - Agentes Externos.

Clicar no menu Informao da janela de administrao do firewall. Selecionar o item Agentes Externos.

109

A janela de agentes externos

Figura 103 - Agentes Externos (nome, tipo e status).

Esta janela consiste de uma lista com o nome de todos os agentes externos ativos que sejam um dos seguintes tipos: Agentes de Antivrus, Agentes IDS, Analisadores de URL, Autenticadores (Usurio/Senha, Token, RADIUS e LDAP), Servidores de Log e Spam Meter. Para cada agente listado sero mostradas as seguintes informaes: Nome: Nome da entidade do agente externo. Tipo: Tipo do agente externo. Status: Informa o estado atual da conexo com o agente externo. Os seguintes estados podem ser mostrados nesta coluna:

Estado indefinido: Ainda no existem informaes disponveis sobre o estado deste agente. Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do agente externo. Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do 1 backup do agente externo. Por alguma razo, a conexo inicial ao IP principal no foi possvel.

110

Conectado ao segundo backup. O firewall conectou-se com sucesso ao IP do 2 backup do agente externo. Por alguma razo, a conexo inicial ao IP do 1 backup no foi possvel. Erro de conexo: Devido a um problema de comunicao com o agente externo, nenhuma conexo foi estabelecida. Verifique os eventos para maiores informaes. Erro interno: No foi possvel conectar-se ao agente externo por um problema interno. Verifique os eventos para maiores informaes. Vrus no detectado: Este estado s aparece nos agentes de antivrus e indica que embora o firewall tenha conseguido se conectar corretamente ao agente, ele no foi capaz de detectar o vrus de teste que o firewall enviou. Verifique a configurao do antivrus. IP do servidor. Um ou mais Endereos IPs do agente externo no qual (ou nos quais), o firewall conectou-se.

Para os servidores de log, alm de o estado Conectado ou Erro, haver mais um estado: Parcialmente Conectado, isso ocorre quando mais de um servidor est disponvel (primeiro e segundo backup), porm o agente no est conectado a todos eles.

111

3.22.

Utilizando o Verificador de configuraes

O Verificador de Configuraes uma janela que mostrada sempre que o firewall iniciado e suas configuraes iniciais ainda no esto completas. Ele serve para chamar de forma simples os assistentes que realizam cada uma das etapas principais de configurao do produto. possvel tambm, a qualquer momento chamar o Verificador de Configurao. Para isso deve-se executar a seguinte sequncia de passos:

Figura 104 - Verificador de Configurao.

Clicar no menu Ferramentas da janela de administrao do firewall. Selecionar o item Verificador de Configuraes.

112

A janela do verificador de configuraes

Figura 105 - Verificador de Configuraes

Esta janela consiste de 5 grupos de configuraes distintas. Cada um dos grupos mostrado em azul, caso sua configurao j tenha sido realizada ou em laranja caso no tenha sido realizada. Em cada um dos grupos possvel clicar no link assistente para invocar a execuo do assistente responsvel pela configurao do grupo. No caso em que alguma configurao no venha a ser realizada nunca (por exemplo, no caso de um firewall que no realizar VPN) possvel desabilitar a checagem desta configurao marcando a caixa Parar a checagem automtica das configuraes de VPN do grupo desejado.

O boto Aplicar salva as opes de checagem e mantem a janela aberta. O boto OK far com que a janela seja fechada e as alteraes salvas. O boto Cancelar fechar a janela e descartar as modificaes efetuadas.

importante observar que a memria cache no considerada memria usada. Ela acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa 113

ainda esteja em cache, a reabertura ser mais rpida. Porm, se o sistema precisar de uma quantidade maior de memria livre, a rea usada para cache liberada. Recomenda-se que a configurao seja feita na ordem em que os grupos se encontram de cima para baixo.

114

3.23.

Diagnstico

O Aker Firewall realiza testes bsicos de conectividade: Ping na rota padro; Ping em lugares conhecidos (Ex. DNS da Google); Testes de DNS; Teste de HTTP; Comando traceroute; Comando Netstat; Comando Nslookup.

Figura 106 - Diagnsticos.

115

Aba Tudo retornado ao usurio o status do acesso Internet.

Figura 107 - Janela de Diagnsticos: Tudo

Para ter acesso, basta clicar no boto Testar Tudo. Em seguida surgem os dados.

116

Aba Ping A aba Ping, realiza um teste de ICMP (Ping) no endereo IP ou nome DNS digitado. Este teste valida conectividade do Aker Firewall com o endereo testado.

Figura 108 - Janela de Diagnsticos: Ping

Para acessar, basta digitar o endereo IP desejado e clicar no boto ping. Em seguida os dados so mostrados na tela.

117

Aba Traceroute A aba Traceroute realiza um trace entre o Aker Firewall e o endereo IP ou nome digitado.

Figura 109 - Janela de Diagnsticos: Traceroute.

Para acessar, basta digitar o endereo IP ou nome e clicar no boto traceroute. Em seguida os dados sero mostrados na tela.

118

Aba Netstat A aba Netstat retorna o status de todas as conexes pertencentes ao Aker Firewall.

Figura 110 - Janela de Diagnsticos: Netstat.

Deve-se clicar no boto Netstat. Em seguida os dados so mostrados na tela.

119

Aba Nslookup A aba Nslookup realiza a resoluo do nome digitado para seu respectivo endereo IP, este teste importante para validar a configurao DNS do Aker Firewall.

Figura 111 - Janela de Diagnsticos: Nslookup.

Para acessar, basta digitar o nome do servidor para seu respectivo endereo IP e em seguida clicar no boto Nslookup. Os dados sero mostra dos na tela.

120

Administrando usurios do Firewall

121

4.

Administrando usurios do Firewall


Este captulo mostra como criar os usurios para administrar remotamente o Aker Firewall.

O que so usurios do Aker Firewall? Para que alguma pessoa consiga administrar remotamente o Aker Firewall preciso ser reconhecida e validada pelo sistema. Esta validao feita na forma de senhas, assim, para que ela seja possvel, cada um dos administradores dever ser previamente cadastrado com um login e uma senha. Alm disso, o Aker Firewall permite a existncia de vrios administradores distintos, cada um responsvel por uma determinada tarefa da administrao. Isso, alm de facilitar a administrao, permite um maior controle e uma maior segurana. no cadastro de usurios que define as respectivas atribuies de cada administrador.

4.1. Usurios Administradores

Para ter acesso janela de Usurios administradores, na interface remota, deve-se:

Figura 112 - Acesso a janela de Usurios administradores.

Clicar em Configuraes do Sistema da janela do firewall que quer administrar. 122

Selecionar o item Usurios administradores. Esta opo s habilitada quando o usurio que est com a sesso aberta na interface remota tem autoridade para gerenciar usurios. Isso ser comentado em detalhes no prximo tpico. A janela de Usurios administradores Aba Usurios internos

Figura 113 - Janela de Usurios administradores (Usurios internos).

Esta janela consiste de uma lista de todos os usurios atualmente definidos para acesso administrao do firewall, alm de um segredo compartilhado (ou senha), para administrao centralizada pelo Aker Configuration Manager. No havendo o segredo compartilhado, a configurao ser apenas efetuada pelos usurios cadastrados. mostrado o login, o nome completo e as permisses de cada usurio.

123

O boto OK fecha a janela de administrao de usurios e salva as modificaes. O boto Aplicar aplica permanentemente as alteraes realizadas sobre um determinado usurio sem fechar a janela. O boto Cancelar fecha a janela de administrao de usurios e descarta todas as alteraes efetuadas. Quando um usurio for selecionado, os seus atributos completos so mostrados nos campos Permisses.

Para alterar os atributos de um usurio, deve-se proceder da seguinte forma: 1. Selecionar o usurio a ser alterado clicando sobre seu nome. Neste momento so mostrados os seus atributos nos campos aps a listagem de usurios. 2. Alterar o valor dos atributos desejados e clicar no boto Aplicar ou no boto OK. A partir deste momento as alteraes sero efetivadas. Para incluir um usurio na lista, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse em qualquer lugar da rea reservada para mostrar a lista (aparece o boto Inserir) e selecionar a opo Incluir no menu pop-up ou clicar no cone que representa a incluso na barra de ferramentas. 2. Preenche os campos do usurio a ser includo e clicar no boto Aplicar ou no boto OK. Para remover um usurio da lista, deve-se proceder da seguinte forma: 1. Selecionar o usurio a ser removido, clicar sobre seu nome e clicar no cone que representa a remoo na barra de ferramentas, ou clicar com o boto direito do mouse sobre o nome do usurio a ser removido e selecionar a opo Excluir no menu pop-up. Significado dos atributos de um usurio

Login

a identificao do usurio para o firewall. No podem existir dois usurios com o mesmo login. Este login ser pedido ao administrador do firewall quando este for estabelecer uma sesso de administrao remota. O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas e minsculas neste campo.

Nome

Este campo contm o nome completo do usurio associado ao login. Os seus objetivos so de informao, no sendo usado para qualquer validao. 124

Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.

Senha

Este campo ser usado em conjunto com o campo login para identificar um usurio perante o Aker Firewall. Ao digitar a senha, sero mostrados na tela asteriscos "*" ao invs das letras. O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo configurvel por meio da janela de parmetros da interface (para maiores informaes veja o tpico Utilizando a interface remota). Neste campo, letras maisculas e minsculas so consideradas diferentes. extremamente importante que as senhas usadas tenham um comprimento grande, o mais prximo possvel do limite de 14 caractres. Alm disso, deve-se sempre utilizar uma combinao de letras minsculas, maisculas, nmeros e caracteres especiais nas senhas (caracteres especiais so aqueles encontrados no teclado dos computadores e que no so nmeros nem letras: "$","&",]", etc.). Nunca use como senhas palavras em qualquer idioma ou apenas nmeros.

Confirmao

Este campo serve para confirmar a senha digitada no campo anterior, uma vez que aparecem asteriscos na tela, ao invs dos caracteres propriamente ditos.

Permisses

Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administrao possvel ter um controle central do que cada administrador alterou na configurao e quando ele realizou cada alterao. Isto um recurso muito importante para realizar auditorias internas e aumenta a segurana da administrao. Caso um usurio no possua nenhum atributo de autoridade, ento, esse ter permisso apenas para visualizar a configurao do firewall e compactar os arquivos de log e de eventos.

125

Configurao do Firewall Quando esta permisso est marcada, o usurio em questo pode administrar o firewall, isto , altera a configurao das entidades, regras de filtragem, converso de endereos, criptografia, proxies e parmetros de configurao que no estejam relacionados ao log.

Configurao do Log Quando esta opo est marcada, o usurio em questo tem poderes para alterar os parmetros relacionados ao log (como por exemplo, tempo de permanncia do log), alterar a configurao da janela de aes (tanto as mensagens quanto os parmetros) e apagar permanentemente o log e os eventos.

Administrar Usurios Quando esta opo est marcada, o usurio em questo tem acesso janela de administrao de usurios, podendo incluir, editar e excluir outros usurios. Um usurio com este nvel de autoridade somente poder criar, editar ou excluir usurios com autoridades de nveis iguais ou menores aos que ele possuir (por exemplo, se um usurio tiver poderes de gerenciar outros usurios e configurar log, ento ele poder criar usurios que no possuam nenhuma autoridade, que somente possam configurar o log, que somente possam criar novos usurios ou que possam gerenciar usurios e configurar log. Ele no poder nunca criar, nem editar ou excluir, um usurio que possa configurar o firewall).

Conecta o Configuration Manager Essa opo habilita/desabilita acessos ao Aker Firewall pelo Configuration Manager. Ao habilitar conexes a senha comum ao firewall e ao gerenciador (shared secret) deve ser informada.

126

Aba Agentes Externos

Figura 114 - Usurios Administradores: Agentes externos.

Esta aba consiste na configurao dos agentes externos que so utilizados para a autenticao dos usurios que administram o firewall, definindo, assim, regras de autenticao para o acesso destes. Habilitar autenticao via agentes externos Selecionar essa opo permite a autenticao dos usurios, por meio de agentes externos previamente cadastrados no firewall. Tambm permite definir o autenticador externo, qual o usurio/grupo que ele pertence, quais as suas permisses de acesso e a definio das entidades que o usurio utilizar para conectar ao firewall. Autenticador Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um autenticador (agente externo) habilitado na aba Mtodos da Janela Autenticao.

127

Esse autenticador responsvel por intermediar o processo de autenticao da interface com o firewall. Usurio/Grupo Os usurios e os grupos estaro relacionados ao autenticador escolhido. Pode-se associar um usurio somente ou um grupo deles. Permisses Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter certa autonomia de administrao possvel ter um controle central que grave o que cada administrador altere a configurao e quando ele realizou cada alterao. Isto um recurso muito importante para realizar auditorias internas, alm de aumentar a segurana da administrao. Entidades As Entidades so representaes de objetos do mundo real para o Aker Firewall. Atravs delas, podem-se representar mquinas, redes, servios a serem disponibilizados, entre outros. Essa opo permite definir de qual entidade o usurio se conectar ao firewall. Servidor Fingerprint um resumo da identificao do certificado digital do Aker Firewall. Essa opo possibilita ao usurio identificar quando tem uma mudana do firewall que se costuma conectar.

128

Aba Autenticao X.509

Figura 115 - Usurios Administradores de autenticao - X509.

Essa aba consiste no mtodo de autenticao com certificao digital X.509. O Certificado Digital pode ser considerado como a verso eletrnica (digital) de uma cdula de identidade, associa uma chave pblica com a identidade real de um indivduo, de um sistema servidor, ou de alguma outra entidade. Um certificado digital normalmente usado para ligar uma entidade a uma chave pblica. Para garantir a integridade das informaes contidas neste arquivo ele assinado digitalmente, no caso de uma infraestrutura de Chaves Pblicas (ICP), o certificado assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiana (Web of trust) como o PGP o certificado assinado pela prpria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado so atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado.

129

Um certificado normalmente inclui: Informaes referentes entidade para o qual o certificado foi emitido (nome, e-mail, CPF/CNPJ, PIS etc.); A chave pblica referente chave privada de posse da entidade especificada no certificado; O perodo de validade A localizao do "centro de revogao" (uma URL para download da CRL, ou local para uma consulta OCSP); A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica contida naquele certificado confere com as informaes contidas no mesmo. Um certificado padro X.509 outro formato de certificado muito comum. Todos os certificados X.509 obedecem ao padro internacional ITU-T X.509; assim (teoricamente) certificados X.509 criados para uma aplicao podem ser usados por qualquer aplicao que obedece X.509. Um certificado exige algum para validar que uma chave pblica e o nome do dono da chave vo juntos. Com certificados de PGP, qualquer um pode representar o papel de validador. Com certificados X.509, o validador sempre uma Autoridade de Certificao ou algum designado por uma CA. Um certificado X.509 uma coleo de um conjunto padro de campos contendo informaes sobre um usurio ou dispositivo e sua correspondente chave pblica. O padro X.509 define qual informao vai ao certificado, e descreve como codificar isto (o formato dos dados). Todos os certificados X.509 tm os seguintes dados: O nmero da verso do X.509 que identifica o padro aplicado na verso do X.509 para este certificado, o que afeta e qual informao pode ser especificada neste. A chave pblica do possuidor do certificado junto com um algoritmo de identificao, especifica qual sistema de criptografia pertence chave e quaisquer parmetros associados. Abaixo, seguem os campos que contm na aba: Habilitar autenticao X.509: Quando selecionada, essa opo habilita a autenticao do usurio via certificado digital X.509. CN do certificado do firewall: Essa opo mostra qual certificado o Aker Firewall est utilizando na sua autenticao.

130

Importar Certificado: Clicar nesse cone, permite a incluso de um novo certificado, ou seja, carrega-se o certificado cadastrado no arquivo, incluindo-o no firewall.

Figura 116 Importar certificado.

Ao selecionar o certificado e clicar no boto Abrir, a tela seguinte apresentar 3 solicitaes: Senha do certificado, Senha para salvar a chave privada e Confirmao da senha da chave privada. Clicar no boto OK.

Figura 117 Certificado (importado).

131

Exporta Certificado: Gravam os dados do certificado, para transport-lo para uma futura aplicao desse certificado. Tira uma cpia do certificado.

Figura 118 Exportar certificado.

Escolher e clicar no boto Salvar.

132

A tela seguinte apresentar 4 solicitaes: Senha para salvar o certificado, Confirme a senha do certificado, Senha para salvar a chave privada e Confirmao da senha da chave privada. Clicar no boto OK.

Figura 119 Certificado (exportado).

Remove Certificado: Ao clicar nesse cone, o certificado previamente includo removido. Com isso o Aker Firewall fica sem nenhum certificado.

Mostra detalhes dos certificados: Mostra todas as informaes contidas no certificado habilitado.

Figura 120 Detalhes do Certificado.

133

Autoridade Certificadora: A autoridade certificadora (CA - certificate authority) deve garantir ao usurio, atravs da assinatura de seus certificados, que tais entidades so realmente quem dizem ser. Ento, a CA tem um papel bsico de garantir a correspondncia entre a identidade e a chave pblica de uma determinada entidade, sabendo que tal chave pblica corresponde a uma chave privada que permanece sob guarda exclusiva dessa entidade. Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de certificados, verificao de validade, armazenamento, publicao ou acesso on-line, revogao e arquivamento para verificao futura. Em consequncia, uma autoridade certificadora constitui-se de um sistema computacional completo, capaz de comunicar, processar e armazenar. Alm disso, tanto as comunicaes envolvendo esse sistema, quanto o prprio sistema, devem ser tambm protegidas e a prpria identidade do sistema deve ser garantida, necessidades esta que so atendidas por intermdio da publicao de uma chave pblica pertencente prpria autoridade certificadora. Como tal chave deve tambm ser garantida com um certificado digital, ento, em geral, uma autoridade certificadora deposita sua chave pblica junto outra autoridade certificadora, formando uma estrutura de certificao onde algumas CA funcionam como autoridades certificadoras para outras CAs. Essa opo seleciona uma autoridade certificadora qual o usurio est vinculado. Pseudo Group Corresponde aos grupos de certificados, relacionados autoridade certificadora selecionada na opo acima. O campo Pseudo Group no editvel. Permisses O campo Permisses editvel, podendo, para cada CA selecionada relacionar as permisses para cada grupo. Esta opo, uma vez escolhida uma Autoridade Certificadora e definidos os nveis/permisses de acesso para cada grupo, ao trocar de CA todas as permisses relacionadas outra CA sero perdidos.

134

Figura 121 Opo de escolhas do servidor.

4.2. Utilizando a Interface Texto

Alm da Interface Remota de administrao de usurios, existe uma interface local, orientada a caracteres, que possui praticamente as mesmas capacidades da Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). A nica funo no disponvel a de alterao das permisses dos usurios. Essa Interface Texto, ao contrrio da maioria das demais interfaces orientadas a caracteres do Firewall Aker, interativa e no recebe parmetros da linha de comando. Localizao do programa: /etc/firewall/fwadmin Ao ser executado, o programa exibir a tela a seguir.:

135

Figura 122 - Execuo do programa utilizando a Interface Texto.

Para executar qualquer uma das opes mostradas, digite a letra mostrada em negrito. Cada opo mostrada abaixo em detalhes:

136

Inclui um novo usurio: Esta opo inclui um novo usurio que poder administrar o Aker Firewall remotamente. Ao ser selecionada, mostrada uma tela pedindo as diversas informaes do usurio. Aps todas as informaes serem preenchidas pedida uma confirmao para a incluso do usurio.

Figura 123 - Execuo do programa para incluso de usurios como administrados do Aker Firewall.

Para prosseguir com a incluso, digite S. Para abortar, digite N.

137

Remoo de usurio cadastrado: Esta opo, remove um usurio cadastrado no sistema. O login do usurio a ser removido necessrio. A seguir, haver uma confirmao para realizar a operao.

Figura 124 - Execuo do programa para a excluso de usurios.

Para prosseguir com a remoo, digite S. Para abortar, digite N.

138

Alterao de senha de usurio: Esta opo altera a senha de um usurio j cadastrado no sistema. O login do usurio cuja senha ser alterada necessrio. Digite a nova senha. A seguir, haver uma confirmao para realizar a operao.

Figura 125 - Execuo do programa para a alterao de senha do usurio.

139

Listagem de usurios: Esta lista de usurios cadastrados tem os nomes e as permisses de todos os usurios autorizados a administrar remotamente o firewall. Um exemplo de uma possvel listagem de usurios a seguinte:

Figura 126 - Execuo do programa para exibir a listagem de usurios e permisses.

O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que correspondem respectivamente s permisses de: Configura Firewall, Configura Log e Gerencia Usurios. Se um usurio possuir uma permisso, ela ser mostrada com o cdigo acima, caso contrrio ser mostrado o valor --, indicando que o usurio no a possui.

140

Compacta arquivo de usurios: Esta opo no est presente na Interface Remota e no possui uso frequente. Ela serve para compactar o arquivo de usurios, removendo entradas no mais usadas. Ele somente deve ser usado quando for removido um grande nmero de usurios do sistema. Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma mensagem indicando que a operao foi completada (a compactao do arquivo costuma ser uma operao bastante rpida, durando poucos segundos).

Figura 127 Compactao do programa para exibir a compactao do arquivo de usurios.

141

Edita as opes do Configuration Manager: Esta opo permite alterar as configuraes do Aker Configuration Manager. possvel habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager e modificar a shared secret. Se o acesso ao firewall no estiver habilitado, ser mostrada uma tela pedindo a criao da shared secret. necessrio preencher a senha e sua confirmao.

Figura 128 - Edio das configuraes do Aker Configuration Manager.

142

Se o acesso ao firewall j estiver habilitado, sero mostradas novas opes de configurao:

Figura 129 - Edio das configuraes do Aker Configuration Manager (Firewall habilitado).

Desabilita acesso pelo Configuration Manager: Quando selecionada essa opo no ser mais possvel acessar o Aker Firewall pelo Configuration Manager at que o usurio habilite o acesso novamente. Modifica shared secret do Configuration Manager: Permite alterao da shared secret. necessrio entrar com a nova senha e com a sua confirmao.

143

Figura 130 - Edio das configuraes do Aker Configuration Manager (desabilita, modifica ou retorna).

Sai do fwadmin: Esta opo encerra o programa fwadmin e retorna para a linha de comando.

144

Configurando Parmetros do Sistema

145

5.

Configurando os parmetros do sistema


Este captulo mostra como configurar as variveis que iro influenciar nos resultados de todo o sistema. Estes parmetros de configurao atuam em aspectos como a segurana, log do sistema e tempos de inatividade das conexes.

5.1. Utilizando a Interface Remota

Para ter acesso a janela de configurao de parmetros, deve-se:

Figura 131 - Acesso aos dispositivos remotos (Parmetros de configurao).

Clicar no menu Configuraes do Sistema da janela do firewall que quer administrar; Selecionar o item Parmetros de Configurao. A janela de Parmetros de configurao O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes que foram efetuadas sejam aplicadas. 146

O boto Cancelar far com que a janela seja fechada, porm as alteraes efetuadas no sejam aplicadas; O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a janela aberta.

147

Significado dos parmetros Aba Global

Figura 132 - Parmetros de configurao do Aker Firewall: global.

Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor de endereos. Eles consistem dos seguintes campos: Interface Externa (Por motivo de controle de licena): Define o nome da interface externa do firewall. Conexes que vierem por esta interface no contam, na licena. Valor padro: Configurado durante a instalao do firewall pelo administrador. Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a 259200 (72 horas). Valor padro: 900 segundos.

148

Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a 259200 (72 horas). Valor padro: 180 segundos. Estes campos so de vital importncia para o correto funcionamento do firewall: valores muito altos podero causar problemas de segurana para servios baseados no protocolo UDP, faro com que o sistema utilize mais memria e o tornaro mais lento. Valores muito baixos podero causar constantes quedas de sesso e o mau funcionamento de alguns servios. Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e 14 caracteres. Valor padro: 6 caracteres. importante que este valor seja o maior possvel, de modo a evitar a utilizao de senhas que possam ser facilmente quebradas. Endereos fixos de configurao remota: So endereos que, independentemente de regras e de extrapolao dos limites de licenas, podem administrar o firewall (isto conectar na porta 1020). Eles servem como medida de preveno anti-bloqueio do firewall, uma vez que s podem ser configurados via Interface Texto.

149

Aba Log

Figura 133 - Parmetros de configurao: Log.

Local: Indica que o log/eventos/estatsticas deve ser salvos em um disco local, na mquina onde o firewall estiver rodando. Tempo de vida no log / eventos / estatstica: Os registros de log, eventos e estatsticas do firewall so mantidos em arquivos dirios. Esta configurao define o nmero mximo de arquivos que sero mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1 a 365 dias.
Valor padro: 7 dias

Tamanho (GB) / eventos / log / estatsticas: Os arquivos (log ou evento ou estatstica) sero limitados em tamanho total em disco, ou seja, caso o total de logs em disco ultrapasse o valor estipulado, os logs mais antigos sero apagados.

Exemplo da nova rotao de logs do firewall

150

ANTES Perodo rotao de 01 vez por dia

ATUAL 01 vez por hora ou arquivo atual atingindo o tamanho mximo configurado. Ultrapassando o tempo ou tamanho limite configurado.

Controles excluso arquivos

para dos

Ultrapassando o tempo limite configurado.

Exemplo: Configurao do ambiente: Tempo limite: 07 dias tamanho mximo de log de 2,4 GB So gerados 100 MB de arquivos de log por hora. s 11:59 do 1 dia, haver aproximadamente 2,4 GB de arquivos de log. meia-noite do 2 dia, o firewall rotacionar os logs. Isso far com que o primeiro arquivo de log de 100 MB, criado no 1 dia, seja excludo do HD, fazendo com que este fique com 2,3 GB de arquivos de log. Depois disso, o firewall recebeu um ataque de flood e comeou a gerar 3,4 GB de log por hora. Quando o arquivo de log (APENAS O ARQUIVO QUE EST SENDO ESCRITO, SEM CONTAR OS OUTROS) alcanar 2,4 GB (neste momento o diretrio ter 4,7 GB de log), o firewall rotacionar os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na sequncia, criar outro arquivo zerado e comear a gravar os logs nele. O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a empresa resolveu dar folga a semana toda para emendar com o ano novo. O arquivo de log, aps o ataque de flood, ficou um 01 GB de tamanho e o firewall passou a produzir 1 KB de log por hora. 06 dias, 23 horas e 59 minutos se passaram e o firewall criou vrios arquivos de log, completando um tamanho total de 1,000160217 GB. meia-noite, aps 07 dias, o firewall rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana atrs, e deixando apenas 0,000160217 GB de arquivos de log.

151

No exemplo, foi utilizado o log, mas o funcionamento igual em relao a eventos e estatsticas. O rotacionamento no instantneo. Ele ocorre de duas maneiras: de hora em hora ou quando o arquivo em que os registros so gravados ultrapassar o tamanho configurado. No caso de utilizao de log remoto essas opes esto desabilitadas e devem ser configuradas no prprio servidor remoto. Remoto: Esta opo indica que o log/eventos/estatsticas devem ser enviados para um servidor de log remoto ao invs de serem gravados no disco local. Com isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria. Servidor Remoto: Esta opo indica o servidor de log remoto para o qual log/eventos/estatsticas sero enviados. Logar Converso de Endereo (NAT): Habilita o registro no log do sistema das converses de endereos feitas pelo firewall. Valor padro: Converses de endereo no devem ser logadas Mesmo com esta opo ativa, somente sero logados os pacotes convertidos atravs das converses 1: N e N: 1. As converses por outros tipos de regras no sero registradas. A ativao desta opo no traz nenhuma informao importante e deve ser utilizada apenas para fim de testes ou para tentar resolver problemas. Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log do Unix, o syslogd. Valor padro: No envia log para o syslogd Ao habilitar essa opo, os registros de log sero enviados para a fila local0 e os de eventos para a fila local1. Esta opo no altera em nada o registro interno do log e dos eventos realizado pelo prprio firewall.

152

Aba Segurana

Figura 134 - Parmetros de configurao: Segurana.

Parmetros de Segurana Permitir pacotes com rota para origem: Habilita a passagem de pacotes que tenham a opo de registro de rota ou de roteamento dirigido. Se esta opo estiver desmarcada, os pacotes com alguma destas opes no podero trafegar. Valor padro: Pacotes IP direcionados no so permitidos. Cabe ressaltar que a aceitao de pacotes com rota para a origem pode causar uma falha sria de segurana. A no ser que se tenha uma razo especfica para deix-los passar, esta opo deve ser mantida desmarcada. Suporte FTP: Habilita o suporte especfico para o protocolo FTP. Valor padro: Suporte FTP est habilitado Este parmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a permitir que ele funcione transparentemente para todas as mquinas

153

clientes e servidoras, internas ou externas. A no ser que se pretenda usar FTP atravs do firewall, esta opo deve estar marcada. Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real Video. Valor padro: Suporte Real Audio est habilitado Este parmetro faz com que o firewall trate o protocolo Real Audio / Real Video de forma especial, de modo que permita ele funcionar transparentemente usando conexes TCP e UDP. A no ser que pretenda usar o Real Audio ou se pretenda utiliz-lo apenas com conexes TCP, esta opo deve estar marcada. Suporte RTSP: Habilita o suporte para o protocolo RTSP. Valor padro: Suporte RTSP est habilitado O RTSP (Real Time Streaming Protocol) um protocolo que atua no nvel de aplicao que permite a entrega controlada de dados em tempo real, como udio e vdeo. Fontes de dados podem incluir programas ao vivo (com udio e vdeo) ou algum contedo armazenado (eventos pr-gravados). Ele projetado para trabalhar com protocolos como o RTP, HTTP e/ou outro que de suporte a mdia contnua sobre a Internet. Ele suporta trfego multicast bem como unicast. E tambm suporta interoperabilidade entre clientes e servidores de diferentes fabricantes. Este parmetro faz com que o firewall trate o protocolo de forma especial, de modo a permitir que ele funcione transparentemente usando conexes TCP e UDP. Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft. Valor padro: Suporte PPTP est habilitado O PPTP um protocolo criado pela Microsoft para possibilitar acesso seguro de mquinas clientes a redes corporativas, atravs de VPN. Este parmetro faz com que o firewall trate o PPTP de forma especial possibilitando que ele trafegue normalmente atravs dele, mesmo com a converso de endereos (NAT) habilitada. Suporte H323: Habilita o suporte para o protocolo H.323 Valor padro: Suporte H.323 est habilitado O H.323 um protocolo que permite a implementao de voz sobre IP (VOIP) e suportado pela maioria dos dispositivos com esse fim. Este parmetro faz com que o firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmente atravs dele, mesmo com a converso de endereos (NAT) habilitada. Algumas aplicaes podem no funcionar com o suporte H323 habilitado. Suporte ao MSN: Habilita o suporte para o MSN Messenger 154

Valor padro: Suporte ao MSN Messenger est habilitado. O MSN Messenger um protocolo de mensagens instantneas que permite a comunicao entre duas ou mais pessoas ao mesmo tempo. Este parmetro faz com que o firewall trate o Messenger de forma especial possibilitando que seu uso seja controlado atravs dos perfis de acesso. Suporte SIP: habilita o suporte para o protocolo SIP. Valor padro: Suporte SIP est habilitado. O Protocolo de Iniciao de Sesso (Session Initiation Protocol - SIP) um protocolo de aplicao, que utiliza o modelo requisio -resposta, similar ao HTTP, para iniciar chamadas e conferncias atravs de redes via protocolo IP. Algumas aplicaes podem no funcionar com o suporte SIP habilitado. Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP. Valor padro: Suporte DCE-RPC TCP est habilitado. O DCE/RPC TCP um tipo de protocolo RPC, Chamada de Procedimento Remoto (Remote Procedure Call), que tem como objetivo permitir o desenvolvimento de aplicaes cliente/servidor. muito utilizado em administrao de domnio e gerenciamento remoto do servidor. Manter conexes das regras expiradas: mantm a conexo mesmo aps o prazo de validade de a regra ter sido expirada.

Valor padro: manter conexes de regras expiradas. Esta opo permite ao usurio permanecer conectado mesmo aps o trmino do perodo definido para o fim da conexo. Ex.: o usurio inicia um download via FTP dentro do horrio definido por regra. Caso esta opo esteja marcada, a conexo (download) no ser finalizada no horrio definido e sim aps o trmino de transferncia dos arquivos.

155

Aba SNMP

Figura 135 - Parmetros de configurao: SNMP.

Comunidade de leitura: Este parmetro indica o nome da comunidade que est autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a l-los. Valor padro: campo em branco Comunidade de escrita: Este parmetro indica o nome da comunidade que est autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a alter-los. Valor padro: campo em branco

156

Mesmo com uma comunidade de escrita definida, por razes de segurana, somente podero ser alterados algumas variveis do grupo system. Descrio: Tipo de servio que a mquina disponibiliza para o usurio. Contato: Tipo de contato (e-mail, homepage) que o administrador disponibiliza para o usurio. Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS. Local: Local fsico onde a mquina est instalada. O SNMPv3 inclui trs importantes servios: autenticao (authentication), privacidade (privacy) e controle de acesso (access control). Habilita SNMPv3: Quando selecionada essa opo permite definir o tipo de permisso de um usurio e qual o nvel de segurana que ele estar relacionado. Nome do usurio: Nome do usurio que ter permisso para conferir ou modificar as informaes. Tipo de permisso: Permite a escolha do tipo de permisso do usurio. Poder ter acesso de somente leitura dos dados ou de leitura e escrita. Nvel de segurana: Permite a escolha do tipo de segurana dos dados. Pode-se optar por nenhuma autenticao, com autenticao ou autenticao com cifragem. Caso a escolha seja com autenticao, as opes Mtodo de autenticao e senha de autenticao sero habilitadas. Caso a escolha seja autenticao com cifragem, as opes Mtodo de cifragem e senha de cifragem sero habilitadas.

157

Aba Monitoramento

Figura 136 - Parmetros de configurao: Monitoramento.

Quando utiliza converso 1-N, ou seja, balanceamento de canal possvel configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as mquinas participantes do balanceamento esto no ar. Os parmetros de monitoramento permitem modificar os intervalos de tempo de monitoramento, de modo a ajust-los melhor a cada ambiente. Monitoramento via ping Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via pacotes ICMP Echo Request e Echo Reply. So eles:

158

Intervalo de ping: Esse campo define de quantos em quantos segundos, ser enviado um ping para as mquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 2 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos. Valor padro: 8 segundos. Tempo de ativao: Esse campo define o tempo, em segundos, que o firewall ir esperar, aps receber um pacote de resposta de uma mquina anteriormente fora do ar, at consider-la novamente ativa. Esse intervalo de tempo necessrio, pois normalmente uma mquina responde a pacotes ping antes de estar com todos os seus servios ativos. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 10 segundos. Monitoramento via HTTP Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via requisies HTTP. So eles: Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, o firewall requisitar a URL especificada pelo administrador para cada mquina sendo monitorada. Seu valor pode variar entre 1 e 300 segundos. Valor padro: 5 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina sendo monitorada poder levar para responder requisio do firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos. Valor padro: 15 segundos.

159

Aba Data e Hora

Figura 137 - Parmetros de configurao Data e hora.

Esta opo permite ao administrador verificar e alterar a data e a hora do firewall. A data e hora configuradas corretamente so essenciais para o funcionamento da tabela de horrio das regras e dos perfis de acesso WWW, das trocas de chaves atravs do protocolo SKIP e dos sistemas de log e eventos. Data e hora Esta janela consiste de dois campos que mostram o valor da data e hora configurado no firewall. Para alterar qualquer um destes valores, basta colocar o valor desejado no campo correspondente. Para escolher o ms podem-se utilizar as setas de navegao. Fuso Horrio Escolha o fuso horrio que mais se aproxima da regio aonde o firewall ser instalado.

O boto Aplicar alterar a data e hora e manter a janela aberta. O boto OK far com que a janela seja fechada e as alteraes salvas. 160

O boto Cancelar fechar a janela e descartar as modificaes efetuadas.

Servidor NTP (Network Time Protocol) Define o servidor de tempo que ser utilizado pelo firewall para sincronizar seu relgio interno. (Este campo s aparece para o Firewall Box)

5.2. Utilizando a Interface Texto

A Interface Texto de configurao de parmetros bastante simples de ser utilizada e possui exatamente as mesmas capacidades da Interface Remota(E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Ela possui, opes que no esto disponveis na Interface Remota, entre elas: a opo de adicionar at trs mquinas possveis de administrarem o firewall remotamente, mesmo sem a existncia de uma regra liberando sua conexo. O objetivo desta funcionalidade permitir que, mesmo que um administrador tenha feito uma configurao equivocada que impea sua conexo, ainda assim ele poder continuar administrando remotamente o firewall. Este parmetro chama-se end_remoto. Localizao do programa: /aker/bin/firewall/fwpar Sintaxe: fwpar - mostra/altera parmetros de configurao Uso: fwpar [mostra | ajuda] fwpar interface_externa <nome> fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos> fwpar [ip_direcionado] <sim | no> fwpar [suporte_h323 | suporte_msn manter_cons_exp ] <sim | no> | suporte_sip | suporte_dce_rpc |

fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] <sim | no>

161

fwpar [loga_converso | loga_syslog] <sim | no> fwpar [permanncia_log | permanncia_event | permanncia_stat] <dias> fwpar [serv_log_remoto <nome>] fwpar [add_remoto <n> <ip_add>] fwpar [snmp] [rocommunidade | rwcommunidade | descrio | contato | nome | local] [nome] mostra = mostra a configurao atual ajuda = mostra esta mensagem interface_externa = configura o nome da interface externa (conexes que vierem por esta interface no contam na licena) tempo_limite_tcp = tempo mximo de inatividade para conexes TCP tempo_limite_udp = tempo mximo de inatividade para conexes UDP ip_direcionado = aceita pacotes IP direcionados suporte_ftp = habilita suporte ao protocolo FTP suporte_real_audio = habilita suporte ao protocolo Real Audio suporte_rtsp = habilita suporte ao protocolo RTSP suporte_pptp suporte_h323 suporte_sip = habilita suporte ao protocolo Microsoft(R) PPTP = habilita suporte ao protocolo H.323 = habilita suporte ao protocolo SIP

suporte_dce_rpc = habilita suporte ao protocolo DCE-RPC sobre TCP manter_cons_exp = mantem conexes de regras expiradas loga_converso = registra mensagens de converso de endereos loga_syslog = envia mensagens de log e eventos para o syslogd permanencia_log = tempo de permanncia (dias) dos registros de log permanncia_event = tempo de permanncia (dias) dos registros de eventos; permanncia_stat = tempo de permanncia (dias) das estatsticas; serv_log_remoto = servidor de log remoto (nome da entidade); end_remoto = endereo dos trs controladores remotos;

162

rocommunidade = nome da comunidade de leitura para SNMP rwcommunidade = nome da comunidade de escrita para SNMP

Exemplo 1: (visualizando a configurao) # fwpar mostra Parmetros globais: ------------------tempo_limite_tcp : 900 segundos tempo_limite_udp : 180 segundos interface_externa: lnc0 Parmetros de segurana: -----------------------ip_direcionado : no suporte_ftp : sim

suporte_real_audio: sim suporte_rtsp end_remoto : sim : 1) 10.0.0.1 2) 10.0.0.2 3)10.0.0.3

Parmetros de configurao de log: ---------------------------------loga_converso : no loga_syslog : no

permanncia_log : 7 dias permanncia_event: 7 dias permanncia_stat : 7 dias Parmetros de configurao de SNMP: -----------------------------------

163

Exemplo 2: (habilitando pacotes IP direcionados) #/aker/bin/firewall/fwpar ip_direcionado sim Exemplo 3: (configurando o nome da comunidade de leitura SNMP) #/aker/bin/firewall/fwpar rocommunidade public Exemplo 4: (apagando o nome da comunidade de escrita SNMP) #/aker/bin/firewall/fwpar rwcommunidade

164

Cadastrando Entidades

165

6.

Cadastrando Entidades
Este captulo mostra o que so, para que servem e como cadastrar entidades no Aker Firewall.

6.1. Planejando a instalao

O que so e para que servem as entidades? Entidades so representaes de objetos do mundo real para o Aker Firewall. Atravs delas, podem-se representar mquinas, redes, servios a serem disponibilizados, entre outros. A principal vantagem da utilizao de entidades para representar objetos reais que a partir do momento em que so definidas no Firewall, elas podem ser referenciadas como se fossem os prprios objetos, propiciando uma maior facilidade de configurao e operao. Todas as alteraes feitas em uma entidade sero automaticamente propagadas para todos os locais onde ela referenciada. Pode-se definir, por exemplo, uma mquina chamada de Servidor WWW, com o endereo IP de 10.0.0.1. A partir deste momento, no mais necessrio se preocupar com este endereo IP. Em qualquer ponto onde seja necessrio referenciar esta mquina, a referncia ser feita pelo nome. Caso futuramente seja necessrio alterar seu endereo IP, basta alterar a definio da prpria entidade que o sistema automaticamente propagar esta alterao para todas as suas referncias.

Definindo entidades Antes de explicar como cadastrar entidades no Aker Firewall necessria uma breve explicao sobre os tipos de entidades possveis e o que caracteriza cada uma delas. Existem 9 tipos diferentes de entidades no Aker Firewall: mquinas, mquinas IPv6, redes, redes IPv6, conjuntos, conjuntos IPv6, servios, autenticadores e interfaces. As entidades do tipo mquina e rede, como o prprio nome j diz, representam respectivamente mquinas individuais e redes. Entidades do tipo conjunto representam uma coleo de mquinas e redes, em qualquer nmero. Entidades do tipo servio representam um servio a ser disponibilizado atravs de um protocolo qualquer que rode em cima do IP. Entidades do tipo autenticador representam um 166

tipo especial de mquina que pode ser utilizada para realizar autenticao de usurios e as entidades do tipo interface, representam uma interface de rede do firewall. Por definio, o protocolo IP, exige que cada mquina possua um endereo diferente. Normalmente estes endereos so representados da forma byte a byte, como por exemplo, 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma mquina em qualquer rede IP, incluindo Internet, com apenas seu endereo. Para definir uma rede deve-se utilizar uma mscara alm do endereo IP. A mscara serve para definir quais bits do endereo IP sero utilizados para representar a rede (bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas mquinas podem assumir os endereos IP de 192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como mscara o valor 255.255.255.0. Esta mscara significa que os 3 primeiros bytes sero usados para representar a rede e o ltimo byte ser usado para representar a mquina. Para verificar se uma mquina pertence a uma determinada rede, basta fazer um E lgico da mscara da rede, com o endereo desejado e comparar com o E lgico do endereo da rede com sua mscara. Se eles forem iguais, a mquina pertence rede, se forem diferentes no pertence. Vejamos dois exemplos: Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0, mscara 255.255.0.0. Temos: 10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede) 10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo) Temos ento que os dois endereos so iguais aps a aplicao da mscara, portanto a mquina 10.1.1.2 pertence rede 10.1.0.0. Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede 172.17.0.0, mscara 255.255.0.0. Temos: 172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede) 172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo) Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no pertence rede 172.17.0.0. Caso seja necessrio definir uma rede onde qualquer mquina seja considerada como pertencente a ela (ou para especificar qualquer mquina da Internet), deve-se colocar como endereo IP desta rede o valor 0.0.0.0 e como mscara o valor 0.0.0.0. Isto bastante til na hora de disponibilizar servios pblicos, onde todas as mquinas da Internet tero acesso. 167

Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que so os dois mais utilizados sobre o IP), uma comunicao identificada por dois nmeros: a Porta Origem e a Porta Destino. A porta destino um nmero fixo que est associado, geralmente, a um servio nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o protocolo UDP na porta 161, por exemplo. A porta origem um nmero sequencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado instante. Assim, uma comunicao completa nos protocolos TCP e UDP pode ser representada da seguinte forma: 10.0.0.1 Endereo origem 1024 Porta origem 10.4.1.2 Endereo destino 23 Porta destino TCP Protocolo

Para um firewall, a porta de origem no importante, uma vez que ela randmica. Devido a isso, quando se define um servio, leva-se em considerao apenas a porta de destino. Alm dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este protocolo utilizado pelo prprio IP para enviar mensagens de controle, informar sobre erros e testar a conectividade de uma rede. O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de 0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza unicamente um servio entre duas mquinas, ele pode ser usado como se fosse porta destino dos protocolos, TCP e UDP, na hora de definir um servio. Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para definir uma comunicao e nenhum deles utilizado por um grande nmero de mquinas. Ainda assim, o Aker Firewall optou por adicionar suporte para possibilitar ao administrador o controle sobre quais destes protocolos podem ou no passar atravs do firewall. Para entender como isso feito, basta saber que cada protocolo tem um nmero nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta forma, podemos definir servios para outros protocolos usando o nmero do protocolo como identificao do servio.

168

O que Qualidade de Servio (QoS)? A qualidade de servio pode ser compreendida de duas formas: do ponto de vista da aplicao ou da rede. Para uma aplicao oferecer seus servios com qualidade, tem que atender s expectativas do usurio em relao ao tempo de resposta e da qualidade do servio que est sendo provido. Por exemplo, no caso de uma aplicao de vdeo, fidelidade adequada do som e/ou da imagem sem rudos nem congelamentos. A qualidade de servio da rede depende das necessidades da aplicao, ou seja, do que ela requisita da rede a fim de que funcione bem e atenda bem s necessidades do usurio. Estes requisitos so traduzidos em parmetros indicadores do desempenho da rede como, por exemplo, o atraso mximo sofrido pelo trfego da aplicao entre o computador origem e destino. O Aker Firewall implementa um mecanismo com o qual possvel definir uma banda mxima de trfego para determinadas aplicaes. Atravs de seu uso, determinadas aplicaes que tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do tipo Canal so utilizadas para este fim e sero explicadas logo abaixo.

169

6.2. Cadastrando entidades utilizando a Interface Remota

Para ter acesso janela de cadastro de entidades, siga os passos abaixo:


Clicar no menu Configurao do Firewall da janela do firewall que se quer administrar; Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus de configurao dos firewalls).

A janela de cadastro de entidades

Figura 138 - Janela de entidades (Aker Firewall).

possvel tambm acessar a janela de entidades clicando no boto: Boto F5


Figura 139 - Boto F5 do teclado.

170

Figura 140 - Entidades: Instncia Aker Firewall.

A janela de cadastro de entidades onde so cadastradas todas as entidades do Aker Firewall, independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente todas as demais configuraes do firewall, normalmente mostrada sempre aberta na horizontal, abaixo da janela com os menus de configurao de cada firewall. Dica: Possui uma janela nica para todos os firewalls abertos. A janela continuar a mesma, s mudar o contedo que ser referente ao firewall selecionado. Os tipos de entidades mais usados so os nicos apresentados na aba. As entidades menos utilizadas aparecem no menu. Dica: possvel posicionar a janela de entidades como se fosse uma janela comum, bastando para isso clicar sobre sua barra de ttulo e arrast-la para a posio desejada. Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, deve-se clicar em cima da aba que fica na parte inferior da janela. Nesta janela esto desenhados oito cones, em forma de rvore, que representam os oito tipos de entidades possveis de serem criados. Dica: Para visualizar as entidades criadas s clicar no sinal de '+' e as entidades ficaro listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a entidade que se deseja visualizar. Para cadastrar uma nova entidade, deve-se proceder da seguinte forma: 1. Clicar uma vez no cone correspondente entidade do tipo que deseja criar com o boto direito do mouse e selecionar a opo Inserir no menu pop-up ou 2. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla Insert. Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:

171

1. Selecionar a entidade a ser editada ou excluda (se necessrio, expande-se a lista do tipo de entidade correspondente); 2. Clicar com o boto direito do mouse e selecionar a opo Editar ou Apagar, respectivamente, no menu pop-up que aparecer; 3. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla Delete. No caso das opes Editar ou Incluir, aparecer janela de edio de parmetros da entidade a ser editada ou includa. Esta janela ser diferente para cada um dos tipos possveis de entidades.

O cone , localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que ser descrito no final deste captulo. Incluindo / editando mquinas

Figura 141 - Cadastro de entidade: Tipo Mquina.

Para cadastrar uma entidade do tipo mquina deve-se preencher os seguintes campos: Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. 172

cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O Firewall ento mostra uma lista com todos os possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Endereo IP: o endereo IP da mquina a ser criada. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve pressionar o boto Cancelar. Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de mquinas. Incluindo / editando servidor IPv6

Figura 142 - Cadastro de entidade Tipo Mquina IPv6.

Para cadastrar uma entidade do tipo mquina IPv6 deve-se preencher os seguintes campos: Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de 173

nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Endereo IPv6: o endereo IPv6 da mquina a ser criada. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve pressionar o boto Cancelar. Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta forma, possvel cadastrar rapidamente um grande nmero de mquinas. A ampliao de 32 bits do endereo IPv4 para 128 bits no endereo IPv6 uma das mais importantes caractersticas do novo protocolo. um imenso espao de endereamento, com um nmero difcil de ser apresentado ( 2 elevado a 128), porque so milhares de bilhes de endereos. O IPv6 acaba ainda com as classes de endereos e possibilita um mtodo mais simples de autoconfigurao. A notao mais usual que o endereo IPv6 representado x:x:x:x:x:x:x:x, onde os "x" so nmeros hexadecimais, ou seja, o endereo dividido em oito partes de 16 bits, como no seguinte exemplo: 1080:0:0:0:8:800:200C:417A

174

Incluindo / editando redes

Figura 143 - Incluso e edio de redes.

Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos: Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo deve clicar sobre o desenho do cone atual. O firewall ento uma lista com todos os possveis cones para representar redes ser mostrada. Para escolher entre eles tem que clicar no cone desejado e no boto OK. Caso no queira alterlo aps ver a lista, basta clicar no boto Cancelar. Endereo IP: o endereo IP da rede a ser criada. Mscara de Rede: Define quais bits do endereo IP sero utilizados para representar a rede (bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com valor 0)

175

Intervalo: Este campo mostra a faixa de endereo IP a que pertence rede e realiza uma crtica quanto mscara que est sendo cadastrada, ou seja no permite cadastramento de mscaras erradas. Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far com que sejam includos os dados preenchidos e manter aberta a janela de incluso de redes onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de redes. Incluindo / editando redes IPv6

Figura 144 - Incluso e edio de redes IPv6.

Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes campos: Nome: o nome pelo qual a rede ser sempre referenciada pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo deve clicar sobre o desenho do cone atual. O firewall ento mostra uma 176

lista com todos os possveis cones para representar redes. Para escolher entre eles tem que clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, deve-se clicar no boto Cancelar. Endereo IPv6: o endereo IPv6 da rede a ser criada. Tamanho do prefixo da sub-rede : Define quais bits do endereo IP sero utilizados para representar a rede. Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar.

Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far com que sejam includos os dados preenchidos e manter aberta a janela de incluso de redes onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de redes. Incluindo / editando conjuntos

Figura 145 - Incluso e edio de conjuntos.

177

Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos: Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica se no, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado ao conjunto em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais mquinas e redes faro parte do mesmo. Abaixo esto os passos que devem ser seguidos. 1. Clicar com o boto direito do mouse no campo em branco e selecionar a opo Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou 2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la dentro da janela de entidades do conjunto.

178

Figura 146 - Adio de entidades.

Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse sobre a entidade a ser removida e selecionar a opo Remover, ou 2. Clicar na mquina ou rede a ser removida e pressionar a tecla Delete. Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o conjunto cujos dados foram preenchidos seja includo e a

179

janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de conjuntos. Editando conjuntos - IPv6

Figura 147 - Edio de conjuntos IPv6.

Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes campos: Nome: o nome pelo qual o conjunto ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica se no, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado ao conjunto em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. 180

Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais mquinas e redes faro parte do mesmo. Abaixo esto os passos que devem ser seguidos. 1. Clicar com o boto direito do mouse no campo em branco e selecionar a opo Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou 2. Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la dentro da janela de entidades do conjunto.

Figura 148 - Edio de conjuntos IPv6 (entidades a ser adicionada).

Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse sobre a entidade a ser removida e selecionar a opo Remover. ou 2. Clicar na mquina ou rede a ser removida e pressionar a tecla Delete. 181

Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o conjunto cujos dados foram preenchidos seja includo e a janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de conjuntos. Incluindo/Editando lista de categorias

Figura 149 - Incluso e edio das listas de categorias.

Para definir uma lista de categorias necessrio proceder da seguinte forma: Selecionar a opo Automtico, caso queira atribuir um nome padro a lista. Preencher o campo nome, onde pode definir um nome especfico para a lista de categorias. O boto Atualizar permite buscar as categorias no firewall caso tenha havido alguma atualizao. Quando selecionada a opo Tentar recuperar categorias pelo critrio nome quando o Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser perdidas. 182

Incluindo/Editando lista de padres de busca

Figura 150 - Incluso e edio dos padres de buscas.

Para definir um padro de pesquisa necessrio proceder da seguinte forma: Selecionar a opo Automtico, caso queira atribuir um nome padro ao tipo de pesquisa. Preencher o campo nome, onde pode definir um nome especfico para a pesquisa. Os campos Padro e Texto permitem definir qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual operao a ser efetuada.

183

Incluindo/Editando lista de quotas

Figura 151 - Incluso e edio de quotas.

Esta janela permite definir, vrios tipos de quotas de acesso do usurio rede. Para criar uma quota pode-se selecionar a opo Automtico para que seja atribudo um nome padro ao tipo de quota a ser definido ou ento preencher o campo nome, onde pode atribuir um nome especfico para a lista de quotas. A opo Tipo da Quota permite escolher se a quota definida ser atribuda diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota desejada, pode associar a ela a checagem de tempo de acesso e/ou de volume de dados. A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo, diariamente s vai ser liberado 3 horas de acesso internet, ou semanalmente 3 dias ou at mesmo semanalmente liberado 7 dias.

Observao 1: A contagem de tempo funciona da seguinte forma: quando o usurio acessa uma pgina, conta um relgio de 31 segundos, se o usurio acessar outra pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os 10 segundos que o usurio gastou ao acessar a pgina anterior. Observao 2: Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de conversao, o tempo contado separadamente, j na WEB ser tiver acessando 10 sites, ser contado somente o tempo de uma. Incluindo / Editando agentes externos 184

Agentes externos so utilizados para a definio de programas complementares ao Aker Firewall. So responsveis por funes especficas que podem estar rodando em mquinas distintas. Quando houver necessidade de realizao de uma determinada tarefa por um dos agentes externos, ou vice-versa, o firewall se comunicar com eles e requisitar sua execuo.

Figura 152 - Incluso e edio de agentes externos.

Existem 10 diferentes tipos de agentes externos, cada um responsvel por um tipo distinto de tarefas:

Autenticadores Os agentes de autenticao so utilizados para fazer a autenticao de usurios no firewall utilizando usurios/senhas de bases de dados de diversos sistemas operacionais (Windows NT, Linux, etc).

Autoridades certificadoras Autoridades certificadoras so utilizadas para fazer autenticao de usurios atravs de PKI, com o uso de Smart Cards e para autenticao de firewalls com criptografia IPSEC.

Autenticadores Token Os autenticadores token so utilizados para fazer autenticao de usurios no firewall utilizando SecurID(R), Alladin e outros.

185

Agentes IDS Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intruso) so sistemas que ficam monitorando a rede em tempo real procurando por padres conhecidos de ataques ou abusos. Ao detectar uma destas ameaas, ele pode incluir uma regra no firewall que bloquear imediatamente o acesso do atacante.

Mdulos de Antivrus Os agentes antivrus so utilizados pelo proxy SMTP, POP3 e Filtro Web para realizarem a checagem e a desinfeco de vrus de forma transparente em e-mails e nos downloads FTP e HTTP.

Analisadores de contexto Os analisadores de contexto so utilizados pelo Filtro Web para controlar o acesso a URLs baseados em diversas categorias pr-configuradas.

Servidores remotos de log Os servidores de log remoto so utilizados pelo firewall para enviar o log para armazenamento em uma mquina remota.

Autenticador Radius O autenticador Radius utilizado para fazer autenticao de usurios no firewall a partir de uma base Radius.

Autenticadores LDAP O autenticador LDAP permite ao firewall autenticar usurio usando uma base LDAP compatvel com o protocolo X500.

Spam Meter Os servidores de o spam meter so utilizados pelo firewall para classificar e-mails e definir quais deles sero considerados SPAM. possvel a instalao de diversos agentes externos em uma mesma mquina, desde que sejam distintos. Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o diretrio de Agentes Externos. Independentemente de seu subtipo, todos os agentes externos possuem os seguintes campos (os demais campos sero ento modificados de acordo com o tipo do agente a ser cadastrado):

186

Nome: o nome pelo qual o agente ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado ao agente em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os possveis cones para representar agentes do subtipo selecionado. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar.

Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, necessrio preencher os seguintes campos adicionais:

Figura 153 - Cadastro de um agente externo tipo autenticador ou autenticados token.

IP: o endereo IP da mquina onde o agente est rodando. Backup 1 e Backup 2: Estes campos permitem com que seja especificado at dois endereos de outras mquinas que tambm estaro rodando o agente e que serviro como backup no caso de queda da mquina principal. A mquina principal e as de backup devem compartilhar uma mesma base de 187

usurios, ou seja, elas devem ser controladoras de domnio primrias e de backup (PDCs e BDCs), no caso de redes Windows, ou vrias mquinas Unix utilizando NIS. Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o agente. Esta senha dever ser igual configurada no agente. Para maiores informaes, veja o captulo intitulado: Trabalhando com proxies. Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha. Tempo limite do cache: Todas as vezes que realizada uma autenticao com sucesso, o firewall mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir em segundos o tempo em que o firewall deve manter as informaes de autenticao em memria. Para maiores informaes, veja o captulo intitulado: Trabalhando com proxies.

Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se preencher os seguintes campos adicionais:

188

Figura 154 - Cadastro de um agente externo tipo Autoridade Certificadora.

Localizao da publicao da lista de certificados revogados (CRL): a URL da qual ser baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// sua frente. O boto Importar certificado raiz permite carregar o certificado root da CA no firewall. Ao ser clicado, a interface abrir uma janela para especificar o nome do arquivo com o certificado a ser importado. necessrio importar um certificado raiz para cada Autoridade Certificadora criada, caso contrrio no ser possvel autenticar usurios por meio dela. O Campo Pseudo-grupos permite definir grupos para usurios que se autenticarem por meio da autoridade certificadora, da mesma forma como define grupos em um sistema operacional. Desta maneira, possvel criar pseudo-grupos que representem todos os usurios de uma determinada empresa, departamento, cidade, etc. Aps serem criados os pseudo-grupos, eles podem ser associados a perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou autenticadores token. Clicando com o boto direito podemos selecionar as seguintes opes:

189

Inserir: Esta opo permite incluir um novo pseudo-grupo; Excluir: Esta opo remove da lista o pseudo-grupo selecionado.;

Editar: Esta opo abre a janela de edio para o pseudo-grupo selecionado;

Ao clicar no boto Inserir ou Editar, a janela ser exibida:

Figura 155 - Definio de Pseudo-Grupos para usurios que se autenticarem por meio de autoridade certificadora.

Nome: Campo de preenchimento obrigatrio que indica o nome pelo qual o pseudogrupo ser referenciado pelo firewall. Os demais campos representam dados que sero comparados com os dados presentes no certificado X509 de cada usurio autenticado. Se um determinado campo estiver em branco ento qualquer valor ser aceito no campo correspondente do certificado, se no apenas certificados que possurem o campo igual ao valor informado sero considerados como parte do grupo. Domnio: Nome da pessoa certificada; E-mail: Endereo de e-mail Empresa: Nome da empresa; Departamento: Departamento dentro da empresa Cidade: Cidade onde se localiza a empresa; Estado: Estado onde se localiza a empresa; 190

Pas: Pas onde se localiza a empresa que a pessoa certificada trabalha; Os campos: Domnio, E-mail, Empresa, Departamento, Cidade, Estado e Pas se referem pessoa que o certificado foi emitido. Para que um usurio autenticado atravs da autoridade certificadora seja considerado como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser iguais aos valores dos campos correspondentes do pseudo-grupo. Campos em branco de um pseudo-grupo so ignorados na comparao e, portanto, quaisquer valores do certificado para estes campos sero aceitos.

Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, Antivrus, Spam Meter ou Servidor de Log Remoto, deve-se preencher os seguintes campos adicionais:

Figura 156 - Cadastro de agente externo tipo Agente IDS.

191

Figura 157 - Cadastro de agente externo tipo Analisador de texto.

Figura 158 - Cadastro de agente externo tipo Mdulo de Antivrus.

192

Figura 159 - Cadastro de agente externo tipo Spam Meter.

Figura 160 - Cadastro de agente externo Servidor Remoto.

IP: o endereo IP da mquina onde o agente est rodando. Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de outras mquinas que tambm estaro rodando o agente e que serviro como backup no caso de queda da mquina principal. Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o agente. Esta senha deve ser igual configurada no agente. 193

Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha. Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os seguintes campos:

Figura 161 - Cadastro de agente externo Autenticador LDAP.

IP: o endereo IP da mquina onde o agente est rodando. Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de outras mquinas que tambm estaro rodando o servidor LDAP e que serviro como backup no caso de queda da mquina principal. Tempo limite da cache: Todas as vezes que uma autenticao realizada com sucesso, o firewall mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance.

194

Este parmetro permite definir em segundos o tempo que o firewall deve manter as informaes de autenticao em memria. Para maiores informaes, veja o captulo intitulado Trabalhando com proxies. Configuraes LDAP: Neste conjunto de campos deve-se especificar as configuraes do servidor LDAP que ser utilizado para a realizao das autenticaes. A descrio de cada campo pode ser vista a seguir: DN Root de conexo: DN do usurio utilizado pelo firewall para as consultas; Senha Root de conexo: a senha deste usurio; DN Base: DN para comear a busca; ObjectClass da Conta: valor de objectclass que identifica objetos de contas vlidas; Atributo nome do usurio: o atributo onde encontra o nome do usurio; Atributo senha: o atributo onde se encontra a senha do usurio; Atributo grupo: o atributo onde se encontra o grupo do usurio; Permitir senha em branco: permite senhas em branco para o usurio quando marcado; Usar a verso 3 do protocolo LDAP: Habilita a o uso da verso 3 do protocolo LDAP;

Ignorar maisculas e minsculas na comparao: Permite que maisculas e minsculas na comparao sejam equivalentes; Mtodo de Autenticao: Este campo especifica se o firewall deve buscar a senha ou deve se conectar na base LDAP com as credenciais do usurio para valid-lo; Conectar utilizando as credencias do usurio: Permite ao usurio autenticar-se utilizando suas credenciais. Hash (RFC2307): Permite autenticao pelo modo Hash (RFC2307); Adicionar DN Base ao nome do usurio: Permite adicionar DN Base ao nome do usurio na autenticao; Conexo LDAP segura: Este campo especifica se a conexo ao servidor LDAP ser encriptada ou no. Ele consiste das seguintes opes:

SSL: especifica que o firewall usar conexo encriptada via SSL; TLS: especifica que o firewall usar conexo encriptada via TLS; 195

Nenhuma: especifica que o firewall no usar criptografia ao se conectar ao servidor LDAP;

Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher os seguintes campos adicionais:

Figura 162 - Cadastro de agente externo Autenticador Radius.

IP: o endereo IP da mquina onde o agente est rodando. Porta: Nmero da porta onde o servidor RADIUS estar escutando as requisies de autenticao. 1 Backup: Este campo permite com que se especifique outra mquina que tambm estar rodando o servidor RADIUS e que servir como backup no caso de queda da mquina principal. Segredo: o segredo compartilhado utilizado no servidor RADIUS. Confirmao: Este campo utilizado apenas para se verificar se o segredo foi digitado corretamente. Deve-se digit-lo exatamente como no campo Segredo. Tempo limite do cache: Todas as vezes que realizada uma autenticao com sucesso, o firewall mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir o tempo, em segundos, que o firewall deve manter as informaes de autenticao em memria. Para maiores informaes, veja o captulo intitulado Trabalhando com proxies.

196

Usurios: Este campo serve para que se possa cadastrar e posteriormente associar usurios especficos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo no possvel para o firewall conseguir a lista completa de usurios. Somente necessrio realizar o cadastramento dos usurios que queira se associar com perfis especficos. Grupos: Este campo serve para cadastrar e posteriormente associar grupos especficos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo no possvel para o firewall conseguir a lista completa de grupos. Somente necessrio realizar o cadastramento dos grupos que quer associar com perfis especficos. Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo firewall que pode ser utilizado para a associao de usurios RADIUS com um perfil de acesso especfico. Todos os usurios autenticados em um determinado servidor RADIUS so considerados como pertencentes a este grupo. Desta forma, caso queira utilizar um nico perfil de acesso para todos os usurios, no necessrio o cadastramento de nenhum usurio e/ou grupo. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do agente externo. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar, neste boto far com que o dados preenchidos do agente, sejam includos e a janela de incluso de agentes mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de agentes.

197

Incluindo / editando servios

Figura 163 - Incluso e edio de servios.

Para cadastrar uma entidade do tipo servio deve-se preencher os seguintes campos: Nome: o nome pelo qual o servio ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado ao servio em todas as referncias. Para alter-lo, deve-se clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os possveis cones para representar servios. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Protocolo: o protocolo associado ao servio. (TCP, UDP, ICMP ou OUTROS) Servio: o nmero que identifica o servio. No caso dos protocolos TCP e UDP, este nmero a porta destino. No caso de ICMP o tipo de servio e no caso de outros protocolos o nmero do protocolo. Para cada protocolo, o firewall possui 198

uma lista dos valores mais comuns associados a ele, de modo a facilitar a criao do servio. Entretanto, possvel colocar valores que no faam parte da lista, simplesmente digitando-os neste campo. Caso queira especificar uma faixa de valores, ao invs de um nico valor, deve-se clicar no boto ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em Para. Todos os valores compreendidos entre estes dois, sero considerados como fazendo parte do servio. Proxy: Este campo s se encontra habilitado para os protocolos TCP e UDP, e permite especificar se a conexo que se enquadrar neste servio, ser automaticamente desviada para um dos proxies transparentes do Firewall Aker ou no. O valor padro Sem Proxy, que significa que a conexo no deve ser desviada para nenhum proxy. Quando o protocolo TCP est selecionado, as outras opes so Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do usurio, Proxy HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies criados pelo usurio, HTTP e POP3, respectivamente. Quando o protocolo UDP est selecionado, as outras opes so Proxy RPC, que desvia para o proxy RPC, e Proxy do Usurio. O servio Telnet est associado porta 23, o SMTP porta 25, o FTP porta 21, o HTTP porta 80 e o POP3 porta 110. possvel especificar que conexes de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto no o comportamento padro e no deve ser feito a no ser que tenha conhecimento de todas as possveis implicaes. Caso tenha especificado que a conexo deve ser desviada para um proxy, pode ser necessrio definir os parmetros do contexto que ser utilizado pelo proxy para este servio. Caso isso seja necessrio, no momento em que o proxy for selecionado, a janela ser expandida para mostrar os parmetros adicionais que devem ser configurados. A explicao dos parmetros de cada um dos contextos dos proxies padro, se encontra nos captulos intitulados Configurando o proxy SMTP, Configurando o proxy Telnet, Configurando o proxy FTP, Configurando o proxy POP3 e Configurando o Proxy RPC e o proxy DCE-RPC. O proxy HTTP no tem parmetros configurveis e suas configuraes so descritas no captulo Configurando o Filtro Web . Para maiores informaes sobre proxies transparentes e contextos, veja o captulo intitulado Trabalhando com proxies. Proxies definidos pelo usurio somente so teis para desenvolvedores e sua descrio no ser abordada aqui. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do servio. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios servios seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o servio, cujos dados foram preenchidos, seja includo e a janela de 199

incluso de servios mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de servios. Incluindo / editando interfaces

Figura 164 - Incluso e edio de interfaces.

Para cadastrar uma entidade do tipo interface necessrio preencher os seguintes campos: Nome: o nome pelo qual a interface ser sempre referenciada pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: se ela estiver marcada, a atribuio ser automtica caso contrrio ser manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado interface em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma lista com todos os possveis cones para representar interfaces. Para escolher entre eles deve-se clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Interface: o nome do adaptador de rede que ser associado entidade interface. Ser mostrada automaticamente uma lista com todos os adaptadores de rede configurados no firewall e o endereo IP de cada um, se existir. Comentrio: um campo texto livre usado apenas para fins de documentao.

200

Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da interface. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar . Para facilitar a incluso de vrias interfaces seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar este boto far com que os dados da interface que foram preenchidos sejam includos e mantida aberta a janela de incluso de interfaces onde estar pronta para uma nova incluso. Desta forma, possvel cadastrar rapidamente um grande nmero de interfaces. Incluindo / editando listas de e-mails Listas de e-mails so entidades usadas no proxy MSN com o objetivo de definir com quais pessoas um determinado usurio pode conversar atravs do MSN Messenger.

Figura 165 - Incluso e edio de listas de e-mails.

Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes campos: Nome: o nome pelo qual a lista de e-mails ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.

201

Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. Domnio de E-mail: Este campo composto pelos e-mails ou domnios que faro parte da lista. possvel especificar um e-mail completo ou utilizar o smbolo * para representar um caractere qualquer. As seguintes opes so e-mails vlidos: = *@* - Corresponde a qualquer e-mail = *@aker.com.br - Corresponde a todos os e-mails do domnio aker.com.br Para executar qualquer operao sobre um e-mail ou domnio, deve-se clicar sobre ele com o boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As seguintes opes esto disponveis:

Figura 166 - Opo para realizar uma operao sobre um e-mail ou domnio.

Incluir: Esta opo permite incluir um novo endereo; Excluir: Esta opo remove da lista o endereo selecionado; Importar: Esta opo importa a lista de e-mails a partir de um arquivo .ctt (formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha); Exportar: Esta opo exporta a lista de e-mails para um arquivo .ctt (formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha).

A lista deve ter apenas "enter ou (\n)" como separadores na lista de domnios.

202

Incluindo / editando listas de tipos de arquivos Listas de tipos de arquivos so entidades usadas no proxy MSN com o objetivo de definir quais tipos de arquivos podem ser enviados e recebidos, atravs do MSN Messenger.

Figura 167 - Lista dos tipos de arquivos.

Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes campos: Nome: o nome pelo qual a lista de tipos de arquivos ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. Para executar qualquer operao sobre uma entrada da lista, deve-se clicar sobre ela com o boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As seguintes opes esto disponveis:

203

Figura 168 - Opo para realizar uma operao (Entrada da lista).

Incluir: Incluir um novo tipo de arquivo; Excluir: Remover da lista o tipo de arquivo selecionado; Duplicar: Criar uma nova entrada na lista, idntica entrada selecionada, sendo indicada para criar vrios tipos com a mesma descrio; Para cada entrada, os seguintes campos devem ser preenchidos: Extenso: Extenso do arquivo sem o ponto. Ex.: zip, exe, etc. Descrio: Breve descrio do tipo associado extenso. Incluindo / editando acumuladores Acumuladores so entidades usadas nas regras de filtragem com o objetivo de coletar estatsticas sobre o trfego de rede. Um mesmo acumulador pode ser utilizado em vrias regras de filtragem. O trfego que encaixar em cada uma destas regras sumarizado pelo acumulador. A sua utilizao est descrita nos captulos: O Filtro de Estados e Visualizando estatsticas.

Figura 169 - Acumuladores.

Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes campos: Nome: o nome pelo qual o acumulador ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre esses dois modos de operao: se ela estiver marcada, a atribuio ser automtica caso contrrio ser manual.

204

Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado ao acumulador em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento uma lista com todos os possveis cones para representar interfaces ser mostrada. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Comentrio: um campo texto livre, usado apenas para fins de documentao. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do acumulador. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar . Para facilitar a incluso de vrios acumuladores seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far com que os dados do acumulador que foram preenchidos sejam includos e mantida aberta a janela de incluso de acumuladores onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de acumuladores.

205

Incluindo / editando Canais Canais so entidades usadas nas regras de filtragem com o objetivo de limitar a banda de determinados servios, mquinas, redes e/ou usurios. Seu uso est descrito no captulo: O Filtro de Estados.

Figura 170 - Cadastro de entidade tipo Canal.

Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos: Nome: o nome pelo qual o canal ser sempre referenciado pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Nome automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. cone: o cone que aparecer associado ao Canal em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostra uma 206

lista com todos os possveis cones para representar interfaces. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar.

Largura de Banda: um campo texto usado para designar a largura de banda (velocidade mxima de transmisso em bits por segundo) deste Canal. Esta banda ser compartilhada entre todas as conexes que usarem este Canal. Deve ser escolhida a unidade de medida mais conveniente. Banda de upload: velocidade mxima de transmisso em bits por segundo definida para realizar um upload. Banda de download: velocidade mxima de transmisso em bits por segundo definida para realizar um download. Buffer: um campo texto usado para designar o tamanho do buffer (espao temporrio de dados utilizado para armazenar pacotes que sero transmitidos) utilizado por este Canal. Deve ser escolhida a unidade de medida. possvel especificar este tamanho manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: se ela estiver marcada, a atribuio ser automtica, seno manual. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do Canal. Para que as alteraes e as incluses sejam canceladas deve-se pressionar o boto Cancelar . Para facilitar a incluso de vrios Canais seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar este boto far com que os dados da canal que foram preenchidos sejam includos e mantida aberta a janela de incluso de canais onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de canais.

6.3. Utilizando a Interface Texto

A utilizao da Interface Texto na configurao das entidades bastante simples e possui praticamente todos os recursos da Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. As nicas opes no disponveis so a criao de servios que utilizem proxies transparentes e a edio de pseudo-grupos de uma autoridade certificadora. importante comentar, entretanto, que na Interface Texto os agentes externos so mostrados e criados diretamente pelo seu subtipo. 207

Localizao do programa: /aker/bin/firewall/fwent Sintaxe: Uso: fwent ajuda fwent mostra fwent remove <nome> fwent inclui mquina <nome> <IP fwent inclui rede <nome> <IP> <mascara> fwent inclui conjunto <nome> [<entidade1> [<entidade2>] ...] fwent inclui mquina_ipv6 <nome> <ipv6> fwent inclui rede_ipv6 <nome> <ipv6> / <prefixo> fwent conjunto_ipv6 <nome> [<entidade1> [<entidade2>] ...] fwent inclui autenticador<nome><IP1> [<IP2>] [<IP3>] <senha> <t. cache> fwent inclui token <nome><IP1> [<IP2>] [<IP3>] <senha><t. cache> fwent inclui ldap <nome><IP1> [<IP2>][<IP3>]<root_dn><root_pwd> <base_dn><act_class><usr_attr><grp_attr> <<pwd_attr>|<-bind> >< <-ssl>|<-tls>|<-nenhuma>> < <-no_pwd>|<-pwd> > <t.cache> < <-append_dn> | <-no_append_dn> > < <-ldap_v3> | <-no_ldap_v3> > < <-case_sensitive> | <-case_insensitive> > fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache> fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui spam-meter <nome> < <local> | <IP1> [<IP2> [<IP3> <senha> > fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui interface <nome> <dispositivo> [<comentario>] fwent inclui acumulador <nome> [<comentario>] fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor> fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>: fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>] fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha> fwent inclui quota <nome> [ kbytes <max kbytes> ] [ segundos <max seconds> ] <tipo> fwent - Interface Texto para configurao das entidades

Ajuda do programa:

208

inclui = inclui uma nova entidade remove = remove uma entidade existente ajuda = mostra esta mensagem Para remove / inclui termos: nome = nome da entidade a ser criada ou removida Para inclui temos: IP = endereo IP da mquina ou da rede mascara = mscara da rede entidade = nome das entidades a serem acrescentadas no conjunto (OBS: Somente podem fazer parte de um conjunto entidades do tipo mquina ou rede) senha = senha de acesso t. cache = tempo em segundos de permanncia de uma entrada no cache de autenticao TCP = servio utiliza protocolo TCP UDP = servio utiliza protocolo UDP ICMP = servio utiliza protocolo ICMP OUTRO = servio utiliza protocolo diferente dos acima citados valor = Nmero que idntica o servio. Para os protocolos TCP e UDP o valor da porta associada ao servio. No caso de ICMP, o tipo de servio e no caso de outros protocolos o nmero do prprio protocolo. Pode-se especificar uma faixa atravs da notao valor1..valor2, que significa a faixa de valores compreendida entre o valor1 e o valor2 (inclusive). Para inclui ldap temos: root_dn = DN do usurio utilizado pelo firewall para as consultas root_pwd = a senha deste usurio base_dn = DN para comear a busca act_class= valor de objectclass que identifica objetos de contas vlidas usr_attr = o atributo onde se encontra o nome do usurio grp_addr = o atributo onde se encontra o grupo do usurio pwd_addr = o atributo onde se encontra a senha do usurio -bind = no tenta buscar a senha, em vez disso tenta conectar na base -append_dn = onde se adiciona base DN ao nome de usurio -no_append_dn = no adiciona Base DN ao nome do usurio -ldap_v3 = atributo onde habilita ou no a verso 3 do protocolo LDAP -no_ldap_v3 = no utiliza verso 3 do protocolo LDAP -case_sensitive = permite a diferenciao de caracteres maisculos e minsculos -case_insensitive = ignora maisculas e minsculas nas comparaes 209

LDAP com as credenciais do usurio para valid-lo -ssl = usar conexo encriptada via ssl -tls = usar conexo encriptada via tls -nenhuma = no usar conexo encriptada -no_pwd = permite senhas em branco para o usurio -pwd = no permite senhas em branco para o usurio

Exemplo 1:(visualizando as entidades definidas no sistema) #fwent mostra

Mquinas: --------cache 10.4.1.12 firewall 10.4.1.11 Redes: -----AKER 10.4.1.0 255.255.255.0 Internet 0.0.0.0 0.0.0.0 Conjuntos: ---------Mquinas Internas cache firewall Autenticadores: --------------Autenticador NT 10.0.0.1 10.0.0.2 600 Unix 192.168.0.1 192.168.0.2 192.168.0.3 600 Autenticadores do tipo token: ----------------------------Autenticador token 10.0.0.1 10.0.0.2 600 Agentes IDS: -----------Agente IDS 10.10.0.1 Antivrus: ----------Antivrus local 127.0.0.1 Servios: --------echo reply ICMP 8 echo request ICMP 0 FTP TCP 21 snmp UDP 161 telnet TCP 23 Interfaces: ---------Interface Externa xl0 Interface Interna de0 210

Exemplo 2:(cadastrando uma entidade do tipo mquina) #/aker/bin/firewall/fwent inclui mquina Servidor_1 10.4.1.4 Entidade includa Exemplo 3:(cadastrando uma entidade do tipo rede) #/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0 Entidade includa Exemplo 4:(cadastrando uma entidade do tipo servio) #/aker/bin/firewall/fwent inclui servico DNS UDP 53 Entidade includa Exemplo 5:(cadastrando uma entidade do tipo autenticador) #/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900 Entidade includa O uso de "" ao redor do nome da entidade obrigatrio quando inclui ou remove entidades cujo nome contm espaos. Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros so as mquinas cache e firewall, previamente definidas) #/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall Entidade includa Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um comentrio) #/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0 Entidade includa Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma mquina primria e uma secundria, como backup) #/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600 Entidade includa Exemplo 9: (removendo uma entidade) #/aker/bin/firewall/fwent remove "Autenticador Unix" Entidade includa

211

6.4. Utilizando o Assistente de Entidades

O assistente de criao de entidades pode ser invocado clicando-se no cone , localizado na parte exterior do lado esquerda da janela de entidades. O seu intuito simplificar a tarefa de criao das entidades, podendo ser utilizado sempre que desejado. Ele consiste de vrias janelas mostradas em srie, dependendo do tipo de entidade a ser criada. Seu uso extremamente simples e o exemplificaremos para a criao de uma entidade do tipo mquina: 1 - A primeira janela a seguir uma breve explicao dos procedimentos a serem realizados:

Figura 171 - Mensagem de entrada no Assistente de criao de entidades.

212

2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a ser cadastrada:

Figura 172 - Escolha do tipo de entidade.

213

3 - Localizar o endereo IP. Para cadastrar uma mquina deve ser especificado o endereo IP correspondente. Caso queira obter esse endereo, deve ser informado o nome da mquina e logo em seguida clicar no boto Resolver:

Figura 173 - Insero do endereo de IP da mquina.

214

4 - Atribuio do nome da entidade. Pode-se escolher o nome ou usar a atribuio automtica:

Figura 174 - Atribuio do nome da entidade.

215

5 -Escolha do cone da entidade. Para escolher o cone da entidade deve-se clicar em um dos cones que aparecem na janela. Observe que o cone selecionado ir aparecer direita da janela:

Figura 175 - Escolha do cone da entidade.

216

6 - Finalizao do cadastramento. Ser mostrado um resumo dos dados da entidade. Para cadastr-la deve-se clicar no boto Finalizar:

Figura 176 - Mensagem de finalizao do cadastramento de entidades.

217

O Filtro de Estado

218

7.

O Filtro de Estado
Este captulo mostra como configurar as regras que propiciaro a aceitao ou no de conexes pelo firewall. Este mdulo o mais importante do sistema e onde normalmente se gasta o maior tempo de configurao.

7.1. Planejando a instalao

O que um filtro de pacotes? Um filtro de pacotes o mdulo que ir decidir se um determinado pacote poder passar atravs do firewall ou no. Deixar um pacote passar, implica em aceitar um determinado servio. Bloquear um pacote significa impedir que este servio seja utilizado. Para que seja decidido qual ao a ser tomada para cada pacote que chega ao firewall, o filtro de pacotes possui um conjunto de regras configurado pelo administrador do sistema. Para cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem em que foi criado, verificando se este, encaixa em alguma das regras. Se ele se encaixar em uma regra ento a ao definida para ela ser executada. Caso o filtro termine a pesquisa de todas as regras e o pacote no se encaixe em nenhuma delas ento a ao padro ser executada. O que o filtro de estados do Aker Firewall? Um filtro tradicional de pacotes baseia suas aes exclusivamente no conjunto de regras configurado pelo administrador. Para cada pacote que poder passar pelo filtro, o administrador tem que configurar uma regra que possibilite sua aceitao. Em alguns casos isto simples, mas em outros isto no possvel de ser feito ou pelo menos no possvel realizar com a segurana e flexibilidade necessrias. O filtro de pacotes do Aker Firewall chamado de filtro de estados. Armazena informaes do estado de todas as conexes que esto fluindo por meio dele e usa estas informaes em conjunto com as regras definidas pelo administrador na hora de tomar a deciso de permitir ou no a passagem de um determinado pacote. Alm disso, diferentemente de um filtro de pacotes que baseia suas decises apenas nos dados contidos no cabealho do pacote, o filtro de estados examina dados de todas as camadas e utiliza todos estes dados ao tomar uma deciso. Vamos analisar como isso permite a soluo de diversos problemas apresentados pelos filtros de pacotes tradicionais. 219

O problema do protocolo UDP: Para usar um servio UDP, a mquina cliente inicialmente escolhe um nmero de porta (que varivel cada vez que o servio for utilizado) e envia um pacote para a porta da mquina servidora correspondente ao servio (esta porta na mquina servidora fixa). A mquina servidora, ao receber a requisio, responde com um ou mais pacotes para a porta da mquina cliente. Para que a comunicao seja efetiva o firewall deve permitir a passagem dos pacotes de solicitao do servio e de resposta. O problema que o protocolo UDP no orientado conexo, isto significa que se um determinado pacote for observado isoladamente, fora de um contexto, no pode saber se ele uma requisio ou uma resposta de um servio. Nos filtros de pacotes tradicionais; como o administrador no pode saber inicialmente, qual a porta ser escolhida pela mquina cliente para acessar um determinado servio, ele pode ou bloquear todo o trfego UDP ou permitir a passagem de pacotes para todas as possveis portas. Ambas as abordagens possuem alguns problemas. O Aker Firewall possui a capacidade de se adaptar dinamicamente ao trfego de modo a resolver possveis problemas. Um exemplo quando um pacote UDP aceito por uma das regras configuradas pelo administrador, com isso adicionada uma entrada em uma tabela interna, chamada de tabela de estados, de modo a permitir que os pacotes de resposta ao servio correspondente possam voltar para a mquina cliente. Esta entrada s fica ativa durante um curto intervalo de tempo, ao final do qual ela removida (este intervalo de tempo configurado atravs da janela de configurao de parmetros, mostrada no captulo intitulado Configurando os parmetros do sistema). Desta forma, o administrador no precisa se preocupar com os pacotes UDP de resposta, sendo necessrio apenas configurar as regras para permitir o acesso aos servios. Isto pode ser feito facilmente, j que todos os servios possuem portas fixas. O problema do protocolo FTP: O FTP um dos protocolos mais populares da Internet, porm um dos mais complexos de ser tratado por um firewall. Vamos analisar seu funcionamento: Para acessar o servio FTP, inicialmente a mquina cliente abre uma conexo TCP para a mquina servidora na porta 21. (a porta usada pelo cliente varivel). Esta conexo chamada de conexo de controle. A partir da, para cada arquivo transferido ou para cada listagem de diretrio, uma nova conexo estabelecida, chamada de conexo de dados. Esta conexo de dados pode ser estabelecida de duas maneiras distintas: 1. O servidor pode iniciar a conexo a partir da porta 20 em direo a uma porta varivel, informada pelo cliente pela conexo de controle (este chamado de FTP ativo)

220

2. O cliente pode abrir a conexo a partir de uma porta varivel para outra porta varivel do servidor, informada para o cliente atravs da conexo de controle (este chamado de FTP passivo). Nos dois casos o administrador no tem como saber quais portas sero escolhidas para estabelecer as conexes de dados e desta forma, se ele desejar utilizar o protocolo FTP atravs de um filtro de pacotes tradicional, dever liberar o acesso para todas as possveis portas utilizadas pelas mquinas clientes e servidores. Isto tem implicaes srias de segurana. O Aker Firewall tem a capacidade de vasculhar o trfego da conexo de controle FTP e desta forma descobrir qual o tipo de transferncia que ser utilizada (ativa ou passiva) e quais portas sero usadas para estabelecer as conexes de dados. Desta forma, todas as vezes que o filtro de pacotes determinar que uma transferncia de arquivos seja realizada, ele acrescenta uma entrada na tabela de estados de modo a permitir que a conexo de dados seja estabelecida. Esta entrada s fica ativa enquanto a transferncia estiver se realizando e caso a conexo de controle esteja aberta, propiciando o mximo de flexibilidade e segurana. Neste caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o acesso para a porta da conexo de controle (porta 21). Todo o resto ser feito automaticamente. O problema do protocolo Real udio: O protocolo Real udio o mais popular protocolo de transferncia de som e vdeo em tempo real atravs da Internet. Para que seja possvel uma transmisso de udio ou vdeo necessrio que o cliente estabelea uma conexo TCP para o servidor de Real udio. Alm desta conexo, para conseguir uma melhor qualidade de som, o servidor pode abrir uma conexo UDP para o cliente, para uma porta randmica informada em tempo real pelo cliente, e o cliente tambm pode abrir outra conexo UDP para o servidor, tambm em uma porta randmica informada pelo servidor no decorrer da conexo. Os filtros de pacotes tradicionais no permitem o estabelecimento das conexes UDP do servidor para o cliente e vice-versa, uma vez que as portas no so conhecidas antecipadamente, fazendo com que a qualidade, do udio e vdeo obtida, seja bastante inferior. O filtro de estados do Aker Firewall acompanha toda a negociao do servidor Real udio com o cliente de modo a determinar se as conexes UDP sero abertas e quais portas sero usadas acrescentando esta informao em uma entrada na sua tabela de estados. Esta entrada na tabela de estados s fica ativa enquanto a conexo de controle TCP estiver aberta, propiciando o mximo de segurana.

221

O problema do protocolo Real Video (RTSP): O protocolo Real Vdeo suportado pelo firewall. Assim como o Real udio, as transaes so controladas pelo firewall, permitindo uma total segurana do uso de aplicaes de Real Vdeo. Montando regras de filtragem em um filtro de pacotes simples Antes de mostrar como funciona a configurao do filtro de estados do Aker Firewall interessante explicar o funcionamento bsico de um filtro de pacotes simples: Existem vrios critrios possveis para realizar filtragem de pacotes. A filtragem de endereos pode ser considerada a mais simples de todas, pois ela consiste em fazer uma comparao entre os endereos dos pacotes e os endereos das regras. Caso os endereos sejam iguais, o pacote aprovado. Esta comparao feita da seguinte forma: Trabalharemos com a seguinte regra: Todas as mquinas da rede 10.1.x.x podem se comunicar com as mquinas da rede 10.2.x.x. Escreveremos esta regra utilizando o conceito de mascaramento (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). Assim temos: 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0

------- Origem ------

------- Destino -------

Vamos agora aplicar a regra a um pacote que trafega da mquina 10.1.1.2 para a mquina 10.3.7.7. Aplica-se a mscara da regra aos dois endereos, o da regra e o do pacote e verifica se os endereos de destino e o de origem so iguais. Para o endereo origem temos 10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote) Temos ento que os dois endereos origem so iguais aps a aplicao da mscara. Veremos agora para o endereo destino: 10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra) 10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote) Como o endereo destino do pacote no est igual ao endereo destino da regra aps a aplicao da mscara, por definio, esta regra no se aplicaria a este pacote.

222

Esta operao feita em toda a lista de endereos e mscaras destino e origem at o fim da lista, ou at uma das regras aplicar para o pacote examinado. Uma lista de regras teria a seguinte forma: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 10.1.1.0 & 255.0.0.0 10.1.0.0 & 255.255.0.0 -> 10.2.3.0 & 255.255.255.0 -> 10.2.0.0 & 255.255.0.0

Alm dos endereos origem e destino, cada pacote IP possui um protocolo e um servio associado. Esta combinao de servio mais protocolo pode ser utilizado como mais um critrio de filtragem. Os servios no protocolo TCP, por exemplo, esto sempre associados a uma porta (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). Assim, pode-se tambm associar uma lista de portas aos endereos. Pegaremos como exemplo dois servios conhecidos, o POP3 e o HTTP. O POP3 est associado porta 110 do servidor e o HTTP est associado porta 80. Assim, iremos acrescentar estas portas no formato da regra. Teremos ento:

10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ------- Origem ------------ Destino -------

TCP - Protocolo -

80

110

--Portas-

Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que utiliza os servios HTTP ou POP3 a trafegar pelo firewall. Assim, em uma primeira etapa compara-se os endereos da regra com os do pacote. Caso estes endereos sejam iguais aps a aplicao das mscaras, passase a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de portas associados regra. Se o protocolo for o mesmo e se for encontrada uma porta da regra igual porta do pacote, esta regra por definio se aplica ao pacote, caso contrrio pesquisa continua na prxima regra. Assim um conjunto de regras teria o seguinte formato: 10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53

10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80 10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113

223

10.1.0.0 & 255.255.0.0

-> 10.2.0.0 & 255.255.0.0

ICMP 0 8

Montando regras de filtragem para o Aker Firewall Configurar as regras de filtragem no Aker Firewall algo muito fcil em funo de sua concepo inteligente. Toda a parte de endereos IP, mscaras, protocolos, portas so interfaces e so configuradas nas entidades (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). Com isso, ao configurar uma regra no necessrio preocupar com qual porta um determinado servio utiliza ou qual o endereo IP de uma rede. Tudo isso j foi previamente cadastrado. Para facilitar ainda mais, todos os servios mais utilizados na Internet j vem previamente configurado de fbrica, no havendo a necessidade de gastar tempo pesquisando os dados de cada um. Basicamente, para cadastrar uma regra, o administrador deve especificar as entidades de origem, destino e os servios que faro parte da regra. Ele pode tambm especificar uma interface de origem para os pacotes e definir em quais horrios a regra estar ativa, em uma tabela de horrios semanal. Com o uso desta tabela de horrios possvel liberar determinados servios em determinadas horas do dia (por exemplo, liberar IRC, ou bate-papo, apenas nos horrios fora do expediente). Se um pacote chegar a um horrio no qual a regra no est marcado como ativa, ela ser ignorada, fazendo com que a busca continue na prxima regra da lista. O funcionamento do filtro simples: o firewall ir pesquisar uma a uma as regras definidas pelo administrador, na ordem especificada, at que o pacote se encaixe em uma delas. A partir deste momento, ele ir executar a ao associada regra, que pode ser aceita, rejeitada ou descartada (estes valores sero explicados no prximo tpico). Caso a pesquisa chegue ao final da lista e o pacote no se enquadre em nenhuma regra ento este ser descartado ( possvel configurar aes para serem executadas neste caso). Isto ser tratado no captulo intitulado: Configurando as aes do sistema.

224

7.2. Editando uma lista de regras usando a Interface Remota

Para ter acesso a janela de configurao de regras deve-se:

Figura 177 - Dispositivos remotos (Acesso a janela de configurao das regras).

Clicar no menu Configuraes do firewall da janela principal.

Selecionar o item Regras de Filtragem.

225

A janela de regras de filtragem

Figura 178 - Janelas de regras de filtragem.

A janela de regras contm todas as regras de filtragem definidas no Aker Firewall. Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma regra esteja selecionada, ela ser mostrada em uma cor diferente.

O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta Quando se clica sobre uma regra que tenha algum comentrio, este aparecer na parte inferior da janela.

226

Para executar qualquer operao sobre uma determinada regra, deve-se clicar com o boto direito do mouse sobre o campo que queira alterar. Aparecer um menu com as opes de entidades referentes ao campo, como na figura abaixo:

Figura 179 - Menu com opes de entidades referente ao campo.

Inserir: Incluir uma nova regra na lista. A nova regra ser includa abaixo da regra existente. Copiar: Copiar a regra selecionada. Colar: Cola a regra copiada. Excluir: Remover da lista a regra selecionada. Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada. Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o ponteiro do mouse est sobre o campo o qual se quer inserir a entidade. Remover entidades: Remover uma entidade que foi inserida na regra. Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Poltica Padro: pode-se definir uma nova poltica, clicando no boto "Poltica" na barra de ferramentas do Firewall. possvel editar um nome e uma cor para cada poltica, inclusive a padro. 227

Adicionando e removendo entidades e servios na regra Para adicionar uma entidade a um destes campos, pode-se proceder de duas formas: 1. Selecionar a entidade a ser includa, clicando sobre ela na tabela de entidades, e a arraste para o campo correspondente. As teclas Insert e Delete podem inserir e remover as entidades respectivamente. 2. Clicar com o boto direito do mouse sobre o campo onde se deseja adicionar as entidades, ser exibida uma lista das entidades pertinentes ao campo selecionado, bem como que tipo de ao se deseja aplicar sobre as mesmas. - O duplo-clique na entidade ir permitir a edio da mesma. Para remover uma entidade de um destes campos, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse sobre o campo onde se encontra a entidade que se deseja remover e ser exibida uma lista das entidades participantes do campo com a opo de remoo das entidades.. 2. Pode-se utilizar a opo Remover Entidade para eliminar vrias entidades de uma vez. Na criao de regras quando selecionada as entidades, deve-se observar a origem e o destino destas. Se especificar um endereo ipv4 na origem, obrigatoriamente deve-se especificar um endereo ipv4 no destino, a mesma coisa acontece caso a opo seja o endereo ipv6. Parmetros da regra: Alm das especificaes bsicas de uma regra, entidades de origem, entidades de destino e servios, deve-se levar em conta outros parmetros de configurao: Acumulador: Define qual o acumulador para os pacotes da regra. A opo nenhum desativa a contabilizao dos pacotes que se encaixem nesta regra. Se for escolhido um acumulador, sero adicionados a ele a quantidade de bytes e pacotes encaixados nesta regra. Canal: Define o canal que ser utilizado para controlar a banda para a regra. A opo nenhum desativa a utilizao de controle de banda para esta regra. Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se encaixem nesta regra. Ela consiste nas seguintes opes: Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem atravs do firewall.

228

Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta regra. Assim ser enviado um pacote ICMP para a mquina de origem do pacote dizendo que o destino inatingvel. Esta opo no funciona para alguns tipos de servio ICMP, devido a uma caracterstica inerente a este protocolo. Descarta: Significa que os pacotes que se encaixarem nesta regra no passaro pelo firewall, mas no ser enviado nenhum pacote para a mquina de origem. Log: Definir quais tipos de aes sero executadas pelo sistema quando um pacote se encaixar na regra. Ele consiste em vrias opes que podem ser selecionadas independentemente uma das outras. Os valores possveis so: Logs: Se esta opo estiver selecionada, todos os pacotes que se enquadrarem nesta regra sero registrados no log do sistema. Envia email: Se esta opo estiver selecionada, ser enviado um e-mail todas as vezes que um pacote enquadrar-se nesta regra (a configurao do endereo de e-mail ser mostrada no captulo intitulado configurando as aes do sistema). Executar programa: Quando selecionada essa opo, ser executado um programa definido pelo administrador todas as vezes que um pacote se enquadrar nesta regra (a configurao do nome do programa a ser executado ser mostrada no captulo intitulado configurando as aes do sistema). Disparar mensagens de alarme: Quando selecionada essa opo, o firewall mostra uma janela de alerta todas as vezes que um pacote se enquadrar nesta regra. Esta janela de alerta ser mostrada na mquina onde a Interface Remota estiver aberta e, se a mquina permitir, ser emitido tambm um aviso sonoro. Caso a Interface Remota no esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser ignorada. Enviar Trap SMNP: Se esta opo estiver selecionada, ser enviada uma Trap SNMP para cada pacote que enquadrar nesta regra (a configurao dos parmetros para o envio das traps ser mostrada no captulo intitulado configurando as aes do sistema). No caso do protocolo TCP, somente sero executadas as aes definidas na regra para o pacote de abertura de conexo. No caso do protocolo UDP, todos os pacotes que forem enviados pela mquina cliente e se enquadrarem na regra (exceto os pacotes de resposta) provocaro a execuo das aes. Tabela de horrios: Definir as horas e dias da semana em que a regra ser aplicvel. As linhas representam os dias da semana e as colunas representam as horas. Caso queira que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco.

229

Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que a tabela seja alterada na medida em que o mouse se move. Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo fora do qual a regra no tem validade. um recurso muito til para, por exemplo, liberar o trfego relacionado a um evento no recorrente, como um teste. Se o perodo ainda no tiver comeado ou estiver expirado, o nmero da regra ser mostrado sobre um fundo vermelho. Comentrio: Inserir um comentrio sobre a regra. Muito til na documentao e manuteno das informaes sobre a utilidade da regra. Verificao de regras A verificao de regras feita por meio do cone , ou ento automaticamente, quando o usurio aplica as regras no boto aplicar na janela de Regras de filtragem.

Figura 180 - cones de verificao de regras.

O boto verificar faz a verificao da conexo com o Aker Control Center e a verificao das regras eclipsadas. A primeira permite checar se existe alguma regra que impea o usurio de conectar-se no firewall que ele est atualmente configurando. Exemplo: O ip do usurio o 10.0.0.1 e o do firewall o 10.0.0.2 e a porta do control center a 1020. Caso exista alguma regra dizendo que para rejeitar os pacotes de origem 10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra seja aplicada, implicar na impossibilidade do usurio se conectar a esse firewall. um mecanismo para impedir que o prprio usurio tire o seu acesso de conexo no firewall. A segunda verificao a da regra "eclipsa", necessria essa verificao quando a regra 1 engloba completamente a regra 2, impedindo que a regra 2 seja atingida. Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer destino) e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e porta TCP 7. A primeira regra faz tudo o que a segunda regra faz, ento a segunda regra nunca vai ser atingida, porque a primeira regra vai ser processada primeiro e no vai deixar com que a outra regra seja alcanada.

230

Obs.: Todas as regras que so verificadas, so regras que j existem ou seja, que j foram definidas.

Figura 181 - Verificador de regras.

Utilizao dos Canais na Regra de Filtragem do Aker Firewall O administrador pode definir Qualidade de Servio (QoS) diferenciada para cada tipo de regra. No caso da figura abaixo, foi criado um canal de 10Mb - ADSL e aplicado nas regras 1 e 2. O servidor "Correio_SMTP" possui prioridade no trfego pois a prioridade para ele no canal est como "Muito alto".

231

Figura 182 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL).

Para ajustes de prioridade de canal, deve-se clicar como o boto direito na entidade Canal e escolher a prioridade pelo boto deslizando. Veja a figura abaixo:

Figura 183 - Ajustes de prioridade de canal.

232

7.3. Trabalhando com Polticas de Filtragem

Este recurso permite que o administrador do firewall faa um agrupamento de regras dentro de um levantamento feito dos fluxos que ocorrerem entre as suas sub redes. Para exemplificar, suponha que o administrador possua um firewall colocado entre as redes interna, DMZ e Internet, conforme esquema abaixo:

Figura 184 - Exemplo de como trabalhar com polticas de filtragem.

Pode-se verificar os possveis fluxos de dados que podero ocorrer entre essas redes. Para cada fluxo foi dada uma numerao e com isso pode-se concluir que os fluxos com nmeros mais altos (5 e 6) sero considerados os mais inseguros, pois envolvem o acesso da internet as redes DMZ e interna, respectivamente. Estes fluxos para o firewall sero desdobrados em regras de filtragem, com isto poderiam ter as seguintes regras:

233

Figura 185 - Exemplo de regras de filtragem.

Figura 186 - Interface regras de filtragem.

Para criar novas Polticas deve-se clicar no cone da barra de ferramentas "Poltica".

234

Figura 187 - Barra de cones (Poltica).

A figura abaixo mostra o desdobramento das regras da poltica. Basta dar um duplo clique na linha para exibir as regras que ela contm:

Figura 188 - Exibio das regras de filtragem.

No caso de desabilitar uma poltica, todas as regras que ela contm tambm sero desabilitadas. 7.4. Utilizando a Interface Texto A utilizao da Interface Texto na configurao das regras de filtragem traz uma dificuldade gerada pela grande quantidade de parmetros que devem ser passados pela linha de comando (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. No possvel configurar a tabela de horrios nem especificar comentrios para as regras atravs da Interface Texto. Tambm no possvel especificar mais de uma entidade para origem ou destino da regra. Todas as regras acrescentadas por esta interface so consideradas aplicveis em todas as horas da semana.

235

Localizao do programa: /aker/bin/firewall/fwrule. Sintaxe: Uso: fwrule [ajuda | mostra] fwrule [habilita | desabilita | remove] <pos> fwrule inclui <pos> <origem> <destino> <aceita | rejeita | descarta> [pipe <pipe> <peso>] [acumulador <acumulador>] [loga] [mail] [trap] [programa] [alerta] [encriptado | usurio ] [<servico> ...] Ajuda do programa: Firewall Aker fwrule - Configura tabela de regras do filtro de estados Uso: fwrule [ajuda | mostra] fwrule [habilita | desabilita | remove] <pos> fwrule inclui <pos> <origem> <destino> <aceita | rejeita | descarta> [pipe <pipe> <peso>] [acumulador <acumulador>] [loga] [mail] [trap] [programa] [alerta] [encriptado | usurio ] [<servico> ...] mostra = mostra todas as entradas da tabela de regras inclui = inclui uma nova regra de filtragem habilita = habilita uma regra de filtragem desabilitada desabilita = desabilita uma regra de filtragem existente remove = remove uma regra existente ajuda = mostra esta mensagem Para inclui temos: pos = posio onde incluir a nova regra na tabela (Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) aceita = a regra aceita as conexes que se enquadrarem nela rejeita = a regra rejeita as conexes que se enquadrarem nela e envia pacote ICMP de destino inatingvel para mquina de origem descarta = a regra descarta os pacotes recebidos (no envia pacote ICMP) pipe = faz com que o trfego que se encaixe nesta regra seja direcionado ao "pipe" indicado com peso relativo dado por: acumulador = faz com que o trfego que se encaixe nesta regra seja somado a entidade acumulador especificada peso = "ocioso", "m_baixo" (muito baixo), "baixo", "normal", 236

"alto", "m_alto" (muito alto) ou "tr" (tempo real) loga = loga os pacotes que se enquadrarem na regra mail = envia e-mail para cada pacote que se enquadre na regra trap = gera trap SNMP para cada pacote que se enquadre na regra programa = executa um programa para cada pacote que se enquadre na regra alerta = abre uma janela de alerta para cada pacote que se enquadre na regra encriptado = indica que a regra s valida se os pacotes vierem encriptados usurio = indica que a regra s vlida se os pacotes vierem encriptados e o usurio tiver se autenticado previamente no firewall. Esta condio somente pode ser atendida por conexes originadas de clientes de criptografia servico = lista de nomes dos servios para a nova regra Para habilita / desabilita / remove temos: pos = nmero da regra a ser habilitada, desabilitada ou removida Exemplo 1: (visualizando as regras de filtragem) #/aker/bin/firewall/fwrule mostra Regra 01 -------Origem Destino Ao Log Servios Regra 02 -------Origem Destino Ao Log Servios Regra 03 -------Origem Destino Ao Log Servios

: Internet : firewall cache : Descarta : Loga Trap Alerta : todos_tcp todos_udp todos_icmp

: cache : Internet : Aceita : Loga : http

firewall

ftp

: Internet : Mail server : Aceita : Loga : smtp

237

Regra 04 -------Origem Destino Ao Log Servios

: Empresas externas : Aker : Aceita : Loga : smtp

Exemplo 2: (removendo a quarta regra de filtragem) #/aker/bin/firewall/fwrule remove 4 Regra 4 removida Exemplo 3: (incluindo uma nova regra no final da tabela) #/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp Regra includa na posio 4 As entidades Internet e Mail server, bem como o servio SMTP devem ter sido previamente cadastradas no sistema. Para maiores informaes sobre como cadastrar entidades no Aker Firewall, veja o captulo Cadastrando Entidades. O uso de "" ao redor do nome da entidade a ser includa na regra obrigatrio quando este contm espaos.

238

7.5. Utilizando o assistente de regras

O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso o nmero de regras for muito pequeno o prprio assistente ser acionado automaticamente. 1 - Acionando do assistente de regras. A janela abaixo aparecer quando um nmero muito pequeno de regras for detectado.

Figura 189 - Assistente de regras filtragem (janela exibida quando um nmero pequeno de regras for detectado.

239

2 - Tela inicial com as explicaes necessrias.

Figura 190 - Mensagem de boas vindas ao Assistente de regras filtragem.

240

3 - Escolha da rede interna na configurao inicial.

Figura 191 - Escolha da rede interna e configurao inicial.

241

4 - Informao necessria para saber se as mquinas tero acesso irrestrito Internet.

Figura 192 - Tela de acesso para escolha de acesso restrito ou no internet.

242

5 - Configurao da DMZ.

Figura 193 - Escolha se possui ou no DMZ.

243

6 - Escolha da entidade da DMZ.

Figura 194 - Escolha da entidade DMZ.

244

7 - Informa se a DMZ ter acesso irrestrito Internet.

Figura 195 - Mquinas DMZ (acesso restrito ou no Internet).

245

8 - Administrao do Firewall. Informar quem ter acesso de administrao ao mesmo.

Figura 196 - Configurao do Firewall.

246

9- Registro individual de servidor para a DMZ.

Figura 197 - Registro de configurao do servidor.

247

10 - Informao de servidor especfico para a DMZ.

Figura 198 - Escolha da entidade do servidor.

248

11 - Seleo dos servios do servidor para a DMZ.

Figura 199 - Selecionar o local onde o servidor DMZ ficar disponvel.

249

12- Pergunta se deseja configurar outro servidor.

Figura 196 - Escolha para configurar outro servidor ou no.

250

13 - Visualizao final das regras de filtragem montada pelo assistente.

Figura 197 - Aviso de finalizao de configurao das regras de filtragem.

7.6. Utilizando Regras de Pipes Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall conhecida como "canal/pipe". Ela permite que sejam visualizados em apenas uma janela, todas as suas regras de PIPE, sem a necessidade de visualizar vrias janelas separadas como as de Regras de filtragem Geral e/ou Regras de Filtragem nos Perfis de Acesso. Os campos so muito parecidos com a janela de Regras de Filtragem, contendo:

251

Origem: Determina o IP/rede de origem dos pacotes; Destino: Determina o IP/rede de destino dos pacotes; Servio: Permite selecionar quais os servios (TCP, UDP, ICMP ou Outros) utilizar esta regra de PIPE; Canal: O administrador pode definir Qualidade de Servio (QoS) diferenciada para cada tipo de regra; Hora: Define as horas e dias da semana em que a regra ser aplicvel. As linhas representam os dias da semana e as colunas representam s horas. Caso queira que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco.

Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um quadrado e arrast-lo, mantendo o boto pressionado. Isto faz com que a tabela seja alterada na medida em que o mouse se move.

Perodo de validade: Permitir o cadastro de duas datas que delimitam um perodo fora do qual a regra no tem validade. um recurso muito til para, por exemplo, liberar o trfego relacionado a um evento no recorrente, como um teste. Se o perodo ainda no tiver comeado ou estiver expirado, o nmero da regra ser mostrado sobre um fundo vermelho. Comentrio: Inserir um comentrio sobre a regra. Muito til na documentao e manuteno das informaes sobre a utilidade da regra.

A janela de Regras de Pipes

Figura 198 - Janela com as regras de Pipes.

Observao: Estas regras sobrepem s configuraes de "Canal" das Regras de Filtragem Geral e das Regras de Filtragem nos Perfis de Acesso. 252

Configurando converso de endereos

253

8.

Configurando a converso de endereos


Este captulo mostra como configurar os parmetros de converso de endereos (NAT) de modo a possibilitar que a rede interna trabalhe com endereos reservados, aumentando sua capacidade de endereamento, ocultando as mquinas da rede interna e acessando a Internet, de forma totalmente transparente. Nesta verso tambm ser possvel realizar um balanceamento de carga das conexes de forma mais inteligente.

8.1. Planejando a instalao

O que converso de endereos? Qualquer rede que vai se ligar Internet necessita de um conjunto de endereos IP atribudos por alguma autoridade designada para tal (no Brasil esta distribuio de responsabilidade da FAPESP). Basicamente existem 3 conjuntos de endereos possveis, os chamados classe A, que possibilitam 16.777.214 mquinas dentro da rede, os classe B, que possibilitam 65.533 mquinas e os classe C, que possibilitam 254 mquinas. Devido ao grande crescimento apresentado pela Internet nos ltimos anos, no existem mais endereos classe A e B disponveis. Assim sendo, qualquer rede que venha a se conectar receber um endereo classe C que permite o endereamento de apenas 254 mquinas. Caso o nmero de mquinas seja maior do que isso, devem-se adquirir vrios endereos classe C o que dificulta o trabalho de administrao, ou utilizar uma soluo de converso de endereos. A converso de endereos uma tecnologia que permite que os endereos das mquinas da rede interna sejam distribudos livremente, utilizando endereos classe A. Assim continua a permitir que todas as mquinas tenham acesso internet de forma simultnea e transparente Internet. O seu funcionamento simples, todas as vezes que uma mquina com um endereo reservado tenta acessar a Internet, o Firewall detecta e automaticamente traduz seu endereo para um endereo vlido. Quando a mquina de destino responde e envia dados para o endereo vlido, o Firewall converte de volta este endereo para o reservado e repassa os dados para a mquina interna. Da forma que isso feito, nem as mquinas clientes nem as mquinas servidoras sabem da existncia de tal mecanismo. Outra vantagem, alm da apresentada acima, que com a converso de endereos todas as mquinas da sua rede interna ficam invisveis para a rede externa, aumentando ainda mais o nvel de segurana da instalao. 254

A converso de endereos no compatvel com servios que transmitem endereos IP ou portas como parte do protocolo. Os nicos servios deste tipo suportados pelo Aker Firewall so o FTP, Real udio e Real Vdeo. Quais so as minhas redes internas? As redes internas se constituem de todas as mquinas de uma ou mais sub-redes que esto sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivos internos da rede, como roteadores, switches, mquinas servidoras, mquinas clientes, etc. So os equipamentos que guardam informaes importantes da sua rede, ou so peas chaves para seu funcionamento. Quais so as minhas redes externas? As redes externas so formadas por todas as mquinas que no fazem parte da rede interna. Elas podem estar ou no sobre a responsabilidade administrativa de sua organizao. No caso de uma rede de uma organizao se ligando Internet, a rede externa seria toda Internet. Endereando as minhas redes internas Apesar de tecnicamente possvel, os endereos de suas redes internas no devem ser escolhidos aleatoriamente. Existem alguns endereos reservados especificamente para este fim. Estes endereos no podem ser atribudos a nenhuma mquina ligada Internet. Os endereos reservados so: De 10.0.0.0 10.255.255.255, mscara 255.0.0.0 (classe A) De 172.16.0.0 172.31.0.0, mscara 255.255.0.0 (classe B) De 192.168.0.0 192.168.255.255, mscara 255.255.255.0 (classe C). Tipos de converso de endereos Existem trs tipos diferentes de converso de endereos: 1-1, N-1, 1-N e N-N. Cada um deles possui caractersticas distintas e normalmente so utilizados em conjunto para conseguir melhores resultados.

1-1 O tipo 1-1 o mais intuitivo, porm normalmente o menos til. Ele consiste em fazer mapeamentos binrios de um para um entre endereos reservados e endereos vlidos. Desta forma, mquinas distintas teriam endereos convertidos distintos. 255

A grande limitao desta forma de operao que no possvel colocar um nmero de mquinas maior que o nmero de endereos vlidos, uma vez que so sempre convertidos na base de um para um. Em compensao, ela permite que mquinas com endereos reservados possam ser acessadas externamente com endereos vlidos.

N-1 A converso de N-1, como o nome j diz, possibilita que vrias mquinas com endereos reservados utilizem um mesmo endereo vlido. Para conseguir este objetivo, ela utiliza endereos IP em combinao com portas (no caso dos protocolos TCP e UDP) ou com nmeros de sequncia (no caso de ICMP). Este mapeamento feito dinamicamente pelo firewall, cada vez que uma nova conexo estabelecida. Como existem 65535 portas ou nmeros de sequncia distintos possvel existncia de at 65535 conexes simultneas ativas utilizando o mesmo endereo. A nica limitao desta tecnologia que ela no permite que as mquinas internas sejam acessadas externamente. Todas as conexes devem ser iniciadas internamente. Quando se utiliza uma converso de endereo (NAT) no Aker Firewall do tipo N: 1, alm da converso dos endereos IP da rede interna para um nico IP vlido Internet, tambm alterado a porta de origem da comunicao. Toda comunicao baseada no protocolo TCP/IP, tem no mnimo os seguintes parmetros: IP origem; Porta origem; IP destino; Porta destino.

Exemplo: O endereo IP de um computador 200.0.0.1 e o endereo IP do site do Terra (http://www.terra.com.br) 200.176.3.142, como fica esta conexo: IP origem: 200.0.0.1 Porta origem: Qualquer porta entre 1024 e 65535 IP destino: 200.176.3.142 Porta destino: TCP 80 (HTTP)

A partir do Aker Firewall 6.1 Patch 3 ou superior este valor de Porta origem quando se utiliza a converso de endereo de N: 1 varia entre os valores 8176 at 63487. Pode-se alterar esta faixa de portas, conforme demonstrado abaixo:

256

Soluo: Edite o arquivo rc.aker no caminho /aker/bin/firewall. Altere a linha: Insmod $MODNAME Para: insmod $MODNAME nat_init=20000 nat_end=40000 onde: nat_init= < inicio da porta de origem> nat_end= <valor mximo da porta de origem>

Os valores padres so: nat_init= 30720 nat_end=63472

1-N Este tipo de converso tambm chamado de balanceamento de carga e possibilita que vrios servidores sejam colocados atrs de um nico endereo IP vlido. Cada vez que uma nova conexo aberta para esse endereo, ela redirecionada para um dos servidores internos. A grande vantagem dessa tecnologia possibilitar que servios que demandam uma grande quantidade de recursos possam ser separados em vrias mquinas e serem acessados de forma transparente, atravs de um nico endereo. No caso de quedas de algumas dessas mquinas, as novas conexes so automaticamente repassadas para as mquinas que ainda estiverem no ar, implantando com isso mecanismo de tolerncia a falhas.

N-N Esta converso permite que todos os endereos de uma rede sejam convertidos para os endereos de uma rede virtual automaticamente.

Aplicaes da converso de endereos com o Aker Firewall O Aker Firewall permite que qualquer tipo de converso seja realizada, no se limitando apenas ao endereo vlido da interface externa do firewall, mas sim dando total flexibilidade ao administrador em utilizar qualquer endereo dentro da rede, inclusive fazendo a converso entre redes invlidas.

257

Suponhamos que uma determinada organizao receba uma rede de endereos classe C, com o formato A.B.C.0. Este um endereo vlido que suporta no mximo 254 mquinas (os endereos A.B.C.0 e A.B.C.255 so reservados para fins especficos e no podem ser utilizados, sobrando os valores de A.B.C.1 a A.B.C.254). Suponha ainda que esta rede possua 1000 mquinas para serem conectadas. Em virtude da impossibilidade de alocar todas as mquinas no endereo recebido, foi decidido pelo uso da converso de endereos. Escolheu-se ento um endereo reservado classe A para ser colocado nas mquinas da rede interna, o 10.x.x.x com mscara 255.0.0.0. O Aker Firewall ir ficar no limite da Internet com a rede interna, que possui endereos reservados. Ele ser o responsvel pela converso dos endereos reservados 10.x.x.x para os endereos vlidos A.B.C.x. Desta forma, o firewall dever possuir pelo menos dois endereos: um endereo vlido, para que possa ser atingido pela Internet e um reservado, para que possa ser atingido pela rede interna. (na maioria das instalaes, colocam-se duas ou mais placas de rede no firewall: uma para a rede externa e uma ou mais para a rede interna. Entretanto possvel, porm no recomendado, fazer esta mesma configurao com apenas uma placa de rede, atribuindo um endereo vlido e um reservado para a mesma placa). Supondo que seja escolhido o endereo A.B.C.2 para o segmento vlido e o 10.0.0.2 para o segmento reservado. Este endereo vlido ser utilizado pelo firewall para converter todas as conexes com origem na rede interna e destino na Internet. Externamente, todas as conexes sero vistas como se partissem dele. Outro exemplo seria a de uma organizao que possua sadas para a Internet e trs classes de endereos vlidos, neste caso o administrador tem a possibilidade de distribuir a converso de endereos entre essas trs classes, obtendo muito mais flexibilidade na configurao. Com a converso de endereos funcionando, todas as mquinas internas conseguem acessar qualquer recurso da Internet transparentemente, como se elas prprias possussem endereos vlidos. Porm, no possvel para nenhuma mquina externa iniciar uma conexo para qualquer mquina interna (devido ao fato delas no possurem endereos vlidos). Para resolver este problema, o Aker Firewall possibilita a configurao de regras de converso 1-1, o que permite simular endereos vlidos para quaisquer endereos reservados. Voltando para o caso da nossa hipottica organizao, suponha que em sua rede exista um servidor WWW, com endereo 10.1.1.5, e que seja desejado que este servidor fornea informaes para a rede interna bem como para a Internet. Neste caso deve-se escolher um endereo vlido para que este possa ser utilizado pelos clientes externos para se conectarem a este servidor. Suponha que o endereo escolhido tenha sido o A.B.C.10. Deve-se ento acrescentar uma regra de converso 1-1, de modo a mapear o endereo A.B.C.10 para o endereo interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 sero automaticamente mapeados novamente pelo firewall para 10.1.1.5.

258

Os endereos vlidos escolhidos para realizar a converso de 1-1 no podem ser atribudos a nenhuma mquina real. Desta forma, em nosso exemplo possvel a configurao de at 253 servidores na sua rede interna passveis de serem acessados externamente (um dos 254 endereos vlidos j usado para que o firewall converta o trfego de todas as mquinas clientes). O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que os servidores virtuais sejam tratados pelas mquinas pertencentes rede vlida (por exemplo, o roteador externo), como se fossem mquinas reais. Exemplos de configuraes usando converso de endereos: Se ligando Internet com uma linha dedicada Equipamento: 1 roteador, 1 Aker Firewall, n clientes, 2 servidores na rede interna Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0 Endereo reservado: 10.x.x.x mscara da rede 255.0.0.0 Endereo dos servidores: 10.1.1.1, 10.2.1.1 Endereo dos clientes: 10.x.x.x Endereos do roteador: Rede vlida A.B.C.1 , Internet :x.x.x.x

Configurao do Aker Firewall: Endereos das placas: rede interna: 10.0.0.2, rede vlida A.B.C.2 IP virtual para a converso N-1: A.B.C.2 Rede privada: 10.0.0.0 Mscara da rede privada: 255.0.0.0 Regras de converso 1-1: A.B.C.10 - 10.1.1.1 A.B.C.30 - 10.2.1.1

Figura 199 - Exemplo 1 de configurao do Aker Firewall (interligando departamentos).

259

Desenho do Exemplo 1

Interligando departamentos

Neste exemplo, iremos mostrar como interligar departamentos de uma mesma empresa, utilizando um conversor de endereos entre estes departamentos. Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0 Endereo reservado: 10.x.x.x mscara da rede 255.255.0.0 Endereo reservado:172.16.x.x, mscara 255.255.0.0 Endereos da sub-rede 1: 10.1.x.x Endereo do servidor: 10.1.1.1 Endereo dos clientes: 10.1.x.x Endereos do roteador: Rede vlida A.B.C.1 , Internet: x.x.x.x Configurao do Aker Firewall: Rede interna: 10.1.0.1, Rede vlida A.B.C.2 IP virtual para a converso N-1: A.B.C.2 Rede privada: 10.0.0.0 Mscara da rede privada: 255.0.0.0 Endereos da sub-rede 2: Externamente: 10.1.0.2 Internamente:172.16.x.x Endereo do servidor: 172.16.1.1 Endereo dos clientes: 172.16.x.x Configurao do Aker Firewall: Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2 IP Virtual para converso N-1:10.1.0.2 Rede privada (2): 172.16.0.0 Mscara da rede privada: 255.255.0.0 Regras de converso 1-1: 10.2.1.1 - 172.16.1.1

260

Endereos da sub-rede 3: Externamente: 10.1.0.3 Internamente:172.16.x.x Endereo do servidor: 172.16.1.1 Endereo dos clientes: 172.16.x.x

Configurao do Aker Firewall: Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3 IP Virtual para converso N-1:10.1.0.3 Rede privada (3): 172.16.0.0 Mscara da rede privada: 255.255.0.0 Regras de converso 1-1: 10.3.1.1 - 172.16.1.1

Na tabela de roteamento para este tipo de instalao devemos inserir rotas para as sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x.

Figura 200 - Exemplo 2 de configurao do Aker Firewall (mltiplas ligaes com a Internet).

261

Desenho do Exemplo 2

Mltiplas ligaes com a Internet Neste exemplo bem mais complexo, mostraremos como utilizar trs ligaes com a Internet e duas redes internas, utilizando o conversor de endereos entre elas. Equipamento: 3 roteadores, 1 Aker Firewall, n clientes, 2 servidores na rede DMZ Endereos vlidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com mscara de rede 255.255.255.0 Endereo reservado para a rede interna: 10.x.x.x mscara da rede 255.0.0.0 Endereo reservado para a DMZ:172.16.x.x, mscara 255.255.0.0 Endereos dos roteadores: Rede vlida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.x Configurao do Aker Firewall: Endereos das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2, Placa 4: D.E.F.2, Placa 5: G.H.I.2 Redes privadas: 10.0.0.0 e 172.16.0.0 Mscara da redes privadas: 255.255.0.0 Servidores da DMZ Servidor Web - 10.0.0.10 Servidor SMTP - 10.0.0.25 Regras de converso de Endereos 1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para Internet 2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para Internet 3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0 4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet 5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet

262

Figura 201 - Exemplo 3 de configurao do Aker Firewall (montando regras de converso de endereos).

Desenho do Exemplo 3 Com o Aker Firewall possvel realizar um balanceamento dos links para realizar um aproveitamento mais otimizado dos links. O firewall possui mecanismos de verificao de ativao dos links, sendo possvel dividir o trfego de forma inteligente pelos links ou desviar totalmente o trfego daquele que estiver fora do ar. O administrador tambm poder atribuir pesos s suas conexes, ou seja, as conexes mais rpidas podero ter um peso maior do que as conexes mais lentas, desta forma o firewall dar preferncia em enviar o trfego para o link com maior peso. Montando regras de converso de endereos para o Aker Firewall Configurar as regras de converso de endereos no Aker Firewall algo fcil em funo de sua concepo inteligente. Toda a parte de endereos IP, mscaras, protocolos e portas so configurados nas entidades (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). Devido a isso, ao configurar uma regra, no necessrio se preocupar com qual porta um determinado servio utiliza ou qual o endereo IP de uma rede ou mquina. Tudo isso j foi previamente cadastrado. Para facilitar ainda mais, todos os servios mais utilizados na Internet j vem previamente configurado de fbrica, sendo desnecessrio perder tempo pesquisando os dados de cada um.

263

Basicamente, para cadastrar uma regra de converso, deve-se especificar as entidades de origem e destino, tipo de converso, interface virtual e servio (se for o caso). O funcionamento da converso simples: o firewall pesquisar uma a uma as regras definidas pelo administrador, na ordem especificada, at que o pacote se encaixe numa delas. A partir deste momento, ele executar o tipo de converso associado regra. Caso a pesquisa chegue ao final da lista e o pacote no se enquadre em nenhuma regra ento este no ser convertido.

Utilizando a Interface Remota Para ter acesso a janela de configurao da converso de endereos, deve-se:

Figura 202 - Janela de configurao da converso de endereos.

Clicar no menu Configurao do Firewall. Selecionar o item NAT.

264

A janela de configurao de converso de endereos (NAT)

Figura 203 Janela de configurao da converso de endereos (NAT).

A janela de converso de endereos contm todas as regras de converso definidas no Aker Firewall. Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma regra esteja selecionada, ela ser mostrada em uma cor diferente.

O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. Existe uma barra para incluso de comentrios relativo regra de converso. A opo Ativar NAT se estiver marcada, far com que o firewall passe a converter os endereos de acordo com as regras cadastradas. Caso ela esteja desmarcada, nenhum tipo de converso de endereos ser feita. A barra de rolagem do lado direito serve para visualizar as regras que no couberem na janela. Ao clicar sobre uma regra e selecion-la, se ela possuir um comentrio, este aparecer na parte inferior da janela. A posio da regra pode ser alterada clicando e arrastando com o mouse para a nova posio desejada. 265

A janela possui os seguintes campos: Origem: Neste campo especifica-se a lista de todas as entidades cujos endereos sero convertidos para o endereo da Entidade Virtual, descrita acima. A converso 1-1 ou converso de servios permitem que apenas uma entidade seja selecionada para este campo e esta entidade deve ser do tipo mquina. Caso esteja utilizando Converso 1-N ou Converso de Servios 1-N, ento cada mquina pertencente a esse campo ter um peso associado a ela, mostrado entre parnteses, direita do nome da entidade. Para alterar o peso de uma determinada mquina, ou seja, fazer com que ela receba mais conexes que as demais, deve-se clicar com o boto direito sobre o nome da entidade, na lista da direita, selecionar a opo Alterar peso e escolher o novo valor. O campo Entidade Origem deve sempre conter os endereos internos (reservados ou no vlidos) das mquinas participantes da converso, independentemente de seu tipo. Destino: Este campo serve para especificar as entidades para as quais a converso de endereos ser efetuada (no caso da converso N-1) ou as mquinas que acessaro as mquinas internas atravs do endereo contido no campo Entidade Virtual (para os demais tipos de converso). Ao criar vrias regras com valores distintos nesse campo, faz com que uma mesma mquina tenha seu endereo convertido em endereos distintos dependendo do destino da comunicao. O valor mais comum para esse campo a especificao da entidade Internet como destino. Isso far com que a converso de endereos selecionada na regra seja efetuada para todas as mquinas externas. Opes: Tipo de nat que ser utilizado. Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os endereos internos sero convertidos ou para o qual as requisies externas devem ser direcionadas. A entidade virtual dever sempre ser uma entidade do tipo mquina. Servios: Este campo define quais os servios que faro parte da regra, quando for utilizado o tipo de converso de Servios, N-1 servios ou 1-N com Servios. A janela ficar desabilitada para os demais tipos de converso. Servio Virtual: Servio que sofrer a converso, somente utilizado em Nat de porta. Balanceamento de link: Este campo permite habilitar ou desabilitar o balanceamento de link. As configuraes do balanceamento devem ter sido realizadas quando for selecionada esta opo.

266

Comentrio: Reservado para colocar uma descrio sobre a regra. Muito til na documentao e manuteno das informaes sobre sua utilidade. A janela de configurao de Balanceamento de Link

Figura 204 - Janela de configurao de balanceamento de link.

O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.

Esta aba possui os seguintes campos: Nome: Neste campo dever ser informado um nome para representar o link de acesso Internet. Tipo: Este campo informa qual o tipo da configurao e pode assumir dentre dois valores possveis, "esttico" ou "dinmico". Quando o link for esttico obrigatrio cadastrar uma entidade de rede e uma entidade de mquina (gateway) sendo, neste, caso no permitido o cadastro de entidade de interface de rede. Quando o link for dinmico, a situao se inverte,

267

sendo o usurio obrigado a cadastrar uma entidade do tipo interface, sendo que o cadastro de entidades do tipo rede e mquina (gateway) no so permitidos. Rede: Cadastre a rede que a operadora forneceu; Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall far uma crtica para verificar se o gateway realmente pertence rede da operadora); Interface: Esse campo utilizado para o cadastro da entidade do tipo interface de rede, a qual ir representar o link dinmico. Peso: Indica um valor a ser atribudo ao link. Quando os pesos so maiores pressupe que os links sejam mais rpidos. Checa host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza que esteja logo a seguir do roteador da operadora, de preferncia dentro de um ou dois saltos de seu roteador. Esta entidade ser utilizada pelo firewall para determinar se o link est no ar ou no. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores prximos. Checa host 2 e Checa host 3: Entidades de verificao tambm utilizadas pelo firewall. No obrigatrio que estejam cadastradas as trs entidades de verificao, contudo, quanto mais entidades cadastradas melhor para o sistema de verificao do firewall. Para executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que o boto direito for pressionado, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas).

268

Figura 205 - Janela de configurao para adicionar entidades.

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Excluir: Remover da lista a regra selecionada. Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela permanecer cadastrada, mas o Firewall se comportar como se a mesma no existisse (no caso do Disable) e prosseguir a pesquisa na regra seguinte. Adicionar entidades: No ponto em que for feito o clique do mouse, ser possvel inserir a entidade no campo correspondente da regra de converso. Apenas certo nmero de entidades poder ser visualizado. Para escolher outra entidade faa a rolagem da janela na barra correspondente.

Dica: O mtodo mais prtico para o administrador montar sua regra de converso ser arrastando diretamente as entidades para dentro da regra. Dica 2: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma caixa pontilhada. 269

No caso de incluso ou edio de regras, ser mostrada a janela de propriedades, descrita na seo abaixo:

A janela de incluso de regras de NAT

Figura 206 - Janela de incluso de regras de NAT.

Tipos de NAT: Neste campo definido o tipo de converso que a regra realizar. Ela possui as seguintes opes:

Sem Converso: Esta opo indica ao firewall que no deve haver converso de endereos quando qualquer uma das mquinas pertencentes s Entidades Origem for acessar qualquer uma das mquinas pertencentes s Entidades Destino e vice-versa. Converso 1-1: Esta opo indica ao firewall que quando a mquina listada nas Entidades Origem for acessar qualquer uma das mquinas pertencentes s Entidades Destino ela ter seu endereo convertido para o endereo da Entidade Virtual. Todas as vezes que uma mquina pertencente s Entidades Destino acessar o endereo da Entidade Virtual, esse ltimo ser automaticamente convertido para o endereo real, definido pela entidade presente nas Entidades Origem. Este tipo de converso til para possibilitar o acesso externo a servidores internos.

270

Nas Entidades Origem deve-se colocar uma entidade com o endereo real (interno, reservado) da mquina para a qual se far converso de 1-1. Na Entidade Virtual deve-se colocar uma entidade com o endereo para o qual o endereo interno ser convertido (endereo vlido) e que ser acessado pelas mquinas externas.

Converso N-1: Esta opo indica ao firewall que quando qualquer mquina listada nas Entidades Origem for acessar qualquer uma das mquinas pertencentes s Entidades Destino ela ter seu endereo convertido para o endereo da Entidade Virtual. Este tipo de converso til para possibilitar que um grande nmero de mquinas utilize apenas um endereo IP vlido para se comunicar atravs da Internet, entretanto ela no permite com que mquinas externas (listadas nas Entidades Destino) iniciem qualquer comunicao com as mquinas internas (listadas nas Entidades Origem).

Quando o mdulo de Cluster Cooperativo estiver funcionado na converso de N1, o IP da entidade virtual no pode ser nenhum dos atribudos s interfaces do firewall.

Converso de Servios: Esta opo til para redes que dispem de apenas um endereo IP e necessitam disponibilizar servios para Internet. Ela possibilita que determinados servios, ao serem acessados no firewall, sejam redirecionados para mquinas internas.

No campo Entidades Origem, deve-se colocar o endereo IP interno (real) da mquina para a qual os servios sero redirecionados. No campo Entidades Destino, deve-se colocar as mquinas que iro acessar os servios externamente. No campo Servios, deve-se escolher todos os servios que sero redirecionados para a mquina presente em Entidades Origem quando uma mquina presente nas Entidades Destino acess-los no endereo IP da Entidade Virtual. Quando o mdulo de Cluster Cooperativo estiver funcionado no possvel converso de servios.

Converso 1-N: Esta opo utilizada para fazer balanceamento de carga, ou seja, possibilitar que vrias mquinas respondam como se fossem uma nica. No campo Entidades Origem deve-se colocar a lista de mquinas que faro parte do balanceamento e que passaro a responder como se fossem uma nica. No campo Entidades Destino, deve colocar as mquinas que iro acessar as mquinas internas pelo endereo especificado na entidade presente no campo Entidade Virtual.

271

Figura 207 - Janela de configurao para aes que deseja ser realizada.

Converso 1:N para servios: Esta opo utilizada para fazer balanceamento de carga para determinados servios, ou seja, possibilitar que vrias mquinas respondam a requisies destes servios como se fosse uma nica. Porta: Para efetuar converses no somente de endereos ip, mas tambm de portas para conexo, utiliza-se este tipo de nat, que tambm conhecido com PAT (port address translation). 1:N para Porta: Faz balanceamento de servidores efetuando converses no somente de endereos ip, mas tambm as portas de conexo, sendo que aps a converso os acessos so distribudos entre os servidores que fazem parte do balanceamento. Converso N:N: Esta opo indica ao firewall que os endereos pertencentes rede listada nas Entidades Origem, ao acessar qualquer uma das mquinas pertencentes s Entidades Destino, sero convertidos para os endereos da rede no campo Entidade Virtual, ou seja, nesta converso deve-se usar uma entidade de rede na coluna origem e uma entidade de rede na coluna entidade virtual. O campo destino pode ser preenchido da mesma maneira como feito para os demais tipos de NAT. Alm disso, as mscaras de rede da entidade de origem e da entidade virtual precisam ser iguais para que o NAT funcione. Por exemplo: IP Origem Entidade virtual 192.168.0.0 172.16.0.0 Mscara de rede 255.255.255.0 255.255.255.0

Figura 208 - Mscaras de rede da entidade de origem e virtual devem ser iguais.

272

Nesse caso, todos os IPs da rede 192 sero convertidos para a 172.

A opo Avanado, que somente estar habilitado quando selecionar a converso de endereos 1-N ou Converso de servios 1-N, permite configurar os parmetros do monitoramento que ser realizado pelo firewall a fim de detectar se as mquinas participantes do balanceamento esto no ar ou no e como o balanceamento ser realizado. Ao clicar neste boto, a seguinte janela ser mostrada:

Figura 209 - Configurao dos parmetros de monitoramento a ser realizado pelo firewall.

O campo Tipo de monitoramento, permite definir o mtodo utilizado pelo firewall para verificar se as mquinas participantes do balanceamento (mquinas definidas no campo Entidades Origem) esto no ar. Ela consiste das seguintes opes: Sem monitoramento: Se essa opo for selecionada, o firewall no monitorar as mquinas e assumir que elas esto sempre ativas. Pacotes Ping: Se essa opo for selecionada, o firewall monitorar as mquinas atravs de pacotes ICMP de Echo Request e Echo Reply (que tambm so utilizados pelo comando PING, da o nome dessa opo). Pedidos HTTP: Se essa opo for selecionada, o firewall monitorar as mquinas atravs de requisies HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo http://) que o firewall tentar acessar em cada mquina para verificar se ela est ativa ou no. Algoritmo de balanceamento de carga: Esse campo permite definir o mtodo utilizado para balancear as requisies entre as mquinas presentes no campo Entidades Origem. Ele consiste das seguintes opes: 273

Round - Robin: Quando selecionada essa opo, o firewall distribuir sequencialmente as requisies para as mquinas participantes do balanceamento, uma a uma. Caso as mquinas tenham pesos diferentes, primeiro ser distribuda uma conexo para cada mquina, a seguir uma conexo para cada mquina que recebeu um nmero de conexes menor que seu peso e assim sucessivamente. Quando todas as mquinas receberem o nmero de conexes equivalente a seu peso, o algoritmo se inicia. Aleatrio: Quando selecionada essa opo, o firewall distribuir as conexes de forma randmica entre as mquinas, ou seja, a probabilidade de uma conexo ser redirecionada para uma determinada mquina igual razo entre seu peso e o peso total de todas as mquinas. Persistncia entre conexes: Esse campo permite definir o tempo de persistncia da sesso em protocolos ou aplicativos que utilizem mais de uma conexo em tempos diferentes, ou seja, o tempo mximo de espera por uma nova conexo aps o trmino da primeira. Neste intervalo de tempo as novas conexes sero direcionadas pelo firewall ao mesmo servidor. Observaes sobre a montagem das regras altamente recomendvel que as regras de converso sejam colocadas na seguinte ordem: 1. 2. 3. 4. 5. 6. 7. Regras de No Converso; Regras de Converso de Servios; Regras de Converso 1-1 e de N-N; Regras de Converso de Servios 1-N; Regras de Converso 1-N; Regras de Converso N-1; Regras de Converso N-N.

necessria a incluso de uma regra de No Converso com origem nas redes internas e destino nas prprias redes internas caso se pretenda administrar o firewall por uma mquina interna que participar de qualquer tipo de converso. Essa regra dever estar antes das demais regras de converso.

Exemplos - Cenrio 1 - Converso de Endereos Suponha que uma empresa possua as mquinas e servios abaixo e deseja implementar a converso de endereos. A empresa possui uma conexo dedicada com Internet e seu provedor distribuiu uma faixa de endereos IP vlidos na Internet de 200.120.210.0 at 200.120.210.63. Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em no traduo. Esta regra possibilita que caso alguma mquina interna da rede for administrar o firewall o seu endereo no convertido e a administrao seja 274

possvel. Estaria tambm correto em especificar as mquinas que so administradoras (Entidade Origem) e a interface por onde iremos administrar o firewall (Entidade de Destino) com a opo de "Sem traduo". Na regra 2 o servidor servidor web far uma converso de 1:1 para o endereo 200.120.210.15, ou seja, caso algum da Internet procure pelo IP 200.120.210.15 ser enviado para o servidor web (IP 10.20.0.50). Do mesmo modo caso o servidor web origine uma conexo para Internet o seu IP ser 200.120.210.15. A regra 3 idntica regra 2, o servidor 01 far converso de 1:1 para o endereo 200.120.210.25. A regra 4 o exemplo de balanceamento de carga. Algum da Internet procurando pela mquina 200.120.210.20 ser enviado para o NT3, NT2 ou NT1. Isto depender do clculo a ser realizado pelo firewall. No caso abaixo os pesos so diferentes, portanto a mquina NT3 que possui o peso 4 a que receber a maior quantidade de conexes. Caso as mquinas NT tenham de originar conexes para Internet, elas tambm tero seus endereos convertidos para 200.120.210.20. A regra 5 de converso de N:1, ou seja qualquer mquina da Rede_Interna (10.20.0.0 com mscara 255.255.255.0) ter o seu endereo convertido para 200.120.210.16 quando as mesmas originarem conexo para Internet. No entanto a recproca no verdadeira, caso algum da Internet venha procurando conexo para o IP 200.120.210.16 o firewall no enviar para nenhuma mquina da rede interna e ir descartar os pacotes para esta conexo, pois o mesmo no sabe para qual mquina enviar a requisio. Cabe ressaltar que a ordem das regras de extrema importncia. Vamos supor que a regra 2 seja movida para a ltima posio. Neste caso algum que viesse procurando pela mquina 200.120.210.15 seria enviado para o sevidor web, entretanto quando o sevidor web fosse originar uma conexo para Internet o mesmo teria seu endereo convertido para 200.120.210.16, pois a regra da antiga posio 5 que iria atender primeira a converso.

275

Figura 210 - Exemplo 1, converso de endereos.

Exemplos - Cenrio 2 - Converso de Servios Suponha agora que a empresa no possua uma faixa de endereos IP da Internet e sim um nico IP vlido. Neste caso conveniente fazer a converso de servios. Com este tipo de configurao poder ser feito um aproveitamento deste nico IP para diversos tipos de servios. No caso o IP o 200.120.210.15. A regra 1, foi colocada pelos mesmos motivos citados no cenrio anterior. Na regra 2, algum da Internet esteja procurando pela mquina 200.120.210.15 e na porta do servidor FTP (21/TCP). Neste caso o firewall ir enviar a conexo para a mquina server1. Na regra 3, algum da Internet est procurando pela mesma mquina 200.120.210.15, porm na porta do SMTP (25/TCP). O firewall ir mandar esta conexo para o endereo da entidade Correio_SMTP. J a regra 4 possibilita que o servidor web da empresa seja acessado pela porta HTTP (80/TCP). A regra 5 um exemplo do balanceamento de carga utilizando uma porta de servio. Neste caso algum da Internet est procurando acesso ao IP 276

200.120.210.15 para o servio web seguro (443/TCP), sendo que h trs servidores para atender a requisio, no caso NT1, NT2 e NT3. Os princpios para atender estas conexes so os mesmos j explicados no cenrio anterior. Finalizando, a regra 6 permite que qualquer outra mquina origine conexo para Internet, no caso sendo visualizado o IP 200.120.210.15 no destino. Apesar de ser possvel utilizar a converso de servios no caso do cenrio 1, a Aker recomenda que esta configurao seja utilizada no caso da empresa possuir somente um nico endereo IP vlido para Internet.

Figura 211 - Exemplo 2, converso de servios.

Exemplos - Cenrio 3 - Balanceamento de Link Neste cenrio ser descrito como realizar o balanceamento de links. Suponha que a empresa possua dois prestadores de conexo IP para Internet, por exemplo, Embratel e Intelig. No caso cada operadora forneceu sua faixa de endereo IP para a empresa. Primeira Fase - Montagem do Balanceamento O administrador do firewall ento ir realizar o cadastramento e informar as seguintes entidades e campos: 277

Nome: Informe um nome para representar o link de acesso Internet; Tipo: Este campo informa qual o tipo da configurao e pode assumir dentre dois valores possveis, "esttico" ou "dinmico"; Rede: Cadastre a rede que a operadora forneceu; Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall far uma crtica para verificar se o gateway realmente pertence rede da operadora); Interface: Esse campo utilizado para o cadastro da entidade do tipo interface de rede, a qual ir representar o link dinmico; Peso: Um valor a ser atribudo ao link. Quando os pesos so maiores pressupe que links sejam mais rpidos. Verificar mquina1: Cadastre uma entidade que tenha certeza que esteja logo a seguir do roteador da operadora, de preferncia dentro de um ou dois saltos de seu roteador. Esta entidade ser utilizada pelo firewall para determinar se o link est no ar ou no. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores prximos. Verificar mquina2 e Verificar mquina3: Entidades de verificao tambm utilizadas pelo firewall. No mandatrio que estejam cadastrados as trs entidades de verificao, contudo quanto mais entidades cadastradas, melhor para o sistema de verificao do firewall.

Figura 212 - Balanceamento de link (primeira fase).

Segunda Fase - Montagem das Regras de NAT A segunda fase da montagem bem simples, bastando colocar em cada regra de converso duas ou mais entidades virtuais, uma com endereo de cada prestador de servio. 278

No se esquea de habilitar na coluna Balanceamento de links o cone correspondente para que o servio possa ser realizado pelo firewall. Cabe ressaltar que o firewall tambm realizar uma crtica para determinar se realmente a Entidade Virtual pertence a um link previamente cadastrado. Uma limitao desta implementao quanto origem da conexo pela Internet. Os DNS devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O problema est quando um link de determinada operadora cai, o firewall no tem como desviar as conexes que so originadas pela Internet. Para contornar este problema o administrador poderia utilizar de scripts para remover do DNS o IP da operadora que esteja fora do ar, pois o firewall passa para o log de eventos desta informao.

Figura 213 - Montagem das regras do NAT (Segunda fase).

279

8.2. Utilizando a Interface Texto

A Interface Texto de configurao da converso de endereos relativamente simples e tem as mesmas capacidades da Interface Remota, exceto pelo fato de no ser possvel configurar os parmetros de monitoramento (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Localizao do programa: /aker/bin/firewall/fwnat Sintaxe: Firewall Aker fwnat - Configura regras de converso de endereos (NAT) Uso: fwnat [ajuda | mostra | ativa | desativa] fwnat [habilita | desabilita | remove] <pos> fwnat inclui <pos> 1-1 <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] fwnat inclui <pos> n-1 <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] fwnat inclui <pos> servios <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] <servico1>...<servico2> fwnat inclui <pos> portas <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] <servico> <servico virtual> fwnat inclui <pos> sem_conversao <origem> <destino> fwnat inclui <pos> 1-n <origem1>...<origem2> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] <round-robin | randomico> <persist> nenhum | ping | HTTP <URL>> fwnat inclui <pos> n-n <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...] Ajuda do programa: desativa = desativa converso de endereos mostra = mostra todas as regras da tabela de converso inclui = inclui uma nova regra de converso habilita = habilita uma regra de converso desabilitada desabilita = desabilita uma regra de converso existente remove = remove uma regra de converso existente ajuda = mostra esta mensagem Para inclui temos: pos = posio onde incluir a nova regra na tabela (Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) sem_converso = no realiza converso entre a origem e o destino

280

1-1

= realiza converso de servidores. Neste caso a origem deve ser obrigatoriamente uma entidade do tipo mquina

n-1= realiza converso de clientes servios = realiza converso apenas para os servios citados. Neste caso a origem deve ser obrigatoriamente uma entidade do tipo mquina portas = realiza converso apenas para o servio citado. Neste caso a origem deve ser obrigatoriamente uma entidade do tipo mquina. Alm disso, o servio visvel externamente ser o <servio virtual>

1-n = realiza balanceamento de carga, ou seja, possibilita que as vrias mquinas origem sejam acessadas pelo endereo IP configurado na entidade virtual, como se fossem uma s mquina n-n = Esta converso permite que todos os endereos de uma rede sejam convertidos para os endereos de uma rede virtual automaticamente. servio 1 = lista de nomes dos servios para a nova regra. So aceitos apenas servios dos protocolos TCP ou UDP Para habilita / desabilita / remove temos: : pos = nmero da regra a ser habilitada, desabilitada ou removida da tabela Para converso 1-n temos: round-robin = Utiliza algoritmo round-robin para o balanceamento das conexes randmico = Utiliza algoritmo randmico para o balanceamento das conexes persist = Tempo de persistncia (mins) de servidor destino para conexes originadas do mesmo cliente nenhum = No monitora as mquinas origem, isto , considera que elas esto sempre ativas ping = Monitora as mquinas origem atravs de pings HTTP = Monitora as mquinas origem atravs de conexes HTTP URL = Especifica qual a URL deve utilizada para monitorar as mquinas, no caso de se utilizar monitoramento HTTP.

Exemplo 1: (Mostrando a configurao) #/aker/bin/firewall/fwnat mostra 281

Parmetros Globais: ------------------Converso de endereos: Ativada Regras de Converso: -------------------Regra 01 -------Tipo: sem_conversao Origem: Rede Interna Destino: Rede Interna

Regra 02 -------Tipo: servios Origem: Server Destino: Internet Entidade virtual: Firewall - interface externa Servios: MYSQL POP3 SMTP Regra 03 -------Tipo: 1-1 Origem: Web Server_001 Destino: Internet Entidade virtual: External Web server

Regra 04 -------Tipo: n-n Origem: rede1 Destino: internet Entidade Virtual: rede2

Regra 05 -------Tipo: 1-n Origem: server1, server2, server3 Destino: Internet 282

Entidade virtual: Virtual Server Balanceamento: randmico Monitoramento: http URL: www.aker.com.br

Regra 06 -------Tipo: n-1 Origem: Rede Interna Destino: Internet Entidade virtual: Firewall - interface externa. Exemplo 2: (Incluindo uma regra de converso 1-1 no final da tabela. Mapeando o servidor SMTP Server, com endereo reservado para o External Server, com endereo vlido para todas as mquinas da Internet). #/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server Regra includa na posio 6

Exemplo 3: (Incluindo uma regra de converso n-n na posio 5). #/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2. Regra includa na posio 5.

Exemplo 4: (Incluindo uma regra de converso de servios no incio da tabela). #/aker/bin/firewall/fwnat inclui 1 Servios "Server 2" Internet "External Server 2" Telnet FTP Regra includa na posio 1

Exemplo 5: (Removendo a regra 3). #/aker/bin/firewall/fwnat remove 3 Regra 5 removida

Exemplo 6: (Incluindo uma regra de converso 1-N, balanceamento, mapeando os servidores srv01 e srv02 em uma mquina externa chamada de srv_externo, para todas as mquinas da Internet, e monitorando via ping).

283

#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin ping Regra includa na posio 4

8.3. Utilizando o Assistente de Configurao NAT O assistente de configurao NAT pode ser acionado tanto pela barra de ferramentas como pelo menu. As janelas abaixo iro solicitar diversas informaes de modo que a converso seja configurada. 1 - A janela inicial informa sobre o que o NAT. Clique no boto Prximo para continuar com a configurao.

Figura 214 - Mensagem de boas vindas ao Assistente de configurao de NAT.

284

2 - Informe s redes que necessitaro acessar a Internet.

Figura 215 - Seleo das redes que tem a necessidade de acessar Internet compartilhando um endereo IP.

285

3 - Escolha o IP da Mquina virtual para realizar a converso N-1.

Figura 216 - Seleo do IP da mquina virtual para realizar a converso de N-1.

286

4 - Escolha a opo Sim caso queira configurar os servidores que devem aparecer para Internet.

Figura 217 - Mensagem se deseja configurar os servidores acessveis externamente.

287

5 - Escolha a entidade para aparecer para a Internet.

Figura 218 - Escolha da entidade que deseja tornar acessvel na internet.

288

6 - Escolha o IP da Mquina virtual o qual o servidor ser mostrado para Internet.

Figura 219 - Escolha do endereo IP utilizados por mquinas externas a ser utilizado no servidor.

289

7 - Esta tela ir permitir que mais servidores sejam configurados.

Figura 220 - Escolha para configurar mais servidores.

290

8 - Tela de finalizao do Assistente e as regras que foram criadas pelo mesmo.

Figura 221 - Finalizao do assistente de regras.

291

Criando canais de criptografia

292

9.

Criando canais de criptografia


Este captulo mostra como configurar as regras que propiciaro a criao de canais seguros de comunicao na Internet. Estes canais seguros so usados para interligar instituies pela Internet de forma a permitir que os dados fluam entre elas sem o risco de serem lidos ou alterados por estranhos.

9.1. Nat Transversal

Network Address Translation (NAT) a traduo do endereo IP. Esta traduo pode ocorrer por muitos motivos, mas principalmente para que estaes utilizando endereamento privado (RFC 1918) acessem Internet. Dessa forma, se a estao 10.10.10.1 necessita acessar um servidor na internet, ento ser necessrio traduzir o endereo 10.10.10.1 para um endereo publicamente conhecido. Como os principais protocolos de transporte (no caso, TCP e UDP) utilizam o conceito de multiplexao atravs de portas de origem e destino, ento podemos utilizar somente um endereo IP pblico para traduzir vrios endereos privados (NAT masquerade ou NAT Hide), utilizando portas diferentes e armazenando todas estas informaes em uma tabela de conexes. Entretanto, o protocolo ESP (utilizado no IPSEC) no utiliza o mesmo conceito de portas utilizado nos protocolos TCP e UDP e, portanto, no possvel fazer a traduo de endereo e utilizar a informao de portas de origem e destino como forma de multiplexao das conexes. Para que uma conexo VPN funcione quando existe um equipamento fazendo NAT (Hide ou muitos-para-um) entre os pontos que esto estabelecendo a VPN necessrio que haja um mecanismo para garantir que os pacotes sero traduzidos adequadamente, desde a origem at o destino final. Este mecanismo chamado de NAT Transversal. De uma forma bem simples, o NAT Transversal primeiramente verifica se os dois equipamentos que esto estabelecendo a conexo possuem suporte para NAT Transversal, em seguida os dois equipamentos devem detectar se existe ou no a traduo de endereos. Por fim, deve-se negociar os parmetros do protocolo (portas utilizadas para encapsulamento, utilizao de cookies, etc) e em seguida iniciar a transmisso de dados utilizando pacotes encapsulados. Todo este processo esta descrito no RFC 3947 - Negotiation of NAT-Traversal in the IKE. Este recurso pode ser utilizado com conexes VPN do tipo gateway-to-gateway ou client-to-gateway e deve ser verificado na documentao do equipamento se o mesmo suporta NAT Transversal ou UDP Encapsulation (expresso tambm utilizada por alguns fabricantes).

293

O Aker Firewall realizar a deteco automtica da necessidade de utilizar o NAT Transversal para o estabelecimento do tnel. Para desativar o uso do NAT Transversal no Aker Firewall necessrio iniciar o daemon "fwiked" com a opo -T, ficando: "aker/bin/firewall/fwiked-T".

9.2. Planejando a instalao.

O que e para que serve um canal seguro de dados? A Internet uma rede mundial composta de milhares de mquinas espalhadas por todo o mundo. Quando duas mquinas quaisquer esto se comunicando, todo o trfego entre elas passa por diversas outras mquinas (roteadores, switches, etc) desde sua origem at seu destino. Na quase totalidade das vezes, a administrao destas mquinas intermedirias feita por terceiros e nada se pode afirmar quanto a sua honestidade (na maioria das vezes, no nem possvel saber antecipadamente por quais mquinas os pacotes passaro at atingir seu destino). Qualquer uma destas mquinas que estiver no caminho dos pacotes pode visualizar seu contedo e/ou alterar qualquer um destes. Isto um problema srio e sua importncia aumentada ainda mais quando existe a necessidade de transmitir dados confidenciais e de grande impacto. Para resolver este problema, pode-se usar um canal seguro de dados. Um canal seguro de dados pode ser visto como se fosse um tnel. De um lado so colocadas as informaes que s podero ser lidas novamente aps sarem do outro lado. Na prtica, o que feito dar um tratamento especial aos dados a serem transmitidos de modo que estes no possam ser alterados durante seu caminho (autenticao), nem visualizados (criptografia). A combinao das duas tcnicas produz dados invisveis e imutveis para qualquer mquina que se encontre no caminho dos pacotes, da origem ao destino. O que criptografia? Criptografia a combinao de uma chave com um algoritmo matemtico baseado em uma funo unidirecional. Este algoritmo aplicado aos dados, juntamente com a chave, de modo a torn-los indecifrveis para qualquer um que os veja. O modo que isso feito garante que somente possvel obter os dados originais caso possua o algoritmo e a chave usados inicialmente. Ao manter um destes dois componentes secretos (no caso, a chave), torna impossvel a visualizao dos dados por terceiros. 294

O que autenticao? Autenticao tambm a combinao de uma chave com um algoritmo matemtico baseado em uma funo unidirecional. A diferena em relao criptografia que este algoritmo, quando aplicado sobre os dados, no produz dados indecifrveis, mas sim uma assinatura digital para estes. Essa assinatura gerada de tal forma que qualquer pessoa que desconhea o algoritmo ou a chave utilizado para ger-la seja incapaz de calcul-la. Quando a assinatura digital gerada, ela passa a ser transmitida para o destino junto com os dados. Caso estes tenham sofrido quaisquer alteraes no caminho, o recipiente quando calcular a assinatura digital dos dados recebidos e compar-la com a assinatura recebida ir perceber que as duas so diferentes e concluir que os dados foram alterados. A autenticao uma operao bastante rpida quando comparada com a criptografia, porm ela sozinha no consegue impedir que os dados sejam lidos. Ela deve ser usada apenas nos casos onde necessita confiabilidade dos dados, mas no sigilo. Caso necessite de ambos, usa-se autenticao em conjunto com a criptografia.

O que certificao digital? Atravs do processo de autenticao descrito acima possvel garantir a origem das mensagens em uma comunicao entre duas partes. Entretanto, para que isso seja possvel necessrio que as entidades que esto se comunicando j tenham previamente trocado informaes atravs de algum meio fora do trfego normal dos dados. Esta troca de informaes normalmente consiste no algoritmo a ser utilizado para a autenticao e sua chave. O problema surge quando necessrio assegurar a origem das mensagens de uma entidade com a qual nunca existiu comunicao prvia. A nica forma de resolver este problema delegar a uma terceira entidade o poder de realizar estas autenticaes (ou em termos mais tcnicos, realizar a certificao da origem de uma mensagem). Esta terceira entidade chamada de Entidade Certificadora e para que seja possvel ela assegurar a origem de uma mensagem, ela j deve ter realizado uma troca de informaes com a entidade que est sendo certificada.

O que um certificado digital? Certificado digital um documento fornecido pela Entidade Certificadora para cada uma das entidades que ir realizar uma comunicao, de forma a garantir sua autenticidade.

295

Tipos de algoritmos de autenticao e criptografia Atualmente existem inmeros algoritmos de autenticao e criptografia. Neste tpico sero mostrados apenas os algoritmos suportados pelo Aker Firewall. Cabe comentar que um dos parmetros para medir a resistncia de um algoritmo o tamanho de suas chaves. Quanto maior o nmero de bits das chaves, maior o nmero de possveis combinaes e, teoricamente, maior a resistncia do algoritmo contra ataques. Algoritmos de autenticao:

MD5 MD5 a abreviatura de Message-Digest 5. Ele um algoritmo criado e patenteado pela RSA Data Security, Inc, porm com uso liberado para quaisquer aplicaes. Ele usado para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e considerado um algoritmo bastante rpido e seguro.

SHA SHA a abreviatura de Secure Hash Algorithm. Ele um algoritmo que gera assinaturas digitais de 160 bits para mensagens de qualquer tamanho. Ele considerado mais seguro que o MD5, porm tem uma performance em mdia 50% inferior (na implementao do Aker Firewall). A verso implementada pelo Aker Firewall o SHA-1, uma reviso no algoritmo inicial para corrigir uma pequena falha. Entretanto ele ser chamado sempre de SHA, tanto neste manual quanto nas interfaces de administrao.

Algoritmos de criptografia simtricos: Os algoritmos de criptografia simtricos so utilizados para encriptar fluxos de informaes. Eles possuem uma nica chave que utilizada tanto para encriptar quanto para desencriptar os dados.

DES O algoritmo DES um anagrama para Data Encription Standard, foi criado pela IBM na dcada de 70 e foi adotado pelo governo americano como padro at recentemente. Ele um algoritmo bastante rpido em implementaes de hardware, porm no to rpido quando implementado em software. Suas chaves de criptografia possuem tamanho fixo de 56 bits, nmero considerado pequeno para os padres atuais. Devido a isso, deve-se dar preferncia a outros algoritmos em caso de aplicaes crticas.

296

Triplo DES ou 3DES Este algoritmo consiste na aplicao do algoritmo DES trs vezes, usando trs chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de 112 bits, o que representa uma segurana extremamente maior do que a oferecida pelo DES. O problema deste algoritmo que ele duas vezes mais lento que o DES (na implementao utilizada no Aker Firewall).

AES O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o j inseguro e ineficiente DES. AES um anagrama para Advanced Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rpido que o DES ou mesmo o 3DES. O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante um nvel altssimo de segurana. Ele a escolha recomendada.

Blowfish O algoritmo Blowfish foi criado como uma possvel substituio ao DES. Ele um algoritmo extremamente rpido (quando comparado com outros algoritmos de criptografia), bastante seguro e pode trabalhar com vrios tamanhos de chaves, de 40 a 438 bits. O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que garante um nvel altssimo de segurana.

Algoritmos de criptografia assimtricos: Os algoritmos de criptografia assimtricos possuem um par de chaves associadas, uma para encriptar e outra para desencriptar os dados. Eles so bastante lentos se comparados aos algoritmos simtricos e, devido a isso, normalmente so utilizados apenas para realizar assinaturas digitais e no estabelecimento de chaves de sesso que sero usadas em algoritmos simtricos.

RSA O RSA um algoritmo baseado em aritmtica modular capaz de trabalhar com chaves de qualquer tamanho, porm valores inferiores a 512 bits so considerados muito frgeis. Ele pode ser utilizado para encriptar e desencriptar dados, porm, devido a sua grande lentido se comparado aos algoritmos simtricos, seu principal uso em assinaturas digitais e no estabelecimento de chaves de sesso.

297

Diffie-Hellman O algoritmo Diffie-Hellman na verdade no pode ser encarado como algoritmo de criptografia, uma vez que no serve para encriptar dados ou realizar assinaturas digitais. Sua nica funo possibilitar a troca de chaves de sesso, feita de forma a impedir que escutas passivas no meio de comunicao consigam obtlas. Ele tambm baseado em aritmtica modular e pode trabalhar com chaves de qualquer tamanho, porm chaves menores que 512 so consideradas muito frgeis.

Algoritmos de trocas de chaves Um problema bsico que ocorre quando se configura um canal seguro como configurar as chaves de autenticao e criptografia e como realizar trocas peridicas destas chaves. importante realizar trocas peridicas de chaves para diminuir a possibilidade de quebra das mesmas por um atacante e para diminuir os danos causados caso ele consiga decifrar uma das chaves. Suponha que um atacante consiga em seis meses quebrar as chaves usadas por um algoritmo de criptografia (este tempo totalmente hipottico, no tendo nenhuma relao com situaes reais). Se uma empresa usar as mesmas chaves, por exemplo, durante 1 ano, ento um atacante conseguir decifrar todo o trfego nos ltimos 6 meses desta empresa. Em contrapartida, se as chaves forem trocadas diariamente, este mesmo atacante, aps 6 meses, conseguir decifrar o trfego do primeiro dia e ter mais 6 meses de trabalho para decifrar o trfego do segundo dia e assim por diante. O Aker Firewall possui quatro mtodos para trocas de chaves: IPSEC-IKE, AKERCDP, SKIP e manual:

Troca de chaves via IPSEC-IKE Esta opo estar disponvel apenas quando utilizar o conjunto completo de protocolos IPSEC. O IPSEC (IP Security) um conjunto de protocolos padronizados (RFC 2401RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferncia segura de informaes atravs de rede IP pblica ou privada. Uma conexo via IPSec envolve sempre 3 etapas: 1. Negociao do nvel de segurana; 2. Autenticao e Integridade; 3. Confidencialidade. Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos: AH - Authentication Header ESP - Encapsulation Security Payload IKE - Internet Key Exchange Protocol 298

Recomenda-se fortemente o uso desta opo na hora de configurar os canais seguros.

Troca de chaves via Aker-CDP O Aker-CDP um protocolo desenvolvido pela Aker Security Solutions que possibilita a configurao totalmente automtica de todos os parmetros de um canal seguro. Ele utiliza o protocolo SKIP como base (o que significa que ele oferece todas as facilidades de trocas de chaves apresentadas anteriormente), porm possui a grande vantagem de no necessitar de uma configurao manual dos segredos compartilhados, tudo feito automaticamente. Para assegurar o mximo de segurana, toda a troca de chaves feita por meio de certificados digitais assinados pela prpria Aker ou por outras entidades certificadoras autorizadas. Nestes certificados so utilizados os protocolos DiffieHellman e RSA, ambos com 1024 bits. Os algoritmos a serem utilizados na criptografia e autenticao podem ser especificados, da mesma forma que no protocolo SKIP, ou deixados em modo automtico, o que far que os dois firewalls comunicantes negociem o algoritmo mais seguro suportado por ambos.

Troca de chaves via SKIP SKIP um anagrama para Simple Key Management for IP. Ele basicamente um algoritmo que permite que as trocas de chaves sejam realizadas de forma automtica e com uma frequncia extremamente elevada, tornando invivel a quebra destas chaves. O funcionamento do SKIP complexo e no entraremos em maiores detalhes aqui. Nossa abordagem ficar limitada a descrever seu funcionamento. Basicamente o SKIP trabalha com trs nveis diferentes de chaves:

Um segredo compartilhado pelas duas entidades que desejam comunicar-se (configurado manualmente, no caso do Aker Firewall). Uma chave mestre, recalculada de hora em hora, baseada no segredo compartilhado. Uma chave randmica, que pode ser recalculada quando se desejar.

Genericamente falando, para efetuar a comunicao, o algoritmo gera uma chave aleatria e a utiliza para encriptar e autenticar os dados a serem enviados. A seguir ele encripta esta chave com a chave mestre e envia isto junto com os dados encriptados. Ao receber o pacote, o outro lado desencripta a chave, com o auxlio da chave mestra, e a utiliza para desencriptar o restante do pacote. Os algoritmos utilizados para autenticar o pacote e encriptar a chave so definidos pelo remetente e informados como parte do protocolo. Desta forma, no necessrio configurar estes parmetros no recipiente. A principal vantagem do SKIP a possibilidade de utilizar o mesmo segredo compartilhado por anos, sem a menor possibilidade de quebra das chaves por 299

qualquer atacante (uma vez que a troca de chaves efetuada em intervalos de poucos segundos a no mximo uma hora, dependendo do trfego entre as redes comunicantes).

Troca de chaves manual Neste caso, toda a configurao de chaves feita manualmente. Isto implica que todas as vezes que uma chave for trocada, ambos os Firewalls participantes de um canal seguro tero que ser reconfigurados simultaneamente.

Tipos de canais seguros O Aker Firewall possibilita a criao de dois tipos de canais seguros distintos, chamados de Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais possuem objetivos e limitaes diferentes e normalmente so combinados para atingir o mximo de segurana e flexibilidade.

Canais seguros Firewall-Firewall Este tipo de canal seguro o mais comum e suportado pelo Aker Firewall desde sua verso 1.31. Ele consiste na utilizao de criptografia e autenticao entre dois firewalls, interligados atravs da Internet ou de outro meio qualquer. Os pontos de entrada e sada do canal so os dois firewalls, o que significa que toda a criptografia feita transparentemente por eles e nenhum software adicional necessita ser instalado em nenhuma mquina cliente. A nica limitao desta soluo que ela exige a presena de dois firewalls, um na entrada de cada rede, para que o canal seguro possa ser criado.

Canais seguros Cliente-Firewall (Secure Roaming) Estes canais so suportados pelo Aker Firewall a partir da verso 3.10. Eles permitem com que uma mquina cliente (Famlia Windows e Linux) estabelea um canal seguro diretamente com um Aker Firewall. Portanto necessria instalao de um programa, chamado de Aker Client, em cada uma destas mquinas. A principal vantagem desta tecnologia possibilitar com que clientes acessem uma rede coorporativa com total segurana e transparncia (transparncia na medida em que as aplicaes que estejam rodando na mquina com o cliente de criptografia instalado desconhecem sua existncia e continuam funcionando normalmente). Apesar de ser bastante til, esta tecnologia possui algumas desvantagens e limitaes:

necessrio a instalao de um software, Aker Client, em todas as mquinas clientes; O cliente de criptografia no est disponvel para todas as plataformas; 300

Definindo um canal seguro firewall-firewall Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois grupos de mquinas que iro trocar informaes entre si de forma segura. Estes grupos de mquinas tero seus pacotes autenticados e, caso desejado, criptografados. necessrio que exista um firewall nas duas extremidades do canal. Estes firewalls sero responsveis por autenticar/verificar e criptografar/desencriptar os dados a serem transmitidos e recebidos, respectivamente. Para definir os grupos de mquinas, ser utilizado o conceito de entidades, mostrado no captulo intitulado Cadastrando Entidades. Podem-se utilizar entidades do tipo mquina, rede ou conjunto nesta definio. O Aker Firewall suporta a existncia de diversos canais seguros simultneos, entre pontos distintos. A unio destes diversos canais produz uma lista, onde cada entrada define completamente os parmetros de um canal seguro. Cada uma destas entradas recebe o nome de Associao de Segurana ou SA. O planejamento destes canais seguros dever ser feito com bastante cuidado. A criptografia um recurso dispendioso que demanda uma capacidade de processamento muito alta. Desta forma, criptografar pacotes para os quais no exista uma necessidade real de segurana ser um desperdcio de recursos. Alm disso, deve-se atentar que diferentes algoritmos de criptografia exigem quantidades de processamento diferentes e, por conseguinte, produzem um nvel de segurana mais elevado. Dependendo do nvel de segurana desejado, pode-se optar por um ou outro algoritmo (a descrio da cada algoritmo suportado pelo Aker Firewall se encontra no tpico anterior). Uma ltima observao sobre canais de criptografia Firewall-firewall que estes so unidirecionais, ou seja, caso deseje configurar uma comunicao segura entre duas redes, A e B, deve-se configurar dois canais diferentes: um canal com origem na rede A e destino na rede B e outro com origem na rede B e destino na rede A. Os pacotes que forem enviados de A para B seguiro a configurao do primeiro canal e os pacotes de B para A seguiro a configurao do segundo. Isto ser ilustrado com mais clareza nos exemplos abaixo: Exemplo bsico de configurao de um canal seguro firewall-firewall Neste exemplo ser mostrado como definir um canal seguro de comunicao entre duas redes, atravs da Internet, usando dois Aker Firewalls. O canal ser criado de forma com que toda a comunicao entre estas duas redes seja segura. Como o algoritmo de autenticao foi escolhido o MD5 e como algoritmo de criptografia, o DES. obrigatrio o uso de um algoritmo de autenticao para todos os fluxos, ou seja, no permitida a criao de fluxos com criptografia apenas. Isto necessrio j que sem a autenticao os algoritmos de criptografia so passveis de ataques de recortar e colar (cut and paste).

301

Configurao do Aker Firewall da rede 1

Entidades: REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0 REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: envia Entidades origem: REDE1 Entidades destino: REDE2 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: REDE2 Entidades destino: REDE1 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X3 Chave de criptografia: X4

Configurao do Aker Firewall da rede 2

Entidades: REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0 REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: recebe Entidades origem: REDE1 Entidades destino: REDE2 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: envia Entidades origem: REDE2 Entidades destino: REDE1 302

Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X3 Chave de criptografia: X4 Note que a regra 1 do Aker Firewall 1 exatamente igual regra 1 do Aker Firewall 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.

Figura 222 - Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede.

Exemplo de configurao de um canal seguro firewall-firewall para uma subrede Neste exemplo o nosso canal seguro ser definido apenas para um grupo de mquinas dentro de cada uma das duas redes. Alm disso, definiremos algoritmos diferentes para os fluxos entre estes grupos. Na prtica, configurar algoritmos diferentes para os dois sentidos de um canal seguro pode ser interessante quando as informaes de um determinado sentido tiverem um valor maior do que as do sentido oposto do fluxo. Neste caso, utiliza-se um algoritmo mais seguro no sentido mais crtico. Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereos classe B: A1.B1.0.0 e A2.B2.0.0, respectivamente.

Configurao do Aker Firewall da rede 1

Entidades: SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0 SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0 Regra de criptografia 1: 303

Sentido do canal: envia Entidades origem: SUB_REDE1 Entidades destino: SUB_REDE2 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: SUB_REDE2 Entidades destino: SUB_REDE1 Algoritmo de criptografia: 3DES Algoritmo de autenticao: SHA Chave de autenticao: X3 Chave de criptografia: X4

Configurao do Aker Firewall da rede 2

Entidades: SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0 SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: envia Entidades origem: SUB_REDE2 Entidades destino: SUB_REDE1 Algoritmo de criptografia: 3DES Algoritmo de autenticao:SHA Chave de autenticao: X3 Chave de criptografia: X4 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: SUB_REDE1 Entidades destino: SUB_REDE2 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois firewalls: a regra 1 no Firewall 1 igual regra 2 do Firewall 2 (com os sentidos invertidos) e a regra 2 no Firewall 1 igual regra 1 no Firewall 2 (novamente com

304

os sentidos trocados). Neste exemplo, a ordem das regras no faz diferena (observe, entretanto que em alguns casos isto pode no ser verdade).

Figura 223 - Canal seguro entre redes.

Certificados IPSEC Os certificados IPSEC so certificados padro X.509 utilizados pelo firewall para identificarem-se junto a seus pares quando do estabelecimento dos canais criptogrficos firewall-firewall no padro IPSEC (veja a seo Configurando tneis IPSEC, logo abaixo). Seu uso, entretanto, no obrigatrio, j que possvel estabelecer canais IPSEC usando segredos compartilhados. Para que um firewall aceite um certificado apresentado por outro, preciso que ele possua o certificado da Autoridade Certificadora que o emitiu.

305

Para ter acesso a janela de manuteno de certificados IPSEC deve-se:

Figura 224 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC).

Clicar no menu Criptografia da janela principal. Selecionar o item Certificados IPSEC.

306

A janela de certificados e requisies IPSEC

Figura 225 - Janela de Certificados IPSEC.

A janela de certificados IPSEC contm os certificados e as requisies do Aker Firewall. Uma requisio um formulrio a ser preenchido com seus dados para que a autoridade certificadora gere um certificado. Um certificado uma carteira de identidade para autenticar (reconhecer como o prprio) o seu proprietrio. O Aker Firewall utilizar estes certificados para autenticar frente a seus pares quando da negociao de um canal IPSEC. Desta forma cada um dos dois Firewalls envolvidos num canal IPSEC tem que gerar seu prprio certificado. As operaes desta janela se encontram na barra de ferramentas localizada acima da janela de Certificados IPSEC ou clicando-se com o boto direito do mouse sobre o campo que se deseja operar.

307

Figura 226 - Barra de ferramentas (Certificados IPSEC).

Figura 227 - Janela de ao para Certificados IPSEC.

O boto Inserir permite incluir uma nova requisio, podendo ser local ou remota, sendo que as requisies e certificados locais ficam na janela " deste firewall" e certificados e requisies remotas ficam na janela "outros firewalls". O boto Copiar copia o certificado/requisio selecionado. O boto Colar cola da memria o certificado/requisio copiado. O boto Excluir remove da lista o certificado/requisio selecionado. O boto Importar permite que seja carregado um certificado que foi exportado. O boto Exportar permite que salve o certificado selecionado. O boto Submeter permite que carregue um certificado exportado ou carregue um certificado de acordo com uma requisio selecionada (somente aparece quando inserindo um novo certificado). O boto Instalar far com que a janela seja fechada e atualizada. O boto Atualizar recarregada as informaes de certificados.

Para gerar um certificado necessrio que primeiro gere uma requisio no Aker Firewall, com esta requisio faa um pedido a uma autoridade certificadora para gerar o certificado e depois importe o certificado para o Aker Firewall. Esta janela atualizada dinamicamente, ou seja, no possvel cancelar quando j feito o pedido. Quando incluir-se uma nova requisio local, as requisies e os certificados locais sero apagados. Da mesma forma, ao importar novo Certificado local com par de chaves (.pfx), sero apagados as requisies e os certificados locais. Desta maneira, a operao deve se dar da seguinte forma (para o certificado local): 1. Criar uma requisio local; 2. Enviar esta requisio a uma Autoridade Certificadora; 3. Esperar at que a Autoridade Certificadora emita correspondente;

certificado

308

4. Instalar o certificado correspondente requisio (clicar com o boto direito na requisio e, depois selecione a opo Instalar, uma janela para carregar o arquivo ser exibida); Se o desejado for criar um certificado para um firewall remoto, o procedimento muda: 1. Criar uma requisio remota; 2. Enviar esta requisio a uma Autoridade Certificadora; 3. Esperar at que a Autoridade Certificadora emita o certificado correspondente; 4. Instalar o certificado correspondente requisio (clicar com o boto direito na requisio e, depois selecione a opo Instalar, uma janela para carregar o arquivo ser exibida); 5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto correspondente e, em seguida, em exportar); 6. Importar este certificado no firewall remoto, selecionando Deste Firewall e, em seguida com o boto direito do mouse, Importar. Na janela de requisies, h dois campos que podem causar confuso:

Domnio (CN): o identificador principal do dono da requisio. Este campo deve ser preenchido com common name. Tamanho da chave: Se o certificado for local com criao de nova chave ou remoto, este campo conter o comprimento da chave em bits. Caso contrrio (certificado local adicional) ele no poder ser modificado, uma vez que a chave que j existe ser utilizada.

Configurando canais Firewall/Firewall Para ter acesso a janela de configurao de canais Firewall/Firewall deve-se:

Figura 228 - Dispositivos remotos (Acesso a janela de Firewall/Firewall).

309

Clicar no menu Criptografia da janela principal. Selecionar o item Firewall/Firewall.

A janela de criptografia firewall/firewall

Figura 229 - Janela de Criptografia Firewall/Firewall.

A janela de criptografia contm a definio de todos os fluxos de criptografia do Aker Firewall. Cada fluxo ser mostrado em uma linha separada, composta de diversas clulas. Caso um fluxo esteja selecionado, ele ser mostrado em uma cor diferente. Esta janela composta por quatro abas, onde cada uma delas permite a configurao de fluxos de criptografia usando diferentes mtodos de troca de chaves.

O boto OK far com que o conjunto de fluxos seja atualizado e passe a funcionar imediatamente. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta A barra de rolagem do lado direito serve para visualizar os fluxos que no couberem na janela. Ao clicar sobre um fluxo e selecion-lo, se ele possuir um comentrio, este aparecer na parte inferior da janela.

Dica: A posio de cada regra pode ser alterada, bastando-se clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma mo segurando um basto. Para executar qualquer operao sobre um determinado fluxo, basta clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que pressionar o boto direito, mesmo que no exista nenhum 310

fluxo selecionado. Neste caso, somente as opes Inserir e Copiar estaro habilitadas).

Figura 230 - Menu de insero, copia ou excluso para definio dos fluxos de criptografia.

Inserir: Esta opo permite incluir um novo fluxo na lista. Se algum fluxo estiver selecionado, o novo ser inserido na posio do fluxo selecionado. Caso contrrio, o novo fluxo ser includo no final da lista. Copiar: Esta opo copia o fluxo selecionado para uma rea temporria. Colar: Esta opo copia o fluxo da rea temporria para a lista. Se um fluxo estiver selecionado, o novo ser copiado para a posio do fluxo selecionado. Caso contrrio ele ser copiado para o final da lista. Excluir: Esta opo apaga o fluxo selecionado. Habilitar/Desabilitar: Esta opo permite desabilitar o fluxo selecionado.

Dica: Todas estas opes podem ser executadas a partir da barra de ferramentas localizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades envolvidas podem ser arrastadas para o fluxo que vo participar ou clicando com o boto direito do mouse sobre o campo desejado, neste caso ser dada a opo de inserir, apagar ou editar entidades como mostrado a seguir:

Figura 231 - Menu de incluso ou alterao de fluxos.

311

Configurando tneis IPSEC Tneis IPSEC servem para criar uma VPN entre duas redes. A palavra tnel utilizada para diferenciar das VPNs comuns, pois efetivamente cria um canal virtual entre os firewalls envolvidos, possibilitando, por exemplo, que redes com endereos invlidos se comuniquem de maneira segura atravs da Internet. Para configurar canais IPSEC, deve-se selecionar a opo IPSEC, na janela Firewall-Firewall. Isto provocar a alterao da janela de forma a mostrar os campos necessrios para esta configurao.

Figura 232 - Configurao de canais IPSEC.

Os campos de configurao tm os seguintes significados: Origem: Definir as entidades cujos endereos sero comparados com o endereo origem dos pacotes IP que formaro o fluxo. Destino: Definir as entidades cujos endereos sero comparados com o endereo destino dos pacotes IP que formaro o fluxo. Direo: Define em que sentido o fluxo ser aplicado. S existem duas opes possveis: ou o pacote est sendo criptografado ( encriptao) ou o pacote esta sendo desencriptado (decriptao). (para maiores detalhes, veja o tpico intitulado Planejando a instalao). Gateway Remoto: Define a entidade do tipo mquina que ser o gateway remoto, ou seja, na outra ponta do tnel IPSEC, possvel definir at trs gateways remotos, desta forma criasse uma redundncia de link para estes tneis, ou seja, caso o link do primeiro gateway remoto estiver inoperante 312

ser estabelecido o tnel atravs do segundo gateway remoto e assim por diante, na prxima troca de chaves ser verificado se o primeiro gateway remoto est operante assim estabelecendo o tnel com ele. Agora possvel adicionar at trs gateways remotos na mesma regra. Cada um dos dois firewalls envolvidos no tnel precisa ter certeza da identidade do outro, de forma a evitar ataques de falsificao. Para isso, h dois modos selecionveis: Autenticao: Definir qual algoritmo ser utilizado na autenticao. Os valores possveis so: MD5 ou SHA. Segredo Compartilhado: Uma sequncia de caracteres que funciona como uma senha e deve ser igual de cada um dos lados do tnel. Certificado: Utiliza certificados padro X.509 com um esquema de chaves pblicas para a identificao dos firewalls. Este o mesmo esquema utilizado por sites seguros na Internet, por exemplo. Devem ser especificados:

certificado local a apresentar para a outra ponta do tnel (Remote Gateway) e dado de identificao exigido do firewall remoto. Este dado ser um endereo de e-mail para certificados criados com a opo USER- FQDN e nome de uma mquina (Fully Qualified Domain Dame), se a opo for FQDN.

313

Avanado A janela avanado permite definir quais so os algoritmos de criptografia e autenticao preferidos e permitidos pelo firewall durante a negociao de chaves IKE. Os campos j vm preenchidos com algoritmos padro que podem ser alterados. Mais informaes nas RFC 2401 a RFC 2412. A janela de avanado agora inclui uma escolha da ponta local do tnel, para os casos da rede de passagem entre o firewall e o roteador ser invlida.

Figura 233 - Definio dos algoritmos de criptografia e autenticao permitidos pelo firewall durante negociao das chaves IKE.

314

Visualizando o trfego IPSEC Clicando no item Tneis IPSEC, dentro do menu Informaes, a janela abaixo aparecer.

Figura 234 - Visualizao do trfego IPSEC.

Na janela acima, possvel visualizar quais SPIs IPSEC foram negociadas para cada um dos tneis configurados, bastando para isso clicar sobre a regra correspondente. Se houver mais de uma SPI, porque o firewall negocia uma nova sempre antes de a anterior acabar, de forma a nunca interromper o trfego dentro da VPN. Descrio de cada coluna:

SPI: Nmero de identificao da poltica de segurana. Algoritmo de criptografia: Mostra que o algoritmo de criptografia foi negociado. Algoritmo de Hash: Mostra que o algoritmo deve ser utilizado para fazer o hash das informaes. Tamanho da chave de criptografia: Informa o tamanho da chave de criptografia que ambos os lados do canal devem utilizar. Tamanho da chave de autenticao: Informa o tamanho da chave de autenticao negociado. Protocolo: Conjunto de protocolos negociados para a SP. Bytes negociados: Quantidade de bytes que devem ser transmitidos para que uma nova poltica de segurana seja negociada. Bytes transferidos: Quantidade de bytes trafegados pela SP. 315

Pacotes perdidos: So pacotes que por causa de algum erro, no foram descriptografados corretamente ento o firewall os descartam. Neste campo so contabilizados os pacotes descartados. Tempo total: Tempo de validade da SP. Ocioso: Tempo de inatividade do SP. Expirao: Data no qual a SP deixar de ser utilizada.

Ao clicar em "Bytes de lote Transferidos", pode-se ver um grfico de uso dos tneis, que atualizado a cada cinco segundos. Ele mostra o trfego agregado de todas as SPIs de cada regra, permitindo verificar, em tempo real o uso efetivo de banda criptografada.

Figura 235 - Grfico de acompanhamento (Bytes de logs transferidos).

Para utilizar troca de chaves manual, deve-se selecionar a opo Manual, na janela Firewall/Firewall. Isto provocar a alterao da janela de forma a mostrar os campos necessrios para esta configurao.

316

9.3. Utilizando a Interface Texto

Atravs da Interface Texto possvel realizar todas as configuraes mostradas acima. A descrio de cada configurao distinta se encontra em um tpico separado (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Carregando certificados IPSEC A Interface Texto de configurao dos certificados IPSEC de uso simples e possui as mesmas capacidades da Interface Remota. Localizao do programa: /aker/bin/firewall/fwipseccert Sintaxe: Uso: fwipseccert ajuda fwipseccert mostra [requisio | certificado] fwipseccert remove [requisio | certificado] <numero> fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado> <cidade> <organizao> <unid org> <domnio> [use_email] [imprime] fwipseccert instala <local | remoto> <certificado> fwipseccert exporta <certificado> <arquivo PKCS12> <senha> fwipseccert importa <arquivo PKCS12> <senha> Ajuda do programa:

Aker Firewall fwipseccert - Criao e manejamento de requisies e certificados x.509 Uso: fwipseccert ajuda fwipseccert mostra [requisicao | certificado] fwipseccert remove [requisicao | certificado] <numero>

ajuda mostra

= mostra esta mensagem = mostra uma lista contendo as requisies pendentes ou os 317

certificados instalados remove = remove uma requisio ou certificado de acordo com seu numero

Carregando certificados A Interface Texto de configurao dos certificados de criptografia de uso simples e possui as mesmas capacidades da Interface Remota. Localizao do programa:/aker/bin/firewall/fwcert Sintaxe: fwcert ajuda fwcert mostra [local | ca | negociao | revogao] fwcert carrega [local | ca] <arquivo> [-f] fwcert carrega revogao <arquivo> fwcert remove <cdigo> [-f] Ajuda do programa: Aker Firewall fwcert - Configura os certificados para criptografia Uso: fwcert ajuda fwcert mostra [local | ca | negociao | revogao] fwcert carrega [local | ca] <arquivo> [-f] fwcert carrega revogao <arquivo> fwcert remove <cdigo> [-f] ajuda = mostra esta mensagem mostra = mostra os certificados especificados carrega = carrega um novo certificado no firewall remove = remove o certificado de uma entidade certificadora Para mostra temos: local = mostra o certificado de negociao local negociao = mostra os certificados de negociao de outros firewalls que foram recebidos pela rede revogao = mostra os certificados de revogao que foram carregados localmente ou recebidos pela rede

318

Para remove temos: cdigo -f = cdigo da entidade certificadora a ser removida = se estiver presente, faz com que o programa no confirme ao remover um certificado

Exemplo 1: (carregando o certificado local) #/aker/bin/firewall/fwcert carrega local /tmp/firewall.crt Carregando certificado...OK Exemplo 2: (mostrando os certificados de entidades certificadoras) #/aker/bin/firewall/fwcert mostra ca Nome: Aker Security Solutions Cdigo: 1 Nome: Entidade certificadora autorizada Cdigo: 2 Exemplo 3: (carregando um novo certificado de entidade certificadora) #/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.ca Certificado includo Exemplo 4: (removendo um certificado de entidade certificadora, sem confirmao) #/aker/bin/firewall/fwcert remove 2 -f Entidade certificadora removida Configurando canais Firewall-Firewall A utilizao da Interface Texto na configurao das regras de criptografia e de autenticao firewall-firewall traz uma dificuldade gerada pela grande quantidade de parmetros que devem ser passados na linha de comando. Esta Interface Texto possui as mesmas capacidades da Interface Remota com a exceo de que atravs dela no possvel atribuir comentrios. Alm disso, no ser possvel configurar os algoritmos a serem usados pelo IPSEC-IKE (janela avanado), eles tero sempre os valores padro. Localizao do programa: /aker/bin/firewall/fwcripto Sintaxe: Uso: fwcripto [mostra | ajuda] fwcripto [habilita | desabilita | remove] <pos> fwcripto inclui <pos> <origem> <destino> <envia | recebe> 319

ipsec <gateway> <<ss <segredo> | cert <local> <remoto>> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticao> NENHUM fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticao> <DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticao> 3DES <tamanho_iv> <chave1> <chave2> <chave3> fwcripto inclui <pos> <origem> <destino> envia skip <DES | 3DES | BFISH256> <MD5 | SHA> <NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo> fwcripto inclui <pos> <origem> <destino> recebe skip <segredo> fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp Ajuda do programa: Aker Firewall fwcripto - Configura a tabela de autenticao e criptografia Uso: fwcripto [mostra | ajuda] fwcripto [habilita | desabilita | remove] <pos> fwcripto inclui <pos> <origem> <destino> <envia | recebe> ipsec <gateway> <ss <segredo> | cert <local> <remoto>> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticao> NENHUM fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticao> <DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticao> 3DES <tamanho_iv> <chave1> <chave2> <chave3> fwcripto inclui <pos> <origem> <destino> envia skip <DES | 3DES | BFISH256> <MD5 | SHA> <NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo> fwcripto inclui <pos> <origem> <destino> recebe skip <segredo> fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp mostra = mostra todas as entradas da tabela de criptografia inclui = inclui uma entrada na tabela habilita = habilita uma entrada previamente desabilitada desabilita = desabilita uma entrada existente remove = remove uma entrada existente da tabela 320

ajuda = mostra esta mensagem

Para inclui temos: pos = posio onde a nova entrada ser includa na tabela (Poder ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) envia = est entrada ser usada na hora de enviar pacotes recebe = est entrada ser usada na hora de receber pacotes ipsec = usa troca de chave e protocolo IPSEC gateway = a entidade que representa a ponta remota do tnel IPSEC ss = usa segredo compartilhado como forma de autenticao segredo = a "string" que ser usada como segredo compartilhado cert = usa certificados X.509 para autenticao local = o nome de domnio (FQDN) no certificado a apresentar remoto = o nome de domnio (FQDN) no certificado esperado manual = utiliza troca de chaves manual skip = utiliza troca de chaves automtica via o protocolo SKIP aker-cdp = utiliza troca de chaves automtica via o protocolo Aker-CDP spi = ndice de parmetro de segurana ( um inteiro que identifica unicamente a associao de segurana entre a mquina de origem e de destino. Este nmero deve ser maior que 255) MD5 = usa como algoritmo de autenticao o MD5 SHA = usa como algoritmo de autenticao o SHA-1 DES = usa como algoritmo de criptografia o DES 3DES = usa como algoritmo de criptografia o triplo DES BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de 128 bits BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de 256 bits NENHUM = no usa criptografia, somente autenticao (No caso do skip, o primeiro algoritmo selecionado corresponde ao algoritmo de criptografia da chave e o segundo corresponde ao de criptografia do pacote) tamanho_iv = tamanho do vetor de inicializao, em bits, para o algoritmo de criptografia. Deve ter o valor 32 ou 64. As chaves de autenticao, criptografia e o segredo skip devem ser entradas como nmeros hexadecimais. No caso do 3DES devem ser digitadas 3 chaves separadas por brancos

321

Para habilita / desabilita / remove temos: pos = posio a ser habilitada, desabilitada ou removida da tabela (a posio o valor mostrado na esquerda da entrada ao se usar a opo mostra) Redundncia de link privado com VPN site to site Este comando permite o balanceamento de link, que utiliza um link dedicado ponto a ponto e uma VPN, para manter uma conexo segura entre dois pontos, mesmo quando o link dedicado cair. Esta Interface Texto possui as mesmas capacidades da Interface Remota com a exceo de que atravs dela no possvel atribuir comentrios. Usando uma regra de balanceamento de link, para monitorar o status do link, se necessrio, o Fwlinkred habilita as regras de VPN para manter a comunicao segura entre dois pontos.

Localizao do programa:/aker/bin/firewall/fwlinkred Sintaxe: /aker/bin/firewall # fwlinkred ajuda Aker Firewall Uso: fwlinkred ajuda fwlinkred mostra fwlinkred inclui <link> <vpn1> [vpn2] ... [vpnN] fwlinkred remove < regra > fwlinkred < habilita | desabilita > < regra > Onde: <link> e nome de regra de balanceamento <vpnN> e numero de regra de VPN IPSEC <rule> e numero de regra de redundncia

322

Configurando criptografia Cliente-Firewall

323

10.

Configurando criptografia Cliente-Firewall


Este captulo mostra como configurar o firewall e o Aker Client de modo a propiciar a criao de canais seguros entre mquinas clientes e um Aker Firewall.

10.1.

Planejando a instalao.

O que um canal seguro Cliente-Firewall? Conforme j explicado no captulo anterior, um canal seguro cliente-firewall aquele estabelecido diretamente entre uma mquina cliente e um Aker Firewall. Isto possvel com a instalao de um programa, chamado de Aker Client, nas mquinas clientes. Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias de criptografia, autenticao e troca de chaves j mostradas para os canais seguros Firewall-Firewall, com a diferena de que tudo negociado automaticamente pelas partes comunicantes. Ao administrador possvel apenas desabilitar determinados algoritmos, de forma a assegurar que eles no sero utilizados. Outra diferena fundamental entre os canais seguros firewall-firewall e clientefirewall, da forma com que so implementados no Aker Firewall, que os primeiros so sempre realizados ao nvel de pacotes IP, onde cada pacote encriptado individualmente, enquanto que os segundos so feitos ao nvel de fluxo de dados, onde est encriptado somente as informaes contidas na comunicao (e no os demais dados do pacote IP).

Exigncias para a criao de canais seguros Cliente-Firewall Para que seja possvel o estabelecimento de canais seguros entre clientes e um firewall, necessrio que a seguinte lista de condies seja atendida: 1. O Aker Client esteja instalado em todas as mquinas que estabelecero canais seguros com o firewall, no caso de utilizarem o Secure Roaming; ou 2. Clientes que suportem os protocolos L2TP ou PPTP.

324

Definindo um canal seguro cliente-firewall A definio de um canal seguro cliente-firewall bem mais simples do que a de um canal firewall-firewall. necessrio apenas configurar no firewall quais mquinas podero estabelecer canais seguros de clientes e se ocorrer ou no autenticao de usurios. Todo o restante da configurao feito automaticamente, no momento em que o cliente inicia a abertura do canal seguro.

10.2.

Aker Secure Roaming

Para ter acesso janela de configuraes do Secure Roaming deve-se:

Figura 236 - Dispositivos remoto (Acesso as configuraes do Security Roaming).

Clicar no menu Criptografia da janela principal; Selecionar o item Clientes VPN.

325

A janela de configuraes do Secure Roaming

Figura 237 - Configurao geral do Security Roaming

O boto OK far com que a janela de configuraes do Secure Roaming seja fechada e as alteraes efetuadas aplicadas; O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas; O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta. Aba Geral

Nmero mximo de conexes simultneas: Aqui voc pode configurar o nmero mximo de clientes conectados simultaneamente no Secure Roaming, L2TP ou PPTP em um determinado tempo. Use esta opo para evitar com que o servidor tenha uma sobrecarga por excesso de clientes, o que pode diminuir a performance.

O nmero no pode ser superior ao de sua licena. Se estiver em 0, nenhum cliente ser permitido.

326

Limite de conexes simultneas: Indica o limite mximo de conexes permitido por sua licena.

Aba Secure Roaming

Figura 238 - Configurao do Security Roaming.

Mtodos de Autenticao: As opes disponveis, que podem ser marcadas independentemente, so: 1. Usurio/senha: O usurio dever ser autenticado por meio de uma combinao de nome e uma senha. Esses dados sero repassados a um ou mais servidores de autenticao que devem valid-los. Esta opo a mais insegura porm no depende de nenhum hardware adicional; 2. Token (SecurID): O usurio dever ser autenticado mediante o fornecimento de um nome, um PIN e um cdigo presente em um Token SecurID que modificado a cada minuto. Esses dados sero repassados para o autenticador Token cadastrado no firewall para serem validados. Essa opo bem mais segura que a anterior, porm exige que cada usurio possua um Token; 3. Smartcard/X.509: O usurio dever ser autenticado por meio do uso de certificados X.509 (por exemplo, gravados em smart cards) e emitidos por uma das autoridades certificadoras cadastradas no firewall. Essa forma de autenticao a mais segura das trs, por exigir a senha de desbloqueio da chave privada e a posse da mesma; 327

Verses antigas do cliente Secure Roaming so permitidas: Permite que verses antigas do cliente Secure Roaming se conectem. Habilita IPSEC: Utiliza protocolo IPSEC na comunicao com o Secure Roaming. Permitir compresso de dados: A compresso de dados importante para conexes lentas, como as discadas. Quando esta opo est marcada, feita a compresso das informaes antes de serem enviadas pela rede. Isso permite um ganho de performance na velocidade de comunicao, porm, exige um maior processamento local. Para redes mais rpidas, melhor no se utilizar a compresso. Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidor para escutar conexes e dados de clientes, respectivamente. Por exemplo, voc pode configurar o servidor para usar as portas TCP/443 e UDP/53, em ordem para burlar firewalls e/ou outros dispositivos de filtragem entre servidores e clientes. Esses dispositivos recusariam uma conexo VPN, mas no uma conexo HTTP segura e uma requisio DNS, respectivamente. A porta padro 1011 tanto para TCP e UDP. Aba Acesso

Figura 239 - Lista de controle de acesso do Security Roaming.

Tipo da lista de controle de acesso: Aqui voc escolhe qual o tipo da Lista de controle de acesso: 328

1. Nenhum: Sem controle de acesso. Todo cliente tem permisso para conectar ao servidor. 2. Permitir entidades listadas: Somente os endereos IP listados, ou endereos que pertenam s entidades rede e/ou conjunto listadas, podero estabelecer conexo. 3. Proibir entidades listadas: As entidades listadas, ou que pertenam a entidades rede e/ou conjunto listadas, no sero capazes de estabelecer conexes. As demais entidades sero. Lista de controle de acesso: Para adicionar uma entidade lista, deve-se proceder da seguinte forma:

Clicar com o boto direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.

Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o boto direito do mouse sobre a entidade que ser removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele mostrado ao clicar com o boto direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:

Figura 240 - Menu com escolha das entidades a ser adicionadas

329

Aba Endereos

Figura 241 - Conjunto de endereos do Security Roaming

Conjunto de endereos: Lista de endereos que podem ser atribudos a clientes remotamente conectados ao firewall. Os endereos de mquinas listados e todos os endereos que compem as redes e conjuntos includos somam-se para definir o conjunto de endereos atribuveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrrio, no ser possvel estabelecer conexo com tal entidade.

Para adicionar ou remover uma entidade do Conjunto de endereos, basta proceder como na Lista de controle de acesso. As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindose ambos os extremos.

330

10.3.

L2TP

L2TP uma extenso do PPP (Point-to-Point Protocol), unindo caractersticas de outros dois protocolos proprietrios: o L2F (Layer 2 Forwarding) da Cisco e o PPTP (Point-to-Point Tunneling Protocol) da Microsoft. um padro da IETF (Internet Engineering Task Force), que conta com a participao da Cisco e do PPTP frum, entre outros lderes de mercado. O L2TPv3, analisado neste trabalho uma atualizao da RFC2661 (L2TPv2), e foi originalmente definido como um mtodo para tunelamento para quadros PPP atravs de uma rede de comutao de pacotes. Surgiu ento a necessidade de atualizar o mtodo, para que ele inclusse todos os encapsulamentos da camada 2 que necessitassem de tunelamento atravs de redes de comutao de pacotes. Entre as mudanas para a verso 3, temos: retirada de todas as partes especficas ao PPP do cabealho L2TP, garantindo assim a generalizao para outras aplicaes, e a mudana para um formato que possibilitasse o desencapsulamento de forma mais rpida. O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame Relay ou ATM (Asynchronous Transfer Mode), permitindo que servios de rede sejam enviados em redes roteadas IP. As decises so tomadas nas terminaes dos tneis ou VPNs, e comutadas sem a necessidade de processamento nos ns intermedirios. As seguintes vantagens so oferecidas pelo L2TP:

permite o transporte de protocolos que no o IP, como o IPX (Internetwork Packet Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos dos terminais; mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP de forma transparente, possibilitando servios de VPN IP de forma bastante simples; simplifica a interao entre as redes do cliente e do provedor; fcil configurao para o cliente.

Referncias: Steven Brown, Implementing Virtual Private Networks, McGraw Hill, 1999.

331

Configurando a VPN L2TP

Figura 242 - Configurao da VPN L2TP

Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite configurar outros campos como:

Servidor de DNS Primrio e secundrio: Configura dois servidores DNS a serem usados durante a sesso criptogrfica. Usado para o caso de haver um servidor de DNS interno na corporao; Usar autenticao IPSEC: Habilita os modos de autenticao e encapsulamentos dos dados L2TP em pacotes IPSEC, os modos de autenticao so atravs de Segredo compartilhado ou certificado X.509.

Conjunto de Endereos: Lista de endereos que podem ser atribudos a clientes remotamente conectados ao firewall. Os endereos de mquinas listados e todos os endereos que compem as redes e conjuntos includos somam-se para definir o conjunto de endereos atribuveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrrio, no ser possvel estabelecer conexo com tal entidade. Para adicionar uma entidade lista, deve-se proceder da seguinte forma:

Clicar com o boto direito do mouse na lista, ou 332

Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.

Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o boto direito do mouse sobre a entidade que ser removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele mostrado ao clicar com o boto direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:

Figura 243 - Menu com escolhas da entidade para adicionar.

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos. Configurando usando Interface Texto # fwl2tp ajuda Firewall Aker Uso: fwl2tp help fwl2tp mostra fwl2tp < habilita | desabilita > fwl2tp ipsec ss < segredo > fwl2tp ipsec cert < fqdn > fwl2tp ipsec nenhum 333

fwl2tp dns_1 < dns_server > fwl2tp dns_2 < dns_server > fwl2tp inclui < rede > fwl2tp remove < rede > os parmetros so: segredo : O segredo compartilhado IPSEC fqdn : O nome domnio presente no certificado X.509 para autenticao IPSEC dns_server : Um servidor DNS (entidade) para os clientes de VPN rede : Entidade rede ou mquina para o conjunto de endereos IP dos clientes de VPN

Configurando o Cliente L2TP

Windows 7 / XP

No Windows 7, crie uma nova conexo de VPN, na Central de Rede e Compartilhamento. No Windows XP, isso deve ser feito na janela Conexes de rede. Um assistente para a criao desta conexo aparecer, e deve ser preenchido de acordo com as imagens abaixo:

Figura 244 - Configurando o cliente L2TP (Windows Vista/XP).

334

Figura 245 - Configurando o cliente L2TP (utilizando VPN).

335

Figura 246 - Configurando o cliente L2TP (escolha do IP e nome da conexo).

Na imagem acima, 192.168.0.100 o endereo do Aker Firewall com servidor L2TP visvel pelo Cliente de VPN. Este endereo pode ser um nome, como firewall.empresa.com.br.

336

Figura 247 - Configurando o cliente L2TP (nome do usurio e senha utilizados para autenticar o cliente de VPN no Aker Firewall).

Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero utilizados para autenticar o cliente de VPN no Aker Firewall.

337

Figura 248 - Configurao da VPN L2TP concluda.

Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no passo seguinte. No clique em Connect now. Abra a janela Conexes de rede, e edite as propriedades da conexo recm-criada de acordo com as janelas abaixo:

338

Figura 249 Propriedades de Conexo VPN (edio das propriedades de conexo).

Em propriedades de Conexo VPN, na aba Segurana, configure a janela de acordo com a imagem acima: Aps clicar OK, volte ao dilogo de propriedades e continue a configurao:

339

10.4.

PPTP

O Point-to-Point Tunneling Protocol (PPTP) um mtodo para execuo de redes virtuais privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTP usa um canal de controle sobre TCP e GRE tnel operacional para encapsular PPP pacotes.

Configurando a VPN PPTP

Figura 250 - Configurando a VPN PP TP.

Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite configurar outros campos como:

Servidor de DNS Primrio e secundrio: Configura dois servidores DNS a serem usados durante a sesso criptogrfica. Usado para o caso de haver um servidor de DNS interno na corporao; Segurana: Permite especificar os mtodos de encriptao da autenticao e dos dados trafegados, as opes so: PAP: Autenticao no cifrada e dados no cifrados. Funciona com qualquer tipo de autenticador que possa ser cadastro no Firewall;

340

CHAP: Autenticao cifrada, dados no cifrados. Funciona somente com o autenticador RADIUS; MS-CHAPv2: Autenticao cifrada, dados no cifrados. Funciona somente com o autenticador RADIUS; MPPE (MS-CHAPv2 + MPPE): Autenticao cifrada, dados cifrados com RC4 e chave de 40 a 128 bits. Funciona somente com o autenticador RADIUS; MPPE-128(MS-CHAPv2 + MPPE-128): Autenticao cifrada, dados cifrados com RC4 e chave de 128 bits. Funciona somente com o autenticador RADIUS.

Conjunto de Endereos: Lista de endereos que podem ser atribudos a clientes remotamente conectados ao firewall. Os endereos de mquinas listados e todos os endereos que compem as redes e conjuntos includos somam-se para definir o conjunto de endereos atribuveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrrio, no ser possvel estabelecer conexo com tal entidade.

Para adicionar uma entidade lista, deve-se proceder da seguinte forma:


Clicar com o boto direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.

Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o boto direito do mouse sobre a entidade que ser removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele mostrado ao clicar com o boto direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:

Figura 251 - Menu com escolhas da entidades para adicionar.

341

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos. Configurando usando Interface Texto /aker/bin/firewall # fwpptpsrv ajuda Aker Firewall Uso: fwpptpsrv ajuda fwpptpsrv mostra fwpptpsrv < habilita | desabilita > fwpptpsrv limpa fwpptpsrv dns_1 < dns_server > fwpptpsrv dns_2 < dns_server > fwpptpsrv inclui < rede > fwpptpsrv remove < rede > fwpptpsrv segurana < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 > os parmetros so: dns_server : Um servidor DNS (entidade) para os clientes de VPN rede : Entidade rede ou mquina para o conjunto de endereos IP dos clientes de VPN

342

Configurando o Cliente PPTP para autenticao com PAP

Windows Vista / XP No Windows Vista, crie uma nova conexo de VPN, no Network and Sharing Center. No Windows XP, isso deve ser feito na janela Network Connections. Um assistente para a criao desta conexo aparecer, e deve ser preenchido de acordo com as imagens abaixo:

Figura 252 - Configurando o Cliente PPTP para autenticao com PAP (Windows Vista/XP).

343

Figura 253 - Janela de configurao da VPN no Microsoft Windows.

344

Figura 254 - Janela de configurao de rede da VPN no Microsoft Windows.

Na imagem acima, 192.168.0.100 o endereo do AKER FIREWALL com servidor PPTP visvel pelo cliente de VPN. Este endereo pode ser um nome, como firewall.empresa.com.br.

345

Figura 255 - Janela de configurao de usurio e senha da VPN no Microsoft Windows.

Na imagem acima, devem ser preenchidos o nome de usurio e senha que sero utilizados para autenticar o cliente de VPN no AKER FIREWALL.

346

Figura 256 - Configurao da VPN no Microsoft Windows concluda.

Aps clicar em Close, ser criada uma nova conexo, que precisa ser editada, no passo seguinte. No clique em Connect now. Abra a janela Conexes de rede, e edite as propriedades da conexo recm-criada de acordo com as janelas a seguir:

347

Picture 265 - Propriedades de Conexo VPN (edio das propriedades de conexo)

Em propriedades de Conexo VPN, na aba Segurana, configure a janela de acordo com a imagem acima: : Configurando o servidor Radius Microsoft IAS A seguinte configurao aceita todos os tipos de criptografia. Para iniciar a configurao precisamos cadastrar o endereo IP do firewall e sua senha NAS:

348

Figura 257 - Configuraes do Servidor de autenticao Radius do Microsoft Windows Server.

349

Figura 258 - Configuraes do Shared secret do servidor de autenticao Radius do Microsoft Windows Server.

Aps cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote Access Policies), efetue suas configuraes iguais s exibidas abaixo:

350

Figura 259 - Definio das regras de acesso remoto do servidor de autenticao Radius do Microsoft Windows Server.

351

Figura 260 - Especificao das condies de conexo do servidor de autenticao Radius do Microsoft Windows Server.

352

Clique em Edit Profile.

Figura 261 - Especificao das condies de conexo - Edio.

353

Figura 262 - Especificao das condies de conexo IP.

354

Figura 263 - Especificao das condies de conexo Multilink.

355

Figura 264 - Especificao das condies de conexo Authentication.

356

Figura 265 - Especificao das condies de conexo Encryption.

357

Figura 266 - Especificao das condies de conexo Advanced.

Devido s polticas de segurana do Windows Servertm, ser necessrio informar quais usurios podem efetuar estas autenticaes, para realizar esta etapa uma Policy em Connection Request Policies.

358

Figura 267 - Informaes dos usurios podem efetuar autenticaes.

Tambm necessrio que no Microsoft Active Directorytm, selecione os usurios que podem efetuar estas autenticaes e permitam que VPN e Dial-in, vejam na janela abaixo:

359

Figura 268 - Propriedades dos usurios que podem efetuar autenticaes.

Para suporte CHAP, necessrio alterar as polticas de segurana do Windows, de forma que o mesmo salve as senhas com criptografia reversvel e, aps este passo, alterar as senhas dos usurios. Mais informaes neste link: http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp

360

10.5.

IPSEC Client

O conjunto de protocolos IPSEC (em especial IKE e ESP) no foi projetado para o uso em modo cliente-servidor. Por isso, diversas extenses na sua implementao original (RFC 2401 e famlia) so necessrias para que o mesmo possa ser utilizado com esta finalidade. Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, no existe um padro devidamente normatizado para essas extenses necessrias ao funcionamento de VPNs IPSEC modo tnel para clientes remotos. O que existe so uma srie de propostas de RFCs (Internet Drafts) que nunca foram aceitas pelo IETF, mas mesmo assim, so utilizadas largamente por diversos fabricantes de equipamentos e clientes de VPN. A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo de VPN e indicamos as solues encontradas, indicando as RFCs e drafts correspondentes, quando for o caso. Autenticao com usurio e senha Originalmente, o protocolo IKE somente suporta autenticao simtrica, em especial utilizando segredos compartilhados ou certificados digitais. Quando se trata de VPNs para clientes remotos, o mais prtico utilizar autenticao por meio de usurio e senha. A proposta mais aceita para extenso do IKE nesse sentido chama-se 1XAUTH, uma proposta da Cisco cujo draft mais recente o 2draft-beaulieu-ike-xauth-02, de outubro de 2001. Essa proposta largamente utilizada por diversos fabricantes e prope estender o protocolo IKE incluindo uma segunda etapa de autenticao entre as fases 1 e 2 tradicionais. Com isso, aps o estabelecimento de uma SA ISAKMP durante a fase 1, antes de estabelecer SAs de fase 2 (ESP), uma nova troca cifrada verifica as credenciais do usurio. Configurao de rede do cliente Um problema importante a ser resolvido nas VPNs IPSEC para clientes a configurao de rede do mesmo. Geralmente, uma interface virtual criada no computador onde executa o cliente de VPN e esta interface recebe endereos e rotas da rede interna protegida pelo gateway de VPNs. Para no precisar configurar cada um dos clientes com endereos IPs estticos e diferentes, necessrio uma soluo que permita ao servidor de VPN informar ao cliente quais configuraes utilizar. A proposta mais aceita para solucionar essa questo chama-se Mode Config3, tambm produzida pela Cisco em outubro de 2001 e que tem como draft mais recente o draftdukes-ike-mode-cfg-024. Essa proposta tambm largamente utilizada por diversos fabricantes de equipamento de VPN e prope, do mesmo 361

modo que o XAUTH, entre as fases 1 e 2, executar uma srie de perguntas e respostas entre o cliente e o servidor de criptografia, com o propsito de configurar aquele a partir desse. Deteco de cliente desconectado Clientes remotos tm grande probabilidade de serem desconectados do servidor de criptografia sem aviso prvio. Um exemplo simples um dispositivo conectado por WIFI afastar-se demais de seu access point. O protocolo IPSEC originalmente proposto no tem nenhuma outra forma de detectar que a conectividade foi perdida que no seja pela falha da troca de chaves, o que se d em intervalos relativamente longos, devido a seu custo computacional. A proposta padronizada para este fim e o suporte padro para DPD em qualquer tnel IPsec que est descrita na RFC 3706 e consiste em permitir a ambos endpoints IPSEC enviar pacotes de ping protegidos pela SA de fase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes geralmente so enviados em intervalos bem mais curtos que a troca de chave, uma vez que toda a transao de envi-los, respond-los e receb-los tem um custo muito baixo.

DPD (Dead peer detection) O DPD (Dead peer detection - mtodo de deteco Dead Internet Key exchange (IKE) Peer) usa o trfego IPSec para reduzir o nmero de mensagens IKE (Internal key Exchange) que precisam confirmar sua existncia. O DPD, como outros mecanismos keepalive, necessrio para determinar quando se deve executar o IKE Peer Failover ( para Dead Peers), e quando recuperar recursos que foram perdidos.

362

IPSEC

Figura 269 - Clientes VPN - IPSEC.

Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker Firewall e permite configurar outros campos como:

Servidor de DNS Primrio, secundrio e tercirio: Configura at trs servidores DNS a serem usados durante a sesso criptogrfica. Usado para o caso de haver um servidor de DNS interno na corporao; Servidor WINS Primrio, secundrio e tercirio: Configura at trs servidores WINS a serem usados durante a sesso criptogrfica. Usado para o caso de haver um servidor de WINS interno na corporao; Mensagem de autenticao: Mensagem de apresentao (banner) a ser mostrada para os clientes.

Lista de endereos que podem ser atribudos a clientes - Conjunto de Endereos: Lista de endereos que podem ser atribudos a clientes remotamente conectados ao firewall. Os endereos de mquinas listados e todos os endereos que compem as redes e conjuntos includos somam-se para definir o conjunto de endereos atribuveis a clientes. Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall. Caso contrrio, no ser possvel estabelecer conexo com tal entidade.

363

Para adicionar uma entidade lista, deve-se proceder da seguinte forma:


Clicar com o boto direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.

Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o boto direito do mouse sobre a entidade que ser removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele mostrado ao clicar com o boto direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:

Figura 270 - Lista de endereos que podem ser atribudos aos clientes.

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.

Lista de endereos que so redes protegidas Redes Protegidas: Lista de endereos de hosts ou redes protegidas pela VPN IPSEC, quando utilizado os clientes da VPN IPSEC Client recebem rotas para alcanarem estes endereos sem alterar o default gateway da sua estao. Quando deixar este campo em branco os clientes da VPN IPSEC Client recebem o endereo IP do Aker Firewall como default gateway. Para adicionar uma entidade lista, deve-se proceder da seguinte forma: 364

Clicar com o boto direito do mouse na lista, ou Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para a lista.

Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o boto direito do mouse sobre a entidade que ser removida, ou Selecionar a entidade desejada e pressione a tecla Delete. A figura a seguir mostra o menu pop-up com todas as opes listadas acima. Ele mostrado ao clicar com o boto direito do mouse em alguma entidade listada. No exemplo da figura, a entidade clicada foi Host4:

Figura 271 - Lista de endereos que so redes protegidas.

As redes nesse campo definem um conjunto de endereos, no uma sub-rede no sentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for includa no Pool de endereos, o primeiro endereo atribuvel seria 10.0.0.1 e o ltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.

Grupos: Este campo permite definir as opes de autenticao do IPSEC para os clientes:

Nome do grupo: Identidade dos grupos, os clientes especificam o grupo e assim qual o mtodo de autenticao ser utilizado. Autenticao:

365

Segredo Compartilhado: Uma sequncia de caracteres que funciona como uma senha e deve ser igual de cada um dos lados do tnel. Certificado: Utiliza certificados padro X.509 com um esquema de chaves pblicas para a identificao dos firewalls. Este o mesmo esquema utilizado por sites seguros na Internet.

366

Configurando usando Interface Texto /aker/bin/firewall # fwipseccli ajuda Aker Firewall Uso: fwipseccli ajuda fwipseccli mostra fwipseccli < habilita | desabilita > [grupo] fwipseccli dns_1 < dns_server > fwipseccli dns_2 < dns_server > fwipseccli dns_3 < dns_server > fwipseccli wins_1 < wins_server > fwipseccli wins_2 < wins_server > fwipseccli wins_3 < wins_server > fwipseccli mensagem < mensagem > fwipseccli inclui < conjunto | protegida > < rede > fwipseccli remove < conjunto | protegida > < rede > fwipseccli grupo < inclui | remove > < grupo > fwipseccli ss < grupo > < segredo > fwipseccli cert < grupo > < fqdn > os parmetros so: segredo: O segredo compartilhado IPSEC fqdn : O nome domnio presente no certificado X.509 para autenticao IPSEC dns_server : Um servidor DNS (entidade) para os clientes de VPN wins_server: Um servidor WINS (entidade) para os clientes de VPN 367

rede

: Entidade rede ou mquina para o conjunto de endereos IP dos clientes de VPN ou a lista de redes protegidas

grupo

: O nome do grupo de clientes

mensagem: A mensagem de autenticao dos usurios

Configurando os Clientes De modo genrico, as configuraes recomendadas para clientes de criptografia so as seguintes: Shared Secret Fase 1 1 Configurao Forma de autenticao Forma de identificao Valor secret + XAUTH KEY_ID. Use o mesmo nome do grupo criado no fwipseccli. Alguns clientes chamam essa configurao de grupo mesmo.

1 1 1 2 2 2

Credenciais de usurio Use usurio e senha que possam ser (XAUTH) verificados pelo subsistema de autenticao do Aker Firewall, os mesmos que, por exemplo, o Filtro Web aceita para autenticao. Algoritmos de criptografia 3DES / SHA-1 (pode ser modificado pela e hash Controle Center) Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela Control Center) Tempo de vida de SA 3600 segundos (pode ser modificado pela Control Center) Algoritmos AES-256 / SHA-1 HMAC-96 PFS / Grupo diffie No / 0 hellman Tempo de vida de SA 3600 segundos
Figura 272 - Configuraes recomendadas para clientes de criptografia Shared Secret.

368

X.509 A configurao X.509 muito parecida: Fase 1 1 Configurao Forma de autenticao Forma de identificao Valor
X.509 (RSA SIG) + XAUTH. FQDN. Use o nome do Subject Alternative Name do certificado. Alguns clientes exigem que esse nome seja o mesmo do endereo IP ou domnio de conexo.

1 1 1 2 2 2

Credenciais de usurio Use usurio e senha que possam ser (XAUTH) verificados pelo subsistema de autenticao do Aker Firewall, os mesmos que, por exemplo, o Filtro Web aceita para autenticao. Algoritmos de criptografia 3DES / SHA-1 (pode ser modificado pela e hash Controle Center) Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela Control Center) Tempo de vida de SA 3600 segundos (pode ser modificado pela Control Center) Algoritmos AES-256 / SHA-1 HMAC-96 PFS / Grupo diffie No / 0 hellman Tempo de vida de SA 3600 segundos
Figura 273 - Configuraes recomendadas para clientes de criptografia X.509.

369

Exemplos: ShrewSoft VPN Client com segredo compartilhado Para a configurao deve ser preenchido os campos de acordo com as imagens abaixo:

Figura 274 - Configurao da VPN General.

370

Figura 275 - Configurao da VPN Authentication.

Figura 276 - Configurao da VPN Phase 1.

371

Figura 277 - Configurao da VPN Phase 2.

Figura 278 - Configurao da VPN Connect.

372

iPhone com certificado Nesse caso, necessrio usar a ferramenta de configurao para empresas do iPhone, que pode ser obtida gratuitamente no site da Apple. Ateno ao fato que necessrio incluir o certificado da CA (.CER) e o certificado com chaves do cliente (.PFX) no perfil de configurao. Para fazer isso, primeiro necessrio incluir esses certificados nas configuraes do Windows. Alm disso, ateno ao fato que o iPhone exige que o "Hostname or IP Address for Server" seja igual ao Subject Alternative Name do firewall, sob pena de recusar o certificado e impedir a conexo.

Figura 279 - Configurao iPhone certificado.

373

Figura 280 - Configurao iPhone estabelecendo VPN.

374

ShrewSoft VPN Client com certificado

Figura 281 - Configurao VPN com certificado.

375

Figura 282 - Configurao VPN - Authentication Local Identity.

Figura 283 - Configurao VPN - Authentication Remote Identity.

376

Figura 284 - Configurao VPN - Authentication Authentication Method.

377

10.6.

VPN SSL

A configurao do Portal VPN SSL e do Apple bastante simples, uma vez que todos os detalhes de funcionamento do portal e do applet so responsabilidade do firewall. Ao administrador cabe definir nome do portal, qual o certificado ser utilizado pelo firewall e etc. Todas estas configuraes so feitas na janela VPN SSL. Para acess-la, deve-se:

Figura 285 - VPN SSL.

Clicar no menu Criptografia da janela principal. Selecionar o item VPN SSL.

Quando selecionada a opo Enable VPN SSL, os campos de edio das configuraes do portal e do applet so habilitados.

378

Portal

Figura 286 - VPN SSL - Portais.

No portal web, o cliente se autentica no firewall e como resultado recebe o applet que implementa o tnel SSL. Ttulo do Portal: Este campo informa o nome do portal. Possui um limite mximo de 64 caracteres e somente aceita texto simples. Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao FW.

379

Ao clicar no cone o certificado. O cone

carrega-se um arquivo com extenso *.p12/*.pfx que contm mostra um resumo das informaes do certificado e o

cone permite exportar um arquivo com extenso *.p12/*.pfx contendo um certificado. Autenticao: Este campo informa o tempo de expirao de autenticao no portal, sendo o tempo mximo que pode levar para estabelecer a sesso, variando de 0 a 30 seg. Mostrar campo Domnio: Quando selecionada essa opo permite mostrar o campo domnio no formulrio de login do portal. A seleo desse campo opcional. Usar o protocolo SSLv2: Quando selecionada essa opo, opta por utilizar a verso 2 do protocolo SSL. Ele no utilizado por padro devido existncia de um bug de segurana. Forar autenticao x.509: Esta opo permite forar uma autenticao x.509, pois impede que o usurio se autentique sem ser por meio do certificado digital. Permitir que um usurio tenha acesso por diferentes IPs ao mesmo tempo: Esta opo permite ao usurio se logar no portal a partir de um ou mais IPs diferentes simultaneamente. Informao de logon: Esse campo permite incluir o texto que ser apresentado no portal com informaes bsicas sobre o seu funcionamento. No possui tamanho definido e pode ser escrito usando o formato HTML. pop-up no aberto: Esse campo informativo. Caso o applet apresente erro ao carregar, este texto ser mostrado ao usurio como resposta ao erro ocorrido.

380

Applet

Figura 287 - VPN SSL - Applet.

Usar o logo customizado: Ao habilitar essa opo, permite ao usurio apresentar o seu logotipo no applet. Alterar arquivo: Este boto permite trocar o logotipo apresentado. Este boto apenas aparece quando a opo Usar o logo customizado for selecionada. Porta: Esta opo permite definir a porta na qual o applet vai se conectar no firewall para fazer o tnel SSL. 381

Timeout da Conexo: Este campo informa o tempo em segundos que a conexo pode ficar sem trafegar nenhum dado no tnel SSL. Ao expirar esse tempo o tnel ser fechado. Usando a applet: Este campo mostra informaes gerais de utilizao do applet. O texto no pode ser em formato HTML e no possui tamanho definido. Visualizao: Nesta rea podem ser visualizadas todas as configuraes visuais aplicadas ao applet, sendo incluso o ttulo e os logotipos da Aker e do Cliente.

Cliente O cliente necessita de um browser e do Java virtual Machine instalado para ter acesso, que realizado atravs da seguinte url: https:\\ IP do Firewall a ser acessado. Para essa funcionalidade necessrio habilitar o Filtro WEB e marcar a opo Forar Autenticao na aba Geral. Aps o usurio aceitar os certificados, aparecer uma tela de autenticao, onde usurio e senha definiro qual o perfil de acesso e quais portas de comunicao tero permisso na VPN.

382

Instalao do Aker Authentication Agent Para realizar a instalao deve-se Baixar o Aker Authentication Agent; Clicar na boto Avanar;

Figura 288 Mensagem de boas vindas ao Assistente de Instalao do Aker Authentication Agent.

383

Ler o Contrato de Licena de Programa; Clicar na opo Aceito os termos do contrato de licena; Clicar no boto Avanar;

Figura 289 Contrato de licena de instalao do programa.

384

Surgir a tela Pasta de Destino; Caso queria instalar o arquivo em uma pasta diferente, deve-se clicar em Alterar. Se desejar instalar na pasta indicada, clicar no boto Avanar;

Figura 290 Pasta de destino de instalao.

385

Surgir a tela dizendo a seguinte mensagem: Pronto para instalar o programa, ou seja, o assistente encontra-se pronto para realizar a instalao. Caso esteja tudo ok, clicar em Instalar, se desejar realizar alguma alterao nas telas anteriores, clicar no boto Voltar.

Figura 291 Mensagem que o assistente est pronto para realizar a instalao.

386

Surgir a tela dizendo mostrando o status de instalao. Caso deseje cancelar o processo, basta clicar no boto Cancelar.

Figura 292 Barra de status da instalao.

387

Aps a concluso da instalao surgir tela de concluso, informando que a instalao foi realizada com sucesso, para encerrar, basta clicar no boto Concluir.

Figura 293 Mensagem de instalao do Aker Authentication Agent foi instalado com sucesso.

388

Figura 294 - Perfil de acesso Permisso VPN.

Aps a autenticao ser realizada com sucesso teremos o Applet rodando com as informaes que foram configuradas na sesso Applet que vimos h pouco:

389

Figura 295 - VPN SSL Instrues gerais.

O acesso aos servios atravs da VPN so realizados atravs do IP: 127.0.0.1:<porta> Esta porta de comunicao configurada em Configurao do Firewall, Perfis na aba VPN-SSL (Proxy SSL).

390

Configurando o Proxy SSL

391

11.

Configurando criptografia Cliente-Firewall


Este captulo mostra para que serve e como configurar a Proxy SSL no Aker Firewall.

O que um Proxy SSL? Um Proxy SSL uma VPN cliente-firewall, feita atravs do protocolo SSL, e que tem como principal caracterstica a utilizao do suporte nativo a este protocolo que est presente em vrias aplicaes: navegadores, leitores de e-mail, emuladores de terminal, etc. Devido ao suporte nativo destas aplicaes, no necessria a instalao de nenhum cliente para o estabelecimento da VPN. O seu funcionamento simples: de um lado o cliente se conecta ao firewall atravs do protocolo SSL, autenticando-se atravs de certificados X.509 (caso seja o desejo do administrador que a autenticao seja demandada) e o firewall ento se conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexo SSL com o servidor e, este, enxerga uma conexo em claro (transparente) com o cliente. Utilizando um Proxy SSL Para utilizar um Proxy SSL em uma comunicao, necessrio executar uma sequncia de 2 passos: Criar um servio que ser interceptado pelo proxy SSL e edita-se os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). Acrescentar regras de filtragem de perfis SSL, permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o item Configurando regras de Proxy SSL).

392

Figura 296 - VPN SSL Instrues gerais.

11.1.

Editando os parmetros de um contexto SSL

A janela de propriedades de um contexto SSL ser mostrada quando a opo Proxy SSL for selecionada. Atravs dela possvel definir o comportamento do proxy SSL quando este for lidar com o servio em questo.

393

A janela de propriedades de um contexto SSL

Figura 297 - Edio dos parmetros de um contexto SSL.

Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste de duas abas distintas: a primeira permite a configurao dos parmetros e a segunda definio do certificado que ser apresentado ao cliente no estabelecimento da VPN. Aba Geral Porta do servidor: Este campo indica a porta que o servidor estar esperando receber a conexo, em claro, para o servio em questo. Permitir autenticao de usurio: Este campo, se estiver marcado, indica que os usurios podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja desmarcado, somente sesses annimas sero autorizadas, o que implica na utilizao do perfil de acesso padro sempre. Forar autenticao de usurio: Se este campo estiver marcado, no sero aceitas sesses de Proxy SSL nas quais o usurio no tenha apresentado um certificado X.509 vlido.

394

Inatividade do cliente: Este campo indica o tempo mximo em segundos que o firewall manter a sesso de Proxy SSL ativa (desde que a sesso j tenha sido estabelecida) sem o recebimento de dados por parte do cliente. Conexo: Este campo indica o tempo mximo em segundos que o firewall aguardar pelo estabelecimento da conexo com o servidor. Autenticao SSL: Este campo indica o tempo mximo em segundos que o firewall aguardar para que o cliente realize, com sucesso, uma autenticao SSL. Avanado: Este boto permite o acesso a parmetros de configurao que no so normalmente utilizados. So eles: Permitir um usurio acessar de IPs diferentes ao mesmo tempo : Este campo, se estiver marcado, permite que um mesmo usurio estabelea sesses simultneas a partir de mquinas diferentes. Caso esteja desmarcado, se um usurio j possuir uma sesso em uma mquina, tentativas de abertura a partir de outras mquinas sero recusadas. Tempo de manuteno de sesso: Como no existe o conceito de sesso em uma Proxy SSL, necessrio que o proxy simule uma sesso, mantendo um usurio logado por algum tempo aps o fechamento da ltima conexo, caso seja necessrio impedir que um mesmo usurio acesse simultaneamente de mquinas diferentes. O que este campo especifica por quanto tempo, em segundos, o firewall deve considerar um usurio como logado aps o fechamento da ltima conexo. Permitir o uso de SSL v2: Este campo indica se o firewall deve ou no aceitar uma conexo SSL usando a verso 2 deste protocolo. A verso 2 do protocolo SSL possui srios problemas de segurana e recomenda-se que ela no seja utilizada, a no ser que isso seja estritamente necessrio.

395

Aba Certificado

Figura 298 - Exibio do certificado do proprietrio X.509.

Esta aba utilizada para especificar o certificado X.509 que ser apresentado ao cliente quando ele tentar estabelecer uma Proxy SSL. possvel criar uma requisio que posteriormente ser enviada para ser assinada por uma CA ou importar um certificado X.509 j assinado, em formato PKCS#12. Criar requisio: Este boto permite que seja criada uma requisio que posteriormente ser enviada a uma CA para ser assinada. Ao ser clicado, sero mostrados os campos do novo certificado a ser gerado e que devem ser preenchidos. Aps o preenchimento deve-se clicar no boto OK, que far com que a janela seja alterada para mostrar os dados da requisio recm criada, bem como dois botes para manipul-la: O boto Salvar em arquivo permite salvar a requisio em um arquivo para que ela seja ento enviada a uma CA que ir assin-la. O boto Instalar esta requisio permite importar o certificado j assinado pela CA. Importar certificado PKCS#12: 396

Este boto provocar o aparecimento de um dilogo onde pode especificar o nome do arquivo com o certificado X.509 que ser importado.

11.2.

Configurando regras de Proxy SSL

Aps a definio de um ou mais contextos SSL, mostrados no tpico anterior, necessrio configurar os perfis de acesso dos usurios de modo a definir que servios eles podem acessar atravs de sesses de VPN SSL. Esta configurao fica na aba SSL, dentro de cada perfil de acesso. Para maiores informaes de como realizar o cadastramento das regras, consultar o tpico Cadastrando perfis de acesso.

397

Integrao dos Mdulos do Firewall

398

12.

Integrao dos Mdulos do Firewall


Neste captulo ser mostrada a relao entre os trs grandes mdulos do Aker Firewall: o filtro de pacotes, o conversor de endereos e o mdulo de criptografia e autenticao. Ser mostrado tambm o fluxo pelo qual os pacotes atravessam desde sua chegada ao Firewall at o momento de serem aceitos ou rejeitados.

12.1.

O fluxo de pacotes no Aker Firewall

Nos captulos anteriores deste manual foram mostrados separadamente os trs grandes mdulos do Aker Firewall e todos os detalhes pertinentes configurao de cada um. Ser mostrado agora como um pacote os atravessam e quais alteraes ele pode sofrer em cada um deles. Basicamente, existem dois fluxos distintos: um para pacotes que so emitidos pela rede interna e tem como destino alguma mquina da rede externa (fluxo de dentro para fora) ou pacotes que so gerados na rede externa e tem como destino alguma mquina da rede interna (fluxo de fora para dentro). O fluxo de dentro para fora Todo o pacote da rede interna ao atingir o firewall passa pelos mdulos na seguinte ordem: mdulo de montagem, filtro de pacotes, conversor de endereos e mdulo de encriptao.

Figura 299 - Fluxo do pacote da rede interna ao atingir o firewall.

O mdulo de montagem O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP recebidos at que estes possam ser montados e convertidos em um pacote completo. Este pacote ser ento entregue para os demais mdulos. O filtro de pacotes

399

O filtro de pacotes possui a funo bsica de validar um pacote de acordo com as regras definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou no ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser repassado para os demais mdulos, caso contrrio ser descartado e o fluxo terminado. O conversor de endereos O conversor de endereos recebe um pacote j autorizado a trafegar e verifica, de acordo com sua configurao, se este deve ter o endereo de origem convertido. Em caso positivo, ele o converte do contrrio o pacote no sofre quaisquer alteraes. Independente de ter sido convertido ou no, o pacote ser repassado para o mdulo de criptografia. O mdulo de encriptao O mdulo de encriptao recebe um pacote validado e com os endereos convertidos e decide baseado em sua configurao, se este pacote deve ser encriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, o pacote ser autenticado, encriptado, e sofrer o acrscimo de cabealhos especficos destas operaes. Independentemente de ter sido encriptado/autenticado ou no, o pacote ser enviado pela rede. O fluxo de fora para dentro Todo o pacote proveniente da rede externa, em direo rede interna, ao atingir o firewall passa pelos mdulos na seguinte ordem: mdulo de montagem, mdulo de decriptao, conversor de endereos e filtro de pacotes.

Figura 300 - Fluxo do pacote da rede externa em direo rede interna.

O mdulo de montagem O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP recebidos at que estes possam ser montados e convertidos em um pacote completo. Este pacote ser ento entregue para os demais mdulos.

400

O mdulo de decriptao O mdulo de decriptao tem a funo de remover os cabealhos adicionados pelo mdulo de encriptao, verificar a assinatura de autenticao do pacote e decriptlo. Caso a autenticao ou a criptografia apresentem erro, o pacote ser descartado. A outra funo deste mdulo assegurar que todos os pacotes que cheguem de uma rede para a qual existe um canal seguro estejam vindo criptografados. Caso um pacote venha de uma rede para a qual existe um canal de criptografia ou autenticao e se este pacote no estiver autenticado ou criptografado, ele ser descartado. Caso o pacote tenha sido validado com sucesso, este ser repassado para o conversor de endereos. O conversor de endereos O conversor de endereos recebe um pacote e verifica se o endereo destino deste pacote um dos IPs virtuais. Em caso positivo, este endereo convertido para um endereo real. Independente de ter sido convertido ou no, o pacote ser repassado para o filtro de pacotes. O filtro de pacotes O filtro de pacotes o ltimo mdulo do fluxo de fora para dentro. Ele possui a funo bsica de validar os pacotes recebidos de acordo com as regras definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou no ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser repassado para a mquina destino, caso contrrio ele ser descartado.

12.2.

Integrao do filtro com a converso de endereos

Quando vai configurar as regras de filtragem para serem usadas com mquinas cujos endereos sero convertidos surge seguinte dvida: Deve-se usar os endereos reais das mquinas ou os endereos virtuais? Esta dvida facilmente respondida ao analisar o fluxo dos pacotes: No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois possuem seus endereos convertidos (se for o caso), ou seja, o filtro recebe os endereos reais das mquinas. 401

No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor de endereos que converte os endereos destino dos IPs virtuais para os endereos reais. Aps isso os pacotes so enviados para o filtro de pacotes, ou seja, novamente o filtro de pacotes recebe os pacotes com os endereos reais. Em ambos os casos, o filtro no sabe da existncia dos endereos virtuais, o que nos leva a fazer a seguinte afirmao: Ao criar regras de filtragem deve-se ignorar a converso de endereos. As regras devem ser configuradas como se as mquinas origem e destino estivessem conversando diretamente entre si, sem o uso de qualquer tipo de converso de endereos.

12.3.

Integrao do filtro com a converso e a criptografia

No tpico anterior, mostramos como configurar as regras de filtragem para mquinas cujos endereos sero convertidos. A concluso foi de que deveria trabalhar apenas com os endereos reais, ignorando a converso de endereos. Agora, pode-se acrescentar mais uma pergunta: ao configurar os fluxos de criptografia para mquinas que sofrero converso de endereos, deve-se usar os endereos reais destas mquinas ou os endereos virtuais? Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes: No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois possuem seus endereos convertidos (se for o caso) e por fim so repassados para o mdulo de encriptao. Devido a isso, o mdulo de encriptao recebe os pacotes como se eles fossem originados dos endereos virtuais. No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo mdulo de decriptao e so decriptados (se for o caso). A seguir so enviados para o conversor de endereos, que converte os IPs virtuais para reais, e por fim so enviados para o filtro de pacotes. O mdulo de decriptao recebe os pacotes antes de eles terem seu endereo convertido e, portanto, com os endereos virtuais. Em ambos os casos, o mdulo de criptografia recebe os pacotes como se eles tivessem origem ou destino nos IPs virtuais. Ao se criar fluxos de criptografia, deve-se prestar ateno converso de endereos. Os endereos de origem e destino devem ser colocados como se o fluxo se originasse ou tivesse como destino IPs virtuais.

402

Configurando a Segurana

403

13.

Configurando a Segurana
Este captulo mostra como configurar a proteo contra ataques no mdulo de segurana do Aker Firewall.

13.1.

Proteo contra SYN Flood

O que um ataque de SYN flood? SYN Flood um dos mais populares ataques de negao de servio ( denial of service). Esses ataques visam impedir o funcionamento de uma mquina ou de um servio especfico. No caso do SYN Flood, possvel inutilizar quaisquer servios baseados no protocolo TCP. Para entender este ataque, necessrio primeiro entender o funcionamento do protocolo TCP, no que diz respeito ao estabelecimento de conexes: O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexo: 1. A mquina cliente envia um pacote para a mquina servidora com um flag especial, chamado de flag de SYN. Este flag indica que a mquina cliente deseja estabelecer uma conexo. 2. A mquina servidora responde com um pacote contendo os flags de SYN e ACK. Isto significa que ela aceitou o pedido de conexo e est aguardando uma confirmao da mquina cliente para marcar a conexo como estabelecida. 3. A mquina cliente, ao receber o pacote com SYN e ACK, responde com um pacote contendo apenas o flag de ACK. Isto indica para a mquina servidora que a conexo foi estabelecida com sucesso. Todos os pedidos de abertura de conexes recebidas por um servidor ficam armazenadas em uma fila especial, que tem um tamanho pr-determinado e dependente do sistema operacional, at que o servidor receba a comunicao da mquina cliente de que a conexo est estabelecida. Caso o servidor receba um pacote de pedido de conexo e a fila de conexes em andamento estiver cheia, este pacote descartado. O ataque consiste basicamente em enviar um grande nmero de pacotes de abertura de conexo, com um endereo de origem forjado, para um determinado servidor. Este endereo de origem forjado para o de uma mquina inexistente (muitas vezes usa um dos endereos reservados descritos no captulo sobre converso de endereos). O servidor, ao receber estes pacotes, coloca uma entrada na fila de conexes em andamento, envia um pacote de resposta e fica aguardando 404

uma confirmao da mquina cliente. Como o endereo de origem dos pacotes falso, esta confirmao nunca chega ao servidor. O que acontece que em um determinado momento, a fila de conexes em andamento do servidor fica lotada. A partir da, todos os pedidos de abertura de conexo so descartados e o servio inutilizado. Esta inutilizao persiste durante alguns segundos, pois o servidor ao descobrir que a confirmao est demorando demais, remove a conexo em andamento da lista. Entretanto, se o atacante persistir em mandar pacotes seguidamente, o servio ficar inutilizado enquanto ele assim o fizer. Nem todas as mquinas so passveis de serem atingidas por ataques de SYN Flood. Implementaes mais modernas do protocolo TCP possuem mecanismos prprios para inutilizarem ataques deste tipo.

Como funciona a proteo contra SYN flood do Aker Firewall?

O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN flood seja bem sucedido. Seu funcionamento baseia-se nos seguintes passos: 1. Ao chegar um pacote de abertura de conexo (pacote com flag de SYN, mostrado no tpico acima) para uma mquina servidora a ser protegida, o firewall registra isso em uma tabela e deixa o pacote passar (evidentemente, ele s deixar o pacote passar se este comportamento for autorizado pelas regras de filtragem configuradas pelo administrador. Para maiores detalhes veja o captulo intitulado O filtro de estados); 2. Quando chegar a resposta do servidor dizendo que a conexo foi aceita (pacote com os flags SYN e ACK), o firewall imediatamente enviar um pacote para o servidor em questo confirmando a conexo e deixar o pacote de resposta passar em direo mquina cliente. A partir deste momento, ser acionado um relgio interno no firewall que marcar o intervalo de tempo mximo em que o pacote de confirmao do cliente dever chegar; 3. Se a abertura de conexo for uma abertura normal, dentro de um intervalo de tempo menor que o mximo permitido, a mquina cliente responder com um pacote confirmando o estabelecimento da conexo. Este pacote far o firewall considerar vlido o pedido de abertura de conexo e desligar o relgio interno; 4. Caso a mquina cliente no responda dentro do tempo mximo permitido, o firewall mandar um pacote especial para a mquina servidora que far com que a conexo seja derrubada. Com estes procedimentos, o firewall consegue impedir que a fila de conexes em andamento na mquina servidora fique cheia, j que todas as conexes pendentes sero estabelecidas to logo os pacotes de reposta atinjam o firewall. O ataque de SYN flood, portando, no ser efetivado. 405

Cabe enfatizar que todo o funcionamento desta proteo baseia-se no intervalo de tempo mximo de espera pelos pacotes de confirmao dos clientes. Se o intervalo de tempo for muito pequeno, conexes vlidas podem ser recusadas. Se o intervalo for muito grande, a mquina servidora, no caso de um ataque, ficar com um grande nmero de conexes abertas o que poder provocar problemas ainda maiores.

13.2.

Utilizando a Interface Remota para Proteo contra SYN Flood

Para ter acesso a janela de configurao dos parmetros de proteo contra SYN Flood, deve-se:

Figura 301 - SYN Flood.

Clicar no menu Segurana na janela do Firewall que deseja administrar. Selecionar o item SYN Flood.

406

A janela de configurao da proteo contra SYN flood

Figura 302 - SYN Flood Ativao de proteo SYN Flood.

O boto OK far com que os parmetros de configurao sejam atualizados e a janela fechada. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta.

Significado dos campos da janela: Ativar proteo SYN flood: Esta opo deve estar marcada para ativar a proteo contra SYN flood e desmarcada para desativ-la. (ao desabilitar a proteo contra SYN flood, as configuraes antigas continuam armazenadas, mas no podem ser alteradas). Durao mxima do handshake do TCP: Esta opo define o tempo mximo, em unidades de 500ms, que o firewall espera por uma confirmao do fechamento das conexes por parte do cliente. Se este intervalo de tempo for atingido, ser enviado um pacote para as mquinas servidoras derrubando a conexo. O valor ideal deste campo pode variar para cada instalao, mas sugere-se valores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5 segundos. 407

A lista de mquinas e redes a proteger Esta lista define as mquinas ou redes que sero protegidos pelo firewall. Para incluir uma nova entidade na lista de proteo, deve-se proceder de um dos seguintes modos: Executar uma operao de drag-n-drop (arrastar e soltar) da janela de entidades diretamente para a lista de hosts e redes a proteger; Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o boto direito do mouse ou com a tecla correspondente no teclado e seleciona-se Adicionar entidades, para ento escolher aquelas que sero efetivamente includas na lista. Para remover uma entidade da lista de proteo, deve-se marc-la e pressionar a tecla delete, ou escolher a opo correspondente no menu de contexto, acionado com o boto direito do mouse ou com a tecla correspondente: Deve-se colocar na lista de entidades a serem protegidas todas as mquinas servidoras de algum servio TCP passvel de ser utilizado por mquinas externas. No se deve colocar o endereo do prprio firewall nesta lista, uma vez que o sistema operacional Linux no suscetvel a ataques de SYN flood.

13.3.

Proteo de Flood

O que um ataque de Flood? Os ataques de Flood se caracterizam por existir um elevado nmero de conexes abertas e estabelecidas contra servidores web, ftp, smtp e etc, a partir de outras mquinas existentes na Internet que foram invadidas e controladas para perpetrar ataques de negao de servio (DoS). A proteo tambm til para evitar abuso do uso de determinados servios (sites de download, por exemplo) e evitar estragos maiores causados por vrus, como o NIMDA, que fazia com que cada mquina infectada abrisse centenas de conexes simultaneamente.

408

Como funciona a proteo contra Flood do Aker Firewall? O Aker Firewall possui um mecanismo que visa impedir que um ataque de Flood seja bem sucedido. Seu funcionamento baseia na limitao de conexes que possam ser abertas simultaneamente a partir de uma mesma mquina para uma entidade que est sendo protegida. O administrador do firewall deve estimar este limite dentro do funcionamento cotidiano de cada servidor ou rede a ser protegida.

13.4.

Utilizando a Interface Remota para Proteo de Flood

Figura 303 - Proteo de Flood.

Clicar no menu Segurana na janela do Firewall. Selecionar o item Proteo de Flood.

409

A janela de configurao da proteo de Flood

Figura 304 - Proteo de Flood - Configurao.

O boto OK far com que os parmetros de configurao sejam atualizados e a janela fechada. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta.

Significado dos campos da janela: Nmero: Corresponde ao nmero da regra de Proteo de Flood. Origem: Neste campo pode ser uma rede ou mquina de onde poder ser originado um ataque de DDoS. Destino: Incluir neste campo mquinas ou redes que deseja proteger. Servios: Portas de servios que se desejam proteger. Poder ser includo no campo mais de uma entidade. Conexes Mximas: Campo numrico onde deve informar o nmero mximo de conexes que a entidade pode receber a partir de uma mesma origem.

A quantidade mxima de conexes nas regras de proteo de flood no a quantidade agregada de conexes a partir da origem especificada, mas sim a quantidade, por endereo IP nico que encaixa na origem informada, de conexes simultneas. Desta forma, por exemplo, havendo a necessidade de limitar o nmero 410

de downloads simultneos por usurio em 2, esse nmero dever ser 2, independentemente do nmero de usurios que faam os downloads.

13.5.

Proteo Anti Spoofing

O que um Spoofing? O spoofing do IP envolve o fornecimento de informaes falsas sobre uma pessoa ou sobre a identidade de um host para obter acesso no-autorizado a sistemas e/ou aos sistemas que eles fornecem. O spoofing interfere na forma como um cliente e um servidor estabelecem uma conexo. Apesar de o spoofing poder ocorrer com diversos protocolos especficos, o spoofing do IP o mais conhecido dentre todos os ataques de spoofing. A primeira etapa de um ataque de spoofing identificar duas mquinas de destino, que chamaremos de A e B. Na maioria dos casos, uma mquina ter um relacionamento confivel com a outra. esse relacionamento que o ataque de spoofing tentar explorar. Uma vez que os sistemas de destino tenham sido identificados, o violador tentar estabelecer uma conexo com a mquina B de forma que B acredite que tem uma conexo com A, quando na realidade a conexo com a mquina do violador, que chamaremos de X. Isso feito atravs da criao de uma mensagem falsa (uma mensagem criada na mquina X, mas que contm o endereo de origem de A) solicitando uma conexo com B. Mediante o recebimento dessa mensagem, B responder com uma mensagem semelhante que reconhece a solicitao e estabelece nmeros de sequncia. Em circunstncias normais, essa mensagem de B seria combinada a uma terceira mensagem reconhecendo o nmero de sequncia de B. Com isso, o "handshake" seria concludo, e a conexo poderia prosseguir. No entanto, como acredita que est se comunicando com A, B envia sua resposta a A, e no para X. Com isso, X ter de responder a B sem conhecer os nmeros de sequncia gerados por B. Portanto, X dever adivinhar com preciso nmeros de sequncia que B utilizar. Em determinadas situaes, isso mais fcil do que possa imaginar. No entanto, alm de adivinhar o nmero de sequncia, o violador dever impedir que a mensagem de B chegue at A. Se a mensagem tivesse de chegar a A, A negaria ter solicitado uma conexo, e o ataque de spoofing falharia. Para alcanar esse objetivo, normalmente o intruso enviaria diversos pacotes mquina A para esgotar sua capacidade e impedir que ela respondesse mensagem de B. Essa tcnica conhecida como "violao de portas". Uma vez que essa operao tenha chegado ao fim, o violador poder concluir a falsa conexo. O spoofing do IP, como foi descrito, uma estratgia desajeitada e entediante. No entanto, uma anlise recente revelou a existncia de ferramentas capazes de executar um ataque de spoofing em menos de 20 segundos. O spoofing de IP uma ameaa perigosa, cada vez maior, mas, por sorte, relativamente fcil criar 411

mecanismos de proteo contra ela. A melhor defesa contra o spoofing configurar roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja um host da rede interna. Essa simples precauo impedir que qualquer mquina externa tire vantagem de relacionamentos confiveis dentro da rede interna. Como funciona a proteo contra Spoofing do Aker Firewall? O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofing seja bem sucedido. Seu funcionamento baseia-se no cadastramento das redes que esto sendo protegidas pelo firewall ou seja, atrs de cada interface de rede do firewall. Nas redes internas, s sero aceitos pacotes das entidades cadastradas e, das externas, somente pacotes cujo IP origem no se encaixe em nenhuma entidade cadastrada nas redes internas (todas). O administrador do firewall deve ento fazer o levantamento destas redes, criar as entidades correspondentes e utilizar a Interface Remota para montar a proteo.

13.6.

Utilizando a Interface Remota para Anti Spoofing

Figura 305 - Anti Spoofing.

Clicar no menu Segurana na janela do Firewall. Selecionar o item Anti Spoofing.

412

A janela de configurao de Anti Spoofing

Figura 306 - Anti Spoofing Ativao do controle.

O boto OK far com que os parmetros de configurao sejam atualizados e a janela fechada. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta.

Significado dos campos da janela: Ativao do controle anti-spoofing: A marcao da caixa ativa a proteo Anti Spoofing. Interface: Corresponde a interface cadastrada no firewall pelo administrador. Status: Neste campo mostrado o estado da interface, ou seja, se est ativa ou no. Este campo no pode ser editado. Tipo: Por padro este campo marcado como Externa. Ao clicar com o boto direito do mouse poder ser trocado o tipo para Protegida, passando o campo Entidades para a condio de editvel. Protegida significa que a interface est conectada a uma rede interna e somente sero aceitos pacotes com endereos IP originados em alguma das entidades especificadas na regra. Externa significa que uma interface conectada a Internet da qual sero aceitos pacotes provenientes de quaisquer endereos origem, exceto 413

os pertencentes a entidades listadas nas regras de interfaces marcadas como Protegidas. Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista de todas as redes e/ou mquinas que se encontram conectadas a esta interface.

13.7.

Utilizando a Interface Texto - Synge Flood

A Interface Texto de configurao da proteo contra SYN flood bastante simples de ser usada e tem as mesmas capacidades da Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando poderam ser acessados sem o prefixo FW). . Localizao do programa:/aker/bin/firewall/fwflood Sintaxe: Ajuda do programa: Firewall Aker fwflood - Configura parmetros de proteo contra SYN Flood Uso: fwflood [ativa | desativa | mostra | ajuda] fwflood [inclui | remove] <nome> fwflood tempo <valor> ativa desativa mostra inclui remove tempo ajuda = ativa proteo contra SYN Flood = desativa proteo contra SYN Flood = mostra a configurao atual = inclui uma entidade a ser protegida = remove uma das entidades a serem protegidas = configura o tempo mximo de espera para fechar conexo = mostra esta mensagem

Para inclui / remove temos: nome = nome da entidade a ser protegida ou removida da proteo. Para tempo temos: valor = tempo mximo de espera em unidades de 500ms

414

Exemplo 1: (visualizando a configurao) #/aker/bin/firewall/fwflood mostra Parmetros de configurao: ------------------------------------Proteo contra SYN Flood: ativada Tempo limite de espera : 6 (x 500 ms) Lista de entidades a serem protegidas: ------------------------------------NT1 (Mquina) NT3 (Mquina)

13.8.

Utilizando a Interface Texto - Proteo de Flood

Localizao do programa:/aker/bin/firewall/fwmaxconn Sintaxe: Firewall Aker Uso: fwmaxconn ajuda fwmaxconn mostra fwmaxconn inclui <pos> <origem> <destino> <servio> <n_conns> fwmaxconn remove <pos> fwmaxconn < habilita | desabilita > <pos> os parmetros so: pos: posio da regra na tabela origem: mquina/rede de onde se origina as conexes destino: mquina/rede a que se destinam as conexes servio: servio de rede para o qual existe a conexo n_conns: nmero mximo de conexes simultneas de mesma origem Exemplo 1: (visualizando a configurao) #/aker/bin/firewall/fwmaxconn mostra Regra 01 -------Origem: Rede_Internet Destino: NT1 Servios: HTTP Conexes: 5000 Regra 02 -------Origem: Rede_Internet Destino: NT3 Servios: FTP 415

Conexes : 10000 Regra 03 -------Origem: Rede_Internet Destino: Rede_Interna Servios: Gopher Conexes: 100

13.9.

Utilizando a Interface Texto - Anti Spoofing

Localizao do programa:/aker/bin/firewall/fwifnet Firewall Aker Uso: fwifnet [ajuda | mostra] fwifnet inclui interface <nome_if> [externa] fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ... fwifnet remove [-f] interface <nome_if> fwifnet remove rede <nome_if> <endereco_IP> <mascara> fwifnet <habilita | desabilita> Ajuda do programa: Uso: fwifnet [ajuda | mostra] fwifnet inclui interface <nome_if> [externa] fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ... fwifnet remove [-f] interface <nome_if> fwifnet remove rede <nome_if> <endereco_IP> <mascara> para inclui/remove temos: interface: o nome da interface de rede a ser controlada externa: se esta palavra estiver presente, a interface ser considerada externa pelo firewall rede: uma rede permitida em uma interface no externa Exemplo 1: (visualizando a configurao) #/aker/bin/firewall/fwifnet mostra Firewall Aker Status do modulo anti-spoofing: habilitado Interface cadastrada: Interf_DMZ Rede permitida: Rede_DMZInterface cadastrada: Interf_externa (externa) Interface cadastrada: Interf_interna Rede permitida: Rede_Interna 416

13.10. Bloqueio por excesso de tentativas de login invlidas

Figura 307 - Bloqueio de excesso de tentativas de login invlidas - Eventos.

O firewall, por padro, vem com bloqueio de excesso de tentativas de login invlidas via control center. Caso um IP realize trs tentativas de conexes com usurios e/ou senhas invlidos, o firewall no permite mais conexes por um perodo de tempo. So criados eventos de log que podem ser vistos na janela de log, eles contm informaes sobre o horrio do bloqueio e o IP que realizou a tentativa.

417

Configurando as Aes do Sistema

418

14.

Configurando Aes de Sistema


Este captulo mostra como configurar as respostas automticas do sistema para situaes pr-determinadas. O que so as aes do sistema? O Aker Firewall possui um mecanismo que possibilita a criao de respostas automticas para determinadas situaes. Estas respostas automticas so configuradas pelo administrador em uma srie de possveis aes independentes que sero executadas quando uma situao pr-determinada ocorrer. Para que servem as aes do sistema? O objetivo das aes possibilitar um alto grau de interao do Firewall com o administrador. Com o uso delas, possvel, por exemplo, que seja executado um programa capaz de cham-lo atravs de um pager quando a mquina detectar que um ataque est em andamento. Desta forma, o administrador poder tomar uma ao imediata, mesmo que ele no esteja no momento monitorando o funcionamento do Firewall.

14.1.

Utilizando a Interface Remota

Para ter acesso a janela de configurao das aes deve-se:

Figura 308 - Aes.

419

Clicar no menu Configuraes do Sistema; Selecionar o item Aes. A janela de configurao das aes Ao selecionar esta opo, a janela de configuraes das aes a serem executadas exibida. As aes dividem-se em mdulos (Autenticao/Criptografia, Criptografia IPSEC, dentre outros) e, para cada mensagem de log, evento ou pacote no enquadrado na regra, possvel determinar aes independentes. A janela ter a seguinte forma:

Figura 309 - Aes Mensagens de logs.

Para selecionar as aes a serem executadas para as mensagens mostradas na janela, deve-se clicar com o boto direito do mouse sobre as mensagens. A cada opo selecionada aparecer um cone correspondente.

420

Figura 310 - Aes a serem executadas para mensagens exibidas.

Se a opo estiver marcada com o cone aparente, a ao correspondente ser executada pelo Firewall quando a mensagem ocorrer. So permitidas as seguintes aes:

Logar: Quando selecionada essa opo, todas as vezes que a mensagem correspondente ocorrer, ela ser registrada pelo firewall; Enviar email: Quando selecionada essa opo, ser enviado um e-mail todas as vezes que a mensagem correspondente ocorrer (a configurao do endereo de e-mail ser mostrada no prximo tpico); Executar programa: Ao marcar essa opo, ser executado um programa definido pelo administrador todas as vezes que a mensagem correspondente ocorrer (a configurao do nome do programa a ser executado ser mostrada no prximo tpico); Disparar mensagens de alarme: Quando selecionada essa opo, o firewall mostra uma janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de alerta ser mostrada na mquina onde a Interface Remota estiver aberta e, se a mquina permitir, ser emitido tambm um aviso sonoro. Caso a Interface Remota no esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser ignorada (esta ao particularmente til para chamar a ateno do administrador quando ocorrer uma mensagem importante); Enviar trap SNMP: Quando selecionada essa opo, ser enviada uma Trap SNMP para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configurao dos parmetros de configurao para o envio das traps ser mostrada no prximo tpico).

No possvel alterar as aes para a mensagem de inicializao do firewall (mensagem nmero 43). Esta mensagem sempre ter como aes configuradas apenas a opo Loga. Significado dos botes da janela de aes

O boto OK far com que a janela de aes seja fechada e as alteraes efetuadas aplicadas; O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sero aplicadas; O boto Aplicar far com que as alteraes sejam aplicadas sem que a janela feche. 421

A janela de configurao dos parmetros Para que o sistema consiga executar as aes deve-se configurar certos parmetros (por exemplo, para o Firewall enviar um e-mail, o endereo tem que ser configurado). Estes parmetros so configurados atravs da janela de configurao de parmetros para as aes. Esta janela mostrada Quando selecionada Parmetros na janela de Aes. Ela tem o seguinte formato:

Figura 311 - Aes: Parmetros.

Significado dos parmetros:

Parmetros para executar um programa Arquivo de Programa: Este parmetro configura o nome do programa que ser executado pelo sistema quando ocorrer uma ao marcada com a opo Programa. Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se atentar para o fato de que o programa e todos os diretrios do caminho devem ter permisso de execuo pelo usurio que ir execut-lo (que configurado na prxima opo). O programa receber os seguintes parmetros pela linha de comando (na ordem em que sero passados): 422

1. Nome do prprio programa sendo executado (isto um padro do sistema operacional Unix); 2. Tipo de mensagem (1 - para log ou 2- para evento); 3. Prioridade (7 - depurao, 6 - informao, 5 - notcia, 4 - advertncia ou 3 - erro); 4. Nmero da mensagem que provocou a execuo do programa ou 0 para indicar a causa no foi uma mensagem. (neste caso, a execuo do programa foi motivada por uma regra); 5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia de caracteres pode conter o caractere de avano de linha no meio dela). No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um programa. Isto pode causar confuso para quem estiver acostumado com o ambiente DOS/Windows, que usa a barra invertida "\". Nome efetivo do usurio: Este parmetro indica a identidade com a qual o programa externo ser executado. O programa ter os mesmos privilgios deste usurio. Este usurio deve ser um usurio vlido, cadastrado no Linux. No se deve confundir com os usurios do Aker Firewall, que servem apenas para a administrao do Firewall.

Parmetros para enviar traps SNMP Endereo IP do servidor SNMP: Este parmetro configura o endereo IP da mquina gerente SNMP para a qual o firewall deve enviar as traps. Comunidade SNMP: Este parmetro configura o nome da comunidade SNMP que deve ser enviada nas traps. As traps SNMP enviadas tero o tipo genrico 6 (enterprise specific) e o tipo especfico 1 para log ou 2 para eventos. Elas sero enviadas com o nmero de empresa (enterprise number) 2549, que o nmero designado pela IANA para a Aker Consultoria e Informtica.

Parmetros para enviar e-mail Endereo de e-mail: Este parmetro configura o endereo de e-mail do usurio para o qual devem ser enviados os e-mails. Este usurio pode ser um usurio da prpria mquina ou no (neste caso deve-se colocar o endereo completo, por exemplo user@aker.com.br). Caso queira enviar e-mails para vrios usurios, pode-se criar uma lista e colocar o nome da lista neste campo.

423

importante notar que caso algum destes parmetros esteja em branco, ao correspondente no ser executada, mesmo que ela esteja marcada para tal.

424

14.2.

Utilizando a Interface Texto

A Interface Texto para a configurao das aes possui as mesmas capacidades da Interface Remota, porm, de fcil uso (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Localizao do programa: /aker/bin/firewall/fwaction Sintaxe: fwaction ajuda fwaction mostra fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta] fwaction <programa | usurio | comunidade> [nome] fwaction ip [endereo IP] fwaction e-mail [endereo] Ajuda do programa: fwaction - Interface Texto para a configurao das aes do sistema Uso: fwaction ajuda fwaction mostra fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta] fwaction <programa | usurio | comunidade> [nome] fwaction ip [endereo IP] fwaction e-mail [endereo] ajuda = mostra esta mensagem mostra = lista as mensagens e as aes configuradas para cada uma atribui = configura as aes para uma determinada mensagem programa = define o nome do programa a ser executado usurio = define o nome do usurio que executara o programa comunidade = define o nome da comunidade SNMP para o envio das traps ip = define o endereo IP do servidor SNMP que recebera as traps e-mail = define o nome do usurio que recebera os e-mails Para atribui temos: numero = numero da mensagem a atribuir as aes (o numero de cada mensagem aparece na esquerda ao se selecionar a opo mostra) loga = Loga cada mensagem que for gerada 425

mail = Manda um e-mail para cada mensagem que for gerada trap = Gera trap SNMP para cada mensagem que for gerada programa = Executa programa para cada mensagem que for gerada alerta = Abre janela de alerta para cada mensagem que for gerada Exemplo 1: (configurando os parmetros para envio de e-mail e execuo de programa) #fwaction e-mail root #fwaction programa /aker/bin/pager #fwaction usurio nobody Exemplo 2: (mostrando a configurao completa das aes do sistema) #fwaction mostra Condies Gerais: 00 - Pacote fora das regras >>>> Loga Mensagens do log: 01 - Possvel ataque de fragmentao >>>> Loga 02 - Pacote IP direcionado >>>> Loga 03 - Ataque de land >>>> Loga 04 - Conexo no consta na tabela dinmica >>>> Loga 05 - Pacote proveniente de interface invalida >>>> Loga 06 - Pacote proveniente de interface no determinada >>>> Loga 07 - Conexo de controle no esta aberta >>>> Loga (...) 237 - O Secure Roaming encontrou um erro >>>> Loga 238 - O Secure Roaming encontrou um erro fatal >>>> Loga 239 - Usurios responsveis do Configuration Manager 426

>>>> Loga Parmetros de configurao: programa: /aker/bin/pager usurio: nobody e-mail: root comunidade: ip: Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostra todas ao ser executado. Exemplo 3: (atribuindo as aes para os Pacotes fora das regras e mostrando as mensagens) #fwaction atribui 0 loga mail alerta #fwaction mostra Condies Gerais: 00 - Pacote fora das regras >>>> Loga Mail Alerta Mensagens do log: 01 - Possvel ataque de fragmentao >>>> Loga 02 - Pacote IP direcionado >>>> Loga 03 - Ataque de land >>>> Loga 04 - Conexo no consta na tabela dinmica >>>> Loga 05 - Pacote proveniente de interface invalida >>>> Loga 06 - Pacote proveniente de interface no determinada >>>> Loga 07 - Conexo de controle no esta aberta >>>> Loga (...) 237 - O Secure Roaming encontrou um erro >>>> Loga 427

238 - O Secure Roaming encontrou um erro fatal >>>> Loga 239 - Usurios responsveis do Configuration Manager >>>> Loga

Parmetros de configurao: programa : /aker/bin/pager usurio : nobody e-mail : root comunidade: ip : Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostra todas as mensagens, ao ser executado. Exemplo 4: (cancelando todas as aes para a mensagem de Pacote IP direcionado e mostrando as mensagens) #fwaction atribui 2 #fwaction mostra Condies Gerais: 00 - Pacote fora das regras >>>> Loga Mail Alerta Mensagens do log: 01 - Possvel ataque de fragmentao >>>> Loga Mail 02 - Pacote IP direcionado >>>> 03 - Ataque de land >>>> Loga 04 - Conexo no consta na tabela dinmica >>>> Loga 05 - Pacote proveniente de interface invalida >>>> Loga 06 - Pacote proveniente de interface no determinada >>>> Loga 07 - Conexo de controle no esta aberta >>>> Loga (...) 428

237 - O Secure Roaming encontrou um erro >>>> Loga 238 - O Secure Roaming encontrou um erro fatal >>>> Loga 239 - Usurios responsveis do Configuration Manager >>>> Loga

Parmetros de configurao: programa: /aker/bin/pager usurio: nobody e-mail: root comunidade: ip: Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostra todas ao ser executado.

429

Visualizando o Log do Sistema

430

15.

Visualizando o log do Sistema


Este captulo mostra como visualizar o log do sistema, um recurso imprescindvel na deteco de ataques, no acompanhamento e monitoramento do firewall e na fase de configurao do sistema.

O que o log do sistema? O log o local onde o firewall guarda todas as informaes relativas aos pacotes recebidos. Nele podem aparecer registros gerados por qualquer um dos trs grandes mdulos: filtro de pacotes, conversor de endereos e criptografia/autenticao. O tipo de informao guardada no log depende da configurao realizada no firewall, mas basicamente ele inclui informaes sobre os pacotes que foram aceitos, descartados e rejeitados, os erros apresentados por certos pacotes e as informaes sobre a converso de endereos. De todos estes dados, as informaes sobre os pacotes descartados e rejeitados so possivelmente as de maior importncia, j que so atravs delas que se pode determinar possveis tentativas de invaso, tentativa de uso de servios no autorizados, erros de configurao, etc. O que um filtro de log? Mesmo que o sistema tenha sido configurado para registrar todo o tipo de informao, muitas vezes est interessado em alguma informao especfica (por exemplo, suponha que queira ver as tentativas de uso do servio POP3 de uma determinada mquina que foram rejeitadas em um determinado dia, ou ainda, quais foram aceitas). O filtro de log um mecanismo oferecido pelo Aker Firewall para se criar vises do conjunto total de registros, possibilitando que se obtenham as informaes desejadas facilmente. O filtro s permite a visualizao de informaes que tiverem sido registradas no log. Caso queira obter uma determinada informao, necessrio inicialmente configurar o sistema para registr-la e ento utilizar um filtro para visualiz-la.

431

15.1.

Utilizando a Interface Remota

Para ter acesso a janela de visualizao do log deve-se

Figura 312 - Log.

Clicar no menu Auditoria do firewall que se deseja ver o log; Selecionar a opo Log. A barra de ferramentas do Log Todas as vezes que a opo Log for selecionada mostrada automaticamente a barra de ferramentas de Log. Esta barra, que estar ao lado das outras barras, poder ser arrastada e ficar flutuando acima das informaes do Log. Ela tem o seguinte formato:

Figura 313 - Barra de ferramentas de log.

432

Significado dos cones: Abre a janela de filtragem do firewall;

Figura 314 Boto: Filtragem do Firewall.

Este cone somente ir aparecer quando o firewall estiver fazendo uma procura no Log. Ele permite interromper a busca do firewall;

Figura 315 Boto: Interromper busca do Firewall.

Exporta o log para diversos formatos de arquivos;

Figura 316 - Boto: Exportar log.

Apaga o Log do firewall;

Figura 317 Boto: Apagar log do Firewall.

Realiza uma resoluo reversa dos IP que esto sendo mostrados pelo Log;

Figura 318 - Boto: Resoluo reversa dos IP

Permite fazer uma atualizao da tela de logs dentro de um determinado perodo definido no campo seguinte;

Figura 319 - Boto: atualizao de telas de log.

Define o tempo que o firewall ir atualizar a janela com informaes de 433

log;

Figura 320 - Boto: tempo de atualizao do log.

Percorre o Log para frente e para trs;

Figura 321 - Boto: percorre log.

Expande as mensagens de Log, mostrando as mesmas com o mximo de informao;

Figura 322 - Boto: expandir mensagens de log.

434

Janela de Filtragem de Log

Figura 323 - Filtro de log.

Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. Permite gravar um perfil de pesquisa que poder ser usado posteriormente pelo administrador. Para salvar um filtro de log, deve-se proceder da seguinte forma: 1. Preencher todos os seus campos da forma desejada. 2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado. 3. Clicar no boto Salvar. Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os campos sero automaticamente preenchidos com os dados salvos. 435

Para excluir um filtro, deve-se proceder da seguinte forma: 1. Selecionar o filtro a ser removido, no campo Filtros. 2. Clicar no boto Remover. O filtro padro configurado para mostrar todos os registros do dia atual. Para alterar a visualizao para outros dias, na janela Data/Hora, pode-se configurar os campos De e At para os dias desejados (a faixa de visualizao compreende os registros da data inicial data final, inclusive). Caso queira ver os registros cujos endereos origem e/ou destino do pacote pertenam a um determinado conjunto de mquinas, pode-se utilizar os campos IP / Mscara ou Entidade para especific-lo. O boto permite a escolha do modo de filtragem a ser realizado: caso o boto esteja selecionado, sero mostrados na janela os campos, chamados de IP, Mscara (para origem do pacote) e IP, Mscara (para Destino do pacote). Estes campos podero ser utilizados para especificar o conjunto origem e/ou o conjunto destino. Neste caso, pode-se selecionar uma entidade em cada um destes campos e estas sero utilizadas para especificar os conjuntos origem e destino. O boto pode ser usado independente um do outro, ou seja pode-se optar que seja selecionado pela entidade na origem e por IP e Mscara para o destino.

436

Figura 324 - Filtro de log.

Para monitorar um servio especfico deve-se colocar seu nmero no campo Porta. A partir deste momento s sero mostradas entradas cujo servio especificado for utilizado. importante tambm que seja selecionado o protocolo correspondente ao servio desejado no campo protocolo, mostrado abaixo. No caso dos protocolos TCP e UDP, para especificar um servio, deve-se colocar o nmero da porta destino, associada ao servio, neste campo. No caso do ICMP deve-se colocar o tipo de servio. Para outros protocolos, coloca-se o nmero do protocolo desejado. Alm destes campos, existem outras opes que podem ser combinadas para restringir ainda mais o tipo de informao mostrada: Ao: Representa qual ao o sistema tomou ao lidar com o pacote em questo. Existem as seguintes opes possveis, que podem ser selecionadas independentemente:

Aceito: Mostra os pacotes que foram aceitos pelo firewall. 437

Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall. Descartado: Mostra os pacotes que foram descartados pelo firewall. Convertido: Mostra as mensagens relacionadas converso de endereos.

Prioridade: Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for prioridade associada a um determinado registro, mais importncia deve-se dar a ele. Abaixo est a lista com todas as prioridades possveis, ordenada da mais importante para a menos (caso tenha configurado o firewall para mandar uma cpia do log para o syslogd, as prioridades com as quais as mensagens sero geradas no syslog so as mesmas apresentadas abaixo):

Aviso Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo de ataque ou situao bastante sria (como por exemplo, um erro na configurao dos fluxos de criptografia) est ocorrendo. Este tipo de registro sempre vem precedido de uma mensagem que fornece maiores explicaes sobre ele.

Nota Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou descartados pelo sistema, em virtude destes terem se encaixado em uma regra configurada para rejeit-los ou descart-los ou por no terem se encaixado em nenhuma regra. Em algumas situaes eles podem ser precedidos por mensagens explicativas.

Informao Os registros desta prioridade acrescentam informaes teis mas no to importantes para a administrao do Firewall. Estes registros nunca so precedidos por mensagens explicativas. Normalmente se enquadram nesta prioridade os pacotes aceitos pelo firewall.

Depurao Os registros desta prioridade no trazem nenhuma informao realmente til, exceto quando se est configurando o sistema. Enquadram-se nesta prioridade as mensagens de converso de endereos.

438

Mdulo: Esta opo permite visualizar independentemente os registros gerados por cada um dos trs grandes mdulos do sistema: filtro de pacotes, conversor de endereos, mdulo de criptografia, IPSEC e Clustering.

Protocolo: Este campo permite especificar o protocolo dos registros a serem mostrados. As seguintes opes so permitidas:

TCP Sero mostrados os registros gerados a partir de pacotes TCP. Se esta opo for marcada, a opo TCP/SYN ser automaticamente desmarcada.

TCP/SYN Sero mostrados os registros gerados a partir de pacotes TCP de abertura de conexo (pacotes com o flag de SYN ativo). Se esta opo for marcada, a opo TCP ser automaticamente desmarcada.

UDP Sero mostrados os registros gerados a partir de pacotes UDP.

ICMP Sero mostrados os registros gerados a partir de pacotes ICMP.

Outro

Sero mostrados registros gerados a partir de pacotes com protocolo diferente de TCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado, especificando seu nmero atravs do campo Porta destino ou Tipo de Servio.

O boto OK aplicar o filtro escolhido e mostra a janela de log, com as informaes selecionadas. O boto Cancelar far com que a operao de filtragem seja cancelada e a janela de log mostrada com as informaes anteriores.

439

A janela de log

Figura 325 - Lista com vrias entradas de log.

A janela de log ser mostrada aps a aplicao de um filtro novo. Ela consiste de uma lista com vrias entradas. Todas as entradas possuem o mesmo formato, entretanto, dependendo do protocolo do pacote que as gerou, alguns campos podem estar ausentes. Alm disso, algumas entradas sero precedidas por uma mensagem especial, em formato de texto, que trar informaes adicionais sobre o registro (o significado de cada tipo de registro ser mostrado no prximo tpico).

Observaes importantes:

Os registros sero mostrados de 100 em 100. S sero mostrados os primeiros 10.000 registros que se enquadrem no filtro escolhido. Os demais podem ser vistos exportando o log para um arquivo ou utilizando um filtro que produza um nmero menor de registros. No lado esquerdo de cada mensagem, ser mostrado um cone colorido simbolizando sua prioridade. As cores tm o seguinte significado:

440

Azul Verde Amarelo Vermelho

Depurao Informao Nota Aviso

Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da tela uma linha com informaes adicionais sobre o registro.

Ao se apagar todo o log, no existe nenhuma maneira de recuperar as informaes anteriores. A nica possibilidade de recuperao a restaurao de uma cpia de segurana. Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo de exportao em formato texto, o log ser exportado com as mensagens complementares; caso contrrio, o log ser exportado sem elas. Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa, para guardar uma cpia em formato texto de informaes importantes ou para importar o log por um analisador de log citados acima. Ao ser clicado, ser mostrada a seguinte janela:

Figura 326 - Exportador de log.

441

Figura 327 - Barra de exportao de log porcentagem realizada.

Para exportar o contedo do log, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar. Se j existir um arquivo com o nome informado ele ser apagado.

O boto Prximos, representado como uma seta para a direita na barra de ferramentas, mostra os prximos 100 registros selecionados pelo filtro. Se no existirem mais registros, esta opo estar desabilitada. O boto ltimos, representado como uma seta para a esquerda na barra de ferramentas, mostra os 100 registros anteriores. Se no existirem registros anteriores, esta opo estar desabilitada. O boto Ajuda mostra a janela de ajuda especfica para a janela de log.

15.2.

Formato e significado dos campos dos registros do log

Abaixo segue a descrio do formato de cada registro, seguido de uma descrio de cada um dos campos. O formato dos registros o mesmo para a Interface Remota e para a Interface Texto. Registros gerados pelo filtro de pacotes ou pelo mdulo de criptografia Qualquer um destes registros pode vir precedido de uma mensagem especial. A listagem completa de todas as possveis mensagens especiais e seus significados se encontra no apndice A.

442

Protocolo TCP Formato do registro: <Data> <Hora> - <Repetio> <Ao> TCP <Status> <IP origem> <Porta origem> <IP destino> <Porta destino> <Flags> <Interface>

Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na Interface Texto. Status: Este campo, que aparece entre parnteses na Interface Texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereo IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP destino: Endereo IP destino do pacote que gerou o registro. Porta destino: Porta destino do pacote que gerou o registro. Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este campo consiste de uma a seis letras independentes. A presena de uma letra, indica que o flag correspondente a ela estava presente no pacote. O significado das letras o seguinte: S: SYN F: FIN A: ACK P: PUSH R: RST (Reset) U: URG (Urgent Pointer) Interface: Interface de rede do firewall por onde o pacote foi recebido.

Protocolo UDP 443

Formato do registro: <Data> <Hora> - <Repetio> <Ao> UDP <Status> <IP origem> <Porta origem> <IP destino> <Porta destino> <Interface> Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na Interface Texto. Status: Este campo, que aparece entre parnteses na Interface Texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereo IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP destino: Endereo IP destino do pacote que gerou o registro. Porta destino: Porta destino do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.

Protocolo ICMP Formato do registro: <Data> <Hora> - <Repetio> <Ao> ICMP <Status> <IP origem> <IP destino> <Tipo de servio> <Interface> Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na Interface Texto. Status: Este campo, que aparece entre parnteses na Interface Texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo:

444

A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereo IP de origem do pacote que gerou o registro. IP destino: Endereo IP destino do pacote que gerou o registro. Tipo de servio: Tipo de servio ICMP do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.

Outros protocolos Formato do registro: <Data> <Hora> - <Repetio> <Ao> <Protocolo> <Status> <IP origem> <IP destino> <Interface> Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na Interface Texto. Status: Este campo, que aparece entre parnteses na Interface Texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall no consiga resolver o nome do protocolo, ser mostrado o seu nmero). IP origem: Endereo IP de origem do pacote que gerou o registro. IP destino: Endereo IP destino do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.

445

Registros gerados pelo conversor de endereos Formato do registro: <Data> <Hora> - <Repetio> C <Protocolo> <IP origem> <Porta origem> <IP convertido> <Porta convertida> Descrio dos campos dos registros Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na Interface Texto. Protocolo: o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP. IP origem: Endereo IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP convertido: Endereo IP para o qual o endereo de origem do pacote foi convertido. Porta convertida: Porta para qual a porta de origem do pacote foi convertida.

15.3.

Utilizando a Interface Texto

A Interface Texto para o acesso ao log tem funcionalidade similar da Interface Remota, porm possui opes de filtragem bem mais limitadas. Alm disso, atravs da Interface Texto, no se tem acesso s informaes complementares que so mostradas quando se seleciona uma entrada do log na Interface Remota ou quando se ativa a opo Expande mensagens (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Localizao do programa: /aker/bin/firewall/fwlog Sintaxe: Firewall Aker fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade] Ajuda do programa: Uso: fwlog ajuda fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade] 446

fwlog - Interface Texto para visualizar log e eventos mostra = lista o contedo do log ou dos eventos. Ele pode mostra apenas o log local ou todo o log do cluster apaga = apaga todos os registro do log ou dos eventos ajuda = mostra esta mensagem Para "mostra" temos: data_inicio = data a partir da qual os registros sero mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa) (Se no forem informadas as datas, mostra os registros de hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente sero listados registros cuja prioridade for igual informada) Exemplo 1: (mostrando o log do dia 07/07/2003) #fwlog mostra log 07/07/2003 07/07/2003 07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0 07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0 07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0 07/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0 07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0 07/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1 07/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0 07/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0 Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notcia) #fwlog mostra log 07/07/2003 07/07/2003 noticia 07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0 07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0 07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0 07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0 Exemplo 3: (apagando o arquivo de log) #fwlog apaga log 21/10/2003 23/10/2003 447

Remoo dos registros foi solicitada ao servidor de log

448

Visualizando Eventos do Sistema

449

16.

Visualizando Eventos do Sistema


Este captulo mostra como visualizar os eventos do sistema, um recurso muito til para acompanhar o funcionamento do firewall e detectar possveis ataques e erros de configurao. O que so os eventos do sistema? Eventos so as mensagens do firewall de nvel mais alto, ou seja, no relacionadas diretamente a pacotes (como o caso do log). Nos eventos, podem aparecer mensagens geradas por qualquer um dos trs grandes mdulos (filtro de pacotes, conversor de endereos e autenticao/criptografia) e por qualquer outro componente do firewall, como por exemplo, os proxies e os processos servidores encarregados de tarefas especficas. Basicamente, o tipo de informao mostrada varia desde mensagens teis para acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes que a mquina reiniciada, todas as vezes que algum estabelece uma sesso com o firewall, etc) at mensagens provocadas por erros de configurao ou de execuo. O que um filtro de eventos? Mesmo que o sistema tenha sido configurado para registrar todos os possveis eventos, muitas vezes est interessado em alguma informao especfica (por exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de eventos um mecanismo oferecido pelo Aker Firewall para criar vises do conjunto total de mensagens, possibilitando que obtenha as informaes desejadas facilmente. O filtro s permite a visualizao de informaes que tiverem sido registradas nos eventos. Caso queira obter uma determinada informao deve-se inicialmente configurar o sistema para registr-la e ento utilizar um filtro para visualiz-la.

450

16.1.

Utilizando a Interface Remota

Para ter acesso a janela de eventos deve-se:

Figura 328 - Eventos.

Clicar no menu Auditoria do firewall que se deseja visualizar os eventos; Selecionar a opo Eventos. A barra de ferramentas de Eventos Todas as vezes que a opo Eventos selecionada, mostrada automaticamente a barra de ferramentas de Eventos. Esta barra, que estar ao lado das outras barras, poder ser arrastada e ficar flutuando acima das informaes dos Eventos. Ela tem o seguinte formato:

Figura 329 - Barra de ferramentas: Eventos.

451

A janela de filtro de eventos

Figura 330 - Filtro de eventos.

Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. O boto Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua aplicao posterior e o boto excluir permite que seja excludo um filtro salvo no mais desejado. Para salvar um filtro de eventos, deve-se proceder da seguinte forma: 1. Preencher todos os seus campos da forma desejada. 2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado. 3. Clicar no boto Salvar. Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos os campos sero automaticamente preenchidos com os dados salvos.

452

Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte forma: 1. Selecionar o filtro a ser removido, no campo Filtros. 2. Clicar no boto Excluir. O filtro padro configurado para mostrar todos as mensagens do dia atual. Para alterar a visualizao para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias desejados (a faixa de visualizao compreende os registros da data inicial data final, inclusive). Alm de especificar as datas, possvel tambm determinar quais mensagens devem ser mostradas. A opo Filtrar por permite escolher entre a listagem de mensagens ou de prioridades.

Filtragem por mensagens Ao selecionar filtragem por mensagens, ser mostrados na lista do lado esquerdo da janela os nomes de todos os mdulos que compem o firewall. Ao clicar em um destes mdulos, ser mostradas na lista direita as diferentes mensagens que podem ser geradas por ele. Dica: Para selecionar todas as mensagens de um mdulo, deve-se clicar sobre a caixa esquerda do nome do mdulo.

Filtragem por prioridade Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for prioridade associada a um determinado registro, mais importncia deve-se dar a ele. Ao selecionar filtragem por prioridade, ser mostrado na lista do lado esquerdo da janela o nome de todos os mdulos que compem o firewall. Ao clicar em um destes mdulos, ser mostradas na lista direita as diferentes prioridades das mensagens que podem ser geradas por ele. Abaixo, est a lista com todas as prioridades possveis, ordenadas das mais importantes para as menos importantes (caso tenha configurado o firewall para mandar uma cpia dos eventos para o syslog, as prioridades com as quais as mensagens sero geradas no syslog so as mesmas apresentadas abaixo):

Erro Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de configurao ou de operao do sistema (por exemplo, falta de memria). Mensagens desta prioridade so raras e devem ser tratadas imediatamente.

453

Alerta Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situao sria e no considerada normal ocorreu (por exemplo, uma falha na validao de um usurio ao estabelecer uma sesso de administrao remota).

Aviso Enquadram-se nesta prioridade os registros que trazem informaes que so consideradas importantes para o administrador do sistema, mas esto associadas a uma situao normal (por exemplo, um administrador iniciou uma sesso remota de administrao).

Informao Os registros desta prioridade acrescentam informaes teis mas no to importantes para a administrao do Firewall (por exemplo, uma sesso de administrao remota foi finalizada).

Depurao Os registros desta prioridade no trazem nenhuma informao realmente importante, exceto no caso de uma auditoria. Nesta prioridade se encaixam as mensagens geradas pelo mdulo de administrao remota todas as vezes que feita uma alterao na configurao do firewall e uma mensagem gerada todas as vezes que o firewall reinicializado. Como ltima opo de filtragem, existe o campo Filtrar no complemento por. Este campo permite que seja especificado um texto que deve existir nos complementos de todas as mensagens para que elas sejam mostradas. Desta forma, possvel, por exemplo, visualizar todas as pginas WWW acessadas por um determinado usurio, bastando para isso colocar seu nome neste campo.

O boto OK aplicar o filtro escolhido e mostra a janela de eventos, com as informaes selecionadas. O boto Cancelar far com que a operao de filtragem seja cancelada e a janela de eventos ser mostrada com as informaes anteriores.

454

A janela de eventos

Figura 331 - Descrio dos Eventos.

A janela de eventos ser mostrada aps a aplicao de um novo filtro. Ela consiste de uma lista com vrias mensagens. Normalmente, cada linha corresponde a uma mensagem distinta, porm existem mensagens que podem ocupar 2 ou 3 linhas. O formato das mensagens ser mostrado na prxima seo.

Observaes importantes:

As mensagens sero mostradas de 100 em 100. S sero mostradas as primeiras 10.000 mensagens que so enquadradas no filtro escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou utilizando um filtro que produza um nmero menor de mensagens. No lado esquerdo de cada mensagem, ser mostrado um cone colorido simbolizando sua prioridade. As cores tm o seguinte significado: 455

Azul Verde Amarelo Vermelho Preto

Depurao Informao Notcia Advertncia Erro

Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da tela uma linha com informaes adicionais sobre ela.

Ao apagar todos os eventos, no existe nenhuma maneira de recuperar as informaes anteriores. A nica possibilidade de recuperao a restaurao de uma cpia de segurana.

O boto Salvar, localizado na barra de ferramentas, gravar todas as informaes selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que permitem sua importao pelos analisadores de log da Aker e da WebTrends(R). Os arquivos consistiro de vrias linhas de contedo igual ao mostrado na janela.

Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo de exportao em formato texto, os eventos sero exportados com as mensagens complementares; caso contrrio, os eventos sero exportados sem elas. Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa, para guardar uma cpia em formato texto de informaes importantes ou para importar os eventos por um analisador de log citado acima. Ao ser clicado, ser mostrada a seguinte janela:

456

Figura 332 - Exportar log de eventos.

Para exportar o contedo dos eventos, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar. Se j existir um arquivo com o nome informado ele ser apagado.

O boto Prximos 100, representado como uma seta para a direita na barra de ferramentas mostra as ltimas 100 mensagens selecionadas pelo filtro. Se no existirem mais mensagens, esta opo estar desabilitada. O boto ltimos 100, representado como uma seta para a esquerda na barra de ferramentas mostra as 100 mensagens anteriores. Se no existirem mensagens anteriores, esta opo estar desabilitada. O boto Ajuda mostra a janela de ajuda especfica para a janela de eventos.

457

16.2.

Formato e significado dos campos das mensagens de eventos

Abaixo segue a descrio do formato das mensagens, seguido de uma descrio de cada um de seus campos. A listagem completa de todas as possveis mensagens e seus significados se encontra no apndice A. Formato do registro: <Data> <Hora> <Mensagem> [Complemento] [Mensagem complementar 1] [Mensagem complementar 2] Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Mensagem: Mensagem textual que relata o acontecimento. Complemento: Este campo traz informaes complementares e pode ou no aparecer, dependendo da mensagem. Na Interface Texto, caso ele aparea, vir entre parnteses. Mensagem complementar 1 e 2: Estes complementos s existem no caso de mensagens relacionadas s conexes tratadas pelos proxies transparentes e notransparentes e so mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens complementares, se encontram o endereo origem da conexo e, no caso dos proxies transparentes, o endereo destino.

16.3.

Utilizando a Interface Texto

A Interface Texto para o acesso aos eventos tem funcionalidade similar da Interface Remota. Todas as funes da Interface Remota esto disponveis, exceto a opo de filtragem de mensagens e o fato de que atravs da Interface Texto no tem acesso s informaes complementares que so mostradas quando selecionada uma mensagem de eventos na Interface Remota ou quando se ativa a opo Expande mensagens (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. O programa que faz a Interface Texto com os eventos o mesmo usado para a interface com o log e foi mostrado tambm no captulo anterior. Localizao do programa: /aker/bin/firewall/fwlog

458

Sintaxe: Firewall Aker fwlog apaga [log | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade] Ajuda do programa: Uso: fwlog ajuda fwlog apaga [log | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]

fwlog - Interface Texto para visualizar log e eventos mostra = lista o contedo do log ou dos eventos. Ele pode mostra apenas o log local ou todo o log do cluster apaga = apaga todos os registro do log ou dos eventos ajuda = mostra esta mensagem Para mostra temos: data_inicio = data a partir da qual os registros sero mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa) (Se no forem informadas as datas, mostra os registros de hoje).

prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente sero listados registros cuja prioridade for igual informada) Exemplo 1: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006) #fwlog mostra eventos 05/01/2006 06/01/2006 06/01/2006 11:39:35 Sesso de administrao finalizada 06/01/2006 09:13:09 Sesso de administrao estabelecida (administrador, CF CL GU) 06/01/2006 09:13:09 Pedido de conexo de administrao (10.4.1.14) 06/01/2006 09:09:49 Operao sobre o arquivo de log (Compactar) 05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializao completa 05/01/2006 08:57:11 Tabela de converso UDP cheia

459

Exemplo 2: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006, apenas prioridade depurao) #fwlog mostra eventos 05/01/2006 06/01/2006 depurao 06/01/2006 09:09:49 Operao sobre o arquivo de log (Compactar) 05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializao completa Exemplo 3: (removendo todo o contedo do arquivo de eventos) #fwlog apaga eventos 21/01/2006 23/01/2006 Remoo dos registros foi solicitada ao servidor de log.

460

Visualizando Estatsticas

461

17.

Visualizando Estatsticas
Este captulo mostra sobre o que a janela de estatstica e suas caractersticas.

O que a janela de estatsticas do Aker Firewall? No Firewall, a estatstica um mtodo de medir o trfego de dados atravs de suas interfaces. Este trfego traduzido em nmeros que mostram a quantidade de pacotes enviados ou recebidos, alm do tamanho total de bytes trafegados. Utilizando-se destas informaes, o administrador consegue verificar o fluxo de dados de seus servios podendo, assim saber se o ambiente fsico da rede precisa ser melhorado ou expandido. Outra utilizao para este tipo de informao a realizao de bilhetagem da rede. Tendo-se conhecimento da quantidade de bytes que cada mquina transferiu na rede, calcula-se o quanto que cada uma deve ser taxada. Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um acumulador diferente para cada mquina a ser taxada. Todos os acumuladores devem ter regras de estatsticas associados a eles. Estas regras so configuradas na janela de visualizao de estatstica. Como funcionam as estatsticas do Aker Firewall? O funcionamento das estatsticas do Aker Firewall baseado em trs etapas distintas:

Criao de Acumuladores: Nesta etapa, cadastramos os acumuladores que sero associados a regras de filtragem. Eles servem apenas como totalizadores de uma ou mais regras de filtragem. Para maiores informaes sobre a criao de acumuladores e sua associao com regras de filtragem, vejam os captulos Cadastrando Entidades e O Filtro de Estados.

Criao de regras de estatstica: Aps a criao dos acumuladores e sua associao com as regras de filtragem desejadas, devemos criar regras de estatstica que definem os intervalos de coleta e quais acumuladores sero somados para gerar o valor da estatstica em um dado momento. Esta etapa ser explicada neste captulo.

462

Visualizao das estatsticas: Aps a criao das regras de estatsticas, podemos ver os valores associados a cada uma delas, export-los ou traar grficos. Esta etapa tambm ser mostrada neste captulo.

17.1.

Utilizando a Interface Remota

Para ter acesso a janela de configurao de estatstica deve-se:

Figura 333 - Janelas de eventos - Estatstica.

Clicar no menu Auditoria da janela do firewall que queira administrar. Selecionar o item Estatsticas.

463

A janela de regras de estatstica

Figura 334 - Regras de estatstica.

A janela de estatsticas contm todas as regras de estatstica definidas no Aker Firewall. Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma regra esteja selecionada, ela ser mostrada em uma cor diferente:

O boto OK far com que o conjunto de estatsticas seja atualizado e passe a funcionar imediatamente. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta. 464

A barra de rolagem do lado direito serve para visualizar as regras que no couberem na janela.

Cada regra de estatstica composta dos seguintes campos:


Nome: Nome da estatstica, utilizada para facilitar a sua referncia. Deve possuir um nome nico entre o conjunto de regras; Intervalo: Corresponde ao intervalo de tempo que far a totalizao da regra, ou seja, a soma dos valores de todos os acumuladores presentes na regra; Acumulador: Este campo define quais os acumuladores faro parte da regra; Hora: Esta tabela define as horas e dias da semana em que a regra aplicvel. As linhas representam os dias da semana e as colunas s horas. Caso queira que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco.

Para interagir com a janela de regras, utilize a barra de ferramentas localizada na parte superior da janela ou clicar com o boto direito sobre ela.

Figura 335 - Barra de ferramentas - Regras de estatstica.

Inserir: Permite a incluso de uma nova regra na lista. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Excluir: Remover da lista a regra selecionada. Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista. Visualizao: Exibe a janela de visualizao de estatsticas relativa regra selecionada.

465

Visualizando estatsticas Ao clicar no boto Visualizao ou clicar duas vezes sobre uma regra de estatstica, a seguinte janela ser mostrada:

Figura 336 - Visualizar Estatsticas.

Nesta janela, os dados computados para a estatstica selecionada sero mostrados em formato grfico:

Figura 337 - Boto: grfico.

ou texto.

466

Figura 338 - Boto: Texto.

Estas informaes so relativas data de incio e fim especificadas na parte superior da janela. Para alterar esta data deve-se escolher os campos de Data, colocando as datas de incio e de finalizao da pesquisa.

Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere contabilizao dos acumuladores da estatstica em um determinado tempo.

O boto Remover desta pasta ir remover o conjunto de registros com o tempo especificado.

Figura 339 - Boto: remover.

O boto Comear a busca, atualiza a lista de estatsticas de acordo com as datas definas nos campos Inicio e Fim.

Figura 340 Boto: comear a busca

Grfico: Representa os dados contidos na pasta Leitura em formato grfico. O grfico gerado ao ser pressionado o boto grfico na barra de ferramentas. Este grfico tambm permite que o usurio selecione qual linha deve ser mostrada pressionando-se os rtulos dos mesmos.

467

Figura 340 - Visualizar Estatsticas Grfico.

Ao pressionar o boto de salvar estatsticas a janela abaixo ir aparecer de modo a escolher o nome do arquivo. Este arquivo gravado no formato CSV que permite sua manipulao atravs de planilhas de clculo.

Figura 341 - Boto: salvar estatstica.

468

Figura 342 - Exportar Estatstica.

A barra de ferramentas da visualizao das estatsticas A barra de ferramentas da visualizao das estatsticas ter as seguintes funes:

Figura 343 - Barra de ferramentas: visualizao das estatsticas.

17.2.

Utilizando a Interface Texto

A Interface Texto para o acesso s estatsticas tem funcionalidade similar da Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Todas as funes da Interface Remota esto disponveis, exceto a opo de verificar os dados atravs de grfico e de se verificar em quais regras os acumuladores de uma determinada estatstica esto presentes. A tabela de horrio visualizada da seguinte forma:

469

O smbolo : (dois pontos) informa que a regra valida para os dois dias da semana que aparecem separados por / .Ex: Dom/Seg

O smbolo. (ponto) informa que a regra s vlida para o dia da semana que segue o caractere / .Ex: Dom/Seg - Seg O smbolo ' (acento) informa que a regra so vlida para o dia da semana que antecede o caractere / .Ex: Dom/Seg - Dom Localizao do programa: /aker/bin/firewall/fwstat Sintaxe: fwstat ajuda mostra [[-c] <estatstica> [<data inicial> <data final>]] inclui <estatstica> <perodo> [<acumulador1> [acumulador2] ...] remove <estatstica> desabilita <estatstica> [<dia> <hora>] habilita <estatstica> [<dia> <hora>] Ajuda do programa: Firewall Aker Uso: fwstat ajuda mostra [[-c] <estatstica> [<data inicial> <data final>]] inclui <estatstica> <perodo> [<acumulador1> [acumulador2] ...] remove <estatstica> desabilita <estatstica> [<dia> <hora>] habilita <estatstica> [<dia> <hora>]

ajuda = mostra esta mensagem mostra = sem parmetros, mostra as estatsticas cadastradas com, mostra os dados coletados para estatstica = nome da estatstica -c = resultado no formato CSV (comma separated value) (til para importar dados em planilhas eletrnicas) datas = dadas limite para mostrar dados inclui = adiciona uma estatstica de nome "estatstica remove = remove uma estatstica de nome "estatstica" perodo = perodo de captura dos dados (segundos) acumulador_ = nome das entidades acumulador para ler desabilita = desabilita uma estatstica habilita = habilita uma estatstica dia hora = se especificado (sempre ambos), habilita ou desabilita apenas para a hora especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0.23}

470

Exemplo 1: (mostrando as estatsticas) #fwstat mostra Nome : estatstica1 (habilitada) ---Perodo : 17400 segundo (s) Acumuladores: a1 Horrio : Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 ------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : : Ter/Qua |: : : : : : : : : : : : : : : : Qui/Sex |: : : : : : : : : : : : : : : : Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' Nome : estatstica2 (habilitada) ---Perodo : 100 segundo (s) Acumuladores: a1 a11 Horrio : Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 ------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : : Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : : Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : : Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' Exemplo 2: (mostrando a estatstica do dia 28/10/2001 ao dia 29/10/2001) #fwstat mostra estatstica 28/10/2001 29/10/2001 Dia Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes) ----------------------------------------------------------------------29/10/2001 17:24:54 320/1 321/1 29/10/2001 17:23:14 652/6 654/6 29/10/2001 17:21:34 234/2 980/9 29/10/2001 17:19:54 324/3 650/6 29/10/2001 17:18:14 325/3 150/1 29/10/2001 17:16:34 985/9 240/2 29/10/2001 17:14:54 842/8 840/8 29/10/2001 17:13:14 357/3 289/2 29/10/2001 16:58:14 786/7 261/2

471

Visualizando e Removendo Conexes

472

18.

Visualizando e Removendo conexes


Neste captulo mostra como visualizar e remover conexes TCP e sesses UDP em tempo real.

O que so conexes ativas? Conexes ativas so conexes TCP ou sesses UDP que esto ativas atravs do firewall. Cada uma destas conexes foi validada atravs de uma regra do filtro de estados, acrescentada pelo administrador do sistema, ou por uma entrada na tabela de estados, acrescentada automaticamente pelo Aker Firewall. Para cada uma destas conexes, o firewall mantm diversas informaes em suas tabelas de estado. Algumas destas informaes so especialmente teis para o administrador e podem ser visualizadas a qualquer momento atravs da janela de conexes ativas. Dentre estas informaes, pode-se citar a hora exata do estabelecimento da conexo e o tempo em que ela se encontra parada, isto , sem que nenhum pacote trafegue por ela.

473

18.1.

Utilizando a Interface Remota

Para ter acesso a janela de conexes ativas deve-se:

Figura 344 -: Conexes TCP.

Clicar no menu Informao do firewall que queira visualizar. Selecionar Conexes TCP ou Conexes UDP.

A janela de conexes ativas A janela de conexes ativas onde so mostradas todas as conexes IPv4 e IPv6, que esto passando pelo firewall em um determinado instante. As janelas para os protocolos TCP e UDP so exatamente iguais, com a exceo do campo chamado Status que somente existe na janela de conexes TCP. Para simplificar o entendimento, fala-se de conexes TCP e UDP, entretanto, isto no totalmente verdadeiro devido ao protocolo UDP ser um protocolo no orientado conexo. Na verdade, quando se fala em conexes UDP refere-se s sesses onde existe trfego nos dois sentidos. Cada sesso pode ser vista como um conjunto dos pacotes de requisio e de resposta que fluem atravs do firewall para um determinado servio provido por uma determinada mquina e acessado por outra. Essa janela composta de quatro pastas: nas duas primeiras so mostradas uma lista com as conexes ativas tanto IPv4 como IPv6 e as duas ltimas permitem visualizar grficos em tempo real das mquinas e servios mais acessados, das conexes IPv4e IPv6. 474

Pasta de conexes IPv4

Figura 345 - Conexes TCP Conexes IPv4.

475

Pasta de conexes IPV6

Figura 346 - Conexes TCP Conexes IPv6.

As pastas, conexo IPv4 e conexo IPv6, consistem de uma lista com uma entrada para cada conexo ativa. Na parte inferior da janela mostrada uma mensagem informando o nmero total de conexes ativas em um determinado instante. As velocidades, total e mdia, so exibidas na parte inferior da janela.

O boto OK faz com que a janela de conexes ativas seja fechada. Caixa Filtro exibe as opes de filtragem sendo possvel selecionar os endereos origem ou destino e/ou portas para serem exibidos na janela. A opo Mostrar itens selecionados no topo coloca as conexes selecionadas no topo da janela para melhor visualizao. 476

A opo Remover, que aparece ao clicar com o boto direito sobre uma conexo, permite remover uma conexo.

Ao remover uma conexo TCP, o firewall envia pacotes de reset para as mquinas participantes da conexo, efetivamente derrubando-a, e remove a entrada de sua tabela de estados. No caso de conexes UDP, o firewall simplesmente remove a entrada de sua tabela de estados, fazendo com que no sejam mais aceitos pacotes para a conexo removida.

Figura 347 - Barra de ferramentas: conexes TCP.

Todas as alteraes efetuadas na barra de ferramentas, quando a opo conexo ipv4 ou a opo grfico ipv4, estiverem selecionadas, tambm sero realizados nas opes, conexo ipv6 ou grfico ipv6, e assim respectivamente.

O boto Atualizar, localizado na barra de ferramentas faz com que as informaes mostradas sejam atualizadas periodicamente de forma automtica ou no. Ao clicar sobre ele permite alternar entre os dois modos de operao. O intervalo de atualizao pode ser configurado mudando o valor logo direita deste campo. O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes (DNS) para resolver os nomes das mquinas cujos endereos IPs aparecem listados. Cabe ser observado, os seguintes pontos: 1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a traduo dos nomes feita em segundo plano. 2. Muitas vezes, devido aos problemas de configurao do DNS reverso (que o utilizado para resolver nomes a partir de endereos IP), no ser possvel a resoluo de certos endereos. Neste caso, os endereos no resolvidos sero mantidos na forma original e ser indicado ao seu lado que eles no possuem DNS reverso configurado.

A opo Desabilitar grficos desabilita o desenho do grfico de conexes, sendo indicada para mquinas especialmente lentas. A opo Mostrar velocidade das conexes, se ativa, faz com que a interface calcule e mostre a velocidade de cada conexo em bits/s. possvel ordenar a lista das conexes por qualquer um de seus campos, bastando para isso clicar no ttulo do campo. O primeiro clique produzir uma ordenao ascendente e o segundo uma ordenao descendente.

477

Pasta Grfico de Conexes IPv4 e IPv6 As pastas, grfico IPv4 e grfico IPv6, consistem de dois grficos: o grfico superior mostram os servios mais utilizados e o grfico inferior mostram as mquinas que mais acessam servios ou que mais so acessadas. No lado direito existe uma legenda mostrando qual mquina ou servio correspondem a qual cor do grfico.

Figura 348 - Conexes TCP Grfico de conexes IPv4.

O intervalo de tempo no qual o grfico atualizado o mesmo configurado na pasta de conexes. Significado dos campos de uma conexo ativa IPv6 e IPv4

478

Cada linha presente na lista de conexes ativas representa uma conexo. O significado de seus campos mostrado a seguir: IP origem: Endereo IP da mquina que iniciou a conexo. Porta origem: Porta usada pela mquina de origem para estabelecer a conexo. IP destino: Endereo IP da mquina para a qual a conexo foi efetuada. Porta destino: Porta para qual a conexo foi estabelecida. Esta porta normalmente est associada a um servio especfico. Incio: Hora de abertura da conexo. Inativo: Nmero de minutos e segundos de inatividade da conexo. Estado Atual: Este campo s aparece no caso de conexes TCP. Ele representa o estado da conexo no instante mostrado e pode assumir um dos seguintes valores: SYN Enviado: Indica que o pacote de abertura de conexo (pacote com flag de SYN) foi enviado, porm a mquina servidora ainda no respondeu. SYN Trocados: Indica que o pacote de abertura de conexo foi enviado e a mquina servidora respondeu com a confirmao de conexo em andamento. Estabelecida: Indica que a conexo est estabelecida. Escutando Porta: Indica que a mquina servidora est escutando na porta indicada, aguardando uma conexo a partir da mquina cliente. Isto s ocorre no caso de conexes de dados FTP. Bytes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e indicam o nmero de bytes trafegados por esta conexo em cada um dos dois sentidos. Pacotes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e indicam o nmero de pacotes IP trafegados por esta conexo em cada um dos dois sentidos.

18.2.

Utilizando a Interface Texto

A Interface Texto para acesso lista de conexes ativas possui as mesmas capacidades da Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. O mesmo programa trata as conexes TCP e UDP. 479

Localizao do programa: /aker/bin/firewall/fwlist Sintaxe: Uso: fwlist ajuda fwlist mostra [[-w] [TCP]] | [UDP] | [sesses] fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sesso IP_origem Ajuda do programa: fwlist - Lista e remove conexes TCP/UDP e sesses ativas

Uso: fwlist ajuda fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6] fwlist mostra [sessoes | roaming | bloqueados] fwlist mostra [quotas | www] fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem [usuario] fwlist remove bloqueado IP_origem fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]

ajuda

= mostra esta mensagem

mostra = lista as conexes ou sessoes ativas remove = remove uma conexo ou sesso ativa reinicia = reinicia a quota dos usurios Exemplo 1: (listando as conexes ativas TCP) #fwlist mostra TCP Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado ------------------------------------------------------------------------------10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida 10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida 480

Exemplo 2: (listando as conexes ativas UDP) #fwlist mostra UDP Origem (IP:porta) Destino (IP:porta) Inicio Inativo ----------------------------------------------------------10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00 10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10 Exemplo 3: (removendo uma conexo TCP e listando as conexes) #fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23 #fwlist mostra TCP Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado ------------------------------------------------------------------------------10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida

481

Utilizando o Gerador de Relatrios

482

19.

Utilizando o Gerador de Relatrios


Este captulo mostra para que serve e como configurar os Relatrios no Aker Firewall. Visando disponibilizar informaes a partir de dados presentes nos registros de log e eventos, bem como apresentar uma viso sumarizada dos acontecimentos para a gerncia do Firewall, foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos relatrios que nutriro as informaes gerenciais. Os relatrios so gerados nos formatos HTML, TXT ou PDF, publicados via FTP em at trs sites distintos ou enviados atravs de e-mail para at trs destinatrios distintos. Podem ser agendados das seguintes formas: "Dirio", "Semanal", "Quinzenal", "Mensal", "Especfico" e tambm em tempo real de execuo.

19.1.

Acessando Relatrios

Para ter acesso janela de Relatrios deve-se:

Figura 349 - Relatrio.

Clicar no menu Auditoria da janela de administrao do firewall. Selecionar o item Relatrio.

483

19.2.

Configurando os Relatrios

Figura 350 - Configurando relatrio - Dirio.

Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal", "Mensal", "Quinzenal", "Especfico" e a opo Gerar relatrio dirio agora. Em todos ser necessrio escolher quais sub-relatrios sero includos. Para executar qualquer relatrio, deve-se clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado. Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser executada a partir da barra de ferramentas.

Inserir: Esta opo permite incluir um novo relatrio.

Ao tentar inserir um novo relatrio constar trs abas:

484

Aba geral Nesta aba sero configurados os seguintes campos:

Figura 351 - Configurao do relatrio - geral.

Ttulo do Relatrio: Atribuir nome ao relatrio. Agendamento: Definir hora que ser gerado o relatrio. Formato do Relatrio: Define em qual formato ser gerado o relatrio. As opes de formato so:

TXT: Quando selecionada esta opo gerado um arquivo chamado report.txt que contm o relatrio. HTML: Quando selecionada esta opo gerado um arquivo chamado index.html que contm o relatrio. PDF: Quando selecionada esta opo gerado um arquivo chamado report.pdf que contm o relatrio.

485

Em ambos os casos, o navegador ser aberto automaticamente, exibindo o contedo do arquivo correspondente ao relatrio. Aba Sub-relatrio Um sub-relatrio oferecido para que os nveis de detalhamento possam ser evidenciados e a informao que compe o relatrio seja mais objetiva.

Figura 352 - Configurao do relatrio sub-relatrio.

Esta aba composta por duas colunas, onde ser necessrio indicar filtros para ambas. Na coluna de "Sub-relatrio" dever ser includo qual tipo de sub-relatrio e como ser agrupado, por exemplo: "No agrupar", "Quota", "Usurio". Esta opo varia conforme o tipo de sub-relatrio selecionado. possvel definir relacionamentos com lgica "E" ou "OU" e um limite para TOP.

486

Na coluna de "Filtros" haver mais uma possibilidade de filtro de acordo com o tipo de dado. Mtodos de Publicao

Mtodo FTP Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os relatrios via ftp. Como utilizar:

Selecione o(s) servidor (es); Digite o usurio; Digite a senha de acesso; Digite o caminho de destino do relatrio.

487

Figura 353 - Configurao do relatrio mtodo de publicao.

Mtodo SMTP Nesta aba o usurio poder indicar at trs destinatrios, para onde sero enviados os relatrios atravs de e-mail. Como utilizar:

Digite o endereo do remetente ("De"); Digite o endereo do destinatrio ("Para"); Digite o "Assunto"; Caso deseje possvel incluir uma mensagem, no campo "Mensagem".

488

Figura 354 - Configurao do relatrio mtodo de SMTP.

Opo Gerar relatrio dirio agora Esta opo permite a gerao de relatrio em tempo real, ou seja, o administrador do firewall pode gerar relatrios no momento em que desejar. O produto continuar funcionando normalmente. Quando o relatrio estiver pronto, salve-o em um diretrio conforme desejado, logo em seguida ser exibido uma janela mostrando o relatrio. Nesta opo a coluna Mtodo de Publicao no estar disponvel.

489

19.3.

Lista dos Relatrios disponveis

Abaixo segue os tipos de relatrios possveis de serem gerados: 1. 2. 3. 4. 5. 6. Quantidade de acessos web por usurios do autenticador; Quantidade de acessos web por grupos do autenticador; Quantidade de acessos web por perfis de acesso; Quantidade de acessos web por endereo IP origem; Quantidade de acessos web por endereo IP destino; Quantidade de acessos TCP e UDP (cada servio) por grupos do autenticador; 7. Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo das N pginas mais acessadas; 8. Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo das N pginas mais acessadas por grupos do autenticador; 9. Quantidade de acesso, relacionando conjunto de usurios e respectivas pginas web mais acessadas; 10. Quantidade de acessos bloqueados por usurios, com possibilidade de seleo dos N usurios com maior nmero de requisies a pginas proibidas; 11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleo dos N arquivos mais baixados; 12. Volume de trfego (kbps ou Mbps) processado pelo Firewall, em mdias de perodos de cinco minutos; 13. Categoria dos sites; 14. Downloads; 15. Sites bloqueados; 16. Categorias bloqueadas; 17. Downloads bloqueados; 18. IPs web; 19. IPs web bloqueados; 20. IPs destino; 21. IPs destino bloqueados; 22. IPs e Servios; 23. IPs e Servios bloqueados; 24. Servios; 25. Servios bloqueados; 26. Trfego que entrou; 27. Trfego que saiu; 28. Destinatrios de e-mails entregues; 29. Destinatrios de e-mails rejeitados; 30. Endereo IP de e-mails entregues; 31. Endereo IP de e-mails rejeitados; 32. Domnios dos destinatrios de e-mails entregues; 33. Domnios dos destinatrios de e-mails bloqueados; 34. Quota - consumo de bytes; 35. Quota - consumo de tempo; 36. MSN - durao do chat; 37. MSN chat log; 490

38. Contabilidade de trfego web - upload consumido; 39. Contabilidade de trfego web - download consumido; 40. Contabilidade de trfego web - tempo consumido; 41. Contabilidade de trfego de downloads - upload consumido; 42. Contabilidade de trfego de downloads - download consumido; 43. Contabilidade de trfego de downloads - tempo consumido; 44. Contabilidade de trfego de FTP - upload consumido; 45. Contabilidade de trfego de FTP - download consumido; 46. Usurios que acessaram um site; 47. Usurios que foram bloqueados tentando acessar um site.

491

Exportao Agendada de Logs e Eventos

492

20.

Exportao Agendada de Logs e Eventos


Este captulo mostra como configurar a Exportao Agendada de Logs e Eventos. Os registros de Logs e/ou Eventos so exportados nos formatos TXT ou CSV, publicados via FTP em at trs sites distintos ou localmente em uma pasta do prprio Firewall. Podem ser agendados das seguintes formas: "Dirio", "Semanal" e/ou Mensal.

20.1.

Acessando a Exportao Agendada de Logs e Eventos

Para ter acesso janela de Exportao Agendada de Logs e Eventos deve-se:

Figura 355 - Janela de acesso: Exportao Agendada de Logs e Eventos.

Clicar no menu Auditoria da janela de administrao do Aker Firewall; Selecionar o item Exportao Agendada de Logs e Eventos.

493

20.2.

Configurando a Exportao Agendada de Logs e Eventos

Figura 356 - Exportao Agendada de Logs e Eventos - dirio.

Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal" e "Mensal". Para executar qualquer exportao, deve-se clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado. Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser executada a partir da barra de ferramentas.

Inserir: Esta opo permite incluir um novo relatrio. Ao tentar inserir um novo relatrio constar duas abas: Aba Geral Nesta aba sero configurados os seguintes campos:

494

Figura 357 - Configurao da Exportao Agendada de Logs e Eventos - geral.

Ttulo: Atribuir nome a exportao. Formato do Relatrio: Define em qual formato ser gerado o relatrio. As opes de formato so: TXT; CSV. Tipo: Define qual informao ser exportada: Logs; Eventos. Agendamento: Definir hora que ser realizada a exportao.

495

Aba Mtodo de Publicao FTP: Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os dados via ftp. Como utilizar:

Selecione o(s) servidor (es); Digite o usurio; Digite a senha de acesso; Digite o caminho de destino do relatrio

Figura 358 - Configurao da Exportao Agendada de Logs e Eventos mtodo de publicao.

496

Local: Nesta aba, o usurio poder indicar em qual diretrio local do Aker Firewall deseja salvar os dados exportados.

Figura 359 - Configurao da Exportao Agendada de Logs e Eventos tipo de publicao.

497

Trabalhando com proxies

498

21.

Trabalhando com Proxies


Neste captulo mostra toda a base de conhecimento necessria, para entender o funcionamento dos proxies do Aker Firewall. Os detalhes especficos de cada proxy sero mostrados nos prximos captulos.

21.1.

Planejando a instalao

O que so proxies? Proxies so programas especializados que geralmente rodam em firewalls e que servem como ponte entre a rede interna de uma organizao e os servidores externos. Seu funcionamento simples: eles ficam esperando por uma requisio da rede interna, repassam esta requisio para o servidor remoto na rede externa, e devolvem sua resposta de volta para o cliente interno. Na maioria das vezes os proxies so utilizados por todos os clientes de uma subrede e devido a sua posio estratgica, normalmente eles implementam um sistema de cache para alguns servios. Alm disso, como os proxies trabalham com dados das aplicaes, para cada servio necessrio um proxy diferente. Proxies tradicionais Para que uma mquina cliente possa utilizar os servios de um proxy necessrio que a mesma saiba de sua existncia, isto , que ela saiba que ao invs de estabelecer uma conexo com o servidor remoto, ela deve estabelecer a conexo com o proxy e repassar sua solicitao ao mesmo. Existem alguns clientes que j possuem suporte para proxies embutidos neles prprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes atualmente). Neste caso, para utilizar as funes de proxy, basta configur-los para tal. A grande maioria dos clientes, entretanto, no est preparada para trabalhar desta forma. A nica soluo possvel neste caso, alterar a pilha TCP/IP em todas as mquinas clientes de modo a fazer com que transparentemente as conexes sejam repassadas para os proxies. Esta abordagem traz inmeras dificuldades, j que alm de ser extremamente trabalhoso alterar todas as mquinas clientes, muitas vezes no existe forma de alterar a implementao TCP/IP de determinadas plataformas, fazendo com que clientes nestas plataformas no possam utilizar os proxies.

499

Outro problema dos proxies tradicionais, que eles s podem ser utilizados para acessos de dentro para fora (no pode solicitar para que clientes externos repassem suas solicitaes para o seu proxy para que este repasse para seu servidor interno). A figura abaixo ilustra o funcionamento bsico de um proxy tradicional:

Figura 360 - Funcionamento bsico de um Proxy tradicional.

Proxies transparentes O Aker Firewall introduz um novo conceito de firewall com a utilizao de proxies transparentes. Estes proxies transparentes so capazes de serem utilizados sem nenhuma alterao nas mquinas clientes e nas mquinas servidoras, simplesmente porque nenhuma delas sabe de sua existncia. Seu funcionamento simples, todas as vezes que o firewall decide que uma determinada conexo deve ser tratada por um proxy transparente, esta conexo desviada para o proxy em questo. Ao receber a conexo, o proxy abre uma nova conexo para o servidor remoto e repassa as requisies do cliente para este servidor. A grande vantagem desta forma de trabalho, que torna possvel oferecer uma segurana adicional para certos servios sem perda da flexibilidade e sem a necessidade de alterao de nenhuma mquina cliente ou servidora. Alm disso, possvel utilizar proxies transparentes em requisies de dentro para fora e de fora para dentro, indiferentemente.

500

Figura 361 - Funcionamento bsico de um Proxy transparente.

Proxies transparentes e contextos O Aker Firewall introduz uma novidade com relao aos proxies transparentes: os contextos. Para entend-los, vamos inicialmente analisar uma topologia de rede onde sua existncia necessria. Suponha que exista um Aker Firewall conectado a trs redes distintas, chamadas de redes A, B e C, e que as redes A e B sejam redes de dois departamentos de uma mesma empresa e a rede C a Internet. Suponha ainda que na rede A exista um servidor SMTP que seja utilizado tambm pela rede B para enviar e receber correio eletrnico. Isto est ilustrado no desenho abaixo:

Figura 362 - Proxies transparentes e contextos.

501

Suponha agora que queira configurar o firewall para desviar todas as conexes SMTP para o proxy SMTP, de modo a assegurar uma maior proteo e um maior controle sobre este trfego. importante que exista um meio de tratar diferentemente as conexes para A com origem em B e C: a rede B utilizar o servidor SMTP de A como relay ao enviar seus e-mails, entretanto este mesmo comportamento no deve ser permitido a partir da rede C. Pode-se tambm querer limitar o tamanho mximo das mensagens originadas na rede C, para evitar ataques de negao de servio baseados em falta de espao em disco, sem ao mesmo tempo querer limitar tambm o tamanho das mensagens originadas na rede B. Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. Contextos nada mais so que configuraes diferenciadas para os proxies transparentes de modo a possibilitar comportamentos diferentes para conexes distintas. No exemplo acima, poderia criar dois contextos: um para ser usado em conexes de B para A e outro de C para A. Os proxies do Aker Firewall O Aker Firewall implementa proxies transparentes para os servios FTP, Telnet, SMTP, POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies no transparentes para os servios acessados atravs de um browser WWW (FTP, Gopher, HTTP e HTTPS) e para clientes que suportem o protocolo SOCKS. Para utilizar os proxies no transparentes necessrio um cliente que possa ser configurado para tal. Dentre os clientes que suportam este tipo de configurao, pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm). Os proxies transparentes podem ser utilizados tanto para controlar acessos externos s redes internas quanto acessos de dentro para fora. Os proxies no transparentes somente podem ser usados de dentro para fora. O Aker Firewall permite ainda implementar Proxies criados pelo usurio que so proxies criados por terceiros utilizando a API de desenvolvimento que a Aker Security Solutions prov. O objetivo possibilitar que instituies que possuam protocolos especficos possam criar suporte no firewall para estes protocolos. Os autenticadores do Aker Firewall Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticao de usurios, isto , podem ser configurados para s permitir que uma determinada sesso seja estabelecida caso o usurio se identifique para o firewall, atravs de um nome e uma senha, e este tenha permisso para iniciar a sesso desejada. O grande problema que surge neste tipo de autenticao como o firewall ir validar os nomes e as senhas recebidas. Alguns produtos exigem que todos os usurios sejam cadastrados em uma base de dados do prprio firewall ou que 502

sejam usurios vlidos da mquina que o firewall estiver rodando. Ambos os mtodos possuem o grande inconveniente de no aproveitar a base de usurios normalmente presente em uma rede local. No Aker Firewall, optou-se por uma soluo mais verstil e simples de ser implantada: ao invs de exigir um cadastramento de usurios no firewall, estes so validados nos prprios servidores da rede local, sejam estes Unix ou Windows Server tm. Para que seja possvel ao firewall saber em quais mquinas ele deve autenticar os usurios, e tambm para possibilitar uma comunicao segura com estas mquinas, foi criado o conceito de autenticadores. Autenticadores so mquinas Unix ou Windows Servertm, que rodam um pequeno programa chamado de Agente de autenticao. Este programa distribudo como parte do Firewall Aker e tem como funo bsica servir de interface entre o firewall e a base de dados remota. Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-se efetuar os seguintes procedimentos: 1. Instalar e configurar o agente de autenticao na mquina onde reside base de dados de usurios (este procedimento ser descrito nos tpicos intitulados Instalando o agente de autenticao no Unix e Instalando o agente de autenticao no Windows Servertm). 2. Cadastrar uma entidade do tipo autenticador com o endereo da mquina onde o agente foi instalado e com a senha de acesso correta (para maiores informaes de como cadastrar entidades, veja o captulo intitulado Cadastrando Entidades). 3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no passo 2 para realizar a autenticao de usurios (este procedimento ser descrito no captulo intitulado Configurando parmetros de autenticao). O Aker Firewall 6.5 incompatvel com verses anteriores a 4.0 dos agentes de autenticao. Caso tenha feito upgrade de uma verso anterior e esteja utilizando autenticao, necessrio reinstalar os autenticadores. possvel tambm realizar autenticaes atravs dos protocolos LDAP e RADIUS. Neste caso, no existe a necessidade de instalao dos autenticadores nas mquinas servidoras, bastando-se criar os autenticadores dos tipos correspondentes e indicar ao firewall que eles devem ser utilizados, de acordo com os passos 2 e 3 listados acima.

503

21.2.

Instalando o agente de autenticao em plataformas Unix

Para instalar o agente de autenticao necessrio efetuar o download do Agente de autenticao adequado ao seu sistema no site da Aker (http://www.aker.com.br), aps o download descompacte o arquivo e execute o seguinte comando: #/ ./aginst O smbolo # representa o prompt do shell quando executado como root, ele no deve ser digitado como parte do comando. O programa de instalao copiar o executvel do agente ( fwagaut) para o diretrio /usr/local/bin e copiar um modelo do arquivo de configurao ( fwagaut.cfg) para o diretrio /etc/. Aps a instalao, necessrio personalizar este arquivo, como descrito na prxima seo. Caso tenha respondido "Sim" quando o programa de instalao perguntou se o agente deveria ser iniciado automaticamente, uma chamada ser criada em um arquivo de inicializao da mquina de modo a carregar automaticamente o agente. O nome deste arquivo de inicializao dependente da verso de Unix utilizada.

A sintaxe do arquivo de configurao do agente de autenticao Aps instalar o agente de autenticao necessrio criar um arquivo de configurao com o endereo dos firewalls que podero utiliz-lo e a senha de acesso de cada um. Este arquivo em formato texto e pode ser criado por qualquer editor. O arquivo de configurao do agente de autenticao deve ter seus direitos configurados de forma que s o usurio root possa ler ou alterar seu contedo. Para fazer isso, pode-se usar o comando chmod, com a seguinte sintaxe: # chmod 600 nome_do_arquivo. A sua sintaxe a seguinte:

Cada linha deve conter o endereo IP de um Aker Firewall que ir utilizar o agente, um ou mais espaos em branco ou caracteres tab e a senha de acesso que o firewall ir utilizar para a comunicao. Linhas comeadas pelo caractere #, bem como linhas em branco, so ignoradas.

504

Um exemplo de um possvel arquivo de configurao mostrado a seguir: # Arquivo de configurao do agente de autenticao do Firewall Aker 6.5 # # Sintaxe: Endereo IP do Firewall e senha de acesso (em cada linha) # # Obs: A senha no pode conter espaos e deve ter at 31 caracteres # # Linhas comeadas pelo caractere '#' so consideradas comentrios # Linhas em branco so permitidas 10.0.0.1 teste_de_senha 10.2.2.2 123senha321 O local padro para o arquivo de configurao do agente /etc/fwagaut.cfg, entretanto possvel cri-lo com qualquer outro nome ou em outro diretrio, desde que essa ao seja informadaao agente no momento de sua execuo. Isto ser mostrado no tpico abaixo. Sintaxe de execuo do agente de autenticao O agente de autenticao para Unix possui a seguinte sintaxe de execuo: fwagaut [-?] [-c NOME_ARQUIVO] [-s <0-7>] [-q] Onde: -? Mostra esta mensagem retorna ao prompt do shell -c Especifica o nome de um arquivo de configurao alternativo -s Especifica a fila do syslog para onde devem ser enviadas as mensagens do autenticador. 0 = local0, 1 = local1, ... -r Aceita validao do usurio root -e Aceita usurios com senhas em branco -q No mostra mensagem na hora da entrada Suponha que o agente esteja localizado no diretrio /usr/local/bin e que se tenha criado o arquivo de configurao com o nome /usr/local/etc/fwagaut.cfg. Neste caso, para executar o agente, a linha de comando seria: /usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg Caso queira executar o agente com o arquivo de configurao no local padro, no necessrio a utilizao da opo -c , bastando simplesmente execut-lo com o comando: /usr/local/bin/fwagaut O agente de autenticao deve ser executado pelo o usurio root. 505

Quando for feito alguma alterao no arquivo de configurao necessrio informar isso ao agente, se ele estiver rodando. Para tal, deve-se executar o seguinte comando: #kill -1 pid Onde pid o nmero do processo do agente de autenticao. Para ser obtido este nmero, pode-se executar o comando.

#ps -ax | grep fwagaut , em mquinas baseadas em Unix BSD, ou #ps -ef | grep fwagaut, em mquinas baseadas em Unix System V. O agente de autenticao escuta requisies na porta 1021/TCP. No pode existir nenhuma outra aplicao utilizando esta porta enquanto o agente estiver ativo.

21.3.

Instalando o agente de autenticao em Windows Servertm

A instalao do agente de autenticao para Windows Servertm bastante simples. Efetue o download do Agente de Autenticao adequado ao seu sistema no site da Aker (http://www.aker.com.br), Para instal-lo, clique duas vezes no arquivo salvo. O programa inicialmente mostra uma janela pedindo uma confirmao para prosseguir com a instalao. Deve-se responder Sim para continuar com a instalao. A seguir ser mostrada uma janela com a licena e por fim a janela onde pode especificar o diretrio de instalao. Aps selecionar o diretrio de instalao, deve-se pressionar o boto Copiar arquivos, que realizar toda a instalao do agente. Esta instalao consiste na criao de um diretrio chamado de fwntaa, dentro do diretrio Arquivos de Programas, com os arquivos do agente, a criao de um grupo chamado de Firewall Aker com as opes de configurao e remoo do agente e a criao de um servio chamado de Agente de autenticao do Aker Firewall. Este servio um servio normal do Windows Servertm e pode ser interrompido ou iniciado atravs do Painel de Controle, no cone servios. O agente de autenticao escuta requisies nas portas 1016/TCP e 1021/TCP. No pode existir nenhuma outra aplicao utilizando estas portas enquanto o agente estiver ativo.

506

21.4.

Configurao do agente de autenticao para Windows Servertm

Depois de realizada a instalao do agente, necessrio proceder com a sua configurao. Esta configurao permite fazer o cadastramento de todos os firewalls que iro utiliz-lo, bem como a definio de quais mensagens sero produzidas pelo agente, durante seu funcionamento. Ao contrrio do agente de autenticao para Unix, esta configurao feita atravs de um programa separado. Para ter acesso ao programa de configurao, deve-se clicar no menu Iniciar, selecionar o grupo Firewall Aker e dentro deste grupo a opo Configurar agente de autenticao. Ao ser feito isso, ser mostrada a janela de configurao do agente, que est distribuda em trs abas: Aba de configurao dos firewalls

Figura 363 - Agente de autenticao - Aker.

Esta aba consiste em todas as opes de configurao do agente. Na parte superior existe dois botes que permitem testar a autenticao de um determinado usurio, a fim de verificar se o agente est funcionando corretamente. Na parte inferior da pasta existe uma lista com os firewalls autorizados a se conectarem ao agente de autenticao. 507

Para incluir um novo firewall na lista, basta clicar no boto Incluir, localizado na barra de ferramentas. Para remover ou editar um firewall, basta selecionar o firewall a ser removido ou editado e clicar na opo correspondente da barra de ferramentas.No caso das opes Incluir ou Editar ser mostrada a seguinte janela:

Figura 364 - Agente de autenticao Firewall Aker.

IP: o endereo IP do firewall que se conectar ao agente. Descrio: um campo livre, utilizado apenas para fins de documentao. Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o firewall. Esta senha deve ser igual configurada na entidade do firewall. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades. Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha. Autenticao de usurios suportada: Esse campo indica quais formas de autenticao de usurios sero permitidas. Ela consiste de duas opes que podem ser selecionadas independentemente: Domnio Windows NT/2000: Se essa opo estiver marcada, o agente realizar autenticao de usurios utilizando a base de usurios do Windows NT/2000. SecurID ACE/Server: Se essa opo estiver marcada, o agente realizar autenticao de usurios consultando o servidor SecurID.

508

Aba de log

Figura 365 - Agente de autenticao - Log.

Esta aba muito til para acompanhar o funcionamento do agente de autenticao. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um cone colorido, simbolizando sua prioridade. As cores tm o seguinte significado: Verde Azul Amarelo Vermelho Preto Depurao Informao Notcia Advertncia Erro

Caso no queira que uma determinada prioridade de mensagens seja gerada, basta desmarcar a opo a sua esquerda.

509

A opo Usar visualizador de eventos, se estiver marcada, faz com que as mensagens sejam enviadas para o visualizador de eventos do Windows. Aba Sobre

Figura 366 - Agente de autenticao - Sobre.

Esta uma aba meramente informativa e serve para obter algumas informaes do cliente. Dentre as informaes teis se encontram sua verso e release. Remoo do agente de autenticao para Windows Servertm Para facilitar a remoo do agente de autenticao para NT, existe um utilitrio que a realiza automaticamente. Para inici-lo, deve-se clicar no menu Iniciar, selecionar o grupo Firewall Aker e dentro deste grupo a opo Remover agente de autenticao. Ao ser feito isso, ser mostrada uma janela de confirmao. Caso deseje desinstalar o agente, deve-se clicar no boto Sim, caso contrrio, deve-se clicar no boto No, que cancelar o processo de remoo.

510

Configurando parmetros de autenticao

511

22.

Configurando parmetros de autenticao


Este captulo mostra quais so e como devem ser configurados os parmetros de autenticao, essenciais para que seja possvel a autenticao de usurios pelo firewall.

O que so os parmetros de autenticao? Os parmetros de autenticao servem para informar ao firewall quais as formas de autenticao que so permitidas, quais autenticadores devem ser pesquisados na hora de autenticar um determinado usurio e em qual ordem. Alm disso, eles controlam a forma com que a pesquisa feita, permitindo uma maior ou menor flexibilidade para as autenticaes.

22.1.

Utilizando a Interface Remota

Para ter acesso a janela de parmetros de autenticao deve-se:

Figura 367 - Autenticao.

Clicar no menu Configurao do Firewall da janela Firewalls. Selecionar o item Autenticao. 512

Essa janela consiste de seis partes distintas: a primeira aba corresponde ao Controle de Acesso onde os usurios e grupos de autenticadores so associados com perfis de acesso. A configurao desta aba ser vista em detalhes em Perfis de Acesso de Usurios, na segunda aba escolhe-se os Mtodos de autenticao onde se determina os parmetros relativos autenticao de usurios por meio de nomes/senhas e se configuram os parmetros de autenticao por token (SecurID) e Autoridade Certificadora (PKI), a terceira aba configura-se a Autenticao para Proxies. Na quarta aba configura-se a "Autenticao local", e na quinta aba so configuradas o Controle de Acesso por IP, e a ultima aba NTLM configura a integrao do Aker Firewall ao Microsoft Active Directory (AD) e utilizar o login automaticamente. Mais detalhes sero vistos em Perfis de Acesso de Usurios.

O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes efetuadas aplicadas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta. O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas.

Aba de Controle de Acesso

Figura 368 - Autenticao de acesso: Controle de acesso.

513

A janela de controle de acesso permite que seja criada a associao de usurios/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel selecionar o perfil que ser associado aos usurios, que no se enquadrem em nenhuma regra de associao. A ltima coluna, quando preenchida, especifica redes e mquinas onde a associao vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til para permitir acesso s reas sensveis da rede apenas de alguns locais fsicos com segurana aumentada. Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo Inserir; 2. Selecione o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se com o boto direito no campo Autenticador; 3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecione entre listagem de usurios ou grupos e sua lista ser montada automaticamente a partir do autenticador selecionado. A partir de a lista selecione o usurio ou grupo desejado.

514

Figura 369 - Autenticao de acesso: Listagem de grupos ou usurios.

4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu abaixo:

Figura 370 - Autenticao de acesso: Escolha do perfil desejado.

5. Caso queira, arraste algumas entidades mquina, rede ou conjuntos para o campo entidades. Se o usurio estiver fora dessas entidades, a regra ser pulada. Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela; 2. Clicar no boto Apagar.

515

Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posio; 2. Arrastar para a posio desejada. A ordem das associaes na lista de fundamental importncia. Quando um usurio se autenticar, o Aker Firewall pesquisar a lista a partir do incio procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, o perfil associado ao mesmo ser utilizado.

516

Aba Mtodos

Figura 371 - Autenticao de acesso: Mtodos.

Habilita autenticao usurio/senha: Essa opo indica se o firewall aceitar ou no autenticao de usurios por meio de nomes/senhas. Caso ela esteja ativa, deve-se configurar os demais parmetros relativos a esse tipo de autenticao: Pesquisar todos autenticadores: Este parmetro indica se o firewall deve tentar validar um usurio nos prximos autenticadores da lista no caso de um autenticador retornar uma mensagem de senha invlida. Se esta opo estiver marcada, o firewall percorre todos os autenticadores da lista, um a um, at receber uma resposta de autenticao correta ou at a lista terminar. Caso ela no esteja marcada, a pesquisa ser encerrada no primeiro autenticador que retornar uma mensagem de autenticao correta ou de senha invlida. Esta opo s usada para respostas de senha invlida. Caso um autenticador retorne uma resposta indicando que o usurio a ser validado no est cadastrado na base de dados de sua mquina, o firewall continuar a pesquisa no prximo autenticador da lista, independentemente do valor desta opo. Pesquisar autenticador interno: Este parmetro indica se a base de usurios locais do firewall - definida na pasta Autenticao Local - deve ser consultada para 517

validar a senha dos usurios. Se sim, tambm deve escolher no combo box ao lado se essa base deve ser consultada antes ou depois dos demais autenticadores. Permitir domnios especificados pelo usurio: Este parmetro indica se o usurio na hora de se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado. Se esta opo estiver marcada, o usurio pode acrescentar juntamente ao seu nome, um sufixo formado pelo smbolo / e um nome de autenticador, fazendo com que a requisio de autenticao seja enviada diretamente para o autenticador informado. Caso ela no esteja marcada, a autenticao ser feita na ordem dos autenticadores configurada pelo administrador. O uso desta opo no obriga que o usurio informe o nome do autenticador, apenas permite que ele o faa, se desejar. Caso o usurio no informe, a autenticao seguir na ordem normal. Para ilustrar a especificao de domnio, pode-se tomar como base um sistema no qual existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste sistema, se um usurio chamado administrador desejar se autenticar na mquina Windows Server, ento ele dever entrar com o seguinte texto, quando lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele no informe o sufixo, o Aker Firewall tentar autentic-lo inicialmente pela mquina Unix e caso no exista nenhum usurio cadastrado com este nome ou a opo Pesquisa em todos os autenticadores estiver marcada, ele ento tentar autenticar pela mquina Windows Server. O nome do autenticador informado pelo usurio deve estar obrigatoriamente na lista de autenticadores a serem pesquisados. Autenticadores a pesquisar Para incluir um autenticador na lista de autenticadores a serem consultados, devese proceder da seguinte forma: 1. Clicar com o boto direito do mouse onde aparecer um menu suspenso (figura abaixo) ou arrastando a entidade autenticador para o local indicado;

518

Figura 372 - Autenticao de acesso: Adicionar entidades.

2. Seleciona-se o a opo Adicionar entidades e o autenticador a ser includo, na lista mostrada direita. Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser removido e apertar a tecla delete ou; 2. Clicar no boto direito do mouse e selecionar no menu suspenso o item Apagar

Figura 373 - Autenticao de acesso: Remover entidades.

Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser mudado de posio na ordem de pesquisa; 2. Clicar em um dos botes direita da lista: o boto com o desenho da seta para cima far com que o autenticador selecionado suba uma posio na lista. O boto com a seta para baixo far com que ele seja movido uma posio para baixo na lista.

519

Dica: A adio ou remoo dos autenticadores pode ser feita diretamente com o mouse, bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida. Os autenticadores sero pesquisados na ordem que se encontram na lista, de cima para baixo. Habilitar autenticao PKI: Essa opo indica se o firewall aceitar ou no a autenticao de usurios por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades certificadoras nas quais o firewall confia.

Figura 374 - Autenticao de acesso: Mtodos 1.

Autoridades Certificadoras Confiveis Para incluir uma autoridade certificadora na lista de autoridades certificadoras confiveis, deve-se proceder da seguinte forma: 1. 2. 3. 4. Clicar com o boto direito do mouse e escolher a opo Incluir Entidades; Selecionar a autoridade a ser includa; Clique em Incluir; Pode-se tambm clicar em uma autoridade certificadora e arrast-la para posio desejada.

Para remover uma autoridade certificadora da lista de autoridades confiveis, devese proceder da seguinte forma: 520

1. Selecionar a autoridade a ser removida e apertar a tecla delete ou 2. Clicar no boto direito do mouse sobre a entidade a ser removida e escolher a opo Apagar Habilitar autenticao por token: Essa opo indica se o firewall aceitar ou no a autenticao de usurios por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador token a ser consultado para validar os dados recebidos.

Figura 375 - Autenticao de acesso: Mtodos (habilitar autenticao do Token).

Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os dados a serem validados sero repassados.

521

Aba Autenticao para Proxies

Figura 376 - Autenticao de acesso: Autenticao para proxies.

Estes parmetros indicam que tipos de autenticao sero aceitas nos proxies e em que ordem sero validadas. Isso importante pois quando um usurio autenticado atravs de um browser, por exemplo, no possvel que ele especifique se est utilizando token ou usurio/senha. As opes possveis de configurao so:

Autenticao Token antes da autenticao usurio/senha; Autenticao usurio/senha antes da autenticao Token; Autenticao Token somente; Autenticao usurio/senha somente;

522

Aba Autenticao Local

Figura 377 - Autenticao de acesso: Autenticao local.

Esta aba, pode cadastrar uma srie de usurios e associar um grupo a cada um deles. Se a opo de usar a base local de usurios estiver habilitada, ento esses usurios tambm sero verificados como se estivessem em um autenticador remoto. Eles compem o autenticador local. Para incluir um usurio, clique com o boto da direita e escolha Inserir, ou ento use o toolbar e clique no boto inserir. Pode-se usar o boto Inserir no seu teclado.

Figura 378 - Menu para incluso de usurio.

Para alterar o nome do usurio e seu nome completo, basta dar um duplo clique no campo correspondente:

523

Figura 379 - Autenticao Autenticao local.

Para alterar a senha ou o grupo a que est associado o usurio, use o menu de contexto sobre o item, clicando com o boto direito do mouse.

Figura 380 - Autenticao alterao de senha ou grupo.

Para criar ou remover grupos, o procedimento o mesmo, mas na lista lateral direita. 524

Figura 381 - Autenticao local criar ou remover grupos.

Grupos vazios no sero mantidos pelo firewall, apenas aqueles que contiverem ao menos um usurio.

525

Aba Controle de acesso por IP

Figura 382 - Controle de acesso por IP.

O Aker Firewall pode controlar os acessos por intermdio de endereos IP conhecidos juntamente com perfis criados para este fim. Esta aba permite habilitar e a desabilitar individual das regras que configuram a autenticao por IP, no sendo mais necessrio ter que remov-las para desabilit-las, podendo ser habilitada ou desabilitada por meio da opo no menu suspenso ou por meio do boto localizado na barra de tarefas.

preciso escolher uma entidade rede ou uma entidade mquina, que definiro a origem do trfego e associ-las ao perfil, de forma que o trfego originrio dessas entidades no precisar de autenticao por usurio. O Acesso por IP estar habilitado sempre que houver pelo menos uma regra habilitada nesta aba.

526

Aba NTLM

Figura 383 - Configurao NTLM.

A janela acima tem a funo de configurar a integrao do Aker Firewall ao Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitao no browser. Esta integrao realizada atravs do Kerberos, Winbind e Samba e o comportamento deste autenticador ser idntico aos outros tipos de autenticaes suportadas pelo Aker Firewall podendo listar os usurios e grupos para a vinculao com os perfis de acesso. Habilitar NTLM: ativando esta opo, uma entidade com o nome NTLM_Auth, estar disponvel para a configurao na Aba Mtodos da janela de Autenticao. Active directory: Endereo IPv4: endereo IP do servidor com o Microsoft Active Directory; Host: nome netbius do servidor com o Microsoft Active Directory, obtido a partir do comando hostname executado neste servidor.

527

Autenticao Usurio: usurio com privilgios de administrao do domnio para integrao. Senha: senha do usurio citado acima. Status/Atualizar status: Informa o status da integrao e logs em caso de falhas. Para o bom funcionamento da integrao o Aker Firewall e o servidor com o Microsoft Active Directory devem estar com a data e horas sincronizados atravs de um servidor NTP. Para que a integrao funcione o domnio configurado no Aker Firewall na janela Configurao do Sistema, TCP/IP, aba DNS, deve ser o mesmo domnio do Microsoft Active Directory. Esta integrao est disponvel somente para o Filtro Web, em prximas verses a integrao se estender para todas as funcionalidades do Aker Firewall. Para usurios que no estiverem cadastrados no domnio do Microsoft Active Directory a autenticao ser realizada atravs de um POP-UP no browser do usurio que ser solicitada a cada 15 minutos para autenticao http 1.1, e solicitada apenas uma vez para autenticao Java;. Abaixo segue a imagem que ser apresentada as estes usuarios.

Figura 384 - Segurana do Windows solicitao de usurio e senha.

528

A autenticao transparente est disponvel somente para o Filtro Web e Modo PROXY ATIVO, em prximas verses a integrao se estender para todas as funcionalidades do Aker Firewall.

22.2.

Utilizando a Interface Texto

A Interface Texto Interface Texto permite configurar qual o tipo de autenticao ser realizada e a ordem de pesquisa dos autenticadores (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). Localizao do programa: /aker/bin/firewall/fwauth Sintaxe: Uso: fwauth [mostra | ajuda] fwauth [habilita | desabilita] fwauth [inclui | remove] [ca | token | autenticador] <entidade> fwauth [domnio | pesquisa_todos] [sim | no] fwauth proxy [token | senha] [sim | no] fwauth proxy primeiro [token | senha] Ajuda do programa: Firewall Aker fwauth - Configura parmetros autenticao Uso: fwauth [mostra | ajuda] fwauth [habilita | desabilita] fwauth [inclui | remove] [ca | token | autenticador] <entidade> fwauth [domnio | pesquisa_todos] [sim | no] fwauth local [primeiro | ultimo | nao] fwauth proxy [token | senha] [sim | no] fwauth proxy primeiro [token | senha] mostra = mostra a configurao atual ajuda = mostra esta mensagem habilita = habilita a autenticao

desabilita = desabilita a autenticao inclui = inclui entidade na lista de autenticadores ativos remove = remove entidade da lista de autenticadores ativos domnio = configura se o usurio pode ou no especificar domnio 529

local = indica se o autenticador local deve ser consultado antes dos demais autenticadores (primeiro), depois de todos (ultimo) ou se nao deve ser utilizado (nao) pesquisa_todos = configura se deve pesquisar em todos os autenticadores proxy senha = habilita autenticao por proxies do tipo usurio/senha proxy token = habilita autenticao por proxies do tipo Token proxy primeiro = configura qual o primeiro tipo de autenticao a ser usado Exemplo 1: (mostrando os parmetros de autenticao) #fwauth mostra AUTENTICACAO USURIO/SENHA: --------------------------Pesquisa em todos autenticadores: sim Usurio pode especificar domnio: no Autenticadores cadastrados: aut_local AUTENTICACAO PKI: ----------------No ha autenticadores cadastrados AUTENTICACAO SECURY ID: ----------------------No ha autenticadores cadastrados Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos) #fwauth inclui autenticador "agente 10.0.0.12 Autenticador includo

530

Perfis de acesso de Usurios

531

23.

Perfis de acesso de Usurios


Neste captulo mostra para que servem e como configurar perfis de acesso no Aker Firewall.

23.1.

Planejando a instalao

O que so perfis de acesso? Firewalls tradicionais baseiam suas regras de proteo e controle de acesso a partir de mquinas, atravs de seus endereos IP. Alm de o Aker Firewall permitir este tipo de controle, ele tambm permite definir o controle de acesso por usurios. Desta forma, possvel que determinados usurios tenham seus privilgios e restries garantidos, independentemente de qual mquina estejam utilizando em um determinado momento. Isso oferece o mximo em flexibilidade e segurana. Para possibilitar este controle de acesso em nvel de usurios, o Aker Firewall introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos a serem atribudos a um determinado usurio no firewall. Estes direitos de acesso englobam todos os servios suportados pelo firewall, o controle de pginas WWW e o controle de acesso atravs do proxy SOCKS. Desta forma, a partir de um nico local, consegue definir exatamente o que pode e no pode ser acessado. Como funciona o controle com perfis de acesso? Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e posteriormente associa-se estes perfis com usurios e grupos de um ou mais autenticadores. A partir deste momento, todas as vezes que um usurio se logar no firewall com o Aker Client ou outro produto que oferea funcionalidade equivalente, o firewall identificar o perfil de acesso correspondente a este usurio e configurar as permisses de acesso de acordo com este perfil. Tudo feito de forma completamente transparente para o usurio final. Para que seja possvel o uso de perfis de acesso necessrio que o Aker Client esteja instalado em todas as mquinas clientes ou que se use a opo de autenticao por Java no Filtro Web. Caso contrrio, s ser possvel a utilizao de controle de acesso a pginas WWW ou a servios atravs do proxy SOCKS. A autenticao de usurios atravs do Filtro Web (sem Java) e SOCKS so possveis na medida em que eles solicitarem um nome de usurio e uma senha e pesquisarem o perfil correspondente quando no identificarem uma sesso ativa para uma determinada mquina.

532

23.2.

Cadastrando perfis de acesso

Os perfis de acesso do Aker Firewall definem quais pginas WWW podem ser visualizadas e quais tipos de servio podem ser acessados. Para cada pgina WWW ou servio, existe uma tabela de horrios associada, atravs da qual possvel definir os horrios nos quais o servio ou pgina podem ser acessados. Para ter acesso janela de perfis de acesso deve-se:

Figura 385 - Perfis.

Clicar no menu Configurao do Firewall da janela de administrao do firewall. Selecionar o item Perfis.

533

A janela de Perfis

Figura 386 - Perfis Aker Firewall.

A janela de perfis contm todos os perfis de acesso definidos no Firewall. Ela consiste de uma lista onde cada perfil mostrado em uma linha separada.

O boto OK far com que a janela de perfis seja fechada; O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a janela aberta;

Para executar qualquer operao sobre um determinado perfil, deve-se clicar sobre ele e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis:

Figura 387 - Opes de configurao de perfil

534

Inserir perfil filho: Incluir um novo perfil que filho do perfil atual, i.e., estabelece uma hierarquia de perfis. Inserir: Permitir a incluso de um novo perfil na lista. Copiar: Copiar o perfil selecionado para uma rea temporria. Colar: Copiar o perfil da rea temporria para a lista. Excluir: Remover da lista o perfil selecionado. Relatrio dos perfis: Gera relatrio da lista de perfis em um documento HTML

Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas, bem como a opo de relatrio dos Perfis, todos localizados logo acima da lista. Na opo relatrio dos perfis, primeiro selecionam-se os itens para relatrio, e em seguida indica o caminho e clique no boto Gerar. Recomenda-se a no utilizao de caracteres especiais (espaos, traos, sinais, acentos, aspas e etc..) na criao ou edio dos "perfis de acesso" do Firewall, exemplo: "Perfil Administrao", a forma correta "Perfil_Administracao. Para excluir um perfil de acesso, ele no poder estar associado a nenhum usurio (para maiores informaes veja o tpico Associando Usurios com Perfis de Acesso) O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as configuraes do perfil pai. Na parte superior de ambas as pastas se encontram o campo Nome, que serve para especificar o nome que identificar unicamente o perfil de acesso. Este nome ser mostrado na lista de perfis e na janela de controle de acesso. No podem existir dois perfis com o mesmo nome. Cada perfil de acesso composto de onze tpicos diferentes. Dependendo do tpico selecionado em um momento, a parte direita da janela mudar de modo a mostrar as diferentes opes. Os tpicos de configurao so:

535

23.3.

Regras

Figura 388 - Regras: regras de filtragem para o perfil de acesso.

A opo de regras permite especificar regras de filtragem para o perfil de acesso. Seu formato exatamente igual janela de regras de filtragem com a nica exceo de que no se devem especificar entidades origem para a regra. Aqui tambm possvel trabalhar com Polticas de Regras de Filtragem. (para maiores informaes, consulte o captulo intitulado Filtro de Estados). As regras de filtragem para os perfis de acesso consideram como origem a mquina na qual a sesso foi estabelecida. Devido a isso, necessrio apenas especificar as entidades destino e servios que podem ser acessados.

536

23.4.

Regras SOCKS

Figura 389 - Perfis: Socks.

A opo de regras SOCKS permite especificar regras de filtragem para o acesso atravs do proxy SOCKS. Seu formato exatamente igual janela de regras de filtragem com a nica exceo de que no se deve especificar entidades origem para a regra (para maiores informaes, consulte o captulo intitulado Filtro de Estados). As regras de filtragem para o proxy SOCKS consideram como origem a mquina na qual a sesso foi estabelecida. Devido a isso necessrio apenas especificar as entidades destino e servios que podem ser acessados.

537

23.5.

Geral

Figura 390 - Perfis: Geral.

As opes gerais de filtragem so definidas pelos seguintes campos: Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as regras de seus perfis filhos. Configura a prioridade para as regras dos perfis filhos: Se esta opo estiver marcada, as regras dos perfis filhos iro aparecer acima das regras dos perfis pais, isto , elas tero prioridade sobre as regras do pai. Caso contrrio, as regras do perfil pai tero prioridade sobre as regras dos seus perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai iro aparecer acima de suas regras.

Horrio padro: Esta tabela define o horrio padro para as regras de filtragem WWW. Posteriormente, ao se incluir regras de filtragem WWW, existe a opo de se utilizar este horrio padro ou especificar um horrio diferente. As linhas representam os dias da semana e as colunas s horas. Caso queria que a regra seja aplicvel em determinada hora ento o quadrado deve ser preenchido, 538

caso contrrio o quadrado deve ser deixado em branco. Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move. 23.6. FTP e GOPHER

Figura 391 - Perfis: FTP e GOPHER.

A opo de filtragem FTP e GOPHER permitem a definio de regras de filtragem de URLs para os protocolos FTP e GOPHER. Ela consiste de uma lista onde cada regra mostrada em uma linha separada. Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de duas opes. Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se enquadrarem em nenhuma regra. Para executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis: 539

Figura 392 - Menu de opes (Perfis).

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.

Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma mo segurando um basto. A ordem das regras na lista de regras de filtragem de fundamental importncia. Ao receber uma solicitao de acesso a um endereo, o firewall pesquisar a lista a partir do incio, procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao associada a ela ser executada.

Cada regra de filtragem consiste de uma operao, que indica qual tipo de pesquisa ser feita e o texto a ser pesquisado. Para acessar estas opes de operao clique na entidade que selecionada na coluna Padres de Texto e a tela a seguir ser exibida:

540

Figura 404 Opes de operao

CONTM: A URL deve conter o texto informado em qualquer posio. NO CONTM: A URL no pode conter o texto informado. : O contedo da URL deve ser exatamente igual ao texto informado. NO : O contedo da URL deve ser diferente do texto informado. COMEA COM: O contedo da URL deve comear com o texto informado. NO COMEA COM: O contedo da URL no pode comear com o texto informado. TERMINA COM: O contedo da URL deve terminar com o texto informado. NO TERMINA COM: O contedo da URL no pode terminar com o texto informado. EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso regular. TUDO: Aceitara todo contedo da URL

Seguem as definies dos campos da janela: N: Nmero da regra de filtragem.

541

Limite de busca: Esse campo permite escolher em qual parte da URL ser feito a busca, sendo que os parmetros a serem pesquisados sero definidos no campo Text Patterns. Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite selecionar uma entidade lista de padres criada anteriormente. Com isso, ser possvel associar a regra a uma entidade padro de pesquisa, permitindo definir qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual operao a ser efetuada. Ao: Define a ao a ser executada caso o endereo que o usurio desejou acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes. Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria regra que est sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados servios, mquinas, redes e/ou usurios. Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos funcionrios, com acesso a sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao usurio alguma entidade quota criada. Time: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo: Permite definir que nas segundas-feiras e nas quartas-feiras o usurio ter acesso Internet somente das 12:00 s 14:00. Perodo de Validade: Perodo de validade e aplicao da regra. definido em ms e ano.

542

23.7.

HTTP/HTTPS

Aba Geral

Figura 393 - Geral: HTTP e HTTPS.

Bloquear: Este campo define as opes de bloqueio em sites WWW. So elas:

URLs com endereo IP: Se esta opo estiver marcada, no ser permitido o acesso a URLs com endereos IP ao invs de nome (por exemplo, http://10.0.1.6), ou seja, somente ser possvel se acessar URLs por nomes.

Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se configurar esta opo de modo que o usurio no possa acessar atravs de endereos IP, caso contrrio, mesmo com o nome bloqueado, o usurio continuar acessando a URL atravs de seu endereo IP. possvel acrescentar endereos IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem com esta opo ativa), entretanto, devido a estes sofrerem mudanas e ao fato de muitos servidores terem mais de um endereo IP, isto se torna extremamente difcil. Por outro lado, muitos administradores percebem que sites mal configurados (especialmente os de webmail) utilizam redirecionamento para servidores pelo seu endereo IP, de forma que, com esta opo desmarcada, tais sites ficam inacessveis. 543

O bloqueio de URL no tem suporte para pginas HTTPS quando estiver sendo utilizado o Proxy ativo (ao bloquear uma pgina utilizando este mtodo, o browser ir mostrar o erro de comunicao. Java, Javascript e Activex: Este campo permite definir uma filtragem especial para pginas WWW, bloqueando, ou no, tecnologias consideradas perigosas ou incmodas para alguns ambientes. Ela possui trs opes que podem ser selecionadas independentemente: Javascript, Java e Activex. A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina filtrada seja visualizada como se o browser da mquina cliente no tivesse suporte para a(s) linguagem(s) filtrada(s). Em alguns casos, isto pode fazer com que as pginas percam sua funcionalidade.

Bloqueio de Banners: Esta opo realiza o bloqueio de banners publicitrios em pginas Web. Caso ela esteja marcada, o firewall substituir os banners por espaos vazios na pgina, diminuindo o seu tempo de carga.

Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito atravs de regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de banners, deve-se:

Figura 394 - Janela de acesso: Bloqueio de Banners.

Clicar no menu Aplicao da janela principal. Selecionar o item Bloqueio de banners.

544

A janela a seguir ser exibida:

Figura 395 - Bloqueio de Banners (URL de banners).

Esta janela formada por uma srie de regras no formado de expresso regular. Caso uma URL se encaixe em qualquer regra, a mesma ser considerada um banner e ser bloqueada. A pasta de filtragem HTTP/HTTPS permite a definio de regras de filtragem de URLs para os protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra mostrada em uma linha separada. O protocolo HTTPS, para a URL inicial filtrado como se fosse o protocolo HTTP. Alm disso, uma vez estabelecida comunicao no mais possvel para o firewall filtrar qualquer parte de seu contedo, j que a criptografia realizada diretamente entre o cliente e o servidor.

545

Aba Filtro de URL

Figura 396 - Perfis: bloqueio de URL.

Na parte inferior da pasta existe um grupo que define a ao a ser executado caso o endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de trs opes. Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se enquadrarem em nenhuma regra. Para executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis:

Figura 397 - Barra de ferramentas (inserir ou desabilitar).

546

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.

Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma mo segurando um basto. A ordem das regras na lista de regras de filtragem WWW de fundamental importncia. Ao receber uma solicitao de acesso a um endereo, o firewall pesquisar a lista a partir do incio, procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao associada a ela ser executada. Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa ser feita e, o texto a ser pesquisado. As seguintes opes operao esto disponveis:

CONTM: A URL deve conter o texto informado em qualquer posio. NO CONTM: A URL no pode conter o texto informado. : O contedo da URL deve ser exatamente igual ao texto informado. NO : O contedo da URL deve ser diferente do texto informado. COMEA COM: O contedo da URL deve comear com o texto informado. NO COMEA COM: O contedo da URL no pode comear com o texto informado. TERMINA COM: O contedo da URL deve terminar com o texto informado. NO TERMINA COM: O contedo da URL no pode terminar com o texto informado. EXPRESSO REGULAR: O campo a ser pesquisado dever ser uma expresso regular. Seguem as definies dos campos da janela: N: Nmero da regra de filtragem. Limite de busca: Esse campo permite escolher em qual parte da URL ser feito a busca, sendo que os parmetros a serem pesquisados foram definidos no campo Text Patterns. Padres de texto: Ao clicar com o boto direito do mouse nesse campo, permite selecionar uma entidade lista de padres criada anteriormente. Com isso, ser possvel associar a regra a uma entidade padro de pesquisa, permitindo definir qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual operao a ser efetuada. Ao: Define a ao a ser executado caso o endereo que o usurio desejou acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes.

547

Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria regra que est sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados servios, mquinas, redes e/ou usurios. Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos funcionrios, com acesso a sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao usurio alguma entidade quota criada. Time: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo: Permite definir que nas segundas-feiras e nas quartas- feiras o usurio ter acesso internet somente das 12:00 s 14:00. Perodo de Validade: Perodo de validade e aplicao da regra. definido em ms e ano.

Aba Arquivos Bloqueados

Figura 398 - Perfis: Arquivos bloqueados.

Especificar os arquivos que sero bloqueados pelo perfil juntamente com o Filtro Web. 548

possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo firewall. O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do arquivo. Sites Excludos: Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem na lista de excludos no sero analisados. Opes de operao:

Figura 399 - Escolhas de operaes.

URL Bloqueada: Permitir a configurao de qual ao deve ser executada pelo firewall quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes opes: Mostra mensagem padro ao bloquear URL: Quando selecionada essa opo, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. 549

Redireciona URL bloqueada: Quando selecionada essa opo, o firewall redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo a seguir. Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a tentativa de acesso a uma URL for bloqueada. Ento se pode optar em mostrar a pgina padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os check boxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das variveis criadas. Cada um desses checkbox selecionado, um parmetro. Isso utilizado para identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio da pgina. Domnio: Quando selecionada essa opo ser mostrada o domnio da URL. Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Quando selecionado o domnio, criada a varivel domain. Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Quando selecionado o Mtodo criada a varivel method. Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Quando selecionada essa opo criada a varivel perfil. Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada. Quando selecionado o Mtodo criada a varivel IP. Razes: Ao selecionar a Razo criada a varivel razo. Ao habilitar essa opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto no permitido", "tipo de arquivo no permitido globalmente", "tipo de arquivo no permitido no perfil", "connect para a porta especificada no permitido Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria criada a varivel cats. Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome do usurio criada a varivel user. 550

Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao selecionar o nmero da regra criada a varivel rule. Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url. Quando o proxy ativo estiver sendo utilizado uma URL for bloqueada por uma quota ou por lista de padro de busca, a pagina padro para o bloqueio no ser mostrada. Em preview, aparece como ser a URL e o que ser enviado via mtodo GET.

23.8.

Secure Roaming

Aba Configurao

Figura 400 - Perfis: Security Roaming.

Essa aba permite que sejam configuradas as opes de acesso do Secure Roaming que variam de acordo com as permisses do cliente que est conectado. Para as demais configuraes, veja o captulo Configuraes do Secure Roaming.

Permite Secure Roaming: Habilita a fazer uso do secure roaming do Firewall. Permite o envio de pacotes broadcast aos clientes: Pacotes broadcast so utilizados por protocolos que precisam, em algum ponto de seu funcionamento, uma comunicao entre um hosts e todos os outros de 551

uma sub-rede de modo eficiente. Esse o caso do protocolo Netbios sobre IP. Infelizmente, o abuso no uso desse tipo de pacote pode causar o congestionamento de um link lento, como uma conexo dial-up. Alterar o gateway padro durante a sesso VPN: Ao alterar a rota padro dos hosts que se conectam via Secure Roaming, eles passam a no conseguir acessar outros destinos na Internet sem passar por dentro da rede com os endereos virtuais do Secure Roaming. Isso significa que, para conexes bidirecionais, eles ficam protegidos pelo firewall coorporativo e tambm sujeitos s polticas nele definidas. Servidores DNS: Configura at trs servidores DNS a serem usados durante a sesso criptogrfica. Usado para o caso de haver um servidor de DNS interno na corporao. Servidores WINS: Configura at trs servidores WINS a serem usados durante a sesso criptogrfica. Da mesma forma, essa configurao ser til no caso da corporao usar servidores WINS internos. ignorada pelos clientes que no sejam Windows. Domnio: Acrescenta um domnio s configuraes de nomes da mquina cliente durante a sesso criptogrfica. Geralmente usado em conjunto com a alterao dos servidores DNS. Rotas: Durante a sesso do cliente, algumas rotas podem ser necessrias para acessar diversos servios da rede interna. Elas se cadastram uma a uma nesse campo.

552

Aba Conjunto de Endereos

Figura 401 - Perfis: Security Roaming (conjunto de endereos).

Permite definir um IP ou um range de IPs aos clientes que se conectarem ao Firewall e estiverem vinculados a este perfil. Caso no tenha uma configurao nesta Aba, ser utilizado as configuraes padres do Secure Roaming.

553

23.9.

VPN SSL (Proxy SSL)

Figura 402 - Perfis: VPN-SSL (Proxy SSL).

Esta aba permite configurar os servios para que possam ser acessados atravs de Proxy SSL e/ou VPN SSL pelos usurios que se enquadrarem neste perfil de acesso. Seu formato exatamente igual janela de regras de filtragem com as excees de que no se deve especificar entidades origem para a regra e de que nem todas as opes esto disponveis (acumulador, canal, etc). Aqui tambm possvel trabalhar com Polticas de Regras de Filtragem. (para maiores informaes, consulte o captulo intitulado O Filtro de Estados). N.: Nmero da regra de filtragem. Destino: Nesta coluna pode-se controlar o destino da conexo. Servios: Permite indicar a porta de comunicao do protocolo. Tipo: Indica o tipo de conexo SSL. Pode ser direta ou por meio do applet. A conexo direta denominada Proxy Reverso SSL, que possibilita a utilizao de certificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre uma conexo SSL com o Firewall, e o Firewall abre uma conexo normal com o servidor.

554

Figura 403 - Conexo Direta: Proxy Reverso SSL.

Na conexo via applet o cliente abre uma conexo via SSL com o Firewall por meio de uma pgina WEB. O Firewall disponibiliza um applet de redirecionamento que o cliente ir baix-lo em sua mquina. Esse applet inicia uma conexo com o Firewall via SSL e o Firewall inicia uma conexo com o servidor.

Figura 404 - Conexo Via Apllet.

Figura 405 - Conexo Cliente Applet / SSL / Normal.

555

Servio de Bind: Permite indicar a porta de comunicao onde o applet (dar um bind) iniciar o servio. Para isso deve-se inserir uma ou mais entidades do tipo servio. Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se encaixem nesta regra. Ela consiste nas seguintes opes: Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem atravs do firewall; Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta regra. Assim ser enviado um pacote ICMP para a mquina de origem do pacote dizendo que o destino inatingvel. Esta opo no funciona para alguns tipos de servio ICMP, devido a uma caracterstica inerente a este protocolo.

Log: Definir quais tipos de aes sero executadas pelo sistema quando um pacote se encaixar na regra. Ele consiste em vrias opes que podem ser selecionadas independentemente uma das outras. Hora: Definir as horas e dias da semana em que a regra ser aplicvel. As linhas representam os dias da semana e as colunas representam as horas. Caso queira que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco. As regras de filtragem para os perfis de acesso consideram como origem a mquina na qual a sesso foi estabelecida. Devido a isso necessrio apenas especificar as entidades destino e servios que podem ser acessados.

556

23.10. MSN Messenger

Figura 406 - Perfis MSN Messenger.

Essa aba permite configurar as opes de uso do MSN Messenger e seus servios. Para mais informaes, veja o captulo Configurando o Proxy MSN. As seguintes opes esto disponveis: Permite Messenger: Se esta opo estiver desmarcada, os usurios que pertencerem a este perfil no podero acessar o Messenger, mesmo que exista uma regra de filtragem permitindo este acesso. fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrrio poder ser possvel acessar o Messenger atravs deste servio. Esta opo de bloqueio j vem configurada como padro, mas importante atentar a isso caso se realize configuraes no proxy HTTP. No Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa. Ela indica que o usurio poder usar MSN Messenger, sem nenhum tipo de filtragem (ex: tempo de conversao, etc.). Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa. Ela indica que o usurio poder usar o MSN Messenger, porm de forma controlada, ou seja, definida atravs das regras de filtragem para este servio. 557

Permite notificaes do Hotmail: Esta opo (que s estar ativa caso o acesso filtrado ao MSN Messenger tenha sido selecionado) permite que o usurio receba notificaes de mensagens disponveis no Hotmail. Incluir conversas nos registros de log: Esta opo registrar todas as conversas entre os usurios. Bloquear verso: Estas opes permitem que sejam bloqueadas as verses especficas do cliente MSN Messenger. Caso tenha selecionado a opo de acesso filtrado criar uma ou mais regras para definir que tipo de executar qualquer operao sobre uma regra, basta direito e a seguir escolher a opo desejada no seguintes opes esto disponveis: ao Messenger, necessrio acesso ser permitido. Para clicar sobre ela com o boto menu que ir aparecer. As

Figura 407 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.

Inserir: Permitir a incluso de uma nova regra na lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.

Cada regra MSN consiste das seguintes opes: Origem: Endereo de e-mail do usurio que enviou a mensagem, ou seja que iniciou a conversa. Destino: Nesta coluna pode-se controlar com quem os usurios internos iro conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails (para maiores informaes veja o captulo (Cadastrando entidades), contendo a lista de e-mails ou domnios liberados. Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem ser enviados/recebidos atravs do Messenger. Para isso deve-se inserir uma ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informaes veja o captulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos. Servios Permitidos: Nesta coluna pode-se especificar quais servios adicionais podem ser utilizados atravs do Messenger. A definio dos tipos de servios

558

possveis feita dentro da configurao do proxy MSN. Para maiores informaes veja o captulo Configurando o proxy MSN. Log: Se estiver marcado, informao sobre as conversas de todos os usurios sero registradas. Os seguintes dados estaro disponveis no log: logon/logoff de usurio, transferncia de arquivos, utilizao de servio adicional e incio e fim de conversa. Pastas compartilhadas: Nesta opo pode-se optar por permitir ou no que o usurio compartilhe pastas no MSN. Tabela de Horrios: Horrio em que o usurio poder utilizar o servio Messenger, dividido nas 24 horas do dia. Caso seja desejado possvel copiar o horrio padro do perfil de acesso, clicando-se com o boto direito sobre a tabela de horrios e selecionando-se a opo Usar tabela de horrio padro do perfil. Ao: Define a ao a ser executado caso o endereo que o usurio desejou acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes. Permitir: Se esta opo for selecionada, ento o firewall aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for selecionada, ento o firewall rejeitar as URLs que no se enquadrarem em nenhuma regra. Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos funcionrios, com acesso a sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Esta opo permite associar ao usurio alguma entidade quota criada.

559

23.11. Filtros de Aplicao

Figura 408 - Perfis: Filtragem de aplicao.

Essa aba permite configurar as regras para filtros de aplicao. Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo real, independentemente de sua extenso ou protocolo que esteja sendo utilizado para envi-los. possvel tambm ao invs de bloquear, simplesmente mudar a prioridade de um servio ou tipo de arquivo sendo transmitido. Uma das grandes utilizaes destes filtros para otimizar o acesso Internet. possvel, por exemplo, que todos os usurios tenham um acesso rpido Internet, porm quando estes tentarem baixar arquivos cujos tipos no sejam considerados importantes, i.e, mp3, vdeos, etc, a conexo sendo utilizada para transferir estes arquivos automaticamente fique com uma largura de banda bastante reduzida. Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes esto disponveis:

560

Figura 409 - Menu (inserir/desabilitar) para executar qualquer operao sobre a regra.

Inserir: Permitir a incluso de uma nova regra na lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Desabilitar: Ativar ou desativar a regra selecionada na lista.

Cada regra consiste dos seguintes campos: Destino: Especificar os destinos da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou conjuntos (para maiores informaes veja o captulo Cadastrando entidades). Servio: Especificar os servios da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo servio (para maiores informaes veja o captulo Cadastrando entidades). Filtros de Aplicao: Indicar quais os filtros que estaro ativos para as conexes que forem em direo a um dos destinos especificados na regra e utilizando um dos servios tambm especificados. A definio dos filtros feita na janela de Filtragem de Aplicaes. Para maiores informaes veja o captulo Configurando Filtragem de Aplicaes. Ao: Esta coluna indica a ao que ser tomada pelo firewall caso um dos filtros especificados seja aplicado. Ela consiste das seguintes opes: Aceita: Significa que a conexo ser autorizada a passar atravs do firewall. Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um pacote de reset para a mquina originria da comunicao. Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado nenhum pacote para a mquina de origem. Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade diferente, que dever ser especificada na coluna Canal. Bloqueia origem: Indica que a mquina que originou a conexo dever ser bloqueada por algum tempo (isso significa que todas as conexes originadas nela sero recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto tempo a mquina permanecer bloqueada. 561

Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido selecionada. Ela indica qual a nova prioridade que ser atribuda conexo. Devese inserir uma entidade do tipo canal (para maiores informaes veja o captulo Cadastrando entidades). Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia origem tenha sido selecionada. Ela indica por quanto tempo a mquina origem ser bloqueada. 23.12. Associando Usurios com Perfis de Acesso

Uma vez que os perfis de acesso esto criados, torna-se necessrio associ-los com usurios e grupos de um ou mais autenticadores ou autoridades certificadoras do firewall. Isto feito atravs da janela de controle de acesso. Para ter acesso a janela de controle de acesso deve-se:

Figura 410 - Autenticao.

Clicar no menu Configuraes do Firewall da janela principal. Selecionar o item Autenticao. Selecionar a aba Controle de Acesso.

562

Aba de Controle de Acesso

Figura 411 - Autenticao: Controle de acesso.

A aba de controle de acesso permite que seja criada a associao de usurios/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padro onde se pode selecionar o perfil que ser associado aos usurios que no se enquadrem em nenhuma regra de associao. A ltima coluna Entidades, quando preenchida, especifica redes e mquinas onde a associao vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til para permitir acesso s reas sensveis da rede apenas de alguns locais fsicos com segurana aumentada. Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira:

563

1. Clique com o boto direito do mouse na lista de regras e selecionar a opo Inserir; 2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se com o boto direito no campo Autenticador. Para maiores informaes sobre os autenticadores, veja o captulo intitulado Configurando parmetros de autenticao. 3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecione entre listagem de usurios ou grupos, ento a lista selecionada ser montada automaticamente a partir do autenticador selecionado. A partir da lista, selecione o usurio ou grupo desejado.

Figura 412 - Menu de escolha do usurio.

4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu a seguir:

Figura 413 - Menu de escolha do perfil.

5. Caso deseje, arraste algumas entidades mquina, rede ou conjuntos para o campo entidades. Se o usurio estiver fora dessas entidades, a regra ser pulada. 564

Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela. 2. Clicar no boto Apagar. Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posio. 2. Arrastar para a posio desejada. A ordem das associaes na lista de fundamental importncia. Quando um usurio se autenticar, o firewall pesquisar a lista a partir do incio procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, o perfil associado ao mesmo ser utilizado. A aba Controle de Acesso por IP

Figura 414 - Controle de acesso por IP.

O firewall pode controlar os acessos por intermdio de endereos IP conhecidos juntamente com perfis criados para este fim. Basta o administrador cadastrar a rede conhecida e arrastar para a posio Entidades de Origem, em seguida incluir na coluna Perfil o perfil ou perfis necessrios na regra. 565

A caixa Ativar controle de acesso por endereo IP origem dever estar marcada para que o firewall use esta facilidade.

566

Autenticao de Usurios

567

24.

Autenticao de Usurios
Este captulo mostra o que o Cliente de Autenticao Aker e para que serve essa ferramenta que propicia grande nvel de segurana.

24.1.

Visualizando e Removendo Usurios Conectados no Firewall

possvel visualizar a qualquer momento os usurios que possuem sesso estabelecida com o firewall, atravs do cliente de autenticao, e remover uma destas sesses. Isto feito atravs da janela de usurios logados. Para ter acesso a janela de usurios logados deve-se:

Figura 415 - Usurios conectados.

Clicar no menu Informao da janela de administrao do firewall. Selecionar Usurios Conectados.

568

A janela de Usurios Conectados

Figura 416 - Usurios conectados (mquina, nome, domnio, perfil, inicio, TPC e n de usurios conectados.)

Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte inferior da janela mostrada uma mensagem informando o nmero total de usurios com sesses estabelecidas um determinado instante. Para os usurios logados via Secure Roaming, sero mostrados tambm os dados da conexo (endereo IP e portas) junto com o estado de estabelecimento da mesma.

O boto OK faz com que a janela de usurios seja fechada. O boto Cancelar fecha a janela. A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo da janela de usurios conectados.

Barra de Ferramentas de Usurios Conectados:

Figura 417 - Barra de ferramentas: usurios conectados.

569

O boto Atualiza faz com que as informaes mostradas sejam atualizadas periodicamente de forma automtica ou no. Clicando-se sobre ele, alterna-se entre os dois modos de operao. O intervalo de atualizao pode ser configurado mudando-se o valor logo a direita deste campo. O boto Buscar, localizado na barra de ferramentas, permite remover uma sesso de usurio. Para tal deve-se primeiro clicar sobre a sesso que deseja remover e a seguir clicar neste boto (ele estar desabilitado enquanto no existir nenhuma sesso selecionada). O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes (DNS) para resolver os nomes das mquinas cujos endereos IPs aparecem listados. Cabem ser observados os seguintes pontos: 1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a traduo dos nomes feita em segundo plano. 2. Muitas vezes, devido a problemas de configurao do DNS reverso (que o utilizado para resolver nomes a partir de endereos IP), no ser possvel a resoluo de certos endereos. Neste caso, os endereos no resolvidos sero mantidos na forma original e ser indicado ao seu lado que eles no possuem DNS reverso configurado.

possvel ordenar a lista das sesses por qualquer um de seus campos, bastando para isso clicar no ttulo do campo. O primeiro clique produzir uma ordenao ascendente e o segundo uma ordenao descendente.

Significado dos campos de uma sesso de usurio ativa Cada linha presente na lista de sesses de usurios representa uma sesso. O significado de seus campos mostrado a seguir: cone: mostrado a esquerda do nome de cada usurio e pode assumir trs formas distintas: Cadeado: Este cone indica que o usurio se logou atravs do cliente de criptografia apenas. Usurio: Este cone indica que o usurio se logou atravs do cliente de autenticao apenas. Usurio dentro do cadeado: Este cone indica que o usurio se logou atravs do cliente de autenticao e de criptografia. Mquina: Endereo IP ou nome (caso o DNS esteja ativo) da mquina na qual a sesso foi estabelecida. Nome: Nome do usurio que estabeleceu a sesso. Domnio: Nome do domnio, i.e. autenticador, no qual o usurio se autenticou. Caso o usurio no tenha especificado domnio ao se logar, este campo aparecer em branco. 570

Perfil: Qual o perfil de acesso correspondente a esta sesso. Se este campo est em branco, o usurio se autenticou antes de a tabela de perfis ser alterada, de forma que ele est utilizando um perfil que no existe mais. Incio: Hora de abertura da sesso.

24.2.

Utilizando a Interface Texto Interface Texto

A Interface Texto para acesso lista de usurios logados possui as mesmas capacidades da Interface Remota e simples de ser utilizado. Ele o mesmo programa que produz a lista de conexes ativas TCP e UDP, mostrado anteriormente. Localizao do programa: /aker/bin/firewall/fwlist Sintaxe: Uso: fwlist ajuda fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6] fwlist mostra [sessoes | roaming | bloqueados] fwlist mostra [quotas | www] fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem [usuario] fwlist remove bloqueado IP_origem fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]

ajuda

= mostra esta mensagem

mostra = lista as conexes ou sesses ativas remove = remove uma conexo ou sessao ativa reinicia = reinicia a quota dos usurios Exemplo 1: (listando as sesses de usurios logados no firewall) #fwlist mostra sesses 571

Nome/Domnio Perfil IP origem Inicio ------------------------------------------------------------------------------administrador/BSB Admin 10.20.1.1 08:11:27 jose.silva/GOA Padrao5 10.45.1.1 07:39:54 joao.souza/POA Padrao3 10.57.1.1 07:58:10 josemaria/GRU Padrao3 10.78.1.1 08:01:02 angelam/BSB 1 Restrito 10.22.1.1 08:48:31 marciam/POA Restrito 10.235.1.1 10:49:44 antonioj/POA Especial 10.42.2.1 06:02:19 operador/BSB Padro 10.151.2.1 20:44:34 Exemplo 2: (removendo a sesso do usurio logado a partir da mquina 10.19.1.1) #fwlist remove sesso 10.19.1.1

A remoo da sesso foi solicitada ao servidor de usurios.

572

Configurando o Proxy SMTP

573

25.

Configurando o Proxy SMTP


Este captulo mostra quais as funes oferecidas pelo proxy SMTP e como realizar sua configurao.

O que o proxy SMTP? O proxy SMTP um programa especializado do Aker Firewall feito para trabalhar com correio eletrnico (SMTP um anagrama para Simple Mail Transfer Protocol, que o nome completo do servio de transferncia de correio eletrnico na Internet). Este proxy possibilita que sejam realizadas filtragens de e-mails baseadas em seu contedo ou em qualquer campo de seu cabealho. Ele tambm atua como uma barreira protegendo o servidor SMTP contra diversos tipos de ataques. Ele um proxy transparente (para maiores informaes veja o captulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existncia. Descrio de uma mensagem SMTP Para entender o funcionamento da filtragem de campos do proxy SMTP, necessrio algumas informaes sobre as mensagens de correio eletrnico. Uma mensagem de e-mail formada por trs partes distintas: envelope, cabealho e corpo. Cada uma destas partes possui um papel especfico:

Envelope O envelope chamado desta forma por ser anlogo a um envelope de uma carta comum. Nele se encontram as informaes do emissor e dos destinatrios de uma mensagem. Para cada recipiente de um domnio diferente gerado um novo envelope. Desta forma, um servidor SMTP recebe no envelope de uma mensagem o nome de todos os recipientes da mensagem que se encontram no seu domnio. O envelope no visto pelos destinatrios de uma mensagem. Ele somente usado entre os servidores SMTP.

Cabealho No cabealho da mensagem se encontram informaes sobre a mensagem, como o assunto, data de emisso, nome do emissor, etc. O cabealho normalmente mostrado ao destinatrio da mensagem.

574

Corpo O corpo composto pela mensagem propriamente dita, da forma com que foi produzida pelo emissor.

Ataques contra um servidor SMTP Existem diversos ataques passveis de serem realizados contra um servidor SMTP. So eles:

Ataques explorando bugs de um servidor Neste caso, o atacante procura utilizar um comando ou parmetros de um comando que conhecidamente provocam falhas de segurana. O proxy SMTP do Aker Firewall impede estes ataques na medida em que s permite a utilizao de comandos considerados seguros e validando os parmetros de todos os comandos.

Ataques explorando estouro de reas de memria (buffer overflows) Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que um servidor que no tenha sido corretamente desenvolvido apresente falhas de segurana. O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam o tamanho mximo das linhas de comando que podem ser enviadas para o servidor.

Ataques de relay Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas mensagens de correio eletrnico. Desta forma, utiliza-se os recursos computacionais que deveriam estar disponveis para requisies vlidas. O proxy SMTP do Aker Firewall impede ataques de relay desde que corretamente configurado.

Utilizando o proxy SMTP

Para se utilizar o proxy SMTP em uma comunicao, necessrio executar uma sequncia de 2 passos:

575

1. Criar um servio que ser desviado para o proxy SMTP e editar os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro de Estados).

25.1.

Editando os parmetros de um contexto SMTP

A janela de propriedades de um contexto SMTP ser mostrada quando a opo Proxy SMTP for selecionada. Atravs dela possvel definir o comportamento do proxy SMTP quando este for lidar com o servio em questo. A janela de propriedades de um contexto SMTP.

Figura 418 - Servios: relay.

Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste de diversas pastas, cada uma responsvel por uma das diferentes caractersticas de proteo. 576

Aba Geral

Figura 419 - Servios: geral.

Tamanho mximo da mensagem: Este campo indica o tamanho mximo, em bytes ou kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Caso no queira definir um tamanho mximo, basta marcar a opo Sem Limite, localizada direita deste campo. Registrar na lista de eventos: Este campo indica se as mensagens que no se enquadrarem em nenhuma regra SMTP deste contexto devem ser registradas na lista de eventos. Envia cpia de todas as mensagens: Independente de uma mensagem ter sido aceita ou rejeitada, possvel enviar uma cpia completa dela para um endereo de e-mail qualquer. Este campo indica se deve ou no ser enviada esta cpia. Checagem de DNS reverso habilitada: O firewall far a checagem para determinar a existncia do DNS reverso cadastrado para o servidor SMTP para aceitar a mensagem baseado nas regras da pasta DNS. E-mail padro: Indica o endereo de e-mail padro, para o qual sero enviadas as cpias das mensagens que no se enquadrarem em nenhuma regra SMTP deste

577

contexto (se a opo Envia Cpia de todas as mensagens estiver marcada). Este email tambm pode ser referenciado em qualquer regra de filtragem do contexto. Aba de Relay

Figura 420 - Servios: relay.

Esta pasta serve para especificar uma lista de domnios vlidos para recebimento de e-mails. E-mails destinados a quaisquer domnios no listados sero rejeitados antes mesmo que se comece sua transmisso. Caso a lista de domnios esteja em branco o firewall no far controle de relay, ou seja, aceitar e-mails destinados a quaisquer domnios. Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode basear seu controle no destinatrio dos e-mails, e no no remetente, uma vez que no possui a lista de usurios vlidos do servidor SMTP protegido.

578

Aba de Regras

Figura 421 - Servio: regras.

Nesta pasta so mostradas todas as regras de filtragem para o contexto. Estas regras possibilitam que o administrador configure filtros de e-mails baseados em seu contedo. Para executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas).

579

Figura 422 - Menu (inserir, copiar, editar, excluir ou renomear).

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Editar: Abrir a janela de edio para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada da lista.

Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. A ordem das regras na lista de regras de filtragem SMTP de fundamental importncia. Ao receber uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na qual a mensagem se enquadre. To logo uma seja encontrada, a ao associada a ela ser executada. No caso de incluso ou edio de regras, a janela a seguir ser exibida:

580

A janela de edio de regras SMTP

Figura 423 - Edio de regra: SMTP.

Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem para um contexto SMTP. Cada regra consiste basicamente de 3 condies independentes que podem ou no estar preenchidas (ou seja, possvel criar regras com apenas uma ou duas condies). Para criar uma regra, necessrio preencher os seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras do contexto SMTP. No podem existir duas regras com o mesmo nome.

581

Campo: Definir o nome do campo dentro da mensagem SMTP onde ser feita a pesquisa. Ele pode assumir um dos seguintes valores (alguns valores so mostrados em ingls devido ao fato de serem nomes de campos fixos de uma mensagem):

NENHUM: No ser feita pesquisa. PARA (Todos): A pesquisa feita no endereo de destino da mensagem (todos os recipientes devem se encaixar na regra). PARA (Qualquer): A pesquisa feita no endereo de destino da mensagem (pelo menos um recipiente deve se encaixar na regra). DE: A pesquisa feita no endereo de origem da mensagem. CC: A pesquisa realizada sobre a lista de endereos que iro receber uma cpia da mensagem. REPLY-TO: A pesquisa feita no campo REPLY-TO, que indica o endereo para o qual a mensagem deve ser respondida. ASSUNTO: A pesquisa feita no campo que define o assunto da mensagem. CABEALHO: A pesquisa realizada sobre todos os campos que compem o cabealho da mensagem. CORPO: A pesquisa feita no corpo da mensagem (onde existe efetivamente a mensagem).

Os campos TO e CC so tratados de forma diferente pelo proxy SMTP: o campo TO tratado com uma lista dos vrios recipientes da mensagem, retirados do envelope da mensagem. O campo CC tratado como um texto simples, retirado do cabealho da mensagem, e sua utilidade bastante limitada. Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. So elas:

CONTM: O campo a ser pesquisado deve conter o texto informado em qualquer posio. NO CONTM: O campo a ser pesquisado no pode conter o texto informado. : O contedo do campo a ser pesquisado deve ser exatamente igual ao texto informado. NO : O contedo do campo a ser pesquisado deve ser diferente do texto informado. COMEA COM: O contedo do campo a ser pesquisado deve comear com o texto informado. NO COMEA COM: O contedo do campo a ser pesquisado no pode comear com o texto informado. TERMINA COM: O contedo do campo a ser pesquisado deve terminar com o texto informado NO TERMINA COM: O contedo do campo a ser pesquisado no pode terminar com o texto informado. CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado como formado por palavras individuais (separadas por espaos), ao invs de um texto contnuo. Para se enquadrar na pesquisa, o campo em questo deve conter todas as palavras informadas, independente de sua posio.

582

Texto: Texto a ser pesquisado. Este campo tratado como um texto contnuo que ser comparado com o campo especificado, exceto no caso da pesquisa CONTM PALAVRAS, quando ele tratado como diversas palavras separadas por espaos. Em ambos os casos, letras maisculas e minsculas so consideradas como sendo iguais. Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, possvel definir at 3 condies distintas que uma mensagem deve cumprir para que seja enquadrada pela regra. Caso no queira especificar trs condies, basta deixar as demais com o valor NENHUM no parmetro campo. Ativao dos filtros: Este campo s tem sentido quando especifica mais de uma condio. Ele indica que tipo de operao ser usada para relacion-las:

Somente se todos so verdadeiros: Para que uma mensagem enquadre na regra, necessrio que ela satisfaa todas as condies. Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra, basta ela satisfazer uma das condies.

Ao: Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas ou rejeitadas pelo proxy SMTP. Registrar na lista de eventos: Este campo indica se as mensagens que se enquadrarem na regra devem ou no ser registradas na lista de eventos. Enviar cpia: Para toda mensagem que se enquadrar na regra, independentemente de ter sido aceita ou rejeitada, possvel enviar uma cpia completa dela para um endereo de e-mail qualquer. Este campo indica se deve ou no ser enviada esta cpia. Caso ele esteja marcado, deve-se escolher uma das seguintes opes de envio:

Padro: A cpia da mensagem enviada para o e-mail padro. e-mail: A cpia da mensagem enviada para o endereo especificado no campo direita.

583

Aba de DNS

Figura 424 - Servio: DNS.

Nesta pasta so mostradas todas as regras de filtragem de DNS para o contexto. Estas regras possibilitam que o administrador configure filtros de e-mails baseados no nome retornado pelo DNS reverso do servidor SMTP que estiver enviando a mensagem. Para executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas).

584

Figura 425 - Menu (inserir, copiar, editar, excluir ou renomear).

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Editar: Abrir a janela de edio para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada da lista.

Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. No caso de incluso ou edio de regras, a janela a seguir ser exibida:

585

A janela de edio de regras DNS reverso

Figura 426 - Servio: DNS.

Para criar uma regra deve-se preencher os seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras do contexto SMTP. No podem existir duas regras com o mesmo nome. Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem SMTP podem ser utilizados para a filtragem do DNS reverso. Texto: Definir o texto a ser pesquisado. Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra tenha sido executada. Verificar alias: Se esta opo estiver marcada, o firewall comparar todos os nomes retornados pelo DNS para verificar se algum deles se encaixa na regra. Ao: Ao a ser executada pelo firewall caso a regra seja atendida. Ela pode ser Aceita ou Rejeitada.

586

Aba de Anexos

Figura 427 - Servio: anexos.

Esta pasta so especificadas as regras de tratamento de arquivos anexados. Essas regras permitem que, caso uma mensagem tenha sido aceita, ela tenha seus arquivos anexados removidos ou checados contra vrus. Elas permitem tambm que se rejeite uma mensagem por completo, caso ela contenha um arquivo anexo inaceitvel (com vrus, por exemplo). Agente de antivrus para checagem dos arquivos: Esse campo indica o agente antivrus que ser utilizado para checar vrus dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Permitir a passagem de anexos mal codificados: Se esta opo estiver marcada, anexos que apresentem erros de codificao sero aceitos pelo firewall, caso contrrio mensagem ser recusada. Para executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma 587

regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas).

Figura 428 - Menu (inserir, copiar, editar, excluir ou renomear).

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Editar: Abrir a janela de edio para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada da lista.

Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao associada a ela ser executada. No caso de incluso ou edio de regras, a janela a seguir ser exibida:

588

A janela de edio de regras de anexos

Figura 429 - Regra: edio de regras e anexos.

Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem de arquivos para um contexto SMTP. Ela consiste dos seguintes campos: Nome: Definir unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras de arquivos. No podem existir duas regras com o mesmo nome. Filtrar por tipo MIME: Permitir a definio de uma regra de filtragem de arquivos baseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.

589

Filtrar por nome: Permitir a realizao de filtragens a partir (de parte) do nome, do arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado. Estes campos so anlogos aos campos de mesmo nome da regra de filtragem SMTP, descrita acima. Operador de pesquisa: Este campo anlogo ao campo de mesmo nome da regra de filtragem SMTP, descrita acima. Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na regra. Ela consiste de trs opes:

Aceita o anexo: Se essa opo for selecionada o firewall ir manter o arquivo anexado na mensagem. Remove o anexo: Se essa opo for selecionada o firewall ir remover o arquivo anexado da mensagem. Descarta mensagem: Se essa opo for selecionada o firewall recusar a mensagem completa. Remove anexo infectado: Se essa opo for selecionada o firewall ir verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall o remover e acrescentar uma mensagem informando ao destinatrio desse fato. Descarta mensagem infectada: Se essa opo for selecionada o firewall ir verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall recusar a mensagem.

Recomenda-se utilizar as aes que removem os arquivos anexados nos e-mails recebidos pela companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos e-mails que saem. Remove arquivos encriptados: Se essa opo estiver marcada, o firewall remover os arquivos anexados que estejam cifrados, de forma que no possam ser checados quanto presena de vrus. Remove arquivos corrompidos: Se essa opo estiver marcada, o firewall remover os arquivos anexados que estejam corrompidos. Notifica emissor no caso de remoo do arquivo anexado: Se essa opo estiver marcada, o firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou mais de seus arquivos anexados for removido. Envia cpia para o administrador do arquivo anexado for removido: Se essa opo estiver marcada, o firewall enviar uma cpia de todos os arquivos removidos para o administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opes de envio: 590

Padro: A cpia da mensagem enviada para o e-mail padro. E-mail: A cpia da mensagem enviada para o endereo especificado no campo direita.

Aba RBL (Real-time Black List)

Figura 430 - Regra: edio de regras e anexos.

Esta pasta contm opes de bloqueio de sites considerados fontes de SPAM. O bloqueio feito em tempo real, mediante consulta a uma ou mais listas de bloqueio dinmicas, mantidas por terceiros. Ela consiste das seguintes opes: Black list padro: So trs listas negras que contm vrios relays acusados de fazer SPAM (envio de mensagem no desejada). Elas so gerenciadas por organizaes e o firewall simplesmente consultam-nas, antes de aceitar os e-mails. Marque as opes correspondentes se desejar utilizar esta facilidade.

SBL: Para saber mais acesse o endereo http://www.mail-abuse.org/rbl/ CBL: Para saber mais acesse o endereo http://www.orbs.org/ SORBS: Para saber mais acesse o endereo http://www.sorbs.net/

591

Black list do usurio: So listas negras configurveis pelo administrador do firewall. Ela consiste de uma lista de listas negras, cada uma com os seguintes campos: Nome: Nome pelo qual deseja chamar a blacklist. URL: URL explicativa para ser mostrada para o usurio que tiver seus e-mails recusados. Zona de DNS: a zona completa de DNS que dever ser consultada pelo firewall. Caso um endereo IP esteja presente nessa zona, e-mails vindos dele sero recusados. Alguns servios de black list costumam ter seu funcionamento interrompido temporariamente devido aos problemas de natureza judicial. Quando isto acontece, ou eles se tornam inefetivos ou bloqueiam mais e-mails do que deveriam. Por favor verifique o funcionamento correto da blacklist desejada antes de coloc-la em uso.

592

Aba de Spam Meter

Figura 431 - Servio: Spam Meter.

Esta aba contm as opes de configurao da comunicao do firewall com o Spam Meter, um produto criado pela Aker Security Solutions com o objetivo de atribuir notas a mensagens de e-mail, de acordo com a probabilidade de estas serem ou no SPAM. Ela consiste das seguintes opes: Habilitar Spam Meter: Habilita o uso de o Spam Meter pelo firewall. Agente de Spam Meter a usar: Esse campo indica o Spam Meter que ser utilizado para se atribuir notas a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Base a usar: O Spam Meter permite a utilizao de diversas bases para realizar a classificao de mensagens. A ideia por trs disso permitir que cada pessoa ou grupo de pessoas com caractersticas semelhantes possam ter suas mensagens classificadas por uma base que melhor reflita sua definio de SPAM. O Aker Firewall no permite a utilizao de bases distintas por pessoas ou grupos, porm possvel utilizar uma base distinta para cada contexto SMTP. Este campo serve para especificar o nome da base que ser utilizada por este contexto. 593

Nveis de Spam: Este controle permite a definio de dois limites de notas (entre 0 e 100) para a filtragem de mensagens: Limite 1 e Limite 2. Limite 1: Define o limite, faixa verde, at o qual as mensagens so consideradas como no SPAM. Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa amarela indica e-mails que potencialmente so SPAM mas que o SPAM Meter no tem certeza suficiente. A faixa vermelha indica mensagens que foram consideradas SPAM. Deteco de SPAM aprimorada: Se esta opo estiver selecionada o Spam Meter tentar detectar a maior quantidade possvel de mensagens SPAM, com o inconveniente de eventualmente poder gerar mais falsos positivos, ou seja, mensagens que seriam vlidas classificadas como potenciais SPAM. Reduo de Falso-positivo: Se esta opo estiver selecionada, o Spam Meter tentar reduzir ao mximo os falsos positivos, com o inconveniente de eventualmente classificar como inofensiva uma mensagem que seria SPAM. Ao: Este campo indica as aes que devem ser executadas pelas mensagens que se enquadrarem em cada uma das reas definidas pelos limites 1 e 2. As seguintes opes esto disponveis: Aceitar: As mensagens que se enquadrarem nesta faixa sero aceitas sem qualquer modificao. Normalmente esta ao associada faixa verde. Descartar: As mensagens que se enquadrarem nesta faixa sero descartadas pelo firewall, isto , elas sero recebidas por ele e o servidor que as enviou ser informado do sucesso no envio, no entanto elas nunca sero reenviadas aos usurios que as deveriam receber. Esta ao deve ser utilizada apenas na faixa vermelha e seu objetivo impedir que potenciais emissores de SPAM saibam se conseguiram ou no enviar suas mensagens. Rejeitar: As mensagens que se enquadrarem nesta faixa sero rejeitadas pelo firewall, isto , o servidor que as enviou ser informado que elas foram recusadas e que ele no deve tentar envi-las novamente. Esta ao deve ser utilizada apenas na faixa vermelha. Adicionar assunto: As mensagens que se enquadrarem nesta faixa sero aceitas porm tero seu assunto precedido de um texto qualquer definido pelo administrador. O campo direita serve para o administrador definir o texto que ser adicionado ao assunto. Esta ao normalmente utilizada na faixa amarela, mas pode tambm ser utilizada na vermelha. A ideia configurar um filtro, para o texto a ser adicionado, nos leitores de e-mail de modo a fazer com que as mensagens suspeitas ou consideradas SPAM sejam automaticamente separadas em outra caixa postal.

594

Enviar cpia: Para toda mensagem, independentemente de ter sido aceita ou rejeitada, possvel enviar uma cpia completa dela para um endereo de e-mail qualquer. Este campo indica se deve ou no ser enviada esta cpia. Caso ele esteja marcado, deve-se escolher uma das seguintes opes de envio:

Padro: A cpia da mensagem enviada para o e-mail padro. E-mail: A cpia da mensagem enviada para o endereo especificado no campo direita.

Modificar mensagem para treinamento: Uma das caractersticas fundamentais do Spam Meter sua possibilidade de aprender novas caractersticas de SPAM, de modo sempre oferecer um timo nvel de acerto. Os campos contidos nesta opo indicam quais usurios podem realizar treinamento da base de dados do contexto e de que forma as mensagens devem ser modificadas para possibilitar este treinamento. As seguintes opes esto disponveis: Usar plugin: Esse campo indica os destinatrios que treinaro mensagens atravs do plugin de treinamento disponibilizado pela Aker (disponvel inicialmente para Outlook e Thunderbird). Neste caso, as mensagens no sero modificadas em nenhuma forma, apenas alguns campos novos sero acrescentados no cabealho. Ele especifica uma entidade do tipo de e-mails que deve ter sido previamente cadastrada no firewall (para maiores informaes veja o captulo intitulado Cadastrando entidades). Usar sub-mensagens (.eml): Os destinatrios que estiverem neste campo recebero suas mensagens originais encapsuladas em outra, que conter botes que os possibilitar de realizar o treinamento (a mensagem inicial vir sem nenhuma modificao, porm em alguns leitores de e-mail ser necessrio clicar sobre ela para pode visualiz-la). Ele especifica uma entidade do tipo de e-mail que deve ter sido previamente cadastrada no firewall (para maiores informaes veja o captulo intitulado Cadastrando entidades). Usar layout HTML: Os destinatrios que estiverem neste campo recebero suas mensagens originais acrescidas de um novo layout HTML, que conter botes que os possibilitar de realizar o treinamento. Ele especifica uma entidade do tipo de emails que deve ter sido previamente cadastrada no firewall (para maiores informaes veja o captulo intitulado Cadastrando entidades). Ajustar mensagens: Se umas das opes Usar sub-mensagens ou Usar Layout HTML for selecionada, este boto ser habilitado e permitir a definio das mensagens que sero mostradas aos usurios para que eles possam realizar o treinamento. Endereo para treinamento: Este campo deve ser preenchido com o nome ou endereo IP da mquina na qual o firewall est rodando, de modo a que os leitores de e-mails dos clientes saibam para onde enviar o resultado do treinamento.

595

As listas sero pesquisadas pelo firewall na ordem em que aparecem, isto , se um destinatrio estiver em duas ou mais listas, a mensagem ser modificada de acordo com a lista superior. Caso um usurio no aparea em nenhuma lista ele no poder realizar treinamento da base.

596

Aba Avanado

Figura 432 - Servio: Avanado.

Esta pasta permite o acesso s opes de configurao avanadas do proxy SMTP. Elas permitem um ajuste fino do funcionamento do proxy. As opes so: Permite cabealho incompleto: Se esta opo estiver marcada como NO, no sero aceitas mensagens cujos cabealhos no contenham todos os campos obrigatrios de uma mensagem SMTP. Nmero de processos: Este campo indica o nmero mximo de cpias do proxy que podero estar ativas em um determinado momento. Como cada processo trata uma conexo, este nmero tambm representa o nmero mximo de mensagens que podem ser enviadas simultaneamente para o contexto em questo. Caso o nmero de conexes ativas atinja este limite, os clientes que tentarem enviar novas mensagens sero informados que o servidor se encontra temporariamente impossibilitado de aceitar novas conexes e que devem tentar novamente mais tarde. possvel utilizar este nmero de processos como uma ferramenta para controlar o nmero mximo de mensagens simultneas passando pelo link, de forma a no satur-lo. 597

Tempo limite de resposta do cliente: Este parmetro indica o tempo mximo, em segundos, que o proxy espera entre cada comando do cliente que est enviando a mensagem SMTP. Caso este tempo seja atingido, sem receber nenhum comando do cliente, o proxy assume que este caiu e derruba a conexo. Tempo limite de resposta para servidor: Para cada um dos possveis comandos vlidos do protocolo SMTP, existe um tempo mximo de espera por uma resposta do servidor. Caso no receba nenhuma resposta dentro deste perodo, o proxy assume que o servidor caiu e derruba a conexo. Neste grupo possvel configurar o tempo mximo de espera, em segundos, para cada um destes comandos. Todos os demais parmetros se referem aos tempos limites de resposta para cada comando SMTP e no devem ser modificados a no ser que haja uma razo especfica para faz-lo.

598

Configurando o Proxy Telnet

599

26.

Configurando o Proxy Telnet


Este captulo mostra como configurar o proxy telnet para realizar autenticao de usurios.

O que o proxy Telnet? O proxy Telnet um programa especializado do Aker Firewall feito para trabalhar com o protocolo Telnet, que o protocolo utilizado para emulao de terminais remotos. A sua funo bsica possibilitar a realizao de uma autenticao em nvel de usurio para as sesses telnet a serem estabelecidas. Este tipo de autenticao permite uma grande flexibilidade e um elevado nvel de segurana. Ele um proxy transparente (para maiores informaes veja o captulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existncia. Utilizando o proxy Telnet Para utilizar o proxy Telnet para realizar autenticaes em uma comunicao, necessrio executar uma sequncia de 2 passos: 1. Criar um servio que ser desviado para o proxy Telnet e editar os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro de Estados). A partir deste momento, todas as vezes que uma sesso telnet enquadrar na regra criada que foi estabelecida, o firewall solicitar uma identificao do usurio e uma senha. Se a identificao e a senha forem vlidas e o usurio em questo tiver permisso, a sesso ser estabelecida. Caso contrrio o usurio ser informado do erro e a sesso cancelada.

26.1.

Editando os parmetros de um contexto Telnet

A janela de propriedades de um contexto Telnet ser mostrada quando a opo Proxy Telnet for selecionada. Atravs dela possvel definir o comportamento do proxy Telnet quando este for lidar com o servio em questo. 600

A janela de propriedades de um contexto Telnet

Figura 433 - Servio: propriedade de um contexto Telnet.

Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste dos seguintes campos: Somente aceita conexes de mquinas com DNS reverso vlido: Ao selecionar essa opo, somente sero aceitas conexes de mquinas cujo DNS reverso esteja configurado e aponte para um nome vlido. Permisso Padro: Indicar a permisso que ser aplicada a todos os usurios que no estiverem presentes e que no faam parte de nenhum grupo presente na lista de permisses. O valor aceita permite que a sesso de telnet seja estabelecida e o valor rejeita impede sua realizao. Nmero mximo de sesses simultneas: Definir o nmero mximo de sesses telnet que podem estar ativas simultaneamente neste contexto. Caso o nmero de sesses abertas atinja este limite, os usurios que tentarem estabelecer novas conexes sero informados que o limite foi atingido e que devem tentar novamente mais tarde.

601

Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy pode ficar sem receber dados da sesso Telnet e ainda consider-la ativa. O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo intitulado Configurando os parmetros do sistema) Lista de permisses: Definir de forma individual, as permisses de acesso para usurios ou grupos. Para executar qualquer operao sobre um usurio ou grupo na lista de permisses, basta clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhum usurio/grupo selecionado. Neste caso, somente as opes Incluir e Colar estaro habilitadas).

Figura 434 - Menu (inserir).

Inserir: Permitir a incluso de um novo usurio/grupo na lista. Se algum usurio/grupo estiver selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo usurio/grupo ser includo no final da lista. Editar: Permite alterar a permisso de acesso do usurio/grupo selecionado. Excluir: Remover da lista o usurio/grupo selecionado.

Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o usurio/grupo, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. A ordem dos usurios e grupos na lista de permisses de fundamental importncia. Quando um usurio se autenticar, o firewall pesquisar a lista a partir do incio procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, a permisso associada ao mesmo ser utilizada. Para alterar a posio de um usurio ou grupo dentro da lista, deve-se proceder da seguinte forma:

602

1. Selecionar o usurio ou grupo a ser movido de posio. 2. Clicar em um dos botes em formato de seta, localizados a direita da lista. O boto com o desenho da seta para cima far com que o usurio/grupo selecionado seja movido uma posio para cima. O boto com a seta para baixo far com que este seja movido uma posio para baixo. No caso de incluso de usurios/grupos, ser mostrada a seguinte janela: A janela de incluso de usurios/grupos

Figura 435 - Janela de incluso de usurios ou grupos.

A janela de incluso permite definir a permisso de acesso para um usurio ou um grupo de um determinado autenticador. Para faz-lo, deve-se proceder da seguinte forma: Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se com o boto esquerdo sobre seu nome na lista superior da janela (se o autenticador desejado no aparecer na lista, necessrio acrescent-lo na lista de autenticadores a serem pesquisados. Para maiores informaes, veja o captulo intitulado Configurando parmetros de autenticao). 1. Selecionar entre listagem de usurios ou grupos, clicando-se nos botes correspondentes localizados entre as duas listas. 2. Clicar com o boto esquerdo sobre o nome do usurio ou grupo que queira incluir, na lista inferior da janela. 3. Definir a permisso de acesso para o usurio ou grupo, escolhendo entre os valores aceita (que possibilitar o estabelecimento da sesso) ou rejeita (que impedir seu estabelecimento). 4. Clicar no boto OK, o que provocar o fechamento da janela e a incluso do usurio ou grupo na lista de permisses da janela de propriedades do contexto.

603

Configurando o Proxy FTP

604

27.

Configurando o Proxy FTP


Este captulo mostra como configurar o proxy FTP, de forma a bloquear determinados comandos da transferncia de arquivos.

O que o proxy FTP? O proxy FTP um programa especializado do Aker Firewall feito para trabalhar com o protocolo FTP, que o protocolo utilizado para a transferncia de arquivos pela Internet. A sua funo bsica possibilitar que o administrador defina os comandos que podem ser aceitos e impedir, por exemplo, a criao de novos arquivos ou de diretrios. Ele um proxy transparente (para maiores informaes veja o captulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existncia. Utilizando o proxy FTP Para utilizar o proxy FTP para realizar o controle de uma transferncia de arquivos necessrio executar uma sequncia de 2 passos: 1. Criar um servio que ser desviado para o proxy FTP e editar os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro de Estados). O proxy FTP no realiza autenticao de usurios. Para possibilitar que certos usurios tenham privilgios diferentes necessrio criar servios do proxy FTP com contextos distintos e associar cada um destes servios com um perfil de acesso. Para maiores informaes sobre perfis de acesso, verifique o captulo chamado Perfis de acesso de usurios.

605

27.1.

Editando os parmetros de um contexto FTP

A janela de propriedades de um contexto FTP ser mostrada quando selecionar a opo Proxy FTP, na janela de edio de servios. Atravs dela possvel definir o comportamento do proxy FTP quando este for lidar com o servio em questo. A janela de propriedades de um contexto FTP

Figura 436 - Servios: propriedades de um contexto FTP.

Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste dos seguintes campos: Somente aceita conexes de mquinas com DNS reverso vlido: Ao selecionar essa opo, somente sero aceitas conexes de mquinas cujo DNS reverso esteja configurado e aponte para um nome vlido. Permitir que o servidor abra conexes em qualquer porta com o cliente: Esta opo permite que o servidor FTP comunique-se com o cliente por uma porta diferente da padro que TCP 20. 606

Habilitar logs de downloads e uploads: Esta opo far com que seja gerado um evento informando dados sobre os downloads e uploads realizados passando pelo proxy. Nmero mximo de conexes simultneas: Definir o nmero mximo de sesses FTP que podem estar ativas simultaneamente neste contexto. Caso o nmero de sesses abertas atinja este limite, os usurios que tentarem estabelecer novas conexes sero informados que o limite foi atingido e que devem tentar novamente mais tarde. Tempo limite de inatividade: Definir o tempo mximo, em segundos, que o proxy pode ficar sem receber dados da sesso FTP e ainda consider-la ativa. O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo intitulado Configurando os parmetros do sistema. Esta janela permite a criao de uma lista de regras que podero ser aceitas ou no, de acordo com cone na coluna Ao que tero as opes Aceita ou Rejeita. Para poder inserir um comando na coluna FTP necessrio clicar com o boto direito dentro do componente e selecionar a opo inserir, assim depois de inserida a regra, deve-se clicar na coluna FTP e selecionar a opo desejada ou digitar outro comando.

.
Figura 437 - Janela de lista de regras (aceitas ou no).

Abaixo segue a descrio de todas as opes: mkd - Criar diretrio: Ao selecionar essa opo, ser possvel a criao de diretrios atravs das conexes FTP que se encaixarem neste contexto. xmkd - Criar diretrio estendido: Ao selecionar essa opo, ser possvel a criao de diretrios estendidos por meio das conexes FTP que se encaixarem neste contexto. 607

rmd - Apagar diretrio: Ao selecionar essa opo, ser possvel a remoo de diretrios atravs das conexes FTP que se encaixarem neste contexto. xrmd - Apaga um diretrio estendido: Ao selecionar essa opo, ser possvel remover diretrios estendidos atravs das conexes FTP que se encaixarem neste contexto. list - Listar diretrio: Ao selecionar essa opo ser possvel a visualizao do contedo de diretrios (comandos DIR ou LS) atravs das conexes FTP que se encaixarem neste contexto. nlst - Listar nomes dos diretrios: Ao selecionar essa opo ser possvel a visualizao dos nomes dos diretrios, atravs das conexes FTP que se encaixarem neste contexto. retr - Download de arquivos: Ao selecionar essa opo, ser possvel fazer download de arquivos atravs das conexes FTP que se encaixarem neste contexto. stor - Upload de arquivos: Ao selecionar essa opo, ser possvel fazer upload de arquivos atravs das conexes FTP que se encaixarem neste contexto. stou - Upload de apenas um arquivos: Ao selecionar essa opo, ser possvel fazer upload de um arquivo com o nome nico no diretrio corrente. appe - Adicionar arquivo com a criao: Ao selecionar essa opo, ser possvel concatenar os dados no fim de um arquivo. Caso o arquivo no exista ele ser criado. rest - Retomada de transferncia de arquivos: Ao selecionar essa opo, ser possvel recomear o download ou upload do ponto de onde foi interrompido. dele - Remove arquivos: Ao desmarcar essa opo, no ser possvel remover arquivos atravs das conexes FTP que se encaixarem neste contexto. rnfr - Renomear arquivos: Se esta opo estiver desmarcada, no ser possvel renomear arquivos atravs das conexes FTP que se encaixarem neste contexto. As regras que no forem listadas obedecero a "ao padro".

608

Configurando o Proxy POP3

609

28.

Configurando o Proxy POP3


Este captulo mostra quais as funes oferecidas pelo proxy POP3 e como realizar a sua configurao.

O que o proxy POP3? O proxy POP3 um programa especializado do Aker Firewall feito para trabalhar com correio eletrnico. Este proxy possibilita realizar filtragens de e-mails baseadas em seus arquivos anexos. Ele tambm atua como uma barreira protegendo o servidor POP3 contra diversos tipos de ataques. Ele um proxy transparente (para maiores informaes veja o captulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua existncia. POP3 um anagrama para protocolo Post Office, que o nome completo do servio de download de mensagens de correio eletrnico na Internet. Ataques contra um servidor POP3 Existem diversos ataques passveis de serem realizados contra um servidor POP3. So eles:

Ataques explorando bugs de um servidor Neste caso, o atacante procura utilizar um comando ou parmetros de um comando que conhecidamente provocam falhas de segurana. O proxy POP3 do Aker Firewall impede estes ataques na medida em que s permitem a utilizao de comandos considerados seguros e validando os parmetros de todos os comandos.

Ataques explorando estouro de reas de memria (buffer overflows) Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que um servidor que no tenha sido corretamente desenvolvido apresente falhas de segurana. O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita o tamanho mximo das linhas de comando que podem ser enviadas para o servidor.

610

Utilizando o proxy POP3 Para utilizar o proxy POP3 em uma comunicao, necessrio executar uma sequncia de 2 passos: 1. Criar um servio que ser desviado para o proxy POP3 e editar os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro de Estados). 28.1. Editando os parmetros de um contexto POP3

A janela de propriedades de um contexto POP3 ser mostrada quando a opo Proxy POP3 for selecionada. Atravs dela possvel definir o comportamento do proxy POP3 quando este for lidar com o servio em questo. A janela de propriedades de um contexto POP3

Figura 438 - Propriedades de um contexto POP3.

611

Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. So eles: Configuraes: formado por diversos campos que indicam as aes a serem executadas pelo proxy POP3:

Agente de antivrus: Indicar o agente antivrus que ser utilizado para checar vrus dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. E-mail padro: Indicar o endereo de e-mail padro, para o qual sero enviadas as cpias das mensagens que no se enquadrarem em nenhuma regra deste contexto (se a opo Envia Cpia estiver marcada). Este e-mail tambm pode ser referenciado em qualquer regra de filtragem do contexto. Nmero mximo de processos: Indicar o nmero mximo de cpias do proxy que podero estar ativas em um determinado momento. Como cada processo trata uma conexo, este nmero tambm representa o nmero mximo de mensagens que podem ser transmitidas simultaneamente para o contexto em questo. Caso o nmero de conexes ativas atinja este limite, os clientes que tentarem enviar novas mensagens devem repetir a tentativa posteriormente. Tempo limite de resposta: Indicar o tempo mximo, em segundos, que o proxy espera a conexo em inatividade. Caso este tempo seja atingido o proxy encerra a conexo. Permitir a passagem de anexos mal codificados: Permitir que anexos que estejam mal codificados passem pelo firewall e sejam entregues aos clientes de email.

Lista de regras: Nessa lista so especificadas as regras de tratamento de arquivos anexados que permitem que uma mensagem tenha seus arquivos anexados removidos ou checados contra vrus. Para executar qualquer operao sobre uma determinada regra, deve-se clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas).

Figura 439 - Operaes sobre determinada regra.

612

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Editar: Abrir a janela de edio para a regra selecionada. Excluir: Remover da lista a regra selecionada. Renomear: Renomear a regra selecionada.

Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.

A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao associada a ela ser executada.

No caso de incluso ou edio de regras, a janela a seguir ser exibida:

613

A janela de edio de regras de arquivos

Figura 440 - Edio de regras de arquivos.

Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem de arquivos para um contexto POP3. Ela consiste dos seguintes campos: Nome: Definir unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras de arquivos. No podem existir duas regras com o mesmo nome. Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseandose em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo. Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado. As seguintes opes de pesquisa esto disponveis:

CONTM: O nome deve conter o texto informado em qualquer posio. NO CONTM: O nome no pode conter o texto informado. : O contedo do nome deve ser exatamente igual ao texto informado. 614

NO : O contedo do nome deve ser diferente do texto informado. COMEA COM: O contedo do nome deve comear com o texto informado. NO COMEA COM: O contedo do nome no pode comear com o texto informado. TERMINA COM: O contedo do nome deve terminar com o texto informado. NO TERMINA COM: O contedo do nome no pode terminar com o texto informado. CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado como formado por palavras individuais (separadas por espaos), ao invs de um texto contnuo. Para enquadrar na pesquisa, o nome deve conter todas as palavras informadas, independente de sua posio.

Ativao do filtro: Caso tenha especificado filtragem por tipo MIME e por nome, esse campo permite especificar se a regra deve ser aplicada Somente se ambos so verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU). Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na regra. Ela consiste em trs opes:

Aceita o anexo: Ao selecionar essa opo o firewall ir manter o arquivo anexado na mensagem. Remove o anexo: Ao selecionar essa opo o firewall ir remover o arquivo anexado da mensagem. Remove anexo infectado: Ao selecionar essa opo o firewall ir verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall o remover e acrescentar uma mensagem informando o destinatrio desse fato.

Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for atendida a mesma ser registrada no log de eventos. Remover arquivos encriptados: Ao selecionar essa opo, o firewall remover os arquivos anexados que estejam compactados e cifrados, porque no poder examin-los para testar a presena de vrus. Remover arquivos corrompidos: Ao selecionar essa opo, o firewall remover os arquivos anexados que estejam compactados, porm corrompidos, porque no poder examin-los para testar a presena de vrus. Notifica emissor no caso de remoo do arquivo anexado: Ao selecionar essa opo, o firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou mais de seus arquivos anexados for removido. Envia cpia para o administrador se o arquivo anexado for removido : Ao marcar essa opo, o firewall enviar uma cpia de todos os arquivos removidos para o administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opes de envio: 615

E-mail Padro: A cpia da mensagem enviada para o e-mail padro, definido na janela de propriedades do contexto. outro: A cpia da mensagem enviada para o endereo especificado no campo direita.

616

Utilizando as Quotas

617

29.

Utilizando as Quotas
Este captulo mostra como so utilizadas as quotas.

O que so quotas? A produtividade dos funcionrios de fundamental importncia para o desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker Firewall tornou-se uma ferramenta indispensvel para o controle de acesso s pginas web, que so visitadas pelos empregados de uma corporao. Com o uso desse produto, os usurios s tero acesso a sites dentro dos limites estabelecidos pelas quotas de acesso. As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos funcionrios, com acesso a sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Estes limites so definidos na seguinte forma:

Quanto periodicidade de acesso, pode ser definido diariamente, semanalmente e mensalmente; Quanto quantidade de horas e de dias disponveis; Quanto ao volume de dados de bytes trafegados.

Observao 1: Filtro Web: Consumo de cota o tempo calculado aproximado mdia de tempo de carregamento de um site. MSN: Consumo de cota o tempo calculado aproximado mdia de tempo de utilizao do MSN, como chats, envio de arquivo, uso de jogos, vdeo chamada ou qualquer outra funcionalidade do MSN. Observao 2: Filtro Web: Para os casos de acesso simultneos (de um mesmo usurio) somente o tempo de carregamento do maior site que ser contabilizado. MSN: para cada janela de conversao, o tempo contado separadamente;

618

29.1.

Editando os parmetros do Uso de Quota

Figura 441 - Uso de quotas.

Clicar no menu Informao da janela do firewall. Selecionar o item Uso de Quotas.

619

Visualizao do Usurio

Figura 442 - Uso de quotas: visualizao do usurio.

Esta janela permite mostrar todas as informaes de quota de acesso, especificadas por usurio. Reiniciar o tempo do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo zera toda a quota de tempo de acesso para todas as quotas desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reiniciar o trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar todas as quotas de volume de dados desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reiniciar hora e trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar toda quota de tempo de acesso e a quota de volume, para esse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. 620

Usurio: Usurio para qual foi aplicado quota. Quota: Nome da quota criada. Time: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Perodo que a quota vai ser aplicada se diariamente, semanalmente ou mensalmente. Mostra valores relativos: Mostra os valores das quotas gastas em forma de porcentagem. Visualizao da Quota

Figura 443 - Uso de quotas: visualizao da quota.

Esta janela permite mostrar todas as informaes de quota de acesso, especificados por quota. Reinicia o tempo do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo zera toda a quota de tempo de acesso para 621

todas as quotas desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reinicia o trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar todas as quotas de volume de dados desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reinicia hora e trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar toda quota de tempo de acesso e a quota de volume, para esse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem. Quota: Nome da quota criada. Usurio: Usurio para qual foi aplicado quota. Tempo: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Perodo que a quota vai ser aplicada se diariamente, semanalmente ou mensalmente.

622

Configurando o Filtro Web

623

30.

Configurando o Filtro Web


Este captulo mostra para que serve e como configurar o Filtro Web.

30.1.

Planejando a instalao

O que o Filtro Web do Aker Firewall? O filtro web um programa especializado do Aker Firewall feito para trabalhar com os protocolos que compem a chamada WWW (World Wide Web). Dentre entre estes protocolos, esto o HTTP, HTTPS, FTP e Gopher. Este produto possui como principal funo controlar o acesso dos usurios internos Internet, definindo quais pginas os usurios podero acessar e se podem ou no transferir arquivos, por exemplo. Alm disso, ele pode bloquear tecnologias consideradas perigosas para algumas instalaes como o Active-XTM, scripts (JavaScript) e at applets JavaTM. Mais ainda, ele possibilita a remoo dos banners das pginas, de forma a aumentar a sua velocidade de carga e reduzir a utilizao do link. Ele um proxy simultaneamente transparente (apenas para HTTP) e no transparente (para maiores informaes, veja o captulo intitulado Trabalhando com proxies), facilitando a instalao do sistema. Quando utilizado da forma transparente, o proxy normalmente mais rpido do que quando utilizado como um proxy normal, alm de no necessitar configurao extra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolos HTTPS, FTP e GOPHER s existe no proxy normal. Para que o proxy no transparente tenha a mesma performance do transparente, necessrio que os browsers suportem o envio de requisies HTTP 1.1 via proxies. O que um servidor de cache WWW? Um servidor de cache um programa que visa aumentar a velocidade de acesso s pginas da Internet. Para conseguir isso, ele armazena internamente as pginas mais utilizadas pelas diversas mquinas clientes e todas as vezes que recebe uma nova solicitao, ele verifica se a pgina desejada j se encontra armazenada. Caso a pgina esteja disponvel, ela retornada imediatamente, sem a necessidade de consultar o servidor externo, caso contrrio pgina ser carregada normalmente do servidor desejado e armazenada, fazendo com que as prximas requisies a esta pgina sejam atendidas rapidamente. 624

O filtro web do Aker Firewall trabalhando com um servidor de cache O Aker Firewall implementa automaticamente um servidor de cache no seu Filtro Web, entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padres de mercado. Este servidor de cache pode estar rodando na prpria mquina onde o firewall se encontra ou em uma mquina separada. Caso utilize-se de um servidor de cache em uma mquina separada (modo de instalao recomendado), esta mquina deve ficar em uma sub-rede diferente de onde esto as mquinas clientes, caso contrrio, todo o controle de segurana pode ser facilmente ultrapassado. Este tipo de configurao pode ser visualizado na seguinte figura:

Figura 444 - Conexo (internet, rede interna, firewall e DMZ.

Neste tipo de instalao, para assegurar uma total proteo, basta configurar o filtro de estados (para maiores informaes, veja o captulo intitulado O Filtro de Estados) de forma a permitir que a mquina com o cache seja a nica que possa acessar os servios ligados ao WWW, e que as mquinas clientes no possam abrir nenhuma conexo em direo mquina onde se encontra o cache. Feito isso, configura-se todas as mquinas clientes para utilizarem o Filtro Web do firewall e configura-se o firewall para utilizar o cache na mquina desejada.

625

Utilizando o Filtro Web Para se utilizar o filtro web do Aker Firewall no modo no transparente (normal), necessria a seguinte sequncia de passos: 1. Criar os perfis de acesso desejados e os associar com os usurios e grupos desejados. (Isso foi descrito no captulo chamado Perfis de acesso de usurios); 2. Editar os parmetros de configurao do Filtro Web (isso ser mostrado no tpico chamado Editando os parmetros do filtro web); 3. Criar uma regra de filtragem possibilitando que as mquinas clientes tenham acesso ao proxy (para maiores informaes, veja o captulo intitulado O Filtro de Estados). O filtro web no transparente escuta conexes na porta 80, utilizando o protocolo TCP. Caso seja necessrio, pode-se alterar este valor para qualquer porta, bastando para isso acrescentar o parmetro -p porta, onde porta o nmero da porta que queira que ele escute, na hora de inici-lo. A linha de comando a ser alterada se encontra no arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall /fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo. Para utilizar o filtro web no modo transparente necessrio executar uma sequncia de 2 passos: 1. Criar um servio que ser desviado para o Filtro Web transparente (HTTP e/ou HTTPS) e editar os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). 2. Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro de Estados).

626

30.2.

Editando os parmetros de Filtro Web

Para utilizar o filtro web, necessria a definio de alguns parmetros que determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela de configurao do Filtro Web. Para acess-la, deve-se:

Figura 445 - Filtro web.

Clicar no menu Aplicao da janela do firewall. Selecionar o item Filtro Web.

627

A janela de configurao de parmetros do Filtro Web Aba Geral

Figura 446 - Configurao dos parmetros do filtro web (geral).

O boto OK far com que a janela de configurao do Filtro Web seja fechada e as alteraes salvas. O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a janela aberta. 628

O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.

O boto Retornar Configurao Inicial - Desconsidera as configuraes personalizadas e retorna ao padro; aplicvel em todas as abas e encontra-se na barra de ferramentas do Firewall, bem como o boto Assistente.

Cache Cache Interno Habilitado: Esta opo permite que o firewall funcione como servidor de cache. Cache externo Habilitado: Esta opo permite definir se o Filtro Web ir redirecionar suas requisies para um servidor de cache. Caso esta opo esteja habilitada, todas as requisies recebidas sero repassadas para o servidor de cache, no endereo IP e porta especificada. Caso contrrio, o Filtro Web atender todas as requisies. IP: Este campo especifica o endereo IP do servidor de cache para onde as requisies sero redirecionadas, caso a opo habilita cache estiver ativa. Porta: Este campo especifica a porta na qual o servidor de cache espera receber conexes, caso a opo habilita cache estiver ativa.

Parmetros Esta aba possibilita ajustar o funcionamento do Filtro Web para situaes especiais. Ela consiste dos seguintes campos: Autentica usurios WWW: Este campo ativa ou no a autenticao de usurios do Filtro Web. Caso ele esteja marcado, ser solicitada ao usurio uma identificao e uma senha todas as vezes que ele tentar iniciar uma sesso, e esta somente ser iniciado caso ele seja autenticado por algum dos autenticadores. Utiliza cliente de autenticao em Java: Esta opo instrui o proxy a utilizar o cliente de autenticao em Java, mesmo quando operando de modo no transparente. A vantagem deste cliente permitir que a autenticao do usurio seja completa (como quando se usa o cliente de autenticao para Windows, e no apenas para o Filtro Web).

Caso o usurio esteja utilizando o Cliente de Autenticao Aker para Windows e esteja com uma sesso estabelecida com o Firewall, ento no ser solicitado nome nem senha, ou seja, o proxy se comportar como se no estivesse realizando autenticao de usurios, mas ele est de fato fazendo-o. Se a sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar um nome de usurio e senha no prximo acesso. Para maiores informaes sobre o Cliente de Autenticao Aker, leia o captulo (Autenticao de usurios). 629

Para o cliente de autenticao em Java funcionar em seu browser, ele deve ter o suporte Java instalado e habilitado, alm de permitir o uso do protocolo UDP para applets Java. Forar autenticao: Se esta opo estiver marcada o proxy obrigar a autenticao do usurio, ou seja, somente permitir acesso para usurios autenticados. Se ela estiver desmarcada e um usurio desejar se autenticar, ele poder faz-lo (para ganhar um perfil diferente do padro), mas acessos no identificados sero permitidos.

Tempos Limites Leitura: Definir o tempo mximo, em segundos, que o proxy aguarda por uma requisio do cliente, a partir do momento que uma nova conexo for estabelecida. Caso este tempo seja atingido sem que o cliente faa uma requisio, a conexo ser cancelada. Resposta: Definir o tempo mximo, em segundos, que o proxy aguarda por uma resposta de uma requisio enviado para o servidor WWW remoto ou para o servidor de cache, caso a opo habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor comece a transmitir uma resposta, a conexo com o servidor ser cancelada e o cliente receber uma mensagem de erro. HTTPS: Definir o tempo mximo, em segundos, que o proxy pode ficar sem receber dados do cliente ou do servidor em uma conexo HTTPS, sem que ele considere a conexo inativa e a cancele. Manter ativo: Definir quanto tempo um usurio pode manter uma conexo keepalive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para outro usurio. Recomenda-se manter este tempo bastante baixo, para evitar o uso desnecessrio de todos os processos do sistema. Timeout das sesses web: Indica quanto tempo uma sesso web vai ficar sendo monitorada, permitindo ao administrador do firewall saber quais so as sesses web ativas do seu firewall. Exemplo: Se for marcado 30 segundos nesse campo, a janela de sesses web (Informao -> Sesses Web) s vai mostrar as sesses ativas dos ltimos 30 segundos.

Performance No permitir a transferncia de arquivos comprimidos: Permite que o Firewall no aceite transferncias do filtro Web que tenham dados compactados. Em uma requisio HTTP e ou HTTPS, pode ser especificado que os dados venham compactados. Caso os dados venham comprimidos e caso exista ActiveX, Java ou JavaScript compactados, o firewall precisa descompact-los para fazer a anlise dos dados, por isso que nesses casos, essa opo 630

bastante importante. O mais aconselhado deixar esta opo desmarcada, pois o padro da janela. Logar toda URL aceita: Permite que o Firewall logue todas as URL que so realizadas em mtodo (GET, POST e etc), sendo assim teremos um volume de logs muito maior para gerao de relatrios e contabilizao de Quotas. Exemplo: com esta opo desmarcado o acesso ao endereo http://www.terra.com.br ser gerado apenas um log informando o acesso ao portal, j com a opo marcada ser gerado logs para cada GET que o browser faz para receber todo o site. Para melhorar o desempenho e a gesto de recursos, os processos do Filtro Web so criados automaticamente pelo firewall, conforme a demanda de requisies.

Quotas Interromper a transferncia quando a quota for excedida: Essa opo permite interromper a transferncia dos arquivos caso a quota tenha excedido. Caso essa opo no esteja marcada o firewall vai verificar a quota do usurio antes dele comear a fazer o download. Exemplo: Se o usurio tiver 50 MB de quota, e quer fazer um download de um arquivo de 100 MB, com certeza ele no ir conseguir finalizar essa transferncia. Todas s vezes que essa opo estiver marcada, e for mais de um download simultneo ou um download que no foi informado o seu tamanho, o firewall permite o download, mas ir interromper antes do trmino.

Contabilizar durao do download: Permite que o tempo da quota seja "gasto" enquanto durar o tempo do download, por exemplo, se o usurio quiser fazer o download de um arquivo de 100 MB e esse download levar 30 minutos, vo ser gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opo no esteja marcada, s vo ser gastos 100 MB, e no os 30 minutos. Normalmente o tempo de quota s utilizado quando o usurio fica navegando, mandando mensagens pelo MSN e etc. Quando ele est fazendo o download de um arquivo grande, no gasto o tempo de sua quota, somente o volume de bytes.

631

Arquivos Permitir retomada de transferncia: Est opo dever ser selecionada caso o usurio queira permitir, que um download continue de onde havia parado.

Aba Cliente de autenticao

Figura 447 - Filtro Web: cliente de autenticao.

Esta aba serve para compor o Layout da janela de autenticao do Aker Firewall.

Crie um ttulo para a janela de autenticao.

Autenticao - Este campo composto por duas opes que sero disponibilizadas para o usurio quando do logon no Firewall; e poder se conectar habilitando:

Mostrar boto S/Key - Esta opo permite que os usurios se autentiquem usando S/Key. Mostrar campo domnio - O usurio informar o domnio para logar-se no Filtro Web.

Logotipo

632

Usar logo personalizada. Neste caso ao marcar esta opo, ser preciso indicar o caminho que se encontra a logotipo. E possvel acompanhar as mudanas na Visualizao.

Mostrar tela de splash antes da janela de autenticao: Esta opo exibe uma janela com a URL especificada antes de solicitar a autenticao do usurio atravs do cliente de autenticao em Java.

Aba Controle de contedo

Figura 448 - Filtro Web: controle de contedo.

Analisador de URL: Especificar o agente analisador de URLs que ser utilizado para categorizar as pginas da Internet. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo firewall quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes: opes: Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada.

633

Redireciona URL bloqueada: Ao selecionar essa opo, o firewall redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo a seguir. Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a tentativa de acesso a uma URL for bloqueada. Ento pode optar em mostrar a pgina padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os checkboxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das variveis criadas. Cada um desses checkbox selecionado um parmetro. Isso utilizado para identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio da pgina. Domnio: Ao selecionar essa opo ser mostrado o domnio da URL. Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar o domnio, criada a varivel domain. Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Mtodo criada a varivel method. Nome do perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa opo criada a varivel perfil. IP do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada. Ao selecionar o Mtodo criada a varivel IP. Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto no permitido", "tipo de arquivo no permitido globalmente", "tipo de arquivo no permitido no perfil", "connect para a porta especificada no permitida Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria criada a varivel cats. Nome do usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome do usurio criada a varivel user. Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao selecionar o nmero da regra criada a varivel rule. Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.

634

No preview, aparece como ser a URL e o que ser enviado via mtodo GET.

Aba Tipos de arquivos

Figura 449 - Filtro Web: tipo de arquivo.

Arquivos Bloqueados Especificar os arquivos que sero bloqueados pelo Filtro Web. possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo firewall. O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informao para decidir como

635

mostrar a informao que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do arquivo. URL Bloqueada: Permitir a configurao de qual ao deve ser executado pelo firewall quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes: opes:

Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opo, o firewall redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo abaixo.

Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a tentativa de acesso a uma URL for bloqueada. Ento pode optar em mostrar a pgina padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os checkboxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das variveis criadas. Cada um desses checkbox selecionado um parmetro. Isso utilizado para identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio da pgina.

Domnio: Ao selecionar essa opo ser mostrado o domnio da URL. Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar o domnio, criada a varivel domain. Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Mtodo criada a varivel method. Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa opo criada a varivel perfil. IP do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada. Ao selecionar o Mtodo criada a varivel IP. Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto no permitido", "tipo de arquivo no permitido globalmente", "tipo de arquivo no permitido no perfil", "connect para a porta especificada no permitido 636

Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria criada a varivel cats. Nome do usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome do usurio criada a varivel user. Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao selecionar o nmero da regra criada a varivel rule. Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.

No preview, aparece como ser a URL e o que ser enviado via mtodo GET. Downloads Especificar os arquivos que sero analisados contra vrus pelo Download manager do Aker Firewall, ou seja, para os quais o firewall mostra ao usurio uma pgina web com o status do download do arquivo e realizar seu download em background. Esta opo interessante para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para arquivos que normalmente no so visualizveis de forma on-line pelo navegador. possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve ser analisado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem analisados, ento o arquivo dever ser analisado pelo firewall. O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do arquivo. Sites Excludos: Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem na lista de excludos no sero analisados.

637

As opes de operao podem ser vistas a seguir:

Figura 450 - Escolha de operao.

Configuraes: Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado. Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompido. Online Da mesma maneira que em downloads o administrador do firewall deve escolher os tipos MIME e as extenses.

638

Aba Antivrus

Figura 451 - Filtro Web: antivrus.

Habilitar antivrus: Ao selecionar essa caixa, permitir que o firewall faa a verificao antivrus dos contedos que tiverem sendo baixados. O boto Retornar configurao padro restaura a configurao original do firewall para esta pasta.

Agente antivrus utilizado: Permitir a escolha de um agente antivrus previamente cadastrado para realizar a verificao de vrus. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Ignorar erros online do antivrus (podem permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver um erro de anlise do antivrus no trfego on-line, o mesmo no bloquear o contedo, permitindo a transferncia dos dados. Caso o campo no esteja marcado, a transferncia de dados ser bloqueada. Ignorar erros de download do antivrus (pode permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver erro de anlise do antivrus no trfego on-line, o mesmo no bloquear o download, permitindo a transferncia dos dados. Caso o campo no esteja marcado, o download ser bloqueado. Habilitar janela de progresso do antivrus: Esta opo permite desabilitar o Download manager do Aker Firewall. 639

Intervalo de atualizao do status: Esta opo determina o tempo em a pgina de download exibida pelo firewall deve ser atualizada. Nmero de tentativas: Nmero mximo de tentativas de download para cada arquivo, caso seja necessrio tentar mais de uma vez. Nmero mximo de downloads simultneos: Configura o nmero mximo de downloads simultneos que o firewall ir permitir.

Analise de Vrus: Opo para mostrar uma pgina caso seja encontrado um vrus durante a anlise do antivrus. A pgina poder ser a do prprio firewall ou personalizada pelo usurio. possvel personalizar a mensagem para cada tipo de vrus encontrado, bastando utilizar a string {VIR} que ser substituda pelo nome do vrus.

Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o firewall mostra uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opo, o firewall redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo a seguir.

O Aker Antivrus Module suporta diversas opes de varredura de vrus, worms, dialers, hoax, cavalo de troia e analise heursticas, abaixo segue uma lista de opes suportadas: Opes de anlise: Utilizado para selecionar quais os tipos de bloqueio que devem ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se ser ou no utilizado um mtodo de deteco heurstico (caso seja marcado, poder ser utilizado s opes baixo, mdio ou alto);

Habilitar anlise heurstica: A Heurstica um conjunto de regras e mtodos que podem levar o parceiro instalado a detectar um vrus sem a necessidade de uma base de assinaturas de vrus, ou seja, um algoritmo capaz de detectar programas maliciosos baseando-se em seu comportamento; Detectar Malware: Habilita a analise de programas maliciosos e ferramentas hackers.

Varredura de Arquivos:

Habilitado: Permite habilitar a anlise do contedo de arquivos compactados; Nvel Mximo de profundidade: Define o nvel mximo de recurso ao analisar um arquivo compactado; Tamanho mximo do Arquivo: Define o tamanho mximo permitido de um arquivo a ser analisado dentro de um arquivo compactado; Nmero Mximo de Arquivos: Define a quantidade mxima de arquivos a serem analisados dentro de um arquivo compactado. 640

O Aker Antivrus Module suporta a analise de arquivos compactados das seguintes extenses: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC, PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+ SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt, NSIS, InstallShield. Aba SSL O proxy HTTPS a parte do Filtro Web que trata as conexes TCP pela porta 443. O princpio de funcionamento o de um ataque man-in-the-middle: as mquinas clientes que fazem o acesso atravs do Aker Firewall, e este com o servidor remoto, de forma transparente. Entendendo um pouco de certificados O que um certificado digital? Certificado digital um documento fornecido pela Entidade Certificadora para cada uma das entidades que ir realizar uma comunicao, de forma a garantir sua autenticidade. Para os certificados utilizados na comunicao HTTPS o padro utilizado o X.509. Este comumente utiliza-se das extenses pem, cer e crt. Formato PKCS#12 O formato PKCS#12 foi criado pela RSA Laboratories para armazenamento do certificado X.509 acompanhado da chave privada. Esse arquivo geralmente tem a extenso pfx e p12. Comunicao HTTPS A comunicao HTTPS utiliza-se do sistema de certificao digital. Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o certificado X.509 (que contm sua chave pblica). De posse deste certificado o navegador (cliente) faz algumas validaes: Validade do certificado; Se o CN (Common Name) do certificado o host da url; Se a autoridade certificadora que assinou o certificado uma autoridade confivel.

Aps a validao ocorrer com sucesso o cliente efetua o processo de comunicao de requisies e respostas HTTP.

641

Vejam o diagrama a seguir:

Figura 452 - Diagrama de certificados envolvidos no acesso.

O diagrama mostra os certificados envolvidos no acesso:

Certificado do servidor remoto: certificado original de onde alguns dados como data de expirao e common name so copiados para os certificados gerados no firewall. Certificado do proxy: certificado criado a cada requisio, que contm cpia daqueles dados do certificado original que identificam o site. Assinado pela CA inserida pelo administrador.

Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu browser no detecte o ataque. Logo, dois certificados so necessrios, um para os clientes e outro para o Aker Firewall. Outros certificados que aparecem so os utilizados pelo Aker Firewall para validar os sites remotos.

642

Gerando certificado para utilizao do Firewall Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora (CA), ou seja, ele gera os certificados para os sites no qual acessado atravs do Proxy. Para poder realizar este processo alguns pr-requisitos so necessrios: O firewall necessita de um certificado digital no formato PKCS#12, pois somente este tem a chave privada; O Certificado X.509 contido no PKCS#12 necessita ser um certificado com prerrogativas especficas para que este certificado possa assinar novos certificados, ou seja, atuar como uma CA.

Para o processo de gerao do certificado h vrias possibilidades, neste FAQ sero explicadas duas delas. Para o correto funcionamento do firewall no necessrio realizar estas duas formas, portanto escolha uma delas e realize somente ela. 1. Gerando um certificado auto-assinado com o OpenSSL; 2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.

Ao final de qualquer um dos dois processos escolhidos haver dois arquivos que sero utilizados no processo do Proxy HTTPS: 1. Arquivo no formato X.509, com extenso .cer; 2. Arquivo no formato PKCS#12, com extenso .pfx.

O Arquivo PKCS#12 ser utilizado na configurao do Proxy HTTPS. O arquivo X.509 precisa ser importado na seo de autoridades certificadoras raiz confiveis dos navegadores conforme demonstrado posteriormente.

643

Configurao

Figura 453 - Filtro web: configurao.

O proxy HTTPS ativo habilitado por padro e tem como opo a filtragem do servio para determinadas portas e entidades. Controle SSL -proxy Ativo: Permitir a definio das portas de conexo segura (HTTPS) que sero aceitas pelo firewall. Caso um cliente tente abrir uma conexo para uma porta no permitida, o firewall mostra uma mensagem de erro e no possibilitar o acesso.

Permite HTTPS apenas para a porta padro (443): caso queira utilizar apenas a porta padro (443), deve-se selecionar a primeira opo. Essa a configurao a ser utilizada na grande maioria dos firewalls. Permite HTTPS para todas as portas: indica ao firewall que ele deve aceitar conexes HTTPS para quaisquer portas. Essa configurao no recomendada para nenhum ambiente que necessite de um nvel de segurana razovel, j que possvel para um usurio utilizar o proxy para acessar servios no permitidos simulando uma conexo HTTPS. Permite HTTPS para as entidades listadas abaixo: que possibilita ao administrador definir exatamente quais portas sero permitidas. Nesse caso devem ser cadastradas as entidades correspondentes aos servios 644

desejados. Para maiores Cadastrando Entidades.

informaes,

veja

captulo

intitulado

Habilitar proxy HTTPS transparente Para habilitar o proxy HTTPS transparente, crie uma regra de filtragem para o servio HTTPS e habilite o proxy no combo box da entidade de servio (da mesma forma como se faz para o proxy HTTP). Nesta janela, marque a caixa Certificado local proxy transparente.

Lista de excees do HTTPS: aqui vo entidades do novo tipo Listas de Common Name SSL, que ficam na aba listas no widget de entidades. Devem ser cadastrados os Common Names dos sites que no devem passar pelo proxy.

A lista de Common Names no to simples. Por exemplo, www.gmail.com e mail.google.com, precisam estar na lista pra liberar o Gmail do proxy. Uma lista com www.bb.com.br tambm no suficiente para proteger o Banco do Brasil, visto que j ao logar um novo certificado apresentado, para www2.bancobrasil.com.br. Usar um certificado personalizado em caso de erro no proxy: caso o proxy detecte que o certificado da outra ponta no vlido, deve avisar o usurio, como faz o browser. Caso esta checkbox esteja marcada o Filtro Web assina o certificado da comunicao com uma CA de erro importada pelo administrador, para que seja possvel adicionar excees ao proxy em nvel de usurio. Com a checkbox desmarcada o acesso bloqueado, um evento gerado e uma pgina de erro vai para o usurio.

Figura 454 - Certificado de erro do Firefox.

Erro do Firefox ao detectar certificado assinado pela CA de erro. 645

Figura 455 - Certificado assinado pela CA de erro.

Certificado assinado pela CA de erro.

Figura 456 - Erro de acesso.

Sem a CA de erro o acesso bloqueado.

646

Certificado da CA do proxy: aqui possvel importar/exportar a CA utilizada para assinar os certificados gerados. Siga os passos abaixo para gerar este certificado corretamente: Utilizando Open SSL 1. 2. 3. 4. 5. Efetue a instalao do OpenSSL; Crie um diretrio para utilizaes durante este processo; Crie um arquivo, dentro deste diretrio, vazio, com o nome database.txt ; Crie um arquivo, dentro deste diretrio, vazio, com o nome serial.txt ; Crie um arquivo nomeado autoassinado.conf e adicione o seguinte contedo:
RANDFILE [ ca ] default_ca = .rnd

= CA_default

[ CA_default ] certs = certs crl_dir = crl database = database.txt new_certs_dir = certs certificate = cacert.pem serial = serial.txt crl = crl.pem private_key = private\cakey.pem RANDFILE = private\private.rnd default_days = 365 default_crl_days= 3 default_md = sha1 preserve = no policy = policy_match [ policy_match ] commonName = supplied emailAddress = optional countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional [ req ] default_bits = 1024 default_keyfile = privkey.pem distinguished_name = req_distinguished_name [ req_distinguished_name ] commonName = Common Name (eg, your website's domain name)

647

commonName_max = 64 emailAddress = Email Address emailAddress_max = 40 countryName = Country Name (2 letter code) countryName_min = 2 countryName_max = 2 countryName_default = BR stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) 0.organizationName = Organization Name (eg, company) organizationalUnitName = Organizational Unit Name (eg, section) countryName_default = BR [ v3_ca ] certificatePolicies=2.5.29.32.0 subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:always,issuer basicConstraints=critical,CA:TRUE keyUsage = critical,cRLSign, keyCertSign, digitalSignature

6. Crie a chave privada que ser utilizada:


openssl genrsa -des3 -out ca.key 1024

Neste momento ser solicitada a senha para armazenamento da chave, est senha ser utilizada posteriormente para abertura da chave privada.
Loading 'screen' into random state - done Generating RSA private key, 1024 bit long modulus ..............++++++ ...............++++++ e is 65537 (0x10001) Enter pass phrase for ca.key:

7. Crie o certificado X.509. Este o arquivo que ser utilizado futuramente para instalao nos clientes:
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 days 3650 -key ca.key -out firewall.cer

Neste momento algumas informaes sero solicitadas, a primeira delas a senha da chave privada criada no passo anterior.
Enter pass phrase for ca.key:

Agora sero solicitados os dados do certificado, o nico item obrigatrio o Common Name (CN), nele adicione o nome como deseja que a sua CA seja identificada. 648

Aps a finalizao deste processo temos o nosso certificado conforme imagem a seguir:

Figura 457 - Certificado de informao.

Porm temos dois arquivos, um para a chave privada e outro para o certificado, desta forma ser necessrio coloc-los em um nico arquivo no formato PKCS#12, que o formato reconhecido pelo firewall. 8. Crie o arquivo PKCS#12 com a chave privada e o certificado
openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey ca.key

Neste processo sero solicitadas duas senhas, a primeira para abertura da chave privada e a segunda para a exportao do arquivo PKCS#12. Esta segunda senha ser utilizada no momento da importao do arquivo PKCS#12 no firewall.
Enter pass phrase for ca.key: Enter Export Password:

649

Verifying - Enter Export Password:

Utilizando CA Microsoft: Este item no demonstra como efetuar a instalao de uma autoridade certificadora (CA) no Windows, e sim como utilizar uma j instalada, sendo a instalao desta um pr-requisito para continuidade deste processo. 1. Abra a console de gerenciamento de autoridade certificadora em Start > Administrative Tools > Certification Authority (Iniciar > Ferramentas Administrativas > Autoridade de certificao)

Figura 458 - Certificado de informao.

650

2. Selecione a sua CA

Figura 459 Certification Authority.

3. Nestes prximos passos iremos exportar o certificado X.509 da CA. Clique com o boto direito do mouse e clique em Properties (Propriedades)

Figura 460 - Certificado CA properties.

651

4. Selecione o ltimo certificado da CA e clique em View Certificate ( Exibir certificado)

Figura 461 - Certificado CA General.

652

5. Na tela de visualizao do certificado clique em Details (detalhes) e depois em Copy to file (Copiar para arquivo)

Figura 462 - Certificado CA Details.

6. Selecione um local para salvar o arquivo. Este o arquivo que ser utilizado futuramente para instalao nos clientes. 7. Nestes prximos passos iremos Exportar o arquivo no formato PKCS#12 para a utilizao no firewall. 8. Volte para a tela principal da autoridade certificadora. Clique com o boto direito do mouse no nome da CA e clique em All Tasks (Todas as tarefas) e clique em Back up CA (Fazer Backup da autoridade de cert...)

653

Figura 463 - Certificado CA All tasks / Back up Ca.

9. Na prxima tela clique em Avanar. Na tela subsequente selecione somente o item Private key and CA certificate (Chave particular e certificado de autoridade de certificao), indique o diretrio onde ser salvo o arquivo, clique em avanar.

Figura 464 - Certificado Authority Backup Wizard.

654

10.a tela abaixo, indique a senha de proteo do arquivo PKCS#12. Esta senha ser utilizada no momento da importao do arquivo PKCS#12 no firewall.

Figura 465 - Certificado Authority Backup Wizard senha e confirmao.

Aps este processo, ser gerado o arquivo PKCS#12 com a chave privada e o certificado desta CA. Usar um certificado de CA personalizado em caso de erro no proxy: aqui possvel importar/exportar CA utilizada quando h erro na validao do certificado remoto. Quando a opo de utilizar CA de erro desmarcada, a opo de visualizar a CA de erro fica desabilitada. Importando certificado X.509 no Windows A importao deste certificado na base do Windows tem efeito em todos os aplicativos que consultam esta base como base dos certificados confiveis desta forma os certificados gerados pelo Filtro Web sero validados nas estaes de trabalho filtradas, sem apresentar as mensagens de segurana mostradas acima. Na lista destes aplicativos esto: Internet Explorer; Google Chrome; Windows live messenger (MSN).

655

1. Abra a Microsoft Management Console. Acesse: Iniciar > Executar e digite mmc e clique em OK.

Figura 466 - Microsoft Management Console.

2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove snap-in... (Adicionar/remover snap-in...). 3. Selecione a opo Certificates (Certificados) e clique em Add (Adicionar)

656

Figura 467 - Adicionar ou remover Snap-is.

4. Selecione a opo Computer account (Conta de computador), selecione a opo Local Computer (Computador local).

657

5. Na opo Certificates > Trusted Root Certification Authorities > Certificates (Certificados > Autoridade de certificao raiz confiveis > Certificados) clique com o boto direito e clique em All tasks > Import (Todas as tarefas > Importar).

Figura 468 - Microsoft Management Console certificates, all task, import).

658

6. Selecione o arquivo X.509, ou seja, o arquivo com a extenso .cer.

Figura 469 - Escolha do diretrio onde deseja importar o relatrio.

Importando certificado X.509 no Mozilla Firefox 1. Clique em Ferramentas > Opes

659

Figura 470 - Mozilla Firefox (importar certificado).

2. Selecione a opo Avanado > Criptografia

Figura 471 - Mozilla Firefox (criptografia).

660

3. Selecione a opo Certificados, na tela de certificados selecione a aba Autoridades e clique no boto Importar.

Figura 472 - Gerenciador de certificados autoridades.

661

4. Selecione o arquivo X.509, ou seja, o arquivo com a extenso .cer. Aba Avanado Filtro Navegador

Figura 473 - Filtro Web: avanado.

Ao selecionar a opo Filtro de navegador habilitado, permite ao usurio aceitar ou rejeitar os navegadores inseridos na lista.

Essa lista criada pelo prprio usurio e nela devem ser inseridos os vrios tipos de navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem ser includos: Internet Explorer 6: MSIE 6.0; Internet Explorer 7: MSIE 7.0"; Internet Explorer (qualquer um): MSIE; Media Player: " Windows-Media-Player "; Firefox: Firefox; Firefox 2: Firefox/2.

662

A validao do browser feita ANTES do header stripping, assim sendo possvel substituir verso por uma string fixa sem perder esta filtragem. Reescrita de URLs

Figura 474 - Filtro Web: avanado.

A reescrita de URL semelhante ao redirecionamento de sites. um processo interno ao servidor web que funciona de forma transparente resolvendo os problemas com links quebrados no site web. No campo URL anterior como o prprio o nome j diz deve ser informado o endereo que ser traduzido para um novo endereo informado no campo. URL reescrita. Por exemplo: URL anterior: www.aker.com.br URL reescrita: www.aker.security.com.br Stripping do cabealho HTTP

663

Figura 475 - Filtro Web: avanado.

Essa opo permite remover e modificar partes do Header. Potencialmente aumenta a segurana interna, evitando que informaes internas sejam enviadas para fora. Por exemplo: cookies e verso do navegador do usurio. O Header stripping funciona da seguinte forma, todas as linhas do header HTTP so comparadas individualmente com todas as expresses cadastradas. Caso uma se encaixe, a linha substituda e a prxima linha tratada. A primeira linha (com a requisio) no filtrada (ou seja, no comparada com as expresses). O Header stripping funciona apenas na remoo do header do cliente para o servidor; O Header Stripping realizado imediatamente aps a verso de o browser cliente ser verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo assim, o proxy tratar a verso modificada do header (caso ele tenha sido) como o que foi enviado pelo cliente; Seguem abaixo, exemplos de como preencher os campos: O que procurar e o Substituir por: Para a remoo de cookies (sem as aspas): Procurar: Cookie: * - Substituir por: "" (nada).

Para esconder a verso dos browsers dos clientes: Procurar: User-Agent: *\r\n - Substituir por: User Agent: Mozilla/4.0\r\n". 664

A configurao do Header Stripping deve ser feita com muito cuidado j que ele pode potencialmente inviabilizar o uso da Internet. Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituio que envolva uma linha. A validao do browser feita ANTES do header stripping, assim sendo possvel substituir verso por uma string fixa sem perder esta filtragem. Neste contexto, atente-se quanto a descrio do navegador (user-Agent), pois a string digitada sensvel ao case. Para que o bloqueio dos navegadores seja de fato realizado, faz-se necessrio que as estaes que tentem utiliz-los passem por proxy. 30.3. Editando os parmetros de Sesses Web

Sesses Web Esta janela permite ao administrador do Firewall, visualizar as sesses ativas, verificando o que foi acessado e por quem foi acessado, no tempo definido na janela de Filtro Web, aba Geral, opo Timeout das sesses web.

665

Para ter acesso a janela de sesses web, deve-se:

Figura 476 - Sesses Web.

Clicar no menu Informao Selecionar o item Sesses Web As informaes sero visualizadas e distribudas nos seguintes campos: Tempo: Indica o dia e horrio e a URL que foi acessada. Host: Indica a mquina de onde foi acessada a URL. Usurio: Indica o usurio que acessou a URL. Perfil: Indica qual o perfil de acesso que o usurio caiu quando tentou acessar a URL. Regra: Indica qual a regra de acesso que a URL se enquadrou. Categoria: Indica qual a categoria que a URL se enquadrou.

666

Ao: Indica se as sesses web que passaram pelo firewall foram aceitas ou rejeitadas.

667

Configurando o Proxy Socks

668

31.

Configurando o Proxy Socks


Este captulo mostra para que serve e como configurar o Proxy Socks.

31.1.

Planejando a instalao

O que o proxy SOCKS do Aker Firewall? O proxy SOCKS um programa especializado do Aker Firewall feito para trabalhar com programas que suportem o protocolo SOCKS nas verses 4 ou 5. Este proxy possui como funo principal prover uma melhor segurana para protocolos passarem atravs do firewall, principalmente protocolos complexos que utilizam mais de uma conexo. possvel atravs do uso do SOCKS 5 realizar autenticao de usurios para quaisquer servios que passem pelo firewall, mesmo sem o uso do cliente de autenticao. Ele um proxy no transparente (para maiores informaes, veja o captulo intitulado Trabalhando com proxies), desta forma, os clientes que forem utiliz-lo devem ter suporte para trabalhar com proxies e devem ser configurados para us-lo. Utilizando o proxy SOCKS Para utilizar o proxy SOCKS do Aker Firewall, necessrio a seguinte sequncia de passos: 1. Criar os perfis de acesso desejados e associ-los aos usurios e grupos desejados. (isso foi descrito no captulo chamado Perfis de acesso de usurios); 2. Editar os parmetros de configurao do proxy SOCKS (isso ser mostrado no tpico chamado Editando os parmetros do proxy SOCKS); 3. Criar uma regra de filtragem possibilitando que as mquinas clientes tenham acesso ao proxy (para maiores informaes, veja o captulo intitulado O Filtro de Estados). O proxy SOCKS do Aker Firewall escuta conexes na porta 1080, utilizando o protocolo TCP. Caso seja necessrio, pode-se alterar este valor para qualquer porta, bastando para isso acrescentar o parmetro -p porta, onde porta o nmero da porta que queira que ele escute, na hora de inici-lo. A linha de comando a ser alterada se encontra no arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall/fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo.

669

670

31.2.

Editando os parmetros do Proxy SOCKS

Para utilizar o Proxy SOCKS, necessrio definio de alguns parmetros que determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela de configurao do proxy SOCKS. Para acess-la, deve-se:

Figura 477 - Proxy Socks

Clicar no menu Aplicao da janela de administrao. Selecionar o item Proxy Socks.

A janela de configurao de parmetros do proxy SOCKS

Figura 478 - Autenticao dos usurios Socks.

O boto OK far com que a janela de configurao do proxy SOCKS seja fechada e as alteraes salvas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta. 671

O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.

Significado dos parmetros: Autentica usurios SOCKS: Este campo ativa ou no a autenticao de usurios do proxy SOCKS. Caso ele esteja marcado, ser solicitada ao usurio uma identificao e uma senha todas as vezes que ele tentar iniciar uma sesso e esta somente ser iniciado caso ele seja autenticado por algum dos autenticadores. Caso o usurio esteja utilizando o Cliente de Autenticao Aker e esteja com uma sesso estabelecida com o Firewall, ento no ser solicitado nome nem senha, ou seja, o proxy se comportar como se no estivesse realizando autenticao de usurios, mas ele est de fato fazendo-o. Se a sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar um nome de usurio e senha no prximo acesso. Para maiores informaes sobre o Cliente de Autenticao Aker, leia o captulo Autenticao de Usurios. A verso 4 do protocolo SOCKS no permite realizar autenticao de usurios, dessa forma, a nica maneira de autenticar clientes utilizando essa verso do protocolo com o uso do cliente de autenticao. Caso essa opo esteja marcada, a verso suportada pelo cliente for a 4 e no existir uma sesso de perfil de acesso ativa, ento o firewall no permitir acessos para o cliente. Tempo limite de resposta: Este parmetro define o tempo mximo, em segundos, que o proxy aguarda por dados do cliente, a partir do momento que uma nova conexo for estabelecida. Caso este tempo seja atingido sem que o cliente envie os dados necessrios, a conexo ser cancelada. Nmero mximo de processos: Este campo define o nmero mximo de processos do proxy SOCKS que podero estar ativos simultaneamente. Como cada processo atende uma nica conexo, este campo tambm define o nmero mximo de requisies que podem ser atendidas simultaneamente.

672

Configurando o Proxy RPC e o Proxy DCE-RPC

673

32.

Configurando o Proxy RPC e o proxy DCE-RPC


Este captulo mostra como configurar o proxy RPC e o proxy DCE-RPC.

O que o proxy RPC? O proxy RPC um programa especializado do Aker Firewall feito para trabalhar com o protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua funo bsica fazer chamadas a funes remotas ( Remote Procedure Call), ou seja, funes disponibilizadas por outras mquinas acessveis atravs do firewall. Exemplos de protocolos que usam o RPC so os portmapper e o NFS. Quando um cliente deseja realizar uma chamada RPC para um determinado nmero de processo, o firewall verifica a ao relacionada quele processo. Se permitir, o proxy insere as regras de liberao de portas direta e automaticamente no kernel. Caso contrrio, o firewall bloqueia o processo como se ele estivesse indisponvel. Ele um proxy transparente (para maiores informaes veja o captulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua existncia. Utilizando o proxy RPC Para utilizar o proxy RPC, necessrio executar uma sequncia de 2 passos: Criar um servio que ser desviado para o proxy RPC e editar os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades); Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado Filtro de Estados). O que o proxy DCE-RPC? O proxy DCE-RPC um programa especializado do Aker Firewall feito para trabalhar com o protocolo RPC, mais especificamente, o DCE- RPC. A sua funo bsica fazer chamada s funes remotas (Remote Procedure Call), ou seja, funes disponibilizadas por outras mquinas acessveis atravs do firewall. Exemplos de protocolos que usam o DCE- RPC so os Transmission Control Protocol (TCP) e o HTTP.

674

Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado nmero de processo, o firewall verifica a ao relacionada quele processo. Se permitir, o proxy insere as regras de liberao de portas direta e automaticamente no kernel. Caso contrrio, o firewall bloqueia o processo como se ele estivesse indisponvel. Ele um proxy transparente (para maiores informaes veja o captulo intitulado Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua existncia. Utilizando o proxy DCE-RPC Para utilizar o Proxy RPC, necessrio executar uma sequncia de 2 passos: Criar um servio que ser desviado para o proxy DCE-RPC e editar os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades).

Acrescentar uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado O Filtro de Estados).

32.1.

Editando os parmetros de um contexto RPC

A janela de propriedades de um contexto DCE-RPC ser mostrada quando for selecionado o protocolo UDP e a opo Proxy RPC na janela de edio de servios. Atravs dela possvel definir o comportamento do proxy RPC quando este for lidar com o servio em questo.

675

A janela de propriedades de um contexto RPC

Figura 479 - Propriedades de um contexto RCP.

Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste dos seguintes campos: Ao padro: Indicar a ao que ser aplicada a todos os servios remotos que no estiverem presentes na lista de permisses. O valor aceita permite que o servio seja utilizado e o valor rejeita impede sua utilizao. Lista de permisses: Definir, de forma individual, as permisses de acesso aos servios remotos. Para executar qualquer operao sobre um servio na lista de permisses, basta clicar com o boto direito do mouse sobre ele na coluna RPC. Aparecer o seguinte menu (Caso no exista nenhum servio selecionado, somente as opes Inserir e Apagar estaro presentes):

676

Figura 480 - Menu de execuo da janela RPC.

Inserir: Permitir a incluso de um novo servio na lista. Se algum servio estiver selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo servio ser includo no final da lista. Excluir: Remover da lista o servio selecionado. Lista de servios: Contm uma lista pr-definida de servios e seus respectivos nmeros. possvel acrescentar servios que no estejam presentes nessa lista. Para isso, basta clicar no campo logo abaixo da opo Apagar e digitar o cdigo do novo servio.

Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do mouse sobre ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita, que aparecero no menu seguinte:

Figura 481 - Menu de execuo da janela RPC (inserir, apagar, rejeitar ou aceitar).

677

Editando os parmetros de um contexto DCE-RPC

A janela de propriedades de um contexto RPC ser mostrada quando for selecionado o protocolo TCP e a opo Proxy DCE-RPC na janela de edio de servios. Atravs dela possvel definir o comportamento do proxy DCE-RPC quando este for lidar com o servio em questo. A janela de propriedades de um contexto DCE-RPC

Figura 482 - Propriedades de um contexto DCE-RPC.

Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste dos seguintes campos: Ao padro: Indicar a ao que ser aplicada a todos os servios remotos que no estiverem presentes na lista de permisses. O valor aceita permite que o servio seja utilizado e o valor rejeita impede sua utilizao. Lista de permisses: Definir, de forma individual, as permisses de acesso aos servios remotos. 678

Para executar qualquer operao sobre um servio na lista de permisses, basta clicar com o boto direito do mouse sobre ele na coluna RPC. Aparecer o seguinte menu (Caso no exista nenhum servio selecionado, somente as opes Inserir e Apagar estaro presentes):

Figura 483 - Menu de execuo da janela DCE-RPC.

Inserir: Permitir a incluso de um novo servio na lista. Se algum servio estiver selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo servio ser includo no final da lista. Excluir: Remover da lista o servio selecionado. Lista de servios: Contm uma lista pr-definida de servios e seus respectivos nmeros. possvel acrescentar servios que no estejam presentes nessa lista. Para isso, basta clicar no campo logo abaixo da opo Apagar e digitar o cdigo do novo servio. Para alterar a ao aplicada a um servio, deve-se clicar com o boto direito do mouse sobre ele na coluna Ao e escolher uma das opes, Aceita ou Rejeita, que aparecero no menu seguinte:

Figura 484 - Menu de execuo da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar).

679

Configurando o Proxy MSN

680

33.

Configurando o Proxy MSN


Este captulo mostra para que serve e como configurar o proxy MSN.

33.1.

Planejando a instalao

O que o MSN Messenger? MSN Messenger, ou apenas MSN, um programa de mensagens instantneas criado pela Microsoft Corporation. O programa permite que um usurio da Internet converse com outro que tenha o mesmo programa em tempo real por meio de conversas de texto, voz ou at com vdeo. Ele uma ferramenta gratuita com um grande nmero de funcionalidades, algumas potencialmente prejudiciais ao ambiente coorporativo como a transferncia de arquivos on-line, fazendo com que as empresas busquem solues para melhor trabalhar com este servio. O que o proxy MSN - Messenger do Aker Firewall? Este proxy possui como funo principal controlar um importante canal de trnsito de informaes que o MSN Messenger, possibilitando que no se abra mo de seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao sistema de perfis de acesso, esse sistema se adaptar realidade das corporaes, onde cada usurio ter privilgios distintos. As funcionalidades do produto baseiam-se em:

Estar integrado ao sistema de perfil de acesso (permitindo controle por usurios e grupos). Definir white-lists e black-lists por perfil. Controlar o horrio de uso. Controlar o tempo de uso por dia (configurado no perfil) para cada usurio. Controlar o envio/recebimento de arquivo (inclusive por tipo). Controlar convites para outros servios (vdeo, udio, games, etc..). Realizar um log de sesses.

Utilizando o proxy MSN O MSN Messenger por padro trabalha na porta TCP 1863, porm tambm pode se conectar aos servidores atravs do protocolo HTTP e SOCKS. O Proxy MSN da Aker controla os dados que trafegaro atravs de um proxy transparente (ver mais detalhes em Trabalhando com proxies).

681

Para utilizar o proxy MSN do Aker Firewall necessrio a seguinte sequncia de passos: 1. Definir os parmetros genricos do proxy MSN. 2. Criar os perfis de acesso desejados e associ-los aos usurios e grupos desejados. (Isso foi descrito no captulo chamado Perfis de acesso de usurios). 3. Associar a uma regra de filtragem possibilitando que os usurios possam utilizar o servio MSN (para maiores informaes, veja o captulo intitulado O Filtro de Estados).

33.2.

Editando os parmetros do Proxy MSN

Para utilizar o proxy MSN necessrio definio de alguns parmetros que determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela de configurao do proxy MSN. Para acess-la, deve-se:

Figura 485 - Proxy Messenger.

Clicar no menu Aplicao da janela de administrao do Firewall Selecionar o item Proxy Messenger

A janela de configurao de parmetros do proxy MSN


O boto OK far com que a janela de configurao do proxy MSN seja fechada e as alteraes salvas. O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a janela aberta. O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. 682

Esta janela composta por quatro abas: Aba Tipos de Servios

Figura 486 - Proxy Messenger Aba Tipo Servio.

Esta aba define os servios adicionais que podero ser utilizados atravs de uma conexo MSN. Estes servios podero posteriormente ser controlados a partir das regras dos perfis de cada usurio. Para inserir um novo tipo de servio, deve-se clicar com o boto direito e selecionar a opo Novo. Para remover um tipo de servio, deve-se clicar com o boto direito sobre o servio a ser removido e escolher a opo Remover. Para editar qualquer um dos campos de um servio, basta clicar com o boto direito sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que ir aparecer. possvel adicionar automaticamente vrios servios pr-configurados, bastando para isso clicar no boto Adicionar Servios Padro, localizado na barra de tarefas.

683

Aba Mensagens

Figura 487 - Proxy Messenger Aba Mensagens.

Esta aba permite configurar as mensagens que sero mostradas aos usurios internos e externos quando eles no tiverem permisso de executar uma determinada ao atravs do proxy Messenger.

684

Aba Controle de Acesso

Figura 488 - Proxy Messenger Controle de acesso.

Essa aba controla o acesso dos usurios, por meio da vinculao de um passport a um perfil. No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa entidade ser associada a algum perfil definido no Firewall. Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usurios que tiverem o login no MSN terminando por @aker.com.br ir automaticamente cair no perfil teste.

685

Aba Configuraes

Figura 489 - Proxy Messenger Configuraes.

Essa aba permite configurar a quantidade mxima de descritores (socket) e/ou arquivos que o processo do proxy MSN pode abrir. O valor padro de 1024, mas pode chegar a at 8192 no mximo. O Aker Firewall 6.5 conta com a anlise de vrus para arquivos transferidos. Para ativar essa verificao marque a opo Habilitar Antivrus no MSN caso deseje que o firewall analise os arquivos. A opo Permitir a passagem de arquivos se ocorrer erro no Antivrus permite transferncia de arquivos infectados, caso o servidor de antivrus estiver indisponvel. Marque "Usar Antivrus Local" para que o firewall utilize o antivrus j includo nele, caso contrrio, inclua a autenticao e o endereo de IP do seu servidor Antivrus.

686

Configurando a Filtragem de Aplicaes

687

34.

Configurando a Filtragem de Aplicaes


Este captulo mostra para que serve e como configurar a Filtragem de Aplicaes.

34.1.

Planejando a instalao

O que a Filtragem de Aplicaes? Esta filtragem baseia-se no controle dos dados que esto passando atravs do Aker Firewall. possvel analisar o contedo de protocolos e tipos reais de arquivos que esto trafegando, independentemente de que porta de comunicao esteja utilizando e automaticamente bloque-los ou coloc-los em uma prioridade de trfego mais baixa, evitando o consumo de banda com recursos desnecessrios. Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que passe pelo firewall ou por perfis de acesso. Em especial, os seguintes tipos de trfego podem ser identificados:

Download de tipos de arquivos especficos via FTP, HTTP e aplicativos peer-topeer. Conexes de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa, etc) e de comunicao (Messenger, ICQ, etc.) sobre qualquer mdia (TCP ou UDP direto e proxy HTTP).

Utilizando as regras de Filtragem de Aplicao Para utilizar a Filtragem de Aplicao do Aker Firewall deve-se seguir a seguinte sequncia de passos: 1. Criar os filtros desejados, o que est descrito no tpico Criando Filtros de Aplicaes. 2. Criar regras de filtragem de aplicaes globais ou para os perfis de acesso desejados.

688

34.2.

Criando Regras de Filtragem de Aplicaes

Para acessar a janela de filtragem de aplicaes deve-se:

Figura 490 - Filtragem de aplicaes.

Clicar no menu Aplicao da janela de administrao do Firewall. Selecionar o item Filtragem de Aplicaes.

689

A janela de regras de Filtragem de Aplicaes

Figura 491 - Filtragem de aplicaes Regras de filtragem de aplicaes.

Esta janela composta por duas abas, uma com a definio das regras globais da filtragem de aplicaes e outra que permite a criao dos filtros que sero utilizados nestas regras e nas regras de filtragem dos perfis de acesso.

O boto OK far com que a janela seja fechada e as alteraes salvas. O boto Aplicar enviar para o firewall todas as alteraes feitas, porm manter a janela aberta. O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.

Regras de Filtragem de Aplicao Esta aba disponibiliza as regras de aplicao que sero utilizadas pelo firewall de forma global. possvel tambm criar regras especficas para os perfis de acesso (para maiores informaes veja Cadastrando perfis de acesso). Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo real, independentemente de sua extenso ou 690

protocolo que esteja sendo utilizado para envi-los. possvel tambm ao invs de bloque-lo, simplesmente mudar a prioridade de um servio ou tipo de arquivo sendo transmitido. Uma das grandes utilizaes destes filtros para otimizao do acesso Internet. possvel, por exemplo, que todos os usurios tenham um acesso rpido Internet, porm quando estes tentarem baixar arquivos cujos tipos no sejam considerados importantes, i.e, mp3, vdeos, etc, a conexo sendo utilizada para transferir estes arquivos automaticamente fique com uma largura de banda bastante reduzida. Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes esto disponveis:

Figura 492 - Menu de operao sobre uma regra.

Inserir: Permitir a incluso de uma nova regra na lista. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Excluir: Remover da lista a regra selecionada. Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu estado atual.

Cada regra consiste dos seguintes campos: Origem: Especificar as origens da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou conjuntos (para maiores informaes veja o captulo Cadastrando entidades). Destino: Especificar os destinos da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou conjuntos (para maiores informaes veja o captulo Cadastrando entidades).

691

Servio: Especificar os servios da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo servio (para maiores informaes veja o captulo Cadastrando entidades). Filtragem de Aplicaes: Indicar quais os filtros que estaro ativos para as conexes que forem em direo a um dos destinos especificados na regra e utilizando um dos servios tambm especificados. A definio dos filtros feita na janela de Filtragem de Aplicaes. Para maiores informaes veja o captulo Configurando Filtragem de Aplicaes. Ao: Indicar a ao que ser tomada pelo firewall caso um dos filtros especificados seja aplicado. Ela consiste das seguintes opes: Aceita: Significa que a conexo ser autorizada a passar atravs do firewall. Rejeita: Significa que a conexo no passar pelo firewall e ser enviado um pacote de reset para a mquina originria da comunicao. Descarta: Significa que a conexo no passar pelo firewall, mas no ser enviado nenhum pacote para a mquina de origem. Mudar prioridade: Indica que a conexo ser aceita, porm com uma prioridade diferente, que dever ser especificada na coluna Canal. Bloqueia origem: Indica que a mquina que originou a conexo dever ser bloqueada por algum tempo (isso significa que todas as conexes originadas nela sero recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto tempo a mquina permanecer bloqueada. Canal: Esta coluna s estar habilitada caso a ao Mudar prioridade tenha sido selecionada. Ela indica a nova prioridade que ser atribuda conexo. Deve-se inserir uma entidade do tipo canal (para maiores informaes veja o captulo Cadastrando entidades). Tempo de bloqueio: Esta coluna s estar habilitada caso a ao Bloqueia origem tenha sido selecionada. Ela indica por quanto tempo a mquina origem ser bloqueada.

34.3.

Criando Filtros de Aplicaes

Os filtros de aplicaes informam ao firewall o que deve ser buscado em uma comunicao para possibilitar a identificao de um determinado protocolo ou tipo de arquivo. O produto j vem com vrios filtros pr-configurados, porm possvel que o administrador configure novos filtros para atender s suas necessidades. Para acessar a janela de criao dos Filtros de Aplicaes deve-se: 692

Figura 493 - Filtragem de aplicaes.

Clicar no menu Aplicao da janela de administrao do Firewall. Selecionar o item Filtragem de Aplicaes. Clicar na aba Filtros de Aplicaes.

693

A janela de criao de Filtros de Aplicaes

Figura 494 Filtro de Aplicaes.

Esta janela est dividida em duas partes. Na parte superior aparece uma lista dos filtros atualmente criados. Ao selecionar um filtro, sero mostrados na parte inferior da janela as operaes de pesquisa relacionadas a ele. Para executar qualquer operao sobre um filtro, basta clicar sobre ele com o boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes esto disponveis:

Figura 495 - Menu de operao sobre um filtro.

Inserir: Permite a incluso de um novo filtro na lista. Copiar: Copiar o filtro selecionado para uma rea temporria. Colar: Copiar o filtro da rea temporria para a lista. Excluir: Remover da lista o filtro selecionada.

694

Para alterar o nome do filtro ou a forma de concatenao das operaes do mesmo, basta clicar com o boto direito sobre a coluna correspondente. Para incluir, editar ou excluir operaes de um determinado filtro, deve-se selecion-lo na parte superior da janela e a seguir clicar com o boto direito sobre qualquer uma das operaes. O seguinte menu aparecer:

Figura 496 - Menu de operao para acessar o nome do filtro ou forma de concatenao.

Inserir: Permite a incluso de uma nova operao para o filtro selecionado. Editar: Abrir a janela de edio para modificar a operao selecionada. Remover: Remover da lista a operao selecionada.

Ao editar uma operao, a seguinte janela ser mostrada:

Figura 497 - Operaes de filtragem.

O que filtrar: Neste campo deve-se colocar a sequncia de bytes que deve ser pesquisada na conexo. Sequncia de bytes: Definir a sequncia de dados que ser pesquisada nos dados do arquivo/protocolo ou nos metadados (cabealho).

695

Iniciar em (bytes): Caso se tenha escolhido que a pesquisa deve ser feita a partir do meio do arquivo ou comunicao, este campo serve para especificar em que posio deve-se comear a pesquisa. Direo: Direo em que os dados sero analisados para verificar a existncia da sequncia definida em O que filtrar.

Profundidade da procura (bytes): Este campo indica a quantidade de bytes que ser analisada dinamicamente a partir da posio de incio de pesquisa. Onde pesquisar: Especificar se a procura deve ser a partir do incio do arquivo ou da comunicao ou em um ponto qualquer do mesmo.

696

Configurando IDS/IPS

697

35.

Configurando IDS/IPS
Este captulo mostra as funes oferecidas pelo conjunto IPS/IDS e como realizar sua configurao.

Sobre o mdulo de IPS/IDS O mdulo de IPS/IDS do Aker Firewall rene diversas funes para identificao e bloqueio de ataques em tempo real. Este mdulo trabalha de forma integrada com o firewall e consegue, com isso, oferecer um alto grau de proteo. O mdulo interno vem com vrios ataques pr-configurados, sendo possvel sua atualizao atravs da Internet. Alm do mdulo interno, possvel tambm utilizar um IDS externo, de forma a complementar ainda mais o nvel de segurana da soluo.

35.1.

Acessando IPS/IDS

Para ter acesso a janela de configurao dos parmetros de IPS/IDS, deve-se:

Figura 498 - IPS/IDS.

Clicar no menu Segurana na janela do Firewall que queira administrar. Selecionar o item IPS/IDS.

698

A janela de configurao do IDS/IPS Esta janela composta por quatro abas, cada uma responsvel por um aspecto distinto da configurao do mdulo de IDS.

O boto OK far com que a janela seja fechada e as alteraes salvas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta. O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.

Regras IDS

Figura 499 - IPS/IDS Regras IDS.

Esta aba contm todas as regras de IDS definidas no Aker Firewall. Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma das regras esteja selecionada, ela ser mostrada em uma cor diferente. Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes esto disponveis:

699

Figura 500 - Menu para execuo de operao de regras.

Inserir: Permitir a incluso de uma nova regra na lista. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Excluir : Remover da lista a regra selecionada. Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu estado atual.

Cada regra consiste dos seguintes campos: Origem: Especificar as origens da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou conjuntos (para maiores informaes veja o captulo Cadastrando entidades). Destino: Especificar os destinos da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo mquinas, redes ou conjuntos (para maiores informaes veja o captulo Cadastrando entidades). Servio: Especificar os servios da comunicao que o filtro estar inspecionando, para isso deve-se inserir uma ou mais entidades do tipo servio (para maiores informaes veja o captulo Cadastrando entidades). Filtros IDS: Nesta coluna deve-se inserir os filtros IDS que estaro ativos para esta comunicao. Deve-se escolher um dos grupos de filtros disponveis e posteriormente, caso seja desejado, habilitar individualmente os filtros dentro de cada grupo. Os seguintes grupos esto disponveis: FTP: composto de filtros contra ataques que visam servidores FTP. HTTP: composto de filtros contra ataques que visam servidores WEB. HTTP Client: composto de filtros contra ataques que visam navegadores. POP3: composto de filtros contra ataques que visam leitores de e-mail. IMAP: composto de filtros contra ataques que visam leitores de e-mail (IMAP e superior ao POP3). 700

SMTP: composto de filtros contra ataques que visam servidores de email. TCP: composto de filtros contra ataques genricos utilizando o protocolo TCP. UDP: composto de filtros contra ataques genricos utilizando o protocolo UDP.

Uma vez inseridos os filtros, possvel clicar sobre esta mesma coluna com o boto direito, escolher o nome do grupo de filtros desejado e indicar se os ataques pertencentes a este grupo devem ser selecionados automaticamente, opo Selecionar todo o grupo, ou manualmente atravs da opo Seleo manual. Ao: Esta coluna indica a ao que ser tomada pelo firewall caso um dos filtros especificados seja aplicado. Ela consiste das seguintes opes: Ignora: Significa que o ataque ser ignorado pelo firewall. Bloqueia: Indica que a mquina que originou a conexo dever ser bloqueada por algum tempo (isso significa que todas as conexes originadas nela sero recusadas). Tempo de Bloqueio: Esta coluna indica por quanto tempo uma mquina atacante permanecer bloqueada.

701

Filtros IDS

Figura 501 - IPD/IDS Filtros IDS.

Esta janela serve para se ver os filtros de IDS que esto disponveis no firewall bem como criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados. possvel ver esta lista de trs maneiras distintas: por grupo de filtros (conforme mostrado no tpico anterior), por classe de ameaa ou uma lista linear com todos os filtros. O campo Organizar por, localizado na parte superior da janela permite a escolha da forma de visualizao mais adequada. Classes de ameaa: Ataque: ataques diretos que exploram bugs ou vulnerabilidades de aplicativos ou sistemas operacionais. Malware: ataques originados de vrus e cavalos-de-tria. Sondagem: varredura de portas ou identificao de vulnerabilidades.

702

Grupos dos filtros: FTP: composto de filtros contra ataques que visam servidores FTP. HTTP: composto de filtros contra ataques que visam servidores WEB. HTTP Client: composto de filtros contra ataques que visam navegadores. POP3: composto de filtros contra ataques que visam leitores de e-mail. SMTP: composto de filtros contra ataques que visam servidores de e-mail. TCP: composto de filtros contra ataques genricos utilizando o protocolo TCP. UDP: composto de filtros contra ataques genricos utilizando o protocolo UDP. Ao selecionar um filtro mostrada na parte inferior da janela uma URL de referncia, que permite ao administrador obter maiores informaes sobre o ataque. Para inserir um novo filtro, deve-se clicar com o boto direito sobre a lista de filtros e selecionar a opo Novo filtro. A seguinte janela ser mostrada:

Figura 502 - Filtros IDS Configurao do filtro.

A janela de criao/edio de filtros


O boto OK far com que a janela seja fechada e as alteraes salvas. O boto OK e novo far com que a janela seja fechada, as alteraes salvas porm a janela permanea aberta. Isso particularmente til quando se deseja cadastrar vrios ataques seguidamente. O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.

Esta janela permite criar um novo filtro ou alterar os parmetros de um filtro j existente. Ela consiste dos seguintes parmetros: 703

Nome do filtro: Nome pelo qual o filtro ser referenciado no restante do firewall. Url de referncia: URL que permite obter maiores informaes sobre o ataque (este campo puramente informativo). O que filtrar: Neste campo deve-se colocar a sequncia de bytes que identifica o ataque. Iniciar em: Este campo serve para especificar em que posio do fluxo de dados deve-se comear a pesquisa. Profundidade da procura (bytes): Este campo indica a quantidade de bytes que ser analisada a partir da posio de incio de pesquisa. Direo: Direo em que os dados sero analisados para verificar a existncia da sequncia definida em O que filtrar. Protocolo: Indica em que protocolo o ataque ser pesquisado. As seguintes opes esto disponveis: UDP: Procura dados diretamente no protocolo UDP. TCP: Procura dados diretamente no protocolo TCP. Cabealho HTTP: Procura dados no cabealho do protocolo HTTP. URL HTTP: Procura dados em URLs do protocolo HTTP. Corpo do HTTP: Procura dados no corpo do protocolo HTTP. Comando SMTP: Procura dados em comandos do protocolo SMTP. Dados do SMTP: Procura dados no corpo do protocolo SMTP. Comando FTP: Procura dados em comandos do protocolo FTP. Dados do FTP: Procura dados no corpo do protocolo FTP. Comando POP3: Procura dados em comandos do protocolo POP3. Dados do POP3: Procura dados no corpo do protocolo POP3.

Grupo: Este campo informa ao firewall em que grupo este ataque deve ser colocado. Classe de ameaa: Este campo informa ao firewall em que classe de ameaa este ataque deve ser colocada.

704

Portscan

Figura 503 - IPD/IDS - Portscan.

Esta aba serve para configurar a proteo contra ataques de varreduras de portas. Estes ataques consistem em tentar acessar todas ou vrias portas de comunicao em uma ou mais mquinas de uma rede. Ele normalmente o primeiro ataque feito por um hacker, j que objetiva determinar quais os servios e mquinas que esto ativos em uma rede. Para configurar a proteo contra varredura de portas, os seguintes parmetros devem ser preenchidos: Deteco de portscan ativada: Esta opo deve estar marcada para ativar o suporte deteco de varreduras de portas. Nmero permitido de portas varridas: Este campo indica o nmero mximo de portas que podem ser acessadas em uma mesma mquina. Tentativas de acesso de um nmero maior de portas faro que a mquina origem seja bloqueada. 705

Nmero permitido de mquinas x portas: Este campo indica o nmero mximo de portas que podem ser acessadas em uma ou mais mquinas. Para este parmetro a mesma coisa se um potencial atacante acessa duas portas em uma mquina ou uma porta em duas mquinas. Tentativas de acesso de um nmero maior de portas faro que a mquina origem seja bloqueada. Exemplo: Se o valor deste parmetro for 12, uma pessoa qualquer poderia acessar as seguintes combinaes sem ser considerado um ataque: 12 portas por mquina em uma mquina 6 portas por mquina em 2 mquinas 4 portas por mquina em 3 mquinas 3 portas por mquina em 4 mquinas 1 porta por mquina em 12 mquinas

Tempo limite de deteco: Este campo indica o tempo em que as informaes de acesso sero mantidas pelo firewall. Valores muito baixos possibilitaro varreduras de portas muito lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparo memria desnecessariamente. Bloquear a mquina do ataque por: No caso de deteco de um ataque de varredura de portas, esta coluna indica por quanto tempo a mquina atacante permanecer bloqueado, sem poder iniciar nenhuma conexo atravs do firewall. Entidades protegidas: Esta lista indica as entidades (mquinas, redes ou conjuntos) que estaro protegidas contra ataques de varreduras de portas. Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos: Executar uma operao de drag-n-drop (arrastar e soltar) da janela de entidades diretamente para a lista. Abrir o menu de contexto na lista entidades protegidas com o boto direito do mouse ou com a tecla correspondente no teclado e selecionar Adicionar entidades , para ento escolher aquelas que sero efetivamente includas na lista. Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete , ou escolher a opo correspondente no menu de contexto, acionado com o boto direito do mouse ou com a tecla correspondente: Entidades que podem fazer portscan: Esta lista indica as entidades (mquinas, redes ou conjuntos) que podero executar ataques de varreduras de portas. Esta lista serve basicamente para liberar acesso a ferramentas de deteco de vulnerabilidades ou de monitorao. Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:

706

Executar uma operao de drag-n-drop (arrastar e soltar) da janela de entidades diretamente para a lista. Abrir o menu de contexto na lista entidades que podem fazer portscan com o boto direito do mouse ou com a tecla correspondente no teclado e selecionar Adicionar entidades , para ento escolher aquelas que sero efetivamente includas na lista. Para remover uma entidade da lista, deve-se marc-la e pressionar a tecla delete , ou escolher a opo correspondente no menu de contexto, acionado com o boto direito do mouse ou com a tecla correspondente: IDS Externo

Figura 504 - IPD/IDS IDS Externo.

Nessa aba so configurados todos os parmetros que propiciam que agentes de IDS Externo acrescentem regras de bloqueio no Firewall. Os seguintes parmetros esto disponveis:

707

Habilitar agente de IDS: Esta opo deve estar marcada para ativar o suporte a agentes IDS externos e desmarcada para desativ-lo. (ao se desabilitar o suporte a agentes IDS, as configuraes antigas continuam armazenadas, mas no podem ser alteradas). Agente de IDS a ser usado: Esse campo indica o agente IDS que estar habilitado a incluir regras de bloqueio no firewall. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Status permite ao administrador verificar o status da conexo com o agente IDS. Um valor verde, com a palavra Conectados, indica que o firewall conseguiu autenticar-se e estabelecer com sucesso a comunicao com o agente.

O boto Atualizar far com que o status da conexo seja renovado. O boto Remover far com que todas as regras cadastradas pelo agente IDS sejam excludas do firewall.

708

35.2.

Visualizando os IPs bloqueados

possvel a qualquer momento visualizar a lista de IPs que esto bloqueados no firewall, devido incluso de uma regra de bloqueio temporria do mdulo de IDS/IPS. Para ter acesso a janela de IPs bloqueados, deve-se:

Figura 505 -: IPs bloqueados.

Clicar no menu Informao na janela do Firewall que queira administrar. Selecionar o item IPs bloqueados.

709

A janela de IPs bloqueados

Figura 506 - IPs bloqueados.

Esta janela consiste de uma lista onde cada IP bloqueado mostrado em uma linha, com as seguintes informaes: IP Bloqueado: Endereo IP de uma mquina que foi bloqueada; Inserido por: Mdulo que inseriu a regra de bloqueio temporria; Data de expirao: At quando este IP permanecer bloqueado; Para remover um IP da lista, basta selecion-lo e ento clicar com o boto direito. Ao ser mostrado o menu pop-up , basta selecionar a opo Remover IP; Para atualizar a lista de IPs, basta clicar com o boto direito e selecionar a opo Atualizar no menu pop-up.

710

35.3.

Configurando a atualizao de assinaturas

fundamental que qualquer IDS esteja sempre atualizado com as assinaturas dos ataques mais recentes, caso contrrio, em pouco tempo ele se torna obsoleto. O Aker Firewall permite que configurar o seu IDS interno para automaticamente baixar as novas assinaturas que forem disponibilizadas pela Aker, diretamente de nosso site web. Para ter acesso a janela de atualizao de assinaturas deve-se:

Figura 507 - Atualizao de assinaturas.

Clicar no menu Configuraes do sistema na janela do Firewall que queira administrar. Selecionar o item Atualizao de assinaturas.

711

A janela de configurao de atualizao de assinaturas

Figura 508 - Atualizao de assinaturas.

Esta janela consiste de duas partes: no lado esquerdo pode configurar os dias da semana em que o download de assinaturas ser realizado e em que horrio. No lado direito, pode visualizar informaes sobre a ltima atualizao de assinaturas realizada: seu horrio, se foi bem sucedida ou no, entre outras informaes.

O boto OK far com que a janela seja fechada e as alteraes salvas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta. O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.

35.4.

Instalando o Plugin para IDS Externo no Windows

No caso de se desejar utilizar um IDS externo, alm da configurao mostrada em IDS Externo, faz-se necessrio a instalao do plugin para possibilitar a comunicao deste IDS externo com o firewall. A instalao do plugin para IDS bastante simples. Efetue o download no site da Aker (http://www.aker.com.br), inicie o programa que acabou de efetuar o download. O programa inicialmente mostra uma janela pedindo uma confirmao para prosseguir com a instalao. Deve-se clicar no boto Continuar para prosseguir com a instalao. A seguir ser mostrada uma janela com a licena de uso do 712

produto e pedindo uma confirmao para continuar. Deve-se clicar no boto Eu Concordo para continuar com a instalao. Configurao do plugin do Aker Firewall para IDS Externo Depois de realizada a instalao do plugin necessrio proceder com a sua configurao. Esta configurao permite fazer o cadastramento de todos os firewalls que sero notificados, bem como a definio de que regras sero acrescentadas. Para ter acesso ao programa de configurao deve-se clicar no menu Iniciar, e selecionar o grupo Aker Firewall. Dentro de este selecionar, o grupo Deteco de Intruso e ento a opo Deteco de Intruso. A seguinte janela ser mostrada:

Figura 509 - Configurao IDS configurao.

Esta janela consiste de 4 abas. Na primeira, que est sendo mostrada acima, onde feita a configurao do plugin. Ela consiste de uma lista com o nome das 713

diversas configuraes criadas pelo administrador e que depois sero mostradas como opo de ao no console de administrao do Real Secure. Pode-se especificar o nome de uma das configuraes quando na execuo de um evento ou utilizar o boto Default para especificar uma configurao que ser executada por padro, isto , quando no for especificada o nome de nenhuma configurao. Para criar uma nova configurao, basta clicar no boto Inserir , localizado na parte esquerda superior da janela. Fazendo isso, uma configurao em branco ser criada. Para editar os parmetros desta ou de qualquer outra configurao basta clicar sobre seu nome e a seguir modificar os parmetros desejados.

Significado dos parmetros Nome da configurao: Este o nome que ser mostrado no console de administrao do Real Secure, NFR, Dragon Enterasys e Snort. Quando selecionado, executar as aes definidas pelo administrador. Notificao: Este campo permite definir que aes sero executadas pelo firewall quando uma regra de bloqueio for acrescentada pela execuo da configurao. Caso a opo Padro seja selecionada, ento as aes associadas mensagem Regra de bloqueio IDS acrescentada sero executadas. Caso contrrio pode-se especificar exatamente que aes devem ser tomadas. Para maiores informaes sobre a configurao das aes, veja o captulo Configurando as aes do sistema. Bloqueio: Este campo permite definir que tipo de bloqueio ser realizado quando a configurao for executada. Existem trs opes possveis que podem ser selecionadas independentemente (quando mais de uma opo for selecionada, a regra bloquear pacotes que se enquadrem em todas as opes marcadas e no em apenas algumas): Origem: Os pacotes que tiverem endereo origem igual ao da regra sero bloqueados. Destino: Os pacotes que tiverem endereo destino igual ao da regra sero bloqueados. Servio: Os pacotes que utilizarem servio igual ao da regra sero bloqueados. Se esta opo for marcada, deve-se selecionar quais protocolos estaro associados ao servio atravs do campo Protocolo. Isto necessrio devido a uma limitao do Real Secure na medida em que no fornece o protocolo de um determinado servio, apenas seu nmero. Como o NFR inspeciona apenas trfego TCP, esse protocolo deve ser selecionado no caso desse IDS. Tempo de ativao da regra: Este campo permite definir por quanto tempo as regras acrescentadas por esta configurao ficaro ativas. Caso a opo Tempo de ativao esteja marcada, deve-se especificar o tempo, em segundos, que a regra 714

ficar ativa. Caso esta opo no esteja marcada, a regra ser mantida at a prxima reinicializao do firewall. Firewalls Usados: Este campo serve para definir em quais firewalls as regras temporrias sero acrescentadas. Para cada firewall deve-se configurar uma senha de acesso e seu endereo IP. A senha de acesso deve ser a mesma configurada na definio da entidade do agente IDS (para maiores informaes veja o captulo Cadastrando Entidades). Ao clicar no boto incluir ou editar, a seguinte janela ser mostrada:

Figura 510 - Firewalls usados.

Os firewalls definidos acima devem ser adicionados s configuraes fazendo-se os seguintes passos: Selecione os firewalls requeridos; Pressione o boto de seta -> para que os firewall selecionados apaream na lista da direita da janela. O boto de Flush utilizado para apagar as regras dinmicas adicionadas pelos IDS nos firewalls selecionados. Aps realizar todas as modificaes deve-se clicar no boto Aplicar. Caso esteja utilizando o Real Secure ser ento mostrada uma janela informando que os Global Responses do Real Secure sero alterados e pedindo uma confirmao para continuar. Deve-se clicar no boto Sim para salvar a nova configurao.

715

Log

Figura 511 - Configurao de IDS log.

Todos os bloqueios enviados pelo IDS sero registrados nesta janela.

716

Eventos

Figura 512 - Configurao de IDS eventos.

Esta aba muito til para acompanhar o funcionamento do agente. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um cone colorido, simbolizando sua prioridade.

717

35.5.

Utilizando a Interface Texto - Portscan

A utilizao da Interface Texto na configurao do suporte ao Portscan bastante simples e possui todos os recursos da Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Localizao do programa: /aker/bin/firewall/fwportscan Sintaxe: fwportscan [ajuda | mostra | ativa | desativa] fwportscan [max_portas | max_acessos] <numero> fwportscan [tempo_deteccao | tempo_bloqueio] <tempo em segundos> fwportscan [inclui | remove] protegida <entidade> fwportscan [inclui | remove] autorizada <entidade> Ajuda do programa: fwportscan - Configura parmetros da portscan Uso: fwportscan [ajuda | mostra | ativa | desativa] mostra = mostra a configurao atual. ativa = ativa proteo contra portscan. desativa = desativa proteo contra portscan. max_portas = define o nmero mximo de portas que podem ser acessadas por uma mquina em um mesmo servidor sem que isso seja considerado portscan. max_acessos = define o nmero mximo de acessos distintos(portas X No. de servidores) que podem ser acessadas por uma mquina, sem ser considerado portscan. tempo_deteccao = define o tempo, em segundos, que um acesso feito por uma mquina no mais ser contabilizado em futuras deteces contra portscan tempo_bloqueio = define o tempo, em segundos, que uma mquina ser bloqueada aps se detectar um portscan. inclui = inclui uma nova entidade na lista especificada. remove = remove uma entidade da lista especificada. ajuda = mostra esta mensagem. 718

Para inclui/remove temos: protegida = inclui/remove entidade da lista de entidades protegidas contra portscan. autorizada = inclui/remove entidade da lista de entidades que podem realizar portscan. Exemplo 1: (Ativando o suporte a deteco de portscan) #/aker/bin/firewall/fwportscan ativa Exemplo 2: (Mostrando a configurao atual da proteo contra portscan) #/aker/bin/firewall/fwportscan mostra

35.6.

Utilizando a Interface Texto - IDS Externo

A utilizao da Interface Texto na configurao do suporte ao IDS Externo bastante simples e possui todos os recursos da Interface Remota (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).. Localizao do programa: /aker/bin/firewall/fwids Sintaxe: fwids [habilita | desabilita | mostra | limpa | ajuda] fwids agente <entidade> fwids bloqueia [origem <ip origem>] [destino <ip destino>] [servico <servico/protocolo>] [tempo] Ajuda do programa : fwids - Configura parmetros do agente IDS externo Uso: fwids [habilita | desabilita | mostra | limpa | ajuda] fwids agente <entidade> fwids bloqueia [origem <ip origem>] [destino <ip destino>] [servico <servico/protocolo>] [tempo] habilita = habilita o funcionamento de agentes IDS externos desabilita = desabilita o funcionamento de agentes IDS externos mostra = mostra a configurao atual bloqueia = inclui uma regra de bloqueio temporria limpa = remove todas as regras de bloqueio temporrias agente = especifica nome da entidade com dados do agente ajuda = mostra esta mensagem 719

Para bloqueia temos: origem = Especifica que se deve bloquear conexes originadas no endereo IP especificado destino = Especifica que se deve bloquear conexes destinadas ao endereo IP especificado servico = Especifica que se deve bloquear conexes que utilizem o servio especificado. Neste caso, deve-se especificar o servio como a porta, para os protocolos TCP e UDP, o tipo de servio, para ICMP, ou o nmero do protocolo, no caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro) tempo = tempo, em segundos, no qual a regra permanecera ativa. No caso de no ser especificado, a regra ficara ativa at a prxima inicializao do firewall

Exemplo 1: (Habilitando o suporte a deteco de intruso) #/aker/bin/firewall/fwids habilita

Exemplo 2: (Definindo o agente IDS) #/aker/bin/firewall/fwids agente Agente_IDS A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para maiores informaes sobre como cadastrar entidades no Aker Firewall , veja o captulo intitulado Cadastrando Entidades.

Exemplo 3: (Mostrando a configurao atual) #/aker/bin /firewall/ fwids mostra Parmetros de configurao: --------------------------Agente IDS externo: habilitado Agente: Agente_IDS

720

Exemplo 4: (Acrescentando uma regra de bloqueio da mquina 192.168.0.25 para a mquina 10.0.0.38, no servio WWW, porta 80 do protocolo TCP, por uma hora) #/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/ tcp 3600.

721

Configuraes TCP/IP

722

36.

Configuraes TCP/IP
Este captulo mostra para que serve e como configurar a rede no Aker Firewall.

36.1.

Configurao TCP/IP

Esta opo permite configurar todos os parmetros de TCP/IP do firewall atravs da Interface Remota. possvel configurar os endereos de interfaces de rede, DNS e roteamento bsico e avanado, bem como as opes de PPPoE, 3G e Servidor/Relay DHCP.

Para ter acesso janela de configurao TCP/IP deve-se:

Figura 513 - TCP/IP.

Clicar no menu TCP/IP na janela de administrao do firewall.

723

36.2.

DHCP

Para ter acesso janela de configurao DHCP, deve-se:

Figura 514 - DHCP.

Clicar no menu TCP/IP na janela do Firewall que queira administrar. Selecionar o item DHCP

724

A janela a seguir ser exibida:

Figura 515 - Servidor DHCP.

Nesta aba so definidas as opes do firewall em relao ao servio DHCP. Ela consiste das seguintes opes: No est usando DHCP: Ao selecionar essa opo, o firewall no atuar como servidor DHCP nem efetuar relay entre redes conectadas a ele. Relay DHCP entre redes: Permitir que se defina que o firewall realizar o relay de pacotes DHCP entre as redes selecionadas. Ela utilizada quando se possui apenas um servidor DHCP e se deseja que ele fornea endereos para mquinas localizadas em sub-redes distintas, conectadas diretamente ao firewall.

725

Figura 516 - Relay DHCP entre redes.

Ao selecion-la, deve-se especificar em Interfaces de Escuta as interfaces nas quais o firewall escutar broadcasts DHCP e os encaminhar para os servidores, especificados em Servidores DHCP. No caso de haver mais de um servidor, o firewall encaminhar as requisies para todos e retornar ao cliente a primeira resposta recebida. Servidor DHCP Interno: Esta opo designada para redes pequenas que no possuem um servidor DHCP ou que possuam em um modem ADSL. Ela permite que o firewall atue como um servidor DHCP.

726

Figura 517 - Servidor DHCP interno.

Ao selecion-la, deve-se especificar um ou mais Escopos de endereos, i.e. a faixa de endereos, configuraes DNS, Wins/NBT e WINS/NBT Node Type, excees, Gateway padro e reservas de endereos IP que sero atribudos aos clientes. O firewall enviar aos clientes seu endereo como o servidor de DNS e seu domnio como nome do domnio para estes clientes.

727

36.3.

DNS

Para ter acesso janela de configurao DNS deve-se:

Figura 518 - DNS.

Clicar no menu TCP/IP do firewall que queria administrar. Selecionar o item DNS. A janela a seguir ser exibida:

Figura 519 - TCP/IP - DNS

728

Nesta pasta so configuradas todas as opes relacionadas com a resoluo de nomes ou DNS. Ela consiste dos seguintes campos: Mquina: Nome da mquina na qual o firewall est rodando. Domnio: Nome do domnio no qual o firewall est rodando. DNS Ativo: Esta opo deve ser marcada para ativar a resoluo de nomes via DNS e desmarcada para desativ-la. Servidor primrio: Definir o servidor DNS primrio que ser consultado para se resolver um nome. Ele obrigatrio se a opo DNS ativo estiver marcada. Servidor secundrio: Definir o servidor DNS secundrio que ser consultado se o primrio estiver fora do ar. Ele opcional. Servidor tercirio: Definir o servidor DNS tercirio que ser consultado se o primrio e o secundrios estiverem fora do ar. Ele opcional.

36.3.1.

Interfaces de Rede

Para ter acesso janela de configurao Interfaces de rede deve-se:

Figura 520 - Interfaces de rede.

Clicar no menu TCP/IP do firewall que queira administrar. Selecionar o item Interfaces de rede. 729

A janela a seguir ser exibida:

Figura 521 - Interfaces de redes.

Nesta aba podem ser configurados os endereos IP atribudos a todas as interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde so mostrados os nomes de todas as interfaces e os endereos IP e mscaras de cada uma ( possvel configurar at 31 endereos distintos para cada interface). Caso uma interface no tenha um endereo IP configurado, os campos correspondentes ao endereo e mscara sero mostrados em branco. Possui os seguintes campos: IPv4 IP: Endereo da rede. No pode ser informado um endereo auto-configurado. Mscara de rede: Informa o endereo da mscara de rede. Ponto a ponto: Configurao ponto a ponto IPv6 IP: Endereo da rede. No pode ser informado um endereo auto-configurado. Prefixo: Informam quantos bits a rede composta.

Alias Para configurar ou modificar o endereo IP ou mscara de uma interface e at mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do dispositivo correspondente e usar o menu suspenso que ir surgir: 730

Figura 522 - Menu: configurao ou modificao de endereo IP.

VLAN Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado esquerdo da janela. Aparecer o seguinte menu suspenso:

Figura 523 - Menu de criao: VLAN.

Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexo somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre elas. Para cada uma, uma interface virtual ser criada dentro do Firewall. Nesse menu tambm permite habilitar o monitoramento e escolher a opo Habilitar monitoramento, possibilita monitorar todas as interfaces de rede do cluster e detalhes de replicao de sesso, identificando possveis falhas, caso uma interface de algum no do cluster falhe "falta de conectividade ou falha de rota, ou etc." o no do cluster ir desativar todas as outras interfaces e fazer com que outro n assuma, permitindo assim uma maior disponibilidade dos links. PPPoE A opo Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado basicamente para a conexo com modems ADSL). Ao ser selecionada, a seguinte janela ser mostrada:

731

Figura 524 - Configurao PPPoE.

Nome do dispositivo: Este campo indica o nome do dispositivo interno que ser utilizado na comunicao PPPoE. importante que no caso de que haja mais de uma interface trabalhando em PPPoE, que eles sejam distintos.

Ativar no boot: Se esta opo estiver marcada, o firewall ativar o PPPoE automaticamente, ao iniciar a maquina. Servio PPPoE ativado sob demanda: Se esta opo estiver marcada, o firewall ativar o servio PPPoE apenas quando houver trfico de rede direcionado atravs desta interface de rede. Nome do Usurio: Nome do usurio que ser utilizado na autenticao durante o estabelecimento da sesso PPPoE. Senha: Senha que ser utilizada na autenticao durante o estabelecimento da sesso PPPoE. Confirmao: Confirmao da senha que ser utilizada na autenticao durante o estabelecimento da sesso PPPoE. Provedor: o provedor do servio de PPPoE.

O protocolo IP permite a fragmentao de pacotes, possibilitando que um datagrama seja dividido em pedaos, cada um pequeno o suficiente para poder ser 732

transmitido por uma conexo com o MTU menor que o datagrama original. Esta fragmentao acontece na camada IP (camada 3 do modelo OSI) e usa o parmetro MTU da interface de rede que ir enviar o pacote pela conexo. O processo de fragmentao marca os fragmentos do pacote original para que a camada IP do destinatrio possa montar os pacotes recebidos, reconstituindo o datagrama original.O protocolo da Internet define o "caminho MTU" de uma transmisso Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o endereo de origem at ao endereo de destino. Visto de outro modo, o "caminho MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus pacotes sofram posterior fragmentao. S possvel configurar endereos IP de interfaces de rede reconhecidas pelo sistema operacional no qual o firewall est rodando. Caso tenha acrescentado uma nova interface de rede e seu nome no aparea na lista de interfaces, necessrio configurar o sistema operacional de forma a reconhecer esta nova interface antes de tentar configur-la nesta pasta. Valor padro de 1500. O IP e o prefixo tm que ser informados juntos. No ser possvel ao usurio remover ou editar os endereos auto-configurados (que so derivados dos endereos MAC). As interfaces que estiverem em vermelho, indicam que no esto presentes em todos os nodos do cluster.

733

36.4.

Roteamento

Para acessar a janela de configurao de Roteamento deve-se:

Figura 525 - Roteamento.

Clicar no menu TCP/IP do firewall que queria administrar. Selecionar o item Roteamento.

734

A janela a seguir ser exibida:

Figura 526 - Janela de Roteamento.

735

36.4.1.

Geral

Figura 527 - Roteamento - Geral.

Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Divide-se em duas partes: A primeira parte se refere configurao do endereamento IPv4 e consiste dos seguintes campos: Rede: Configurao dos endereos IP Mscara de rede: Informa o endereo da mscara de rede Gateway: Nesse campo deve ser informado o endereo IP do roteador. Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado velocidade do link. Rota Padro: Pode-se especificar o roteador padro, por qual todos os pacotes sero encaminhados.

736

Para a incluso de uma nova rota, basta clicar no boto direito do mouse e ir aparecer o menu .

Para remover ou editar uma rota, basta clicar com o boto direito sobre ela.

A segunda parte se refere configurao do endereamento IPv6 e consiste dos seguintes campos: Habilita Roteamento IPV6: Essa opo permite ativar ou desativar o roteamento de pacotes IPv6 Dispositivos: Define a interface de rede usada para rota esttica. Rede: Configurao dos endereos IP Prefixo: Informa quantos bits a rede composta. Valor entre 0 e 128 que define quantos bits do endereo sero usados no roteamento Gateway: Nesse campo deve ser informado o endereo IP do roteador. Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado velocidade do link. Rota padro: Nesse campo deve ser informado o endereo IP da rota padro. A validao normal dos endereos IPv6 se aplica tambm a este campo. Dispositivos de Gateway Padro: Pode-se especificar a porta padro, por qual todos os pacotes sero encaminhados. Pode-se deixar em branco, no ser opcional se o gateway padro for auto-configurado.

Rotas com escopo de link so as que comeam pelo prefixo fe80: definido na macro FWTCPIP_IPV6_AUTOCONF_PREFIX. Devido a uma limitao do Linux, no possvel remover o mdulo de IPv6 uma vez que ele tenha sido instalado. Tambm, se o mdulo no estava instalado no kernel, os daemons todos do firewall estavam escutando um socket IPv4. Sendo assim, ao modificar o valor desta opo, a GUI dever mostrar um aviso ao administrador dizendo: This setting will be fully functional only after the next firewall reboot.

737

36.4.2.

Dinmico

Figura 528 - Roteamento dinmico.

O Roteamento Esttico normalmente configurado manualmente, a tabela de roteamento esttica, as rotas no se alteram dinamicamente de acordo com as alteraes da topologia da rede, o custo de manuteno cresce de acordo com a complexidade e tamanho da rede e est sujeito s falhas de configurao. O Roteamento Dinmico a divulgao e alterao das tabelas de roteamento de forma dinmica, no tem a interveno constante do administrador, as tabelas so alteradas dinamicamente de acordo com as mudanas na topologia da rede, ou seja, o processo adaptativo e melhora o tempo de manuteno em redes grandes, estando tambm sujeito s falhas. Nesta janela so definidas as configuraes de Roteamento Dinmico. Ela consiste nas seguintes opes: Interface: O enlace utilizado para alcanar o prximo roteador da rota de destino. Protocolos: Pode-se optar entre o protocolo RIP e o OSPF.

738

RIP: O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo de roteamento padro desenvolvido para ambientes TCP/IP. O RIP um protocolo de roteamento dinmico que implementa o algoritmo vetor de distncia e se caracteriza pela simplicidade e facilidade de soluo de problemas. Em seu mtodo, os equipamentos so classificados em ativos e passivos. Roteadores ativos informam suas rotas para outros e passivos apenas escutam e atualizam suas rotas baseadas nas informaes recebidas, mas no informam. Normalmente, os roteadores usam RIP em modo ativo e as estaes (hosts) em modo passivo. O RIP transmite sua tabela de roteamento a cada 30 segundos. O RIP permite 15 rotas por pacote; assim, em redes grandes, so exigidos vrios pacotes para enviar a tabela de roteamento inteira. A distncia ao destino medido pelos roteadores que se passa at chegar ao destino. Vantagens: Em redes pequenas no consume muita largura de banda e tempo de configurao e gerenciamento e de fcil implementao; Desvantagens: Convergncia lenta para redes de tamanho mdio ou maior; Existncia de loops e contagem ao infinito; Limitaes do nmero saltos por caminho (15) e Limitao de mtrica. OSPF: O protocolo OSPF - Open Shortest Path First a alternativa para redes de grande porte, onde o protocolo RIP no pode ser utilizado, devido s suas caractersticas e limitaes. O OSPF permite a diviso de uma rede em reas e torna possvel o roteamento dentro de cada rea e atravs das reas, usando os chamados roteadores de borda. Com isso, usando o OSPF, possvel criar redes hierrquicas de grande porte, sem que seja necessrio que cada roteador tenha uma tabela de roteamento gigantesca, com rotas para todas as redes, como seria necessrio no caso do RIP. O OSPF projetado para intercambiar informaes de roteamento em uma interconexo de rede de tamanho grande ou muito grande, como por exemplo, a Internet. O OSPF eficiente em vrios pontos, requer pouqussima sobrecarga de rede mesmo em interconexes de redes muito grandes, pois os roteadores que usam OSPF trocam informaes somente sobre as rotas que sofreram alteraes e no toda a tabela de roteamento, como feito com o uso do RIP. Sua maior desvantagem a complexidade, pois, requer planejamento adequado e mais difcil de configurar e administrar do que o protocolo RIP. A suas vantagens so: Maior velocidade de convergncia, suporte a vrias mtricas, caminhos mltiplos, sem loop nem contagem ao infinito e sincronismo entre os bancos. As suas desvantagens so: Complexidade no gerenciamento e implementao. Custo OSPF: O custo OSPF tambm chamado de mtrica, ou seja, a mtrica expressa como um valor de custo. O melhor caminho possui o custo mais baixo, sendo tipicamente o de maior largura de banda. o custo da rota para se chegar a um determinado lugar.

739

Velocidade OSPF: a velocidade do link, ou seja, a velocidade da conexo entre dois roteadores que informada em Kbits/seg. rea OSPF: rea a designao atribuda a um subconjunto dos roteadores e redes que constituem o sistema autnomo e que participam numa instncia do protocolo OSPF, isto , as rotas de uma rea no se propagam para as demais e vice versa. Verifica cada rea e rota de modo a privilegiar as rotas de menor custo e com o mesmo destino. Logar rotas adicionadas e removidas: Ao selecionar essa opo as rotas adicionadas e removidas sero exibidas na lista de eventos. Redistribuir: Nessa opo so escolhidas as rotas que sero informadas para os outros roteadores. Redes Locais: So Rotas localmente conectadas, correspondem s sub redes configuradas nas interfaces de redes. Rotas de Outros Protocolos: Ao selecionar essa opo as rotas redistribudas sero aquelas determinadas pelos protocolos RIP e o OSPF. Haver uma troca de informaes na comunicao entre eles, ou seja, o que foi aprendido por um protocolo ser informado pelo outro e vice versa. Rotas Estticas: As rotas estticas so explicitamente configuradas pelo administrador, ou seja, rotas fixas pelos quais os dados sero transmitidos na aba Rotas dessa mesma janela. Filtrar redes distribudas e recebidas Ativando esta opo devem-se selecionar quais as redes e hosts deseja-se receber e distribuir novas rotas atravs dos protocolos RIP e/ou OSPF. Atravs deste filtro desconsideram-se as informaes que no so necessrias para nosso ambiente e tambm assim no informado aos outros roteadores rotas de redes que no so utilizadas pela Aker.

740

RIP

Figura 529 - Roteamento dinmico.

Autenticao e verso RIP Essa opo permite escolher a forma de autenticao do protocolo. Recomenda-se a escolha do RIPv2 com MD5, pois a forma mais segura de autenticao. O protocolo enviar todo o seu trfego com segurana aps a autenticao. Caso essa opo no seja escolhida existe, um grande risco do canal de comunicao ser interceptado ou violado, ou seja, no garantido que a autenticidade ou a integridade sejam mantidas. RIPv1: Sem autenticao. So enviados apenas os dados. RIPv2: Sem autenticao. So enviados apenas os dados. 741

RIPv2 com senha: Tem autenticao com senha. So enviados os dados e o segredo. RIPv2 com MD5: Autenticao com MD5. So enviados os dados juntamente com uma assinatura digital que contm dados mais o segredo. Senha RIP: Nesse campo ser informada a senha relacionada com a autenticao do protocolo. Confirmao: Deve ser informada a senha, para que seja confirmada a senha rip. Na opo Vizinhos RIP: Nesta opo so definidos quais roteadores e quais os protocolos que iro comunicar-se entre si. apenas necessrio preencher esse campo em caso de operao em modo passivo. Desabilitar Separao Horizontal: Ao selecionar essa opo, desativa a omisso do envio de rotas que passam pelo n que receber a mensagem, ou seja, no vai evitar que um roteador RIP propague rotas para a mesma interface que ele "aprendeu" e nem o loop entre estes ns. Mtrica RIP: o valor de distncia da rede. A distncia pode ser medida, por nmero de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado velocidade do link. Normalmente RIPD incrementa a mtrica quando a informao da rede recebida. A mtrica das rotas distribudas configurada em 1. Temporizador da atualizao: O tempo de atualizao padro de 30 segundos. Cada vez que ele expira, o processo RIP acordado para enviar uma mensagem no solicitada, contendo a tabela de roteamento completa para todos os roteadores RIP vizinhos. Tempo limite: Aps a expirao do timeout, o roteador considerado fora de funcionamento; entretanto, mantida por um breve perodo a informao desse roteador na tabela de roteamento, para que os vizinhos possam ser notificados que ele foi removido. O tempo de timeout padro de 180 segundos. Temporizador da coleta de lixo: o tempo que o firewall leva para considerar uma rota expirada. Se passar esse tempo sem que o outro roteador informe novamente a rota, ela removida automaticamente.

742

OSPF

Figura 530 - Roteamento avanado (OSPF).

Mtodos de autenticao OSPF Essa opo permite selecionar uma forma de autenticao mais segura na troca de informaes entre roteadores, evitando ataques a esses roteadores. Recomenda-se a escolha do MD5, pois a forma mais segura de autenticao. O protocolo enviar todo o seu trfego com segurana aps a autenticao. Caso essa opo no seja escolhida existe, um grande risco do canal de comunicao ser interceptado ou violado, ou seja, no garantido que a autenticidade ou a integridade sejam mantidas. Nenhum: No tem autenticao. Simples: Chave no criptografada. MD5: Hash da chave e dos dados. Chave: o segredo que ser utilizada na autenticao OSPF.

743

ID chave: Identifica qual a chave que est usando. Definio ABR Ao selecionar alguma das opes abaixo, opta-se em definir como o protocolo OSPF distribuir as rotas entre os roteadores. Padro CISCO IBM Habilita compatibilidade com RFC 1583: Ao selecionar essa opo opta em se utilizar um padro mais antigo. A RFC2328 a sucessora da RFC1583, e sugere que, de acordo com a seo G.2 na seo 16.4 mudanas no caminho no algoritmo de preferncia que previnem possveis loops de roteamento que poderiam acontecer ao utilizar a verso antiga de OSPFv2. Mais especificamente ela demanda que as rotas da inter-rea e os da intra-rea so de iguais preferncias, embora ambos prefiram rotas externas.

ID do Roteador: Endereo ID que identifica o roteador no processo OSPF, ou seja, contm a identificao numrica do roteador que originou o pacote. Intervalo de Inatividade: Perodo mximo em segundos desde o ltimo recebimento de um pacote hello, antes de o roteador considerar o seu "vizinho" como no acessvel. O valor padro de 40 segundos. Intervalo do "Hello": O intervalo em segundos entre as transmisses do pacote hello. Configurando este valor, os pacotes hello sero enviados periodicamente de acordo com o tempo especificado na interface. Este valor deve ser o mesmo para todos os roteadores existentes na rede. O valor padro 10 segundos. Intervalo de retransmisso: Este valor usado quando, a base de dados de descrio e os pacotes de requisio de estado de link so retransmitidos. O valor padro de 5 segundos. Prioridade: Ao configurar um valor de prioridade mais alto, o roteador ter maiores chances de se tornar o roteador designado, ou seja, o roteador que ser considerado vizinho de todos os demais roteadores da rede. Configurando o valor para 0, o roteador no ser mais a rota prefervel. O valor padro 1.

744

36.4.3.

Avanado

Figura 531 - Roteamento avanado.

Esta configurao permite a utilizao de rotas por origem e o balanceamento de link por rotas, onde possvel direcionar o trfego de rede para um determinado gateway a partir de sua origem e ainda balancear este trfego em at 3 links diferentes. No possvel configurar rotas por origem pela tabela de roteamento Geral, por esse motivo as regras criadas aqui tm maior prioridade. Para realizar com sucesso esta configurao, necessrio cadastrar as entidades de origem, destino e servio antes do incio do processo. Este cadastramento pode ser feito tanto na Interface Remota do Aker Control Center como no modo texto utilizando o comando fwent no console do Aker Firewall. Abaixo segue alguns exemplos de configuraes:

745

Teste da funcionalidade balanceamento de link por rota:

Laboratrio

Figura 532 - Exemplo de laboratrio de teste balanceamento de rotas.

Testes e configuraes Configuraes do FW A:

Figura 533 - Teste e configuraes NAT exemplo A.

746

Figura 534 - Teste e configuraes Balanceamento de link exemplo B.

Via linha de comando: fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 bal 1 2 3 Configuraes do FW B:

Figura 535 - Teste e configuraes NAT exemplo B.

747

Figura 536 - Teste e configuraes Balanceamento de link exemplo B.

Figura 537 - Roteamento.

Via linha de comando: fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 bal 1 2 3 Esta configurao faz com que todo o trfego entre as redes 192.168.0.0/24 e 172.16.21.0/24 seja balanceado pelos 3 links. Utilizando a interface de texto: Localizao do programa: /aker/bin/firewall # fwadvroute ajuda Aker Firewall Uso: fwadvroute ajuda fwadvroute mostra fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] { -gw <gw_ent> | [-P] -bal <link1> <link2> ... } fwadvroute remove <pos> fwadvroute < habilita | desabilita > <pos> fwadvroute refresh

Os parmetros so: pos: posio da regra na tabela (a partir de 1); 748

src_ents : Entidades origem (rede/mquina/conjunto); dst_ents : Entidades destino (rede/mquina/conjunto); svc_ents : Entidades servio (servico); gw_ent : Entidade gateway (mquina); linkN : Nomes dos links para balanceamento (veja 'fwblink mostra'); -P : Persistncia de conexo.

A seguir, sero demonstrados alguns exemplos prticos das sintaxes utilizadas nesta configurao: Obs: Os nomes das entidades utilizadas nos exemplos so apenas nomes de demonstrao para facilitar a compreenso. Sintaxe: fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] -gw <gw_ent> Cria e/ou define uma rota especificando a posio, origem, servio (caso haja), destino e o gateway desejado. Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1

Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes de entidades que contenham mais de uma palavra devem estar sempre entre aspas. Caso o espao para indicar o servio a ser utilizado estiver vazio, sero considerados todos os servios para esse roteamento. Sintaxe: fwadvroute remove <pos> Remove uma rota j criada indicando a posio da mesma. Exemplo: fwadvroute remove 1 Sintaxe: fwadvroute < habilita | desabilita > <pos> Habilita ou desabilita uma rota indicando a posio da mesma. Exemplo: fwadvroute habilita 1 No possvel configurar as rotas por origem pelo Control Center, esta configurao feita apenas pelo console do Aker Firewall. 749

36.5.

Utilizando a Interface Texto nas Chaves de Ativao

possvel configurar as Chaves de Ativao pela Interface Texto. Localizao do programa: /aker/bin/firewall/fwkey path Path: Caminho completo do arquivo com a chave de ativao a ser substituda.

36.6.

Utilizando a Interface Texto na Configurao TCP/IP

possvel configurar os parmetros do TCP/IP pela Interface Texto. Localizao do programa:/aker/bin/firewall/fwinterface O programa interativo e as opes de configurao so as descritas abaixo:

Figura 538 - Modo de configurao para interfaces de rede.

Analogamente a configurao da Interface Remota, a Interface Texto possui 6 opes conforme visualizado na figura acima.

750

Na janela abaixo possvel visualizar, configurar e desconfigurar uma interface de rede

Figura 539 - Configurao de Interfaces.

751

Na tela abaixo apresentada a opo de listar interfaces

Figura 540 - Lista da interfaces de rede.

Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter> retorna ao menu anterior.

Figura 541 - Mdulo de configurao para interfaces de rede.

752

Nesta tela apresentada a opo de cadastrar VLAN

Figura 542 - Cadastro de VLan.

753

Aps a digitao dos valores de configurao perguntado se deseja configurar alias para a interface.

Figura 543 - Configurao de interfaces.

754

Aps a digitao da Opo 2 da tela principal, possvel realizar a configurao de rotas estticas.

Figura 544 - Configurao de rotas estticas.

755

Aps as informaes terem sido digitadas perguntado se deseja gravar as novas configuraes.

Figura 545 - Configurao de rotas estticas entrada de dados.

756

Aps a digitao da Opo 3 da tela principal, possvel realizar a configurao dos Servidores DNS.

Figura 546 - Configurao de DNS.

Aps a digitao da Opo 4 da tela principal, possvel realizar a configurao da rota padro. A opo 5 da tela principal salva as novas configuraes.

Figura 547 - Mdulo de configurao para interfaces de rede.

757

36.7.

Utilizando a Interface Texto na Configurao de Wireless

Esta opo configurada apenas pelo console do Aker Firewall e est disponvel somente no Aker Firewall Box com suporte para conexo Wireless. O Aker Firewall possui suporte a mltiplas SSID. Ter esse suporte significa fragmentar a rede (virtualmente ou Access Point virtual). Isto muito benfico pois com essa aplicao possvel atender demandas, servios e transmissores diferentes. No Aker Firewall, para utilizar mltiplas SSID necessrio criar vrias interfaces utilizando o seguinte comando: Sintaxe: wireless cria_interface ath0 ap g Sintaxe: wireless cria_interface ath1 ap g Sintaxe: wireless cria_interface ath...N ap g As configuraes personalizadas devem ser realizadas para cada interface criada. A seguir, sero demonstrados seus comandos e alguns exemplos de configurao: Localizao do programa: /aker/bin/firewall/akwireless Uso: akwireless cria_interface <interface> <sta|adhoc|ap|monitor|wds|ahdemo> <b:g> akwireless destroi_interface <interface> akwireless muda_protocolo <interface> <b:g> akwireless lista_interface [interface] akwireless muda_modo <interface> <sta|adhoc|ap|monitor|wds|ahdemo> akwireless muda_SSID <interface> <SSID> akwireless wep_chave <interface> <indice> <chave> akwireless wep_chave_indice <interface> <indice> akwireless wpa1_chave <interface> <chave> <arq> akwireless wpa2_chave <interface> <chave> <arq> akwireless sem_chave <interface> akwireless escolhe_lista_mac <interface> black:white <mac_arq> akwireless add_mac <interface> <mac> 758

akwireless del_mac <interface> <mac> akwireless lista_mac <interface> akwireless limpa_lista <interface> akwireless lista_autenticacao |interface| akwireless muda_canal <interface> |channel| akwireless lista_usuarios_conectados <interface> Logo aps um comando, obrigatrio inserir os dados necessrios quando o espao para inseri-los estiver entre os sinais "< e >" (menor que, e maior que). Caso este espao estiver entre os sinais "[e]" (colchetes), ser facultativo a insero dos mesmos. Vrios desses comandos so autoexplicativos, por este motivo ser enfatizada s particularidades dos comandos mais importantes: akwireless cria_interface <interface> <sta | adhoc | ap | monitor | wds | ahdemo> <b:g> = cria uma interface. Sintaxe: wireless cria_interface ath0 ap g Dentre os modos existentes, o mais utilizado o "AP" (Modo Master), que permite outras mquinas se conectarem nele. Existem vrios protocolos como A, B, G, N. Os protocolos A e N so suportados pelo Aker Firewall apenas nas verses 6.5 com patch1 e superiores. As interfaces wireless so definidas por "ath", logo, caso existam 3 interfaces listadas, estas sero definidas por: ath0, ath1 e ath2. akwireless destroi_interface <interface> = destri uma interface. Sintaxe: wireless destroi_interface ath0 akwireless muda_protocolo <interface> <b:g> = altera o protocolo a ser utilizado. Sintaxe: wireless muda_protocolo ath0 g Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as interfaces. akwireless lista_interface [interface] = mostra todas as interfaces listadas. Sintaxe: wireless lista_interface

759

Caso queira listar uma determinada interface, basta defini-la na frente do comando. akwireless muda_modo <interface> <sta | adhoc | ap | monitor | wds | ahdemo> = altera o modo a ser utilizado. Sintaxe: wireless muda_modo ath0 ap akwireless muda_SSID <interface> <SSID> = criar/alterar nome da rede wireless. Sintaxe: wireless muda_SSID ath0 rede1

akwireless wep_chave <interface> <ndice> <chave> = habilitar autenticao WEP com ndice e chave indicados. Sintaxe: wireless wep_chave ath0 1 12345 akwireless wep_chave_indice <interface> <ndice> = altera o ndice corrente. Sintaxe: wireless wep_chave_indice ath0 1 Pode-se criar at 4 chaves em ndices diferentes. akwireless wpa1_chave <interface> <chave> <arq> = habilita autenticao WPA1 com a chave e o arquivo de configurao indicados. Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.conf Pode-se obter configuraes avanadas modificando o arquivo de configurao citado acima. akwireless wpa2_chave <interface> <chave> <arq> = habilita autenticao WPA2 com a chave e o arquivo de configurao indicados. Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.conf Pode-se obter configuraes avanadas modificando o arquivo de configurao citado acima. akwireless sem_chave <interface> = desabilitar autenticao. Sintaxe: wireless sem_chave ath0 akwireless escolhe_lista_mac <interface> black : white <mac_arq> = habilitar a filtragem de Mac. Sintaxe: wireless escolhe_lista_mac ath0 white white.conf 760

Black: lista de macs que no podero se conectar no Firewall. White: lista dos nicos macs que podero se conectar ao Firewall. akwireless add_mac <interface> <mac> = adicionar um Mac na lista. Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5B akwireless del_mac <interface> <mac> = deletar um Mac da lista. Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B akwireless lista_mac <interface> = listar os Mac adicionados. Sintaxe: wireless lista_mac ath0 akwireless limpa_lista <interface> = deleta todos os Macs listados. Sintaxe: wireless limpa_lista ath0 akwireless lista_autenticacao |interface| = listar os tipos de autenticao de cada interface. Sintaxe: wireless lista_autenticacao ath0 akwireless muda_canal <interface> |channel| = alterar o canal da interface. Sintaxe: wireless muda_canal ath0 3 Para mostrar os canais disponveis, basta utilizar este comando sem indicar o canal. akwireless lista_usurios_conectados <interface> = Mostra os usurios que esto conectados. Sintaxe: wireless lista_usurios_conectados ath0 Esta configurao feita apenas atravs da Interface de Texto.

36.8.

Utilizando a Interface Texto na Configurao de DDNS

Esta opo configurada apenas pelo console do Aker Firewall. A seguir, sero demonstrados seus comandos e alguns exemplos de configurao: Localizao do programa: /aker/bin/firewall/akddns 761

akddns - Configura um cliente de servico DDNS

Uso: akddns [ajuda | mostra | ativa | desativa | lista | limpa] akddns interface <interface> akddns server [pwd_server] <servername> <servico> <dynamic_name> [login_server]

akddns gateway <tipo_gateway> [login_gateway] [pwd_gateway] akddns web <url> [token] akddns ip <ip>

<ip_gateway>

<porta_gateway>

ajuda ativa

= mostra essa mensagem = ativa o cliente de servico DDNS

desativa = desativa o cliente de servico DDNS mostra lista publico server = mostra o estado atual do cliente e sua configurao = lista modelos de gateways que podem ser consultados para obter IP

= configura servico DDNS a ser utilizado <servername> <servico> = hostname do servico DDNS

= servico utilizado (exemplo: dyndns2, zoneedit1)

<dynamic_name> = hostname a ser configurado no servico DDNS [login_server] = login no servico DDNS [pwd_server] = senha no servico DDNS

O cliente DDNS utilizara um dos meios abaixo para obter o IP publico do hostname configurado: interface = usa IP da interface fornecida para o hostname sendo configurado 762

<interface>

= nome da interface que possui o IP utilizado

gateway = consulta um gateway (roteador, etc) para obter o IP publico do hostname sendo configurado <tipo_gateway> = modelo do gateway a ser consultado (ver comando 'lista') <ip_gateway> = endereo Eco IP do gateway

<porta_gateway> = porta onde a consulta ser feita [login_gateway] = login no gateway [pwd_gateway] = senha no gateway web = consulta uma pagina WEB que contem o IP publico para o hostname sendo configurado <url> [token] ser feita ip = estabelece um IP publico esttico para o hostname sendo configurado <ip> = endereo IP publico esttico = URL da pagina WEB a ser consultada = Token a partir do qual a consulta pelo IP publico

Logo aps um comando, obrigatrio inserir os dados necessrios quando o espao para inseri-los estiver entre os sinais < e > (menor que, e maior que). Caso esse espao estiver entre os sinais [e] (colchetes), ser facultativo a insero dos mesmos. Vrios desses comandos so autoexplicativos, por este motivo ser enfatizada s particularidades dos comandos mais importantes: ddns server <servername> <servico> <dynamic_name> [login_server] [pwd_server] = configura o servidor DDNS a ser utilizado pelo produto. Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usurio senha no comando, especifica-se o hostname do servidor onde se far a atualizao, o protocolo a ser utilizado para isso (ex. dyndns2), o hostname a ser atualizado, o login e a senha de atualizao. ddns interface <interface> = monitora o IP de uma interface. Sintaxe: ddns interface eth0 = Com esse comando, o IP dinmico a ser atualizado no servidor ser o existente na interface fornecida (ex. eth0). 763

ddns gateway <tipo_gateway> <ip_gateway> <porta_gateway> [login_gateway] [pwd_gateway] = monitora o IP de um gateway da rede Sintaxe: ddns gateway linksys 10.0.0.1 80 usurio senha com esse comando, o IP dinmico a ser atualizado no servidor ser o de um gateway (ex. modem) da rede. Normalmente, seria o IP externo da rede. Para uma lista com os tipos de gateway suportados, execute o comando ddns lista. ddns web <url> [token] = monitora o IP fornecido em uma URL. Sintaxe: ddns web meuip.meudominio.com.br "IP:" Com esse comando, o IP dinmico a ser atualizado no servidor ser obtido a partir de uma pgina web localizada na URL fornecida, aps o token configurado. ddns ip <ip> = especifica um IP fixo a ser fornecido ao servidor DDNS Sintaxe: ddns ip 200.140.230.137 Define um IP fixo para o seu hostname cadastrado no servidor DDNS.

36.9.

Configurao do Link 3G

O Aker Firewall traz para seus usurios duas novas funcionalidades no acesso Internet. A partir de agora, a soluo UTM da Aker suporta conexo pelos modems 3G e redes wireless. Essas funcionalidades foram desenvolvidas com o objetivo de possibilitar uma maior mobilidade e facilidade no acesso Internet. Conexo via modem 3G O Aker Firewall permite que voc conecte um modem 3G em sua porta USB e essa conexo passa a ser utilizada como um link de dados para acesso Internet. O 3G pode ser de qualquer. E possvel assim, proporcionar maior economia, alto desempenho e facilidade na instalao para os usurios do Aker Firewall, pois os links 3G, alm de mais baratos e rpidos, so fcies de se instalar, no necessitando de nenhum equipamento nem cabos de rede. Configurando o modem 3G O procedimento de configurao dividido em duas partes: 1. Configurao dos drivers do modem; 764

2. Configurao do modem 3G no Aker Firewall. Configurao dos drivers do modem: Procedimento manual: Execute o comando "config3g.sh". Sero listados todos os dispositivos USB conectados ao firewall. Ao identificar o modem na lista de dispositivos USB que lhe foi listado, os campos "product id" e "vendor id" devem ser preenchidos. Aps esse preenchimento, o script ir configurar os drivers do modem corretamente.

Figura 548 - Configurao de link 3G.

Procedimento automtico: Execute o comando "config3gauto.sh". Automaticamente ser identificado o modem da lista de dispositivos USB conectados. Configurao do modem 3G no Aker Firewall Neste passo, a configurao ocorre atravs da Interface Remota na janela "Configuraes do Sistema TCP/IP". Na janela ir aparecer uma nova interface chamada 3G. Essa apenas uma interface virtual que significa que existe um modem 3G configurado. Para configurar uma interface real, clique com o boto direito na interface virtual 3G e opte pela opo "Usar 3G".

765

Figura 549 - Configurao 3G no Aker Firewall.

Ao realizar o procedimento acima ir abrir uma janela de configurao com os seguintes campos:

"Nome do dispositivo"; "Ativar no boot": Efetuar a conexo automaticamente, aps ligar o Aker Firewall BOX; "Usar configurao DNS do servidor": Utilizar as configuraes de DNS, fornecidas pela operadora do 3G; "Usar rota Padro do Servidor": Utilizar como rota padro o link 3G (apenas no caso da rota padro no ter sido configurada previamente); "Servio 3G ativado sob demanda": Utilizar o link 3G apenas quando a rede tiver necessidade de conexo com Internet. Quando no houver dados para serem transmitidos ou recebidos conexo do link 3G ser desativada; "ID do produto:" J estar preenchido, deve mudar apenas se mudou o modem; "ID do vendedor:" J estar preenchido, deve mudar apenas se mudou o modem; "Caminho do arquivo de configurao do modem":

Existem trs opes j criadas:


TIM; CLARO; VIVO. 766

"Usar outro caminho:" possvel usar um arquivo de configurao, criado pelo administrador do Aker Firewall. Para utiliz-lo, basta especificar o caminho onde este arquivo est salvo. Essa opo utilizada para o Aker Firewall suportar outros modelos de modems e/ou outras operadoras, dando assim maior flexibilidade soluo. Testando a conexo Aps configurar a interface 3G, o Aker Firewall vai tentar discar para a operadora. Esse procedimento pode no funcionar por problemas na operadora. Para verificar se conexo foi efetuada com sucesso, observe a cor da interface criada. Se tiver com uma cor clara quer dizer que o modem conectou normalmente, se a cor for escura significa que houve algum problema. Repita o procedimento e, se o problema continuar, contate o departamento de suporte da Aker Security Solutions.

36.10

Agregao de link

A agregao de link um termo usado em redes de computadores para descrever mtodos de combinao de vrias conexes de rede em paralelo. Este tipo de operao tem o intuito de aumentar a capacidade de transporte para mais do que uma nica conexo seria capaz de tratar, e em algumas ocasies tem o intuito de fornecer redundncia no caso de falha de um dos links. Outros termos tambm so utilizados pelos diversos fabricantes para descrever o mtodo, dentre eles: trunking de porta, link bundling, Ethernet/network/NIC bonding, ou Grupo de Placas de Rede. Atualmente o padro atual definido pelo IEEE (Institute of Electrical and Electronic Engineers) o IEEE 802.1ax Aggregation Control Protocol (LACP) que substituiu o anterior: IEEE 802.3ad. A agregao pode ser implementada em qualquer uma das trs camadas mais baixas do modelo OSI. Exemplos comuns de agregao na camada 1 so linhas de energia (por exemplo, IEEE 1901) e dispositivos de redes sem fio (por exemplo, IEEE 802.11) que combinam mltiplas bandas de frequncia em um nico canal de maior capacidade. Na camada 2 do modelo OSI (camada de enlace, por exemplo, frame de Ethernet em redes locais ou multi-link PPP em WANs, endereo MAC) a agregao ocorre normalmente nas portas de switch, que podem ser portas fsicas, ou virtuais gerenciadas por um sistema operacional, por exemplo, Open vSwitch. A agregao tambm pode ocorrer na camada 3 do modelo OSI, ou seja, na camada 767

de rede (por exemplo, IP ou IPX), usando o round-robin scheduling, ou com base em valores de hash calculado a partir de campos no cabealho do pacote, ou uma combinao destes dois mtodos. Independentemente da camada de agregao em que ocorre, a carga da rede balanceada em todos os links. A maioria dos mtodos fornecem redundncia e failover.

A instruo a seguir cobrir os tipos de agregao de link mais utilizados pelo Aker Firewall. O exemplo a seguir configura uma interface de ligao (bond0) usando duas interfaces de rede (eth0 e eth1) no Aker Firewall. #!/bin/bash modprobe bonding mode=0 miimon=100 # carrega o modulo de agregao ifconfig eth0 down # desabilita a interface eth0 ifconfig eth1 down # desabilita a interface eth1 ifconfig bond0 hw ether 00:11:22:33:44:55 # altera o endereo MAC da interface bond0 ifconfig bond0 192.168.55.55 up # para colocar a interface ethX como membro do grupo, a interface bond0 precisa ter um endereo IP j configurado. akenslave bond0 eth0 akenslave bond0 eth1 # insere a interface eth0 no agrupamento bond0 # insere a interface eth1 no agrupamento bond0

possvel configurar a interface de agrupamento (bonding interface) de acordo com sua necessidade. Os tipos de agrupamento possveis permitem configurao de acordo com o parmetro mode (mode=X). Os seguintes modos esto disponveis: mode = 0 (balanceado rr) Poltica round-robin: Encaminha os pacotes usando em ordem sequencial o primeiro canal at o ltimo disponvel daquele agrupamento. Este modo fornece balanceamento de carga e tolerncia a falhas. mode = 1 (failover) 768

Poltica ativo-backup: Apenas um dos canais no grupo est em uso efetivo (o canal principal). Um outro canal se torna ativo somente se, o canal principal falhar. O endereo MAC do vnculo externamente visvel em apenas uma porta (adaptador de rede) para evitar confundir o switch. Este modo fornece tolerncia a falhas. mode = 2 (balanceamento XOR) Poltica XOR: Balanceamento que usa o algoritmo XOR, com o MAC da placa de rede de destino do pacote, para selecionar a interface de rede que ser utilizada. Isso seleciona o mesmo canal para cada endereo MAC de destino. Este modo fornece balanceamento de carga e tolerncia a falhas. mode = 3 (broadcast) Poltica de Broadcast: Transmite tudo em todas as interfaces agrupadas. Este modo fornece tolerncia a falhas.

mode = 4 (802.3ad) IEEE 802.3ad - agregao de links dinamicamente: Cria grupos de agregao que compartilham a mesma velocidade e definies de comunicao (modo duplex). Utiliza todos os canais ativos no agrupamento de acordo com a especificao 802.3ad. mode = 5 (balanceamento TLB) Balanceamento de carga de transmisso: Tipo de agregao que balanceia o trfego de sada e no exige qualquer suporte especial do switch. O trfego de sada balanceado de acordo com a carga momentnea (que calculada em relao velocidade) em cada um dos canais que participam do grupo. O trfego de entrada recebido pelo canal que esta em uso. Se o canal principal falhar, o outro canal assume o endereo MAC do canal principal que falhou e passa a responder pela recepo/entrada de pacotes. mode = 6 (balanceado alb) Balanceamento de carga adaptativo: Funciona como modo 5 (balanceamento na transmisso), mas tambm inclui balanceamento de carga de recebimento para trfego IPv4, e como o modo anterior, tambm no requer nenhuma capacidade especial do switch. O balanceamento de carga de recebimento ocorre por meio da 769

negociao ARP. O mdulo de agrupamento intercepta a resposta ARP enviada pelo sistema local na sada, e sobrescreve o endereo de hardware de origem da comunicao usando o endereo de hardware nico de um dos canais do grupo. De forma que diferentes pares usem endereos de hardware diferentes para se comunicar com o servidor. Miimon Especifica a frequncia de monitorizao MII link em milissegundos. Isto determina quantas vezes o estado do link de cada canal ser inspecionado no case de falhas de link. O valor zero desativa monitoramento de link MII (100 e o valor recomendado).

770

Configurando o Firewall em Cluster

771

37.

Configurando o firewall em Cluster


Este captulo mostra como configurar a tolerncia a falhas e o cluster cooperativo do Aker Firewall.

37.1.

Planejando a Instalao

O que um sistema de tolerncia s falhas? Quanto mais os computadores ganham espao nas empresas, nos escritrios e na vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo: nenhum usurio quer que a sua mquina pare de funcionar ou que os recursos de rede no possam mais ser acessados. justamente a alta disponibilidade que vai garantir a continuidade de operao do sistema na prestao de servios de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos. Assim, alta disponibilidade hoje um assunto que interessa a um nmero cada vez maior de usurios. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que no possam ficar fora do ar por at mesmo alguns minutos. Afinal, paradas no planejadas podem comprometer, no mnimo, a qualidade do servio, sem contar os prejuzos financeiros. Tolerncia s falhas nada mais que um agrupamento de recursos que fornece ao sistema a iluso de um recurso nico. A maioria dos seus componentes, encontramse duplicados, desta forma, mesmo que um componente individual apresente falhas o servio no comprometido. Para possibilitar a redundncia de recursos necessrio um mecanismo de gerncia, de forma a tornar seu funcionamento transparente. O que um sistema Cooperativo? No sistema de tolerncia s falhas foi falado a respeito de alta disponibilidade e de agrupamento de recursos, mas no sistema cooperativo alm da alta disponibilidade ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos os sistemas ficam ativos e se o peso entre eles for igual trataro de forma balanceada as conexes e todos os processos entre eles. Como trabalha a Tolerncia s Falhas do Aker Firewall?

772

A tolerncia s falhas do Aker Firewall composta por dois sistemas idnticos, ou seja, duas mquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma verso do Firewall, conectadas entre si. A exigncia de se usar o mesmo sistema operacional se d pelo fato de poder aplicar correes atravs da Interface Remota e essas correes serem replicadas automaticamente de uma mquina para a outra. Alm de estarem conectadas entre si, o que deve ser feito por uma interface de rede, necessrio que todas as placas de rede correspondentes das duas mquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso s mesmas mquinas e roteadores. Como trabalha o sistema Cooperativo do Aker Firewall? Antes de tudo a diferena bsica da configurao do cluster cooperativo e do failover est vinculada licena. A licena do cluster cooperativo faz com que a convergncia de dois firewalls com pesos iguais seja de 50% para cada um, j a licena do failover faz com que ocorra convergncia em apenas um dos firewalls. O que so modos UNICAST e MULTICAST do sistema Cooperativo do Aker Firewall? No Aker Firewall em modo cooperativo, mais de um host ( os nodos do cluster) precisam receber os mesmos pacotes, para posteriormente cada um deles possam decidir se estes pacotes so ou no de sua responsabilidade. Como os switches no esto preparados nativamente para isso, uma das duas tcnicas precisa ser empregada (UNICAST ou MULTICAST). A primeira tcnica chamada de modo unicast, implica-se em re-configurar o switch para que ele saiba que um determinado endereo ethernet (MAC) est em duas ou mais portas simultaneamente, significando que ele deve copiar o pacote com esse endereo destino em todas elas, e jamais aprend-lo como estando em uma porta apenas. Nesse modo, todos os firewalls do cluster usam o mesmo endereo MAC. O nico inconveniente desse modo que so raros os switches que o suportam. A segunda tcnica chamada de modo multicast, ela faz com que os firewalls de um cluster registrem um endereo ethernet multicast em suas interfaces e respondam as chamadas de ARP para o IP virtual com esse endereo. Se o switch no for configurado para limitar o espalhamento de pacotes multicast, todos os pacotes destinados ao firewall sero redistribudos em todas as portas, como se fossem pacotes broadcast. Para fazer essa configurao, existem duas opes: faz manualmente no switch, ou ento utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que membro do grupo multicast correspondente ao endereo escolhido. Seu switch deve suportar uma dessas duas opes. Alm disso, existem alguns roteadores que no aprendem o endereo multicast ethernet da resposta ARP enviada pelo firewall.

773

Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em suas tabelas. Existem implicaes srias de performance (flooding, por exemplo) e segurana (requisio de associao IGMP por qualquer host da rede) no caso de cluster no modo multicast. Todos os problemas podem ser evitados com corretas configuraes nos switches. Tenha certeza que voc entende o funcionamento desse modo antes de coloc-lo em funcionamento. Quando o cluster estiver no ar, qualquer alterao feita nas configuraes de um firewall atravs da Interface Remota ser replicada automaticamente para o outro firewall.

37.2.

Configurao do Cluster

Para que possa ser iniciada a configurao do Cluster, necessrio que previamente exista uma licena de cluster e que j tenha sido aplicada no Firewall. Para se ter acesso janela de Configurao do Cluster deve-se:

Figura 550 - Configurao do cluster.

Clicar no menu Configurao do Sistema na janela de Administrao do Firewall. Selecionar o item Configurao do Cluster.

774

Caso o usurio opte em configurar, dever clicar no boto "sim", e automaticamente aparecer a seguinte tela:

Figura 551 - Criar cluster.

Essa janela permite a criao de um novo cluster. O usurio dever preencher os seguintes campos: Nome: Nesse campo deve ser informado o nome do Firewall no cluster. Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o valor mais apropriado. Interface: Esse campo permite a escolha de uma entidade que representa uma interface de controle do firewall. Essa entidade ser usada pelo firewall para controle do cluster. Boto Ok: Ao trmino da escolha das opes, deve-se clicar no boto Ok. Se a licena tiver sido aplicada anteriormente, o cluster ser habilitado, caso tenha algum problema, aparecer uma mensagem informando que no foi possvel habilit-lo.

775

Se a criao do cluster tiver sido feita com sucesso a Interface Remota ser desconectada para garantir que toda a configurao do firewall seja recarregada, assim o usurio dever conectar novamente. Caso o usurio deseje fazer alguma alterao nas configuraes do cluster criado, dever acessar a Janela de Configurao de Cluster. Abaixo seguem as descries dos campos:

Figura 552 - Configurao do cluster configuraes gerais.

Informaes Gerais Nessa parte da janela so mostradas informaes gerais do cluster criado. Tipo de Cluster: Esta opo permite selecionar o tipo de cluster desejado ou desabilit-lo. Interface de Controle: Essa informao definida na hora da criao do cluster, no podendo ser alterada posteriormente. Todos os seus outros membros utilizaro essa mesma entidade. 776

Informaes dos Membros Nessa parte da Janela mostra todas as informaes sobre os membros do cluster. Identificao: Esse campo informa o ID do Cluster. gerado aleatoriamente, no podendo ser alterado. Nome: Indica o nome do firewall do cluster. Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o valor mais apropriado. Estado: Permite visualizar o status do cluster, se est ativado ou desativado Interfaces Nessa parte da janela permite a visualizao das caractersticas de configurao das interfaces de rede dos membros do cluster. Essas caractersticas pertencem a todos os membros, incluindo os ativados, desativados e os que vierem a ser includos. Interface: Nesse componente permite adicionar uma nova interface. IP Virtual: o IP virtual que representa as mquinas do cluster para a rede atual. Dever ser definido apenas nos casos de cluster cooperativos. Modo: Esse campo informa o modo como os pacotes so redistribudos dentro de um grupo de mquinas. O modo UNICAST o padro, mas pode ser alterado para o modo Multicast ou Multicast com IGMP. IP Multicast : As informaes contidas nesse campo, so alteradas de acordo com o modo indicado/escolhido, mas s poder ser editado quando for escolhido o modo multicast IGMP. MAC: Esse campo indica o endereo fsico da placa de rede. Pode ser informado quando o modo escolhido for o Multicast. Caso no seja especificado o cluster, vai ser utilizado o endereo que consta na placa, se for escolhido o modo Multicast IGMP o MAC no ser configurado, ou seja, no poder ser editado. A opo de adicionar um IP virtual s vlida quando se tratar de cluster cooperativo. Observao: Deve haver no mnimo um membro ativo. Janela Adicionar Membro Nessa janela pode-se incluir um novo membro do cluster. Para inclu-lo, clique com o boto direito do mouse no componente que mostra as informaes dos membros. Clique no boto adicionar Membro , a janela a seguir ser exibida: 777

Figura 553 - Configurao do cluster: Adicionar membro.

Nessa janela se preenche todas as informaes do firewall que ser adicionado ao cluster. Abaixo segue a descrio dos campos: Informao da conexo IP: o endereo da interface de controle a ser adicionada no cluster. Usurio: Usurio de administrao do firewall. Senha: Senha do usurio administrador do firewall. Informao do Firewall Nome: Nome do Firewall no cluster Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o valor mais apropriado. Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum. Mestre: Requisita que durante a primeira convergncia, esta seja a mquina Mestre, que a maquina ativa que tratar as requisies

778

Escravo: Requisita que durante a primeira convergncia esta mquina seja Escravo, que um n que ser ativado apenas se a estao mestre cair. Nenhum: As maquinas iro decidir entre elas quem deve ser a estao mestre e qual estao ser escravo.

O membro do cluster, tambm pode ser includo por meio do cone barra de ferramentas.

presente na

37.3.

Estatstica do Cluster

A janela de estatstica do Cluster permite a visualizao das informaes de cada n do cluster. Para se ter acesso janela de Estatstica do Cluster deve-se:

Figura 554 - Estatsticas do cluster.

Clicar no menu Informao na janela de Administrao do Firewall. Selecionar o item Estatstica do Cluster. 779

Aba Firewall 1 A janela possui dois tipos de informaes: as informaes estticas se referem ao nome do nodo, o identificador e o peso. As outras informaes que constam na janela so estatsticas do trfego de redes que permite, por exemplo, a visualizao da quantidade de pacotes trafegados na rede. Os valores so acumulativos, a cada segundo os dados so somados ao valor anterior.

Figura 555 - Estatsticas do cluster: Firewall 1.

Aba Grfico Esta janela permite a visualizao grfica das informaes referentes ao tratamento dado aos pacotes dos nodos que passam pelo Firewall. Esse grfico permite a visualizao de at 8 nodos.

780

As informaes do trfego de cada nodo so mostradas em porcentagem. Esta aba possui vrios tipos de filtros, permitindo ao usurio, para uma eventual comparao de dados, filtrar informaes em percentual, das atividades de cada firewall.

Figura 556 - Estatsticas do cluster: Grfico.

37.4.

Configurando um cluster coorporativo

Para iniciar a configurao de um Cluster Cooperativo no Aker Firewall ser considerado a permisso que os equipamentos j esto devidamente instalados, ou seja, com licenas aplicadas, configuraes TCP/IP efetuadas e todas as interfaces cadastradas.

781

Deve-se conectar ao Firewall via Aker Control Center, e ir janela Configuraes do Sistema e escolher a opo Configurao do Cluster, conforme imagem a seguir:

Figura 557 - configurao do Cluster.

Aps clicar na aba Configurao do Cluster ser aberta uma janela mostrando a seguinte mensagem Voc mo tem um cluster configurada. Deseja criar um agora ?.

Figura 558 - Criar Cluster.

Selecione a opo Sim e ser aberta uma nova janela de configurao:

782

Figura 559 - Preenchimento dos campos para criar cluster.

A seguinte tela deve ser preenchida: Nome: ser o nome do equipamento; Peso: ele ir definir qual o balanceamento de trfego que melhor se encaixe a sua rede; Interface: Esse campo permite a escolha de uma entidade que representa uma interface de controle do firewall. Essa entidade ser usada pelo firewall para controle do cluster. Hierarquia: selecione a opo Nenhum.

783

Segue o exemplo de configurao abaixo:

Figura 560 Exemplo: criar cluster.

Com todas as informaes preenchidas, clicar no boto OK. Ser aberta uma janela informando: A nova configurao do cluster foi aplicada com sucesso!. clicar no boto OK.

Figura 561 - Mensagem de configurao realizada com sucesso.

Clicar no boto OK, em seguida, aparecer uma popup informando que voc ser desconectado para recarregar as novas configuraes.

784

Figura 562 Mensagem que o usurio ser desconectado para as configuraes serem recarregadas.

Clicar no boto OK. Conecte novamente via Control Center, v em Configuraes do Sistema, clique em Configurao do Cluster e na opo Tipo de Cluster selecione a opo Cluster Cooperativo e clique no boto Aplicar.

Figura 563 - Escolha do cluster corporativo.

785

Ser aberta uma janela informando que ao mudar o tipo de cluster, necessrio reiniciar o servidor.

Figura 564 - Pop-up informando que ao mudar o tipo de cluster ser realizado um reincio do servidor.

Clique no boto Sim e aguarde o servidor ser reiniciado. Conecte novamente via Control Center, v em Configuraes do Sistema e selecione a opo Configurao do Cluster e na janela de Interfaces, clique com o boto direito no espao em branco e adicione as Interfaces cadastradas conforme figura a seguir:

786

Figura 565 - Configurao do Cluster.

Clique com o boto direito sobre cada uma das interfaces cadastradas e selecione a opo Multicast conforme a figura a seguir:

787

Figura 566 - Escolha Multicast.

788

Agora clique na opo IP Virtual e selecione a entidade referente ao ip virtual da rede em que se encontra a placa que est sendo configurada:

Figura 567 - Adicionar entidades.

789

Aps esse procedimento, acesse o servidor via SSH e colete o endereo MAC das interfaces:

Figura 568 - Acesso ao servidor SSH.

Copie os quatro ltimos octetos do endereo MAC de cada interface que nesse caso 17:C6:4E:65 para cadastrar na configurao de cluster. Na Control Center v em Configurao do Sistema, em Configurao do Cluster, clique com o boto direito em cima da opo MAC da interface e cadastre todos os MAC de acordo com a Interface que est sendo configurada de forma que fique configurado.

Figura 569 - Cadastro de MAC.

Repita todo o procedimento em todos os outros servidores que iro participar do Cluster Cooperativo, tomando cuidado para no repetir os nomes dos servidores. 790

Aps esse procedimento para confirmar a montagem do cluster, conecte via Aker Control Center v em Configurao do Sistema e abra a janela Configurao do Cluster:

Figura 570 - Cluster cooperativo montado.

Aps esse procedimento, o Cluster Cooperativo est montado.

791

37.5.

Utilizando a Interface Texto

A utilizao da Interface Texto na configurao da tolerncia s falhas bastante simples. Localizao do programa: /aker/bin/firewall # fwcluster /aker/bin/firewall # fwcluster

Aker Firewall Uso: fwcluster [ajuda | mostra] fwcluster tipo <off | failover | ha | coop> fwcluster interface_controle <if> fwcluster peso <peso> fwcluster nome <nome> fwcluster <habilita | desabilita> [master / slave] [ -f ] fwcluster <inclui | remove> <if> <maquina> [ -f ] fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast] fwcluster limpa [ -f ] (!) onde: if : entidade interface peso : peso desta maquina no cluster maquina : endereo IP virtual a remover ou incluir (entidade maquina) master : argumento opcional que indicara essa maquina a ser master slave : argumento opcional que indicara essa maquina a ser slave -f : argumento opcional que forca a aplicao da configurao mesmo com a control center autenticada Exemplo 1: (mostrando a configurao) Como efeito didtico ser explanada a topologia de uma rede com trs firewalls em cluster e duas redes (rede 192 e rede 10).

792

Figura 571 - Interface Texto exemplo 1: mostrando a configurao da interface.

Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas todas as interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os firewalls possuem endereos ip diferentes. Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2 rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2 rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2 Firewall C rl0 - if_externa - 10.0.0.3 rl1 - if_interna - 192.168.1.3 rl2 - if_controle - 172.16.0.3 Em seguida crie uma entidade virtual para cada uma das placas, exceto para a interface de controle, essas entidades tero valor igual para todos os firewalls do cluster. Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip 10.0.0.4) interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4) Firewall C - externa_firewall (ip 10.0.0.4) interna_firewall (ip 192.168.1.4) Para iniciar a configurao do cluster, crie primeiro a interface de controle: /aker/bin/firewall/fwcluster interface_controle interface_cadastrada

793

Depois inicie o cadastro de cada uma das interfaces participantes do firewall: /aker/bin/firewall/fwcluster inclui interface_cadastrada mquina_virtual_cadastrada Defina o peso de cada Firewall, se no for definido, por padro ser aplicado peso 1 para todos: /aker/bin/firewall/fwcluster peso numero_do_peso Aps aplicar todas essas configuraes em todos os firewalls participantes, habilite o cluster em cada um deles: /aker/bin/firewall/fwcluster habilit As mquinas do cluster no precisam ser iguais, mas as placas de rede sim. Para o cluster failover utilize apenas 2 firewalls, j que apenas um responder por todo o trfego.

794

Arquivos do Sistema

795

38.

Arquivos do Sistema
Este captulo mostra onde esto localizados e para que so usados os arquivos que fazem parte do Aker Firewall.

38.1.

Arquivos do Sistema

Neste tpico sero mostrados quais so e onde se localizam os arquivos do sistema. Isto muito importante na hora de fazer os backups ou para diagnosticar possveis problemas de funcionamento. rvore de diretrios

/aker/bin/firewall - contm programas executveis e sub-diretrios /aker/ config /firewall/x509 - contm os arquivos correspondentes aos certificados X.509 /aker/bin/firewall/httppd - contm a raiz do sistema de arquivos do servidor local HTTP do Filtro Web. No remova os arquivos j presentes neste diretrio. /aker/config/firewall - contm os arquivos de configurao do firewall /aker/bin/firewall/snmpd - contm o agente SNMP /var/log - contm os arquivos de log e eventos do Aker Firewall /var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as mensagens a serem enviadas

Programas executveis Programas que podem ser executados pelos administradores do Aker Firewall

/aker/bin/firewall/fwadmin - Interface Texto para administrao de usurios /aker/bin/firewall/fwaction - Interface Texto para configurao das aes do sistema /aker/bin/firewall/fwblink - Interface Texto para configurao do balanceamento de links /aker/bin/firewall/fwkey - Interface Texto para configurar chave de ativao do sistema /aker/bin/firewall/fwclient - Interface Texto para a configurao do acesso dos clientes de criptografia /aker/bin/firewall/fwcluster - Interface Texto para a configurao da tolerncia a falhas /aker/bin/firewall/fwcripto - Interface Texto para configurao da criptografia e autenticao <> /aker/bin/firewall/fwedpwd - Interface Texto para configurao das bases de dados para autenticao local 796

/aker/bin/firewall/fwent - Interface Texto para a criao de entidades /aker/bin/firewall/fwflood - Interface Texto para configurao da proteo contra SYN flood /aker/bin/firewall/fwids - Interface Texto para a configurao do suporte a agentes de deteco de intruso /aker/bin/firewall/fwaccess - Interface Texto para a configurao das associaes de perfis de acesso /aker/bin/firewall/fwlist - Interface Texto para acesso s conexes e sesses de usurios ativos /aker/bin/firewall/fwlog - Interface Texto para acesso ao log e aos eventos do firewall /aker/bin/firewall/fwmaxconn - Interface Texto para configurao do controle de flood /aker/bin/firewall/fwnat - Interface Texto para a configurao da converso de endereos (NAT) /aker/bin/firewall/fwpar - Interface Texto para configurao dos parmetros gerais /aker/bin/firewall/fwrule - Interface Texto para configurao do filtro de pacotes inteligente /aker/bin/firewall/fwipseccert - Interface Texto para a gerncia dos certificados X.509 necessrios criptografia IPSEC. /aker/bin/firewall/fwstat - Interface Texto para a configurao e visualizao das estatsticas do Firewall. /aker/bin/common/akinterface - Interface Texto para a configurao das interfaces de rede do Firewall. /aker/bin/firewall/fwauth - Interface Texto para a configurao dos parmetros globais de autenticao do Firewall. /aker/bin/firewall/akddns Interface Texto para configurao do cliente DDNS. /aker/bin/firewall/fwadvroute Interface Texto para configurao de roteamento avanado. /aker/bin/firewall/fwedpwd - Interface Texto para configura usurios do autenticador local do firewall. /aker/bin/firewall/akhwsig Imprime na tela a chave de hardware do BOX. /aker/bin/firewall/fwl2tp Interface Texto para configurar a vpn L2TP; /aker/bin/firewall/fwpptpsrv - Interface Texto para configurar a vpn PPTP; /aker/bin/firewall/fwlic Imprime na tela informaes sobre a utilizao de licena limitada por ip. /aker/bin/firewall/fwpacket Interface Texto para coleta de dumps no Aker Firewall. /aker/bin/firewall/fwportscan Interface Texto para configurar o filtro de deteco de portscan. /aker/bin/firewall/fwver Imprime a verso e a data de compilao dos arquivos do Firewall.

Programas que NO devem ser executados diretamente pelo administrador


/aker/bin/firewall/2.6.x/aker_firewall_mod-xxxx.o - Mdulo carregvel do kernel com o firewall (apenas no Linux) /aker/bin/firewall/fwauthd - Servidor de autenticao de usurios 797

/aker/bin/firewall/fwcardd - Mdulo de validao de certificados X.509 para smart cards /aker/bin/firewall/fwconfd - Servidor de comunicao para a interface remota /aker/bin/firewall/fwcrld - Mdulo de download de CRLs das autoridades certificadoras ativas /aker/bin/firewall/fwcryptd - Servidor de criptografia para clientes /aker/bin/firewall/fwdnsd - Servidor de resoluo de nomes (DNS) para a interface remota /aker/bin/firewall/fwidsd - Programa de comunicao com agentes de deteco de intruso /aker/bin/firewall/fwinit - Programa de inicializao do Aker Firewall /aker/bin/firewall/fwftppd - Proxy FTP transparente /aker/bin/firewall/fwgkeyd - Servidor de gerao de chaves de criptografia /aker/bin/firewall/fwhttppd - Proxy HTTP transparente e Filtro Web no transparente /aker/bin/firewall/fwheartd - Servio de controle do cluster /aker/bin/firewall/fwhconfd - Servio de configurao distribuda do cluster /aker/bin/firewall/fwgenericstd - Servio de coleta de informao distribuda do cluster /aker/bin/firewall/fwstconnd - Servio de replicao de conexes do cluster /aker/bin/firewall/fwlinkmond - Servio de monitoramento de links /aker/bin/firewall/fwdlavd - Servio de anti-vrus web /aker/bin/firewall/fwmachined - Servio de coleta de informaes de performance /aker/bin/firewall/fwpmapd - Proxy RPC transparente /aker/bin/firewall/fwlkeyd - Servidor de certificados de criptografia /aker/bin/firewall/fwmond - Mdulo de monitoramento e reinicializao dos processos do firewall /aker/bin/firewall/fwnatmond - Mdulo de monitoramento de mquinas para o balanceamento de carga /aker/bin/firewall/fwprofd - Servidor de login de usurios /aker/bin/firewall/fwrapd - Proxy Real Player transparente /aker/bin/firewall/fwrtspd - Real Time Streaming Protocol proxy /aker/bin/firewall/fwsocksd - Proxy SOCKS no transparente /aker/bin/firewall/fwsmtppd - Proxy SMTP transparente /aker/bin/firewall/fwpop3pd - Proxy POP3 transparente /aker/bin/firewall/fwlogd - Servidor de log, eventos e estatsticas /aker/bin/firewall/fwscanlogd - Servidor de pesquisa de log, eventos e estatsticas /aker/bin/firewall/fwsyncd - Processo de gerao de sementes de criptografia e sincronia /aker/bin/firewall/fwtelnetd - Proxy telnet transparente /aker/bin/firewall/fwtrap - Mdulo de envio de traps SNMP /aker/bin/firewall/fwurld - Mdulo de anlise e checagem de permisso de acesso a URLs /aker/bin/firewall/fwiked - Mdulo de negociao de chaves para criptografia IPSEC (protocolo IKE) /aker/bin/firewall/fwtunneld - Secure Roaming Server para Firewall /aker/bin/firewall/libaker.so - Biblioteca genrica do firewall /aker/bin/firewall/libconfd.so - Biblioteca de configurao do firewall 798

/aker/bin/firewall/snmpd/snmpd - Agente SNMP /aker/bin/firewall/corr.fw - Contm o nvel de correo aplicado /aker/bin/firewall/fwadmkeys - Gerador de chaves RSA. /aker/bin/firewall/fwapply - Auxilia aplicao de patches. /aker/bin/firewall/fwarpd - Resposta de solicitaes ARP. /aker/bin/firewall/fwdcerpcd Proxy DCE-RPC. /aker/bin/firewall/fwdeepd Mdulo de IPS/IDS e filtro de aplicativos; /aker/bin/firewall/fwh2250pd - Proxy H.323. /aker/bin/firewall/fwh245pd - Proxy H.323. /aker/bin/firewall/fwhwid - Processo que cria o identificador nico da mquina. /aker/bin/firewall/fwmsnd Proxy MSN. /aker/bin/firewall/fwpptpd Mdulo que permite as conexes PPTP passem por converso de endereo. /aker/bin/firewall/fwpptpradiusd Mdulo de autenticao da VPN LPPTP /aker/bin/firewall/fwpscand Mdulo de deteco de PORTSCAN. /aker/bin/firewall/fwquotad Mdulo de controle das Quotas. /aker/bin/firewall/fwreportd Mdulo gerador de relatrios. /aker/bin/firewall/fwrollback Auxilia no rollback de patchs. /aker/bin/firewall/fwsipd Proxy SIP. /aker/bin/firewall/fwsslpd Mdulo da VPN SSL e Proxy SSL. /aker/bin/firewall/fwtraind Mdulo para treinamento de e-mails de o Aker Spam Meter. /aker/bin/firewall/fwtunneldpt.qm - Arquivo de traduo /aker/bin/firewall/fwupdatepatchhis - Auxilia gesto de patches. /aker/bin/firewall/fwzebrad Mdulo de roteamento avanado, OSPF e RIP. /aker/bin/firewall/fwvlan Mdulo de criao de VLAN 802.1q. /aker/bin/firewall/hostapd_run.sh - Inicia o comando hostapd. /aker/bin/firewall/l2tpns Mdulo da VPN L2TP; /aker/bin/firewall/libh323.so.1.0.0 - Biblioteca de suporte ao proxy H.323. /aker/bin/firewall/nsctl - Auxilia o l2tpns. /aker/bin/firewall/rc.aker - Iniciador padro do Firewall. /aker/bin/firewall/rpt_files - Arquivos de relatrio /aker/bin/firewall/squid - Arquivos de cache /aker/bin/firewall/strings - Auxilia fwver.

Arquivos de Log, Eventos e Estatsticas


/var/log/fw-650-AAAAMMDD.fwlg - Armazena os logs do firewall do dia DD/MM/YYYY /var/log/fw-650-AAAAMMDD.fwev - Armazena os eventos do firewall do dia DD/MM/YYYY /var/log/stat-650-AAAAMMDD.fws - Armazena as estatsticas do firewall do dia DD/MM/YYYY

799

Aker Firewall BOX

800

39.

Aker Firewall Box


Este captulo mostra os comandos que podem ser utilizados no shell do Aker Firewall Box.

O Aker Firewall Box O Aker Firewall Box composto por um sistema integrado de hardware e software. A grande vantagem dessa plataforma que ela dispensa maiores conhecimentos de sistemas operacionais. Alm disso, por no possuir disco rgido e por ser formada por um hardware industrial, a plataforma apresenta potencialmente maior resistncia contra danos, especialmente picos de energia, o que acaba por possibilitar um funcionamento ainda mais estvel. O Firewall BOX est disponvel em diversos modelos, que visam atender as necessidades de pequenas, mdias e grandes empresas. A lista completa dos modelos disponveis frequentemente atualizada e est disponvel em: http://www.aker.com.br Como funciona o shell do Aker Firewall Box? Ao conectar-se um terminal serial comum configurado a 9600 bps porta serial correspondente no Aker Firewall Box, ser possvel utilizar a interface de linha de comando do mesmo, isto , seu shell. Ao se realizar esse procedimento, primeiro ser necessrio apertar a tecla Enter at que aparea o pedido de senha, que inicialmente '123456'. Entrando-se corretamente a senha, o prompt seguinte aparecer: Aker > Caso tenha perdido a senha de acesso local ao Aker Firewall Box, deve-se entrar em contato com o suporte tcnico, para realizar o procedimento de reset da mesma. No prompt do shell, podem ser digitados todos os comandos normais do Aker Firewall, conforme documentados nos tpicos relativos Interface Texto de cada captulo. Alm desses, existem comandos especficos ao firewall box que esto documentados a seguir. possvel digitar os comandos do firewall no shell sem o prefixo fw, isto , ent ao invs de fwent. Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente apertar as teclas Ctrl + D. 801

Comandos especficos do Aker Firewall Box Comando Descrio quit exit Encerram a sesso de administrao no shell

Comando Descrio

help ? Mostram uma tela com a lista de comandos vlidos

Comando Descrio

shutdown Paralisa o firewall, para que ele possa ser desligado

Comando Descrio

reboot Reinicia o firewall

Comando

ping [-c n_pkt] [-i interv] ip_destino Envia pacotes ping para e espera a resposta do hosts ip_destino A opo -c especifica o nmero de pacotes a ser enviados A opo -i especifica o intervalo de transmisso entre os pacotes em milissegundos (ms)

Descrio

Comando Descrio

password Troca senha de acesso ao console do firewall

802

Comando Descrio

date <mostra> | <dd/mm/aaaa> Com o parmetro mostra , informa a data do sistema. Seno, acerta a data para a informada.

Comando Descrio

time <mostra> | <hh:mm[:ss]> Com o parmetro mostra , informa hora do sistema. Seno, acerta o relgio para o horrio informado.

803

Manual do Plugin AWCA Aker Web Content Analyzer

804

40.

Aker Web Content Analyzer - AWCA


Este captulo mostra como instalar e utilizar o AWCA no Aker Firewall.

40.1.

Introduo

A Web permite que cada documento na rede tenha um endereo nico, que indica o nome do arquivo, diretrio, nome do servidor e o mtodo pelo qual ele deve ser requisitado e se esse endereo foi chamado de URL. URL (Uniform Resource Locator, numa traduo literal, localizador uniforme de recursos). Uma URL tem a seguinte estrutura: http://www.seed.net.tw/~milkylin/htmleasy.html . Onde: http:// o mtodo pelo qual ocorrer a transao entre cliente e servidor. HTTP (Hypertext Transfer Protocol, ou protocolo de transferncia de arquivos de hipertexto) o mtodo utilizado para transportar pginas de Web pela rede. Outros mtodos comuns so: ftp:// (para transferir arquivos), news:// (grupos de discusso) e mailto:// (para enviar correio eletrnico). A produtividade fundamental para todas as empresas. Para isso, buscam utilizar de forma racional seus recursos de rede. Apesar de a Web ser uma incrvel ferramenta de trabalho, ela tambm pode causar uma enorme queda na produtividade. Definir algumas regras pode proteger seu negcio e seus funcionrios. Pginas Web contm programas que so usualmente inocentes e algumas vezes teis - por exemplo, animaes e menus pop-up. Mas existem sites questionveis e maliciosos que nem sempre esto com as melhores intenes. Ao navegar na Web, operadores de sites podem identificar seu computador na Internet, dizer quais pginas voc acessou, de que pgina voc veio, usar cookies para criar um perfil seu e instalar spywares em seu computador - tudo sem o seu conhecimento. Worms destrutivos podem ainda entrar em seu sistema atravs de seu navegador: Cookies: so informaes que um servidor web pode armazenar temporariamente junto a um browser. um pacote de informao que viaja entre um aplicativo navegador de Internet (browser) e o servidor (web); Spywares: so programas de computador que, em vez de serem teis, estes tentam rastrear alguma informao do computador, como os sites que voc navega programas que possui e outras informaes do seu computador; Worms: um software que tem objetivos maliciosos. Neles se incluem: trojans , vrus e spywares .

Alm de atividades maliciosas instigadas por usurios externos, os negcios podem ser colocados em uma posio vulnervel por funcionrios que se engajarem em

805

uma atividade ilegal e/ou indesejvel durante o horrio de trabalho e usando computadores da empresa. Apresentando o produto AWCA O acesso descontrolado internet, a produtividade comprometida, o acesso s pginas de contedos indevidos e o comprometimento do uso da rede, tm feito com que as organizaes criem polticas de uso da internet. A partir dessa necessidade, o Analisador de URL tornou-se uma ferramenta indispensvel para o controle de pginas web vistas por funcionrios dentro de uma corporao. Com o produto, os usurios s tero acesso a sites com contedos autorizados pelo administrador. Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Web Content Analyzer, ferramenta segura e inteligente, focada em oferecer ao cliente uma soluo capaz de suprir as necessidades de monitoramento e controle em tempo real do uso da Internet pelos usurios, com limitao dos sites possveis de acesso, proteo antivrus e emisso de relatrios de utilizao. O produto faz toda filtragem a partir da pesquisa do endereo a ser acessada, essa pesquisa feita anteriormente na Aker por uma equipe altamente qualificada, que classifica milhares de sites novos por dia distribudos em 24 (vinte quatro) categorias. Ao administrador resta apenas escolher os usurios e grupos de usurios autorizados ou no a ter acesso a determinados sites. Com interface amigvel e de fcil utilizao, o Web Content Analyzer permite ao usurio, acessar sites confiveis e, sempre utilizando para navegar um PC ou notebook, utilizando uma conexo segura atravs de um firewall/Proxy. Em outras palavras o uso do Web Content Analyzer inibe o uso do computador de trabalho para acessos a informaes irrelevantes no trabalho.

Figura 572 - Esquema de funcionamento do Web Content Analyzer.

A cada conexo requerida, o sistema identifica a classificao do site na base de dados do Analisador de URL e determina se o usurio est apto a acess-lo, ou no, com base em seu perfil. Como o Analisador trabalha em conjunto com o identificador de Perfis de Acesso do Aker Firewall, podem-se estabelecer perfis individuais especificando a que tipo de contedo cada usurio ter acesso. O sistema passa a funcionar, ento, da seguinte forma: o usurio entra no sistema 806

utilizando seu nome e senha de login e seu Perfil de Acesso identifica quais contedos ele est autorizado. A ferramenta trabalha tambm em conjunto com o Aker Web Control que possui plugins de configurao para Microsoft ISA Server, SQUID Server e para o Firewall Checkpoint. O Aker Web Control para Squid um produto parte que possibilita ao Squid aceitar ou rejeitar acessos de acordo com o nvel de acesso de cada usurio e a categoria da pgina desejada, de acordo com o arquivo de configurao do Squid. O Aker Web Control para ISA Server um produto parte que possibilita ao ISA Server aceitar ou rejeitar acessos de acordo com o nvel de acesso de cada usurio e a categoria da pgina desejada. Todas estas caractersticas fazem do Web Content Analyzer uma poderosa ferramenta de controle ao acesso internet, quando trabalhando em conjunto com um Firewall ou um servidor Proxy compatvel.

40.2.

Pr-requisitos

Software O Analisador de URL Aker executa sobre os sistemas operacionais Windows Server e Linux GNU em plataformas Intel 32 ou compatveis. Ele compatvel com o Firewall Aker, MS Proxy Server e MS ISA Server, Checkpoint Firewall 1 e Squid Internet Object Cache. Com exceo do Firewall Aker, os demais produtos necessitam de um plugin para se comunicarem com o Analisador de URLs. Hardware A indicao do hardware mnimo varia de acordo com o nmero de clientes simultneos e seus respectivos links. O mnimo absoluto : Computador Pentium 1 Ghz ou superior; 256 MB de memria RAM; 2GB de espao livre em disco; Monitor; Placa de rede.

Antes da utilizao do produto deve-se verificar se todos os perifricos do computador so suportados pelo sistema operacional utilizado. 807

40.3.

Instalando o Aker Web Content Analyzer

O Aker Web Content Analyzer funciona nas seguintes verses de Sistemas Operacionais: Windows Server: 2000, 2003 e 2008; Linux GNU; As telas a seguir mostraro como realizada a instalao do produto nos sistema operacionais:

40.4.

Instalao em Ambiente Windows

Baixar os pacotes no site da Aker: http://www.aker.com.br. Escolha o idioma (ingls ou portugus) para realizar a instalao e clicar em OK.

Figura 573 - Escolha do idioma no qual deseja realizar a instalao .

808

Contrato de licena de Programa Ler o contrato, em caso de acordo selecionar a opo Aceito o contrato de licena. Clicar no boto Avanar.

Figura 574 Contrato de licena do programa.

809

Informaes do usurio Nesta fase ser realizada a insero de informaes necessrias para que a instalao seja personalizada: Digitar o Nome Completo do usurio; Digitar o nome da Empresa; Optar se as configuraes para o aplicativo ser instalada para o usurio atual Somente para mim ou para todos que compartilham o computador Qualquer pessoa que usa este computador; Clicar em Avanar.

Figura 575 - Preenchimento de informaes do usurio.

810

Seleo dos recursos Escolher o recurso que ser instalado no disco AkerWebContentAnalyzerPlugin e clicar em Avanar. rgido local

Esta tela permite selecionar os recursos que sero instalados. Atualmente, o Plugin de instalao do Aker Web Content Analyzer vem acompanhado pelo Plugin do Aker Web Control. Isto , ao instalar o AWCA, automaticamente ser instalado o AWC. Se caso desejar instalar apenas o plugin do Aker Web Content Analyzer, deve-se clicar no cone AkerWebControlPlugin, selecionar a opo Todo o recurso no estar disponvel e, em seguida clicar no boto Avanar.

Figura 576 - Seleo dos recursos que deseja instalar.

811

Em seguida aparece a mensagem Pronto para instalar o aplicativo. Clicar em Avanar para iniciar a instalao.

Figura 577 - Mensagem de aplicativo pronto para ser instalado.

812

Atualizando o sistema Mostra a barra de progresso da instalao do sistema.

Figura 578 - Barra de progresso de instalao.

813

Aps o trmino da instalao, automaticamente ir aparecer uma tela dizendo que o produto foi instalado com xito. Para terminar, basta clicar em Concluir.

Figura 579 - Concluindo a Instalao.

814

40.5.

Instalao em Ambiente Linux

A instalao realizada em Linux bastante simples e requer apenas alguns passos que sero demonstrados a seguir. Crie um diretrio e copie o arquivo AkerWebContentAnalyzer-server-br-3.0-3.fc8.tar.bz2 para dentro dele. Descompacte o arquivo usando o seguinte comando: tar -vzxf akerwebcontentanalyzer-3.4-pt-linux-server-012.bin.tar.gz

Figura 580 - Instalao Linux: Descompactao.

815

Acesse o diretrio criado anteriormente e digite o seguinte comando: ./akerwebcontentanalyzer-3.4-pt-linux-server-012.bin

Figura 581 - Instalao Linux: Execuo Script de Instalao.

816

O sistema ir apresentar a termo de licena do produto e ao final perguntar se voc aceita os termos da licena. Caso seja selecionado N (No), a instalao ser abortada. Selecione S (Sim) para continuar a instalao.

Figura 582 - Termo de Licena.

817

Aps verificar as dependncias necessrias, o script de instalao ir verificar a existncia do mdulo de log do produto e caso no esteja instalado ir instal-lo automaticamente.

Figura 583 Instalao do Mdulo de Log.

818

O prximo passo a criao do usurio que ter acesso administrao via Interface Remota. Ao apertar ENTER sem escolher um nome, o usurio ser criado conforme o nome informado entre colchetes (admin). Em seguida, digite a respectiva senha e confirme-a.

Figura 584 Confirmao de usurio e senha.

819

Pressione o boto Enter para que a instalao seja completada.

Figura 585 - Instalao Linux: Criao de Usurio Administrador.

820

40.6.

Configurao do AWCA

A configurao do Aker Web Content Analyzer simples, mas requer ateno em algumas explicaes que sero dadas a seguir. Cada assunto foi agrupado em menus distintos. Para acessar o AWCA no firewall, deve-se ir em Dispositivo Remoto e selecionar o item Web Content Analyzer, conforme mostrado na figura a seguir:

Figura 586 - Opes de Configurao do Aker Web Content Analyzer.

Em seguida, ser apresentado cada um dos menus de acesso e configurao no Aker Firewall: Categorias, Gerenciamento da base de URLs e Teste de URL.

40.7.

Gerenciamento da base de URLs

O menu Gerenciamento da base de URLs trata das atualizaes de assinaturas de malwares. nesse menu que sero configuradas as opes de como as atualizaes sero automatizadas.

Figura 587 - Gerenciamento de base de URLs.

821

O Menu composto de trs abas: Geral, Frequncia de atualizao e Atualiza os sites.

Figura 588 Menu: Gerenciamento da base de URLs.

822

Aba Geral A atualizao das assinaturas feita atravs da Internet. As informaes necessrias para permitir esse acesso sero configuradas nessa aba, por isso para acessar Internet, o Aker Web Content Analyzer precisa utilizar ou se autenticar em algum proxy.

Figura 589 - Gerenciamento da base de URLs: geral.

Para realizar a configurao necessrio preencher os campos: Habilitar a opo: Usar Servidor Proxy; Endereo IP e porta do servidor Proxy em questo; Usar autenticao no proxy; Usurio e senha para aplicao do Proxy.

823

Aba Frequncia de Atualizao A opo Ativar Atualizao ir habilitar ou desabilitar a atualizao automtica. possvel escolher a opo de Atualizao Semanal ou Atualizao Mensal de acordo com a necessidade do cliente. A atualizao das assinaturas de URLs podem ser configuradas para serem realizadas de maneira automtica. nessa aba que o administrador ir selecionar os d